李雅文　中國信息通信研究院政策與經(jīng)濟研究所工程師

1　引言

隨著云計算、大數(shù)據(jù)和移動互聯(lián)網(wǎng)等新技術(shù)新業(yè)務(wù)的應(yīng)用和普及，個人信息保護在各行業(yè)各領(lǐng)域受到不同程度的沖擊，日漸受到行業(yè)主管部門及行業(yè)內(nèi)企業(yè)、組織的關(guān)注。電信和互聯(lián)網(wǎng)行業(yè)由于其普遍性、承載性、移動性、連續(xù)性以及創(chuàng)新性等特征，在其用戶個人信息保護中具有諸多特殊性。

2　電信和互聯(lián)網(wǎng)行業(yè)的特殊性

總體來看，電信和互聯(lián)網(wǎng)行業(yè)具有以下特征，導(dǎo)致其在個人信息保護領(lǐng)域的特殊性：一是普遍性，不論所處的時間、地點，幾乎每個人都在使用電信和互聯(lián)網(wǎng)服務(wù)，以便同外界保持聯(lián)系，用戶范圍的普遍性使得電信和互聯(lián)網(wǎng)服務(wù)幾乎能夠覆蓋每個個體的信息；二是承載性，電信和互聯(lián)網(wǎng)服務(wù)具有工具屬性，在信息傳輸過程中的承載著海量的內(nèi)容和信息，這使得電信和互聯(lián)網(wǎng)信息服務(wù)能夠獲取超出服務(wù)范圍的大量個人隱私；三是移動性、連續(xù)性，在移動互聯(lián)的背景下，用戶大量使用移動終端和即時通信應(yīng)用軟件，這使得電信和互聯(lián)網(wǎng)能夠持續(xù)、穩(wěn)定的獲取個人信息；四是創(chuàng)新性，互聯(lián)網(wǎng)行業(yè)是新模式新業(yè)務(wù)創(chuàng)新的集中領(lǐng)域，從移動終端到共享經(jīng)濟、從云計算到大數(shù)據(jù)再到區(qū)塊鏈技術(shù)，新興技術(shù)及服務(wù)模式對個人信息保護提供新的挑戰(zhàn)。由于電信和互聯(lián)網(wǎng)行業(yè)的上述特征，使得電信和互聯(lián)網(wǎng)信息服務(wù)提供者不同于金融、醫(yī)療等服務(wù)提供者，在個人信息保護方面面臨嚴(yán)峻的挑戰(zhàn)。

3　我國電信和互聯(lián)網(wǎng)個人信息保護情況

3.1　電信和互聯(lián)網(wǎng)領(lǐng)域個人信息保護的出發(fā)點及淵源

電信和互聯(lián)網(wǎng)領(lǐng)域個人信息保護的出發(fā)點主要分為兩類，一是從個人信息保護的角度出發(fā)，強調(diào)對用戶個人信息的一般保護，保護范圍較廣，但程度適中，缺乏針對性；二是從通信秘密的角度出發(fā)，強調(diào)除偵查刑事犯罪、國家安全等目的外，不得對通信內(nèi)容進行監(jiān)聽，保護范圍集中，但程度較高，具有針對性。

在此基礎(chǔ)上，電信和互聯(lián)網(wǎng)領(lǐng)域個人信息保護的主要依據(jù)分為以下3個方面：一是個人信息保護領(lǐng)域的專門立法，針對個人信息保護的作出全面的規(guī)制，一般普遍適用于各行業(yè)，如美國1974年《隱私法》，歐盟《通用數(shù)據(jù)保護規(guī)則》（GDPR）；二是電信和互聯(lián)網(wǎng)領(lǐng)域的專門立法，從促進行業(yè)內(nèi)企業(yè)合法經(jīng)營和行業(yè)競爭秩序角度，對電信和互聯(lián)網(wǎng)用戶的個人信息權(quán)益保護做出規(guī)定，如美國《1996年電信法》；三是電信和互聯(lián)網(wǎng)領(lǐng)域個人信息保護的專門立法，有針對性的圍繞該領(lǐng)域用戶個人信息做出細化規(guī)定，如美國《電子通信隱法》、《有線通信隱私法》、歐盟e-Privacy指令以及我國《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》（以下簡稱工信部令第24號）。其他依據(jù)還包括從消費者保護、發(fā)不正當(dāng)競爭等角度對個人信息保護進行法律規(guī)則。近年來隨著新技術(shù)新業(yè)務(wù)的不斷發(fā)展和應(yīng)用，各國開始針對特定通信服務(wù)個人信息保護進行專門立法，如法國《云計算數(shù)據(jù)保護指南》、韓國《云計算發(fā)展和用戶保護法》以及歐盟《關(guān)于智能終端的APP的相關(guān)意見》《cookie指令》等。

我國電信和互聯(lián)網(wǎng)領(lǐng)域的專門立法——《電信條例》中，沒有涉及個人信息保護的相關(guān)內(nèi)容，目前個人信息保護法律依據(jù)主要來自：一是個人信息保護相關(guān)立法，包括《網(wǎng)絡(luò)安全法》《全國人大常委會關(guān)于加強個人信息保護的決定》《消費者保護法》《刑法修正案九》等，確立了普遍適用的個人信息保護的相關(guān)規(guī)定，內(nèi)容包括個人信息的界定、個人信息保護原則、規(guī)則以及法律責(zé)任等；二是工信部令第24號對電信和互聯(lián)網(wǎng)用戶的個人信息保護作出專門規(guī)定。

總體來看，我國缺乏個人信息專門立法及電信行業(yè)立法中針對個人信息保護的專門規(guī)定，雖具有行業(yè)專門立法，但出臺時間較早，立法層級較低，無法針對專門問題做出全面、有效的規(guī)制，另外，電信和互聯(lián)網(wǎng)服務(wù)業(yè)務(wù)形態(tài)多、更新快，立法未及時對新業(yè)務(wù)新模式進行規(guī)制。

3.2　電信和互聯(lián)網(wǎng)個人信息的范圍

個人信息的界定在各國立法實踐中存在差異，目前學(xué)界對于個人信息法律概念的界定中，大多將其表述為與特定個人相關(guān)聯(lián)的、反映個體特征的、具有可識別性的信息，包括用戶身份和鑒權(quán)信息、用戶數(shù)據(jù)和服務(wù)內(nèi)容信息以及用戶服務(wù)相關(guān)信息3類。

總體來看，各國立法中的個人信息保護的范疇呈現(xiàn)以下趨勢：一是電信和互聯(lián)網(wǎng)領(lǐng)域的個人信息界定更加細化，如美國《通信法》針對用戶專有網(wǎng)絡(luò)信息（CPNI）、群體信息以及用戶名單信息作出規(guī)定，專門明確用戶數(shù)據(jù)和服務(wù)內(nèi)容信息以及用戶服務(wù)相關(guān)信息的個人信息屬性；二是通過不同層級的多種立法形式予以界定，如美國通過立法、新加坡出臺指南、歐盟EPrivacy指令等多種形式；三是聚焦特定業(yè)務(wù)中的個人信息，韓國《云計算發(fā)展與用戶保護法》中對云計算用戶信息作出專門規(guī)定；新加坡《個人數(shù)據(jù)保護法關(guān)鍵概念咨詢指南》中對IP地址和IMEI碼進行規(guī)定。

我國工信部24號令將電信和互聯(lián)網(wǎng)用戶個人信息界定為，電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結(jié)合識別用戶的信息以及用戶使用服務(wù)的時間、地點等信息。因此總體來看，用戶身份和鑒權(quán)信息以及用戶服務(wù)相關(guān)信息屬于個人信息，而用戶數(shù)據(jù)和服務(wù)內(nèi)容信息，即電信和互聯(lián)網(wǎng)服務(wù)過程中收集的具有用戶隱私屬性的數(shù)據(jù)和內(nèi)容信息未予以明確，同時由通信設(shè)備和技術(shù)引入的IMEI碼、IP地址以及Cookies等特殊信息是否屬于個人信息保護的范疇也存在爭議。

3.3　電信和互聯(lián)網(wǎng)個人信息的義務(wù)主體

通常來看，電信和互聯(lián)網(wǎng)領(lǐng)域的個人信息保護義務(wù)主體為電信服務(wù)提供商，主要圍繞基礎(chǔ)電信服務(wù)提供商。但隨著互聯(lián)網(wǎng)的逐漸滲透，VoIP業(yè)務(wù)模式逐漸發(fā)展成熟，使得個人保護的義務(wù)主體有所擴展。近年來，新模式、新業(yè)務(wù)不斷誕生，云計算、大數(shù)據(jù)服務(wù)提供商由于掌握大量的個人信息，成為新的核心義務(wù)主體。同時，在產(chǎn)業(yè)融合的背景下，共享經(jīng)濟中的個人信息保護義務(wù)主體由于納入第三方平臺等多方主體，因此相關(guān)義務(wù)、責(zé)任有待進一步明確。

從國際立法趨勢來看，最早僅規(guī)制電信服務(wù)提供商，如美國《通信法》規(guī)制轉(zhuǎn)售電信服務(wù)提供商在內(nèi)的電信服務(wù)提供商、設(shè)備制造商；隨著業(yè)務(wù)拓展逐漸發(fā)展制VoIP服務(wù)提供商，如美國CPNI規(guī)則規(guī)定電信運營商和互聯(lián)性VoIP提供商的相關(guān)義務(wù)；近年來互聯(lián)網(wǎng)信息服務(wù)提供者也納入監(jiān)管范疇，如英國的《2003年隱私和電子通信規(guī)定》包括了電信服務(wù)提供者和互聯(lián)網(wǎng)服務(wù)提供者；近年來，隨著業(yè)務(wù)的不斷擴展，APP和云計算服務(wù)提供商也納入范疇，如韓國《云計算發(fā)展與用戶保護法》、法國《云計算數(shù)據(jù)保護指南》等。

從我國立法情況來看，根據(jù)工信部令第24號，電信和互聯(lián)網(wǎng)服務(wù)提供者特指電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者。其中電信業(yè)務(wù)經(jīng)營者指取得電信業(yè)務(wù)經(jīng)營許可提供電信服務(wù)業(yè)務(wù)的主體；互聯(lián)網(wǎng)信息服務(wù)業(yè)務(wù)是指獲得經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)業(yè)務(wù)許可或非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)備案，通過互聯(lián)網(wǎng)向上網(wǎng)用戶有償提供信息或者網(wǎng)頁制作等服務(wù)活動或無償提供具有公開性、共享性信息的服務(wù)活動的主體。而隨著信息通信技術(shù)不斷發(fā)展和應(yīng)用，針對云計算、大數(shù)據(jù)以及共享經(jīng)濟中的新業(yè)務(wù)新業(yè)態(tài)，也應(yīng)當(dāng)進一步明確其業(yè)務(wù)形態(tài)，對于屬于電信和互聯(lián)網(wǎng)服務(wù)的部分，應(yīng)當(dāng)作為相關(guān)業(yè)務(wù)予以監(jiān)管，同時針對其用戶的個人信息進行保護。

3.4　電信和互聯(lián)網(wǎng)個人信息保護機制

電信和互聯(lián)網(wǎng)個人信息保護機構(gòu)可能包括個人信息保護的專門機構(gòu)和電信行業(yè)主管部門。近年來，各國紛紛積極建立個人信息保護機制，而監(jiān)管機構(gòu)是其中的核心要素之一，目前全球已有超過100個國家設(shè)立或指定了個人信息保護專門機構(gòu)，對個人信息保護進行專門監(jiān)管。與此同時，許多違反個人信息保護義務(wù)的行為，如非法收集、處理、泄露個人信息，涉及到未盡到信息安全管理義務(wù)等不正當(dāng)經(jīng)營行為，因此，電信和互聯(lián)網(wǎng)行業(yè)的主管部門，從維護用戶權(quán)益和產(chǎn)業(yè)競爭秩序的角度出發(fā)，當(dāng)然有權(quán)對電信和互聯(lián)網(wǎng)企業(yè)侵犯個人信息權(quán)益的行為進行監(jiān)管并予以處罰。此外，除行政監(jiān)管手段外，電信和互聯(lián)網(wǎng)領(lǐng)域的相關(guān)行業(yè)組織、企業(yè)、用戶自身以及司法機關(guān)，也在個人信息保護機制中發(fā)揮積極作用。

目前，我國個人信息保護仍以行政責(zé)任為主導(dǎo)，但目前尚未設(shè)立或指定個人信息保護專門機構(gòu)，而電信互聯(lián)網(wǎng)行業(yè)主管部門在內(nèi)的相關(guān)主管部門之間存在個人信息保護方面的職權(quán)劃分和銜接不明，需要進一步界定，在執(zhí)法方面存在執(zhí)法力度弱、行業(yè)組織尚未形成有效的自律機制、企業(yè)內(nèi)部管控機制良莠不齊、用戶自助救濟機制有待建立等多方面的問題。

3.5　我國電信和互聯(lián)網(wǎng)個人信息保護總體情況

因此，總體來看，我國電信和互聯(lián)網(wǎng)個人信息保護機制較為薄弱，在立法層面，缺乏專門立法層級較低、缺乏對細化規(guī)定、可操作性不強、未對新興業(yè)態(tài)進行跟進；保護機制層面，以政府監(jiān)管為主、但執(zhí)法力度不強，行業(yè)組織、企業(yè)、用戶參與度不高，尚未形成多維度的保護機制。

4　我國電信和互聯(lián)網(wǎng)個人信息保護的建議

未來我國電信和互聯(lián)網(wǎng)用戶個人信息保護應(yīng)當(dāng)在進一步細化立法的基礎(chǔ)上，努力形成政府主導(dǎo)、行業(yè)參與、多方配合的保護機制。在政府層面，通過立法出臺、政策制定、標(biāo)準(zhǔn)發(fā)布來明確電信和互聯(lián)網(wǎng)用戶個人信息保護的制度框架，為監(jiān)管機構(gòu)提供執(zhí)法依據(jù)、為用戶提供救濟手段，同時加強相關(guān)立法的落實力度。在政府主導(dǎo)下，由行業(yè)層面多方配合，各主體在互動中形成規(guī)則、統(tǒng)籌推進、協(xié)同監(jiān)管、分擔(dān)責(zé)任；同時，企業(yè)、行業(yè)組織、用戶通過行業(yè)自律、落實執(zhí)行、監(jiān)督問責(zé)等方式予以配合、形成合力。

4.1　立法層面

一是出臺個人信息保護專門立法，提升電信和互聯(lián)網(wǎng)用戶個人信息保護立法層級，避免因立法層級限制執(zhí)法力度；二是細化個人信息保護相關(guān)具體規(guī)定，滿足規(guī)制和指導(dǎo)需求，進一步明確電信和互聯(lián)網(wǎng)個人信息保護的范疇以及信息保護的權(quán)利義務(wù)，為各方落實相關(guān)義務(wù)提供指引，使相關(guān)規(guī)范更具可操作性；三是保持對新技術(shù)新業(yè)務(wù)的追蹤研究，在充分平衡產(chǎn)業(yè)發(fā)展、市場安全和用戶保護的基礎(chǔ)上，對新技術(shù)、新業(yè)務(wù)中的新增主體及其義務(wù)進行規(guī)制，將其納入監(jiān)管框架；四是除立法外，鼓勵行業(yè)協(xié)會及相關(guān)組織制定相關(guān)標(biāo)準(zhǔn)以及指南，以滿足不同的指引和規(guī)范需求。

4.2　執(zhí)法層面

一是加強個人信息保護執(zhí)法力度，加強行政執(zhí)法機關(guān)的執(zhí)法力度，建立、完善監(jiān)督檢查和糾紛解決機制，降低執(zhí)法和監(jiān)管過程中的任意性和不確定性，充分落實現(xiàn)有立法的制度規(guī)定，二是設(shè)立或指定個人信息保護專門機構(gòu)，明確與其他有關(guān)部門的職能劃分，形成個人信息主管機構(gòu)和行業(yè)主管部門協(xié)作機制，發(fā)揮行業(yè)主管部門在個人信息保護機制中的作用。

4.3　多方治理機制層面

一是充分發(fā)揮電信和互聯(lián)網(wǎng)領(lǐng)域行業(yè)協(xié)會的積極作用，結(jié)合技術(shù)特征和應(yīng)用發(fā)展，制定有針對性的行業(yè)自律規(guī)范，為電信和互聯(lián)網(wǎng)企業(yè)提供指引，形成行業(yè)自律機制。二是促進隱私保護認證機制及第三方評估機制的建立，針對電信和互聯(lián)網(wǎng)企業(yè)的個人信息保護機制建設(shè)和具體措施進行評估認證，引導(dǎo)、督促企業(yè)完善其內(nèi)部機制和能力建設(shè)。三是加強企業(yè)內(nèi)自律，要求企業(yè)充分落實相關(guān)義務(wù)，建立完善其內(nèi)部隱私保護機制建設(shè)，加強人員權(quán)限管理，建立個人信息全流程監(jiān)督機制，完善隱私管理制度和操作細則、規(guī)范和流程，建立風(fēng)控、預(yù)警以及應(yīng)急機制，并對隱私日志進行留存。

4.4　用戶權(quán)益維護和救濟層面

一是在服務(wù)中為用戶提供更多主動權(quán)，包括服務(wù)前的個人信息收集、使用的選擇權(quán)、服務(wù)中的個人信息查詢權(quán)、修改權(quán)以及服務(wù)終結(jié)后的刪除權(quán)、攜帶權(quán)等；二是建立多方投訴舉報制度，建立、完善用戶向企業(yè)、行業(yè)組織、第三方隱私保護機構(gòu)以及監(jiān)管部門進行投訴舉報的機制及處理機制，保障個人信息侵權(quán)能夠及時發(fā)現(xiàn)；三是降低司法救濟難度，適度調(diào)整隱私侵權(quán)糾紛中的證明標(biāo)準(zhǔn)和舉證責(zé)任分配，保障用戶能夠以較低的成本通過司法途徑維護其權(quán)益。