個人信息保護制度研究

當前社會，個人信息已成為一種重要的社會資源，同時也成為各方競相爭奪的戰略資源，安全挑戰日益嚴峻。隨著云計算、物聯網和移動互聯網等新一代信息技術的飛速發展，大數據應用規模日趨擴大，在數據采集、存儲、開放共享等均存在安全隱患，嚴重威脅個人信息安全，甚至關系到社會秩序和國家安全，亟需加強個人信息保護制度建設，全面提升全社會個人信息保護能力建設。

個人信息安全形勢

數據作為一種新的生產要素，成為各方競相爭奪的重要戰略資源，非法收集、披露和交易數據的行為屢見不鮮。一方面，網絡運營者以“一攬子協議”強迫用戶同意、隱秘收集、誘騙收集個人信息。2017年全國人大常委會的“一法一決定”執法檢查“萬人調查報告”顯示：有49.6%的受訪者曾遇到過度收集用戶信息現象。許多受訪者反映，當前免費應用程序普遍存在過度收集用戶信息、侵犯個人隱私問題，但幾乎沒有受到任何監管和依法懲處。近年來，因App默認勾選、第三方數據采集等問題引發的糾紛頻出。“菜鳥順豐之爭”“大眾點評訴百度地圖案”“支付寶年度賬單事件”等更是將數據無序爭奪等問題不斷暴露在公眾視野中。另一方面，受強大的經濟利益驅動，違法犯罪分子大肆倒賣和披露公民個人信息，已逐漸形成龐大完整的地下黑色產業鏈，甚至出現了“第三方擔保平臺”，個人信息買賣的市場規模大到了需要細分配套產業的地步，侵犯公民個人信息犯罪日趨專業化、產業化。

隨著國家大數據戰略和“互聯網+”行動的加快實施，數字經濟飛速發展，大數據應用規模日趨擴大，云計算、移動互聯網、工業互聯網等新興領域匯聚了海量數據，萬網互聯下網絡攻擊正逐步向各類新型網絡、業務系統及聯網終端滲透，伴生性安全威脅和傳統安全威脅交織呈現。APT等新型高級網絡攻擊持續挑戰傳統數據保護技術，并以存儲海量數據的互聯網數據中心、云平臺和重要信息系統為主要攻擊目標，造成大規模用戶信息泄露事件接連發生。2017年發生的幾起個人信息泄露案件數據規模甚至達到了十億、百億級，如涉及京東員工數據泄露案泄露數據50億條，58同城被曝簡歷數據泄露，700元可采集全國簡歷信息，遼寧4·26特大公民信息泄露案泄露個人信息100億條，雅虎30億賬戶全部泄露。這些信息不僅數量多，內容也十分豐富，除了身份戶籍等身份信息外，在生活中產生的各類信息，如名下資產、手機通話記錄、支付寶賬號、開房記錄、航班記錄、打車記錄、“淘寶”送貨地址等也被隨意買賣，公民的生活軌跡被完全泄露。大數據時代的到來又給個人數據保護帶來了更多新的難題與挑戰，個人信息保護不足導致個人隱私、安寧、財產等權利受到侵害且在受到侵害后無救濟渠道。

個人信息的泄露不僅造成用戶數據在互聯網平臺非法交易，被竊取的公民個人信息經過加工、轉賣，被大量用于網絡詐騙、敲詐勒索、暴力追債以及滋擾型“軟暴力”等違法犯罪，特別是為電信詐騙犯罪嫌疑人實施精準詐騙提供了更加便利的條件，嚴重威脅公眾財產和人身安全，主要有以下幾種形式：一是實施電信詐騙、網絡詐騙等新型、非接觸式犯罪；二是直接實施搶劫、敲詐勒索等嚴重暴力犯罪活動；三是實施非法商業競爭；四是以各類“調查公司”和“私家偵探”的名義調查婚姻、滋擾民眾。

安全問題已是數字經濟健康發展的最大威脅。一是數據安全問題失控，將會嚴重打擊全社會對數字經濟的信心。近些年，航空售票系統、醫療衛生系統個人信息系統由于遭受黑客攻擊或由于內部管理不善，導致個人信息泄露事件發生，降低相關企業甚至行業的公信力，影響行業的健康和可持續發展。二是網絡運營商間無序競爭引發激烈爭端。數據成為各方競相爭奪的戰略性資源，一些網絡運營商不斷在數據歸屬的爭奪中“擦槍走火”，引發行業站隊和激戰，嚴重擾亂行業生態秩序。如華為和騰訊的“數據之爭”、順豐和菜鳥“數據斷交”事件，此類爭執最終通過協調和解等應急性措施解決，并未有統一的規則來“劃線止爭”，隱患依然存在。另外，一些企業肆意“倒賣數據”獲得了競爭優勢，形成“劣幣驅逐良幣”的惡性競爭狀態，嚴重破壞行業發展生態。

國家間圍繞數據占有和利用的博弈日趨激烈，數據竊取、濫用等問題日益突出，嚴重威脅網絡安全乃至國家安全。一是美國等發達國家利用其掌握相關核心技術的優勢，大量獲取他國的敏感信息。棱鏡門事件充分暴露出美國利用核心技術優勢實施網絡竊密的事實。二是針對關鍵信息基礎設施的國家級有組織的網絡攻擊持續發生，對我國基礎數據和海量用戶信息的竊取，基于規模化個體信息的加工分析，可形成對國家安全的嚴重威脅。三是支撐網絡的基礎物理設施和技術規范被私營數據寡頭掌控，擁有海量用戶數據的數據寡頭企業利用其技術支配力和市場壟斷力，侵害用戶合法權益。四是大規模數據跨境流動威脅國家安全，國外大型互聯網企業對我國大數據資源搜集、跨境輸出并深度挖掘，竊取國家重要敏感數據和海量用戶信息，嚴重威脅我國國家安全。

國外個人信息保護制度基本情況

目前，世界范圍內有關個人敏感信息保護主要有三種模式，即歐盟模式、美國模式和日本模式。

歐盟模式。在權利保護方面 ，歐盟采取人格權保護模式，將個人信息視作公民人格和人權的一部分，不僅停留在隱私權保護，而是上升到基本權利高度，按照一般人格權的保護路徑進行嚴格保護，賦予用戶個人知情權、查閱權、被遺忘權、刪除權等一系列權利，嚴格規范網絡運營者在信息收集、存儲、適用、更改、流動、消滅等全生命周期的行為界限。

在立法模式方面，采用統一立法模式，即制定一個綜合性的個人信息保護法來規范針對個人信息的行為，統一適用于公共部門和非公共部門，并設置一個綜合監管部門集中監管。近年來，綜合性法律不斷完善，1995年通過《個人數據保護指令》，1997年通過《電信業隱私權指令》，2002年頒布了新的《電子隱私權指令》，2016年頒布《數據保護通用條例》，取代了1995年頒布的“數據保護指令”，2017年通過了《隱私與電子通信條例》。

美國模式。在權利保護方面，美國模式以隱私權保護為基礎，并根據數據經濟發展趨勢和需要加以變通的方式，來調整用戶個人和數據控制者、處理者之間的權利關系。如將隱私權的消極被動保護屬性變為積極主動自決屬性，由用戶來決定是否個人信息是否可被利用；通過劃分個人信息的重要等級予以動態性、區分式保護；利用憲法“法不禁止即自由”賦予網絡運營商更廣闊的發展空間。

在立法模式方面，采取分散立法和行業自律相結合的方式。在公共領域，美國以隱私權作為憲法和行政法的基礎，通過單行法《隱私權法》為公權力機構個人信息要求制定統一規則，同時在各領域逐一立法規定其特殊要求。在私人領域，因無法統一立法，采取自律機制、通過行業自我約束實現對個人信息的保護，并根據個人信息的具體內容進行分業監管。

日本模式。日本同時借鑒了歐洲和美國的個人信息保護模式，以保障公民隱私權在內的人格權和財產權為核心，采用歐盟統一立法模式，通過《個人信息保護法》這部綜合性立法，全方位規制政府部門、私營企業個人信息處理行為。同時，沿用美國實用主義立法經驗，重視重點行業的特別立法、行業自律和社團參與等，從而形成獨特的日本個人信息保護模式，有效平衡個人信息保護和信息的自由流動的關系。

盡管各國立法模式和路徑各異，但在個人信息保護方面形成了國際上普遍認同、基本一致的保護原則，奠定了各國及國際組織個人信息立法的制度基礎，主要有：一是公開性和透明性原則，即個人信息處理者應公開關于個人信息處理的一切政策、流程和措施，禁止個人信息被秘密地處理；二是限制性原則，包括個人信息必須被合法處理，收集個人信息堅持最少必要原則，個人信息的使用范圍、保存期限和銷毀應受到限制；三是數據質量原則，即信息控制者應確保個人信息準確、完整和適時更新；四是責任與安全原則，信息控制機構必須承擔個人信息保護的主要責任，要將個人信息保護內化于其業務流程和技術設計中，同時采取必要的安全防范措施保護個人信息，防止數據丟失或未經授權的訪問、銷毀、使用、修改或泄露，并承擔相應的責任；五是個人信息權利保護原則，充分保障信息主體的知情權、查詢權、異議權與糾錯權，甚至是可攜帶權等。