大數據時代數據信息收集的法律規制

我國目前有關數據信息收集的法律法規中提到的收集主體很多，為了規范數據信息的收集，應考慮對數據收集主體進行法律規范，根據所收集數據的性質、范圍等，規定適當的條件，有些專門、敏感數據的收集，還需要取得相關部門的授權，數據信息收集人員應具備相應的專業資格，并進一步明確其權利義務和相應的法律責任。對數據信息收集者來說，不應是想收集什么就收集什么，需要法律對數據信息收集的范圍和邊界、收集數據信息的方式方法進行規制。當前有關數據信息收集，我國已經制定了一些法律法規以及其他規范性文件，但還缺乏系統性和更強的針對性，且層級太低，應著眼于國家大數據戰略發展的現實需要，進一步加強相關立法工作。在對大數據進行法律規制上，應更加重視對公民個人數據信息權利的保護。在目前的法治環境下，公民唯一可以期待的，是通過加強政府監管維護自己的數據信息安全。

計算機網絡、移動互聯網、智能手機、智能終端以及云計算等信息技術的飛速發展，使得大數據快速進入我們的生活，以至于還沒有完全弄清楚大數據是怎么回事，就要面臨大數據帶來的許多問題。但目前相關企業甚至政府部門更多的是看到大數據帶來的好處，從技術層面思考和挖掘大數據的價值，發展大數據產業、大數據經濟，而對大數據的法律規制卻很少關心。這一方面是因為大數據時代來得太快，且仍在快速發展，而我們對大數據的體驗認知還不夠充分，特別是對與大數據信息技術發展相伴隨的問題及其危害的感受還不夠深切，更談不上對如何解決這些問題積累了足夠的實踐經驗。大數據技術快速發展而相應的法律規制滯后，這好比汽車越來越多、跑得越來越快，而相應的交通規則的建立和遵守還未引起重視，其結果必然影響國家大數據戰略的健康發展。

大數據技術發展使其充斥于現代社會生活的各個領域，不可抗拒地影響甚至改變著人們生活，甚至對傳統的思維觀念也產生了顛覆性的沖擊，由此帶來的問題是人類社會前所未有的。因此，法律必須對大數據給予足夠的關注。法律必須關注社會現實問題，必須能夠回答社會現實問題，這是法律的價值所在?！胺砂l展的真正源泉在于社會現實”，“法律的發展始終是與社會現實相伴隨的，隨著社會現實的變化而相應地調整法律，是立法者的重要任務之一”?！?〕大數據發展及其利用法律規制的問題很多，也很復雜，本文只探討大數據時代的數據信息收集法律規制問題。因為這個問題很重要，在大數據法律規制問題中帶有基礎性意義。

一、明確數據信息收集主體的資格與責任——不是誰想收集就收集

我國目前有關數據信息收集的法律法規中提到的收集主體很多，有網絡運營者、國家機關政務網絡的運營者、網絡產品與服務的提供者、個人信息獲得者、關鍵信息基礎設施的運營者、電子信息發送服務提供者、應用軟件下載服務提供者、電信業務經營者、互聯網信息服務提供者、大數據企業、網信部門和有關部門，甚至還提到任何個人和組織等。②也就是說，實際上很寬泛，具有開放性。由于法律沒有對主體作概念界定，也沒有明示范圍和資格等限制，感覺上似乎誰都可以收集數據?！皩τ脩魜碚f，在這個大數據時代，生活的每一個角落都布滿互聯網公司的觸手，你的起床時間、通勤軌跡、搜索記錄、消費喜好、常去的餐館、閑逛路線、收貨地址都被成千上萬只復眼觀察、記錄、分析?！薄?〕但認真分析有關規定，可以體會到還是暗含了一些資格條件的，例如《電信和互聯網用戶個人信息保護規定》第11條：“電信業務經營者、互聯網信息服務提供者委托他人代理市場銷售和技術服務等直接面向用戶的服務性工作，涉及收集、使用用戶個人信息的，應當對代理人的用戶個人信息保護工作進行監督和管理，不得委托不符合本規定有關用戶個人信息保護要求的代理人代辦相關服務?！?

就現實生活中的情況看，由于大數據技術的發展，數據信息的收集基本上是由計算機網絡以及手機等智能應用程序“自動”實施，變得越來越方便和低成本，加之法律規制的不完善，導致數據收集的主體相當混亂。中央電視臺2頻道曾經報道，胡某自制軟件，很容易地就獲得公民個人信息60余萬條，獲利20余萬元。類似的報道在其他媒體上也有。為了規范數據信息的收集，應考慮對數據收集主體進行法律規范，根據所收集數據的性質、范圍等，規定適當的條件，如必要的數據收集、保存、保密條件等。有些專門、敏感數據的收集，還需要取得相關部門的授權，數據信息收集人員應具備相應的專業資格。

明確數據信息收集者的主體資格，還需要進一步明確其權利義務和相應的法律責任。數據信息收集主體依法行使其數據信息收集權利，受法律保護，與此同時，也要履行相應的法律義務，承擔相應的法律責任。目前由于立法不完善，數據收集者的權利義務不明確，在數據信息收集方面權利義務不對等的問題比較突出，容易侵害公民和企業等的權利。例如，現在監控攝像頭的使用越來越普遍，清晰度越來越高，安裝監控攝像頭的主體不僅有公安機關、交管部門、企事業單位、商場，甚至私人都在安裝。由于對安裝者沒有規定相應的權利義務，導致時常侵入私人領域。公民個人在手機、社交媒體、銀行網絡和電子購物等方面的隱私權、企業的商業秘密和商業信譽等，常受到數據非法收集者的侵害。很多數據是用戶根本不知情，或不知道用途的情況下被收集，有些是沒有經用戶同意的情況下被收集。在一些行業，非法交易數據信息已經形成一些潛規則。在大數據時代，大家都是在裸奔，都是垃圾廣告、推銷甚至電訊詐騙的受害者。許多人對大數據信息技術已從最初的神秘好奇，而發展到有些擔憂。

二、限定數據信息收集的對象與范圍——不是想收集什么就收集什么

大數據技術的發展，使得數據信息的收集變得十分容易，而大數據的“大”，暗含了其價值是與數據信息的巨量相聯系的，這就使一些數據信息收集者拼命去獲得越來越多的數據信息。雖然說我國現行法律對數據信息收集主體沒有明確限制，但從國內外的實踐看，具體到不同的數據信息收集行為，其收集數據信息的對象、范圍是不同的，是有相應限制的?！　祿畔⑹占膶ο蠓秶鷳袷睾戏ū匾瓌t。如“電信業務經營者、互聯網信息服務提供者不得收集其提供服務所必需以外的用戶個人信息”。歐盟提出的判斷是否必要的原則是“充分、相關以及以該個人數據信息處理目的之必要為限度（‘數據最小化’）”。

隨著人們工作生活以及社會交往等被日益發展的數字技術數字化記錄，其中包含的商業價值等越來越凸顯，現在幾乎所有的信息公司、網絡軟件開發商等，都把獲取公民個人數據信息作為主要目標。普遍的現象是，手機應用程序在自身功能不是必須的情況下越界獲取用戶隱私權限，例如讀取用戶的短信、通訊記錄、地理位置等信息以及檢索正在運行的應用、開關WiFi等。高達96．6％的安卓應用會獲取用戶手機隱私權限，而iOS應用的這一數據也高達69．3％。手機APP越界獲取個人信息已經成為網絡詐騙的主要源頭?！?〕大數據收集的海量信息，加上越來越智能化的分析工具，使得個人已知，甚至個人不知或還未意識到的與個人相關的事情，大數據控制者都知道。更為可怕的是，你的習慣、潛意識、社會關系等被大數據知悉掌握，大數據幾乎可準確地預知你未來可能實施的行為以及可能發生的與你有關的事情。也就是說，大數據成了算命先生，能夠準確預測你的未來。還不止這些，甚至可能引導你“主動”作出某些選擇、實施某些行為。這樣的情景若沒有法律約束該是多么可怕！因此，對數據信息收集者來說，不應是想收集什么就收集什么，需要法律對數據信息收集的范圍和邊界進行規制。

三、規范數據信息收集的方式與要求——不是想怎么收集就怎么收集

對收集數據信息的方式方法，法律也應作出相應的規定。收集數據信息必須遵循以下原則：

第一，合法正當。收集數據信息的行為要合法，符合政策，尊重社會公德，遵守商業道德，誠實信用?！睹穹倓t》第111條規定：“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！逼渌ㄒ幍纫灿邢鄳幎?。例如，不得非法侵入他人網絡等竊取網絡數據，不得竊取或者以其他非法方式獲取個人信息等。

第二，明示同意。公民個人數據信息關系生命健康、財產安全、名譽等。同傳統意義上的財產一樣，公民理應對自己的數據信息有一定的控制權。數據信息的收集者收集、使用公民個人數據信息，應當公開其目的、方式和范圍，并經被收集者同意。特別是為商業目的收集數據信息，更應如此。未經用戶同意，不得收集用戶個人數據信息。不得以欺騙、誤導或者強迫等方式或者違反法律、行政法規以及雙方的約定收集數據信息。除非法律另有規定，用戶等有權查詢、更正個人數據信息，有權拒絕提供個人數據信息。歐盟還將“被遺忘權”寫進了法律，規定“只要沒有保留該數據的合法理由”，該數據就必須刪除。明示同意是原則，作為例外，數據信息主體無明確反對的情況下，可認為其同意。什么情況下允許數據信息主體默示同意，需法律明確規定。數據信息主體通常與數據信息控制者之間的地位是不平衡的，如企業與員工、醫院與病人、學校與學生等，很多時候，同意權的保障實際上比較難。

第三，用途確定。數據信息收集者對于獲取的數據信息，必須按照規定或約定的用途使用，不得用于其他用途。在數據信息收集時就要明確是為政用、商用、民用，還是為科研教學等用，而且用途要具體。電信業務經營者、互聯網信息服務提供者不得將收集的用戶個人數據信息用于提供服務之外的目的。學校、醫院等將在工作中獲取的公民個人數據信息用于商業目的或其他目的，都是不被允許的。

第四，安全保密。數據信息收集者必須對收集的用戶個人數據信息的安全負責，嚴格保密，防止信息泄露、毀損、丟失。不得篡改其收集的個人數據信息；未經數據信息主體同意，不得向他人提供個人數據信息。依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職責中知悉的個人數據信息、隱私和商業秘密嚴格保密，不得泄露、出售或者非法向他人提供。數據信息接觸者及其行為要有記錄、留痕。公民、企業的數據信息被泄露，收集者、控制者有義務及時通知數據信息主體。中國互聯網協會發布的《中國網民權益保護調查報告2016》顯示，54％的網民認為個人信息泄露嚴重，其中21％的網民認為非常嚴重，84％的網民親身感受到了個人信息泄露帶來的不良影響。對此現象，必須引起高度重視。

第五，分工共享。數據信息收集是需要成本的，為了節約成本，提高效率，政府數據信息收集部門要進行分工，數據信息企業等之間可通過協商約定，或在政府部門、行業協會的協調下，或依照法律規定或行業規則，建立數據信息收集分工關系和數據信息共享機制。避免重復收集、多頭收集，增加社會成本，公眾負擔。

第六，境內存儲。收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應進行安全評估，并遵守法律規定。

四、完善數據信息收集相關立法——夯實法律基礎

目前，有關數據信息收集我國已經制定了一些法律法規以及其他規范性文件，主要有自2017年6月1日起施行的《中華人民共和國網絡安全法》、自2013年9月1日起施行的《電信和互聯網用戶個人信息保護規定》（工業和信息化部令第24號）、自2013年2月1日起實施的《信息安全技術公共及商用服務信息系統個人信息保護指南》（工業和信息化部制定頒布）、2012年12月28日通過并自公布之日起施行的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》、2012年6月28日發布的《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》（國發〔2012〕23號）、自2012年3月15日起施行工業和信息化部的《規范互聯網信息服務市場秩序若干規定》（工業和信息化部令第20號）等。于2017年10月1日起施行的《民法總則》中也有相關條款。這些法律法規等在借鑒國外經驗的基礎上，結合我國實際，規定了數據信息收集的基本原則以及一些具體要求。例如，《信息安全技術公共及商用服務信息系統個人信息保護指南》就具體規定了個人敏感信息在收集和利用之前，必須首先獲得個人信息主體明確授權。并規定了目的明確、最少夠用、公開告知、個人同意、質量保證以及安全保障等基本原則。這些規定對于個人數據信息收集的規范具有很重要的意義。但上述規范性文件，相對于大數據時代的數據信息收集保護利用等要求，存在著明顯不足。一是雖然有一些數據信息收集方面的規定，但都不是專門針對大數據制定的，有關大數據時代數據信息的收集利用等規定還缺乏系統性和更強的針對性。二是層級太低，而且大多不具有法律法規的效力，從而影響了其在規制數據信息收集等方面作用的發揮。有學者分析了我國個人數據信息保護制度現狀，指出存在的主要問題是：個人信息保護缺乏頂層設計，個人信息權還沒有被確認為一項新生的獨立權利；個人數據保護專項立法滯后，超出傳統隱私權范圍的部分往往得不到有效的保護；數據保護沒有明確的監管機構；數據保護制度體系不完善等?！?〕

當前應著眼于國家大數據戰略發展的現實需要，進一步加強相關立法工作。在實踐探索的基礎上，將那些不具有法律強制力的行業規范及指導性文件等上升為法規法律，對大數據時代的數據信息收集利用等作出系統和針對性的規定。在制定法律條件一時還不成熟的情況下，各地可先行探索制定地方法規。貴州省在推進國家大數據（貴州）綜合實驗區建設中，率先進行了相關地方立法探索，《貴州省大數據發展應用促進條例》2016年1月15日經省十二屆人大常委會第二十次會議表決通過，成為全國首部大數據地方法規。該《條例》共6章39條，包括大數據發展應用、共享開放、安全管理等內容，其中對數據信息采集等作出了規定。寧夏也在積極推進相關地方立法。根據《寧夏回族自治區大數據產業發展促進條例（草案）》第18條，對行政部門和行政部門以外的單位和個人采集數據，作出了規定。②《民法總則》第127條對數據財產的法律保護作出了原則性的規定，第111條對個人信息保護作出了規定。這些規定為數據信息收集及保護利用構建了重要的立法基礎。在數據信息收集保護立法方面也有國際經驗可以借鑒。2016年4月14日，歐洲議會投票通過了《一般數據保護法案》（General Data Protection Regulation，GDPR），該法案將于2018年5月25日正式生效。該法案對數據信息收集的原則等做了詳細規定，增強了數據信息主體的權利，個人同意規定更加清晰，加大了個人隱私的保護?！?〕

目前國家有關規范性文件和大數據的地方立法中，主要是以大數據安全管理和相關產業發展為主要立法目的。重視這兩方面的問題無可非議，但在對大數據進行法律規制上，應更加重視對公民個人數據信息權利的保護，特別是公民在互聯網、手機、銀行網絡、電子轉賬支付、健康保險等方面個人隱私等數據信息的保護。之所以強調在保護上向個人傾斜，是因為個人數據信息與個人隱私、生命健康以及財產安全等密切相關，而“大數據、云計算、移動互聯網、社交網絡以及各種智能終端的普及使得個人數據無處遁形，而自然人的天然弱勢地位導致其難以掌控自身數據”?！?〕在數據信息收集中，軟件開發商等具有利益驅動和技術等優勢，共同的利益又容易使開發商等相關企業形成聯盟，在影響數據信息收集相關立法等問題上，擁有話語優勢。政府方面更多的是考慮大數據的產業價值和經濟效益，以及維護國家安全、社會穩定等。在數據信息收集、使用等方面，個人基本上還沒有話語權。因此，在數據信息收集方面，在多元利益關系和表達中，應建立傾聽公民個人聲音的法律制度。在制度設計上應明確公民等被收集數據信息時的權利，賦予其個人數據信息控制權，使其能夠依法有效控制個人數據信息。除了政府、司法機關等特殊部門外，其他任何部門無權強行收集公民企業的個人數據信息。被收集數據信息時，有拒絕權，有要求以適當的方式合理使用數據信息的權利等。除法律明確授權的政府機關等，收集數據信息應公開進行，不得秘密收集公民、企業的信息數據?，F在我國實行網絡實名制，這對于加強網絡管控無疑具有特別重要的意義，但這樣以來，匿名對個人隱私的保護功能蕩然無存。這就需要加強網絡實名制下的個人數據信息收集和利用的監管，在網絡管控和個人隱私保護之間求得一定的平衡，特別是對以“人肉搜索”為目的的大數據隱私挖掘行為等加以法律規制。

為了完善數據信息收集相關立法，有一些基礎理論問題需要解決，如公民個人的數據信息權利的屬性和內容、數據信息主體與數據信息收集者、控制者等的法律關系，公民如何更好地控制個人數據信息等。與一般物權不同，個人數據信息被他人收集后，與該數據信息所關聯的個人狀況表面看似乎一點也沒有改變，但該數據信息的保管、使用卻可能對其產生影響。在大數據領域也存在明晰產權問題，數據信息權屬明確，是大數據產業有序健康發展的前提。在權利屬性和內容不明確的狀況下是很難談加強權利保護的，沒有建立起完善的數據產權保護制度，相關的大數據產業也是很難發展的。目前，從數據信息的權利屬性和相關的產權關系上看，都是不清晰的，這是導致隨意收集和數據信息濫用等的一個很重要的原因?！　〕鲜鰩讉€方面的問題外，在制定數據信息收集利用等法律法規中，還應探索建立科學的數據信息標準體系，以提高數據信息收集的質量，提升收集和應用共享的效率。也要建立制度，規定數據信息收集者要對所收集數據信息進行識別、把關責任，要求數據信息的提供者個人、企業及政府部門等，保證所提供數據信息的真實、合法、準確、完整和可用。滿足這些要求的數據信息才有價值。

五、明確數據信息收集的政府責任——加強法律監管

在大數據時代，公民對個人數據信息保護處于絕對的弱勢地位，那些強調手機用戶要樹立數據信息安全意識、采取防范措施的觀點貌似合理，實際上即使不是為了推卸責任，至少也是空話。面對復雜的信息技術和互聯網公司絕對的強勢，用戶個人在自我保護上所能夠做的實在有限。一些學者還給個人數據信息遭受侵害者指出了通過訴訟維權的路徑，這無疑是一個方向，但在集體訴訟和公益訴訟制度還不是很完善的情況下，用戶個人通過訴訟維權，面對高昂的訴訟成本（時間、費用等），只能望而卻步。因此，在目前的法治環境下，公民唯一可以期待的，是通過加強政府監管維護自己的數據信息安全。

目前數據信息收集領域違法現象十分嚴重。數據信息收集法律規范不完善，監管不力，造成了嚴重的社會問題。在數據信息收集主體不具備相應的資格、收集行為不規范、數據信息主體權利義務不明確的情況下，不僅公民個人的隱私權等易受侵害，數據信息的真實性、準確性、完整性也得不到保證。在這樣的基礎上推進大數據的利用可能影響數據信息產業的發展，甚至造成社會危害。依法收集、運用數據信息，監管數據信息的收集活動，在大數據時代是法治政府建設的一個重要內容，是推進依法行政的一個具體體現。政府作為數據信息的收集者和利用者，要帶頭守法，這是依法行政的應有之義；對于商業機構或其他非政府機構收集數據信息的活動進行監督，是法治政府的職責；規范數據信息收集和數字資源管理，保護公民法人的合法權益，促進數字產業發展，更是法治政府的責任。對違反法律規定收集數據信息的行為，要依法追究法律責任。在這方面，可以借鑒歐盟的經驗。歐盟《一般數據保護法案》第83條對違法行為設定了嚴厲的罰款標準。對于一般性的違法，罰款上限是1000萬歐元或對企業而言上一年度全球營業收入的2％（兩者中取數額大者）；對于嚴重的違法，罰款上限是2000萬歐元或對企業而言上一年度全球營業收入的4％（兩者中取數額大者）。

傳統的個人隱私保護制度在大數據時代已經顯得蒼白，需要制度創新以應對新的問題。更重要的是，要強化法律法規的實施，加強數據信息收集的法律監管。只有這樣，才能為國家大數據戰略的順利實施創造良好的法治環境。