孫春艷　中國信息通信研究院產(chǎn)業(yè)與規(guī)劃研究所工程師

1　引言

近年來，企業(yè)違法收集大量用戶信息或通過收集到的個人信息實(shí)施金融詐騙等不法現(xiàn)象時有發(fā)生，已成為互聯(lián)網(wǎng)領(lǐng)域重大安全隱患之一。從“徐玉玉案”到“支付寶年度賬單事件”，關(guān)于個人信息保護(hù)的話題從未中斷。

2　近期熱點(diǎn)事件及凸顯的問題

例如，2018年4月，中國人民銀行杭州中心支行根據(jù)《非金融機(jī)構(gòu)支付服務(wù)管理辦法》和《中華人民共和國消費(fèi)者權(quán)益保護(hù)法》，對支付寶（中國）網(wǎng)絡(luò)技術(shù)有限公司作出行政處罰，并給予警告。據(jù)中國人民銀行（以下簡稱“央行”）行政處罰信息公示表披露，支付寶此次違規(guī)具體包括3方面原因，其中在個人信息保護(hù)方面，存在個人金融信息收集不符合最少、必需原則以及個人金融信息使用不當(dāng)?shù)膯栴}。據(jù)悉，自2017年至今，支付寶已先后受到3次相關(guān)行政處罰，2018年1月，還曾因存在“用戶個人信息收集使用規(guī)則、使用目的告知不充分的情況”被工業(yè)和信息化部（以下簡稱“工信部”）約談，并要求限期整改，相關(guān)事件的發(fā)生，距2017年9月聯(lián)合簽署“個人信息保護(hù)倡議書”僅半年。

再如，中國互聯(lián)網(wǎng)協(xié)會曾發(fā)布《2016中國網(wǎng)民權(quán)益保護(hù)調(diào)查報告》，報告顯示，我國54%的網(wǎng)民認(rèn)為個人信息泄露情況嚴(yán)重，84%的網(wǎng)民曾親身遭遇因個人信息泄露帶來的不良影響，網(wǎng)絡(luò)非法獲取公民信息已形成“源頭-中間商-非法使用人員”的黑色產(chǎn)業(yè)鏈，而該源頭，即大多源自互聯(lián)網(wǎng)中具有數(shù)據(jù)收集功能的企業(yè)。

以上案例，在一定程度上反映了我國在金融領(lǐng)域個人信息保護(hù)力度的提升，同時也凸顯當(dāng)前社會存在的普遍性問題：

一是我國公民隱私權(quán)利保護(hù)意識不足。以“支付寶年度賬單事件為例”，支付寶年度賬單服務(wù)推出后，大多數(shù)用戶忽視獲取賬單前所默認(rèn)勾選同意的“《芝麻服務(wù)協(xié)議》”，一旦用戶簽署這份協(xié)議，芝麻信用則包攬了用戶個人數(shù)據(jù)的使用、分析、開發(fā)等授權(quán)，而相關(guān)數(shù)據(jù)具備較強(qiáng)的金融屬性，對于用戶本身來說則至關(guān)重要敏感。

二是企業(yè)普遍缺乏社會責(zé)任意識。2017年6月1日《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）生效后，幾乎所有的互聯(lián)網(wǎng)企業(yè)均被納入監(jiān)管范圍，在收集使用用戶信息方面，被賦予用戶“事先知情同意”的告知義務(wù)。為規(guī)避違規(guī)風(fēng)險，適應(yīng)相關(guān)規(guī)定要求，一年以來，各知名互聯(lián)網(wǎng)企業(yè)均不同程度調(diào)整了相關(guān)隱私條款或用戶服務(wù)協(xié)議，但顯然，相關(guān)情況并未根本改善，已普遍衍生為“一經(jīng)用戶同意，即可隨意收集、使用用戶個人信息”的行業(yè)亂象。

三是金融類企業(yè)風(fēng)險水平較高。金融類企業(yè)因其特有的金融服務(wù)屬性，以及我國對征信行業(yè)設(shè)置的特殊管理規(guī)則，較其他具有“收集個人信息”功能的企業(yè)來說，擁有更廣闊的渠道來收集、使用用戶相關(guān)敏感度高、最有商業(yè)價值的身份信息，例如身份證號碼、銀行賬號、手機(jī)號碼、家庭地址等，因此，也承載了更多金融信息泄漏和濫用風(fēng)險。

3　我國相關(guān)管理規(guī)定及執(zhí)法情況

目前，我國對用戶個人信息（尤其是個人金融信息）的保護(hù)，主要基于《網(wǎng)絡(luò)安全法》及相關(guān)具體管理規(guī)定，具體分別由央行、工信部、網(wǎng)信等主管部門在各自負(fù)責(zé)領(lǐng)域內(nèi)開展相關(guān)監(jiān)督管理工作。

（1）金融領(lǐng)域

2011年，央行發(fā)布《關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個人金融信息保護(hù)工作的通知》（銀發(fā)[2011]17號），對銀行業(yè)金融機(jī)構(gòu)所涉及的個人金融信息做了明確分類，明確提出一系列信息保護(hù)要求。2013年，國務(wù)院頒布《征信業(yè)管理?xiàng)l例》，對征信機(jī)構(gòu)可收集用戶信息范圍、維護(hù)用戶知情權(quán)、救濟(jì)權(quán)等方面作出明確規(guī)定，并先后出臺《征信機(jī)構(gòu)管理辦法》、《征信機(jī)構(gòu)監(jiān)管指引》、《企業(yè)征信機(jī)構(gòu)備案管理辦法》等一系列配套制度和行業(yè)標(biāo)準(zhǔn)，對于引導(dǎo)征信業(yè)規(guī)范發(fā)展具有里程碑意義。隨著移動互聯(lián)網(wǎng)的持續(xù)發(fā)展，近期，央行下發(fā)了《關(guān)于進(jìn)一步加強(qiáng)征信信息安全管理的通知》（銀發(fā)[2018]102號），進(jìn)一步加強(qiáng)對企業(yè)和個人征信系統(tǒng)運(yùn)行機(jī)構(gòu)和接入機(jī)構(gòu)征信信息安全管理，強(qiáng)化對APP查詢征信信息的管理。

（2）互聯(lián)網(wǎng)領(lǐng)域

2012年，《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》對提出“相關(guān)組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息”初步個人信息管理要求；2015年，工信部出臺《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》，從規(guī)章層面對電信業(yè)務(wù)經(jīng)營者及互聯(lián)網(wǎng)信息服務(wù)提供者的個人信息保護(hù)責(zé)任作出明確規(guī)定；2016年《網(wǎng)絡(luò)安全法》的出臺，則正式將互聯(lián)網(wǎng)用戶個人信息保護(hù)工作提升至前所未有的法律保護(hù)高度。

（3）司法領(lǐng)域

2014年至今，最高人民法院結(jié)合司法管理需求，聯(lián)合相關(guān)司法管理部門先后通過制定或修訂《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》、《中華人民共和國刑法修正案（九）》、《關(guān)于辦理電信網(wǎng)絡(luò)詐騙等刑事案件適用法律若干問題的意見》等管理規(guī)定，強(qiáng)化對公民個人信息的保護(hù)力度，提高侵犯公民個人信息罪的相關(guān)刑事責(zé)任，并結(jié)合當(dāng)前形勢，明確提出“同時實(shí)施電信網(wǎng)絡(luò)詐騙犯罪行為的，采取數(shù)罪并罰”。

（4）其他領(lǐng)域

除了上述專門領(lǐng)域外，我國新修訂的《民法總則》、《消費(fèi)者權(quán)益保護(hù)法》等，也分別從民事領(lǐng)域、消費(fèi)者權(quán)益保護(hù)等角度，對個人信息收集一方的法律責(zé)任和義務(wù)作出明確規(guī)定，我國有關(guān)個人信息保護(hù)的法律體系逐步完善。

目前，全世界約有150多個國家已就個人信息保護(hù)制定專門立法，我國對個人信息的保護(hù)則主要是在《網(wǎng)安法》基本原則框架下，分散在上述各領(lǐng)域具體規(guī)定中。2017年，全國人大代表、中國人民銀行杭州中心支行行長殷興山曾呼吁全國人大加快《個人金融信息保護(hù)法》立法進(jìn)程，將個人金融信息保護(hù)上升到國家法律的高度。當(dāng)前，產(chǎn)業(yè)界和學(xué)界則對出臺我國專門的《個人信息保護(hù)法》的呼聲較高，國務(wù)院相關(guān)部門對此曾表示，正在抓緊開展相關(guān)研究工作，隨著“互聯(lián)網(wǎng)+”的不斷深入以及網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的持續(xù)延伸，還需要深入考慮促進(jìn)商業(yè)發(fā)展和提升個人信息保護(hù)力度之間的平衡，以及推動技術(shù)發(fā)展和維護(hù)個人利益之間的平衡等。

2017年下旬，網(wǎng)信部門、工信部門、公安部門以及國家標(biāo)準(zhǔn)委曾聯(lián)合開展個人信息保護(hù)提升行動之隱私條款專項(xiàng)工作，并在《網(wǎng)絡(luò)安全法》正式實(shí)施3個月之際便開展貫徹落實(shí)《網(wǎng)絡(luò)安全法》的執(zhí)法檢查活動，隨后半年里開展了多次相關(guān)約談、處置工作，總的來看，個人信息保護(hù)工作已被提升至空前重要的位置。未來，相關(guān)執(zhí)法檢查保護(hù)工作或?qū)⒊蔀槌B(tài)。

4　企業(yè)相關(guān)完善實(shí)踐

基于商業(yè)發(fā)展和風(fēng)險防控的需要，企業(yè)會主動或被動收集大量用戶個人信息，對于企業(yè)自身來說，既是機(jī)遇也是挑戰(zhàn)。當(dāng)今時代，掌握數(shù)據(jù)即掌握企業(yè)發(fā)展主導(dǎo)權(quán)，企業(yè)可以通過數(shù)據(jù)分享創(chuàng)造價值、拓展廣告營銷合作伙伴，甚至可以通過算法構(gòu)建人臉模型實(shí)現(xiàn)精準(zhǔn)信息推送等，以不斷占據(jù)市場有利地位。但同時，企業(yè)也隨時面臨信息泄漏、觸碰法律底線、危害用戶權(quán)益等可能發(fā)生的問題。在此背景下，企業(yè)也在不斷摸索降低各類風(fēng)險的路徑。

一是在風(fēng)險管理機(jī)制建設(shè)方面，不少企業(yè)已建立專門的信息安全委員會，由企業(yè)內(nèi)部信息安全管理部門、法務(wù)部門等構(gòu)建跨部門聯(lián)動管理機(jī)制，實(shí)現(xiàn)對數(shù)據(jù)安全的專門保護(hù)。

二是在安全等級標(biāo)準(zhǔn)方面，不少企業(yè)已建立較一般法律更為嚴(yán)格的隱私保護(hù)政策，并通過外部可信云認(rèn)證、信息安全等級認(rèn)證等，強(qiáng)化自身安全等級標(biāo)準(zhǔn)。

三是強(qiáng)化自身技術(shù)防御能力，技術(shù)實(shí)力較強(qiáng)的企業(yè)在技術(shù)保護(hù)防御方面做了大量探索，通過個人信息脫敏處理、開發(fā)隱私保護(hù)軟件、搭建智能風(fēng)控管理系統(tǒng)等，不斷提升自身安全保護(hù)能力。例如，阿里已通過構(gòu)建“御城河”數(shù)據(jù)安全防控體系等來提升自身金融信息安全保護(hù)能力。

四是更新用戶服務(wù)協(xié)議，自2016年《網(wǎng)絡(luò)安全法》公布至今，包括騰訊微信、新浪微博、淘寶網(wǎng)、京東在內(nèi)的各大互聯(lián)網(wǎng)公司均通過更新用戶服務(wù)協(xié)議、隱私政策等方式，重新梳理和確定個人信息收集使用規(guī)則，以提升與《網(wǎng)絡(luò)安全法》的匹配程度。

鑒于用戶歷史數(shù)據(jù)龐雜、企業(yè)存儲能力有限、隨時可能發(fā)生泄漏風(fēng)險等客觀原因，當(dāng)前，不少企業(yè)也在嘗試對已收集的用戶個人信息進(jìn)行分級，通過制作個人信息清單，將信息來源、種類、敏感程度、接觸人員、與第三方分享情況等信息作一一對應(yīng)梳理，及時清理利用價值較低的個人信息，進(jìn)一步強(qiáng)化風(fēng)險管控，便于發(fā)現(xiàn)企業(yè)內(nèi)部風(fēng)險點(diǎn)。

5　進(jìn)一步發(fā)展完善建議

（1）立法層面

從現(xiàn)有法律體系看，我國個人信息保護(hù)的法律框架體系已初步構(gòu)建，但仍存在諸多不足，需要將個人信息保護(hù)（尤其是涉及財產(chǎn)的個人金融信息）上升至國家法律保護(hù)層面，通過制定專門的個人信息保護(hù)法律，將分散在各層面的法律、法規(guī)、規(guī)章制度等進(jìn)行有效整合，構(gòu)建更加明確的個人信息法律保護(hù)體系。

（2）監(jiān)管層面

我國個人信息管理工作情況與互聯(lián)網(wǎng)治理工作情況相似，仍處于多頭管理局面，即央行主要從業(yè)務(wù)層面提出相關(guān)要求，央行、工信部、公安部、司法部門等部門則主要基于職責(zé)，在相關(guān)領(lǐng)域內(nèi)提出具體監(jiān)督管理要求，網(wǎng)信部門基于互聯(lián)網(wǎng)統(tǒng)籌協(xié)調(diào)職能，負(fù)責(zé)對互聯(lián)網(wǎng)相關(guān)問題作統(tǒng)一部署、指導(dǎo)。下一步，需進(jìn)一步優(yōu)化各部門之間的協(xié)同管理機(jī)制，明確相應(yīng)監(jiān)管職責(zé)，賦予必要的監(jiān)管手段，形成統(tǒng)一監(jiān)管合力。

（3）合規(guī)層面

目前，企業(yè)有迫切的合規(guī)發(fā)展需求，但是在個人信息的使用收集方面，《網(wǎng)絡(luò)安全法》等相關(guān)法律法規(guī)僅提出原則性管理要求，在如何滿足“用戶知情同意”要求、是否需要公開使用規(guī)則等方面，并無明確的參考標(biāo)準(zhǔn)，處于相對模糊的狀態(tài)。鑒于此，未來還需要通過不斷制定相關(guān)實(shí)施細(xì)則、合規(guī)指引文件等，進(jìn)一步明確企業(yè)合規(guī)管理標(biāo)準(zhǔn)，構(gòu)建行業(yè)統(tǒng)一規(guī)范發(fā)展準(zhǔn)則。

（4）監(jiān)督執(zhí)法層面

立法與監(jiān)督執(zhí)法處于同樣重要的地位。在加強(qiáng)立法建設(shè)的同時，應(yīng)更注重強(qiáng)化日常監(jiān)督執(zhí)法，在明確各部門職責(zé)的情況下，通過聯(lián)合執(zhí)法、開展市場專項(xiàng)行動、強(qiáng)化投訴舉報機(jī)制等方式，不斷提升對個人信息收集一方的監(jiān)管力度，及時作出相應(yīng)處置措施，對違法違規(guī)行為形成有力震懾。

（5）企業(yè)主體責(zé)任層面

在深入推進(jìn)“互聯(lián)網(wǎng)+”發(fā)展的大環(huán)境下，企業(yè)應(yīng)進(jìn)一步提升主體責(zé)任意識和社會責(zé)任心，一方面要積極利用技術(shù)手段和平臺服務(wù)優(yōu)勢，采取更多用戶權(quán)益保護(hù)措施，探索構(gòu)建內(nèi)部安全風(fēng)險防控管理機(jī)制；另一方面也要在遵守國家相關(guān)法律法規(guī)、推動企業(yè)自身發(fā)展和維護(hù)用戶根本權(quán)益三者之間找尋平衡點(diǎn)，探索持續(xù)穩(wěn)定的企業(yè)發(fā)展之道。

（6）技術(shù)保障層面

在技術(shù)驅(qū)動行業(yè)發(fā)展的今天，個人信息保護(hù)工作面臨的不僅僅是個人信息不當(dāng)收集使用問題，還包括來自各方數(shù)據(jù)竊取所帶來的國家安全風(fēng)險，以及可能發(fā)生的人身安全風(fēng)險等，監(jiān)管部門、數(shù)據(jù)收集企業(yè)等相關(guān)主體應(yīng)當(dāng)在深入了解全球風(fēng)險形勢的情況下，不斷強(qiáng)化風(fēng)險防控能力建設(shè)，通過開發(fā)各類反欺詐、反病毒等防御軟件、技術(shù)手段，為我國信息安全提供良好屏障。

（7）提升安全意識層面

用戶作為互聯(lián)網(wǎng)領(lǐng)域弱勢群體，應(yīng)持續(xù)強(qiáng)化自身隱私保護(hù)意識，避免個人信息被不當(dāng)獲取、非法使用。在安全風(fēng)險發(fā)生之際，應(yīng)積極利用法律武器，依法維護(hù)個人權(quán)益和利益不受侵害。