摘 要：大數(shù)據(jù)時代數(shù)據(jù)成為新型石油，個人數(shù)據(jù)成為爭搶對象，近年來數(shù)據(jù)泄露事件頻發(fā)個人信息安全難以確保，電信詐騙、短信轟炸、人肉他人發(fā)起網(wǎng)絡攻擊多出于數(shù)據(jù)泄露，數(shù)據(jù)泄露對于穩(wěn)定社會秩序，保護個人的人身財產(chǎn)安全，尤其身為人口大國的我國的國家安全具有重要意義。反思當下，引發(fā)數(shù)據(jù)泄露事件的原因不止黑客攻擊，還包括個人數(shù)據(jù)價值輸出的正當渠道的匱乏以及相應的制度不完善，企業(yè)和政府的保護意識薄弱，關(guān)于個人信息保護的法律法規(guī)規(guī)定尚不完善等。數(shù)據(jù)泄露問題的治理，可以從數(shù)據(jù)平臺及其制度、數(shù)據(jù)泄露通知制度、被遺忘權(quán)、政府信息公開審查、設立專門人員監(jiān)管五個方面提出修改意見，以此解決數(shù)據(jù)泄露規(guī)制存在的缺陷，促使數(shù)字時代我國的數(shù)字經(jīng)濟發(fā)展和信息安全齊頭并進。

關(guān)鍵字：數(shù)據(jù)泄露;信息安全;信息主體

大數(shù)據(jù)時代呼嘯而至，作為當今最熱的話題已經(jīng)成為整個世界所關(guān)注的焦點。在大數(shù)據(jù)時代，個人信息作為信息社會的一種重要經(jīng)濟資源，個人數(shù)據(jù)成為企業(yè)提高競爭力的工具，其價值不言而喻，近年來的數(shù)據(jù)泄露問題使人們普遍開始關(guān)注被忽略已久的服務協(xié)議和自己的權(quán)利，促使國際法律改革，但是根據(jù)中國通訊研究院安全研究所2018年7月發(fā)布的《2018大數(shù)據(jù)安全報告書》顯示，2016年到2017年全球數(shù)據(jù)泄露事件數(shù)量由13.79億個上升到26.01億個，事件數(shù)量翻倍增長。在我國發(fā)生的數(shù)據(jù)泄露案，一起案件泄露的信息主體人數(shù)便可以千萬為單位計算，讓網(wǎng)民戲稱每個人都是在互聯(lián)網(wǎng)中“裸奔”。這種大規(guī)模泄露案件的殺傷力并不止發(fā)騷擾短信，人肉信息后實施網(wǎng)絡暴力，跟蹤騷擾、電信詐騙，給信息主體帶來人身財產(chǎn)方面的困擾可小可大，數(shù)據(jù)一旦遭到過分濫用，也會造成難以挽回的結(jié)果。

解決數(shù)據(jù)泄露問題不僅要依靠計算機技術(shù)，也需要法律的規(guī)制。目前我國頒布的《網(wǎng)絡安全法》的規(guī)制不足以為個人信息提供全面充分的保護，當前企業(yè)對個人信息安全的保護也不盡人意，信息主體對個人信息安全的保護雖有不滿但勢力單薄?！秱€人信息安全規(guī)范》雖然對《網(wǎng)絡安全法》的內(nèi)容進行了進一步的填充，但其效力不能與法律相比，其內(nèi)容雖有進步但不足以稱其全面，仍需要制定更加完備的法律予以規(guī)制。

一、個人信息泄露事件多發(fā)的時代背景

數(shù)據(jù)為新型石油的時代，即使是不為人重視的數(shù)據(jù)也具有潛在的經(jīng)濟價值，個人信息更能為持有者帶來商業(yè)價值，然而數(shù)據(jù)交易平臺尚未普遍以及數(shù)據(jù)交易管理規(guī)定的缺失不能滿足數(shù)據(jù)需求者，因此讓“貨源豐富”的黑色產(chǎn)業(yè)鏈有機可乘。以暗網(wǎng)的數(shù)據(jù)交易為例，電子數(shù)據(jù)的復制性，電子交易的無限性，加上比特幣價值不菲，一次交易就能獲利至少數(shù)萬元，在暗網(wǎng)交易不易留痕跡，豐厚利潤和不易被發(fā)現(xiàn)身份的平臺吸引企業(yè)和政府部門內(nèi)部人員竊取并泄露數(shù)據(jù)，參與到販賣個人信息的黑色產(chǎn)業(yè)鏈。

目前我國的法律規(guī)制并不周密，使地方政府無法正確判斷信息公開的范圍導致個人敏感信息的公開。目前的《政府信息公開條例》對于公開的信息內(nèi)容僅做了最寬泛的規(guī)定，沒有考慮到個人敏感信息與一般個人信息對信息主體的不同意義，各地方對于政府信息公開的范圍又有著不同的理解，導致出現(xiàn)身份證號碼等敏感信息出現(xiàn)在政府網(wǎng)站的事件。

網(wǎng)絡服務提供者以及政府部門重利用而輕視個人信息安全問題，使得信息保護措施不到位，《2017年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢綜述》指出，根據(jù)國家信息安全漏洞共享平臺 （CNVD）收錄漏洞的情況，近三年來新增通用軟硬件漏洞的數(shù)量年均增長超過 20%，漏洞收錄數(shù)量呈現(xiàn)快速增長趨勢。信息系統(tǒng)存在安全漏洞是誘發(fā)網(wǎng)絡安全事件的重要因素，根據(jù)《2017 年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢綜述》的數(shù)據(jù)，CNVD“零日”漏洞收錄數(shù)量同比增長 75.0%，這些漏洞等于向黑客主動張開懷抱，將其掌握的個人數(shù)據(jù)全盤托出。

二、解決措施

1.搭建正規(guī)數(shù)據(jù)交易平臺，完善數(shù)據(jù)交易規(guī)范

數(shù)據(jù)交易作為企業(yè)發(fā)展壯大和提供優(yōu)質(zhì)服務的推動力量不能被全盤否定，地下數(shù)據(jù)交易平臺售賣的數(shù)據(jù)通常是黑客入侵獲得的數(shù)據(jù)或者數(shù)據(jù)控制主體的內(nèi)部人員泄露的數(shù)據(jù)，沒有進行清洗、脫敏，從而對個人信息安全產(chǎn)生威脅。為了大數(shù)據(jù)產(chǎn)業(yè)發(fā)展，可以更多搭建合法安全的交易平臺，以鼓勵需求者購買不危及個人又符合需求的數(shù)據(jù)。

但是現(xiàn)有的大數(shù)據(jù)交易平臺存在一些問題：在供需上，出現(xiàn)供應者的信息無法滿足需求者的期望的情況;在時效上，出現(xiàn)售賣的信息并非實時數(shù)據(jù)而失去價值的情況;在價格上，出現(xiàn)價格不高使得供應方失去交易積極性問題[1]在隱私保護上，未經(jīng)過數(shù)據(jù)主體同意擅自售賣的情況。對于這些問題，各國有不同的措施：

（1）美國的信息售賣激勵制度

作為鼓勵數(shù)據(jù)流通交易的美國的《2018年加州消費者隱私權(quán)法案》（簡稱CCPA）對信息售賣制度做了比較詳細的規(guī)定，在CCPA中企業(yè)需通知個人其信息有被售賣的可能性且個人享有“選擇退出”權(quán)（Opt-out Right），即“消費者有權(quán)在任何時候指示一個欲將消費者個人信息出售給第三方的企業(yè)不得出售該消費者的個人信息。”在網(wǎng)站中必須有不得售賣個人信息的鏈接以供用戶行使“選擇退出”權(quán)，如果企業(yè)實際明知用戶小于16歲則不得售賣用戶的個人信息。對于同意售賣個人信息的用戶，企業(yè)可以將其納入財務激勵計劃，提供賠償金以及更優(yōu)質(zhì)的服務，以此鼓勵數(shù)據(jù)交易的長遠發(fā)展。

（2）歐盟的反對權(quán)和自主決定權(quán)

歐盟在數(shù)據(jù)保護方面，以數(shù)據(jù)主體的利益為重點整體側(cè)重于增加企業(yè)義務和數(shù)據(jù)主體的權(quán)利，對數(shù)據(jù)交易的限制嚴于美國。因此GDPR第20條規(guī)定數(shù)據(jù)主體有直接營銷為目的的處理有反對權(quán)和自主決定權(quán)，數(shù)據(jù)控制者需要清楚的單獨的提醒主體的權(quán)利，而無財政激勵計劃、賠償金等類似表述。

我國對數(shù)據(jù)交易規(guī)范沒有特別規(guī)定，僅在《網(wǎng)絡安全法》的第42條中提到完全脫敏后的數(shù)據(jù)可以自由處理，未脫敏的數(shù)據(jù)需要經(jīng)過用戶同意才能提供給第三方，未提及數(shù)據(jù)出售的其他問題。我國的學者宋梅青提出融合數(shù)據(jù)分析服務的大數(shù)據(jù)交易平臺，將云存貯、數(shù)據(jù)分析、數(shù)據(jù)匹配、數(shù)據(jù)脫敏等技術(shù)合而為一，提供實時、安全、多維的數(shù)據(jù)，使交易雙方都能得到滿意的交易結(jié)果[1];學者王忠提出個人數(shù)據(jù)銷售許可機制，將允許銷售的數(shù)據(jù)限定為與個人關(guān)聯(lián)性弱或者無關(guān)的數(shù)據(jù)。[2]本文認為適當?shù)臄?shù)據(jù)出售有利于信息主體和企業(yè)的共同獲利，信息主體和企業(yè)各取所需的局面優(yōu)于企業(yè)通過地下途徑出售和收購個人信息而讓信息主體遭受人身財產(chǎn)安全損失的結(jié)果，也會提高企業(yè)對個人信息保護的積極性，因此本文認為可以在將來的《個人信息保護法》中設立個人信息銷售許可機制。

目前，美國有Factual、BDEX、In Chimps三個實時交易平臺可以讓數(shù)據(jù)提供者將個人信息明碼標價出售，日本的富士通的Data plaza大數(shù)據(jù)交易平臺，將個人信息匿名化后將數(shù)據(jù)放在平臺售出。國內(nèi)數(shù)據(jù)交易產(chǎn)業(yè)正在發(fā)展，2014年12月成立的貴陽大數(shù)據(jù)交易所、2014年1月成立的中關(guān)村樹海大數(shù)據(jù)交易平臺、2015年成立的武漢東湖大數(shù)據(jù)交易中心以及2011年成立的數(shù)據(jù)堂，數(shù)據(jù)交易產(chǎn)業(yè)方興未艾，數(shù)據(jù)交易制度在法律上還有很大的發(fā)展空間。

2.完善數(shù)據(jù)泄露通知制度

盡管數(shù)據(jù)泄露通知制度是一種事后補救措施但能夠防止情況惡化，穩(wěn)定數(shù)據(jù)主體的情緒并對數(shù)據(jù)保護和服務提供者的信譽具有重要意義。數(shù)據(jù)泄露通知制度最早源于美國2002年 《加州數(shù)據(jù)安全泄露通知法案》，隨后歐盟、澳大利亞等國都效仿立法[3]，歐盟的GDPR將數(shù)據(jù)泄露通知制度加入其中，對于數(shù)據(jù)泄露通知制度，GDPR規(guī)定了數(shù)據(jù)泄露通知的主體、對象、還將通知程序其分為兩種情況：第一種當數(shù)據(jù)泄露不大可能給自然人的權(quán)利和自由帶來風險時可以不通知監(jiān)管部門和用戶;第二種當數(shù)據(jù)泄露可能給自然人的權(quán)利和自由帶來風險時應當了解情況后在72小時內(nèi)聯(lián)系監(jiān)管部門，如果遇有特殊原因可以延長時間并說明原因，如果會對用戶產(chǎn)生實質(zhì)影響就要及時通知用戶。[4]

然而，我國對數(shù)據(jù)泄露通知制度內(nèi)容、程序、主體、對象、條件等各方面都缺乏細致規(guī)定，僅在《網(wǎng)絡安全法》第二十六條中規(guī)定：向社會發(fā)布系統(tǒng)漏洞應當遵守國家有關(guān)規(guī)定。近年來，多起“網(wǎng)絡攻擊武器庫”泄露事件進一步擴大了安全漏洞可能造成的嚴重危害，落實法律要求，進一步細化我國安全漏洞信息保護管理工作迫在眉睫。

3.保障被遺忘權(quán)的行使

被遺忘權(quán)或稱刪除權(quán)，指用戶在一定條件下享有要求數(shù)據(jù)控制者刪除其所掌握的用戶信息的權(quán)利?；诖藱?quán)利，搜索引擎必須刪除個人信息的鏈接，其他服務提供者必須刪除個人信息的內(nèi)容?；跀?shù)據(jù)泄露案件對信息主體造成的傷害通常是事后出現(xiàn)，被遺忘權(quán)的行使可以有效地保障信息主體及時減損以及預防數(shù)據(jù)泄露再次發(fā)生。

被遺忘權(quán)起源于20世紀末期，主要適用于犯罪分子、公眾人物，隨著網(wǎng)絡的發(fā)展，被遺忘權(quán)適用于所有數(shù)據(jù)主體。法國、荷蘭等國在各國的相關(guān)數(shù)據(jù)保護的法律中規(guī)定了類似被遺忘權(quán)的刪除權(quán)、更正權(quán)[5]，2014年5月1歐盟通過被遺忘權(quán)第一案——Google Spain SL & Google Inc. v AEPD and Costeja González案正式提出被遺忘權(quán)，后在GDPR中被改名為刪除權(quán)。被遺忘權(quán)能夠幫助數(shù)據(jù)主體有效控制信息，是個人信息保護立法的一大進步。

而各國對于被遺忘權(quán)行使的條件和例外有不同的規(guī)定：美國《數(shù)字世界加利福尼亞未成年人隱私權(quán)法案》規(guī)定未成年人可以要求刪除網(wǎng)站上的有關(guān)個人信息內(nèi)容包括圖片、文字等，而不要求刪去服務器里的個人信息內(nèi)容，且無法刪除他人發(fā)布的有關(guān)該未成年的個人信息的內(nèi)容;[6]歐盟的GDPR第17條對允許行使刪除權(quán)的條件和行使的例外做了詳細規(guī)定，用戶不必要的、非法處理的、被用戶反對處理的、為了遵守法定義務或者為提供公共服務而收集的信息，可以刪除，對于有利于公共利益、言論自由的信息不能刪除，用戶信息刪除的是信息鏈接、副本和復制件。俄羅斯的《互聯(lián)網(wǎng)隱私權(quán)法案》內(nèi)容與GDPR近似，關(guān)于刪除個人信息的程序規(guī)定詳細，但是沒有為公共利益而禁止該權(quán)利的例外;[7]我國的《網(wǎng)絡安全法》第43條僅提出用戶享有刪除的權(quán)利，《個人信息安全規(guī)范》僅補充了《網(wǎng)絡安全法》中允許刪除的條件，沒有關(guān)于刪除權(quán)的例外規(guī)定以及刪除權(quán)的程序性的規(guī)定。

在歐盟的被遺忘權(quán)第一案判決用戶享有被遺忘權(quán)后，谷歌刪除用戶數(shù)據(jù)的工作量增加，負擔加重，我國在完善刪除權(quán)的條件時可以考慮限制刪除權(quán)行使的條件以及增加行使刪除權(quán)的例外，減少企業(yè)負擔，以2015年中國“被遺忘權(quán)”第一案為例，案件原告任甲玉發(fā)現(xiàn)百度網(wǎng)頁中出現(xiàn)帶有“陶氏教育任甲玉”內(nèi)容的網(wǎng)站，陶氏教育是任甲玉曾就職的公司，名聲欠佳，任甲玉認為百度將自己的名字與名聲不好的陶氏教育加在一起是種侮辱行為侵犯了自己的姓名權(quán)和名譽權(quán)，要求百度刪除內(nèi)容卻被百度拒絕于是將百度訴至北京市海淀區(qū)人民法院，主張行使被遺忘權(quán)，被法院否決。[8]原告的請求刪除的信息達不到必須刪除的程度就不應刪除。

4.完善政府信息公開內(nèi)容審查制度

《2018年政務公開工作要點》提出“加強政府信息公開審查工作”，保護個人隱私，除懲戒公示、強制性披露，對涉及個人隱私的信息應當在公開時去標識化處理。這一規(guī)定能夠提高地方政府人員對信息公開內(nèi)容審查的意識，能夠有效防止政府“主動”泄露數(shù)據(jù)事件的發(fā)生，但需要切實的政府信息公開內(nèi)容審查制度，政府雖不同于企業(yè)，但本文認為政府可以參考《個人信息安全規(guī)范》去制定政府信息內(nèi)容審查制度，理解一般個人信息和個人敏感信息的區(qū)別，優(yōu)化服務。

5.任用專業(yè)人才，增強法律意識

企業(yè)和國家機關(guān)需要及時預防和控制數(shù)據(jù)泄露事故，就需要培養(yǎng)專業(yè)的人才并建立獨立的專門機構(gòu)，監(jiān)管數(shù)據(jù)流通的全過程。 人才一方面包括企業(yè)內(nèi)部的負責信息安全的人員，如具有監(jiān)測、設計信息安全系統(tǒng)、開發(fā)信息安全產(chǎn)品等技能的信息安全工程師、GDPR規(guī)定的專門負責告知企業(yè)相關(guān)法律義務、監(jiān)測企業(yè)履行義務的情況、開展培訓活動等的數(shù)據(jù)保護官（Data Protection Officer，DPO）;另一方面包括非企業(yè)的信息安全保護人員;此外，還包括國家相應組織或機關(guān)中的監(jiān)管、技術(shù)人員，如美國負責尋找更高效率信息技術(shù)的政府IT項目以及確保網(wǎng)絡安全的聯(lián)邦首席信息官（Chief Information Officers）。對于這些人才的職責和地位，《個人信息安全法》應當表述清晰，除要求相應人才具備相關(guān)技能之外還應規(guī)定相關(guān)人員要熟知相關(guān)法律法規(guī)。

三、結(jié)語

面對數(shù)據(jù)泄露，企業(yè)可能基于經(jīng)濟利益的考量而選擇不負責任，因此需要法律來規(guī)制企業(yè)的不作為，搭建數(shù)據(jù)交易平臺完善數(shù)據(jù)交易規(guī)范，完善數(shù)據(jù)泄露通知制度，保障被遺忘權(quán)的行使和任用專業(yè)人才并培養(yǎng)他們的法律意識，成為解決數(shù)據(jù)泄露問題的重點。需注意的是，法律強制企業(yè)承擔起數(shù)據(jù)保護的責任應當是最低門檻，在法律規(guī)定的最低限度的保障同時應該鼓勵企業(yè)制定更詳細的保護方法。

參考文獻：

[1]宋梅青.融合數(shù)據(jù)分析服務的大數(shù)據(jù)交易平臺研究[J].圖書情報知識，2017（2）13-19

[3]王忠.大數(shù)據(jù)時代個人許可交易許可機制研究[J].理論月刊，2015（6）131-132

[4]何波.數(shù)據(jù)泄露通知制度法律研究[J].中國信息安全，2017（12）40-41

[5]中國信息通信研究院互聯(lián)網(wǎng)法律研究中心、騰訊研究院法律研究院中心著.網(wǎng)絡空間法治化的全球視野與中國實踐[M].北京：法律出版社，2016.222

[6]鄭志峰.網(wǎng)絡社會的被遺忘權(quán)研究[J].法商研究，2015.32（06）50-52頁

[7]裴洪輝.美國推“橡皮擦”法案，抹掉未成年人的網(wǎng)絡過失[J].法律與生活，2014（1）42

[8]中國信息通信研究院互聯(lián)網(wǎng)法律研究中心、騰訊研究院法律研究院中心著.網(wǎng)絡空間法治化的全球視野與中國實踐[M].北京：法律出版社，2016.326-327

[9]楊立新、杜澤夏.被遺忘權(quán)的權(quán)利歸屬與保護標準——任甲玉訴百度公司被遺忘權(quán)案裁判理由評述[J].法律適用（司法案例），2017（16）29-31

作者簡介：

黃佳（1998--）女，山東臨沂人，山東師范大學法學院本科生。