◆李嚴 楊向東

（陜西省網(wǎng)絡(luò)與信息安全測評中心 陜西 710065）

數(shù)據(jù)收集作為數(shù)據(jù)處理活動的首個環(huán)節(jié)，對于所收集信息的安全保障沒有明確要求，導(dǎo)致近年來因為個人信息泄漏而造成的安全事件日漸頻發(fā)，產(chǎn)生的社會不良影響越來越大，群眾對于個人信息保護的呼聲也是愈發(fā)強烈。本文意在討論在數(shù)據(jù)收集過程中個人信息所面臨的風(fēng)險隱患以及各國對于個人信息保護方面的政策措施。

1 數(shù)據(jù)收集過程的個人信息泄漏問題

（1）數(shù)據(jù)收集者的惡意采集

個人信息的泄漏主要存在于企業(yè)或者機構(gòu)在未經(jīng)許可、模糊認證或者惡意捆綁的情況下進行的數(shù)據(jù)收集行為，以及數(shù)據(jù)控制者以營利為目的故意泄漏或者非法買賣個人信息的行為。

（2）數(shù)據(jù)主體安全防范意識不強

雖然近年來對個人信息的保障力度在逐漸加大，但是由于目前社會大眾的個人信息保護意識還不強，在對自身沒有實質(zhì)性傷害或者個人利益損失的情況下對于這種惡意的個人信息收集行為防備意識依然薄弱。

（3）安全事件發(fā)生后責(zé)任難以界定

目前出現(xiàn)的因為個人信息泄漏而產(chǎn)生的利益損害存在著損失界定困難的問題，個人信息的泄漏所產(chǎn)生的連帶損失非常嚴重，損失經(jīng)常存在于經(jīng)濟利益，但是更為嚴重的是個人信息泄漏對于人格尊嚴和心理健康的影響。

（4）缺乏專職的安全監(jiān)管部門

個人信息保護工作不僅僅體現(xiàn)在通過立法對個人信息保護規(guī)范、保護范圍、處罰方式等進行統(tǒng)一進行明確，還體現(xiàn)在個人信息保護工作的組織機構(gòu)的保障。歐洲各國已經(jīng)明確成立了類似于數(shù)據(jù)保護局和數(shù)據(jù)保護專員的專職數(shù)據(jù)保護部門，而我國在這方面還沒有成立類似的政府專職監(jiān)管部門。

2 國內(nèi)外個人信息保護措施

（1）歐盟制定出臺《通用數(shù)據(jù)保護條例》（GDPR）

歐盟個人信息保護工作早在1980 年就已開始，各成員國陸續(xù)頒布了各自國家的個人數(shù)據(jù)保護法。不過，歐盟內(nèi)各成員國所制定的不同法律也帶來了不利后果，一是各個成員國的公民個人信息保障的水平并不一致，二是企業(yè)或機構(gòu)在歐盟區(qū)域內(nèi)開展數(shù)據(jù)商業(yè)活動時，必須符合各個國家的個人信息保護法。為了克服這些負面影響，歐盟在2016 年正式通過了《通用數(shù)據(jù)保護條例》，由此也在真正意義上統(tǒng)一了歐盟各國的個人信息安全保障體系規(guī)則，確保了執(zhí)行標(biāo)準(zhǔn)的一致性。

《通用數(shù)據(jù)保護條例》中關(guān)于個人信息保護提出了明確要求，第一是數(shù)據(jù)確權(quán)，明確數(shù)據(jù)主體的七項有效權(quán)利，知情權(quán)、訪問權(quán)、反對權(quán)、限制處理權(quán)、反自動化決策權(quán)、被遺忘權(quán)、可攜帶權(quán)。第二是對數(shù)據(jù)控制者做出嚴格要求，要求數(shù)據(jù)控制者設(shè)置數(shù)據(jù)安全保護崗位，并需要制定完善的個人數(shù)據(jù)保護措施和管理規(guī)范。第三是明確設(shè)置個人信息保護專職研究機構(gòu)和行政機構(gòu)。第四是加大違法收集、處理個人信息行為的處罰力度，截至2020 年因違反《通用數(shù)據(jù)保護條例》而產(chǎn)生的罰金已累計到4.67 億歐元。

（2）我國《個人信息保護法》正式施行

為進一步加強個人信息保護法制保障、維護網(wǎng)絡(luò)空間良好生態(tài)，2021 年8 月20 日第十三屆全國人民代表大會第三十次會議通過了《中華人民共和國個人信息保護法》（以下簡稱《個保法》），并于2021年11 月1 日起開始正式施行?！秱€保法》是中國大陸境內(nèi)首部完整的關(guān)于個人信息保護的法規(guī)，即保障了中國大陸境內(nèi)互聯(lián)網(wǎng)絡(luò)快速發(fā)展，又與國際個人信息保護政策接軌，是維護國家利益的重要手段。

《個保法》對于數(shù)據(jù)權(quán)利者的各項權(quán)利做出了具體規(guī)定，“數(shù)據(jù)權(quán)利者有權(quán)拒絕、知悉、修正數(shù)據(jù)處理者對其數(shù)據(jù)的處理；有權(quán)刪除存儲在數(shù)據(jù)處理者處的數(shù)據(jù)；有權(quán)要求數(shù)據(jù)處理者闡明對其數(shù)據(jù)的處理規(guī)則，且數(shù)據(jù)處理者需要建立有效的機制保障數(shù)據(jù)主體實現(xiàn)其權(quán)利”。同時明確規(guī)定了信息處理者的安全保障義務(wù)，個人信息處理者必須建立信息保護機制，建立信息保障部門，確定信息保障聯(lián)系人等。定期對數(shù)據(jù)合法性進行審核，并針對特殊的個人信息管理活動開展風(fēng)險評估，在出現(xiàn)重大信息泄漏事件時，應(yīng)及時履行通知義務(wù)?！秱€保法》也同樣對于違規(guī)收集、處理個人信息的行為給予極大力度的處罰，除了機構(gòu)所承擔(dān)的大額罰款外，對于具體責(zé)任人員也有處罰措施，而且還可能面臨暫?；蛘呓K止提供服務(wù)的處罰。

《個保法》規(guī)定“國家網(wǎng)信部門負責(zé)統(tǒng)籌協(xié)調(diào)個人信息保護工作和相關(guān)監(jiān)督管理工作。國務(wù)院有關(guān)部門依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負責(zé)個人信息保護和監(jiān)督管理工作?！彪m然并沒有設(shè)置專職個人數(shù)據(jù)保護管理部門，但是通過各職能部門進行管理更有利于了解各行業(yè)現(xiàn)狀，并能快速做出正確處置，而且還可以針對各行業(yè)特點進行個人信息保護的宣傳教育，提升個人、企業(yè)機構(gòu)和政府部門的個人信息保護意識。