李亞平

摘要：互聯(lián)網(wǎng)環(huán)境下，個人信息安全風(fēng)險問題日益突出，個人信息保護面臨著立法滯后、各方利益矛盾、技術(shù)更新迅速等多種困難。從網(wǎng)絡(luò)個人信息保護面臨的主要問題出發(fā)，研究個人信息侵害的隱蔽性以及個人信息監(jiān)管的權(quán)力邊界不清晰的問題，在此基礎(chǔ)上，對安全風(fēng)險的原因進行了分析，進而提出了網(wǎng)絡(luò)個人信息保護的具體策略，這對于互聯(lián)網(wǎng)環(huán)境下個人信息保護具有積極的意義。

關(guān)鍵詞：個人信息；保護；互聯(lián)網(wǎng)

中圖分類號：TP393 文獻標(biāo)識碼：A 文章編號：1009-3044（2018）08-0063-03

1引言

隨著電子商務(wù)、社交網(wǎng)絡(luò)的深度應(yīng)用和不斷延伸，個人信息作為一種重要的網(wǎng)絡(luò)資源普遍存在于各個互聯(lián)網(wǎng)平臺中。由于個人信息具有的商業(yè)價值，使得個人信息面臨的安全風(fēng)險問題日益突出。2013年2月1日，國內(nèi)首個個人信息保護國家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》正式實施，《指南》將個人信息劃分為個人敏感信息和個人一般信息兩大類。其中個人敏感信息主要是指“一旦遭到泄露或修改，會對標(biāo)識的個人信息主體造成不良影響的個人信息”。在國外的相關(guān)研究和實踐中，《歐盟指令》將個人信息界定為：有關(guān)自然人的能被識別和可以識別的所有信息。在日本的個人信息保護中，則主要將個人信息從靜態(tài)的屬性信息延伸到個人生活記錄。由此可見，個人信息有廣義狹義之分，狹義的個人信息更多強調(diào)的是與特定自然人相關(guān)的屬性信息，廣義的個人信息則是與自然人相關(guān)并能夠被識別的所有信息。即不僅包含自然人的屬性信息，也包括其行為信息以及社會關(guān)系信息等。

針對個人信息保護的相關(guān)研究十分廣泛。從立法保護的角度看，文獻[3]提出政府應(yīng)通過制定相應(yīng)的救濟措施，提高技術(shù)防范手段，保障公民的隱私權(quán)和言論自由權(quán)不受侵擾。文獻[4]闡述了美國引入第三方安全檢測機構(gòu)和自律組織的經(jīng)驗，同時針對中國的國情，提出網(wǎng)民隱私權(quán)保護的重點是針對網(wǎng)絡(luò)服務(wù)商的監(jiān)管。從技術(shù)保護的角度看，文獻[5]針對網(wǎng)民身份信息的保護提出了基于可信服務(wù)器的云存儲架構(gòu)，以實現(xiàn)數(shù)據(jù)存儲和用戶個人信息管理隔離。文獻[6]、文獻[7]分別研究了物聯(lián)網(wǎng)和大數(shù)據(jù)環(huán)境下的網(wǎng)民個人隱私保護問題。從監(jiān)管保護的角度看，文獻[8]研究了有限實名網(wǎng)絡(luò)中的個人信息保護，提出發(fā)揮政府職能部門和權(quán)威第三方監(jiān)管作用的具體策略。文獻[9]從政府監(jiān)管的視角研究了大數(shù)據(jù)環(huán)境下個人信息保護。

在網(wǎng)絡(luò)個人信息保護相關(guān)研究的基礎(chǔ)上，本文重點從網(wǎng)絡(luò)個人信息保護面臨的主要問題出發(fā)，重點研究個人信息侵害的隱蔽性以及個人信息監(jiān)管的權(quán)力邊界不清晰的問題，在此基礎(chǔ)上，從利益驅(qū)使、立法滯后、追責(zé)不力、誠信缺失等角度對個人安全風(fēng)險的原因進行了分析，進而提出了網(wǎng)絡(luò)個人信息保護的具體策略。

2網(wǎng)絡(luò)個人信息保護面臨的問題

互聯(lián)網(wǎng)環(huán)境下，個人信息保護面臨著立法滯后、各方利益矛盾、技術(shù)更新迅速等多種困難，相關(guān)研究進行了較為廣泛和深入的分析。本文重點分析網(wǎng)絡(luò)個人信息侵害的隱蔽性問題以及個人信息監(jiān)管中的權(quán)力邊界模糊性問題。

2.1個人信息侵害的隱蔽性

（1）技術(shù)手段的隱蔽性

隨著信息技術(shù)手段的不斷進步，對網(wǎng)民個人信息的采集、存儲和轉(zhuǎn)移更為便利，同時也更為隱蔽。從個人信息采集的角度看，在網(wǎng)絡(luò)系統(tǒng)存在漏洞的情況下，通過技術(shù)手段竊取個人隱私信息具有較高的隱蔽性，即使事后察覺，也很難彌補已經(jīng)發(fā)生的信息泄露和可能產(chǎn)生的危害。此外，通過數(shù)據(jù)挖掘等技術(shù)手段獲取更廣泛的個人行為信息等，則更加難以防范。

（2）侵害主體的隱蔽性

技術(shù)手段的隱蔽性，不可避免地帶來侵害主體的隱蔽性問題。隨著技術(shù)門檻不斷降低，無論是個人或是企業(yè)都能夠更為便利地借助相應(yīng)的信息技術(shù)手段獲取網(wǎng)民個人信息。這使得在個人信息泄露發(fā)生時，追蹤侵害主體存在明顯的困難。同時，由于侵害主體的隱蔽性，進一步刺激個人信息泄露風(fēng)險的發(fā)生，并使得監(jiān)管和追責(zé)面臨很大的障礙。

（3）交易行為的隱蔽性

由于網(wǎng)民個人信息通常以“電子數(shù)據(jù)”的形式存在，這些“電子數(shù)據(jù)”通過網(wǎng)絡(luò)渠道能夠非常便利地被買賣和轉(zhuǎn)移。通過社交平臺、即時通訊軟件、電子商務(wù)平臺等，網(wǎng)民個人信息的轉(zhuǎn)移、買賣的整個交易過程，從溝通、供貨、支付都能夠?qū)崿F(xiàn)虛擬化和網(wǎng)絡(luò)化，既隱蔽又十分迅速。

2.2個人信息監(jiān)管的權(quán)力邊界不清晰

（1）行業(yè)監(jiān)管權(quán)利邊界不清晰

互聯(lián)網(wǎng)的快速發(fā)展，使得個人信息的立法保護相對滯后。在此情況下，行業(yè)協(xié)會的監(jiān)管顯得尤為重要。然而由于網(wǎng)絡(luò)權(quán)力邊界的不確定性以及個人信息資源邊界的模糊性，使得行業(yè)協(xié)會的監(jiān)管缺乏有效性和針對性。針對互聯(lián)網(wǎng)企業(yè)在個人隱私信息采集、存儲、使用、保護等方面行業(yè)監(jiān)管還缺乏有效的評估能力、預(yù)警能力和追責(zé)能力。

（2）行政監(jiān)管的權(quán)利邊界不清晰

目前針對個人信息的行政監(jiān)管主要存在兩方面的問題。首先，面向互聯(lián)網(wǎng)治理，國內(nèi)已經(jīng)制定了一些涉及個人信息保護的法律法規(guī)，然而，這些法律法規(guī)還很分散，這在一定程度上導(dǎo)致網(wǎng)民個人信息保護的監(jiān)管工作呈現(xiàn)多頭管理、交叉管理或無人管理的情形。其次，互聯(lián)網(wǎng)的發(fā)展日新月異，現(xiàn)有的行政資源并不能夠滿足個人隱私信息保護全面監(jiān)管的需要。

3個人信息安全風(fēng)險的原因分析

3.1個人信息產(chǎn)生的利益驅(qū)使

隨著網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，網(wǎng)民個人信息作為一種重要的資源已經(jīng)成為互聯(lián)網(wǎng)企業(yè)追求經(jīng)濟利益的重要渠道?！吨袊W(wǎng)絡(luò)空間安全發(fā)展報告（2015）》中同樣認為，由于電子商務(wù)、電子支付、網(wǎng)絡(luò)營銷等網(wǎng)絡(luò)應(yīng)用的實際需要，網(wǎng)民個人隱私信息在也逐漸成為企業(yè)、商家和非法分子謀取經(jīng)濟利益的工具。因此，不難看出巨大的經(jīng)濟利益仍然是我國個人信息安全面臨風(fēng)險的直接原因。

3.2技術(shù)發(fā)展凸顯的法律空白

電子商務(wù)、大數(shù)據(jù)、互聯(lián)網(wǎng)+、社交網(wǎng)絡(luò)等網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)應(yīng)用的快速發(fā)展，使得個人信息保護在法律方面的欠缺日益突出。由于沒有專門的個人信息保護法，目前國內(nèi)對于個人隱私信息保護的法律法規(guī)仍舊分散在憲法、刑法、侵權(quán)責(zé)任法等各類法律法規(guī)中，并主要側(cè)重于保護個人隱私、通信秘密等。雖然，國內(nèi)對于互聯(lián)網(wǎng)領(lǐng)域的法律法規(guī)、司法解釋不斷完善，包括最新公布的《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》，但目前由于信息技術(shù)及其應(yīng)用快速發(fā)展帶來的個人信息保護的法律問題仍十分突出。

3.3監(jiān)管漏洞導(dǎo)致的追責(zé)不力

近年來，關(guān)于互聯(lián)網(wǎng)行業(yè)中個人信息保護類條例和規(guī)章制度得到了越來越多的重視。由于針對個人信息的使用和保護無法給予有效的監(jiān)管，使得互聯(lián)網(wǎng)平臺在個人信息采集、存儲、使用、保護中，仍然更多地處在自我約束的階段。同時，由于追責(zé)力度不夠，也使得相關(guān)規(guī)定難以得到落實。以此前工信部發(fā)布的《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》為例，該《指南》在個人信息保護方面給出了很多建設(shè)性的操作方案，由于該《指南》并不是強制性標(biāo)準(zhǔn)，因此在個人隱私信息保護中對互聯(lián)網(wǎng)企業(yè)約束作用仍然十分有限。

3.4誠信缺失引發(fā)的信息濫用

目前，我國企業(yè)每年因不誠信導(dǎo)致的經(jīng)濟損失高達6000億元人民幣，國內(nèi)的個人誠信和企業(yè)誠信情況并不樂觀。《中國城市信用狀況監(jiān)測評價報告2017》顯示，誠信缺失問題在一定程度上已經(jīng)成為制約我國經(jīng)濟社會持續(xù)有序健康穩(wěn)定發(fā)展的頑癥?；ヂ?lián)網(wǎng)企業(yè)及其工作人員的誠信缺失問題，對網(wǎng)民個人信息保護帶來顯著的影響。首先，企業(yè)及其工作人員未能按照相關(guān)規(guī)定的要求，履行保護用戶個人隱私信息的責(zé)任。其次，出于企業(yè)及其工作人員自身利益的訴求，過度采集個人隱私信息的情形仍然普遍存在。此外，出于商業(yè)利益濫用個人隱私信息，包括與其他企業(yè)共享網(wǎng)民個人信息，也為個人信息風(fēng)險埋下隱患。

4互聯(lián)網(wǎng)環(huán)境下個人信息保護策略

4.1加快個人信息保護的立法與追責(zé)

首先，建立健全法制。隨著大數(shù)據(jù)時代的來臨，個人隱私信息安全面臨更加嚴(yán)峻的形勢。因此，加快對個人隱私信息保護的立法已經(jīng)勢在必行，政府職能部門也正從建立健全法律法規(guī)、標(biāo)準(zhǔn)等多方面，加大網(wǎng)絡(luò)個人隱私信息保護的力度。由于個人隱私信息作為一種重要的資源，其內(nèi)涵十分廣泛，邊界也十分模糊，借鑒國外個人隱私信息保護的立法經(jīng)驗，制定專門的個人信息保護法是當(dāng)前國內(nèi)互聯(lián)網(wǎng)健康發(fā)展的迫切需要。

其次，加大追責(zé)力度。對于個人隱私信息的保護，立法是前提，切實可行的追責(zé)才是關(guān)鍵。以《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》為例，《決定》雖然明確提出“任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息”，但對于違法組織對侵害個人隱私信息安全的行為應(yīng)該承擔(dān)什么樣的責(zé)任，以及如何追責(zé)，有誰追責(zé)等還缺乏可操作的手段和具體要求，因此相應(yīng)的法律法規(guī)也還面臨著如何落到實處的困難。

4.2建立政府主導(dǎo)、行業(yè)協(xié)會主辦的監(jiān)管體系

做好個人隱私信息保護，加強政府部門的監(jiān)管職能必不可少。對于互聯(lián)網(wǎng)企業(yè)的監(jiān)管還應(yīng)該放到互聯(lián)網(wǎng)的環(huán)境中去解決，借鑒上海對電商平臺進行信用監(jiān)管的網(wǎng)上監(jiān)管模式，在個人隱私信息保護中，探索推進更加全面的“互聯(lián)網(wǎng)+監(jiān)管”模式，由政府主導(dǎo)、第三方參與的個人隱私信息保護監(jiān)管體系，在互聯(lián)網(wǎng)監(jiān)管領(lǐng)域強化互聯(lián)網(wǎng)企業(yè)以及第三方的監(jiān)管力量。

針對如何構(gòu)建監(jiān)管體系，首先，應(yīng)圍繞核心的互聯(lián)網(wǎng)企業(yè)建立覆蓋不同領(lǐng)域的行業(yè)自律委員會或類似的第三方非政府機構(gòu)，推進政府部門的監(jiān)管職權(quán)進一步下放，政府職能部門重點關(guān)注于管好行業(yè)自律委員會和核心互聯(lián)網(wǎng)企業(yè)，通過監(jiān)管幾個“點”實現(xiàn)監(jiān)管整個“面”。其次，應(yīng)建立政府職能部門與行業(yè)監(jiān)管機構(gòu)之間的信息共享，并進一步調(diào)動監(jiān)管機構(gòu)、組織和個人的監(jiān)管積極性，從而打造新的網(wǎng)絡(luò)監(jiān)管方式。

4.3大力推進互聯(lián)網(wǎng)企業(yè)信用體系建設(shè)

網(wǎng)絡(luò)實名制通過推進網(wǎng)絡(luò)信用的建設(shè)，但與此同時也增加了個人信息在各個網(wǎng)絡(luò)平臺的累積。國務(wù)院發(fā)布的《社會信用體系建設(shè)規(guī)劃綱要（2014-2020年）》中提出，要逐步落實網(wǎng)絡(luò)實名制、建立網(wǎng)絡(luò)信用評價體系、建立涵蓋互聯(lián)網(wǎng)企業(yè)及上網(wǎng)個人的網(wǎng)絡(luò)信用檔案。因此，社會信用體系建設(shè)進入一個快速推進的階段。

在此基礎(chǔ)上，如何將個人信息保護與互聯(lián)網(wǎng)企業(yè)的信用建設(shè)相結(jié)合，還應(yīng)做好以下兩方面工作。首先，將互聯(lián)網(wǎng)企業(yè)在個人隱私信息采集、使用等方面管理制度的建設(shè)納入企業(yè)信用評價體系，引導(dǎo)互聯(lián)網(wǎng)企業(yè)進一步減少個人信息過度采集、非授權(quán)的濫用等行為。其次，規(guī)范第三方信用評價行為，提高其公信力。進一步建立政府主導(dǎo)、第三方參與的評價模式。同時，鑒于第三方信用評價的規(guī)范性和可行性成為信用體系建設(shè)的重要作用，對第三方信用評價機構(gòu)同樣應(yīng)予以有效的監(jiān)管。

4.4加強個人信息安全意識的提升

企業(yè)與個人的信息安全意識是個人信息安全的重要支撐。首先要普及實名網(wǎng)絡(luò)環(huán)境個人隱私信息安全教育，目前，社會公眾對個人信息法律法規(guī)的了解明顯不足。因此，加強信息安全教育不只是提高企業(yè)、個人的信息安全意識，更重要的是在個人信息保護立法的同時，加強對相應(yīng)的法律法規(guī)制度的宣傳。其次，要加大對互聯(lián)網(wǎng)企業(yè)組織信息安全培訓(xùn)的引導(dǎo)，引導(dǎo)互聯(lián)網(wǎng)企業(yè)將個人信息安全保護納入到企業(yè)與員工的保密協(xié)議中，提高互聯(lián)網(wǎng)企業(yè)及其工作人員的信息安全意識。此外，還應(yīng)加大信息安全專業(yè)人才的培養(yǎng)，通過引導(dǎo)企業(yè)甚至信息安全崗位，推動信息安全專業(yè)的人才培養(yǎng)，從而進一步促進社會各方面對信息安全的重視。

5小結(jié)

隨著互聯(lián)網(wǎng)應(yīng)用的不斷推進，個人信息安全問題日益突出。由于利益驅(qū)使、立法滯后、監(jiān)管缺失、誠信不足一系列問題，導(dǎo)致在互聯(lián)網(wǎng)環(huán)境中累積的個人隱私信息面臨過度采集、泄露、商業(yè)濫用等風(fēng)險。本文對當(dāng)前互聯(lián)網(wǎng)環(huán)境下的個人隱私信息安全風(fēng)險凸顯的主要問題進行分析，在此基礎(chǔ)上，提出了加快個人隱私信息保護的立法與追責(zé)，建立政府主導(dǎo)、行業(yè)協(xié)會主辦的監(jiān)管體系，大力推進互聯(lián)網(wǎng)企業(yè)信用體系建設(shè)，提升信息安全意識等具體建議。