◆楊 帆 馬卓元 田國(guó)敏 楊向東

探究互聯(lián)網(wǎng)時(shí)代下的個(gè)人信息安全保護(hù)

◆楊 帆 馬卓元 田國(guó)敏 楊向東

（陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心 陜西 710065）

互聯(lián)網(wǎng)時(shí)代下，信息被稱為“新石油”，個(gè)人信息的價(jià)值不斷被挖掘、被使用，個(gè)人信息泄露、非法收集和濫用等問題日漸凸顯，個(gè)人信息安全面臨嚴(yán)重威脅。本文描述了個(gè)人信息泄露的途徑，闡述了個(gè)人信息面臨的主要風(fēng)險(xiǎn)，分析了個(gè)人信息安全保護(hù)存在的問題，并提出了個(gè)人信息安全保護(hù)應(yīng)對(duì)措施。

個(gè)人信息；個(gè)人信息安全保護(hù)

隨著我國(guó)移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、人工智能等新技術(shù)新應(yīng)用的快速發(fā)展與普及，每個(gè)個(gè)體隨時(shí)隨地都在產(chǎn)生大量的數(shù)據(jù)，而濫用、泄露、出售個(gè)人信息或者非法向他人提供所收集的個(gè)人信息等違法行為日益增多，不但使個(gè)人的人身財(cái)產(chǎn)安全受到嚴(yán)重威脅，也不利于經(jīng)濟(jì)社會(huì)的健康發(fā)展。因此，本文對(duì)互聯(lián)網(wǎng)時(shí)代下的個(gè)人信息安全保護(hù)問題進(jìn)行分析與研究。

1 個(gè)人信息概念

2018年實(shí)施的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)個(gè)人信息安全規(guī)范》指出，個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息，包括姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等[1]。該項(xiàng)定義與《網(wǎng)絡(luò)安全法》相比較，增加了一條反映特定自然人活動(dòng)情況的信息，將互聯(lián)網(wǎng)用戶在網(wǎng)絡(luò)上的行蹤軌跡納入個(gè)人信息范疇內(nèi)。從法律定義中我們不難看出，個(gè)人信息范圍十分寬泛，只要能夠識(shí)別出特定自然人身份，與特定自然人相關(guān)聯(lián)的信息都屬于個(gè)人信息。

2 個(gè)人信息泄露途徑

2.1 非法收集

根據(jù)全國(guó)消協(xié)組織受理消費(fèi)者投訴情況統(tǒng)計(jì)，2018年上半年電商平臺(tái)、社交平臺(tái)軟件等非法搜集消費(fèi)者個(gè)人信息現(xiàn)象成為投訴新熱點(diǎn)。據(jù)有關(guān)受訪者調(diào)查顯示，超八成受訪者都曾遭遇過個(gè)人信息泄露問題，而服務(wù)商將用戶個(gè)人信息泄露是目前主要問題[2]。許多不良服務(wù)商往往過度、隱秘或誘騙收集個(gè)人信息，更有甚者，采用諸多協(xié)議強(qiáng)迫用戶同意其“霸王條款”，然后對(duì)個(gè)人信息非法采集與使用。

2.2 擅自披露

受利益驅(qū)使或者出于其他目的，在未獲得法律授權(quán)、未經(jīng)過本人允許或者高于必要限度，掌握信息資源的有關(guān)機(jī)構(gòu)或行業(yè)內(nèi)部從業(yè)人員對(duì)外私自提供或披露公民的個(gè)人信息，使得諸如姓名、性別、身份證號(hào)、手機(jī)號(hào)碼、座機(jī)號(hào)碼、家庭住址、工作單位、房產(chǎn)狀況等“海量”的個(gè)人信息在網(wǎng)上非法買賣，個(gè)人信息“黑市”猖獗。

2.3 非法竊取

不法分子常常通過使用專業(yè)軟件或利用系統(tǒng)漏洞、釣魚網(wǎng)站、甚至是植入木馬等方式非法入侵到人們使用的各類智能終端或應(yīng)用中竊取各種個(gè)人信息，從而獲取巨大利益，并將竊取到的個(gè)人信息在黑市中進(jìn)行非法倒賣或者直接從事違法犯罪活動(dòng)，影響公眾網(wǎng)絡(luò)生活的安寧和秩序，破壞個(gè)人的合法權(quán)益和社會(huì)公共利益。

2.4 無(wú)意泄露

政府機(jī)構(gòu)、企業(yè)部門均擁有大量的公民個(gè)人信息或集團(tuán)用戶信息，部門與部門之間、上級(jí)與下級(jí)之間、行業(yè)與行業(yè)之間尚未完全實(shí)現(xiàn)聯(lián)網(wǎng)，加上設(shè)備不完善、技術(shù)不成熟、管理不規(guī)范、人員流動(dòng)頻繁等原因，公民個(gè)人信息在政府機(jī)構(gòu)、企業(yè)部門信息往來(lái)中，即使沒有違反現(xiàn)行法律法規(guī)、行業(yè)行規(guī)等，也沒有利益交換情況下，也很容易出現(xiàn)泄露。此外，公眾在日常生活中使用手機(jī)、證件復(fù)印件、快遞單等重要的個(gè)人信息載體時(shí)疏忽大意，或者未采取安全的防范措施也易導(dǎo)致個(gè)人信息泄露。

3 個(gè)人信息安全保護(hù)存在的問題

3.1 法律法規(guī)建設(shè)不完善

當(dāng)前，國(guó)家有關(guān)部門雖然已經(jīng)針對(duì)個(gè)人信息安全保護(hù)工作開展相關(guān)研究，但是暫時(shí)還沒有出臺(tái)一部專門針對(duì)個(gè)人信息安全保護(hù)方面的法律。而我國(guó)相關(guān)法律法規(guī)、規(guī)范性文件中涉及個(gè)人信息安全保護(hù)的內(nèi)容較為零散，現(xiàn)有的保護(hù)個(gè)人信息安全的法律法規(guī)存在體系設(shè)計(jì)不完整、內(nèi)容構(gòu)造不健全、條款數(shù)目不充足、適用范圍不明確等問題，無(wú)法切實(shí)保護(hù)公民的個(gè)人信息不受侵害，也不能有效打擊侵害公民個(gè)人信息的違法犯罪活動(dòng)。

3.2 監(jiān)管部門管理不到位

我國(guó)至今沒有設(shè)立獨(dú)立的個(gè)人信息保護(hù)機(jī)構(gòu)，保護(hù)個(gè)人信息安全的各部門職責(zé)分工不明晰，行政管理上存在分割、分治的狀況，多部門共同監(jiān)管的混亂狀態(tài)下存在監(jiān)管標(biāo)準(zhǔn)不統(tǒng)一、監(jiān)管方法不明確、監(jiān)管效果不顯著、監(jiān)管責(zé)任不到位等問題，導(dǎo)致個(gè)人信息保護(hù)在某些方面被重復(fù)監(jiān)管，某些方面卻被遺漏，且個(gè)人信息主體維權(quán)時(shí)極易遭遇投訴無(wú)門、維權(quán)無(wú)路、部門之間推諉扯皮的困境。

3.3 行業(yè)自律保護(hù)水平差

雖然政府部門或企業(yè)牽頭成立了一些約束企業(yè)行為的個(gè)人信息保護(hù)行業(yè)自律聯(lián)盟制定了較為完善正規(guī)的隱私保護(hù)原則，但由于行業(yè)自律本身的自發(fā)性決定了其更多地依靠企業(yè)自覺履行責(zé)任和義務(wù)，而許多企業(yè)的積極性和主動(dòng)性較差，導(dǎo)致行業(yè)自律組織難以約束規(guī)范企業(yè)收集、使用個(gè)人信息行為。此外，必要運(yùn)轉(zhuǎn)資金的匱乏也使其無(wú)法持續(xù)性地切實(shí)督促企業(yè)落實(shí)個(gè)人信息保護(hù)責(zé)任和義務(wù)，更無(wú)法發(fā)揮企業(yè)在個(gè)人信息安全保護(hù)方面的引導(dǎo)和示范作用。

3.4 個(gè)人信息安全保護(hù)意識(shí)薄弱

由于個(gè)人信息安全宣傳、教育與培訓(xùn)不足，使得公民的個(gè)人信息安全意識(shí)淡薄和對(duì)此安全重要性的認(rèn)知水平有限，又或者服從于個(gè)人占便宜的心理作用，導(dǎo)致不法分子輕而易舉地獲得了個(gè)人信息數(shù)據(jù)，而公民自身往往并沒有察覺到其無(wú)意的行為已引發(fā)個(gè)人信息遭到泄露。此外，在遭遇個(gè)人信息泄露事件時(shí)，大部分人往往“自認(rèn)倒霉”，只有極少數(shù)人積極維權(quán)，依法舉報(bào)、投訴、報(bào)警等。

4 個(gè)人信息安全保護(hù)應(yīng)對(duì)措施

4.1 加快推進(jìn)立法進(jìn)程

國(guó)家亟需出臺(tái)獨(dú)立、完善、權(quán)威的個(gè)人信息保護(hù)法。一方面，要整合、修改和補(bǔ)充原有的法律規(guī)范，建立規(guī)范、系統(tǒng)的法律體系。另一方面，要明確個(gè)人信息收集、處理和利用過程中的法律條款和要求，個(gè)人信息保護(hù)的基本原則、基本制度、基本行為規(guī)范和法律責(zé)任等。此外，對(duì)于非法獲取、泄露個(gè)人信息等違法犯罪行為還需給出清晰的處罰標(biāo)準(zhǔn)，以確保對(duì)公民個(gè)人信息進(jìn)行合法收集、處理和利用。

4.2 建立健全監(jiān)管機(jī)制

部分省份雖“先走先行”，設(shè)立了相關(guān)大數(shù)據(jù)管理機(jī)構(gòu)，但工作成效并不理想。統(tǒng)一、開放、信息共享的多部門聯(lián)動(dòng)協(xié)同監(jiān)管機(jī)制需要從上而下的頂層設(shè)計(jì)，以明確監(jiān)管機(jī)構(gòu)主體責(zé)任，確定監(jiān)管機(jī)構(gòu)職責(zé)權(quán)限，劃分監(jiān)管機(jī)構(gòu)監(jiān)管領(lǐng)域。此外，還需制定清晰的監(jiān)管目標(biāo)，采取合理的監(jiān)管模式，出臺(tái)完善的監(jiān)管政策，以個(gè)人信息安全保護(hù)法為主要遵循，形成“立法”與“執(zhí)法”相輔相成的個(gè)人信息安全保護(hù)機(jī)制，以有效落實(shí)各項(xiàng)監(jiān)管工作。

4.3 推動(dòng)制定標(biāo)準(zhǔn)規(guī)范

在國(guó)家法律和主管部門監(jiān)管雙重約束下，應(yīng)加強(qiáng)個(gè)人信息安全保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范的制定與出臺(tái)，一方面可以推動(dòng)法律法規(guī)、監(jiān)管政策的具體落地，另一方面可以指導(dǎo)企事業(yè)單位從實(shí)踐的角度，落實(shí)相關(guān)要求。目前，以《個(gè)人信息安全規(guī)范》為基礎(chǔ)的國(guó)家標(biāo)準(zhǔn)體系正在逐漸完備中，各企事業(yè)單位應(yīng)積極參考國(guó)家標(biāo)準(zhǔn)體系，建立符合自身發(fā)展需求的內(nèi)部治理方案，在保護(hù)個(gè)人信息安全的基礎(chǔ)上更好地挖掘利用數(shù)據(jù)價(jià)值。

4.4 大力加強(qiáng)宣傳教育

政府部門作為個(gè)人信息安全保護(hù)的監(jiān)管主體，應(yīng)努力做好實(shí)踐工作，帶頭尊重并保護(hù)個(gè)人信息，加大教育培訓(xùn)力度，鼓勵(lì)民眾積極參與，營(yíng)造保護(hù)個(gè)人信息安全的良好環(huán)境氛圍。同時(shí)，公民應(yīng)及時(shí)關(guān)注國(guó)內(nèi)外信息安全事件，提高個(gè)人信息安全保護(hù)意識(shí)，提升個(gè)人信息安全防范技能，在涉及個(gè)人信息收集、使用等情況時(shí)應(yīng)提高警惕，一旦發(fā)現(xiàn)有可疑情況時(shí)積極采取應(yīng)對(duì)措施，以防個(gè)人信息數(shù)據(jù)被非法采集、處理和使用。

5 結(jié)語(yǔ)

本文分析了我國(guó)個(gè)人信息面臨的主要風(fēng)險(xiǎn)、個(gè)人信息安全保護(hù)存在的問題，并分別從加快推進(jìn)我國(guó)個(gè)人信息安全保護(hù)立法、建立健全監(jiān)管機(jī)制、推動(dòng)制定標(biāo)準(zhǔn)規(guī)范以及加大宣傳教育這四方面提出了建議，有助于公民、社會(huì)及政府更好地保護(hù)個(gè)人信息安全。

[1]GB/T 35273-2017《信息安全技術(shù)個(gè)人信息安全規(guī)范》.

[2]中國(guó)消費(fèi)者協(xié)會(huì).《APP個(gè)人信息泄露情況調(diào)查報(bào)告》.

[3]王丁.我國(guó)個(gè)人信息保護(hù)的現(xiàn)狀及相關(guān)對(duì)策探討[J].中國(guó)新通信，2019，21（03）：108-110.

[4]何延哲，陳舒.我國(guó)個(gè)人信息保護(hù)標(biāo)準(zhǔn)體系與實(shí)踐[J].保密科學(xué)技術(shù)，2018（10）：19-23.