虚实身份分离的个人信息保护新模式

　　个人信息泄露直接导致电信诈骗、信息骚扰等诸多社会问题，已经受到公众的广泛关注。究其根源，主要在于个人信息获取主体太多，信息采集行为无序。为从源头保护公民个人信息，国家应建立个人身份信息集中管理制度，由集中管理者建立真实身份与虚拟身份相对应的编码系统，使公民个人真实身份及联系方式与服务提供者相分离，有效兼顾服务需求、信息安全需求和公共利益需求。

　　个人信息保护面临的挑战

　　信息采集主体众多，采集行为缺少监管规范。目前进行个人信息采集储存的主体分布广泛、数量巨大，这些信息包括身份、财产、交易、通信、位置等。不同采集主体的采集目的不同，安全保障能力也不同，但由于没有针对性法律法规来规范个人信息采集的主体资格、技术能力和采集资质，当前个人信息采集具有相当的随意性和无序性，个人信息安全风险持续增加。

　　个人信息使用流转环节难以监管。个人信息被采集后即留存在服务企业的服务器中，个人信息的使用、加工、处理过程均发生在企业内部，这一过程以及后续的信息流转、交易情况难以监管，安全风险难以得到有效控制。对于用于交易的数据应如何进行脱敏和脱敏的程度也尚无法律规范，且随着大数据计算分析能力的发展，经过脱敏的数据也可能被还原。

　　信息泄露造成的影响广泛且持久。因为个人信息采集主体众多，采集和传播成本非常低，信息泄露问题极难防范和杜绝。一旦出现泄露，信息的传播范围和持续时间均难以控制。

　　建立真实身份与虚拟身份分离机制

　　建立真实身份集中采集中心，严格管控其它采集主体。鉴于个人信息保护面临的诸多挑战，为兼顾国家、公共安全和个人信息保护的需求，相关主管部门应建立全国统一的个人身份信息识别中心（以下简称识别中心），集中管理各类服务所需的身份信息。识别中心须建立最高等级的信息安全机制，采用设备身份验证机制而非防火墙模式抵御外来攻击。识别中心以外采集身份信息的主体须建立完善的信息安全保障机制，安全级别比照识别中心的要求。

　　服务提供者仅得到虚拟身份，无法获知真实身份。无采集权的服务提供者需要获取用户身份信息的，应向识别中心提出备案申请，识别中心进行备案后为其分配一套编码系统，不同申请者使用不同的编码系统。用户使用某服务前向识别中心发出申请，识别中心通过该服务专属的编码系统生成一个与用户真实身份对应的虚拟身份，服务提供者仅可获得这个虚拟的身份信息，并依法获取用户享受服务所需要提供的其它信息，如位置、财产、偏好等。在个人信息侵权案件中，由于不法分子获知了受害人的真实身份及真实活动，受害人往往会将行骗者和有权机关或者真实服务提供者混淆。若行骗者只知虚拟身份，其“可信性”就大幅下降，这能从根本上保障公民的个人信息安全。不同的编码系统可以防止不法分子通过数据分析还原用户的真实身份。

　　分离机制既能保障公共利益，也有利于建设国家信用机制。获取真实身份信息的作用和意义主要体现在两个方面：一是防范和打击违法犯罪行为，二是记录用户的信用情况。发挥这两方面的作用均不需要服务者了解用户的真实身份。对于打击违法犯罪行为，法院、公安、税务等有权机关可以通过法律程序从识别中心调取用户的身份数据，集中管理身份信息更便于有权机关的调查、取证、办案等执法工作；对于信用记录，服务提供者可以通过虚拟身份向识别中心反馈用户的信用情况，通过数据分析，识别中心能够超越传统信用信息评价机制，更加全面而有效地进行个人信用评价，这对我国建设领先的信用机制十分有利。

　　虚实分离不影响服务提供，在技术上也可行。大多数服务只需要用户注册账户，仅在理财、租赁、交通等少数领域才有必要获得用户的真实身份，因此分离机制不会给现有服务业带来很大负担，不会影响真实身份信息以外的信息收集和分析。对于需要真实身份的服务，使用者和服务者也仅在首次注册、上传信用信息等少数情况下需要联系识别中心，因此现有技术完全可以支持全国统一的个人身份信息识别中心的建设。

　　个人信息需要区别化管理

　　联系电话可以由识别中心统一管理。联系电话信息泄露是电信诈骗的最主要原因，被动防御效果并不理想，应将电话信息视同身份信息予以保护，从源头切断不法侵害的可能性。

　　联系地址的精确性可以具体规定。除了联系电话，通信或收货地址也是公民重要的个人信息，地址信息泄露同样有可能危害公民工作生活的安宁甚至是人身安全。但由于交通和物流等原因，地址信息不可能像电话信息一样，以隐匿方式保护。为降低不法侵害的发生风险，法律可以对获取地址信息进行具体规范，例如收件人名称应默认为虚拟身份的名称，地址一般不得精确到门牌号，消费者地址的最长保存期限等。个人信息保护规范应与技术发展和社会需要相适应。

　　赛迪工业和信息化研究院 陈全思

关注读览天下微信， 100万篇深度好文， 等你来看……