◆李 怡 楊 帆 安克萬

我國個人信息保護制度體系構建探析

◆李 怡 楊 帆 安克萬

（陜西省網(wǎng)絡與信息安全測評中心 陜西 710065）

針對當前我國個人信息保護面臨的挑戰(zhàn)，研究了美國、歐盟、日本和韓國的做法，分別從個人信息保護的法律法規(guī)體系、監(jiān)督機制、分級分類處理、成立個人信息保護行業(yè)協(xié)會以及加大宣傳力度這五方面提出建議，以期為我國構建完善的個人信息保護制度體系提供參考。

個人信息；個人信息安全威脅；個人信息保護制度體系

0 引言

大數(shù)據(jù)時代，大數(shù)據(jù)應用為人們的生產(chǎn)、生活帶來了各種便利，個人信息保護面臨著巨大的挑戰(zhàn)[1]。個人信息蘊含的價值巨大，存在個人信息過度收集、誘騙收集、隱私政策“霸王條款”等問題，不僅威脅著人們的生命財產(chǎn)安全，還導致了詐騙、勒索等諸多社會問題[2]，如攜程泄露用戶個人信息、螞蟻金服泄露用戶賬單信息以及震驚全國的徐玉玉案件等，帶來了惡劣的社會影響。

個人信息保護在我國已經(jīng)引起了全社會的廣泛關注，自2009年起，我國政府就加快了對個人信息保護的步伐，相繼制定了個人信息保護相關法律法規(guī)和標準[3]，全國信息安全標準化技術委員會也于2017年12月29日正式發(fā)布國家標準《信息安全技術 個人信息安全規(guī)范》，并于2018年5月1日實施。

然而，我國個人信息保護形勢并不樂觀，為了更好的解決個人信息保護面臨的安全挑戰(zhàn)，本文在分析我國個人信息保護存在問題的基礎之上，分別研究了美國、歐盟、日本、韓國在個人信息保護方面采取的有效措施，并提出了我國個人信息保護的相關建議，以期完善我國個人信息保護制度體系。

1 我國個人信息保護中存在的問題

我國個人信息保護中存在的問題主要體現(xiàn)在以下幾個方面：

（1）我國雖然在一些法律中提及侵害個人信息罪，且規(guī)定了個人信息接觸者的做法，并出臺了重點行業(yè)的相關規(guī)定，但是，個人信息保護的上位法的缺席，導致尚未形成個人信息保護的法律體系。

（2）政府對個人信息市場的監(jiān)管效果不理想，主要體現(xiàn)在個人信息泄露事件頻發(fā)，涉及面也較廣[4]，如快遞、房屋中介、網(wǎng)上購物平臺、酒店住宿等接觸個人信息較多的行業(yè)，造成的社會影響和危害較為嚴重。究其泄露原因，主要為網(wǎng)絡安全防護不嚴導致的信息被盜，企業(yè)或內(nèi)部員工的法律意識淡薄。

（3）人民群眾的個人信息保護意識不強。大家在生活中對于其個人信息保密意識不強，如網(wǎng)上或現(xiàn)實生活中為了一些禮品或者參與調(diào)查隨意填寫個人信息，快遞空包裹（含有個人信息）直接丟棄。

2 國外個人信息保護措施

為了更好的解決我國個人信息保護中的問題，我們研究了美國、歐盟、日本、韓國在個人信息保護方面采取的措施[5]。

（1）美國

美國頒布了《隱私權法》后又制定了行業(yè)隱私保護法，如《電訊法》、《有線通訊隱私權法案》、《兒童在線隱私權保護法案》、《健康保險隱私及責任法案》、《公平信用報告法》和《金融隱私法案》等[6]，構成較為完善的個人隱私保護法體系。《消費者隱私權利法案》為用戶隱私保護設定了基本原則，F(xiàn)TC還建議美國國會考慮制定一般的隱私立法。

此外，美國還成立計算機安全協(xié)會、信息系統(tǒng)審查與控制協(xié)會、計算機應急協(xié)調(diào)中心、國際互聯(lián)網(wǎng)協(xié)會、美國計算機協(xié)會等互聯(lián)網(wǎng)信息安全行業(yè)組織，制定涵蓋信息安全保護技術、從業(yè)人員自律教育等內(nèi)容的行業(yè)規(guī)范。

（2）歐盟

歐盟發(fā)布了《個人數(shù)據(jù)保護指令》，并要求成員國以此為標準制定各國的個人數(shù)據(jù)保護法，后又制定了《電信行業(yè)數(shù)據(jù)保護指令》、《私有數(shù)據(jù)保密法》、《信息公路上個人數(shù)據(jù)收集、處理過程中個人權利保護指南》、《互聯(lián)網(wǎng)上個人隱私保護的一般原則》、《隱私和電子通信條例》等法規(guī)，也形成了較為完善的個人數(shù)據(jù)法律保護體系。

2016年歐盟頒布的《個人數(shù)據(jù)保護一般規(guī)則》（GDPR）[7]，成為目前世界范圍內(nèi)個人信息保護立法水平最高、保護力度最大的一部法律，此外，歐盟還積極建立并推進大數(shù)據(jù)個人信息保護跨境協(xié)作機制。

（3）日本

日本現(xiàn)行個人信息保護法主要有《日本個人信息保護法》、《關于行政機關持有的個人信息保護法》、《關于獨立行政法人等持有的個人信息保護法》、《信息公開及個人信息保護審查會成立法》、《關于實施個人信息保護法相關的法制配套法》）和《個人信息保護法》修正案。

日本以地方政府和自治體為中心，相繼制定了《個人信息保護條例》、《行政機關計算機處理的個人信息保護法案》、《計算機組織運營審議會條例》、《計算機組織運營條例》和《關于金融機構等保護個人數(shù)據(jù)的指針》[8]。

針對民營部門，主管機構制定方針、政策，行業(yè)成立認證機構進行自律為主的管理，頒布了《關于民營部門計算機處理個人信息保護指南》、《關于電信業(yè)的個人信息保護指南》。此外，日本實行行業(yè)主管大臣負責制，并設有個人信息保護工作專員。

（4）韓國

韓國行政安全部監(jiān)管消費者和企業(yè)信息，政府管理部門進行保護，韓國廣播通信委員會、互聯(lián)網(wǎng)與安全局進行行業(yè)監(jiān)管，現(xiàn)行主要法規(guī)包括《個人信息保護法》（基本法）、《信用信息保護法》、《電氣通信事業(yè)法》、《通信秘密保護法》、《信息通訊網(wǎng)法》、《證券交易法》及《金融實名往來及秘密保障法》等。

3 對我國的借鑒與啟示

針對當前我國個人信息保護方面存在的問題，借鑒美國、歐盟、日本、韓國的政策與法律法規(guī)制定，并結(jié)合我國基本國情，特提出以下五點建議，以為我國構建完善的個人信息保護制度體系提供參考。

（1）完善我國個人信息保護的法律法規(guī)和標準體系

法律方面，應盡快制定個人信息保護法作為上位法，做到有法可依。個人信息保護法中可明確界定個人信息的概念、范圍、使用規(guī)則，明確個人信息的權利主體所享有的權利和應當履行的義務，并建立違法處罰與追責機制等。還應規(guī)定第三方經(jīng)營者的法律責任，防止其推卸責任，充分保障消費者權益。

法規(guī)方面，政府相關部門應結(jié)合不同領域的需求，如互聯(lián)網(wǎng)、衛(wèi)生醫(yī)療、旅游、金融等收集個人信息較多的領域，制定相關的個人信息保護規(guī)定，以構建完整的個人信息保護法律法規(guī)體系。

個人信息安全標準方面，國家信息安全標準化技術委員會

（2）完善監(jiān)督機制

從國家部委至各省、市（區(qū)）、縣應設立個人信息保護獨立的監(jiān)督機構，明確機構職責，監(jiān)管政府、企事業(yè)單位掌握的個人信息，以有效保障個人信息安全及使用合法合規(guī)。此外，還應指定公民舉報機構、網(wǎng)站或熱線，當個人信息泄露或濫用時，便于舉報。

（3）分級分類處理

為了更好的保護個人信息，政府相關部門在采集、處理、共享個人信息時，首先應進行分級分類，并對分級分類后的個人信息分別采取相應的保護措施。分級時，可按照個人信息造成的損害個人名譽和身心健康、非個人意愿的工作、生活影響和導致歧視性待遇等影響進行分級；分類時，可參照去標識維度分類，分為原始數(shù)據(jù)、脫敏數(shù)據(jù)和群體數(shù)據(jù)。

（4）成立個人信息保護相關行業(yè)協(xié)會

為了促進行業(yè)自律和自我監(jiān)督，政府應鼓勵、引導科研機構和企業(yè)，從政策和經(jīng)費上支持其研發(fā)個人信息安全保護的新技術，從技術層面加強個人信息保護。并協(xié)助成立個人信息保護相關的行業(yè)協(xié)會或聯(lián)盟，組織制定相應的行業(yè)個人信息保護條例或規(guī)范，以期通過行業(yè)自律，達到規(guī)范個人信息保護、促進行業(yè)健康發(fā)展的作用。

（5）加大宣傳力度

政府還應加強公眾個人信息保護知識的宣傳教育，提升公眾個人信息保護意識和能力。針對不同的社會群體，采取多樣化的宣傳教育手段，如宣傳進校園、社區(qū)等方式，幫助公眾提升個人信息保護的意識和能力。

4 結(jié)束語

本文分析了我國個人信息保護的現(xiàn)狀和存在的問題，在借鑒美國、歐盟、日本、韓國的政策基礎之上，結(jié)合我國國情，分別從完善我國個人信息保護的法律法規(guī)體系、完善監(jiān)督機制、分級分類處理、成立個人信息保護行業(yè)協(xié)會以及加大宣傳力度這五方面提出建議，對我國建立較為完善的個人信息保護制度體系具有一定的參考。

[1] 陳國威.大數(shù)據(jù)時代的個人信息安全研究[J]. 網(wǎng)絡安全技術與應用，2018.

[2] 王少輝,印后杰.基于政府管理視角的大數(shù)據(jù)環(huán)境下個人信息保護問題研究[J]. 中國行政管理，2015.

[3] 孫南翔. 論作為消費者的數(shù)據(jù)主體及其數(shù)據(jù)保護機制[J]. 政治與法律，2018.

[4] 郝思洋.大數(shù)據(jù)時代個人信息保護的路徑探索[J]. 北京郵電大學學報(社會科學版)，2016.

[5] 陶茂麗,王澤成. 大數(shù)據(jù)時代的個人信息保護機制研究[J]. 情報探索，2016.

[6] 國外個人信息保護模式研究[J].郎慶斌.信息技術與標準化，2012.

[7] 何治樂,黃道麗.歐盟《一般數(shù)據(jù)保護條例》的出臺背景及影響[J].信息安全與通信保密，2014.

[8] 黃藍.個人信息保護的國際比較與啟示[J].情報科學，2014.