◆楊 帆 馬卓元 田國敏 楊向東

探究互聯(lián)網(wǎng)時代下的個人信息安全保護(hù)

◆楊 帆 馬卓元 田國敏 楊向東

（陜西省網(wǎng)絡(luò)與信息安全測評中心 陜西 710065）

互聯(lián)網(wǎng)時代下，信息被稱為“新石油”，個人信息的價值不斷被挖掘、被使用，個人信息泄露、非法收集和濫用等問題日漸凸顯，個人信息安全面臨嚴(yán)重威脅。本文描述了個人信息泄露的途徑，闡述了個人信息面臨的主要風(fēng)險，分析了個人信息安全保護(hù)存在的問題，并提出了個人信息安全保護(hù)應(yīng)對措施。

個人信息；個人信息安全保護(hù)

隨著我國移動互聯(lián)網(wǎng)、云計算、人工智能等新技術(shù)新應(yīng)用的快速發(fā)展與普及，每個個體隨時隨地都在產(chǎn)生大量的數(shù)據(jù)，而濫用、泄露、出售個人信息或者非法向他人提供所收集的個人信息等違法行為日益增多，不但使個人的人身財產(chǎn)安全受到嚴(yán)重威脅，也不利于經(jīng)濟(jì)社會的健康發(fā)展。因此，本文對互聯(lián)網(wǎng)時代下的個人信息安全保護(hù)問題進(jìn)行分析與研究。

1 個人信息概念

2018年實(shí)施的國家標(biāo)準(zhǔn)《信息安全技術(shù)個人信息安全規(guī)范》指出，個人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等[1]。該項定義與《網(wǎng)絡(luò)安全法》相比較，增加了一條反映特定自然人活動情況的信息，將互聯(lián)網(wǎng)用戶在網(wǎng)絡(luò)上的行蹤軌跡納入個人信息范疇內(nèi)。從法律定義中我們不難看出，個人信息范圍十分寬泛，只要能夠識別出特定自然人身份，與特定自然人相關(guān)聯(lián)的信息都屬于個人信息。

2 個人信息泄露途徑

2.1 非法收集

根據(jù)全國消協(xié)組織受理消費(fèi)者投訴情況統(tǒng)計，2018年上半年電商平臺、社交平臺軟件等非法搜集消費(fèi)者個人信息現(xiàn)象成為投訴新熱點(diǎn)。據(jù)有關(guān)受訪者調(diào)查顯示，超八成受訪者都曾遭遇過個人信息泄露問題，而服務(wù)商將用戶個人信息泄露是目前主要問題[2]。許多不良服務(wù)商往往過度、隱秘或誘騙收集個人信息，更有甚者，采用諸多協(xié)議強(qiáng)迫用戶同意其“霸王條款”，然后對個人信息非法采集與使用。

2.2 擅自披露

受利益驅(qū)使或者出于其他目的，在未獲得法律授權(quán)、未經(jīng)過本人允許或者高于必要限度，掌握信息資源的有關(guān)機(jī)構(gòu)或行業(yè)內(nèi)部從業(yè)人員對外私自提供或披露公民的個人信息，使得諸如姓名、性別、身份證號、手機(jī)號碼、座機(jī)號碼、家庭住址、工作單位、房產(chǎn)狀況等“海量”的個人信息在網(wǎng)上非法買賣，個人信息“黑市”猖獗。

2.3 非法竊取

不法分子常常通過使用專業(yè)軟件或利用系統(tǒng)漏洞、釣魚網(wǎng)站、甚至是植入木馬等方式非法入侵到人們使用的各類智能終端或應(yīng)用中竊取各種個人信息，從而獲取巨大利益，并將竊取到的個人信息在黑市中進(jìn)行非法倒賣或者直接從事違法犯罪活動，影響公眾網(wǎng)絡(luò)生活的安寧和秩序，破壞個人的合法權(quán)益和社會公共利益。

2.4 無意泄露

政府機(jī)構(gòu)、企業(yè)部門均擁有大量的公民個人信息或集團(tuán)用戶信息，部門與部門之間、上級與下級之間、行業(yè)與行業(yè)之間尚未完全實(shí)現(xiàn)聯(lián)網(wǎng)，加上設(shè)備不完善、技術(shù)不成熟、管理不規(guī)范、人員流動頻繁等原因，公民個人信息在政府機(jī)構(gòu)、企業(yè)部門信息往來中，即使沒有違反現(xiàn)行法律法規(guī)、行業(yè)行規(guī)等，也沒有利益交換情況下，也很容易出現(xiàn)泄露。此外，公眾在日常生活中使用手機(jī)、證件復(fù)印件、快遞單等重要的個人信息載體時疏忽大意，或者未采取安全的防范措施也易導(dǎo)致個人信息泄露。

3 個人信息安全保護(hù)存在的問題

3.1 法律法規(guī)建設(shè)不完善

當(dāng)前，國家有關(guān)部門雖然已經(jīng)針對個人信息安全保護(hù)工作開展相關(guān)研究，但是暫時還沒有出臺一部專門針對個人信息安全保護(hù)方面的法律。而我國相關(guān)法律法規(guī)、規(guī)范性文件中涉及個人信息安全保護(hù)的內(nèi)容較為零散，現(xiàn)有的保護(hù)個人信息安全的法律法規(guī)存在體系設(shè)計不完整、內(nèi)容構(gòu)造不健全、條款數(shù)目不充足、適用范圍不明確等問題，無法切實(shí)保護(hù)公民的個人信息不受侵害，也不能有效打擊侵害公民個人信息的違法犯罪活動。

3.2 監(jiān)管部門管理不到位

我國至今沒有設(shè)立獨(dú)立的個人信息保護(hù)機(jī)構(gòu)，保護(hù)個人信息安全的各部門職責(zé)分工不明晰，行政管理上存在分割、分治的狀況，多部門共同監(jiān)管的混亂狀態(tài)下存在監(jiān)管標(biāo)準(zhǔn)不統(tǒng)一、監(jiān)管方法不明確、監(jiān)管效果不顯著、監(jiān)管責(zé)任不到位等問題，導(dǎo)致個人信息保護(hù)在某些方面被重復(fù)監(jiān)管，某些方面卻被遺漏，且個人信息主體維權(quán)時極易遭遇投訴無門、維權(quán)無路、部門之間推諉扯皮的困境。

3.3 行業(yè)自律保護(hù)水平差

雖然政府部門或企業(yè)牽頭成立了一些約束企業(yè)行為的個人信息保護(hù)行業(yè)自律聯(lián)盟制定了較為完善正規(guī)的隱私保護(hù)原則，但由于行業(yè)自律本身的自發(fā)性決定了其更多地依靠企業(yè)自覺履行責(zé)任和義務(wù)，而許多企業(yè)的積極性和主動性較差，導(dǎo)致行業(yè)自律組織難以約束規(guī)范企業(yè)收集、使用個人信息行為。此外，必要運(yùn)轉(zhuǎn)資金的匱乏也使其無法持續(xù)性地切實(shí)督促企業(yè)落實(shí)個人信息保護(hù)責(zé)任和義務(wù)，更無法發(fā)揮企業(yè)在個人信息安全保護(hù)方面的引導(dǎo)和示范作用。

3.4 個人信息安全保護(hù)意識薄弱

由于個人信息安全宣傳、教育與培訓(xùn)不足，使得公民的個人信息安全意識淡薄和對此安全重要性的認(rèn)知水平有限，又或者服從于個人占便宜的心理作用，導(dǎo)致不法分子輕而易舉地獲得了個人信息數(shù)據(jù)，而公民自身往往并沒有察覺到其無意的行為已引發(fā)個人信息遭到泄露。此外，在遭遇個人信息泄露事件時，大部分人往往“自認(rèn)倒霉”，只有極少數(shù)人積極維權(quán)，依法舉報、投訴、報警等。

4 個人信息安全保護(hù)應(yīng)對措施

4.1 加快推進(jìn)立法進(jìn)程

國家亟需出臺獨(dú)立、完善、權(quán)威的個人信息保護(hù)法。一方面，要整合、修改和補(bǔ)充原有的法律規(guī)范，建立規(guī)范、系統(tǒng)的法律體系。另一方面，要明確個人信息收集、處理和利用過程中的法律條款和要求，個人信息保護(hù)的基本原則、基本制度、基本行為規(guī)范和法律責(zé)任等。此外，對于非法獲取、泄露個人信息等違法犯罪行為還需給出清晰的處罰標(biāo)準(zhǔn)，以確保對公民個人信息進(jìn)行合法收集、處理和利用。

4.2 建立健全監(jiān)管機(jī)制

部分省份雖“先走先行”，設(shè)立了相關(guān)大數(shù)據(jù)管理機(jī)構(gòu)，但工作成效并不理想。統(tǒng)一、開放、信息共享的多部門聯(lián)動協(xié)同監(jiān)管機(jī)制需要從上而下的頂層設(shè)計，以明確監(jiān)管機(jī)構(gòu)主體責(zé)任，確定監(jiān)管機(jī)構(gòu)職責(zé)權(quán)限，劃分監(jiān)管機(jī)構(gòu)監(jiān)管領(lǐng)域。此外，還需制定清晰的監(jiān)管目標(biāo)，采取合理的監(jiān)管模式，出臺完善的監(jiān)管政策，以個人信息安全保護(hù)法為主要遵循，形成“立法”與“執(zhí)法”相輔相成的個人信息安全保護(hù)機(jī)制，以有效落實(shí)各項監(jiān)管工作。

4.3 推動制定標(biāo)準(zhǔn)規(guī)范

在國家法律和主管部門監(jiān)管雙重約束下，應(yīng)加強(qiáng)個人信息安全保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范的制定與出臺，一方面可以推動法律法規(guī)、監(jiān)管政策的具體落地，另一方面可以指導(dǎo)企事業(yè)單位從實(shí)踐的角度，落實(shí)相關(guān)要求。目前，以《個人信息安全規(guī)范》為基礎(chǔ)的國家標(biāo)準(zhǔn)體系正在逐漸完備中，各企事業(yè)單位應(yīng)積極參考國家標(biāo)準(zhǔn)體系，建立符合自身發(fā)展需求的內(nèi)部治理方案，在保護(hù)個人信息安全的基礎(chǔ)上更好地挖掘利用數(shù)據(jù)價值。

4.4 大力加強(qiáng)宣傳教育

政府部門作為個人信息安全保護(hù)的監(jiān)管主體，應(yīng)努力做好實(shí)踐工作，帶頭尊重并保護(hù)個人信息，加大教育培訓(xùn)力度，鼓勵民眾積極參與，營造保護(hù)個人信息安全的良好環(huán)境氛圍。同時，公民應(yīng)及時關(guān)注國內(nèi)外信息安全事件，提高個人信息安全保護(hù)意識，提升個人信息安全防范技能，在涉及個人信息收集、使用等情況時應(yīng)提高警惕，一旦發(fā)現(xiàn)有可疑情況時積極采取應(yīng)對措施，以防個人信息數(shù)據(jù)被非法采集、處理和使用。

5 結(jié)語

本文分析了我國個人信息面臨的主要風(fēng)險、個人信息安全保護(hù)存在的問題，并分別從加快推進(jìn)我國個人信息安全保護(hù)立法、建立健全監(jiān)管機(jī)制、推動制定標(biāo)準(zhǔn)規(guī)范以及加大宣傳教育這四方面提出了建議，有助于公民、社會及政府更好地保護(hù)個人信息安全。

[1]GB/T 35273-2017《信息安全技術(shù)個人信息安全規(guī)范》.

[2]中國消費(fèi)者協(xié)會.《APP個人信息泄露情況調(diào)查報告》.

[3]王丁.我國個人信息保護(hù)的現(xiàn)狀及相關(guān)對策探討[J].中國新通信，2019，21（03）：108-110.

[4]何延哲，陳舒.我國個人信息保護(hù)標(biāo)準(zhǔn)體系與實(shí)踐[J].保密科學(xué)技術(shù)，2018（10）：19-23.