◆呂宏強 郭萍

淺談個人信息的法律保護

◆呂宏強1郭萍2

（1.中共寶雞市委黨校 陜西 721001；2.中共陜西省委黨校 陜西 710061）

“法律是治國之重器，良法是善治之前提”。在個人信息威脅日益劇增、法律保護體系不健全的實情下，合理利用和有效保護個人信息已成為社會各界廣泛關注的熱點問題。本文從個人信息面臨的威脅入手，通過對個人信息法律保護存在問題進行分析，提出了多位一體的個人信息法律保護思路。

個人信息；安全威脅；法律保護

隨著信息技術的廣泛應用和互聯網的不斷普及，個人信息面臨威脅五花八門、防不勝防，給個人信息的防護帶來了前所未有的挑戰(zhàn)。合理利用和有效保護個人信息已成為社會各界廣泛關注的熱點問題，個人信息保護迫在眉睫。

1 個人信息面臨的威脅及防護特點

1.1 個人信息面臨的主要威脅

截至2020年12月底我國網民數量達9.89億，龐大的網民數量所面臨的各種威脅更加嚴峻。近年來，個人信息面臨的傳統威脅仍然以信息泄漏、病毒、木馬、詐騙、假冒、信息騷擾為主。新的威脅五花八門、令人防不勝防，新威脅主要有：APT攻擊，惡意軟件，勒索攻擊，IoT僵尸網絡攻擊，滲透攻擊、挖礦木馬攻擊、新冠疫情話題攻擊等，攻擊者的技戰(zhàn)術水平日益提高。

目前，全球范圍內最具代表性、影響最大、危害最嚴重的是APT攻擊。APT攻擊成為政治斗爭、經濟制裁、軍事打擊之外最隱蔽、最有效的攻擊方式，越來越多的國家已經組建國家級的APT攻擊組織（網絡軍隊）。針對我國的境外APT組織主要有：美國的方程式和索倫之眼，越南的海蓮花，印度的曼寧花、響尾蛇、白象，朝鮮的黑店、Lazarus等。以APT攻擊為代表的新的網絡威脅，不僅嚴重危害個人信息安全，甚至還威脅到國家安全。

1.2 個人信息防護的特點

網絡威脅的日新月異和防不勝防，加大了個人信息防護的難度。個人信息防護呈現如下新特點：

（1）網絡威脅多元化：網絡面臨的威脅不是單一的，而是諸多攻擊技術融合、多元化的威脅。如APT攻擊與勒索病毒、木馬攻擊融合，VPN攻擊與木馬技術融合。再加上網絡交易的便捷化，使得黑客交流攻擊技術和提升攻擊能力的途徑更加多樣，使得威脅檢測和防護難度再次加大。

（2）APT組織政府化：APT組織由以前的非政府組織變?yōu)檎?、國家性組織，國家層面的攻防對抗正向“實戰(zhàn)化攻防”演變，網絡軍隊取代黑客組織，APT攻擊與地區(qū)間的政治、經濟、軍事沖突同步發(fā)生。

（3）黑客群體大眾化：黑客通過黑客論壇、網上交易、暗網等渠道交易各種黑客工具，這使得一般的人低成本輕易獲得各種黑客攻擊教程和工具，并通過網絡輕而易舉攻擊他人。黑客群體的大眾化，進一步加大了信息安全的防護。

（4）經濟損失巨額化：2019年網絡安全給全球造成的經濟損失達到2.5萬億美元，并逐年增加。網絡威脅的損失超過一般的自然災難的損失，“網絡威脅勝于災難”。

（5）信息防護復雜化：面對復雜多變的威脅，防護的難度和復雜度加大。道高一尺魔高一丈，防護總是走在攻擊之后，信息防護任重道遠。

2 個人信息法律保護存在的問題

目前，網民正面臨著各種前所未有的威脅，我國成為遭受網絡攻擊最嚴重的國家之一。同時，我們同發(fā)達國家的網絡安全防護技術水平差距較大，個人信息保護的相關法律制定和執(zhí)行還存在諸多問題。

2.1 個人信息的法律保護模式不明確

關于個人信息的法律保護模式，國際上主要有三種模式：歐盟模式——立法規(guī)制模式，是以政府立法為主導實現對個人信息的保護。美國模式——行業(yè)自律模式，是建立在對個人資料隱私保護的基礎上，其立場所強調的精神是行業(yè)自律，而不是政府法律規(guī)制的介入。日本模式——綜合保護模式，以歐盟立法規(guī)制模式為主，引進美國的行業(yè)保護機制，通過政府立法和行業(yè)自律共同實現個人信息的保護，同時注重提高個人的保護意識。

關于個人信息的法律保護模式，目前國內理論界處于眾說紛紜的階段，理論探討的多，實際實施的少，還沒有建立明確的個人信息保護的法律模式，對個人信息的本質也存在爭議，這必然導致在法律保護上的無力。

2.2 個人信息保護的法律體系不完善

在國外，關于個人信息保護的法律法規(guī)制訂的比較早，法律體系相對比較健全。德國早在1976年頒布《聯邦資料保護法》，英國1984年制定《數據保護法》，歐盟1995年通過了《歐盟個人數據保護指令》。美國早在1974年就通過了《保護隱私權的法案》，1997年提出了關于網絡個人隱私的保護基本原則。日本早在1974年制定了個人信息條例，1988年10月制定和實施行政機關電子計算機處理個人信息保護法，2006年發(fā)布了工業(yè)標準《個人信息保護管理體系——要求事項》。

在我國，近年來有關個人信息的法律法規(guī)陸續(xù)發(fā)布。2014年習近平總書記指出“沒有網絡安全，就沒有國家安全”；2015年刑法修正案（9）涉及個人信息的保護；2017年《網絡安全法》實施；2018年中央網絡安全和信息化委員會改組成功；2019年《密碼法》、《等保2.0》等相關法律法規(guī)頒布，《網絡安全威脅信息發(fā)布管理辦法》征求意見已完成，發(fā)布時間待定；2020年10月《個人信息安全規(guī)范》實施。除此之外，我國的憲法、民法典、刑法、行政法等涉及個人信息保護的法律法規(guī)達20多部，但全都比較籠統，責任不明晰，侵權處罰不明確，操作性不強，法律體系不完善。

2.3 個人信息管理行業(yè)自律機制不健全

在我國，涉及個人信息的管理機構和部門比較多，但是管理都比較松散，缺少行業(yè)自律機制，對于個人信息管理過程的保密工作做得不夠好，經常出現的個人信息泄露大部分都是由于行業(yè)管理人員的有意或者無意導致的。

2.4 政府的行政監(jiān)管和法律執(zhí)行不力

政府對整個信息產業(yè)的監(jiān)管權較為分散，缺少統一性以及全局性，監(jiān)管能力較弱。根據我國信息行業(yè)的實際情況，現在的主要目標是加強政府對行業(yè)自律監(jiān)管的統一性及執(zhí)法性。比如大量個人信息從行政管理部門泄露，與政府的行政監(jiān)管不力有關。民政、醫(yī)療、工商、工信、教育等部門均存在個人信息泄漏的現象。同時關于個人信息保護的相關法律執(zhí)行也不力，存在有法不依現象。

3 個人信息法律保護的思路

個人信息的保護涉及道德、理念、技術、標準、管理、法律等許多層面問題，所以個人信息的保護應該全面考慮，著力構建多位一體的保護體系。其中道德和理念方面是相對個人信息主體而言的；技術、標準、管理是相對信息行業(yè)而言；法律層面的保護是從法制角度而言，是保護中的基礎和重點。

3.1 盡快確立個人信息的法律保護模式

國際上個人信息的法律保護模式已施行多年，各有千秋。整體而言，美國模式較為松散，不統一；而歐盟模式則較為死板，過于嚴格。因此有學者提出建議，主張我國實行所謂的綜合模式，這種模式大致可以分為兩種：一種是以美國行業(yè)自律模式為主，再增加歐盟模式的立法規(guī)制；另一種是以歐盟立法規(guī)制模式為主，再融合美國模式的行業(yè)自律。從我國的國情看，應該采用第二種，也就是加強國家的統一立法，同時完善行業(yè)的自律法規(guī)。

3.2 健全個人信息保護法律體系

“法律是治國之重器，良法是善治之前提?！蔽覀儜摚阂皇且勒站C合保護模式盡快制定我國的《個人信息保護法》；二是推進行業(yè)管理的立法工作，通過一系列的法律法規(guī)來保障個人信息的安全；三是修訂完善相關的法律法規(guī)，比如在憲法、民法典、刑法、行政法等法律體系中明確增加相關個人信息保護的條款等。

3.3 完善信息行業(yè)自律機制

在網絡時代，行業(yè)自律發(fā)揮著極其重要的作用。在進行立法規(guī)制的過程中，將行業(yè)自律也納入個人信息保護模式當中，將行業(yè)自律同相關的法律規(guī)定有機結合，克服立法規(guī)制模式的缺點，以便更好地保護個人信息。一要完善網站的隱私權聲明保護。在網站的隱私聲明中，應當明確告知網站收集個人信息資料的方式、范圍及使用目的；應明確告知網民在使用其服務時可能存在的個人信息被侵害的風險，并對此風險提出針對性的技術防護方案。二要加強信息行業(yè)內部監(jiān)督。行業(yè)內部的監(jiān)督可以有效審查和督促個人信息保護，同時相對于政府的監(jiān)管會更直接、更有效。為了更有效加強行業(yè)內部監(jiān)督，應建立一套專門的自身監(jiān)督激勵機制，最大程度進行行業(yè)內部監(jiān)督，從而更好地保護個人信息安全。

3.4 加強政府行政監(jiān)管力度

政府應該發(fā)揮自身監(jiān)管職能，對互聯網行業(yè)進行充分有效的監(jiān)管，以達到個人信息的有效保護。根據我國信息行業(yè)的實際情況，目前主要目標是加強政府對行業(yè)自律監(jiān)管的統一性及執(zhí)法性。建議：一是應當建立獨立的信息行業(yè)自律監(jiān)管機構，可以有效避免監(jiān)管主體的缺失或者監(jiān)管重復的現象；同時根據實際情況可以賦予監(jiān)管機構相應的職權。二是在監(jiān)管的程序方面，應當堅持行政公開和公眾參與的原則，保證監(jiān)管工作的公開化和透明化；并及時反饋信息服務提供者及網民的意見，提高監(jiān)管工作的實效性。

3.5 完善法律輔助保護作用

一是從行政法方面完善。針對我國的實際情況，可以先進行行政立法保護個人信息。由于民法立法速度的緩慢和立法程序的復雜，滿足不了個人信息的保護需求。行政立法具有自身的靈活性、程序簡便性，可以適應快速變化的網絡社會。二是從刑法方面完善。刑法在個人信息保護方面起著非常重要的作用。2009年的刑法修正案（7）和2015年8月刑法修正案（9）中有相關個人信息保護的條款，但是比較籠統，不夠明確和嚴厲，不夠全面和系統。因此，結合其他部門法不斷修正刑法，發(fā)揮刑法在個人信息保護中的重要作用。

3.6 加大個人信息保護相關法律的實施力度

“法律的生命力在于實施，法律的權威也在于實施”。法律能否達到有效的個人信息保護，關鍵在于法律的實施。因此，一要加強普法宣傳，通過宣傳提高民眾的法律保護意識；二要盡快健全保證個人信息保護相關法律正常實施的機制；三要簡化個人信息侵權案件的受理程序，使民眾能夠方便地進行申訴維權。

[1]齊愛民.個人信息的法律保護[J].民商法前沿論壇，2012-2.

[2]郎慶斌，孫毅.個人信息安全——研究與實踐[M].人民出版社，2012：11.

[3]羅伯特?瓦摩西（美國）.個人信息保衛(wèi)戰(zhàn)[M].機械工業(yè)出版社，2012：6.

[4]張超.淺析個人信息的法律保護[EB/OL].中國法院網，2013：05.

[5]劉春泉.大數據時代個人信息的法律保護[R].中國電子商務研究中心，2014-09-18.

[6]王祥偉，賀宏斌.網絡個人信息的法律保護[J].人民論壇，2014-07-29.