摘 要：大數據時代數據成為新型石油，個人數據成為爭搶對象，近年來數據泄露事件頻發個人信息安全難以確保，電信詐騙、短信轟炸、人肉他人發起網絡攻擊多出于數據泄露，數據泄露對于穩定社會秩序，保護個人的人身財產安全，尤其身為人口大國的我國的國家安全具有重要意義。反思當下，引發數據泄露事件的原因不止黑客攻擊，還包括個人數據價值輸出的正當渠道的匱乏以及相應的制度不完善，企業和政府的保護意識薄弱，關于個人信息保護的法律法規規定尚不完善等。數據泄露問題的治理，可以從數據平臺及其制度、數據泄露通知制度、被遺忘權、政府信息公開審查、設立專門人員監管五個方面提出修改意見，以此解決數據泄露規制存在的缺陷，促使數字時代我國的數字經濟發展和信息安全齊頭并進。

關鍵字：數據泄露;信息安全;信息主體

大數據時代呼嘯而至，作為當今最熱的話題已經成為整個世界所關注的焦點。在大數據時代，個人信息作為信息社會的一種重要經濟資源，個人數據成為企業提高競爭力的工具，其價值不言而喻，近年來的數據泄露問題使人們普遍開始關注被忽略已久的服務協議和自己的權利，促使國際法律改革，但是根據中國通訊研究院安全研究所2018年7月發布的《2018大數據安全報告書》顯示，2016年到2017年全球數據泄露事件數量由13.79億個上升到26.01億個，事件數量翻倍增長。在我國發生的數據泄露案，一起案件泄露的信息主體人數便可以千萬為單位計算，讓網民戲稱每個人都是在互聯網中“裸奔”。這種大規模泄露案件的殺傷力并不止發騷擾短信，人肉信息后實施網絡暴力，跟蹤騷擾、電信詐騙，給信息主體帶來人身財產方面的困擾可小可大，數據一旦遭到過分濫用，也會造成難以挽回的結果。

解決數據泄露問題不僅要依靠計算機技術，也需要法律的規制。目前我國頒布的《網絡安全法》的規制不足以為個人信息提供全面充分的保護，當前企業對個人信息安全的保護也不盡人意，信息主體對個人信息安全的保護雖有不滿但勢力單薄。《個人信息安全規范》雖然對《網絡安全法》的內容進行了進一步的填充，但其效力不能與法律相比，其內容雖有進步但不足以稱其全面，仍需要制定更加完備的法律予以規制。

一、個人信息泄露事件多發的時代背景

數據為新型石油的時代，即使是不為人重視的數據也具有潛在的經濟價值，個人信息更能為持有者帶來商業價值，然而數據交易平臺尚未普遍以及數據交易管理規定的缺失不能滿足數據需求者，因此讓“貨源豐富”的黑色產業鏈有機可乘。以暗網的數據交易為例，電子數據的復制性，電子交易的無限性，加上比特幣價值不菲，一次交易就能獲利至少數萬元，在暗網交易不易留痕跡，豐厚利潤和不易被發現身份的平臺吸引企業和政府部門內部人員竊取并泄露數據，參與到販賣個人信息的黑色產業鏈。

目前我國的法律規制并不周密，使地方政府無法正確判斷信息公開的范圍導致個人敏感信息的公開。目前的《政府信息公開條例》對于公開的信息內容僅做了最寬泛的規定，沒有考慮到個人敏感信息與一般個人信息對信息主體的不同意義，各地方對于政府信息公開的范圍又有著不同的理解，導致出現身份證號碼等敏感信息出現在政府網站的事件。

網絡服務提供者以及政府部門重利用而輕視個人信息安全問題，使得信息保護措施不到位，《2017年我國互聯網網絡安全態勢綜述》指出，根據國家信息安全漏洞共享平臺 （CNVD）收錄漏洞的情況，近三年來新增通用軟硬件漏洞的數量年均增長超過 20%，漏洞收錄數量呈現快速增長趨勢。信息系統存在安全漏洞是誘發網絡安全事件的重要因素，根據《2017 年我國互聯網網絡安全態勢綜述》的數據，CNVD“零日”漏洞收錄數量同比增長 75.0%，這些漏洞等于向黑客主動張開懷抱，將其掌握的個人數據全盤托出。

二、解決措施

1.搭建正規數據交易平臺，完善數據交易規范

數據交易作為企業發展壯大和提供優質服務的推動力量不能被全盤否定，地下數據交易平臺售賣的數據通常是黑客入侵獲得的數據或者數據控制主體的內部人員泄露的數據，沒有進行清洗、脫敏，從而對個人信息安全產生威脅。為了大數據產業發展，可以更多搭建合法安全的交易平臺，以鼓勵需求者購買不危及個人又符合需求的數據。

但是現有的大數據交易平臺存在一些問題：在供需上，出現供應者的信息無法滿足需求者的期望的情況;在時效上，出現售賣的信息并非實時數據而失去價值的情況;在價格上，出現價格不高使得供應方失去交易積極性問題[1]在隱私保護上，未經過數據主體同意擅自售賣的情況。對于這些問題，各國有不同的措施：

（1）美國的信息售賣激勵制度

作為鼓勵數據流通交易的美國的《2018年加州消費者隱私權法案》（簡稱CCPA）對信息售賣制度做了比較詳細的規定，在CCPA中企業需通知個人其信息有被售賣的可能性且個人享有“選擇退出”權（Opt-out Right），即“消費者有權在任何時候指示一個欲將消費者個人信息出售給第三方的企業不得出售該消費者的個人信息。”在網站中必須有不得售賣個人信息的鏈接以供用戶行使“選擇退出”權，如果企業實際明知用戶小于16歲則不得售賣用戶的個人信息。對于同意售賣個人信息的用戶，企業可以將其納入財務激勵計劃，提供賠償金以及更優質的服務，以此鼓勵數據交易的長遠發展。

（2）歐盟的反對權和自主決定權

歐盟在數據保護方面，以數據主體的利益為重點整體側重于增加企業義務和數據主體的權利，對數據交易的限制嚴于美國。因此GDPR第20條規定數據主體有直接營銷為目的的處理有反對權和自主決定權，數據控制者需要清楚的單獨的提醒主體的權利，而無財政激勵計劃、賠償金等類似表述。

我國對數據交易規范沒有特別規定，僅在《網絡安全法》的第42條中提到完全脫敏后的數據可以自由處理，未脫敏的數據需要經過用戶同意才能提供給第三方，未提及數據出售的其他問題。我國的學者宋梅青提出融合數據分析服務的大數據交易平臺，將云存貯、數據分析、數據匹配、數據脫敏等技術合而為一，提供實時、安全、多維的數據，使交易雙方都能得到滿意的交易結果[1];學者王忠提出個人數據銷售許可機制，將允許銷售的數據限定為與個人關聯性弱或者無關的數據。[2]本文認為適當的數據出售有利于信息主體和企業的共同獲利，信息主體和企業各取所需的局面優于企業通過地下途徑出售和收購個人信息而讓信息主體遭受人身財產安全損失的結果，也會提高企業對個人信息保護的積極性，因此本文認為可以在將來的《個人信息保護法》中設立個人信息銷售許可機制。

目前，美國有Factual、BDEX、In Chimps三個實時交易平臺可以讓數據提供者將個人信息明碼標價出售，日本的富士通的Data plaza大數據交易平臺，將個人信息匿名化后將數據放在平臺售出。國內數據交易產業正在發展，2014年12月成立的貴陽大數據交易所、2014年1月成立的中關村樹海大數據交易平臺、2015年成立的武漢東湖大數據交易中心以及2011年成立的數據堂，數據交易產業方興未艾，數據交易制度在法律上還有很大的發展空間。

2.完善數據泄露通知制度

盡管數據泄露通知制度是一種事后補救措施但能夠防止情況惡化，穩定數據主體的情緒并對數據保護和服務提供者的信譽具有重要意義。數據泄露通知制度最早源于美國2002年 《加州數據安全泄露通知法案》，隨后歐盟、澳大利亞等國都效仿立法[3]，歐盟的GDPR將數據泄露通知制度加入其中，對于數據泄露通知制度，GDPR規定了數據泄露通知的主體、對象、還將通知程序其分為兩種情況：第一種當數據泄露不大可能給自然人的權利和自由帶來風險時可以不通知監管部門和用戶;第二種當數據泄露可能給自然人的權利和自由帶來風險時應當了解情況后在72小時內聯系監管部門，如果遇有特殊原因可以延長時間并說明原因，如果會對用戶產生實質影響就要及時通知用戶。[4]

然而，我國對數據泄露通知制度內容、程序、主體、對象、條件等各方面都缺乏細致規定，僅在《網絡安全法》第二十六條中規定：向社會發布系統漏洞應當遵守國家有關規定。近年來，多起“網絡攻擊武器庫”泄露事件進一步擴大了安全漏洞可能造成的嚴重危害，落實法律要求，進一步細化我國安全漏洞信息保護管理工作迫在眉睫。

3.保障被遺忘權的行使

被遺忘權或稱刪除權，指用戶在一定條件下享有要求數據控制者刪除其所掌握的用戶信息的權利。基于此權利，搜索引擎必須刪除個人信息的鏈接，其他服務提供者必須刪除個人信息的內容。基于數據泄露案件對信息主體造成的傷害通常是事后出現，被遺忘權的行使可以有效地保障信息主體及時減損以及預防數據泄露再次發生。

被遺忘權起源于20世紀末期，主要適用于犯罪分子、公眾人物，隨著網絡的發展，被遺忘權適用于所有數據主體。法國、荷蘭等國在各國的相關數據保護的法律中規定了類似被遺忘權的刪除權、更正權[5]，2014年5月1歐盟通過被遺忘權第一案——Google Spain SL & Google Inc. v AEPD and Costeja González案正式提出被遺忘權，后在GDPR中被改名為刪除權。被遺忘權能夠幫助數據主體有效控制信息，是個人信息保護立法的一大進步。

而各國對于被遺忘權行使的條件和例外有不同的規定：美國《數字世界加利福尼亞未成年人隱私權法案》規定未成年人可以要求刪除網站上的有關個人信息內容包括圖片、文字等，而不要求刪去服務器里的個人信息內容，且無法刪除他人發布的有關該未成年的個人信息的內容;[6]歐盟的GDPR第17條對允許行使刪除權的條件和行使的例外做了詳細規定，用戶不必要的、非法處理的、被用戶反對處理的、為了遵守法定義務或者為提供公共服務而收集的信息，可以刪除，對于有利于公共利益、言論自由的信息不能刪除，用戶信息刪除的是信息鏈接、副本和復制件。俄羅斯的《互聯網隱私權法案》內容與GDPR近似，關于刪除個人信息的程序規定詳細，但是沒有為公共利益而禁止該權利的例外;[7]我國的《網絡安全法》第43條僅提出用戶享有刪除的權利，《個人信息安全規范》僅補充了《網絡安全法》中允許刪除的條件，沒有關于刪除權的例外規定以及刪除權的程序性的規定。

在歐盟的被遺忘權第一案判決用戶享有被遺忘權后，谷歌刪除用戶數據的工作量增加，負擔加重，我國在完善刪除權的條件時可以考慮限制刪除權行使的條件以及增加行使刪除權的例外，減少企業負擔，以2015年中國“被遺忘權”第一案為例，案件原告任甲玉發現百度網頁中出現帶有“陶氏教育任甲玉”內容的網站，陶氏教育是任甲玉曾就職的公司，名聲欠佳，任甲玉認為百度將自己的名字與名聲不好的陶氏教育加在一起是種侮辱行為侵犯了自己的姓名權和名譽權，要求百度刪除內容卻被百度拒絕于是將百度訴至北京市海淀區人民法院，主張行使被遺忘權，被法院否決。[8]原告的請求刪除的信息達不到必須刪除的程度就不應刪除。

4.完善政府信息公開內容審查制度

《2018年政務公開工作要點》提出“加強政府信息公開審查工作”，保護個人隱私，除懲戒公示、強制性披露，對涉及個人隱私的信息應當在公開時去標識化處理。這一規定能夠提高地方政府人員對信息公開內容審查的意識，能夠有效防止政府“主動”泄露數據事件的發生，但需要切實的政府信息公開內容審查制度，政府雖不同于企業，但本文認為政府可以參考《個人信息安全規范》去制定政府信息內容審查制度，理解一般個人信息和個人敏感信息的區別，優化服務。

5.任用專業人才，增強法律意識

企業和國家機關需要及時預防和控制數據泄露事故，就需要培養專業的人才并建立獨立的專門機構，監管數據流通的全過程。 人才一方面包括企業內部的負責信息安全的人員，如具有監測、設計信息安全系統、開發信息安全產品等技能的信息安全工程師、GDPR規定的專門負責告知企業相關法律義務、監測企業履行義務的情況、開展培訓活動等的數據保護官（Data Protection Officer，DPO）;另一方面包括非企業的信息安全保護人員;此外，還包括國家相應組織或機關中的監管、技術人員，如美國負責尋找更高效率信息技術的政府IT項目以及確保網絡安全的聯邦首席信息官（Chief Information Officers）。對于這些人才的職責和地位，《個人信息安全法》應當表述清晰，除要求相應人才具備相關技能之外還應規定相關人員要熟知相關法律法規。

三、結語

面對數據泄露，企業可能基于經濟利益的考量而選擇不負責任，因此需要法律來規制企業的不作為，搭建數據交易平臺完善數據交易規范，完善數據泄露通知制度，保障被遺忘權的行使和任用專業人才并培養他們的法律意識，成為解決數據泄露問題的重點。需注意的是，法律強制企業承擔起數據保護的責任應當是最低門檻，在法律規定的最低限度的保障同時應該鼓勵企業制定更詳細的保護方法。

參考文獻：

[1]宋梅青.融合數據分析服務的大數據交易平臺研究[J].圖書情報知識，2017（2）13-19

[3]王忠.大數據時代個人許可交易許可機制研究[J].理論月刊，2015（6）131-132

[4]何波.數據泄露通知制度法律研究[J].中國信息安全，2017（12）40-41

[5]中國信息通信研究院互聯網法律研究中心、騰訊研究院法律研究院中心著.網絡空間法治化的全球視野與中國實踐[M].北京：法律出版社，2016.222

[6]鄭志峰.網絡社會的被遺忘權研究[J].法商研究，2015.32（06）50-52頁

[7]裴洪輝.美國推“橡皮擦”法案，抹掉未成年人的網絡過失[J].法律與生活，2014（1）42

[8]中國信息通信研究院互聯網法律研究中心、騰訊研究院法律研究院中心著.網絡空間法治化的全球視野與中國實踐[M].北京：法律出版社，2016.326-327

[9]楊立新、杜澤夏.被遺忘權的權利歸屬與保護標準——任甲玉訴百度公司被遺忘權案裁判理由評述[J].法律適用（司法案例），2017（16）29-31

作者簡介：

黃佳（1998--）女，山東臨沂人，山東師范大學法學院本科生。