信息網(wǎng)絡(luò)安全公安部重點實驗室（公安部第三研究所） 何治樂 黃道麗 雷云婷

關(guān)鍵基礎(chǔ)設(shè)施行業(yè)隱私保護(hù)政策內(nèi)容分析
——以蘋果隱私保護(hù)政策為借鑒

信息網(wǎng)絡(luò)安全公安部重點實驗室（公安部第三研究所） 何治樂 黃道麗 雷云婷

大數(shù)據(jù)、云計算、遙測技術(shù)、智能家庭、移動終端等新技術(shù)的深度結(jié)合和廣泛應(yīng)用，改變了關(guān)鍵基礎(chǔ)設(shè)施行業(yè)傳統(tǒng)的發(fā)展模式，但也帶來個人信息被侵犯的負(fù)面效應(yīng)。信息泄露事件持續(xù)發(fā)生，影響社會和經(jīng)濟(jì)效益。根據(jù)我國現(xiàn)行立法深入分析關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的隱私保護(hù)政策內(nèi)容，具有現(xiàn)實的緊迫性。

關(guān)鍵基礎(chǔ)設(shè)施行業(yè)界定

關(guān)鍵基礎(chǔ)設(shè)施的定義首先出現(xiàn)在美國，二十年前，關(guān)鍵基礎(chǔ)設(shè)施被定義為主要的國家公共工程，20世紀(jì)90年代中期，鑒于日益增長的國際恐怖主義威脅，導(dǎo)致政策決定者從美國國土安全的角度出發(fā)對其重新定義。《2001年愛國者法案》第1016節(jié)指出所謂“關(guān)鍵基礎(chǔ)設(shè)施”，指關(guān)系到美國生死存亡的物理或虛擬的系統(tǒng)和資產(chǎn)，一旦其功能喪失或遭到破壞，會對國家安全、經(jīng)濟(jì)穩(wěn)定、公眾健康與安全或這些要素的任何結(jié)合產(chǎn)生嚴(yán)重影響。[1]國際電聯(lián)、歐共體、澳大利亞、韓國等組織和國家也對關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行了定義，都將涉及國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)列入重點保護(hù)范圍。

我國相關(guān)政策法規(guī)中沒有明確關(guān)鍵基礎(chǔ)設(shè)施的定義，但從國外關(guān)鍵基礎(chǔ)設(shè)施的定義和我國《計算機(jī)信息系統(tǒng)保護(hù)條例》第4條 的規(guī)定出發(fā)，關(guān)鍵基礎(chǔ)設(shè)施行業(yè)至少包括政府、金融、海關(guān)、能源、教育、交通等。根據(jù)賽迪顧問2012年的調(diào)查數(shù)據(jù)顯示，中國大數(shù)據(jù)IT應(yīng)用投資規(guī)模以五大行業(yè)最高，互聯(lián)網(wǎng)行業(yè) (28.9%)，電信行業(yè)（19.9%），金融行業(yè)（17.5%），政府（8.8%）和醫(yī)療行業(yè)（6.3%）。[2]信息化發(fā)達(dá)的美國、歐盟等則重視教育行業(yè)的大數(shù)據(jù)投入。2012年，美國聯(lián)邦政府教育部參與了耗資2億美元的公共教育中的大數(shù)據(jù)計劃，從財政預(yù)算中支出2500萬美元用于理解學(xué)生如何在個性化層面學(xué)習(xí)。本文選取我國大數(shù)據(jù)占比較重的政府、互聯(lián)網(wǎng)、金融、醫(yī)療行業(yè)，及國際社會大數(shù)據(jù)應(yīng)用廣泛的教育行業(yè)為代表，研究我國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的隱私保護(hù)政策。

我國隱私立法主要內(nèi)容

信息通訊技術(shù)的飛速發(fā)展，加強(qiáng)了網(wǎng)絡(luò)的開放性和復(fù)雜性，流氓軟件和網(wǎng)絡(luò)釣魚問題愈演愈烈，個人信息遭到過度收集、不當(dāng)利用、惡意篡改以及非法傳播。為了穩(wěn)定社會秩序，建立安全的在線環(huán)境，2012年12月和2013年6月，我國分別通過《全國人大常委會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》（以下簡稱《決定》）《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》（以下簡稱《規(guī)定》），進(jìn)一步規(guī)范個人信息的收集和使用。

1.保護(hù)范圍和收集原則

個人信息的種類和范圍是對其進(jìn)行有效保護(hù)的基礎(chǔ)，《決定》第1條將能夠識別公民身份和涉及到個人隱私的電子信息列入保護(hù)范圍，禁止出售和非法提供?！兑?guī)定》第2條明確保護(hù)能夠識別用戶和不識別身份的信息，包括能夠單獨識別和與其它信息結(jié)合識別個人身份的信息。新技術(shù)新應(yīng)用不斷推廣，個人信息的范圍也會持續(xù)擴(kuò)展，法律應(yīng)該根據(jù)實際變化不斷做出調(diào)整?！稕Q定》第2條和《規(guī)定》第5、9條提出，個人信息的收集和使用原則包括合法、正當(dāng)、必要原則。該原則過于簡單和系統(tǒng)化，尤其是在大數(shù)據(jù)和移動互聯(lián)網(wǎng)技術(shù)迅速發(fā)展的時代，不夠精細(xì)的原則不能起到很好的法律指引作用。

2.保密義務(wù)和安全措施的規(guī)定

保密義務(wù)針對的是內(nèi)部員工，防止其利用職務(wù)便利，惡意泄露、篡改、毀損或者售賣個人信息?！稕Q定》第3、10條，《規(guī)定》第18條分別對網(wǎng)絡(luò)服務(wù)提供者、國家機(jī)關(guān)及其工作人員、電信管理機(jī)構(gòu)及其工作人員的業(yè)務(wù)活動進(jìn)行規(guī)范，要求其對收集的個人信息保密，這是對關(guān)鍵基礎(chǔ)設(shè)施行業(yè)利用互聯(lián)網(wǎng)處理事務(wù)的強(qiáng)制性約束。新技術(shù)新應(yīng)用下，政府網(wǎng)站需要收集和發(fā)布公眾最為關(guān)心的各種政務(wù)信息，是搜集和披露民眾個人信息的重要載體，法律專門規(guī)定其工作人員的保密義務(wù)是十分必要的?！稕Q定》第4條、《規(guī)定》第6條明確網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位應(yīng)該采取措施保護(hù)個人信息的安全，包括技術(shù)措施和其他必要措施（例如設(shè)立專人專崗負(fù)責(zé)隱私保護(hù)）。安全保護(hù)措施是機(jī)構(gòu)進(jìn)行個人信息保護(hù)的最直接和有效方式，尤其是技術(shù)措施更能夠防止未經(jīng)授權(quán)的訪問，但管理措施也是不可缺少的，因此，關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的隱私保護(hù)政策不僅應(yīng)該包括技術(shù)措施，還應(yīng)該包括其他措施。

3.違法有害信息刪除和委托行為產(chǎn)生的義務(wù)

違法有害信息傳輸?shù)膭h除義務(wù)針對網(wǎng)絡(luò)服務(wù)提供者，《決定》第5條規(guī)定，發(fā)現(xiàn)法律、法規(guī)禁止發(fā)布或者傳輸?shù)男畔?，?yīng)該立即停止傳輸，保存記錄并向有關(guān)主管部門報告。1997年12月施行的《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》第4條將侵犯公民合法權(quán)益的信息（包括個人信息）列為禁止傳播的信息范疇。但由于新技術(shù)新應(yīng)用下個人信息的權(quán)利邊界日益模糊，很難辨認(rèn)哪些個人信息的傳播會侵犯當(dāng)事人的合法權(quán)益，也很難判定侵害程度和賠償限額，法律應(yīng)該進(jìn)一步明確。

4.其他個人信息的保護(hù)機(jī)制

《決定》和《規(guī)定》還涉及其他個人信息保護(hù)機(jī)制，包括舉報投訴制度，委托方對被委托方的監(jiān)督管理制度，培訓(xùn)制度，監(jiān)督檢查制度?！稕Q定》第9條，《規(guī)定》第12、14條，針對網(wǎng)絡(luò)信息違法行為建立舉報投訴機(jī)制。《規(guī)定》第11條明確，電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者對被委托者收集、使用個人信息的工作進(jìn)行監(jiān)督和管理?！兑?guī)定》第15條明確電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者對其員工知識、技能方面的培訓(xùn)。監(jiān)督檢查機(jī)制分為上級機(jī)關(guān)監(jiān)督和機(jī)構(gòu)自檢兩個方面，《規(guī)定》第3、16、17、19、20條明確，工信部和電信管理機(jī)構(gòu)對電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)工作實施監(jiān)督管理，電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者至少每年進(jìn)行一次個人信息保護(hù)的自查，以及時消除安全隱患。

關(guān)鍵基礎(chǔ)設(shè)施行業(yè)隱私保護(hù)政策的內(nèi)容和不足

1.主要內(nèi)容

大數(shù)據(jù)和云計算技術(shù)日益泛化和常態(tài)化的今天，出于社會管理和利潤創(chuàng)造的目的，政府和企業(yè)對個人數(shù)據(jù)的收集變得無孔不入。從瀏覽記錄等不能識別身份的信息到基因、醫(yī)療等隱私信息；從賬號注冊到注銷的全過程，個人信息都被收集并監(jiān)視著。為了精準(zhǔn)營銷，隱私信息被一次、兩次、甚至更多次開發(fā)，在此過程中被盜取、濫用、毀損的風(fēng)險驟增。按照法律要求制定隱私保護(hù)政策，并根據(jù)國內(nèi)外形勢不斷調(diào)整，成為關(guān)鍵基礎(chǔ)設(shè)施行業(yè)個人信息保護(hù)的重要方式。通過對政府、互聯(lián)網(wǎng)、教育、金融、醫(yī)療五大關(guān)鍵基礎(chǔ)設(shè)施行業(yè)164個機(jī)構(gòu)[ ]隱私保護(hù)政策的分析，結(jié)合我國《決定》和《規(guī)定》的個人信息保護(hù)內(nèi)容，可以總結(jié)出目前我國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的隱私保護(hù)政策內(nèi)容主要包括：收集范圍、限制利用原則、安全措施、信息披露條件、未成年人的個人信息保護(hù)。

(1)收集范圍

30個機(jī)構(gòu)規(guī)定了個人信息的保護(hù)范圍，占調(diào)研機(jī)構(gòu)的18.29%。概括而言，收集的用戶信息包括可以識別身份的個人信息和不能識別身份的個人信息。能夠識別身份的個人信息主要包括：1.直接聯(lián)系信息（姓名、郵箱、住址、手機(jī)號碼、備用郵箱等）；2.自然信息（生日、性別、性取向等）；3.用戶社會信息（職業(yè)、收入狀況、身份證號碼、護(hù)照號碼、通話記錄等）；4.家庭信息（婚姻等）。根據(jù)服務(wù)的性質(zhì)，不同的行業(yè)會收集特殊類別的個人信息，如銀行會收集用戶的銀行卡號、取款密碼；醫(yī)療行業(yè)會收集個人診療資料，如診治記錄、疾病信息。出于提供有針對性服務(wù)或改善管理的目的，網(wǎng)站（尤其是互聯(lián)網(wǎng)行業(yè)）會收集不能識別身份的個人信息，包括用戶使用的瀏覽器和操作系統(tǒng)類型，訪問時間及頁面，軟件的安裝信息，位置信息等。

(2)限制利用原則和信息披露條件

16個機(jī)構(gòu)在隱私保護(hù)政策中明確了限制利用原則，占調(diào)研機(jī)構(gòu)的9.76%。限制利用原則的主要內(nèi)容是：在取得用戶書面同意、免除用戶緊迫危險、防止他人權(quán)益遭受重大危害、增進(jìn)公共利益且無損于用戶重大利益的情況下，機(jī)構(gòu)會對收集的個人資料進(jìn)行必要范圍以外的使用。35個機(jī)構(gòu)規(guī)定了個人信息的披露條件，即用戶個人信息保密的除外規(guī)定，占調(diào)研機(jī)構(gòu)的21.34%。披露條件包括取得用戶授權(quán)、為維護(hù)用戶或機(jī)構(gòu)自身的合法權(quán)益、為了政府部門的需要或訴訟目的、法律法規(guī)的要求。賦予政府機(jī)構(gòu)查看個人信息的權(quán)利是為了穩(wěn)定社會秩序，減少犯罪發(fā)生，但維護(hù)機(jī)構(gòu)合法權(quán)益是機(jī)構(gòu)給予自身的豁免權(quán)，這與法律的規(guī)定有出入。

(3)技術(shù)措施

34個機(jī)構(gòu)承諾使用技術(shù)手段對數(shù)據(jù)進(jìn)行保護(hù)，例如加密、防火墻設(shè)置等，以防止未經(jīng)授權(quán)的訪問，占調(diào)研機(jī)構(gòu)的20.73%。在個人信息蘊(yùn)藏著巨大價值的大數(shù)據(jù)時代，技術(shù)措施成為信息保護(hù)最直接的手段。但大部分關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的機(jī)構(gòu)仍怠于履行職責(zé)，使得個人信息被篡改、泄露的風(fēng)險增加。有關(guān)部門應(yīng)該認(rèn)真檢查網(wǎng)站各項技術(shù)措施落實情況，重點落實防范非法攻擊、網(wǎng)頁防篡改和自動恢復(fù)、有害信息過濾、病毒防護(hù)等技術(shù)措施，并積極實現(xiàn)與公安網(wǎng)絡(luò)安全報警處置中心的聯(lián)網(wǎng)預(yù)警，及時升級網(wǎng)站服務(wù)器應(yīng)用補(bǔ)丁程序，切實增強(qiáng)網(wǎng)站防護(hù)能力。

(4)未成年人的隱私保護(hù)

未成年人受年齡、認(rèn)知能力的限制，在網(wǎng)絡(luò)社會中處于天然弱勢地位，成為重點保護(hù)對象。美國有專門的《兒童在線隱私保護(hù)法》，歐盟、英國等都在個人數(shù)據(jù)保護(hù)法中對其加以保護(hù)。我國《未成年人保護(hù)法》第39條明確保護(hù)未成年人的信件、日記和電子郵件安全，但未涉及到未成年人的上網(wǎng)行為和信息收集條件等方面。17個機(jī)構(gòu)明確了未成年人的個人信息保護(hù)，占調(diào)研機(jī)構(gòu)的10.37%，包括上網(wǎng)需獲得監(jiān)護(hù)人同意及個人信息收集條件等內(nèi)容。但是對受保護(hù)的未成年人的年齡沒有統(tǒng)一標(biāo)準(zhǔn)，集中在18周歲、16周歲、無限制行為能力人、2周歲，這會影響實際的操作過程。

此外，17個機(jī)構(gòu)規(guī)定了刪除權(quán)，1個機(jī)構(gòu)規(guī)定了信息保護(hù)官制度和自我監(jiān)督機(jī)制，2個機(jī)構(gòu)承諾會對委托方處理個人信息的行為負(fù)責(zé)，8個機(jī)構(gòu)聲明會更新隱私保護(hù)政策并以明示方式告知。而關(guān)于立法規(guī)定的舉報制度、用戶投訴處理機(jī)制等內(nèi)容都未涉及。

2.不足分析

通過梳理《決定》《規(guī)定》的個人信息保護(hù)內(nèi)容，可以發(fā)現(xiàn)我國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的隱私保護(hù)政策內(nèi)容缺失較為嚴(yán)重（見圖1），這不僅無法有效預(yù)防新技術(shù)新應(yīng)用下的安全風(fēng)險，也不符合我國有法必依的法治要求。導(dǎo)致我國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)防范風(fēng)險和解決突發(fā)事件的能力較弱，個人信息泄露事件持續(xù)產(chǎn)生。

圖1 我國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)隱私保護(hù)政策主要內(nèi)容構(gòu)成

首先，隱私保護(hù)政策缺失。在調(diào)研的164個關(guān)鍵基礎(chǔ)設(shè)施行業(yè)中，有專門隱私政策的共35個，占總數(shù)的21.34%，其中政府機(jī)構(gòu)11個，互聯(lián)網(wǎng)行業(yè)5個，政府教育行業(yè)4個，金融行業(yè)6個，醫(yī)療行業(yè)9個。其余機(jī)構(gòu)都沒有隱私保護(hù)政策，有些在法律聲明中列出了個人信息保護(hù)的條款，內(nèi)容也過于粗糙；

其次，不及時更新。我國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的隱私保護(hù)政策很少修訂，90%以上的機(jī)構(gòu)隱私政策仍然停留在制定之初。隱私保護(hù)政策的內(nèi)容已經(jīng)落后于新技術(shù)新應(yīng)用的發(fā)展，必然導(dǎo)致風(fēng)險增加；

再次，不符合法律最低標(biāo)準(zhǔn)。梳理《決定》《規(guī)定》的個人信息保護(hù)條款和關(guān)鍵基礎(chǔ)設(shè)施行業(yè)隱私政策的內(nèi)容可知，現(xiàn)有的隱私政策內(nèi)容不滿足立法的最低要求，如自我監(jiān)督機(jī)制、設(shè)立專人專崗等鮮有涉及；

最后，落后于國際發(fā)展趨勢。觀察國際社會的個人信息保護(hù)，對信息跨境的規(guī)制成為隱私政策的必要內(nèi)容。信息的互聯(lián)互通推動我國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)邁向世界，在信息向境外傳輸過程中必然面臨更多風(fēng)險。我國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)缺乏此方面的保護(hù)意識，信息化發(fā)達(dá)國家可能借此限制本國的信息流向我國，削弱我國在信息競爭中的主動性。

這種局面的形成與我國立法不完善，個人及企業(yè)的隱私保護(hù)意識淡薄等原因密不可分。我國信息化起步較晚，缺乏核心技術(shù)，個人信息保護(hù)方面法律和管理體制尚不完善，應(yīng)該積極借鑒國外企業(yè)的相關(guān)制度，在探索中不斷加強(qiáng)個人信息的保護(hù)力度。

蘋果企業(yè)隱私保護(hù)政策主要內(nèi)容及借鑒

蘋果的隱私保護(hù)政策已經(jīng)獲得Trust-e的隱私標(biāo)志權(quán)計劃認(rèn)可（目前被普遍認(rèn)證的隱私保護(hù)計劃），在信息披露、兒童隱私保護(hù)、位置服務(wù)、數(shù)據(jù)跨境方面的規(guī)定尤其值得我國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)借鑒。

1.信息披露

與我國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)隱私保護(hù)政策的最大不同是，對于政府及其機(jī)構(gòu)出于執(zhí)法或公共安全目的而調(diào)查個人信息，蘋果設(shè)計了嚴(yán)格的信息披露條件，并保持高度透明。蘋果在隱私政策中專門有一部分為“來自政府的請求”，在這一部分，蘋果每半年會發(fā)布透明度報告。涵蓋政府（標(biāo)明國家）請求的類型（包括設(shè)備請求和賬戶請求）、收到的請求數(shù)量、同意請求的數(shù)量等內(nèi)容，蘋果還將新更新的國家安全令放置其中，以證明其信息披露符合國家相關(guān)法令。蘋果處理執(zhí)法請求時，會根據(jù)用戶的地理區(qū)域相應(yīng)的遵守美國，歐洲、中東、印度和非洲（EMEIA），或者日本和亞太地區(qū)（APAC）的指導(dǎo)方針。迄今為止，蘋果有不足0.00385%的個人信息因為政府請求而被披露。

在美國的《隱私權(quán)法案》中規(guī)定了政府機(jī)關(guān)請求搜集涉及個人隱私信息的程序和方式，在收集對個人不利的信息時，還必須直接向個人搜集，并且出示該資料所依據(jù)的權(quán)利、用途和不提供的法律后果，政府必須對收集的個人信息保密。這是平衡個人信息安全和政府公權(quán)力的解決方法，在盡可能保護(hù)個人信息的基礎(chǔ)上，支持政府的執(zhí)法需求。而我國法律和實踐中幾乎都無條件支持政府機(jī)構(gòu)的執(zhí)法，缺乏約束機(jī)制和透明度報告，這無疑會增加惡意員工泄露個人信息的風(fēng)險，造成公私利益失衡。

2.兒童隱私保護(hù)

蘋果將受保護(hù)兒童的年齡定在13周歲以下，符合美國《兒童在線隱私保護(hù)法》（適用于美國管轄下的單位對13歲以下兒童在線個人信息的收集）。根據(jù)蘋果的隱私保護(hù)政策，13周歲以下的兒童要創(chuàng)建App1e ID，家長必須通過針對學(xué)生的 App1e ID 計劃或家庭共享計劃的兒童帳戶這兩種方式創(chuàng)建流程。蘋果建立了針對兒童的App1e ID 和家庭共享計劃信息披露書及App1e 收集、使用和披露兒童信息同意書（在官網(wǎng)上有直接鏈接），家長必須在全面了解蘋果對兒童隱私保護(hù)措施的基礎(chǔ)上再決定是否為兒童創(chuàng)建帳戶。通過隱私問題聯(lián)系表，任何時候家長都可以訪問、改正或刪除與其家庭共享計劃帳戶或子女App1e ID有關(guān)的數(shù)據(jù)。相比我國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的隱私保護(hù)政策，蘋果在未成年人的個人信息保護(hù)方面顯然更加謹(jǐn)慎，值得我國機(jī)構(gòu)借鑒。

3.位置服務(wù)

新技術(shù)新應(yīng)用環(huán)境下，個人位置信息的價值開始凸顯。根據(jù)《2014年我國大數(shù)據(jù)分析報告》顯示，在個人位置數(shù)據(jù)領(lǐng)域，美國大數(shù)據(jù)產(chǎn)業(yè)每年產(chǎn)生1000億美元的市場，個人位置信息的不當(dāng)收集和濫用問題也引起廣泛關(guān)注。一些國家開展專門立法進(jìn)行規(guī)范，2005年1月，韓國頒布《位置信息保護(hù)與使用法》規(guī)范位置信息的收集和使用。美國聯(lián)邦貿(mào)易委員會2013年修訂《兒童在線隱私保護(hù)法》，把個人信息范疇擴(kuò)展到地理位置標(biāo)記。蘋果承諾，收集位置信息之前會獲得用戶同意并采取匿名方式進(jìn)行，用戶可以隨時撤回許可，并且明確了基于位置的服務(wù)所使用的技術(shù)應(yīng)該遵守的隱私權(quán)規(guī)定。我國大數(shù)據(jù)發(fā)展如日中天，對位置信息的收集不可避免，但所有的關(guān)鍵基礎(chǔ)設(shè)施行業(yè)都未提及，這和我國的立法缺失有很大關(guān)系。立法具有滯后性，關(guān)鍵基礎(chǔ)設(shè)施行業(yè)應(yīng)該提高自律性，順應(yīng)國際發(fā)展趨勢，及時調(diào)整隱私保護(hù)政策的內(nèi)容。

4.數(shù)據(jù)跨境

隨著經(jīng)濟(jì)文化的全球化發(fā)展，個人數(shù)據(jù)的泛在跨境流動或者傳輸成為常態(tài)，在此過程中產(chǎn)生的安全風(fēng)險成為各界關(guān)注的焦點。蘋果的隱私政策對跨境個人信息保護(hù)遵從不同的法律，例如歐洲經(jīng)濟(jì)區(qū)和瑞士的個人信息保護(hù)遵守安全港框架，以滿足歐盟有關(guān)數(shù)據(jù)跨境流動的法律要求（歐盟95指令禁止向無法確保充足的數(shù)據(jù)保護(hù)的國家和組織傳輸個人數(shù)據(jù)）。此外，蘋果嚴(yán)格遵守亞太經(jīng)濟(jì)合作組織 (APEC)的跨境隱私規(guī)則體系，以保護(hù)APEC 成員經(jīng)濟(jì)體之間的個人信息傳輸隱私。大數(shù)據(jù)和云計算環(huán)境下的數(shù)據(jù)泛在跨境流動是形成全球共享資源池，突破信息產(chǎn)業(yè)發(fā)展瓶頸的關(guān)鍵，我國應(yīng)該盡快完善法律，成立數(shù)據(jù)流動監(jiān)管組織，關(guān)鍵基礎(chǔ)設(shè)施行業(yè)應(yīng)該參考借鑒國外跨國企業(yè)的規(guī)定，制定數(shù)據(jù)跨境流動的保護(hù)制度。

結(jié)語

2014年是我國信息安全發(fā)展戰(zhàn)略的開局之年，國家高層高度重視包括隱私安全、關(guān)鍵基礎(chǔ)設(shè)施等在內(nèi)的互聯(lián)網(wǎng)發(fā)展問題，在政策、法律、技術(shù)等層面都取得了相應(yīng)突破。但隱私泄露問題仍然很嚴(yán)峻，攜程網(wǎng)信息安全門、小米800萬用戶數(shù)據(jù)泄露、多家快遞網(wǎng)站的1400萬條用戶信息被轉(zhuǎn)賣等眾多事件，暴露了我國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)隱私保護(hù)方面的不足。蘋果隱私保護(hù)政策在更新的及時性、兒童和位置信息保護(hù)、平衡公私利益、跨境數(shù)據(jù)傳輸?shù)确矫娑贾档梦覈P(guān)鍵基礎(chǔ)設(shè)施行業(yè)借鑒。新技術(shù)新應(yīng)用推動傳統(tǒng)產(chǎn)業(yè)與網(wǎng)絡(luò)融合，關(guān)鍵基礎(chǔ)設(shè)施行業(yè)的主要業(yè)務(wù)也由線下向線上轉(zhuǎn)移。關(guān)鍵基礎(chǔ)設(shè)施行業(yè)成為信息流動和共享的重要渠道，也成為收集和分析個人信息的主要載體，應(yīng)該盡快完善隱私保護(hù)政策，以更好的保護(hù)個人信息并滿足實踐需求。

[1]第4條：計算機(jī)信息系統(tǒng)的安全保護(hù)工作，重點維護(hù)國家事務(wù)、經(jīng)濟(jì)建設(shè)、國防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的計算機(jī)信息系統(tǒng)的安全。

[2]包括政府網(wǎng)站32個（4個直轄市、5個自治區(qū)省會以及其他22個省會（臺灣除外）及青島、無錫、蘇州、寧波、福州、廈門）；互聯(lián)網(wǎng)企業(yè)5個（騰訊、360、百度、搜狐、新浪）；金融行業(yè)42個（中國人民銀行、3個政策性銀行、16家代表性的商業(yè)銀行，上海/深圳證券交易所、排名前十的證券公司、排名前十的保險公司）；醫(yī)療行業(yè)23個（我國較出名的23個醫(yī)院）；教育行業(yè)62個（2014年排名前30的大學(xué)和與政府網(wǎng)站相同的32個城市的教育局）。