孫春艷　中國(guó)信息通信研究院產(chǎn)業(yè)與規(guī)劃研究所工程師

1　引言

近年來(lái)，企業(yè)違法收集大量用戶(hù)信息或通過(guò)收集到的個(gè)人信息實(shí)施金融詐騙等不法現(xiàn)象時(shí)有發(fā)生，已成為互聯(lián)網(wǎng)領(lǐng)域重大安全隱患之一。從“徐玉玉案”到“支付寶年度賬單事件”，關(guān)于個(gè)人信息保護(hù)的話(huà)題從未中斷。

2　近期熱點(diǎn)事件及凸顯的問(wèn)題

例如，2018年4月，中國(guó)人民銀行杭州中心支行根據(jù)《非金融機(jī)構(gòu)支付服務(wù)管理辦法》和《中華人民共和國(guó)消費(fèi)者權(quán)益保護(hù)法》，對(duì)支付寶（中國(guó)）網(wǎng)絡(luò)技術(shù)有限公司作出行政處罰，并給予警告。據(jù)中國(guó)人民銀行（以下簡(jiǎn)稱(chēng)“央行”）行政處罰信息公示表披露，支付寶此次違規(guī)具體包括3方面原因，其中在個(gè)人信息保護(hù)方面，存在個(gè)人金融信息收集不符合最少、必需原則以及個(gè)人金融信息使用不當(dāng)?shù)膯?wèn)題。據(jù)悉，自2017年至今，支付寶已先后受到3次相關(guān)行政處罰，2018年1月，還曾因存在“用戶(hù)個(gè)人信息收集使用規(guī)則、使用目的告知不充分的情況”被工業(yè)和信息化部（以下簡(jiǎn)稱(chēng)“工信部”）約談，并要求限期整改，相關(guān)事件的發(fā)生，距2017年9月聯(lián)合簽署“個(gè)人信息保護(hù)倡議書(shū)”僅半年。

再如，中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)曾發(fā)布《2016中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告》，報(bào)告顯示，我國(guó)54%的網(wǎng)民認(rèn)為個(gè)人信息泄露情況嚴(yán)重，84%的網(wǎng)民曾親身遭遇因個(gè)人信息泄露帶來(lái)的不良影響，網(wǎng)絡(luò)非法獲取公民信息已形成“源頭-中間商-非法使用人員”的黑色產(chǎn)業(yè)鏈，而該源頭，即大多源自互聯(lián)網(wǎng)中具有數(shù)據(jù)收集功能的企業(yè)。

以上案例，在一定程度上反映了我國(guó)在金融領(lǐng)域個(gè)人信息保護(hù)力度的提升，同時(shí)也凸顯當(dāng)前社會(huì)存在的普遍性問(wèn)題：

一是我國(guó)公民隱私權(quán)利保護(hù)意識(shí)不足。以“支付寶年度賬單事件為例”，支付寶年度賬單服務(wù)推出后，大多數(shù)用戶(hù)忽視獲取賬單前所默認(rèn)勾選同意的“《芝麻服務(wù)協(xié)議》”，一旦用戶(hù)簽署這份協(xié)議，芝麻信用則包攬了用戶(hù)個(gè)人數(shù)據(jù)的使用、分析、開(kāi)發(fā)等授權(quán)，而相關(guān)數(shù)據(jù)具備較強(qiáng)的金融屬性，對(duì)于用戶(hù)本身來(lái)說(shuō)則至關(guān)重要敏感。

二是企業(yè)普遍缺乏社會(huì)責(zé)任意識(shí)。2017年6月1日《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱(chēng)《網(wǎng)絡(luò)安全法》）生效后，幾乎所有的互聯(lián)網(wǎng)企業(yè)均被納入監(jiān)管范圍，在收集使用用戶(hù)信息方面，被賦予用戶(hù)“事先知情同意”的告知義務(wù)。為規(guī)避違規(guī)風(fēng)險(xiǎn)，適應(yīng)相關(guān)規(guī)定要求，一年以來(lái)，各知名互聯(lián)網(wǎng)企業(yè)均不同程度調(diào)整了相關(guān)隱私條款或用戶(hù)服務(wù)協(xié)議，但顯然，相關(guān)情況并未根本改善，已普遍衍生為“一經(jīng)用戶(hù)同意，即可隨意收集、使用用戶(hù)個(gè)人信息”的行業(yè)亂象。

三是金融類(lèi)企業(yè)風(fēng)險(xiǎn)水平較高。金融類(lèi)企業(yè)因其特有的金融服務(wù)屬性，以及我國(guó)對(duì)征信行業(yè)設(shè)置的特殊管理規(guī)則，較其他具有“收集個(gè)人信息”功能的企業(yè)來(lái)說(shuō)，擁有更廣闊的渠道來(lái)收集、使用用戶(hù)相關(guān)敏感度高、最有商業(yè)價(jià)值的身份信息，例如身份證號(hào)碼、銀行賬號(hào)、手機(jī)號(hào)碼、家庭地址等，因此，也承載了更多金融信息泄漏和濫用風(fēng)險(xiǎn)。

3　我國(guó)相關(guān)管理規(guī)定及執(zhí)法情況

目前，我國(guó)對(duì)用戶(hù)個(gè)人信息（尤其是個(gè)人金融信息）的保護(hù)，主要基于《網(wǎng)絡(luò)安全法》及相關(guān)具體管理規(guī)定，具體分別由央行、工信部、網(wǎng)信等主管部門(mén)在各自負(fù)責(zé)領(lǐng)域內(nèi)開(kāi)展相關(guān)監(jiān)督管理工作。

（1）金融領(lǐng)域

2011年，央行發(fā)布《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融信息保護(hù)工作的通知》（銀發(fā)[2011]17號(hào)），對(duì)銀行業(yè)金融機(jī)構(gòu)所涉及的個(gè)人金融信息做了明確分類(lèi)，明確提出一系列信息保護(hù)要求。2013年，國(guó)務(wù)院頒布《征信業(yè)管理?xiàng)l例》，對(duì)征信機(jī)構(gòu)可收集用戶(hù)信息范圍、維護(hù)用戶(hù)知情權(quán)、救濟(jì)權(quán)等方面作出明確規(guī)定，并先后出臺(tái)《征信機(jī)構(gòu)管理辦法》、《征信機(jī)構(gòu)監(jiān)管指引》、《企業(yè)征信機(jī)構(gòu)備案管理辦法》等一系列配套制度和行業(yè)標(biāo)準(zhǔn)，對(duì)于引導(dǎo)征信業(yè)規(guī)范發(fā)展具有里程碑意義。隨著移動(dòng)互聯(lián)網(wǎng)的持續(xù)發(fā)展，近期，央行下發(fā)了《關(guān)于進(jìn)一步加強(qiáng)征信信息安全管理的通知》（銀發(fā)[2018]102號(hào)），進(jìn)一步加強(qiáng)對(duì)企業(yè)和個(gè)人征信系統(tǒng)運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)征信信息安全管理，強(qiáng)化對(duì)APP查詢(xún)征信信息的管理。

（2）互聯(lián)網(wǎng)領(lǐng)域

2012年，《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》對(duì)提出“相關(guān)組織和個(gè)人不得竊取或者以其他非法方式獲取公民個(gè)人電子信息”初步個(gè)人信息管理要求；2015年，工信部出臺(tái)《電信和互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)規(guī)定》，從規(guī)章層面對(duì)電信業(yè)務(wù)經(jīng)營(yíng)者及互聯(lián)網(wǎng)信息服務(wù)提供者的個(gè)人信息保護(hù)責(zé)任作出明確規(guī)定；2016年《網(wǎng)絡(luò)安全法》的出臺(tái)，則正式將互聯(lián)網(wǎng)用戶(hù)個(gè)人信息保護(hù)工作提升至前所未有的法律保護(hù)高度。

（3）司法領(lǐng)域

2014年至今，最高人民法院結(jié)合司法管理需求，聯(lián)合相關(guān)司法管理部門(mén)先后通過(guò)制定或修訂《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問(wèn)題的規(guī)定》、《中華人民共和國(guó)刑法修正案（九）》、《關(guān)于辦理電信網(wǎng)絡(luò)詐騙等刑事案件適用法律若干問(wèn)題的意見(jiàn)》等管理規(guī)定，強(qiáng)化對(duì)公民個(gè)人信息的保護(hù)力度，提高侵犯公民個(gè)人信息罪的相關(guān)刑事責(zé)任，并結(jié)合當(dāng)前形勢(shì)，明確提出“同時(shí)實(shí)施電信網(wǎng)絡(luò)詐騙犯罪行為的，采取數(shù)罪并罰”。

（4）其他領(lǐng)域

除了上述專(zhuān)門(mén)領(lǐng)域外，我國(guó)新修訂的《民法總則》、《消費(fèi)者權(quán)益保護(hù)法》等，也分別從民事領(lǐng)域、消費(fèi)者權(quán)益保護(hù)等角度，對(duì)個(gè)人信息收集一方的法律責(zé)任和義務(wù)作出明確規(guī)定，我國(guó)有關(guān)個(gè)人信息保護(hù)的法律體系逐步完善。

目前，全世界約有150多個(gè)國(guó)家已就個(gè)人信息保護(hù)制定專(zhuān)門(mén)立法，我國(guó)對(duì)個(gè)人信息的保護(hù)則主要是在《網(wǎng)安法》基本原則框架下，分散在上述各領(lǐng)域具體規(guī)定中。2017年，全國(guó)人大代表、中國(guó)人民銀行杭州中心支行行長(zhǎng)殷興山曾呼吁全國(guó)人大加快《個(gè)人金融信息保護(hù)法》立法進(jìn)程，將個(gè)人金融信息保護(hù)上升到國(guó)家法律的高度。當(dāng)前，產(chǎn)業(yè)界和學(xué)界則對(duì)出臺(tái)我國(guó)專(zhuān)門(mén)的《個(gè)人信息保護(hù)法》的呼聲較高，國(guó)務(wù)院相關(guān)部門(mén)對(duì)此曾表示，正在抓緊開(kāi)展相關(guān)研究工作，隨著“互聯(lián)網(wǎng)+”的不斷深入以及網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略的持續(xù)延伸，還需要深入考慮促進(jìn)商業(yè)發(fā)展和提升個(gè)人信息保護(hù)力度之間的平衡，以及推動(dòng)技術(shù)發(fā)展和維護(hù)個(gè)人利益之間的平衡等。

2017年下旬，網(wǎng)信部門(mén)、工信部門(mén)、公安部門(mén)以及國(guó)家標(biāo)準(zhǔn)委曾聯(lián)合開(kāi)展個(gè)人信息保護(hù)提升行動(dòng)之隱私條款專(zhuān)項(xiàng)工作，并在《網(wǎng)絡(luò)安全法》正式實(shí)施3個(gè)月之際便開(kāi)展貫徹落實(shí)《網(wǎng)絡(luò)安全法》的執(zhí)法檢查活動(dòng)，隨后半年里開(kāi)展了多次相關(guān)約談、處置工作，總的來(lái)看，個(gè)人信息保護(hù)工作已被提升至空前重要的位置。未來(lái)，相關(guān)執(zhí)法檢查保護(hù)工作或?qū)⒊蔀槌B(tài)。

4　企業(yè)相關(guān)完善實(shí)踐

基于商業(yè)發(fā)展和風(fēng)險(xiǎn)防控的需要，企業(yè)會(huì)主動(dòng)或被動(dòng)收集大量用戶(hù)個(gè)人信息，對(duì)于企業(yè)自身來(lái)說(shuō)，既是機(jī)遇也是挑戰(zhàn)。當(dāng)今時(shí)代，掌握數(shù)據(jù)即掌握企業(yè)發(fā)展主導(dǎo)權(quán)，企業(yè)可以通過(guò)數(shù)據(jù)分享創(chuàng)造價(jià)值、拓展廣告營(yíng)銷(xiāo)合作伙伴，甚至可以通過(guò)算法構(gòu)建人臉模型實(shí)現(xiàn)精準(zhǔn)信息推送等，以不斷占據(jù)市場(chǎng)有利地位。但同時(shí)，企業(yè)也隨時(shí)面臨信息泄漏、觸碰法律底線(xiàn)、危害用戶(hù)權(quán)益等可能發(fā)生的問(wèn)題。在此背景下，企業(yè)也在不斷摸索降低各類(lèi)風(fēng)險(xiǎn)的路徑。

一是在風(fēng)險(xiǎn)管理機(jī)制建設(shè)方面，不少企業(yè)已建立專(zhuān)門(mén)的信息安全委員會(huì)，由企業(yè)內(nèi)部信息安全管理部門(mén)、法務(wù)部門(mén)等構(gòu)建跨部門(mén)聯(lián)動(dòng)管理機(jī)制，實(shí)現(xiàn)對(duì)數(shù)據(jù)安全的專(zhuān)門(mén)保護(hù)。

二是在安全等級(jí)標(biāo)準(zhǔn)方面，不少企業(yè)已建立較一般法律更為嚴(yán)格的隱私保護(hù)政策，并通過(guò)外部可信云認(rèn)證、信息安全等級(jí)認(rèn)證等，強(qiáng)化自身安全等級(jí)標(biāo)準(zhǔn)。

三是強(qiáng)化自身技術(shù)防御能力，技術(shù)實(shí)力較強(qiáng)的企業(yè)在技術(shù)保護(hù)防御方面做了大量探索，通過(guò)個(gè)人信息脫敏處理、開(kāi)發(fā)隱私保護(hù)軟件、搭建智能風(fēng)控管理系統(tǒng)等，不斷提升自身安全保護(hù)能力。例如，阿里已通過(guò)構(gòu)建“御城河”數(shù)據(jù)安全防控體系等來(lái)提升自身金融信息安全保護(hù)能力。

四是更新用戶(hù)服務(wù)協(xié)議，自2016年《網(wǎng)絡(luò)安全法》公布至今，包括騰訊微信、新浪微博、淘寶網(wǎng)、京東在內(nèi)的各大互聯(lián)網(wǎng)公司均通過(guò)更新用戶(hù)服務(wù)協(xié)議、隱私政策等方式，重新梳理和確定個(gè)人信息收集使用規(guī)則，以提升與《網(wǎng)絡(luò)安全法》的匹配程度。

鑒于用戶(hù)歷史數(shù)據(jù)龐雜、企業(yè)存儲(chǔ)能力有限、隨時(shí)可能發(fā)生泄漏風(fēng)險(xiǎn)等客觀原因，當(dāng)前，不少企業(yè)也在嘗試對(duì)已收集的用戶(hù)個(gè)人信息進(jìn)行分級(jí)，通過(guò)制作個(gè)人信息清單，將信息來(lái)源、種類(lèi)、敏感程度、接觸人員、與第三方分享情況等信息作一一對(duì)應(yīng)梳理，及時(shí)清理利用價(jià)值較低的個(gè)人信息，進(jìn)一步強(qiáng)化風(fēng)險(xiǎn)管控，便于發(fā)現(xiàn)企業(yè)內(nèi)部風(fēng)險(xiǎn)點(diǎn)。

5　進(jìn)一步發(fā)展完善建議

（1）立法層面

從現(xiàn)有法律體系看，我國(guó)個(gè)人信息保護(hù)的法律框架體系已初步構(gòu)建，但仍存在諸多不足，需要將個(gè)人信息保護(hù)（尤其是涉及財(cái)產(chǎn)的個(gè)人金融信息）上升至國(guó)家法律保護(hù)層面，通過(guò)制定專(zhuān)門(mén)的個(gè)人信息保護(hù)法律，將分散在各層面的法律、法規(guī)、規(guī)章制度等進(jìn)行有效整合，構(gòu)建更加明確的個(gè)人信息法律保護(hù)體系。

（2）監(jiān)管層面

我國(guó)個(gè)人信息管理工作情況與互聯(lián)網(wǎng)治理工作情況相似，仍處于多頭管理局面，即央行主要從業(yè)務(wù)層面提出相關(guān)要求，央行、工信部、公安部、司法部門(mén)等部門(mén)則主要基于職責(zé)，在相關(guān)領(lǐng)域內(nèi)提出具體監(jiān)督管理要求，網(wǎng)信部門(mén)基于互聯(lián)網(wǎng)統(tǒng)籌協(xié)調(diào)職能，負(fù)責(zé)對(duì)互聯(lián)網(wǎng)相關(guān)問(wèn)題作統(tǒng)一部署、指導(dǎo)。下一步，需進(jìn)一步優(yōu)化各部門(mén)之間的協(xié)同管理機(jī)制，明確相應(yīng)監(jiān)管職責(zé)，賦予必要的監(jiān)管手段，形成統(tǒng)一監(jiān)管合力。

（3）合規(guī)層面

目前，企業(yè)有迫切的合規(guī)發(fā)展需求，但是在個(gè)人信息的使用收集方面，《網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)僅提出原則性管理要求，在如何滿(mǎn)足“用戶(hù)知情同意”要求、是否需要公開(kāi)使用規(guī)則等方面，并無(wú)明確的參考標(biāo)準(zhǔn)，處于相對(duì)模糊的狀態(tài)。鑒于此，未來(lái)還需要通過(guò)不斷制定相關(guān)實(shí)施細(xì)則、合規(guī)指引文件等，進(jìn)一步明確企業(yè)合規(guī)管理標(biāo)準(zhǔn)，構(gòu)建行業(yè)統(tǒng)一規(guī)范發(fā)展準(zhǔn)則。

（4）監(jiān)督執(zhí)法層面

立法與監(jiān)督執(zhí)法處于同樣重要的地位。在加強(qiáng)立法建設(shè)的同時(shí)，應(yīng)更注重強(qiáng)化日常監(jiān)督執(zhí)法，在明確各部門(mén)職責(zé)的情況下，通過(guò)聯(lián)合執(zhí)法、開(kāi)展市場(chǎng)專(zhuān)項(xiàng)行動(dòng)、強(qiáng)化投訴舉報(bào)機(jī)制等方式，不斷提升對(duì)個(gè)人信息收集一方的監(jiān)管力度，及時(shí)作出相應(yīng)處置措施，對(duì)違法違規(guī)行為形成有力震懾。

（5）企業(yè)主體責(zé)任層面

在深入推進(jìn)“互聯(lián)網(wǎng)+”發(fā)展的大環(huán)境下，企業(yè)應(yīng)進(jìn)一步提升主體責(zé)任意識(shí)和社會(huì)責(zé)任心，一方面要積極利用技術(shù)手段和平臺(tái)服務(wù)優(yōu)勢(shì)，采取更多用戶(hù)權(quán)益保護(hù)措施，探索構(gòu)建內(nèi)部安全風(fēng)險(xiǎn)防控管理機(jī)制；另一方面也要在遵守國(guó)家相關(guān)法律法規(guī)、推動(dòng)企業(yè)自身發(fā)展和維護(hù)用戶(hù)根本權(quán)益三者之間找尋平衡點(diǎn)，探索持續(xù)穩(wěn)定的企業(yè)發(fā)展之道。

（6）技術(shù)保障層面

在技術(shù)驅(qū)動(dòng)行業(yè)發(fā)展的今天，個(gè)人信息保護(hù)工作面臨的不僅僅是個(gè)人信息不當(dāng)收集使用問(wèn)題，還包括來(lái)自各方數(shù)據(jù)竊取所帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)，以及可能發(fā)生的人身安全風(fēng)險(xiǎn)等，監(jiān)管部門(mén)、數(shù)據(jù)收集企業(yè)等相關(guān)主體應(yīng)當(dāng)在深入了解全球風(fēng)險(xiǎn)形勢(shì)的情況下，不斷強(qiáng)化風(fēng)險(xiǎn)防控能力建設(shè)，通過(guò)開(kāi)發(fā)各類(lèi)反欺詐、反病毒等防御軟件、技術(shù)手段，為我國(guó)信息安全提供良好屏障。

（7）提升安全意識(shí)層面

用戶(hù)作為互聯(lián)網(wǎng)領(lǐng)域弱勢(shì)群體，應(yīng)持續(xù)強(qiáng)化自身隱私保護(hù)意識(shí)，避免個(gè)人信息被不當(dāng)獲取、非法使用。在安全風(fēng)險(xiǎn)發(fā)生之際，應(yīng)積極利用法律武器，依法維護(hù)個(gè)人權(quán)益和利益不受侵害。