个人信息保护制度研究

　　当前社会，个人信息已成为一种重要的社会资源，同时也成为各方竞相争夺的战略资源，安全挑战日益严峻。随着云计算、物联网和移动互联网等新一代信息技术的飞速发展，大数据应用规模日趋扩大，在数据采集、存储、开放共享等均存在安全隐患，严重威胁个人信息安全，甚至关系到社会秩序和国家安全，亟需加强个人信息保护制度建设，全面提升全社会个人信息保护能力建设。

　　个人信息安全形势

　　数据作为一种新的生产要素，成为各方竞相争夺的重要战略资源，非法收集、披露和交易数据的行为屡见不鲜。一方面，网络运营者以“一揽子协议”强迫用户同意、隐秘收集、诱骗收集个人信息。2017年全国人大常委会的“一法一决定”执法检查“万人调查报告”显示：有49.6%的受访者曾遇到过度收集用户信息现象。许多受访者反映，当前免费应用程序普遍存在过度收集用户信息、侵犯个人隐私问题，但几乎没有受到任何监管和依法惩处。近年来，因App默认勾选、第三方数据采集等问题引发的纠纷频出。“菜鸟顺丰之争”“大众点评诉百度地图案”“支付宝年度账单事件”等更是将数据无序争夺等问题不断暴露在公众视野中。另一方面，受强大的经济利益驱动，违法犯罪分子大肆倒卖和披露公民个人信息，已逐渐形成庞大完整的地下黑色产业链，甚至出现了“第三方担保平台”，个人信息买卖的市场规模大到了需要细分配套产业的地步，侵犯公民个人信息犯罪日趋专业化、产业化。

　　随着国家大数据战略和“互联网+”行动的加快实施，数字经济飞速发展，大数据应用规模日趋扩大，云计算、移动互联网、工业互联网等新兴领域汇聚了海量数据，万网互联下网络攻击正逐步向各类新型网络、业务系统及联网终端渗透，伴生性安全威胁和传统安全威胁交织呈现。APT等新型高级网络攻击持续挑战传统数据保护技术，并以存储海量数据的互联网数据中心、云平台和重要信息系统为主要攻击目标，造成大规模用户信息泄露事件接连发生。2017年发生的几起个人信息泄露案件数据规模甚至达到了十亿、百亿级，如涉及京东员工数据泄露案泄露数据50亿条，58同城被曝简历数据泄露，700元可采集全国简历信息，辽宁4·26特大公民信息泄露案泄露个人信息100亿条，雅虎30亿账户全部泄露。这些信息不仅数量多，内容也十分丰富，除了身份户籍等身份信息外，在生活中产生的各类信息，如名下资产、手机通话记录、支付宝账号、开房记录、航班记录、打车记录、“淘宝”送货地址等也被随意买卖，公民的生活轨迹被完全泄露。大数据时代的到来又给个人数据保护带来了更多新的难题与挑战，个人信息保护不足导致个人隐私、安宁、财产等权利受到侵害且在受到侵害后无救济渠道。

　　个人信息的泄露不仅造成用户数据在互联网平台非法交易，被窃取的公民个人信息经过加工、转卖，被大量用于网络诈骗、敲诈勒索、暴力追债以及滋扰型“软暴力”等违法犯罪，特别是为电信诈骗犯罪嫌疑人实施精准诈骗提供了更加便利的条件，严重威胁公众财产和人身安全，主要有以下几种形式：一是实施电信诈骗、网络诈骗等新型、非接触式犯罪；二是直接实施抢劫、敲诈勒索等严重暴力犯罪活动；三是实施非法商业竞争；四是以各类“调查公司”和“私家侦探”的名义调查婚姻、滋扰民众。安全问题已是数字经济健康发展的最大威胁。一是数据安全问题失控，将会严重打击全社会对数字经济的信心。近些年，航空售票系统、医疗卫生系统个人信息系统由于遭受黑客攻击或由于内部管理不善，导致个人信息泄露事件发生，降低相关企业甚至行业的公信力，影响行业的健康和可持续发展。二是网络运营商间无序竞争引发激烈争端。数据成为各方竞相争夺的战略性资源，一些网络运营商不断在数据归属的争夺中“擦枪走火”，引发行业站队和激战，严重扰乱行业生态秩序。如华为和腾讯的“数据之争”、顺丰和菜鸟“数据断交”事件，此类争执最终通过协调和解等应急性措施解决，并未有统一的规则来“划线止争”，隐患依然存在。另外，一些企业肆意“倒卖数据”获得了竞争优势，形成“劣币驱逐良币”的恶性竞争状态，严重破坏行业发展生态。

　　国家间围绕数据占有和利用的博弈日趋激烈，数据窃取、滥用等问题日益突出，严重威胁网络安全乃至国家安全。一是美国等发达国家利用其掌握相关核心技术的优势，大量获取他国的敏感信息。棱镜门事件充分暴露出美国利用核心技术优势实施网络窃密的事实。二是针对关键信息基础设施的国家级有组织的网络攻击持续发生，对我国基础数据和海量用户信息的窃取，基于规模化个体信息的加工分析，可形成对国家安全的严重威胁。三是支撑网络的基础物理设施和技术规范被私营数据寡头掌控，拥有海量用户数据的数据寡头企业利用其技术支配力和市场垄断力，侵害用户合法权益。四是大规模数据跨境流动威胁国家安全，国外大型互联网企业对我国大数据资源搜集、跨境输出并深度挖掘，窃取国家重要敏感数据和海量用户信息，严重威胁我国国家安全。

　　国外个人信息保护制度基本情况

　　目前，世界范围内有关个人敏感信息保护主要有三种模式，即欧盟模式、美国模式和日本模式。欧盟模式。在权利保护方面，欧盟采取人格权保护模式，将个人信息视作公民人格和人权的一部分，不仅停留在隐私权保护，而是上升到基本权利高度，按照一般人格权的保护路径进行严格保护，赋予用户个人知情权、查阅权、被遗忘权、删除权等一系列权利，严格规范网络运营者在信息收集、存储、适用、更改、流动、消灭等全生命周期的行为界限。

　　在立法模式方面，采用统一立法模式，即制定一个综合性的个人信息保护法来规范针对个人信息的行为，统一适用于公共部门和非公共部门，并设置一个综合监管部门集中监管。近年来，综合性法律不断完善，1995年通过《个人数据保护指令》，1997年通过《电信业隐私权指令》，2002年颁布了新的《电子隐私权指令》，2016年颁布《数据保护通用条例》，取代了1995年颁布的“数据保护指令”，2017年通过了《隐私与电子通信条例》。美国模式。在权利保护方面，美国模式以隐私权保护为基础，并根据数据经济发展趋势和需要加以变通的方式，来调整用户个人和数据控制者、处理者之间的权利关系。如将隐私权的消极被动保护属性变为积极主动自决属性，由用户来决定是否个人信息是否可被利用；通过划分个人信息的重要等级予以动态性、区分式保护；利用宪法“法不禁止即自由”赋予网络运营商更广阔的发展空间。

　　在立法模式方面，采取分散立法和行业自律相结合的方式。在公共领域，美国以隐私权作为宪法和行政法的基础，通过单行法《隐私权法》为公权力机构个人信息要求制定统一规则，同时在各领域逐一立法规定其特殊要求。在私人领域，因无法统一立法，采取自律机制、通过行业自我约束实现对个人信息的保护，并根据个人信息的具体内容进行分业监管。日本模式。日本同时借鉴了欧洲和美国的个人信息保护模式，以保障公民隐私权在内的人格权和财产权为核心，采用欧盟统一立法模式，通过《个人信息保护法》这部综合性立法，全方位规制政府部门、私营企业个人信息处理行为。同时，沿用美国实用主义立法经验，重视重点行业的特别立法、行业自律和社团参与等，从而形成独特的日本个人信息保护模式，有效平衡个人信息保护和信息的自由流动的关系。

　　尽管各国立法模式和路径各异，但在个人信息保护方面形成了国际上普遍认同、基本一致的保护原则，奠定了各国及国际组织个人信息立法的制度基础，主要有：一是公开性和透明性原则，即个人信息处理者应公开关于个人信息处理的一切政策、流程和措施，禁止个人信息被秘密地处理；二是限制性原则，包括个人信息必须被合法处理，收集个人信息坚持最少必要原则，个人信息的使用范围、保存期限和销毁应受到限制；三是数据质量原则，即信息控制者应确保个人信息准确、完整和适时更新；四是责任与安全原则，信息控制机构必须承担个人信息保护的主要责任，要将个人信息保护内化于其业务流程和技术设计中，同时采取必要的安全防范措施保护个人信息，防止数据丢失或未经授权的访问、销毁、使用、修改或泄露，并承担相应的责任；五是个人信息权利保护原则，充分保障信息主体的知情权、查询权、异议权与纠错权，甚至是可携带权等。

　　赛迪智库

关注读览天下微信， 100万篇深度好文， 等你来看……