劉素華

摘要：大數(shù)據(jù)時代，具體目標事物的數(shù)據(jù)信息依托網(wǎng)絡的匯聚、搜索等功能，呈現(xiàn)出的整體性狀態(tài)已取代傳統(tǒng)的樣本性狀態(tài)。今天分散于各公共機構(gòu)、營利性和非營利性機構(gòu)的公民數(shù)據(jù)信息和公民自己控制的個人數(shù)據(jù)信息，如果不受限制地互聯(lián)匯合，形成的具體公民整體數(shù)據(jù)信息一旦被泄露、被篡改等，會使公民權利與自由面臨多種競合侵權和潛在威脅，進而也會威脅國家安全。黨的十八大以來，從國家治理層面提出了數(shù)據(jù)信息安全事關國家戰(zhàn)略安全，強調(diào)依法防范數(shù)據(jù)信息安全風險，構(gòu)建網(wǎng)絡安全機制，保障公民數(shù)據(jù)信息安全。數(shù)據(jù)信息的安全以網(wǎng)絡設施、網(wǎng)絡系統(tǒng)的技術安全為基礎，以網(wǎng)絡規(guī)制為社會保障條件，只有技術安全與規(guī)制措施良好銜接，才具有數(shù)據(jù)信息安全的基本條件。

關鍵詞：大數(shù)據(jù) 公民數(shù)據(jù)信息 安全風險 規(guī)制對策

大數(shù)據(jù)時代，計算機統(tǒng)計能力的高效化，使收集具體目標事物的完整信息和充分統(tǒng)計分析成為可能。目標事物數(shù)據(jù)信息整體性的利用價值超越以往任何形式的有限樣本量的統(tǒng)計價值。整體性蘊含的潛在社會、經(jīng)濟、文化等價值，成為數(shù)據(jù)信息控制者意圖不斷擴充自己數(shù)據(jù)信息量的動力。同時，數(shù)據(jù)信息的整體性會空前加大目標事物的安全風險，政府、社會和公民需要充分認識數(shù)據(jù)信息雙刃劍的特性，特別是公民個人數(shù)據(jù)信息的匯集，需要有限制地分類匯集。如果不加限制地允許社會主體包括政府盡可能多地收集、匯聚公民個人數(shù)據(jù)信息，將會對公民多項基本權利與自由帶來難以預估的威脅。近些年發(fā)生的一些公民數(shù)據(jù)信息被非法竊取或泄露后，導致的嚴重侵犯公民權利的案件，直接說明公民數(shù)據(jù)信息安全與國家治理能力、治理水平和完善的治理體系密切相關。如2016年8月山東大學新生徐玉玉因個人升學信息泄露，被電信詐騙9900元學費后猝死事件，同年清華大學教授賣房信息泄露后，被電信詐騙1760萬元事件。大數(shù)據(jù)有助于政府科學決策、社會治理精確化和公共服務高效化，但同時也面臨數(shù)據(jù)信息被泄露、被鎖死、被非法利用等可能性。今天無論公民是否上網(wǎng)，公民數(shù)據(jù)信息“被網(wǎng)絡”“被數(shù)據(jù)”已是普遍社會現(xiàn)象，加快建立和完善公民數(shù)據(jù)信息安全監(jiān)管規(guī)制體系已是國家治理的重要內(nèi)容之一。對此，黨的十九大報告提出建設網(wǎng)絡強國，要求推動互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能與經(jīng)濟深度融合的同時，促進政府治理能力、公共服務水平全面提升。保護數(shù)據(jù)信息的安全在今天既是國家治理的基本要求，也是保護公民權益，推進網(wǎng)絡規(guī)制的全球共識。

一、大數(shù)據(jù)時代公民數(shù)據(jù)信息安全內(nèi)涵

研究大數(shù)據(jù)時代的公民數(shù)據(jù)信息安全，首先需明確公民分散的數(shù)據(jù)信息形成大數(shù)據(jù)的原理和實際情況;其次，要界定數(shù)據(jù)信息、數(shù)據(jù)信息安全的基本內(nèi)涵，厘清公民數(shù)據(jù)信息安全的對象、職責范圍和邊界，確定依托網(wǎng)絡形成的公民數(shù)據(jù)信息，涉及安全風險的環(huán)節(jié)和可能存在風險的節(jié)點，針對f生地通過立法達成公民數(shù)據(jù)信息安全目標。

（一）數(shù)據(jù)信息內(nèi)涵

數(shù)據(jù)信息包含兩層內(nèi)容：一是由數(shù)字0和1組成的存于網(wǎng)絡終端和網(wǎng)絡上的數(shù)據(jù)信息符號，不直接體現(xiàn)數(shù)字符號的內(nèi)容;二是數(shù)字符號代表的內(nèi)容，直接反映事物特征和具體狀態(tài)的文字、圖像等。在現(xiàn)實社會中，僅數(shù)字數(shù)據(jù)被泄露，一般不會侵犯公民的基本權利和自由，只有數(shù)字符號代表的內(nèi)容被泄露、被不正當利用后，才會表現(xiàn)為侵犯公民的基本權利與自由。公民網(wǎng)絡數(shù)據(jù)信息是指與公民身份相關、依存于網(wǎng)絡上的所有數(shù)字符號和符號內(nèi)容，包括公民本人的基本信息、家庭成員、家族成員信息和能夠推算出公民信息的相關數(shù)據(jù)等。當今公民的數(shù)據(jù)信息一般由各種公共管理機構(gòu)、公共服務機構(gòu)、營利性機構(gòu)、非營利性機構(gòu)和公民本人及近親屬等掌握。上述機構(gòu)和個人掌握的公民數(shù)據(jù)信息在缺少限制信息互聯(lián)規(guī)制標準的情況下，經(jīng)過網(wǎng)絡媒介相聯(lián)通，匯聚在一起，易形成公民個人情況的完整信息。完整的公民數(shù)據(jù)信息一旦管理、使用、處置不當，發(fā)生泄露、毀損、篡改等，將對公民權利自由帶來極大的侵害風險，如私生活被公開化、權利自由被限制、生活真實情況被歪曲等，有時會進一步侵害相關家庭成員的權利與自由。因網(wǎng)上數(shù)據(jù)信息一旦生成，其“永存”的特性，公民權益被損害風險的不可控性、持續(xù)性將伴隨公民一生甚至更久遠。而一國公民的個人數(shù)據(jù)信息構(gòu)成了國家治理數(shù)據(jù)信息的基本內(nèi)容，在公民數(shù)據(jù)信息具有安全風險時，意味著國家數(shù)據(jù)信息也將處于風險之中，公民數(shù)據(jù)信息安全一定程度決定國家安全。因此，大數(shù)據(jù)時代，保障公民網(wǎng)絡數(shù)據(jù)信息安全的實質(zhì)是保障國家信息安全和國家安全。

（二）數(shù)據(jù)信息安全內(nèi)涵

數(shù)據(jù)信息安全從本質(zhì)上講，屬于網(wǎng)絡安全的組成內(nèi)容。網(wǎng)絡安全包括網(wǎng)絡基礎設施、網(wǎng)絡系統(tǒng)、網(wǎng)絡協(xié)議和數(shù)據(jù)傳輸?shù)?。?shù)據(jù)信息安全需在掌握網(wǎng)絡運行和網(wǎng)絡傳輸數(shù)據(jù)的技術規(guī)則基礎上，在網(wǎng)絡安全運行的前提下，針對網(wǎng)絡的表現(xiàn)形式和結(jié)構(gòu)形式中可能威脅數(shù)據(jù)安全的技術風險和侵權行為進行規(guī)制，達成數(shù)據(jù)信息安全之目的。網(wǎng)絡運行系統(tǒng)是數(shù)據(jù)信息傳播、收集、存儲、使用和存在的基礎，網(wǎng)絡基礎設施、各種終端設備和網(wǎng)絡協(xié)議的安全，涉及數(shù)據(jù)傳輸交換、網(wǎng)絡軟件、網(wǎng)絡系統(tǒng)管理、域名系統(tǒng)、互聯(lián)網(wǎng)協(xié)議（IP）地址、根服務器系統(tǒng)和語言多樣性等內(nèi)容，上述每個內(nèi)容節(jié)點都可能形成威脅網(wǎng)絡安全的風險，進而威脅數(shù)據(jù)信息安全。在網(wǎng)絡監(jiān)管方面需依法明確各內(nèi)容節(jié)點的安全標準，明確規(guī)制依據(jù)，才能提高數(shù)據(jù)信息的安全度。同時，網(wǎng)絡上各種業(yè)務網(wǎng)（除固定電話網(wǎng)外）的開通和正常運行，都必須有相應的網(wǎng)絡管理系統(tǒng)支撐，自動化程度越高的業(yè)務網(wǎng)對網(wǎng)絡管理系統(tǒng)的依賴度越高，網(wǎng)絡運行效益（如網(wǎng)絡連接成功率）也依靠網(wǎng)絡管理系統(tǒng)。網(wǎng)絡管理系統(tǒng)技術高，在傳輸網(wǎng)中，網(wǎng)絡的可生存性（自愈性）就高。在基于準同步數(shù)字系列的系統(tǒng)（簡稱PDH@）的傳輸網(wǎng)中，如果僅靠PDH設備本身，很難保證網(wǎng)絡的生存性。在基于同步數(shù)字體系（簡稱SDH④）的傳輸網(wǎng)中，僅依靠SDH設備本身可以保證相當?shù)木W(wǎng)聯(lián)生存性，但要占用較多的網(wǎng)絡資源，如果沒有網(wǎng)絡管理系統(tǒng)的支持，就要增加SDH設備的復雜性才能提高網(wǎng)絡生存性的質(zhì)量。另外，來自網(wǎng)絡系統(tǒng)之外的病毒、黑客攻擊等風險也要求提高網(wǎng)絡安全防范技術。2017年5月席卷全球的勒索病毒（Wannacry），攻擊了上百個國家的網(wǎng)絡系統(tǒng)，特別是公共服務基礎設備網(wǎng)絡普遍受到攻擊，銀行、醫(yī)院、商場、郵局、加油站等網(wǎng)絡系統(tǒng)感染病毒后被鎖，沒有專門密鑰，所有的數(shù)據(jù)信息處于被鎖和不可控狀態(tài)，導致網(wǎng)絡系統(tǒng)不能正常開展業(yè)務，其中負有網(wǎng)絡安全監(jiān)管職能部門的網(wǎng)絡也被勒索病毒攻擊，如美國警察局、我國多地的公安網(wǎng)絡等。所以，網(wǎng)絡數(shù)據(jù)信息安全是指網(wǎng)絡上的數(shù)字數(shù)據(jù)信息和數(shù)據(jù)信息的內(nèi)容都處于權利所有人、保管人實際可控與支配狀態(tài)。

二、當前我國公民數(shù)據(jù)信息面臨的安全風險

20世紀90年代后期，我國互聯(lián)網(wǎng)依托民用公共電信網(wǎng)快速發(fā)展，截至2017年12月，我國網(wǎng)民規(guī)模達7.72億，普及率達到55.8%，超過全球平均水平（51.7%）4.1個百分點，超過亞洲平均水平（46.7%）9.1個百分點。政府及職能部門、社會組織依托互聯(lián)網(wǎng)治理國家、履行公共職能、管理公共事務已成為國家治理常態(tài)。一個公民即使不是網(wǎng)民，也因與公共管理、社會服務機構(gòu)發(fā)生各種各樣的行政關系和服務關系而掉人這張大網(wǎng)中。公民數(shù)據(jù)信息面臨的侵權風險多樣化。

（一）公共服務管理性機構(gòu)泄露公民數(shù)據(jù)信息的風險

大數(shù)據(jù)時代，數(shù)據(jù)信息的經(jīng)濟價值和社會效能價值，成為驅(qū)動各類社會服務、管理、經(jīng)營主體匯聚數(shù)據(jù)信息的內(nèi)在動力。各類社會主體通過網(wǎng)絡收集各種數(shù)據(jù)信息，運用計算機快速計算能力分析海量數(shù)據(jù)信息中的“有用”信息，實現(xiàn)獲得具體目標事務準確信息的目的。在公共服務、管理、經(jīng)營機構(gòu)組織等因公共性職能的需要，收集、掌控公民數(shù)據(jù)信息時，已將私權與公權融合在一起。這些公共性主體掌控的公共性數(shù)據(jù)信息是由不特定多數(shù)普通公民的數(shù)據(jù)信息構(gòu)成的，公民私人數(shù)據(jù)信息構(gòu)成國家或公共部門的數(shù)據(jù)信息又因公共性機構(gòu)掌控的公民私人數(shù)據(jù)信息是實施公共性職能的前提，當公共性部門基于公共利益和特定利益的需要公布掌控的部分或全部數(shù)據(jù)信息時，會泄露公民私人數(shù)據(jù)信息，對公民私人權利和自由帶來風險。

1.披露公共信息，間接泄露公民數(shù)據(jù)信息，引發(fā)侵權風險

公共性組織機構(gòu)，因國家利益、公共利益及自身經(jīng)營管理等需要，在法律沒有明確限制披露標準的情況下，披露自己掌控的公共信息時，泄露與公共信息有關聯(lián)的公民私人信息，侵犯公民在公共場所的私人生活隱秘性，對公民權利與自由帶來的侵權風險是當前公民數(shù)據(jù)信息安全面臨的問題之一。比較典型的普遍性事例，就是因社會治理需要，今天遍布城鄉(xiāng)的電子監(jiān)控設備。這些電子監(jiān)控設備，在公共利益的名義下，不停監(jiān)拍，收集了不特定多數(shù)普通公民的行為信息，在需查明涉及公共治理的某事件真相時，調(diào)看或公開監(jiān)控設備的錄像資料，會泄露錄像資料中的不特定普通公民的行蹤、私人活動等，并有可能鎖定、識別具體公民的身份，從而侵犯公民私人權利與自由。還有政府對一些公共領域的監(jiān)管，要求經(jīng)營性機構(gòu)公布涉及公共利益的經(jīng)營信息時，也會泄露與經(jīng)營機構(gòu)相關職務的工作人員的私人信息，導致侵犯公民私人權利的風險，如彭博新聞社記者根據(jù)高盛公司公開的一位合伙人很久沒有登錄彭博終端的事實，判定該合伙人已離職的事件，對該合伙人未來從業(yè)產(chǎn)生影響。各類公共性機構(gòu)披露公共信息時，泄露公民的零星信息，被泄露的零星信息在大數(shù)據(jù)下易形成數(shù)據(jù)信息鏈，能夠得到具體公民個人較完整的數(shù)據(jù)信息，獲知公民的各種私人事務，對公民權利和自由帶來不確定的風險和侵權可能性。被公開的公民數(shù)據(jù)信息經(jīng)過循環(huán)分析，能獲得特定對象的多層次的精準數(shù)據(jù)信息，對公民或公民家庭將形成層層疊加的侵權風險，如公民家用水、用電、用天然氣的數(shù)據(jù)信息被泄露后，通過分析水、電、氣用量的變化規(guī)律可以判定公民家庭成員的數(shù)量、生活習慣等，數(shù)據(jù)信息若被有特別目的的人或機構(gòu)擁有，會對特殊身份公民的人身及家庭安全造成嚴峻威脅。

對此，政府應通過網(wǎng)絡立法，明確公共機構(gòu)實施治理行為，需要披露公共信息時，涉及能夠識別公民私人身份的數(shù)據(jù)信息時，應采取保護處理，特別是對具有提示功能的各種元數(shù)據(jù)應進行技術或者物理性的屏蔽、消除處理應成為必要的保護手段。

2.公共機構(gòu)掌控的公民數(shù)據(jù)信息被非法泄露的風險

當今，網(wǎng)絡計算機辦公的普遍化，使公共機構(gòu)成為掌握公民數(shù)據(jù)信息最多的社會主體。公共機構(gòu)或公共機構(gòu)授權的私人機構(gòu)因技術水平或因不當管理、利用所掌握的公民數(shù)據(jù)信息，導致公民數(shù)據(jù)信息或者與公民身份相關的數(shù)據(jù)信息被泄露，對公民權益和自由帶來現(xiàn)實和未來的潛在風險。潛在風險可能若干年后甚至更久才顯現(xiàn)，這一問題需要從法理和倫理等層面予以高度重視，特別是隨著人類生命科學和醫(yī)學的發(fā)展，針對個體生命體實施的提取、分離和培養(yǎng)干細胞技術已日漸成熟，公共性機構(gòu)即使基于管理的需要，也應對采集公民生理數(shù)據(jù)信息的項目進行風險評估，若不能完全保證公民生理數(shù)據(jù)信息安全，對此類數(shù)據(jù)信息的采集應持謹慎態(tài)度。如2015年10月15日《南方周末》報道國家教委下文，指令“教育技術服務平臺”以填表形式收集中小學生每人近40項的數(shù)據(jù)信息，其中有采集血樣的信息。這些被采集血樣的中小學生未來可能在國家重要崗位上履行公共職務，隨著人類生物基因技術的發(fā)展，被采集的血樣、人體組織的數(shù)據(jù)信息一旦被泄露、被特別利用，潛在的被侵害風險就可能顯性化，同時，國家安全、民族安全可能面臨更大的不可控風險。當前我國公民數(shù)據(jù)信息被泄露、被非法利用的侵權現(xiàn)象已普遍化，被泄露的公民數(shù)據(jù)信息涉及通信、銀行、醫(yī)療、教育、交通、住房及日常生活消費等各領域。掌控公民數(shù)據(jù)信息的各類主體如果不能保證數(shù)據(jù)信息的安全，就應持謹慎采集和少采集數(shù)據(jù)信息的態(tài)度。泄露公民數(shù)據(jù)信息除侵害公民的隱私權外，還侵犯公民的人身權、財產(chǎn)權、發(fā)展權等，引發(fā)競合侵權，同時嚴重破壞整體社會秩序、經(jīng)濟秩序和公共安全秩序。特別基于行政管理之需要，由政府行政權推行，企業(yè)采集、存儲公民數(shù)據(jù)信息的行為，需進行風險評估，建立政府數(shù)據(jù)庫的風險防控體系，依法確立防控標準。我國《網(wǎng)絡安全法》第10條明確規(guī)定，凡是通過網(wǎng)絡提供服務的社會主體，應當依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求，采取技術措施和其他必要措施，保障網(wǎng)絡安全，維護網(wǎng)絡數(shù)據(jù)的完整性、保密性和可用性，以實現(xiàn)保護公民數(shù)據(jù)信息安全的目的。根據(jù)此規(guī)定，凡是通過網(wǎng)絡獲得公民數(shù)據(jù)信息的社會主體有保證公民數(shù)據(jù)信息安全的義務。

大數(shù)據(jù)時代的公民數(shù)據(jù)信息安全規(guī)制，應以防范數(shù)據(jù)信息的未來風險為重心，而不是采取事后補救措施為標準。在當前風險不斷加大的情況下，應立法規(guī)定某類網(wǎng)絡數(shù)據(jù)信息到一定期限后可以銷毀，或根據(jù)數(shù)據(jù)信息權利人的請求刪除?；谀撤N特定目的通過網(wǎng)絡收集的公民數(shù)據(jù)信息，在達成目的后，該數(shù)據(jù)信息在存儲上應歸于消滅，即保障公民數(shù)據(jù)信息被遺忘權的實現(xiàn)。被遺忘權作為一種人格權，與公民個人數(shù)據(jù)信息自決權相關聯(lián)。自決權要求信息主體有權決定與自身相關的數(shù)據(jù)信息的存在與消滅，而不應受制于數(shù)據(jù)信息掌控者的約束。有關主體在收集、存儲、使用公民某些數(shù)據(jù)信息的目的已達成后，從維護信息主體的權利角度，對相關主體控制的數(shù)據(jù)信息可以及時消除或經(jīng)過一定期限后銷毀，從源頭保護數(shù)據(jù)信息人的權益。我國《網(wǎng)絡安全法》第5條規(guī)定國家負有網(wǎng)絡安全責任，要采取措施，監(jiān)測、防御、處置來源于境內(nèi)外的網(wǎng)絡安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵人、干擾和破壞。這里的處置可以包括銷毀和其他手段排除威脅數(shù)據(jù)信息的風險，以應對錯綜復雜的侵犯網(wǎng)絡安全和公民數(shù)據(jù)信息安全的各種行為和現(xiàn)象。

（二）多點獲取公民數(shù)據(jù)信息缺少法律監(jiān)管問題

網(wǎng)絡的平等開放性，保障了任一聯(lián)網(wǎng)終端設備的使用者都可以用匿名方式隨時發(fā)布、傳播、存儲信息。針對同一個事物的信息發(fā)布，可以呈現(xiàn)多點信息源隱蔽散發(fā)、難以控制的特點。一般單點信息源發(fā)布、傳播某一個公民的數(shù)據(jù)信息，極易被埋沒于海量網(wǎng)絡信息里，難以形成侵害信息權利人權益的后果，但如果借助搜索引擎，或者將不同機構(gòu)、個人擁有的零散多點公民數(shù)據(jù)信息匯聚為一個公民的整體信息或較大信息量后，再冠以醒目標題傳播，就易被關注，并成為泄露公民隱私、侵犯公民權益的直接途徑。今天，各類社會組織機構(gòu)通過登記方式掌控的公民數(shù)據(jù)信息，已成為政府實現(xiàn)社會治理，社會組織、企事業(yè)單位及各類商業(yè)性機構(gòu)實現(xiàn)經(jīng)營管理活動的基本手段。這些掌控公民數(shù)據(jù)信息的各類機構(gòu)組織，作為公民數(shù)據(jù)信息的信息源，在法律沒有限制單點信息源的互聯(lián)條件，缺少規(guī)制單點信息源擴散的法治標準的情形下，互聯(lián)或任意傳播公民數(shù)據(jù)信息，在簡單滿足表達自由、信息自由之時，忽略了表達自由、信息自由背后的公民數(shù)據(jù)信息安全包含的多項基本權利之內(nèi)容。單點信息源不受限制的實現(xiàn)表達自由、信息自由的行為成為侵犯公民其他權利與自由的條件，有悖于保證人類權利與自由的根本社會價值取向，也有悖于該兩項權利與自由的主旨目的。行為人無須存在主觀惡意因素，即構(gòu)成濫用該兩項權利。從憲法比例原則看，表達自由、信息自由的實現(xiàn)應以不構(gòu)成對公民其他權利的侵害為基本標準，以傳播、擴散公民數(shù)據(jù)信息實現(xiàn)表達自由和信息自由時，應遵守這一基本準則。

（三）以非法手段獲得特定公民的數(shù)據(jù)信息，并以此作為追究該公民違法行為證據(jù)的公共風險

網(wǎng)絡黑客利用木馬、軟件和普通公民采取隱秘方式非法獲得公民、政府機構(gòu)、企事業(yè)單位和社會組織獨享的數(shù)據(jù)信息，特別是非法獲取特定公民的數(shù)據(jù)信息后，基于私人或其他目的，傳播非法獲得的數(shù)據(jù)信息，揭露信息所有人的違紀、違法行為，背后的公共安全風險常常被忽略。非法獲得公民數(shù)據(jù)信息的行為人，無論出于維護公共利益還是私利的目的，其獲得信息的非法性不容置疑。非法獲得的公民數(shù)據(jù)信息內(nèi)容即使揭露了信息所有人的違紀、違法行為，保護了一定的公共利益，也不能免除非法獲取信息的行為人不受法律約束的基本限制。公民數(shù)據(jù)信息權利屬于公民人身自由權利范疇，對公民人身自由權利的限制只能依據(jù)法律實施，私人行為不得限制公民人身自由權利，以非法手段獲得公民數(shù)據(jù)信息后，在未得到信息所有人許可的情況下，在網(wǎng)絡上傳播、擴散或篡改相關數(shù)據(jù)信息的行為，直接侵犯信息所有者的信息獨享權利和私生活安全等基本權利。特別是非法獲取特定公眾人物、公職人員、國家機構(gòu)、公共機構(gòu)和商業(yè)機構(gòu)核心崗位人員的數(shù)據(jù)信息進行擴散，侵權的受害對象不僅是信息所有人本人，還包括國家、社會組織、企事業(yè)單位及基于該數(shù)據(jù)信息享有利益的多方主體。以非法手段獲得的公民數(shù)據(jù)信息，即使證實數(shù)據(jù)信息的所有人有違紀、違法行為，也不宜直接作為違紀、違法證據(jù)使用，防止以非法手段獲得公民數(shù)據(jù)信息，揭露信息所有人的違紀違法行為的擴大化，違反法律的禁止性規(guī)范和制裁性規(guī)范的根本宗旨。此類行為從表面看似乎懲罰打擊了公職人員的違紀、違法行為，維護了國家和公共利益，但從法益正當性的實質(zhì)看，違反了法治的正當程序基本要件，損害了法治這一更大公共利益，屬于法治首要禁止的內(nèi)容。依靠非法手段獲取公職人員數(shù)據(jù)信息，保護的違紀、違法行為背后的公共利益與憲法規(guī)范和法治保護的基本權利和法益相比較，違紀、違法行為背后的公共利益屬于小公共利益，不能達到憲法比例原則強調(diào)的獲得最大化公共利益，損害最小利益之精神。如果任何人都可以采取非法手段進入私人領域，必將損害國家法治秩序和國家基本權利體系，破壞國家基本權利制度之根本，損害最根本公共利益，這從法理上講是法治絕對禁止的行為。2010年6月最高人民法院公布的《關于辦理刑事案件排除非法證據(jù)若干問題的規(guī)定》第14條規(guī)定“物證、書證的取得明顯違反法律規(guī)定，可能影響公正審判的，應當予以補正或者作出合理解釋，否則，該物證、書證不能作為定案的根據(jù)。”《網(wǎng)絡安全法》第44條規(guī)定，“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息?！薄毒W(wǎng)絡安全法》還用多個條款強調(diào)政府規(guī)制網(wǎng)絡數(shù)據(jù)信息安全的制度、措施等，依法明確收集、使用公民數(shù)據(jù)信息必須符合合法、正當，必要原則、目的明確原則、知情同意原則等。

三、保障公民數(shù)據(jù)信息安全的規(guī)制對策

大數(shù)據(jù)時代，公民數(shù)據(jù)信息安全不是孤立的安全保護問題，而是事關國家安全和全體公民權益，需從完善國家治理體系現(xiàn)代化的戰(zhàn)略高度和實施具體網(wǎng)絡治理措施的戰(zhàn)術兩方面規(guī)制公民數(shù)據(jù)信息的存儲、傳播、使用和其他方式的處置。對持有公民數(shù)據(jù)信息的所有組織機構(gòu)和個人職責，需形成數(shù)據(jù)信息安全監(jiān)管體系，從多層面和多角度跟蹤監(jiān)督同一數(shù)據(jù)信息，監(jiān)管隱含的安全之意是保障公民數(shù)據(jù)信息安全的制度基礎。

（一）樹立數(shù)據(jù)信息安全的戰(zhàn)略意識，提高全民數(shù)據(jù)信息安全意識

現(xiàn)實社會中，很多公民無視自己數(shù)據(jù)信息被侵犯的現(xiàn)象，實際縱容了侵權者。如侵權者通過非授權渠道獲得公民手機號碼，撥打公民手機和發(fā)送短信推銷各類商品和廣告，侵權人缺乏對自己行為違法侵害公民數(shù)據(jù)信息的基本意識，接到各種騷擾電話和短信的公民一般也沒有意識到來電行為的違法性和侵權性，多是掛斷電話或刪除短信，泄露、販賣公民數(shù)據(jù)信息的個人和機構(gòu)認為自己的行為屬于經(jīng)營行為，也沒有意識到是違法行為……針對一定比例的社會主體缺乏數(shù)據(jù)信息安全意識的現(xiàn)象，需要數(shù)據(jù)信息規(guī)制部門從國家數(shù)據(jù)信息安全的戰(zhàn)略高度，加強規(guī)制者和被規(guī)制者對數(shù)據(jù)信息的認知能力。大數(shù)據(jù)下，數(shù)據(jù)信息只要在網(wǎng)絡上存在過就不會消失，數(shù)據(jù)信息隨時可被循環(huán)分析、多層次利用，滿足特定目的需要，且不受時間和地域限制等特征。今天沒有價值的數(shù)據(jù)信息，未來可能有價值，特別是隨著人工智能的發(fā)展，對數(shù)據(jù)信息的精細深化分析，同一數(shù)據(jù)信息的新價值能被不斷發(fā)現(xiàn)利用。保證數(shù)據(jù)信息安全，已是國家治理的重要內(nèi)容。政府各規(guī)制部門對已控制的數(shù)據(jù)信息，可采取分隔、分離、備份方式，以防范和減少數(shù)據(jù)信息安全風險。同時，在不斷增加和控制數(shù)據(jù)信息量的前提下，要嚴格限制數(shù)據(jù)信息的互聯(lián)和共享界限，盡可能降低數(shù)據(jù)信息被泄露的風險程度。政府規(guī)制部門，需在思想意識上明確數(shù)據(jù)庫越大，面臨的數(shù)據(jù)信息安全風險越大。數(shù)據(jù)信息庫的建設不能簡單追求量大，應同步建立數(shù)據(jù)庫的安全防范體系，培育全民的國家數(shù)據(jù)信息安全戰(zhàn)略意識，構(gòu)建數(shù)據(jù)信息安全的社會認知基礎，才能實現(xiàn)數(shù)據(jù)信息安全的戰(zhàn)略目標。

（二）完善規(guī)制部門之間的合作機制，預防規(guī)制漏洞

當前我國網(wǎng)絡規(guī)制機構(gòu)共有18個，其中2個領導機構(gòu)，16個執(zhí)行部門。在18個機構(gòu)中，2014年成立的中央網(wǎng)絡安全與信息化領導小組屬于黨的領導機構(gòu)，從執(zhí)政安全統(tǒng)領全國網(wǎng)絡安全與信息安全工作，國家互聯(lián)網(wǎng)信息辦公室作為國務院的職能部門，主要領導和協(xié)調(diào)各網(wǎng)絡規(guī)制部門的履職和職責劃分工作，目前上述兩機構(gòu)合署辦公，加強了黨的領導機構(gòu)與政府機構(gòu)的統(tǒng)一性，黨的執(zhí)政與國家權力運行結(jié)合起來。其他16個職能部門分別負責不同領域的網(wǎng)絡安全監(jiān)管職能。如工業(yè)與信息化部負責互聯(lián)網(wǎng)行業(yè)管理、網(wǎng)絡基礎設施、網(wǎng)絡互連互通等;中央宣傳部負責互聯(lián)網(wǎng)意識形態(tài)工作的宏觀協(xié)調(diào)和指導;國務院新聞辦負責網(wǎng)上意識形態(tài)具體工作;公安部負責互聯(lián)網(wǎng)安全監(jiān)督管理等。新聞、出版、教育、衛(wèi)生、藥品監(jiān)督管理、工商行政管理和公安、國家安全等有關主管部門，在各自職責范圍內(nèi)依法對互聯(lián)網(wǎng)的相關信息內(nèi)容實施規(guī)制管理。根據(jù)職權劃分，每個部門在履行職能時，往往過多注重本部門利益，而忽略了部門間的配合協(xié)作和整體公共利益的實現(xiàn)，從而導致數(shù)據(jù)信息安全隱患漏洞不斷出現(xiàn)。如猖狂多年的電信詐騙，詐騙分子利用電子設備建立偽基站，以銀行、公安、社保等各種公共機構(gòu)名義發(fā)送詐騙信息，不良商家通過互聯(lián)網(wǎng)發(fā)布虛假廣告欺騙網(wǎng)民等。從技術上講，電信部門通過檢測電訊信號能在第一時間發(fā)現(xiàn)偽基站;從合作層面講，電信部門應第一時間上報公安機關;對虛假廣告，網(wǎng)絡運營商、服務商應該禁止傳播，工商部門對網(wǎng)絡虛假廣告負有監(jiān)管職能。但在實踐中，偽基站長期存在，說明作為網(wǎng)絡運營商的電信部門沒有完全履行監(jiān)管職責，未在第一時間阻斷偽基站發(fā)送詐騙信息，也沒有及時向公安機關報告?zhèn)位镜倪`法事實。而相關的政府監(jiān)管部門對電信部門不作為的行為，沒有依法強制規(guī)制，從而導致電信詐騙長期猖獗。同時，網(wǎng)絡運營商、服務商放任虛假廣告的傳播，沒有和規(guī)制監(jiān)管虛假廣告的工商部門合作，予以制止和打擊。2016年4月西安電子科技大學魏則西就因相信網(wǎng)上虛假醫(yī)療廣告，耽誤救治以致死亡。當前，構(gòu)建運行順暢的網(wǎng)絡監(jiān)管合作機制，共同應對網(wǎng)絡安全風險是基本規(guī)制趨勢。相關網(wǎng)絡數(shù)據(jù)信息規(guī)制機構(gòu)應通過建立網(wǎng)絡安全信息收集、分析和通報工作機制，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡安全監(jiān)測預警信息。各規(guī)制部門根據(jù)職責領域，有限制、有區(qū)別地共享規(guī)制信息，建立國家網(wǎng)絡安全監(jiān)管預警和信息通報制度，完善整體數(shù)據(jù)信息安全監(jiān)管機制，防止規(guī)制漏洞和盲區(qū)，才能有效防控公民數(shù)據(jù)信息安全風險。

（三）確立持有公民數(shù)據(jù)信息的社會主體負有安全保障義務

政府及各種盈利性、非盈利性公共機構(gòu)基于實施管理和提供公共服務的需要，以登記、注冊、辦會員卡等各種形式收集、存儲公民數(shù)據(jù)信息已成常態(tài)化。公民與政府之間形成公共財政支持下的管理與保管個人數(shù)據(jù)信息的關系，公民履行提供個人數(shù)據(jù)信息義務后，個人數(shù)據(jù)信息安全權利就應得到保障。公民與銀行、郵政等公共服務機構(gòu)形成服務保管關系;公民與醫(yī)院、教育、水、電、汽等公共服務機構(gòu)之間形成購買服務關系;公民與網(wǎng)絡服務機構(gòu)之間也形成購買服務關系;公民與商店、餐館、健身房等形成的購買商品和服務關系等都建立在同一基本前提下，即公民將自己的數(shù)據(jù)信息提供給上述主體時，雙方已有一個不言自明的約定，接受了公民數(shù)據(jù)信息的主體負有保障公民數(shù)據(jù)信息安全的注意義務，未經(jīng)公民同意，不是基于公共利益的需要，泄露、使用公民數(shù)據(jù)信息或者使公民數(shù)據(jù)信息處于不安全境地，均應承擔法律責任，這也是網(wǎng)絡信息安全立法的基本底線。

我國規(guī)制網(wǎng)絡安全的法律、行政法規(guī)、部門規(guī)章有250部之多。2017年頒布的《網(wǎng)絡安全法》規(guī)定了數(shù)據(jù)信息持有者承擔的具體安全注意義務，對不履行安全保障注意義務的違法行為提高了處罰標準，加強了違法責任的懲罰力度?！毒W(wǎng)絡安全法》第48條明確規(guī)定“電子信息發(fā)送服務提供者和應用軟件下載服務提供者對公民數(shù)據(jù)信息履行安全管理義務”，對不履行義務的組織和個人由政府規(guī)制監(jiān)管部門根據(jù)違法情節(jié)的不同，分別給予責令改正、警告、沒收違法所得、10萬—50萬元罰款、責令暫停相關業(yè)務、停業(yè)整頓、關閉網(wǎng)站、吊銷相關業(yè)務許可證、營業(yè)執(zhí)照的處罰，對直接負責的主管人員和其他直接責任人員給予1萬一10萬元的罰款?！痘ヂ?lián)網(wǎng)信息服務管理辦法》對從事經(jīng)營性互聯(lián)網(wǎng)信息服務的主體要求“有健全的網(wǎng)絡與信息安全保障措施，包括網(wǎng)站安全保障措施、信息安全保密管理制度、用戶信息安全管理制度”等，對不履行上述職責和義務的信息服務經(jīng)營者給予停止經(jīng)營、罰款、吊銷營業(yè)執(zhí)照等行政處罰，構(gòu)成刑事犯罪的追究刑事責任。刑法第九修正案規(guī)定了“拒不履行網(wǎng)絡信息安全管理義務罪”。法律、法規(guī)對網(wǎng)絡監(jiān)管職能部門不依法履行監(jiān)管職責的，也規(guī)定了相應的法律責任?！痘ヂ?lián)網(wǎng)信息服務管理辦法》第25條規(guī)定，“電信管理機構(gòu)和其他有關主管部門及其工作人員，玩忽職守、濫用職權、徇私舞弊，疏于對互聯(lián)網(wǎng)信息服務的監(jiān)督管理，造成嚴重后果，構(gòu)成犯罪的，依法追究刑事責任;尚不構(gòu)成犯罪的，對直接負責的主管人員和其他直接責任人員依法給予降級、撤職直至開除的行政處分。”2017年3月15日新通過的《民法總則》第110條也規(guī)定“自然人的個人信息受法律保護。任何組織和個人不得非法收集、使用、加工、傳輸個人信息，不得非法買賣、提供或者公開個人信息。”可見，當前我國從行政法、民法、刑法多個角度強調(diào)了網(wǎng)絡信息服務者、數(shù)據(jù)信息持有者對公民數(shù)據(jù)信息負有安全保障注意義務，對不履行該義務的責任主體追究相關行政、民事責任，直至刑事處罰。

（四）完善公民數(shù)據(jù)信息自救機制

公民的數(shù)據(jù)信息被侵害后，一般是數(shù)據(jù)信息的權利人或者熟悉權利人的公民最先發(fā)現(xiàn)被侵害事實。在權利人發(fā)現(xiàn)自己的數(shù)據(jù)信息被侵害后，最快的補救措施就是權利人自己能立刻在網(wǎng)上修正、消除、截停、關閉被侵害的數(shù)據(jù)信息，第一時間控制侵害后果的擴大。但現(xiàn)有的規(guī)制體制，導致公民數(shù)據(jù)信息自救渠道不暢通，公民難在第一時間完成權利自救?，F(xiàn)有法律法規(guī)規(guī)定，數(shù)據(jù)信息權利人發(fā)現(xiàn)自己的數(shù)據(jù)信息被侵害后，一般只能向網(wǎng)絡服務商、營運商提出刪除、修正等申請，自己無法直接刪除和修正。如《網(wǎng)絡安全法》43條的規(guī)定，公民發(fā)現(xiàn)自己的數(shù)據(jù)信息出現(xiàn)風險或有可能處于風險中時，可以白行啟動自救程序，要求網(wǎng)絡運營者刪除、更正相關的個人數(shù)據(jù)信息，網(wǎng)絡運營者應當采取措施予以刪除或者更正。但在現(xiàn)實中，公民請求網(wǎng)絡運營商達到刪除或更正被侵權的數(shù)據(jù)信息的目的，一般需經(jīng)過一定的時間，如公民QQ號被盜后，公民需向第三方服務商騰訊申請停止被盜QQ號的使用，騰訊接到公民申請后，審查公民身份證件，識別該QQ號附有的一定量的信息、確定QQ號的持有人等，最快需要3個工作日;如果權利人向公安機關申請封停被盜QQ號，一般需要經(jīng)過立案、審查、批準等程序，最快也需3-7個工作日。而3-7天足夠任何信息在全球網(wǎng)絡上反復傳播。這樣，即使公民的申請得到批準，權益實際損害后果已經(jīng)形成，已無法有效減少和彌補公民數(shù)據(jù)信息受損害的后果。

為此，在現(xiàn)有法律基礎上，網(wǎng)絡監(jiān)管部門針對公民請求權的提出，應監(jiān)督義務主體簡化審批程序、縮短審批時間，滿足處置網(wǎng)絡信息的技術特點要求，對《網(wǎng)絡安全法》第43條規(guī)定的“網(wǎng)絡運營商應當采取措施予以刪除或者更正”的具體內(nèi)容和實施方式，相關網(wǎng)絡規(guī)制部門可考慮制定“網(wǎng)絡安全法實施細則”給予具體化，特別是對“應當采取措施”的抽象概括表述，采取具體化的列舉方式，對“應該采取措施”的情形作出規(guī)定，在充分考量網(wǎng)絡快捷、開放、無邊界等特性的前提下，本著“刪除和修改”的速度盡可能快、時間盡可能短的標準，細化“刪除和修改”數(shù)據(jù)信息的方式和時間限制，便于確認義務主體的不作為責任。同時，網(wǎng)絡規(guī)制部門在“實施細則”里應設立網(wǎng)絡服務商、運營商等義務主體履行義務的程序、時間等技術標準，允許數(shù)據(jù)信息權利人根據(jù)安全風險的不同情況，實施不同形式的自救。在網(wǎng)絡運營者違法或者違反雙方約定收集、使用公民數(shù)據(jù)信息時，公民有權要求網(wǎng)絡運營者刪除和停止使用本人數(shù)據(jù)信息;如果網(wǎng)絡運營者收集、存儲的公民數(shù)據(jù)信息有錯誤的，公民有權要求網(wǎng)絡運營者予以更正;如果網(wǎng)絡運營商、服務商因技術和管理水平的原因，使公民的數(shù)據(jù)信息被泄露、傳播或者處于風險中，公民有權收回自己的數(shù)據(jù)信息，同時要求網(wǎng)絡運營商和服務商負有消除信息痕跡的義務。對上述威脅公民數(shù)據(jù)信息安全的風險，在網(wǎng)絡服務商等不依法配合公民提出的“刪除和修改數(shù)據(jù)信息”要求時，網(wǎng)絡監(jiān)管部門可以依據(jù)《網(wǎng)絡安全法》第68條的規(guī)定，追究網(wǎng)絡服務商不履行配合義務，不積極作為的法律責任。網(wǎng)絡監(jiān)管部門對妨礙公民自救權實現(xiàn)的網(wǎng)絡服務商、運營商等義務主體，根據(jù)權利人的請求，可以通過規(guī)制手段排除妨礙;網(wǎng)絡監(jiān)管部門可以根據(jù)數(shù)據(jù)信息權利人、有關部門和機構(gòu)提供的數(shù)據(jù)信息，組織有關部門、機構(gòu)和專業(yè)人員，對網(wǎng)絡安全風險信息進行分析評估，預測風險發(fā)生的可能性、影響范圍和危害程度，通過網(wǎng)絡安全風險的監(jiān)測和預防，更加有效地防范威脅公民數(shù)據(jù)信息安全的風險形成。網(wǎng)絡規(guī)制部門還可以依據(jù)“建立健全網(wǎng)絡安全保障體系，提高網(wǎng)絡安全保護能力”的職權，主動監(jiān)管網(wǎng)絡服務商、運行商是否履行了保證公民數(shù)據(jù)信息安全和排除威脅公民數(shù)據(jù)信息風險的義務，并根據(jù)相關法律規(guī)定，對網(wǎng)絡運營商和服務商不履行保障公民數(shù)據(jù)信息義務的行為，采取行政規(guī)制措施，依法追究相關主體的法律責任，以保障公民數(shù)據(jù)信息請求刪除和更正權的實現(xiàn)，進而保障公民數(shù)據(jù)信息安全的實現(xiàn)。達成《網(wǎng)絡安全法》第43條立法目標的實現(xiàn)。