近年來，隨著我國大數(shù)據(jù)快速發(fā)展，大數(shù)據(jù)下個人信息安全問題日益凸顯。為防范個人信息數(shù)據(jù)安全風險，維護消費者權益，保障公共利益，我們可以借鑒國外一些消費者信息隱私權保護的監(jiān)管模式，加強我國個人信息安全保護，對促進我國保護大數(shù)據(jù)下個人信息尤其是個人金融信息具有十分重要的參考作用。

[[426660]]

借鑒國外個人信息保護做法，提高我國的個人信息安全水平

1.歐盟通過GDPR法案對個人數(shù)據(jù)進行保護。德國是世界上最早建立個人數(shù)據(jù)保護的歐盟國家，隨后歐盟同成員國之間在充分協(xié)調(diào)基礎上建立了自己的GDPR《一般數(shù)據(jù)保護法案》。此法案規(guī)定，一是數(shù)據(jù)在歐盟內(nèi)部的處理情況。在此框架下歐盟各成員國之間在GDPR進行數(shù)據(jù)協(xié)調(diào)保護，各成員應用于第三方發(fā)布在網(wǎng)上的個人信息，通常遵循GDPR法規(guī)，中介機構更傾向于遵循GDRP而不是電子商務規(guī)則。GDPR對于在抗擊COVID-19疫情中保護個人數(shù)據(jù)尤其重要，歐洲數(shù)據(jù)保護委員會已正式宣布，GDPR適用于COVID-19情況下的個人數(shù)據(jù)處理，沒有必要依賴個人的同意。其次歐盟成員國和非成員國之間的個人數(shù)據(jù)保護，GDPR第45條規(guī)定，要求從歐盟接收數(shù)據(jù)的國家實施與歐盟標準相同的高標準的數(shù)據(jù)保護，個人數(shù)據(jù)給非歐盟國家必須由歐盟委員會決定。委員會在作出決定時將考慮三個因素:非歐盟國家是否立法尊重人權和基本自由，非歐盟國家是否有效地建立了一個獨立的監(jiān)督機構，確保數(shù)據(jù)保護規(guī)則，非歐盟國家是否具有約束力的法律保護個人信息。歐洲委員會應至少每四年進行一次定期審查，并對相關信息進行反饋是否得到成員國的認可。

2.美國借助中介機構對金融個人信息安全措施加強監(jiān)管。在大數(shù)據(jù)下個人金融信息安全保護的問題上，美國雖然已經(jīng)形成了較為完善的法律法規(guī)體系，但事實上，政府相關部門在信息保護問題上都面臨困境。如美國萬事達卡事件中，萬事達信用卡公司與商家和信用卡交易處理公司之間雖早已根據(jù)聯(lián)邦貿(mào)易委員會的規(guī)則達成了明確的關于保護付款程序安全的協(xié)議，要求交易處理公司在交易過程完成之后不能保留信用卡用戶的個人資料。但由于委托-代理問題使金融機構并未對此進行有效控制，金融信息服務商由于利益考慮缺乏足夠動力進行信息的維護，金融監(jiān)管機構也因為在網(wǎng)絡環(huán)境中進行有效監(jiān)管的難度大、成本高而出現(xiàn)監(jiān)管真空。為此，美國聯(lián)邦交易委員會借助中介機構，對信息安全進行外部審計。中介機構通過聘用具有較高資質要求的評估人每兩年出具一份安全評估報告。此類中介機構多為非盈利性組織或獨立的第三方法人機構，金融監(jiān)管部門通過引入此類機構，利用其專業(yè)的評估能力，不斷完善自身審慎監(jiān)管的手段，及時發(fā)現(xiàn)金融機構的風險隱患。

大數(shù)據(jù)背景下我國個人信息安全風險現(xiàn)狀

1.我國服務外包業(yè)中的個人信息安全存在泄露風險。“大數(shù)據(jù)”，是指企業(yè)通過合法手段收集的數(shù)據(jù)信息，對數(shù)據(jù)進行相關處理、加工，以滿足不同部門、人群的需求。再以滴滴為例，滴滴處于出租車，出租車管理公司之外，對出租車產(chǎn)生的數(shù)據(jù)如人員、行程、每日使用量等信息進行統(tǒng)計，運用大數(shù)據(jù)技術推導出一些有價值的數(shù)據(jù)。就像滴滴公司一樣，專業(yè)公司開發(fā)IT系統(tǒng)的大數(shù)據(jù)計算平臺企業(yè)在我國應運而生，參與平臺的公司機構和平臺企業(yè)均可訪問數(shù)據(jù)庫，且成本共擔，收益共享。大數(shù)據(jù)平臺企業(yè)是獨立的市場主體，自負盈虧，通過對大數(shù)據(jù)進行加工為公司機構等用戶提供增值服務來提高盈利水平。企業(yè)的本質是追求利潤最大化，而這一本質往往誘發(fā)大數(shù)據(jù)平臺企業(yè)只看重經(jīng)濟指標而忽視社會責任及信息主體的信息安全性問題，導致數(shù)據(jù)庫中大數(shù)據(jù)下個人信息存在泄露的風險。

2.大數(shù)據(jù)時代下我國個人信息安全保護存在一定的不完善。大數(shù)據(jù)公司對數(shù)據(jù)的采集、加工、修改等沒有必要的監(jiān)管部門進行監(jiān)管和相關處罰，因此大數(shù)據(jù)下個人信息泄露的風險主要源于大數(shù)據(jù)公司和數(shù)據(jù)服務商，包括公司機構的違法操作和黑客的攻擊?，F(xiàn)實中此類案件很多，如2011年12月21日，黑客在網(wǎng)上公開了知名程序員網(wǎng)站CSDN的用戶數(shù)據(jù)庫，高達600多萬個明文的注冊郵箱賬號和密碼遭到曝光和外泄，成為中國互聯(lián)網(wǎng)歷史上一次具有深遠意義的數(shù)據(jù)安全事故。CSDN的密碼外泄后，事件持續(xù)發(fā)酵，天涯、多玩等網(wǎng)站相繼被曝用戶數(shù)據(jù)遭泄密。天涯網(wǎng)于12月25日發(fā)布致歉信，稱天涯4000萬用戶隱私遭到黑客泄露。案例反映出，大數(shù)據(jù)背景下互聯(lián)網(wǎng)運用商對用戶數(shù)據(jù)保護不到位，網(wǎng)絡服務和數(shù)據(jù)庫信息都會遇到嚴重威脅，個人信息安全面臨損失的可能，電子郵件可能會被入侵，個人隱私可能會泄密。

啟示與建議

1.建立健全我國保護個人信息隱私的法律法規(guī)，細化相關規(guī)則。我國目前尚未制定專門的法律，與個人信息保護相關的法律散見在《刑法修正案》《民法通則》《商業(yè)銀行法》及《侵權責任法》等中，對個人信息受侵犯進行了一定的保護。但信息泄露對信息主體的傷害已經(jīng)形成，這種事后的救濟效果相當有限。因此，可借鑒國外經(jīng)驗，盡快出臺我國的信息安全保護法律，從國家立法層面指導個人信息安全保護行為，對個人信息從事前、事中和事后全方位構建起全面保護消費者個人信息隱私權的法律法規(guī)和制度體系。同時研究借鑒國外關于個人信息保護的相關經(jīng)驗和做法，細化我國關于保護個人信息隱私的相關規(guī)則和條款。

2.加強個人信息保護宣傳培訓。監(jiān)管機構連同相關機構持續(xù)開展宣傳培訓。強化民眾個人信息保護意識，提高防護能力，推動形成良好的個人信息保護習慣，提升針對信息詐騙及套取個人信息行為的辨別能力，有效保護個人信息及財產(chǎn)安全。

3.強化全生命周期監(jiān)管。一是推動建立統(tǒng)一的監(jiān)管體系與監(jiān)管機制，制定相關監(jiān)管標準與流程，開展針對個人信息安全保護的全生命周期監(jiān)管，線上線下共治，強化違規(guī)處罰力度與自律激勵機制，推動行業(yè)自律，引導全系統(tǒng)形成自我監(jiān)督，自我完善的自律機制，二是針對監(jiān)管機構技術人才經(jīng)驗缺乏，財力投入有限的問題，鼓勵通過第三方監(jiān)管機構，提高監(jiān)管效率和監(jiān)管成效。

4.推動產(chǎn)業(yè)技術升級。產(chǎn)業(yè)層面，國家加大政策資金扶持力度，大力研發(fā)關鍵技術，掌握核心科技，提升IT系統(tǒng)國產(chǎn)化率，擺脫長期以來國外產(chǎn)品與技術的現(xiàn)狀，打牢信息安全保護基層。技術層面，加大對個人數(shù)據(jù)保護技術研發(fā)，有效提高個人信息保護的技術水平，加強身份認證技術的研究，有效提升個人信息安全的防盜用能力。

今后如何保護好個人信息，尤其是敏感的個人金融信息，是大數(shù)據(jù)時代下十分重要的信息安全面對的問題?！吨腥A人民共和國數(shù)據(jù)安全法》于2021年9月1日正式實施，使我們在法律層面上有了法律依據(jù)，但是從滴滴事件來看，個人(金融)信息的保護還有相當長的路要走。