快速发展的大数据时代，如何发挥数据资产的价值，对网络运营商来说是一个崭新课题，也是法律法规对企业经营管理的新要求。网络运营商在开发应用大数据业务中享有使用用户个人信息的权利，同时承担着用户个人信息使用安全的法律风险防控责任，需要依法保护用户个人信息、确保数据信息安全、实行数据脱敏处理、严格数据跨境流动管控和网络信息内容生态治理，才能有效防范法律风险，为促进大数据业务的健康发展保驾护航。

　　依法保护用户个人信息

　　用户个人信息受法律保护，《民法典》明确：个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

　　网络运营商掌握大量数据信息，在开发产品处理个人信息中，承担着保护个人信息安全的责任和义务，需要依照法律法规规定和国家标准的强制性要求，建立健全企业内部个人信息安全管理制度，包括个人信息处理文档化管理制度、个人信息分级授权管理机制、个人信息安全风险等级评估制度、个人信息安全事件应急机制等制度。应当重视对个人信息的去识别化、匿名化处理，降低个人信息处理风险。尤其是在对个人信息处理项目中包含大规模居民统一身份识别代码信息等敏感个人信息、未成年人个人信息、个人信息决策时，网络运营商应当进行个人信息保护风险评估，对个人信息处理项目实施后可能的个人信息被泄露、毁损、篡改、滥用等风险进行评估，开展法律审查，并提出相应风险防范措施。

　　在个人信息终止使用后，应当停止对个人信息进行收集和使用，并提供注销号码或账号的服务；不得泄露、篡改、毁损、出售或者非法向他人提供个人信息。

　　确保数据信息的安全

　　网络运营商承担着数据信息安全保护的重要职责，在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户个人并向有关主管部门报告，切实保障数据信息安全。

　　重视数据信息安全保障。大数据平台数据量大、数据类型多样、组件设计独立等，导致大数据的采集、存储、处理、应用、传输等环节存在较大风险。基于数据安全防护手段和措施能力不足，突出表现为数据处理不规范，在对外合作中提供未脱敏的数据；缺乏安全管控制度流程，对收集的用户数据未在内网处理，造成数据泄露风险；对资质和能力审查不严，使用存在漏洞的第三方开源程序，数据安全无法保障。

　　严控数据信息使用范围。国务院办公厅在印发的《关于促进和规范健康医疗大数据应用发展的指导意见》中，提出加强健康医疗数据安全保障，加快健康医疗数据安全体系建设，建立数据安全管理责任制度，制定标识赋码、科学分类、风险分级、安全审查规则，确保国家关键信息基础设施的自主可控、稳定安全。在新冠肺炎疫情防控形势下，个人信息被迅速传播转发，医疗数据和个人信息泄露、超范围使用较普遍，保护数据信息安全的任务十分繁重。为此，国家网信办专门发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，明确“除授权机构外，未经被收集者同意不得收集使用个人信息；收集个人信息坚持最小化原则；收集的个人信息，不得用于其他用途；未经被收集者同意，不得公开个人信息；对个人信息的安全保护负责”。

　　防止数据信息泄露、毁损、丢失。当前，在大数据产品开发的数据交易过程中，必须高度重视数据安全和信息泄露的法律风险管控，确保其收集的个人信息安全，防止数据信息泄露、毁损、丢失。我国首部《儿童个人信息网络保护规定》特别规定，网络运营者发现儿童个人信息发生或者可能发生泄露、毁损、丢失的，应当立即启动应急预案，采取补救措施；造成或者可能造成严重后果的，应当立即向有关主管部门报告，并将事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的儿童及其监护人。

　　实行数据脱敏处理

　　数据脱敏是指对用户个人敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护，可以直接帮助企业实现依法合规使用，有效防范个人敏感信息泄露的风险。

　　网络运营商应当建立健全企业管理制度流程，在产品开发和对外使用过程中，对于经用户个人同意收集的信息，应当进行脱敏处理，确保个人行为数据中敏感信息的脱敏，隐去用户名称、号码、IP地址等可以直接指向或对应到用户个人身份的信息。在大数据产品开发应用领域，大量存在着诸如手机号码、交易记录、通话记录、账户信息、住址信息、征信需求等个人敏感信息，在使用过程中面临着严格的监管要求，承担着有效保护的法律责任，这就需要网络运营商针对不同情况采取不同脱敏规则。

　　目前，使用数据脱敏规则主要有两种情况：一是网络运营商和互联网公司自身需要，量身定制适合自己的数据脱敏工具，在使用用户个人信息敏感数据进行用户行为分析、个性化推荐、精准营销等分析应用时，必须采取数据脱敏手段，有效防范企业法律风险。二是为了满足大数据产品开发应用的需要，网络运营商和互联网公司利用掌握的用户个人信息数据，从提供完整数据安全体系的角度出发，通过数据脱敏处理这一关键环节提供给合作伙伴及相关客户，并将数据安全解决方案一起提供给客户，以防止违法侵权行为的发生。

　　严格数据跨境流动的管控

　　数据跨境流动是指通过各种技术和方法，实现数据跨越国境流动。由于各国对个人数据信息保护标准不一致，造成数据在全球范围内不受限制地流动缺乏安全可信的在线环境，将导致数据隐私和网络信息安全法律风险加大，加强管控责任重大。

　　在数字经济时代，数据跨境流动对全球经济增长的贡献已经超过传统的跨国贸易和投资，数据全球化已成为推动全球经济发展的重要力量。然而，数字经济快速发展在加速个人数据全球流通和融合的同时，却形成数据的黑色产业链，离境数据被恶意利用和买卖的现象频发，很多网络攻击和网络犯罪都是跨国、跨境行为，个人数据泄露事件不断发生，对个人隐私、财产甚至人身安全造成威胁。

　　我国《网络安全法》提出个人信息和重要信息的流动实施本地化存储和管理的原则，如果需要跨境流动须进行安全评审，并报相关部门批准。2019年6月，国家互联网信息办公室发布《个人信息出境安全评估办法（征求意见稿）》，界定个人信息出境的行为，明确网络运营者和个人信息接收者的职责，规定个人信息出境申报评估要求、申报材料、重点评估内容、个人信息出境记录、出境合同内容及权利义务要求、安全风险及安全保障措施分析报告内容要求等。

　　关注网络信息内容的生态治理

　　国家互联网信息办公室最近发布的《网络信息内容生态治理规定》，明确网络生态治理的对象是网络信息内容，主要涉及内容生产者、内容服务平台和内容服务使用者三类主体，重点规范了三类主体及网络行业组织的权利与义务。

　　网络信息内容生产者。作为制作、复制、发布网络信息内容的组织或者个人，应当遵守法律法规，遵循公序良俗，不得损害国家利益、公共利益和他人合法权益，特别是网络信息内容服务平台企业应当履行信息内容管理主体责任。

　　网络信息内容服务平台。作为提供网络信息内容传播服务的网络信息服务提供者，应当建立健全网络信息内容生态治理机制及平台管理制度，重点建立和完善用户注册、账号管理、信息发布审核、跟帖评论审核、版面页面生态管理、实时巡查、应急处置和网络谣言、黑色产业链信息处置等制度。

　　网络信息内容服务使用者。作为使用网络信息内容服务的组织或者个人，应当按照法律法规的要求和用户协议约定，切实履行相应的法律义务，对网上的违法和不良信息内容有义务以投诉、举报等方式行使监督权，确保达到国家规定的网络信息内容生态治理目标。