數據收集活動中個人信息保護問題的研究

◆李嚴 楊向東

（陜西省網絡與信息安全測評中心 陜西 710065）

數據收集作為數據處理活動的首個環節，對于所收集信息的安全保障沒有明確要求，導致近年來因為個人信息泄漏而造成的安全事件日漸頻發，產生的社會不良影響越來越大，群眾對于個人信息保護的呼聲也是愈發強烈。本文意在討論在數據收集過程中個人信息所面臨的風險隱患以及各國對于個人信息保護方面的政策措施。

1 數據收集過程的個人信息泄漏問題

（1）數據收集者的惡意采集

個人信息的泄漏主要存在于企業或者機構在未經許可、模糊認證或者惡意捆綁的情況下進行的數據收集行為，以及數據控制者以營利為目的故意泄漏或者非法買賣個人信息的行為。

（2）數據主體安全防范意識不強

雖然近年來對個人信息的保障力度在逐漸加大，但是由于目前社會大眾的個人信息保護意識還不強，在對自身沒有實質性傷害或者個人利益損失的情況下對于這種惡意的個人信息收集行為防備意識依然薄弱。

（3）安全事件發生后責任難以界定

目前出現的因為個人信息泄漏而產生的利益損害存在著損失界定困難的問題，個人信息的泄漏所產生的連帶損失非常嚴重，損失經常存在于經濟利益，但是更為嚴重的是個人信息泄漏對于人格尊嚴和心理健康的影響。

（4）缺乏專職的安全監管部門

個人信息保護工作不僅僅體現在通過立法對個人信息保護規范、保護范圍、處罰方式等進行統一進行明確，還體現在個人信息保護工作的組織機構的保障。歐洲各國已經明確成立了類似于數據保護局和數據保護專員的專職數據保護部門，而我國在這方面還沒有成立類似的政府專職監管部門。

2 國內外個人信息保護措施

（1）歐盟制定出臺《通用數據保護條例》（GDPR）

歐盟個人信息保護工作早在1980 年就已開始，各成員國陸續頒布了各自國家的個人數據保護法。不過，歐盟內各成員國所制定的不同法律也帶來了不利后果，一是各個成員國的公民個人信息保障的水平并不一致，二是企業或機構在歐盟區域內開展數據商業活動時，必須符合各個國家的個人信息保護法。為了克服這些負面影響，歐盟在2016 年正式通過了《通用數據保護條例》，由此也在真正意義上統一了歐盟各國的個人信息安全保障體系規則，確保了執行標準的一致性。

《通用數據保護條例》中關于個人信息保護提出了明確要求，第一是數據確權，明確數據主體的七項有效權利，知情權、訪問權、反對權、限制處理權、反自動化決策權、被遺忘權、可攜帶權。第二是對數據控制者做出嚴格要求，要求數據控制者設置數據安全保護崗位，并需要制定完善的個人數據保護措施和管理規范。第三是明確設置個人信息保護專職研究機構和行政機構。第四是加大違法收集、處理個人信息行為的處罰力度，截至2020 年因違反《通用數據保護條例》而產生的罰金已累計到4.67 億歐元。

（2）我國《個人信息保護法》正式施行

為進一步加強個人信息保護法制保障、維護網絡空間良好生態，2021 年8 月20 日第十三屆全國人民代表大會第三十次會議通過了《中華人民共和國個人信息保護法》（以下簡稱《個保法》），并于2021年11 月1 日起開始正式施行?！秱€保法》是中國大陸境內首部完整的關于個人信息保護的法規，即保障了中國大陸境內互聯網絡快速發展，又與國際個人信息保護政策接軌，是維護國家利益的重要手段。

《個保法》對于數據權利者的各項權利做出了具體規定，“數據權利者有權拒絕、知悉、修正數據處理者對其數據的處理；有權刪除存儲在數據處理者處的數據；有權要求數據處理者闡明對其數據的處理規則，且數據處理者需要建立有效的機制保障數據主體實現其權利”。同時明確規定了信息處理者的安全保障義務，個人信息處理者必須建立信息保護機制，建立信息保障部門，確定信息保障聯系人等。定期對數據合法性進行審核，并針對特殊的個人信息管理活動開展風險評估，在出現重大信息泄漏事件時，應及時履行通知義務?！秱€保法》也同樣對于違規收集、處理個人信息的行為給予極大力度的處罰，除了機構所承擔的大額罰款外，對于具體責任人員也有處罰措施，而且還可能面臨暫?；蛘呓K止提供服務的處罰。

《個保法》規定“國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律、行政法規的規定，在各自職責范圍內負責個人信息保護和監督管理工作?！彪m然并沒有設置專職個人數據保護管理部門，但是通過各職能部門進行管理更有利于了解各行業現狀，并能快速做出正確處置，而且還可以針對各行業特點進行個人信息保護的宣傳教育，提升個人、企業機構和政府部門的個人信息保護意識。