大数据环境下如何加强个人信息安全保护

近年来，随着我国大数据快速发展，大数据下个人信息安全问题日益凸显。为防范个人信息数据安全风险，维护消费者权益，保障公共利益，我们可以借鉴国外一些消费者信息隐私权保护的监管模式，加强我国个人信息安全保护，对促进我国保护大数据下个人信息尤其是个人金融信息具有十分重要的参考作用。

借鉴国外个人信息保护做法，提高我国的个人信息安全水平

1.欧盟通过GDPR法案对个人数据进行保护。德国是世界上最早建立个人数据保护的欧盟国家，随后欧盟同成员国之间在充分协调基础上建立了自己的GDPR《一般数据保护法案》。此法案规定，一是数据在欧盟内部的处理情况。在此框架下欧盟各成员国之间在GDPR进行数据协调保护，各成员应用于第三方发布在网上的个人信息，通常遵循GDPR法规，中介机构更倾向于遵循GDRP而不是电子商务规则。GDPR对于在抗击COVID-19疫情中保护个人数据尤其重要，欧洲数据保护委员会已正式宣布，GDPR适用于COVID-19情况下的个人数据处理，没有必要依赖个人的同意。其次欧盟成员国和非成员国之间的个人数据保护，GDPR第45条规定，要求从欧盟接收数据的国家实施与欧盟标准相同的高标准的数据保护，个人数据给非欧盟国家必须由欧盟委员会决定。委员会在作出决定时将考虑三个因素:非欧盟国家是否立法尊重人权和基本自由，非欧盟国家是否有效地建立了一个独立的监督机构，确保数据保护规则，非欧盟国家是否具有约束力的法律保护个人信息。欧洲委员会应至少每四年进行一次定期审查，并对相关信息进行反馈是否得到成员国的认可。

2.美国借助中介机构对金融个人信息安全措施加强监管。在大数据下个人金融信息安全保护的问题上，美国虽然已经形成了较为完善的法律法规体系，但事实上，政府相关部门在信息保护问题上都面临困境。如美国万事达卡事件中，万事达信用卡公司与商家和信用卡交易处理公司之间虽早已根据联邦贸易委员会的规则达成了明确的关于保护付款程序安全的协议，要求交易处理公司在交易过程完成之后不能保留信用卡用户的个人资料。但由于委托-代理问题使金融机构并未对此进行有效控制，金融信息服务商由于利益考虑缺乏足够动力进行信息的维护，金融监管机构也因为在网络环境中进行有效监管的难度大、成本高而出现监管真空。为此，美国联邦交易委员会借助中介机构，对信息安全进行外部审计。中介机构通过聘用具有较高资质要求的评估人每两年出具一份安全评估报告。此类中介机构多为非盈利性组织或独立的第三方法人机构，金融监管部门通过引入此类机构，利用其专业的评估能力，不断完善自身审慎监管的手段，及时发现金融机构的风险隐患。

大数据背景下我国个人信息安全风险现状

1.我国服务外包业中的个人信息安全存在泄露风险。“大数据”，是指企业通过合法手段收集的数据信息，对数据进行相关处理、加工，以满足不同部门、人群的需求。再以滴滴为例，滴滴处于出租车，出租车管理公司之外，对出租车产生的数据如人员、行程、每日使用量等信息进行统计，运用大数据技术推导出一些有价值的数据。就像滴滴公司一样，专业公司开发IT系统的大数据计算平台企业在我国应运而生，参与平台的公司机构和平台企业均可访问数据库，且成本共担，收益共享。大数据平台企业是独立的市场主体，自负盈亏，通过对大数据进行加工为公司机构等用户提供增值服务来提高盈利水平。企业的本质是追求利润最大化，而这一本质往往诱发大数据平台企业只看重经济指标而忽视社会责任及信息主体的信息安全性问题，导致数据库中大数据下个人信息存在泄露的风险。

2.大数据时代下我国个人信息安全保护存在一定的不完善。大数据公司对数据的采集、加工、修改等没有必要的监管部门进行监管和相关处罚，因此大数据下个人信息泄露的风险主要源于大数据公司和数据服务商，包括公司机构的违法操作和黑客的攻击。现实中此类案件很多，如2011年12月21日，黑客在网上公开了知名程序员网站CSDN的用户数据库，高达600多万个明文的注册邮箱账号和密码遭到曝光和外泄，成为中国互联网历史上一次具有深远意义的数据安全事故。CSDN的密码外泄后，事件持续发酵，天涯、多玩等网站相继被曝用户数据遭泄密。天涯网于12月25日发布致歉信，称天涯4000万用户隐私遭到黑客泄露。案例反映出，大数据背景下互联网运用商对用户数据保护不到位，网络服务和数据库信息都会遇到严重威胁，个人信息安全面临损失的可能，电子邮件可能会被入侵，个人隐私可能会泄密。

启示与建议

1.建立健全我国保护个人信息隐私的法律法规，细化相关规则。我国目前尚未制定专门的法律，与个人信息保护相关的法律散见在《刑法修正案》《民法通则》《商业银行法》及《侵权责任法》等中，对个人信息受侵犯进行了一定的保护。但信息泄露对信息主体的伤害已经形成，这种事后的救济效果相当有限。因此，可借鉴国外经验，尽快出台我国的信息安全保护法律，从国家立法层面指导个人信息安全保护行为，对个人信息从事前、事中和事后全方位构建起全面保护消费者个人信息隐私权的法律法规和制度体系。同时研究借鉴国外关于个人信息保护的相关经验和做法，细化我国关于保护个人信息隐私的相关规则和条款。

2.加强个人信息保护宣传培训。监管机构连同相关机构持续开展宣传培训。强化民众个人信息保护意识，提高防护能力，推动形成良好的个人信息保护习惯，提升针对信息诈骗及套取个人信息行为的辨别能力，有效保护个人信息及财产安全。

3.强化全生命周期监管。一是推动建立统一的监管体系与监管机制，制定相关监管标准与流程，开展针对个人信息安全保护的全生命周期监管，线上线下共治，强化违规处罚力度与自律激励机制，推动行业自律，引导全系统形成自我监督，自我完善的自律机制，二是针对监管机构技术人才经验缺乏，财力投入有限的问题，鼓励通过第三方监管机构，提高监管效率和监管成效。

4.推动产业技术升级。产业层面，国家加大政策资金扶持力度，大力研发关键技术，掌握核心科技，提升IT系统国产化率，摆脱长期以来国外产品与技术的现状，打牢信息安全保护基层。技术层面，加大对个人数据保护技术研发，有效提高个人信息保护的技术水平，加强身份认证技术的研究，有效提升个人信息安全的防盗用能力。

今后如何保护好个人信息，尤其是敏感的个人金融信息，是大数据时代下十分重要的信息安全面对的问题。《中华人民共和国数据安全法》于2021年9月1日正式实施，使我们在法律层面上有了法律依据，但是从滴滴事件来看，个人(金融)信息的保护还有相当长的路要走。[来源：今日头条]