个人信息保护制度研究

魏书音

智能硬件主要指以人机交互、设备当前社会，个人信息已成为一种重要的社会资源，同时也成为各方竞相争夺的战略资源，安全挑战日益严峻。随着云计算、物联网和移动互联网等新一代信息技术的飞速发展，大数据应用规模日趋扩大，在数据采集、存 储、开放共享等均存在安全隐患，严重威胁个人信息安全，甚至关系到社会秩序和国家安全，亟需加强个人信息保护制度建设，全面提升全社会个人信息保护能力建设。

个人信息安全形势

（一）过度收集、擅自披露和非法交易造成信息裸奔数据作为一种新的生产要素，成为各方竞相争夺的重要战略资源，非法收集、披露和交易数据的行为屡见不鲜。一方面，网络运营者以“一揽子协议”强迫用户同意、隐秘收集、诱骗收集个人信息。2017年全国人大常委会的“一法一决定”执法检查“万人调查报告”显示：有49.6%的受访者曾遇到过度收集用户信息现象。许多受访者反映，当前免费应用程序普遍存在过度收集用户信息、侵犯个人隐私问题，但几乎没有受到任何监管和依法惩处。近年来，因App默认勾选、第三方数据采集等问题引发的纠纷频出。“菜鸟顺丰之争”“大众点评诉百度地图案”“支付宝年度账单事件”等更是将数据无序争夺等问题不断暴露在公众视野中。另一方面，受强大的经济利益驱动，违法犯罪分子大肆倒卖和披露公民个人信息，已逐渐形成庞大完整的地下黑色产业链，甚至出现了“第三方担保平台”，个人信息买卖的市场规模大到了需要细分配套产业的地步，侵犯公民个人信息犯罪日趋专业化、产业化。

（二）大体量的个人信息泄露事件频繁发生。随着国家大数据战略和“互联网+”行动的加快实施，数字经济飞速发展，大数据应用规模日趋扩大，云计算、移动互联网、工业互联网等新兴领域汇聚了海量数据，万网互联下网络攻击正逐步向各类新型网络、业务系统及联网终端渗透，伴生性安全威胁和传统安全威胁交织呈现。APT等新型高级网络攻击持续挑战传统数据保护技术，并以存储海量数据的互联网数据中心、云平台和重要信息系统为主要攻击目标，造成大规模用户信息泄露事件接连发生。2017年发生的几起个人信息泄露案件数据规模甚至达到了十亿、百亿级，如涉及京东员工数据泄露案泄露数据50亿条，58同城被曝简历数据泄露，700元可采集全国简历信息，辽宁4.26特大公民信息泄露案泄露个人信息100亿条，雅虎30亿账户全部泄露。这些信息不仅数量多，内容也十分丰富，除了身份户籍等身份信息外，在生活中产生的各类信息，如名下资产、手机通话记录、支付寶账号、开房记录、航班记录、打车记录、“淘宝”送货地址等也被随意买卖，公民的生活轨迹被完全泄露。大数据时代的到来又给个人数据保护带来了更多新的难题与挑战，个人信息保护不足导致个人隐私、安宁、财产等权利受到侵害且在受到侵害后无救济渠道。

（三）个人信息泄露滋生出诈骗等下游犯罪。个人信息的泄露不仅造成用户数据在互联网平台非法交易，被窃取的公民个人信息经过加工、转卖，被大量用于网络诈骗、敲诈勒索、暴力追债以及滋扰型“软暴力”等违法犯罪，特别是为电信诈骗犯罪嫌疑人实施精准诈骗提供了更加便利的条件，严重威胁公众财产和人身安全，主要有以下几种形式：一是实施电信诈骗、网络诈骗等新型、非接触式犯罪；二是直接实施抢劫、敲诈勒索等严重暴力犯罪活动；三是实施非法商业竞争；四是以各类“调查公司”和“私家侦探”的名义调查婚姻、滋扰民众。

（四）个人信息安全问题影响行业健康、可持续发展。安全问题已是数字经济健康发展的最大威胁。一是数据安全问题失控，将会严重打击全社会对数字经济的信心。近些年，航空售票系统、医疗卫生系统个人信息系统由于遭受黑客攻击或由于内部管理不善，导致个人信息泄露事件发生，降低相关企业甚至行业的公信力，影响行业的健康和可持续发展。二是网络运营商间无序竞争引发激烈争端。数据成为各方竞相争夺的战略性资源，一些网络运营商不断在数据归属的争夺中“擦枪走火”，引发行业站队和激战，严重扰乱行业生态秩序。如华为和腾讯的“数据之争”、顺丰和菜鸟“数据断交”事件，此类争执最终通过协调和解等应急性措施解决，并未有统一的规则来“划线止争”，隐患依然存在。另外，一些企业肆意“倒卖数据”获得了竞争优势，形成“劣币驱逐良币”的恶性竞争状态，严重破坏行业发展生态。

（五）国家基础数据和核心信息面临被窃风险。国家间围绕数据占有和利用的博弈日趋激烈，数据窃取、滥用等问题日益突出，严重威胁网络安全乃至国家安全。一是美国等发达国家利用其掌握相关核心技术的优势，大量获取他国的敏感信息。棱镜门事件充分暴露出美国利用核心技术优势实施网络窃密的事实。二是针对关键信息基础设施的国家级有组织的网络攻击持续发生，对我国基础数据和海量用户信息的窃取，基于规模化个体信息的加工分析，可形成对国家安全的严重威胁。三是支撑网络的基础物理设施和技术规范被私营数据寡头掌控，拥有海量用户数据的数据寡头企业利用其技术支配力和市场垄断力，侵害用户合法权益。四是大规模数据跨境流动威胁国家安全，国外大型互联网企业对我国大数据资源搜集、跨境输出并深度挖掘，窃取国家重要敏感数据和海量用户信息，严重威胁我国国家安全。

个人信息保护工作

面临的问题

（一）尚未形成统一化系统性制度体系。目前，个人信息保护的相关规定主要散布在网络安全法律法规和各个部门法之中，主要规定还停留在“知情—同意”基本要求的原则性规定上，《网络安全法》也仅搭建了基本制度框架，具体实施细则和落地措施规定不明，给执法守法留下很大的模糊地带和灰白空间。《电信和互联网用户个人信息保护规定》等部门规章和规范性文件层级较低，且停留在某一个行业和领域，缺乏整体设计和系统规范，导致各行业领域、数据保护各阶段制度建设发展不平衡，甚至要求标准不一致，主要表现在以下三个方面：第一，相关规定过于原则，往往只是一个概念或者一个具体要求，通常是禁止性要求，缺乏系统的整体制度设计，如虽然法律法规已经明确了用户对个人信息所享有的知情权和选择权，但对于网络运营商履行义务的具体要求和方式并没有明确规定。在实践中，网络运营商采取“霸王条款”“一揽子同意”“默认同意选项”等方式，强迫、欺骗用户同意收集用户大量敏感和不必要的信息，实际上用户完全失去对个人信息的控制权。第二，未建立统一的立法规划与数据保护执法机构，导致现有法律法规对个人数据的保护力度相对较小。

（二）治理存在不平衡问题。第一，重末端治理，轻源头治理。近年来，对个人信息保护的举措主要集中在对相关犯罪的刑事打击，《刑法修正案（七）》和《刑法修正案（九）》不断加重個人信息违法犯罪的打击力度，但是民事和行政保护力度严重不足，重末端治理、轻源头治理，仅以威慑力压制，而无规则指引，导致违法犯罪依然屡禁不止，良好的秩序和生态环境难以生成。一是个人信息权的私权属性尚未明确。我国采取人格权+网络运营商责任路径来保护个人信息，法律未清晰地明确个人信息的财产权地位，一方面，将个人信息纳入人格权保护制度，另一方面通过明确网络运营商的个人信息保护责任来限制其对数据的肆意收集和处理行为。对于个人信息权的财产利益保护法律还未明确具体的保护模式，导致个人信息保护重责任追究，尤其是刑事责任追究，轻过程规范，轻综合治理，导致数据控制者和处理者的内部数据安全保护与个人信息保护脱节等问题。二是数据权属关系不明，参与交易的主体对交易数据拥有的权限、数据的定价机制以及数据交易各主体法律关系和权限还不明晰，不能反映数据经济结构关系的实际特点和内在需求，无法有效治理数据流转的全生命周期中的安全风险和无序竞争。

第二，重采集阶段管理，轻使用阶段管理。从制度建设方面，法律中关于个人信息采集明确了知情同意原则、必要性原则等，而对于个人信息使用的相关规定还停留在合法使用这种模糊、笼统规则上，合法标准难以确定。从执法和治理来说，无论是网络安全检查还是专项行动，目前还集中在对隐私条款等规章制度的审查方面，未深入到数据使用的层面。规则的缺失引发了业界多重纷争，如新浪微博诉脉脉案，纠纷爆发于用户个人信息的使用阶段，反映出ISP在数据的加工、再利用中相关制度规范的缺失。再如“顺风菜鸟之战”“华为腾讯之争”等数据争夺战。

（三）新技术新业务的发展突破传统数据安全保护模式。云计算、大数据、移动互联网、物联网等新技术的发展刺激新业务新应用的不断涌现和更迭，促进数据的采集、存储等方式的变革，数据挖掘利用方式更为复杂多变，数据主体对数据的控制力日益薄弱，在数据采集、存储、开放共享等各个环节的安全隐患随之增加。第一，传统数据保护的“匿名化”措施失效。随着数据来源、数量、种类的大规模聚集，以及数据分析技术的应用，已经难以确保个人信息的“去身份化”“不可识别性”。例如，哈佛大学教授拉塔尼娅·斯威尼研究显示，只要知道一个人的年龄、性别和邮编，并与公开的数据库交叉对比，便可识别出87%的人的身份。第二，透明度原则受到冲击。透明度原则是指应当告知数据主体其个人数据的处理的基本情况，如在数据收集环节，通过隐私通知形式，告知数据主体数据处理的目的，而在大数据背景下，数据主体很难知道数据收集、分析与利用是否基于特定的目的。第三，“通知—同意”规则难以有效执行。在大数据背景下，“通知—同意”规则的执行难度和成本大大增加。如云服务商的海量数据需逐一获得用户明示同意须耗费巨大成本，且数据主体也需反复签署同意书耗费时间和精力，不利于数据的有效利用。第四，责任追究难度加大。在云环境中，个人数据安全风险存在与数据存储、传输、处理及销毁等全生命周期中，涉及政府、数据控制者、数据处理者、数据主体等多方主体参与者，责任主体的多元化使得责任认定难度增加。此外，越来越多的企业聚集成为共同利益集团，在集团内部进行数据的共享，同一数据需要供给多个主体使用，即呈现“多对多”的模式。在这一模式下，由于数据接口的多样性，往往会被多个主体访问和使用，使责任主体难以辨识。

（四）监管执法能力不足。第一，监管手段较为单一。个人信息保护的监管措施主要采用的是行政备案、日常监督检查、专项检查、行政处罚等传统行政管理手段，触及不到复杂的数据收集、存储、处理等内部各环节以及网络安全防护、管理不足等外在的安全隐患，不足以有效管控数据全生命周期的安全。第二，执法能力有待提升。日常监督检查较为频繁，大多停留在限期整改的阶段，针对个人信息泄露事件的行政处罚比较有限，监测追溯、证据采集和固定等技术手段不足，执法力量和能力还十分薄弱，行政机关和公安机关未能形成合力，行刑衔接不到位，缺乏全面有效的打击和惩处措施，无法形成严密法网，执法利剑尚未出鞘，难以对违反个人信息保护规定的违法犯罪行为形成有效震慑。第三，对行业自律效力发挥带动不足。网络运营者个人信息保护动力不足，主要停留在合规性层面，行业组织引导作用不明显，自律形式缺乏约束力。

（五）公众维权困难。第一，维权意识不足。中国青年政治学院互联网法治研究中心与封面智库于2016年10月24日联合发起《你的隐私泄露了吗？——个人信息保护情况调研》问卷调查显示，个人信息安全防范意识不强为侵害行为提供可乘之机，仅有20%的参与调研者在发现个人信息遭受侵犯时，采取投诉、举报和报警等积极应对措施。第二，投诉举报渠道不畅通。多数网络运营商缺失投诉举报制度和渠道，行政机构间职责不明导致相互推诿，且因调查难度较大，处理相关举报积极性不高。第三，胜诉几率较小，维权动力不足。以侵害“隐私权”为由的民事诉讼，胜诉率非常低。例如，因个人信息泄露主体难以明确，而原告对此也难以举证证明，司法机构常因无法认定侵害主体而无法确立侵权行为成立。此外，经济损失额度的证明也存在困难，可获赔偿额度较低。因证据提供、责任认定等困难，对于被侵害的个人信息的个人来说，很难有动力去投入大量的精力和成本进行维权。

完善个人信息保护制度的

对策建议

（一）尽快出台《个人信息保护法》。顺应国际趋势和惯例，尽快制定专门的个人信息保护法，以明确规定个人信息的涵义，进一步确立个人信息权，确立国家机关和非国家机关等各类数据控制和处理主体收集、利用和处理个人信息的基本原则，明确线上线下及跨境数据传输过程中的各类个人信息采集及使用的方式、范围及标准，理清数据从产生到消灭全周期各主体间数据权属关系和交易规则，为个人信息保护提供明确的救济途径、保护程序，建立个人信息保护专门机构并明确其职责、权限，与有关法律法规做好制度衔接，构建出完整、动态、协调的制度体系，有效平衡安全与发展的关系，为我国个人信息的利用和保护构建系统化、整体化的解决方案。

（二）落实和完善现行制度。针对现有用户个人信息保护制度框架原则性强、可落地性偏弱的問题，制定用户信息收集、使用的详细实施细则，从技术标准和管理要求两方面加以落实，前者包括个人信息保护的安全防护等标准，后者是针对收集使用、信息共享、内部管理等环节的执行标准，进一步规制网络运营商利用法律规则的不明确而规避法律的行为，确保用户的知情权和选择权等得以实现。

（三）创新制度措施。针对新技术新业务带来的安全风险和监管困境，理清个人信息所负载的国家安全、社会发展和公民合法权益，充分考虑权利保障与数据自由流动的价值平衡，创新监管措施，补缺制度漏洞，调动各主体、各行业的力量，构建开放、协同、高效的用户个人信息保护机制。建立个人信息分级分类保护制度。区分可使用、可交易的商业数据信息和不可使用、不可交易的 （商业秘密等）数据信息，划分个人一般信息和个人隐私（或敏感）信息的边界，根据相关数据信息的属性（包括商业属性和人身属性等）、所属领域和类别、可对数据信息权利人造成的影响等多方面对其分类，再根据具体的类别给予相应（级别）的保护。

（四）强化执法能力建设。一是强化对数据收集、存储、使用等行为的监督检查力度，督促并指导企业加强对数据生态管理，严厉打击违法犯罪行为。二是建立以风险控制为导向的监管方式，改变合规性逐项检查监管模式，采取“多元化策略+外部认证监督”的方式，由网络运营者根据保护用户信息安全的需要设定多元化的权利保障政策或措施，政府根据评估认证结果对内部政策、制度是否合规进行的外部监督。三是培养企业数据安全保护的战略意识。将数据安全保护作为企业占有市场和增强用户黏性的战略举措，把数据安全融入业务发展的各个环节，同步设计、同步建设、同步更新，变被动为主动，逐步培养起安全与发展并重的良性大数据产业生态环境。

（五）加强对大数据安全管理的技术保障支撑。加强大数据环境下网络安全技术手段建设，建设网络安全信息汇聚共享和关联分析平台，促进网络安全相关数据融合和资源合理分配，提升重大安全事件应急处理能力。指导网络运营商加强大数据环境下防攻击、防泄露、防窃取的监测、预警、控制和应急处置能力建设。推动安全可信产品和服务在大数据基础设施中广泛引用。建立大数据安全评估体系。做好大数据网络服务平台的可靠性及安全性评测、应用安全评测、监测预警和风险评估。

（六）全面提升用户信息安全意识。一是通过各类媒体广泛宣传个人信息保护的重要性和紧迫性，普及和深化用户隐私保护意识。二是通过公益性培训活动传播相关技术原理和应对措施，如隐私权限设置、信息更改和删除措施等，提升用户信息保护能力。三是健全用户投诉举报机制。督促企业设置更为便利化、快捷性的举报机制，快速响应并有效解决用户投诉问题。政府部门应拓展用户投诉举报渠道，及时有效处置数据泄露事件。