（二）电信大数据应用的法律风险分析

目前，大数据的价值凸显，企业对数据的收集、使用均日益增多，我国制定相关立法对此进行约束：

第一，数据源层面，立法对用户数据的收集、使用要求均做出了规定。

2012年发布的《全国人大常委会关于加强网络信息保护的决定》（以下称《决定》）规定了网络服务提供者和其他企事业单位收集、使用公民个人信息应当遵循“规则明示公开、征得对方同意、确保信息安全”的原则。工信部出台的《电信和互联网用户个人信息保护规定》（以下称《信息保护规定》），明确电信业务经营者、互联网信息服务提供者在提供服务的过程中收集、使用用户个人信息，应当遵循合法、正当、必要的原则，并要对在提供服务过程中收集、使用的用户个人信息的安全负责。《网络安全法》中建立了“网络信息安全”章节，明确网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

第二，数据流通方面，立法对数据的传输、发布等做出了规定。《决定》中明确窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息属违法犯罪行为。《刑法（修正案九）》修改了非法出售、提供个人信息罪名，规定“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的”行为均为犯罪，不再限制特殊的主体。《网络安全法》也明确禁止任何个人和组织非法出售或者非法向他人提供个人信息，且限制关键信息基础设施的运营者在我国境内收集、产生的个人信息必须在境内存储，确需向境外提供的，必须由相关部门进行安全评估。

第三，在管理方面，立法要求数据控制者从硬件、组织、人员等各方面对数据的安全进行保障。从硬件方面要求对信息系统实施等级保护。根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订完善的《中华人民共和国计算机信息系统安全保护条例》明确对计算机信息系统实行安全等级保护，违反相关保护要求的，要承担相应的法律责任。同步修订完善的《计算机信息网络国际联网安全保护管理办法》则对计算机信息网络国际联网的安全保护进行了规定，任何单位和个人不得利用国际联网危害国家安全、泄露国家秘密，不得侵犯国家的、社会的、集体的利益和公民的合法权益，不得从事违法犯罪活动。

从软件方面要求完善制度、人员等发面的管理措施。《信息保护规定》要求电信业务经营者、互联网信息服务提供者采取确定安全管理责任、建立安全管理制度、采取防泄密措施等方面的措施防止用户个人信息泄露、毁损、篡改或者丢失。

从应对风险方面建立了泄露通知制度。《信息保护规定》要求电信业务经营者、互联网信息服务提供者保管的用户个人信息发生或者可能发生泄露、毁损、丢失的，应当立即采取补救措施；造成或者可能造成严重后果的，应当立即向准予其许可或者备案的电信管理机构报告，配合相关部门进行的调查处理。《网络安全法》规定网络运营者在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。