关于大数据时代保护个人信息安全的相关建议

目前，我国海量信息数据的搜集、分析与利用在产生巨大的经济和社会价值的同时，个人信息的安全问题也凸现出来，大数据运作过程中对个人信息的非法收集和过度分析行为以及个人信息的泄露等问题，对个人信息安全造成了重大威胁，有关大数据技术和大数据运作引发的涉及个人信息安全的问题需要引起全社会高度的关注。

为此，建议：

一是选择立法保护与自律保护相结合的保护方式。两者结合可以在一定程度上弥补行业自律的不足，增强自律规范的执行力，适当增加公权力的监督，更加有利于保护个人信息主体的合法权益。

二是分类并细化立法。一要针对个人信息非法收集的立法规制。大数据主体在需要收集用户个人信息时必须向用户发出明确的通知，告知其可能存在的信息收集行为，并且说明收集个人信息的用途和目的。同时个人信息的收集行为需要获得用户的许可，经过明确许可方能进行相关数据的收集，而该种许可应为可撤销的许可，被用户撤销许可之后，互联网公司不得再收集该用户的个人信息。对于面向儿童收集个人信息的行为，需要获得其监护人的特殊许可。二要针对个人信息过度分析的立法规制。立法应当规定对个人信息储存时间的限制，规定个人信息主体有要求删除其个人信息的权利，规定个人信息可供分析的程度。三要针对个人信息泄露的立法规制。立法应当规定个人信息的掌控者有妥善保管个人信息的义务，立法须规定若发生数据泄露事故，个人信息储存者负有通告义务；立法规定对于窃取、攻击个人信息数据的行为要承担的法律责任和处罚方式，加大违法成本。四要立法规定专门机构监管自律组织与自律规范。自律规范只有经由审查机构通过才能被认为符合法律规定与符合个人信息保护的要求，审查机构能否有序行使其职责是立法保护与自律保护结合能否发挥巨大作用的关键所在，也是自律规范能否切实保护大数据时代个人信息安全的重要核心。建议在我国可以立法授权工业和信息化部(工信部)作为该专门机构对自律组织和自律规范加以引导和管理，授权现有的国家机构可以大大减少保护权益的成本，并且避免不必要的冲突。

三是完善我国《侵权责任法》。着重完善《侵权责任法》第36条的规定：建议增加一项“网络主体非法收集、过度分析、泄露网络用户个人信息，造成他损害的，该行为人不能证明自己没有过错的，应当承担侵权责任”，明确规定对利用网络侵害个人信息的侵权责任，并且对于侵害行为方式加以概括，使其能够直接用于对个人信息安全保护。

四是设置好自律保护相关内容。建议一要制定行业自律规范的主体不是单纯的搜索引擎公司，使得自律组织能够涵盖更多业务类型的公司，完善我国自律保护规范范围过窄的不足。二要确立专门机构对自律组织和自律规范加以引导和管理。建议通过工信部审查的自律规范必须得到严格的遵守，若自律组织成员出现违反自律规则的行为，工信部有权对其实施相应的处罚。由此通过确立专门机构的引导和管理，增强自律规范的执行力和实施力度，进一步弥补行业自律的缺陷，从而更好地发挥自律保护的优势。