電信和互聯網服務用戶個人信息保護研究

湯立波 中國信息通信研究院技術與標準研究所高級工程師

李璐 中國信息通信研究院技術與標準研究所助理工程師

葛雨明 中國信息通信研究院技術與標準研究所博士

韓涵 中國信息通信研究院技術與標準研究所博士

網絡技術——用戶個人信息保護專題

電信和互聯網服務用戶個人信息保護研究

湯立波 中國信息通信研究院技術與標準研究所高級工程師

李璐 中國信息通信研究院技術與標準研究所助理工程師

葛雨明 中國信息通信研究院技術與標準研究所博士

韓涵 中國信息通信研究院技術與標準研究所博士

電信和互聯網服務中產生了大量用戶數據，用戶個人信息保護面臨挑戰。本文闡述了對用戶個人信息保護的理解、國內外保護狀況，探討了我國用戶個人信息保護面臨的主要問題并提出建議。

電信和互聯網 用戶個人信息 保護

1 引言

電信和互聯網服務中存在大量用戶個人信息，這些信息具有應用價值高、挖掘潛力大的特點，是電信和互聯網業務創新、提供個性化服務的重要基礎數據。用戶個人信息的高價值性吸引了大量業務開發者、服務提供者甚至惡意竊取者，由于電信和互聯網企業用戶個人信息保護水平良莠不齊，導致行業內存在較多未經授權收集、使用、披露、轉移用戶個人信息行為，且有愈演愈烈的趨勢，社會各界高度關注。加強電信和互聯網用戶個人信息保護，營造良好的用戶個人信息保護氛圍，維護用戶合法權益，成為社會、政府、企業和用戶共同面臨的重要問題。

2 對電信和互聯網服務用戶個人信息保護的理解

2.1 電信和互聯網服務用戶個人信息的定義

電信和互聯網用戶個人信息是指“電信業務經營者和互聯網信息服務提供者在提供服務過程中收集的能夠單獨或者與其它信息結合識別用戶和涉及用戶個人隱私的信息”。

電信和互聯網用戶個人信息可分為以下3類：

（1）用戶身份和鑒權信息

能夠單獨或與其它信息結合，對用戶自然人身份進行識別，或代替用戶自然人身份屬性在電信和互聯網服務中使用的虛擬身份信息，也包括用于驗證身份的鑒權相關信息。例如，姓名、年齡、性別、證件類型、證件號碼、服務賬戶、密碼口令等。

（2）用戶數據和服務內容信息

電信和互聯網服務過程中收集的具有用戶隱私屬性的數據和內容信息。例如，通話內容、短信、彩信、用戶存儲的私有數據和媒體信息、即時通信內容、通訊錄、好友列表等。

（3）用戶服務相關信息

電信和互聯網服務過程中，所收集的服務使用情況及服務相關輔助類信息。例如，業務訂購信息、服務記錄和日志、消費信息和賬單、設備信息等。

2.2 用戶個人信息保護的理解

電信和互聯網用戶個人信息保護的核心理念是在收集、使用用戶個人信息時，遵循合法、正當、必要的原則，重點保護用戶的知情權和選擇權。

目前，電信和互聯網服務用戶個人信息保護面臨的挑戰主要集中在未經授權收集、使用、披露、轉移用戶個人信息，或收集服務所必需以外的用戶個人信息等方面。電信和互聯網服務用戶個人信息保護的關鍵環節包括：

（1）服務推廣過程的用戶個人信息收集和使用

服務推廣渠道可能存在非法、未經授權、收集服務所必需以外的用戶個人信息現象。

（2）服務提供過程的全流程用戶個人信息保護

在業務的運營維護、業務使用的全生命周期都需加強用戶個人信息保護，合理、合法、有效授權地對用戶個人信息進行收集、使用、披露、轉移、刪除。

（3）服務終止過程的用戶個人信息有效清除

用戶個人信息需要隨著服務的終止有效清除，或在用戶授權并有效保護的情況下合理保存。

3 電信和互聯網用戶個人信息保護現狀

3.1 國外用戶個人信息保護政策

國際社會普遍重視用戶個人信息保護，主要發達國家和地區通過立法、行業自律、國際協作等方式加強用戶個人信息保護。

（1）美國

美國強調行業自律，形成了較好的行業自律氛圍，強調政府的有限介入。美國的用戶個人信息保護工作起步較早，主要措施如下：

●加強立法

美國政府陸續出臺了《隱私權法》、《信息自由法》、《電子通訊隱私法》和《有線通訊隱私權法案》等基礎性和行業性法律，構建個人信息保護的法律依據。

●充分發揮行業協會和私人機構的作用，大力推動行業自律，形成了良好的行業自律氛圍

例如，1998年6月，由美國電子工業協會、美國工商協會等和AOL、AT&T、IBM、BankofAmerica等100多家團體和企業成立了“在線隱私聯盟”；美國商務網絡財團和電子前線基金會共同發起了網絡隱私認證機構TRUSTe；美國BBBonline推行了網絡隱私認證計劃等。

（2）歐盟

歐盟依托完備的法律，通過法律強制力高標準開展用戶個人信息保護，強調政府在其中的主導地位。

●歐盟層面加強立法，協調歐盟各國國內法，確保用戶個人信息在歐盟范圍內自由流動

1995年，歐盟通過了《關于在個人數據處理過程中保護當事人及此類數據自由流通的指令》；1997年，通過了《有關電信行業中的個人數據處理和隱私權保護的指令》；2002年，頒布了《關于在電子通信領域個人數據處理及保護隱私權的指令》。

●主要歐盟國家也制定了相關法律保護用戶個人信息

德國于1976年頒布了《聯邦資料保護法》；法國于1978年通過了《法國自由、檔案、信息法》；英國于1984年制訂了《數據保護法》；1981年，冰島發布了《有關個人資料處理法》；1987年，芬蘭出臺了《資料保護法》；1978年，奧地利也發布了《信息保護法》等。

（3）國際范圍內

國際范圍內的用戶信息保護合作機制正逐漸形成。

●國際組織加強多邊合作，積極開展用戶個人信息保護工作

經濟合作與發展組織（OECD）理事會頒布了《關于保護隱私和個人數據國際流通的指南》，亞太經合組織（APEC）建立了地區隱私保護標準。

●歐美之間十分重視開展個人信息保護方面的雙邊合作，積極協調不同的用戶個人信息保護準則

2000年，歐盟與美國政府簽訂了個人信息保護“安全港”計劃，對加入“安全港”計劃的美國公司進行監管，在確保美國企業達到歐盟的較高保護準則的同時，維持美國長久以來一直采用的自律機制。

3.2 我國電信和互聯網服務用戶個人信息保護政策

目前，我國電信和互聯網行業用戶個人信息保護工作得到監管機構、社會輿論、企業和個人的高度關注。現階段我國用戶個人信息保護工作主要體現在兩方面：

●強化相關法律法規中的個人信息保護條款，出臺相關部門規章制度，加強個人信息保護方面的監管。

●重視個人信息保護相關國家和行業標準的制定，通過統一規范來引導行業自律，加強個人信息保護。

近年來，我國逐步加強法律和行政規章頂層設計，初步建立了個人信息保護法規體系。2009年，第十一屆全國人民代表大會常務委員會第七次會議通過了《中華人民共和國刑法修正案（七）》，對于獲得、出售或非法提供給他人公民用戶信息的行為定義為違法行為，明確有期徒刑、拘役或處罰金等懲處措施。2012年12月28日，第十一屆全國人大常委會第三十次會議審議通過了《全國人民代表大會常務委員會關于加強網絡信息保護的決定》，強調保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。在人大文件基礎上，2011—2013年，工業和信息化部先后出臺20、24號令，對我國電信服務和互聯網信息服務過程中收集、使用用戶個人信息的活動提出了明確要求。另外，《工業和信息化部關于電信服務質量的通告》將用戶個人信息保護問題單獨作為通告的一部分內容呈現，按季度向全社會通告，不斷加強監管力度。

另外，我國用戶個人信息保護標準體系正加速建立。2013年2月，國家標準《信息安全技術公共及商用服務信息系統個人信息保護指南》發布；2013年底，中國通信標準化協會（CCSA）啟動了電信和互聯網行業用戶個人信息保護標準的制定，其中《電信和互聯網服務用戶個人信息保護定義及分類》對電信和互聯網用戶個人信息的定義和分類進行了規定，為用戶個人信息保護工作的開展奠定了基礎；《電信和互聯網服務用戶個人信息保護分級指南》規定了電信和互聯網服務用戶個人信息保護的對象和分級方法，是開展差異化分級保護工作的總體性指導文件?！峨娦藕突ヂ摼W服務用戶個人信息保護技術要求移動應用商店》、《電信和互聯網服務用戶個人信息保護技術要求電子商務服務》、《電信和互聯網服務用戶個人信息保護技術要求即時通信服務》等標準對具體業務的用戶個人信息保護提出了要求，為我國電信和互聯網企業開展服務提出了明確、統一的要求。

3.3 手機應用軟件是當前用戶個人信息保護的重點領域

截止到2014年底，我國手機用戶數量達到12.86億人，手機上安裝的應用軟件成為用戶常用工具，主流三大手機操作系統分別是谷歌Android、蘋果IOS、微軟WindowsPhone操作系統，這些系統的手機應用軟件都面臨用戶個人信息保護挑戰。手機應用軟件行業存在大量收集用戶個人信息現象，如何保護用戶個人信息值得警惕。中國信息通信研究院技術與標準研究所“用戶個人信息保護實驗室”2015年上半年對全國應用商店抽樣檢測，12萬款安卓系統手機應用軟件中存在讀取用戶手機號碼行為的占15.7%，讀取位置信息的占43.6%，讀取用戶通訊錄的占4.4%，讀取短信記錄的占4.1%，讀取通話記錄的占2.6%。數據顯示，基于手機應用軟件的用戶個人信息收集和使用現象非常突出，在大量的用戶信息收集行為中，判斷用戶個人信息收集行為是否為服務所必需、是否合理合法、是否滿足了用戶的知情權和選擇權成為政府監管和行業自律的重點。

4 我國面臨的問題和建議

4.1 我國面臨的主要問題

我國電信和互聯網服務用戶個人信息保護工作剛剛起步，目前面臨的主要問題如下：

（1）法律規章及技術標準需隨著產業發展不斷完善

●電信和互聯網服務業務形態多、更新快，用戶個人信息保護相關法律、規章、標準需適應產業發展不斷完善，同時目前還缺少必要的業務審查、檢查機制。

●現有的行政處罰力度過于輕微，根據《行政處罰法》和國務院的有關規定，部門規章設定的罰款最高額度較低，高價值的用戶個人信息和違規代價低之間不平衡，無法保證監管工作的有效威懾力。

（2）企業自律和用戶自我保護意識均有待加強

●目前互聯網特別是移動互聯網中，形成了很多以用戶個人信息為基礎的商業模式，企業在收集、使用用戶個人信息時對用戶知情權、選擇權保護水平參差不齊，部分企業自律意識不足。

●用戶的個人信息保護意識不強，相關服務收集、使用個人信息的聲明和措施未得到用戶的應有重視。

（3）侵權行為隱蔽，違規取證困難

用戶個人信息侵權行為通常非常隱蔽，用戶信息侵權時取證困難、追責困難。政府、服務提供者和經營者在用戶個人信息保護工作中的認證、檢測技術支持還有不足。

4.2 我國電信和互聯網用戶個人信息保護工作建議

面對當前快速發展、不斷創新的電信和互聯網服務產業，用戶個人信息保護工作應以維護用戶權益為目標，同時保證產業健康發展。相關工作建議如下：

（1）分階段、突出重點，以手機應用為突破口帶動全行業健康規范發展

由于電信網和互聯網業務種類多、差異大，用戶個人信息保護問題復雜，短期內全面展開用戶個人信息保護工作難度較大。因此，建議抓住重點，尋找工作突破口，快速推動工作并取得成效。近期手機應用軟件用戶個人信息保護問題值得重點關注，另外電子商務、社交類服務也是涉及用戶個人信息較多領域。

（2）加快配套規章制度、標準出臺，確保工作“有法可依”

建議結合工作重點，盡快出臺更細化、可操作性強的法律、規章制度、標準，為用戶個人信息侵權判定提供依據，為企業自律和自我管理提出明確的要求和指導文件。政府加強法律、規章制度和標準宣貫，監督落實，形成企業自查、監督檢查制度。

（3）推動行業自律

促進企業用戶個人信息保護自律，有效保護、尊重用戶的知情權、選擇權，將行業自律風氣與監管結合，在行業內形成良好的用戶個人信息保護氛圍。

（4）完善技術能力建設

針對電信和互聯網行業需求，進一步完善技術檢測手段和違規取證能力建設，形成行業權威開放檢測平臺，滿足政府監管、企業自律工作需求。

1 中國通信行業標準.YD/T2781-2014.電信和互聯網服務用戶個人信息保護定義及分類

Research on User Personal Information Protection of Telecom and Internet Service

There is a lot of user data in telecom and internet services,which need to strengthen protection.In this paper,we present the understanding of user personal information protection,introduce the development status,and propose some suggestions.

telecom and internet,user,personal information,protection

2015-09-18）