最高人民法院研究室主任颜茂昆认为，大数据时代，包括个人信息在内的数据只有通过流动、共享甚至交易才能充分发挥其社会价值、经济价值，而这些数据在流动和交易过程中，又极易产生个人信息扩散、失控的危险。因此，处理大数据发展的现实需要与保护公民个人信息之间的关系应有两个关键词:一是兼顾，二是平衡。

颜茂昆认为，所谓兼顾，就是在发展大数据的同时，必须依法保护公民个人的信息安全。只有包括个人信息在内的数据在法律的保护下安全迅速地收集和流通，才能够真正地推动我国信息产业的可持续发展。

所谓平衡，就是在两者之间寻求一个结合点和平衡点，在法律层面为个人信息交易和流动保留了一定的空间。颜茂昆举例说，网络安全法规定，网络运营者不得泄露、篡改、毁损其收集的个人信息，未经被收集者同意，不得向他人提供个人信息，但是经过处理无法识别特定个人且不能复原的除外。“这个规定是要严格保护公民个人信息，对网络运营者提出要求，但是同时也为数据提供留下了一些空间。”颜茂昆说。

“谁收集谁负责” 法律责任界定日渐清晰

当前，不少网络运营者因为履行职责或者提供服务的需要，掌握着海量公民个人信息，这些信息一旦泄露将造成恶劣社会影响和严重危害后果。

《法制日报》记者注意到，公民个人信息泄露，往往存在于信息收集源头到信息倒卖之间的多个环节中。在机票信息泄露事件中，由于从Eterm系统源头到乘客，中间经历了中航信、航空公司、第三方航空APP、机票代理商、在线订票网站等多个环节，每个环节都存在信息泄露的可能性，这也导致了个人信息泄露的受害者难以维权追责。

针对取证难、追责难的困局，网络安全法明确了网络信息安全的责任主体，确立了“谁收集，谁负责”的基本原则。其中，第40条明确规定:“网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。”

5月9日，最高人民法院召开新闻发布会，发布了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)。《解释》共13条，进一步明确侵犯公民信息罪的定罪量刑标准和有关法律适用问题，其中便对如何处理拒不履行公民个人信息安全管理义务行为进行了明确。

颜茂昆介绍说，拒不履行信息网络安全管理义务罪主体是网络服务提供者。《解释》规定，网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，致使用户的公民个人信息泄露，造成严重后果的，应当依照拒不履行信息网络安全管理义务罪，追究其刑事责任。

此外，与侵犯公民个人信息罪相关联的另一个犯罪是非法利用信息网络罪。颜茂昆说，实践中，一些行为人通过建立网站、通讯群组等供他人进行公民个人信息交换、流转、销售，以非法牟利。

根据刑法规定，设立用于实施违法犯罪活动的网站、通讯群组，情节严重的，构成非法利用信息网络罪。最高法经研究认为，供他人实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组实际上属于“用于实施违法犯罪活动的网站、通讯群组”。

因此，《解释》规定，设立用于实施非法获取、出售或者提供公民个人信息违法犯罪活动的网站、通讯群组，情节严重的，应当以非法利用信息网络罪定罪处罚；同时构成侵犯公民个人信息罪的，依照侵犯公民个人信息罪定罪处罚。

许剑卓说，随着《解释》即将从6月1日起实施，公安机关将针对公民个人信息保护从重点打击侵犯公民个人信息源头，落实网络服务商的网络安全防护责任，打击购买、收售、交易、帮助建立平台和通讯群组整个利益链条三方面开展工作。

为切实加大对行业“内鬼”参与公民个人信息泄露案件的惩治力度，《解释》明确了在认定“情节严重”时，对行业“内鬼”泄露信息的数量、数额标准都要减半计算，降低了入罪门槛。“这为我们更好地打击这类犯罪提供了法律基础。所以下一步我们要追查源头，深挖行业‘内鬼’。”许剑卓说。

与此同时，“一些手机APP会收集和它的业务无关的信息，比如公民行踪轨迹、通话记录，这种情况相当普遍。这些服务商没有依法落实有关安全防护措施，导致公民个人信息的泄露。”许剑卓称，“下一步，我们将结合网络安全法的实施，进一步强化安全监管，要求这些服务商落实相关的监管义务。对于未按法律要求、未落实相关义务而导致公民个人信息泄露的，我们将根据这次司法解释和网络安全法的规定予以严厉打击。”