湯立波 中國(guó)信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所高級(jí)工程師

李璐 中國(guó)信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所助理工程師

葛雨明 中國(guó)信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所博士

韓涵 中國(guó)信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所博士

網(wǎng)絡(luò)技術(shù)——用戶個(gè)人信息保護(hù)專題

電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)研究

湯立波 中國(guó)信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所高級(jí)工程師

李璐 中國(guó)信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所助理工程師

葛雨明 中國(guó)信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所博士

韓涵 中國(guó)信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所博士

電信和互聯(lián)網(wǎng)服務(wù)中產(chǎn)生了大量用戶數(shù)據(jù)，用戶個(gè)人信息保護(hù)面臨挑戰(zhàn)。本文闡述了對(duì)用戶個(gè)人信息保護(hù)的理解、國(guó)內(nèi)外保護(hù)狀況，探討了我國(guó)用戶個(gè)人信息保護(hù)面臨的主要問題并提出建議。

電信和互聯(lián)網(wǎng) 用戶個(gè)人信息 保護(hù)

1 引言

電信和互聯(lián)網(wǎng)服務(wù)中存在大量用戶個(gè)人信息，這些信息具有應(yīng)用價(jià)值高、挖掘潛力大的特點(diǎn)，是電信和互聯(lián)網(wǎng)業(yè)務(wù)創(chuàng)新、提供個(gè)性化服務(wù)的重要基礎(chǔ)數(shù)據(jù)。用戶個(gè)人信息的高價(jià)值性吸引了大量業(yè)務(wù)開發(fā)者、服務(wù)提供者甚至惡意竊取者，由于電信和互聯(lián)網(wǎng)企業(yè)用戶個(gè)人信息保護(hù)水平良莠不齊，導(dǎo)致行業(yè)內(nèi)存在較多未經(jīng)授權(quán)收集、使用、披露、轉(zhuǎn)移用戶個(gè)人信息行為，且有愈演愈烈的趨勢(shì)，社會(huì)各界高度關(guān)注。加強(qiáng)電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)，營(yíng)造良好的用戶個(gè)人信息保護(hù)氛圍，維護(hù)用戶合法權(quán)益，成為社會(huì)、政府、企業(yè)和用戶共同面臨的重要問題。

2 對(duì)電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)的理解

2.1 電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息的定義

電信和互聯(lián)網(wǎng)用戶個(gè)人信息是指“電信業(yè)務(wù)經(jīng)營(yíng)者和互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)過程中收集的能夠單獨(dú)或者與其它信息結(jié)合識(shí)別用戶和涉及用戶個(gè)人隱私的信息”。

電信和互聯(lián)網(wǎng)用戶個(gè)人信息可分為以下3類：

（1）用戶身份和鑒權(quán)信息

能夠單獨(dú)或與其它信息結(jié)合，對(duì)用戶自然人身份進(jìn)行識(shí)別，或代替用戶自然人身份屬性在電信和互聯(lián)網(wǎng)服務(wù)中使用的虛擬身份信息，也包括用于驗(yàn)證身份的鑒權(quán)相關(guān)信息。例如，姓名、年齡、性別、證件類型、證件號(hào)碼、服務(wù)賬戶、密碼口令等。

（2）用戶數(shù)據(jù)和服務(wù)內(nèi)容信息

電信和互聯(lián)網(wǎng)服務(wù)過程中收集的具有用戶隱私屬性的數(shù)據(jù)和內(nèi)容信息。例如，通話內(nèi)容、短信、彩信、用戶存儲(chǔ)的私有數(shù)據(jù)和媒體信息、即時(shí)通信內(nèi)容、通訊錄、好友列表等。

（3）用戶服務(wù)相關(guān)信息

電信和互聯(lián)網(wǎng)服務(wù)過程中，所收集的服務(wù)使用情況及服務(wù)相關(guān)輔助類信息。例如，業(yè)務(wù)訂購(gòu)信息、服務(wù)記錄和日志、消費(fèi)信息和賬單、設(shè)備信息等。

2.2 用戶個(gè)人信息保護(hù)的理解

電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)的核心理念是在收集、使用用戶個(gè)人信息時(shí)，遵循合法、正當(dāng)、必要的原則，重點(diǎn)保護(hù)用戶的知情權(quán)和選擇權(quán)。

目前，電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)面臨的挑戰(zhàn)主要集中在未經(jīng)授權(quán)收集、使用、披露、轉(zhuǎn)移用戶個(gè)人信息，或收集服務(wù)所必需以外的用戶個(gè)人信息等方面。電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)的關(guān)鍵環(huán)節(jié)包括：

（1）服務(wù)推廣過程的用戶個(gè)人信息收集和使用

服務(wù)推廣渠道可能存在非法、未經(jīng)授權(quán)、收集服務(wù)所必需以外的用戶個(gè)人信息現(xiàn)象。

（2）服務(wù)提供過程的全流程用戶個(gè)人信息保護(hù)

在業(yè)務(wù)的運(yùn)營(yíng)維護(hù)、業(yè)務(wù)使用的全生命周期都需加強(qiáng)用戶個(gè)人信息保護(hù)，合理、合法、有效授權(quán)地對(duì)用戶個(gè)人信息進(jìn)行收集、使用、披露、轉(zhuǎn)移、刪除。

（3）服務(wù)終止過程的用戶個(gè)人信息有效清除

用戶個(gè)人信息需要隨著服務(wù)的終止有效清除，或在用戶授權(quán)并有效保護(hù)的情況下合理保存。

3 電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)現(xiàn)狀

3.1 國(guó)外用戶個(gè)人信息保護(hù)政策

國(guó)際社會(huì)普遍重視用戶個(gè)人信息保護(hù)，主要發(fā)達(dá)國(guó)家和地區(qū)通過立法、行業(yè)自律、國(guó)際協(xié)作等方式加強(qiáng)用戶個(gè)人信息保護(hù)。

（1）美國(guó)

美國(guó)強(qiáng)調(diào)行業(yè)自律，形成了較好的行業(yè)自律氛圍，強(qiáng)調(diào)政府的有限介入。美國(guó)的用戶個(gè)人信息保護(hù)工作起步較早，主要措施如下：

●加強(qiáng)立法

美國(guó)政府陸續(xù)出臺(tái)了《隱私權(quán)法》、《信息自由法》、《電子通訊隱私法》和《有線通訊隱私權(quán)法案》等基礎(chǔ)性和行業(yè)性法律，構(gòu)建個(gè)人信息保護(hù)的法律依據(jù)。

●充分發(fā)揮行業(yè)協(xié)會(huì)和私人機(jī)構(gòu)的作用，大力推動(dòng)行業(yè)自律，形成了良好的行業(yè)自律氛圍

例如，1998年6月，由美國(guó)電子工業(yè)協(xié)會(huì)、美國(guó)工商協(xié)會(huì)等和AOL、AT&T、IBM、BankofAmerica等100多家團(tuán)體和企業(yè)成立了“在線隱私聯(lián)盟”；美國(guó)商務(wù)網(wǎng)絡(luò)財(cái)團(tuán)和電子前線基金會(huì)共同發(fā)起了網(wǎng)絡(luò)隱私認(rèn)證機(jī)構(gòu)TRUSTe；美國(guó)BBBonline推行了網(wǎng)絡(luò)隱私認(rèn)證計(jì)劃等。

（2）歐盟

歐盟依托完備的法律，通過法律強(qiáng)制力高標(biāo)準(zhǔn)開展用戶個(gè)人信息保護(hù)，強(qiáng)調(diào)政府在其中的主導(dǎo)地位。

●歐盟層面加強(qiáng)立法，協(xié)調(diào)歐盟各國(guó)國(guó)內(nèi)法，確保用戶個(gè)人信息在歐盟范圍內(nèi)自由流動(dòng)

1995年，歐盟通過了《關(guān)于在個(gè)人數(shù)據(jù)處理過程中保護(hù)當(dāng)事人及此類數(shù)據(jù)自由流通的指令》；1997年，通過了《有關(guān)電信行業(yè)中的個(gè)人數(shù)據(jù)處理和隱私權(quán)保護(hù)的指令》；2002年，頒布了《關(guān)于在電子通信領(lǐng)域個(gè)人數(shù)據(jù)處理及保護(hù)隱私權(quán)的指令》。

●主要?dú)W盟國(guó)家也制定了相關(guān)法律保護(hù)用戶個(gè)人信息

德國(guó)于1976年頒布了《聯(lián)邦資料保護(hù)法》；法國(guó)于1978年通過了《法國(guó)自由、檔案、信息法》；英國(guó)于1984年制訂了《數(shù)據(jù)保護(hù)法》；1981年，冰島發(fā)布了《有關(guān)個(gè)人資料處理法》；1987年，芬蘭出臺(tái)了《資料保護(hù)法》；1978年，奧地利也發(fā)布了《信息保護(hù)法》等。

（3）國(guó)際范圍內(nèi)

國(guó)際范圍內(nèi)的用戶信息保護(hù)合作機(jī)制正逐漸形成。

●國(guó)際組織加強(qiáng)多邊合作，積極開展用戶個(gè)人信息保護(hù)工作

經(jīng)濟(jì)合作與發(fā)展組織（OECD）理事會(huì)頒布了《關(guān)于保護(hù)隱私和個(gè)人數(shù)據(jù)國(guó)際流通的指南》，亞太經(jīng)合組織（APEC）建立了地區(qū)隱私保護(hù)標(biāo)準(zhǔn)。

●歐美之間十分重視開展個(gè)人信息保護(hù)方面的雙邊合作，積極協(xié)調(diào)不同的用戶個(gè)人信息保護(hù)準(zhǔn)則

2000年，歐盟與美國(guó)政府簽訂了個(gè)人信息保護(hù)“安全港”計(jì)劃，對(duì)加入“安全港”計(jì)劃的美國(guó)公司進(jìn)行監(jiān)管，在確保美國(guó)企業(yè)達(dá)到歐盟的較高保護(hù)準(zhǔn)則的同時(shí)，維持美國(guó)長(zhǎng)久以來一直采用的自律機(jī)制。

3.2 我國(guó)電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)政策

目前，我國(guó)電信和互聯(lián)網(wǎng)行業(yè)用戶個(gè)人信息保護(hù)工作得到監(jiān)管機(jī)構(gòu)、社會(huì)輿論、企業(yè)和個(gè)人的高度關(guān)注?，F(xiàn)階段我國(guó)用戶個(gè)人信息保護(hù)工作主要體現(xiàn)在兩方面：

●強(qiáng)化相關(guān)法律法規(guī)中的個(gè)人信息保護(hù)條款，出臺(tái)相關(guān)部門規(guī)章制度，加強(qiáng)個(gè)人信息保護(hù)方面的監(jiān)管。

●重視個(gè)人信息保護(hù)相關(guān)國(guó)家和行業(yè)標(biāo)準(zhǔn)的制定，通過統(tǒng)一規(guī)范來引導(dǎo)行業(yè)自律，加強(qiáng)個(gè)人信息保護(hù)。

近年來，我國(guó)逐步加強(qiáng)法律和行政規(guī)章頂層設(shè)計(jì)，初步建立了個(gè)人信息保護(hù)法規(guī)體系。2009年，第十一屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第七次會(huì)議通過了《中華人民共和國(guó)刑法修正案（七）》，對(duì)于獲得、出售或非法提供給他人公民用戶信息的行為定義為違法行為，明確有期徒刑、拘役或處罰金等懲處措施。2012年12月28日，第十一屆全國(guó)人大常委會(huì)第三十次會(huì)議審議通過了《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，強(qiáng)調(diào)保護(hù)能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私的電子信息。在人大文件基礎(chǔ)上，2011—2013年，工業(yè)和信息化部先后出臺(tái)20、24號(hào)令，對(duì)我國(guó)電信服務(wù)和互聯(lián)網(wǎng)信息服務(wù)過程中收集、使用用戶個(gè)人信息的活動(dòng)提出了明確要求。另外，《工業(yè)和信息化部關(guān)于電信服務(wù)質(zhì)量的通告》將用戶個(gè)人信息保護(hù)問題單獨(dú)作為通告的一部分內(nèi)容呈現(xiàn)，按季度向全社會(huì)通告，不斷加強(qiáng)監(jiān)管力度。

另外，我國(guó)用戶個(gè)人信息保護(hù)標(biāo)準(zhǔn)體系正加速建立。2013年2月，國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》發(fā)布；2013年底，中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）啟動(dòng)了電信和互聯(lián)網(wǎng)行業(yè)用戶個(gè)人信息保護(hù)標(biāo)準(zhǔn)的制定，其中《電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)定義及分類》對(duì)電信和互聯(lián)網(wǎng)用戶個(gè)人信息的定義和分類進(jìn)行了規(guī)定，為用戶個(gè)人信息保護(hù)工作的開展奠定了基礎(chǔ)；《電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)分級(jí)指南》規(guī)定了電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)的對(duì)象和分級(jí)方法，是開展差異化分級(jí)保護(hù)工作的總體性指導(dǎo)文件?！峨娦藕突ヂ?lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)技術(shù)要求移動(dòng)應(yīng)用商店》、《電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)技術(shù)要求電子商務(wù)服務(wù)》、《電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)技術(shù)要求即時(shí)通信服務(wù)》等標(biāo)準(zhǔn)對(duì)具體業(yè)務(wù)的用戶個(gè)人信息保護(hù)提出了要求，為我國(guó)電信和互聯(lián)網(wǎng)企業(yè)開展服務(wù)提出了明確、統(tǒng)一的要求。

3.3 手機(jī)應(yīng)用軟件是當(dāng)前用戶個(gè)人信息保護(hù)的重點(diǎn)領(lǐng)域

截止到2014年底，我國(guó)手機(jī)用戶數(shù)量達(dá)到12.86億人，手機(jī)上安裝的應(yīng)用軟件成為用戶常用工具，主流三大手機(jī)操作系統(tǒng)分別是谷歌Android、蘋果IOS、微軟WindowsPhone操作系統(tǒng)，這些系統(tǒng)的手機(jī)應(yīng)用軟件都面臨用戶個(gè)人信息保護(hù)挑戰(zhàn)。手機(jī)應(yīng)用軟件行業(yè)存在大量收集用戶個(gè)人信息現(xiàn)象，如何保護(hù)用戶個(gè)人信息值得警惕。中國(guó)信息通信研究院技術(shù)與標(biāo)準(zhǔn)研究所“用戶個(gè)人信息保護(hù)實(shí)驗(yàn)室”2015年上半年對(duì)全國(guó)應(yīng)用商店抽樣檢測(cè)，12萬(wàn)款安卓系統(tǒng)手機(jī)應(yīng)用軟件中存在讀取用戶手機(jī)號(hào)碼行為的占15.7%，讀取位置信息的占43.6%，讀取用戶通訊錄的占4.4%，讀取短信記錄的占4.1%，讀取通話記錄的占2.6%。數(shù)據(jù)顯示，基于手機(jī)應(yīng)用軟件的用戶個(gè)人信息收集和使用現(xiàn)象非常突出，在大量的用戶信息收集行為中，判斷用戶個(gè)人信息收集行為是否為服務(wù)所必需、是否合理合法、是否滿足了用戶的知情權(quán)和選擇權(quán)成為政府監(jiān)管和行業(yè)自律的重點(diǎn)。

4 我國(guó)面臨的問題和建議

4.1 我國(guó)面臨的主要問題

我國(guó)電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)工作剛剛起步，目前面臨的主要問題如下：

（1）法律規(guī)章及技術(shù)標(biāo)準(zhǔn)需隨著產(chǎn)業(yè)發(fā)展不斷完善

●電信和互聯(lián)網(wǎng)服務(wù)業(yè)務(wù)形態(tài)多、更新快，用戶個(gè)人信息保護(hù)相關(guān)法律、規(guī)章、標(biāo)準(zhǔn)需適應(yīng)產(chǎn)業(yè)發(fā)展不斷完善，同時(shí)目前還缺少必要的業(yè)務(wù)審查、檢查機(jī)制。

●現(xiàn)有的行政處罰力度過于輕微，根據(jù)《行政處罰法》和國(guó)務(wù)院的有關(guān)規(guī)定，部門規(guī)章設(shè)定的罰款最高額度較低，高價(jià)值的用戶個(gè)人信息和違規(guī)代價(jià)低之間不平衡，無法保證監(jiān)管工作的有效威懾力。

（2）企業(yè)自律和用戶自我保護(hù)意識(shí)均有待加強(qiáng)

●目前互聯(lián)網(wǎng)特別是移動(dòng)互聯(lián)網(wǎng)中，形成了很多以用戶個(gè)人信息為基礎(chǔ)的商業(yè)模式，企業(yè)在收集、使用用戶個(gè)人信息時(shí)對(duì)用戶知情權(quán)、選擇權(quán)保護(hù)水平參差不齊，部分企業(yè)自律意識(shí)不足。

●用戶的個(gè)人信息保護(hù)意識(shí)不強(qiáng)，相關(guān)服務(wù)收集、使用個(gè)人信息的聲明和措施未得到用戶的應(yīng)有重視。

（3）侵權(quán)行為隱蔽，違規(guī)取證困難

用戶個(gè)人信息侵權(quán)行為通常非常隱蔽，用戶信息侵權(quán)時(shí)取證困難、追責(zé)困難。政府、服務(wù)提供者和經(jīng)營(yíng)者在用戶個(gè)人信息保護(hù)工作中的認(rèn)證、檢測(cè)技術(shù)支持還有不足。

4.2 我國(guó)電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)工作建議

面對(duì)當(dāng)前快速發(fā)展、不斷創(chuàng)新的電信和互聯(lián)網(wǎng)服務(wù)產(chǎn)業(yè)，用戶個(gè)人信息保護(hù)工作應(yīng)以維護(hù)用戶權(quán)益為目標(biāo)，同時(shí)保證產(chǎn)業(yè)健康發(fā)展。相關(guān)工作建議如下：

（1）分階段、突出重點(diǎn)，以手機(jī)應(yīng)用為突破口帶動(dòng)全行業(yè)健康規(guī)范發(fā)展

由于電信網(wǎng)和互聯(lián)網(wǎng)業(yè)務(wù)種類多、差異大，用戶個(gè)人信息保護(hù)問題復(fù)雜，短期內(nèi)全面展開用戶個(gè)人信息保護(hù)工作難度較大。因此，建議抓住重點(diǎn)，尋找工作突破口，快速推動(dòng)工作并取得成效。近期手機(jī)應(yīng)用軟件用戶個(gè)人信息保護(hù)問題值得重點(diǎn)關(guān)注，另外電子商務(wù)、社交類服務(wù)也是涉及用戶個(gè)人信息較多領(lǐng)域。

（2）加快配套規(guī)章制度、標(biāo)準(zhǔn)出臺(tái)，確保工作“有法可依”

建議結(jié)合工作重點(diǎn)，盡快出臺(tái)更細(xì)化、可操作性強(qiáng)的法律、規(guī)章制度、標(biāo)準(zhǔn)，為用戶個(gè)人信息侵權(quán)判定提供依據(jù)，為企業(yè)自律和自我管理提出明確的要求和指導(dǎo)文件。政府加強(qiáng)法律、規(guī)章制度和標(biāo)準(zhǔn)宣貫，監(jiān)督落實(shí)，形成企業(yè)自查、監(jiān)督檢查制度。

（3）推動(dòng)行業(yè)自律

促進(jìn)企業(yè)用戶個(gè)人信息保護(hù)自律，有效保護(hù)、尊重用戶的知情權(quán)、選擇權(quán)，將行業(yè)自律風(fēng)氣與監(jiān)管結(jié)合，在行業(yè)內(nèi)形成良好的用戶個(gè)人信息保護(hù)氛圍。

（4）完善技術(shù)能力建設(shè)

針對(duì)電信和互聯(lián)網(wǎng)行業(yè)需求，進(jìn)一步完善技術(shù)檢測(cè)手段和違規(guī)取證能力建設(shè)，形成行業(yè)權(quán)威開放檢測(cè)平臺(tái)，滿足政府監(jiān)管、企業(yè)自律工作需求。

1 中國(guó)通信行業(yè)標(biāo)準(zhǔn).YD/T2781-2014.電信和互聯(lián)網(wǎng)服務(wù)用戶個(gè)人信息保護(hù)定義及分類

Research on User Personal Information Protection of Telecom and Internet Service

There is a lot of user data in telecom and internet services,which need to strengthen protection.In this paper,we present the understanding of user personal information protection,introduce the development status,and propose some suggestions.

telecom and internet,user,personal information,protection

2015-09-18）