用户个人数据被侵害的原因及保护

□特约撰稿 胡亚娟

大数据被誉为21世纪的“钻石矿”，个人数据是大数据的重要组成部分。所谓“个人数据”是指一切直接或间接标识自然人的任何信息。《中华人民共和国网络安全法》第76条规定，“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。数据是信息的表现形式。在互联网时代，数据主要指以电子化方式存储的信息。近年来，随着互联网技术的迅猛发展，网络服务提供者非法收集、非法利用、非法交易用户个人数据现象日渐突出。笔者认为，发生这类事件的原因主要有三点：

第一，我国对互联网用户个人数据保护未形成完备的法律体系与高效的司法救济制度。虽然《中华人民共和国宪法》第38条、第40条、《中华人民共和国网络安全法》第41条、民法总则第111条、刑法修正案（九）、侵权责任法第36条、消费者权益保护法及《数据安全管理办法》等对个人数据保护和网络服务提供者责任，均有直接或间接规定，但是总体上来看，现有法律规定零散、模糊、不充分，且大多为原则性规定，缺乏统筹引领的专门立法。另外，互联网用户个人数据保护缺乏高效的司法保障。在网络服务提供者侵害用户个人数据案件中，用户因为与网络服务提供者信息不对称、互联网技术劣势而存在举证难度大问题。而与此同时，过高的个体维权成本导致用户在个人数据被侵害时往往选择听之任之的态度。

第二，网络服务提供者未充分履行保护用户个人数据的职责。首先，网络服务提供者非法收集、非法利用与非法交易用户个人数据，造成了用户个人数据严重泄露、滥用、兜售现象泛滥。其次，网络服务提供者内部员工“监守自盗”非法出售用户个人数据防不胜防。再次，网络服务提供者的数据库安全系数不高，造成用户个人数据安全不能得到有效保护，如黑客利用互联网技术优势盗售网络服务提供者数据库中用户个人数据。

第三，网络服务提供者内部监管缺失与外部监管不到位，进一步加剧了用户个人数据的被侵害。面对互联网平台大范围、多领域中浩如烟海的个人数据，我国现有的交叉监管体制，容易造成各部门相互推诿。此外，用户保护个人数据法律意识薄弱与法律知识缺乏，在一定程度上加大了对用户个人数据保护的难度。

笔者建议，完善保护用户个人数据的法律法规体系，加大司法救济力度、用户对个人数据保护的宣传教育等，加强对用户个人数据权益的保护。

第一，制定“数据安全法”，专门保护个人数据，使其与其他法律、法规相互配合构成保护用户个人数据的法律体系。高效的司法救济是互联网用户维权的重要环节。一方面，大数据时代环境下，用户个人数据被侵害呈现出隐蔽性极强的特征，且由于被侵权主体不特定、范围广、个体维权成本昂贵，使得用户在个人数据被侵害时常默不作声，因此，应由消费者协会提起公益诉讼保护网络用户个人数据。另一方面，从利益角度考量看，高额的惩罚性赔偿会促使网络服务提供者提高对用户个人数据保护的服务质量。这方面的做法可以其他国家对个人数据被侵害的高额处罚作为借鉴。

第二，网络服务提供者，应发挥自我规制作用，全面提升管理水平，促进对用户个人数据的保护。首先，网络服务提供者应当合法收集、利用、交易用户个人数据。为了保障用户知情同意权、选择权，网络服务提供者应制定单独协议明确收集范围、方式、用途等并显著标识，以便用户了解，并做出主动选择。其次，网络服务提供者与第三方交易用户个人数据，须经过三重授权，即用户授权、网络服务提供者授权，与第三方交易时用户再次授权。这样可以有效避免在交易过程中个人数据被泄露与滥用。再次，网络服务提供者应当加大互联网安全技术研发，强化对用户个人数据的加密技术，提高数据库安全系数；健全相关配套措施，促使用户个人数据安全成为其核心竞争力。最后，提高网络服务提供者的准入门槛，并进行安全背景审查，将用户个人数据安全状况，纳入对网络服务提供者的信用评估体系中，并对从业人员进行定期技能培训考核，提高其业务素质和能力。

第三，有效的监管体系是网络服务提供者加强对用户个人数据保护的重要举措。建议，依法设立专门的个人数据保护机构，制定具备强制性效力的监管规则、监管标准，配置专业的监管人员，对用户个人数据收集、利用、交易合法性进行监管。同时，敦促网络服务提供者设置内部监管机构，对用户个人数据进行定期的安全检查与风险评估，构建用户个人数据安全风险评估体系，对身份证件号、电话号、银行卡号等敏感数据的使用进行特殊限制。此外，还要发挥行业协会的自律作用，促进公众的社会监督及媒体的舆论监督。

(作者系西北政法大学法律硕士研究生。本文指导教师为西北政法大学教授褚宸舸)