魏波 劉曉昊

摘? ?要：執(zhí)法是守法的必要措施，行政規(guī)制體現(xiàn)法治水平與執(zhí)法能力。個人信息數(shù)據(jù)收集亂象在網絡空間領域成為常態(tài)，嚴重影響著互聯(lián)網生態(tài)與個人信息安全。文章通過重點剖析互聯(lián)網產品的數(shù)據(jù)收集亂象，從行政角度探討了國有電信企業(yè)在數(shù)據(jù)治理領域的缺位問題，提出了信息數(shù)據(jù)管理的行政創(chuàng)制構想。文章還對當前行政試點大數(shù)據(jù)管理局的職能缺陷和空白進行了剖析，并依托正在起草研究的《信息安全法》立法規(guī)劃，對個人信息數(shù)據(jù)網絡收集與管理的行政規(guī)制進行探究。

關鍵詞：信息數(shù)據(jù)收集;信息安全;行政;規(guī)制

中圖分類號：TP309? ? ? ? ? 文獻標識碼：A

Administrative regulations on collection and management of personal information data network

Wei Bo1，2， Liu? Xiaohao3

（1.First Research Institute of the Ministry of Public Security of PRC， Beijing 100044;

2.Institute of Computing Technology Chinese Academy of Sciences， Beijing 100190;

3. University of International Relations， Beijing 100091）

Abstract： Law enforcement is a necessary measure to abide by the law， and administrative regulation reflects the level of rule of law and the ability of law enforcement. Personal information data collection disorder has become a normal phenomenon in the field of cyberspace， which seriously affects the Internet ecology and personal information security. By focusing on the status quo of data collection disorder of Internet products and analyzing the reasons from the administrative perspective， this paper explores the absence of state-owned telecommunications enterprises in the field of data governance and the administrative creation concept of multi-dimensional information data management. This paper makes an analysis of the functional defects and gaps of the current administration pilot big data management bureau. Relying on the legislative planning of Personal Information Security Protection Law， this paper explores the administrative regulation of the collection and management of personal information data network.

Key words： information data collection; information security; administration; rules and regulations

1 引言

在當前信息數(shù)據(jù)爆炸式增長的環(huán)境下，個人信息數(shù)據(jù)在網絡上的收集主體比比皆是，收集之后的管理與后續(xù)環(huán)節(jié)，大都呈現(xiàn)出較為混亂的局面。收集主體無限制、無根據(jù)地對用戶信息數(shù)據(jù)進行收集，這些主體尤其以商事主體為主。而在個人信息數(shù)據(jù)的管理領域，則有收集一方和政府管理部門一方在不同領域進行。商事主體的運營行為要在法律基礎上進行，政府部門則是依法進行管理，因此商事主體的運營行為也要受到政府部門的管理。個人信息數(shù)據(jù)的商業(yè)運用是新興領域，需要政府部門在其收集與管理環(huán)節(jié)上進行創(chuàng)新的行政規(guī)制。

2 信息數(shù)據(jù)收集亂象

信息數(shù)據(jù)收集亂象產生的影響并不局限于收集環(huán)節(jié)，如果規(guī)范信息數(shù)據(jù)持有者的收集活動不合理，那么后續(xù)的保存、使用、共享、轉讓、公開披露等信息處理活動便會失控。若不對信息數(shù)據(jù)收集行為加以嚴格規(guī)定，則會引發(fā)一系列問題。因此，如何加強個人信息數(shù)據(jù)收集管理，做到既適應社會信息化發(fā)展需要，又維護公民個人合法利益，保護公共利益，成為當前一項重大而緊迫的課題。

在當前云技術和移動互聯(lián)網迅猛發(fā)展的大背景下，數(shù)據(jù)收集亂象帶來的挑戰(zhàn)不容小覷。“徐玉玉案”等一系列惡性案件給社會帶來的不良影響，使人們充分意識到信息數(shù)據(jù)泄露和濫用帶來的嚴重社會危害，對個人信息保護的需求更加迫切，從而使得民眾對個人信息法律保護的需求與個人信息保護法律缺失之間的矛盾不斷激化。

我國已經頒布實施了大量的互聯(lián)網法律法規(guī)，但這些法律法規(guī)之間缺乏整體性、協(xié)調性，呈現(xiàn)出明顯的分散化現(xiàn)象。這種“多頭立法、政出多門”的現(xiàn)象，必然導致互聯(lián)網法律法規(guī)之間的重復與矛盾。信息化時代，信息保護的漏洞與風險被進一步放大，加強信息保護的重心已經轉移到網絡企業(yè)上。

2.1 互聯(lián)網產品數(shù)據(jù)收集亂象現(xiàn)狀與原因

2019年4月17日，由北京大學互聯(lián)網法律中心、北京大學粵港澳大灣區(qū)知識產權發(fā)展研究院共同完成的《全球百款互聯(lián)網應用產品個人信息保護測評報告（2018）》[4]發(fā)布。這次測評在樣本抽取上，相較往年擴大了測評企業(yè)范圍，測評對象涵蓋了移動醫(yī)療、社交軟件、智能家居等18個領域，所測評的國內外互聯(lián)網產品總數(shù)達到100款。該報告還特別參考了國家標準與產業(yè)特征，據(jù)此進行的行業(yè)分類研究界定更具權威性和科學性。在100款被抽樣測評的國內外互聯(lián)網應用產品中，有5款APP的個人信息保護政策在總體水平上達到“相對優(yōu)秀”標準，35款APP為“表現(xiàn)良好”，31款APP為“表現(xiàn)一般”，29款APP為“表現(xiàn)不佳”。簡而言之，僅5款軟件在個人信息數(shù)據(jù)收集上沒有超出權限，表現(xiàn)合格。

在被測評的18個領域中，個人信息保護政策相對得分較高的是云儲存類、瀏覽器類、出行導航類APP;總體平均得分表現(xiàn)最差的是公益眾籌類、航拍軟件類、智能停車類APP，基本缺乏完整的個人信息保護政策。特別是公益眾籌類軟件還存在著極為嚴重的信息失真問題，正如不斷爆出的“有錢人”眾籌新聞，不合理信息甚至失真信息的濫竽充數(shù)，從另一方面危害到了信息數(shù)據(jù)的安全。

通過對比域內外互聯(lián)網應用產品總體得分情況，報告認為：在政策形式和申訴反饋機制方面，域內APP平均得分相對較高;而在處理周期以及安全與維護機制方面，域外APP普遍表現(xiàn)較好?？傮w評價直觀顯示，除了金融支付領域，域外APP在個人信息和數(shù)據(jù)保護方面整體上更加完善，這得益于域外法治發(fā)展較早、政府管理嚴格。本文從行政規(guī)制視角，剖析我國個人信息數(shù)據(jù)收集與管理出現(xiàn)亂象的原因，找到解決辦法。

個人信息數(shù)據(jù)的收集網絡主體，不僅包含著互聯(lián)網產品，但是作為當前發(fā)展最為迅速的媒介，以APP軟件為代表的互聯(lián)網產品，在收集信息數(shù)據(jù)上有著極為持續(xù)且龐大的渠道和機會?；ヂ?lián)網產品當前面臨的現(xiàn)狀，是在數(shù)據(jù)的海洋中放肆地遨游，而“遨游”的驅動力自然是數(shù)據(jù)信息背后隱藏的經濟利益，這種利益寄生在灰色經濟空間里。其“自由翱翔”的存在，說明了政府監(jiān)管的缺失。這種缺失體現(xiàn)在兩方面：第一，行政對權利和法律的保護力度不夠強大;第二，行政保護措施在職能和執(zhí)行上不夠完善。

公民個人信息數(shù)據(jù)固然內涵廣泛，價值多元，依托載體種類多樣，但首先要明確的是，個人信息數(shù)據(jù)的權屬是歸于公民本人的私權利。在2018年正式實施的《信息安全技術個人信息安全規(guī)范》（GB/T 35273-2017）國家標準中，明確了國家標準對個人信息的具體范圍和種類，包括個人基本資料、個人身份信息、個人生物識別信息等。這些信息的基礎無疑是個人數(shù)據(jù)收集后的整理歸納，所以個人信息數(shù)據(jù)是無法切割的。保護個人信息，就意味著也要保護個人數(shù)據(jù)。對于企業(yè)超權限、違規(guī)收集用戶數(shù)據(jù)，這種數(shù)據(jù)雖然停留在代碼電文階段，但是一經識別就能成為信息，體現(xiàn)價值，包括個人財產價值、社會公共價值和商業(yè)價值。在行政執(zhí)法過程中，對信息的保護往往是事后補救，只有對數(shù)據(jù)進行同樣的保護，才能事先減少個人信息安全事件的發(fā)生，防患于未然。行政力量對于法律保護的私權利無法一視同仁地保障，會導致權利和法律都遭受損害。

而在行政治理過程中，往往存在著“好吃的肉都吃掉了，剩下的都是難啃的硬骨頭”的現(xiàn)象。對于表面上能夠管轄的事務，無論哪個部門都愿意簡單、粗暴地伸手，從而形成一種“九龍治水、大水漫灌”的治理形勢，形成似乎眾志成城治理信息數(shù)據(jù)安全的局面，實際上對于矛盾草草處理，掩蓋了問題的根源。觸及對問題根源的準入審查和治理，則囿于工作技術難度和任務量等原因相互推脫，這就是職能上的不明確以及執(zhí)行上的“挑肥揀瘦”所造成的弊病。

2.2 國有電信企業(yè)在數(shù)據(jù)保護領域的管理缺位

根據(jù)最高人民法院、最高人民檢察院發(fā)布的若干侵犯公民個人信息犯罪典型案例顯示，侵犯公民個人信息犯罪正在與電信網絡詐騙呈合流態(tài)勢，產生嚴重的社會危害。前文提到的“徐玉玉案”即為典型一例由于個人信息泄漏導致的悲劇事件。個人信息數(shù)據(jù)安全事件的發(fā)生，大都與電信業(yè)務有關，其中最直接體現(xiàn)為因電信詐騙引起的利益受損。通過對電信業(yè)務關聯(lián)的個人信息數(shù)據(jù)安全事件進行分析，發(fā)現(xiàn)其根源在于信息數(shù)據(jù)的泄漏和濫用等問題。如果從電信業(yè)務方面進行整治，則能事半功倍。國有企業(yè)（包括中央企業(yè)和地方國企）在我國當前制度框架下，承擔社會責任、分擔政治任務是理所應當?shù)?，而事實上也是如此。《中央企業(yè)社會責任藍皮書》顯示，中央企業(yè)的責任管理更加體系化，法治具有普遍性和統(tǒng)一性， 在價值理念、制度規(guī)范、適用主體和客體、實施空間和范圍、獎懲后果等方面， 法治強調法律面前人人平等，一視同仁、普遍統(tǒng)一、沒有特殊。國有企業(yè)無論以何種性質身份，都有義務維護法律。公平與正義是法律追求的重要價值，無論是國家管理，還是企業(yè)發(fā)展都應當在正義觀念的基礎上進行。國有企業(yè)為國民提供服務與保障公民合法權利是并行不悖的，不能默許和容忍個別違法犯罪分子借助國企進行犯罪活動。

鑒于當前我國的電信業(yè)務大都由國有企業(yè)主導，主要由中國移動、中國聯(lián)通、中國電信三家央企承擔，那么防范電信詐騙與信息安全事件的企業(yè)社會責任，必然以央企為主承擔。當前，電信業(yè)務對于號碼識別功能極強，通過用戶之間通話所產生的標記往往能夠認定電信號碼的用途，針對電信用戶的標記，電信企業(yè)并沒有繼續(xù)深挖其標簽的作用，采取進一步措施來分流管理電信用戶。而其他具備通訊功能的社交軟件如微信、QQ等，都有一套逐級管理用戶的措施，針對用戶行為以及他人的舉報，采取必要及時的措施。對于被標記為電信詐騙的號碼，電信企業(yè)并沒有采取任何限制和調查的措施，這種服務于詐騙號碼的行為實際上是在助推違法行為。對于安全問題，無論是個人或機構，公共的或商業(yè)的，線上的或線下的，承擔保護信息安全責任都是不可缺少的，占有技術優(yōu)勢的企業(yè)主體必須在信息管理上嚴防死守，確保收集起來的信息不被泄露或非法消費。信息數(shù)據(jù)安全事件往往需要與信息數(shù)據(jù)權利人接觸才能產生實質性損失，電信詐騙是重要途徑之一。因此，電信行業(yè)企業(yè)的管理缺位，已成為助推信息安全事件發(fā)生的重要原因。