公民個人信息泄露問題現狀分析及對策

馮占英，陳 銳，張 玉，王 妤，鄭 斐，張建平，李 璐

大數據環境下，信息及數據技術的發展極大方便了人們的生產生活。但技術為人們帶來便利的同時，也引發了個人信息泄露問題。個人信息泄露案件呈逐年高發態勢，并且隨著數據價值的增加，其影響也越來越大，公民個人信息隱私保護引起了大家的廣泛關注。本文主要針對公民個人信息安全問題，通過分析典型案例，剖析其產生原因，提出相應的對策。

1 公民個人信息泄露問題研究概述

近些年，眾多學者對公民個人隱私問題開展了研究，內容主要集中在個人信息保護相關法律、各領域的個人信息保護策略研究、個人信息泄露分析研究和個人信息保護技術等。

1.1 個人信息保護相關法律研究

為了保障個人信息的隱私保護和數據安全，許多國家和地區制定了與個人信息保護相關的法律法規和政策［1］。

1.1.1 歐盟

1995 年，歐盟通過了《數據保護指令》，以最低保護限度為要求，協調了各成員國在數據保護上的一致性，由于該指令原則性強、實際操作性弱，實踐中各成員國多通過國內立法對其進行解釋，而成員國立法混亂，導致數據壁壘形成，嚴重阻礙了數據流通。為了適應互聯網和大數據的快速發展，歐盟于2018 年出臺了史上最嚴格的《通用數據保護條例》。該條例不僅僅適用于歐盟，也適用于為歐盟境內的個人提供商品、服務，以及收集歐盟公民個人數據的企業，管轄范圍幾乎涉及全球。該條例為成員國的數據立法提供了統一標準，建立了健全完備的監管機制，對個人信息給予了全面保護。總體而言，歐盟認為個人信息屬于基本人權，以綜合立法的形式確定各成員國的個人信息保護標準，側重政府公權力的介入。

1.1.2 美國

1974 年，美國通過了《隱私法案》。該法案規范了聯邦政府處理個人信息的行為，但對州政府或私營企業沒有約束力。之后，美國各州陸續出臺了相應的數據隱私法案，如《加利福尼亞州消費者隱私法案》《加利福尼亞州隱私權利法》《弗吉尼亞州消費者數據保護法》《科羅拉多州隱私法》等。在商業領域，美國采取分散立法的模式，制定了《信息自由法》《網絡安全信息共享法》《駕駛員隱私保護法》《電子通訊隱私法》《兒童在線隱私保護法》等針對特定領域的單行行政法，使個人信息保護立法得到不斷完善。總體而言，美國認為個人信息屬于個人隱私，以分散立法的模式來限制政府對個人信息的獲取，主張個人數據跨境自由流動，強調行業自律和政府輔助監管。

1.1.3 中國

2013 年，中國工業和信息化部出臺了《電信和互聯網用戶個人信息保護規定》，明確了電信業務經營者、互聯網信息服務提供者收集、使用用戶個人信息的規則；2016 年，《中華人民共和國網絡安全法》把個人信息保護納入網絡安全保護范疇，明確規定了違反個人信息保護應負的法律責任；2021 年，全國人大常委會先后通過了《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》，真正實現了個人隱私與信息保護綜合立法“零”的突破。總體而言，我國采取寬嚴相濟的立法模式［2］，在明確個人在個人信息處理中的權利的基礎上，采取行政干預方式，對國家機關個人信息處理者的行為進行規范。

我國學者從各個方面對個人信息保護的相關法律進行了研究。有學者研究了大數據背景下個人信息安全法律問題［3］，有學者研究了大數據時代保護個人信息的行政法［4］，有學者從民法角度研究了大數據時代個人信息保護策略［5-6］，有學者研究了公民個人信息的刑法保護法律完善問題［7］，有學者研究了網絡環境下個人信息保護的行政監管［8］，有學者研究了關于App 收集個人信息的行政法規制度［9］等。這些學者從不同角度和層面研究了我國個人信息保護的相關法律，客觀上推動了我國個人信息保護法規的建設。

1.2 多個領域的個人信息泄露研究

個人信息內容眾多，涉及行業范圍廣，不少領域都存在個人信息泄露風險，國內不同領域的學者對此進行了相關研究。如有學者研究了電子支付中的個人信息保護問題［10］，有學者研究了個人生物識別信息的隱私權保護策略［11］，有學者研究了疫情防控背景下個人信息的安全問題及對策［12］，有學者研究了網上銀行的信息安全保障義務［13］，還有多位學者對電商背景下的快遞服務用戶信息、民航旅客信息、在線旅客個人信息泄漏情況及對策進行了思考［14-17］，有學者討論了大數據趨勢下的搜索引擎用戶的信息安全［18］。

1.3 個人信息泄露分析及治理研究

不少學者針對個人信息的泄露途徑及泄露行為進行分析，并提出了應對策略。如有學者對內幕交易者的信息泄露行為進行了分析［19］，有學者研究了個人隱私泄露的途徑與防范措施［20］，有學者對大數據時代個人隱私數據的泄露進行了調研與分析［21］，有多位學者對我國公民個人信息保護現實困境與對策、大數據分析的隱私信息保護方法、公民個人信息安全防控體系、人工智能時代的個人信息安全挑戰與應對等［22-26］問題進行了研究。

1.4 個人信息保護技術研究

隨著互聯網應用的普及和人們對互聯網的依賴，個人信息泄露事件頻發。大數據、云計算等技術的發展更加劇了這一現象。針對個人信息保護技術，有關學者進行了研究。如有學者研究了個人信息泄漏檢測模型的對抗攻擊策略［27］，有學者探討了基于計算機技術對涉密信息的保護［28］，有學者研究了面向邊緣計算的任務卸載隱私保護技術［29］，有學者設計并應用了基于數據流的Android 應用信息泄露檢測平臺［30］，有學者研究了位置大數據中基于隱私保護的加密技術［31］，有學者對大數據時代個人隱私保護路徑進行了重構［32］，有學者研究了基于矩陣變換的大數據隱私保護關鍵技術［33］等。但總體而言，個人信息防護技術的研究滯后于信息技術的研究。

1.5 個人信息理論研究

由于個人信息大多為被動收集，大多時候公民在享受信息便利的同時也丟失了個人信息。數據的共享與隱私保護、個人信息保護也涉及倫理問題。有學者研究了大數據的“共享-隱私”悖論［34］，有學者研究了大數據發展與隱私保護問題［35］，有學者分析了大數據語境下個人信息隱私安全倫理［36］。

本文通過調研公民個人信息泄露現狀，分析公民個人信息泄露特征，剖析泄露途徑和原因，探討公民個人信息泄露的防范措施。

2 公民個人信息概念及范圍

在我國，個人信息是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”。在我國現有法律體系中，已有多部法律法規對個人信息做出了定義，如《中華人民共和國網絡安全法》第七十六條、《中華人民共和國民法典》第一千零三十條及2021 年11月1 日起施行的《中華人民共和國個人信息保護法》第四條等。《中華人民共和國民法典》《中華人民共和國網絡安全法》等相關法律列舉了個人信息的范圍，主要包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。為了進一步細化相關信息，國家標準化管理委會于2020 年3 月6日發布了《信息安全技術個人信息安全規范》（GB/T 35273-2020）［37］，列舉了個人信息的主要范圍，包括個人姓名、生日、性別、民族、國籍家庭關系、住址、個人電話號碼、電子郵件地址等個人基本資料，身份證、軍官證、護照、駕駛證、工作證、出入證、社保卡、居住證等個人身份信息，個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等個人生物識別信息，以及網絡身份識別信息、個人健康生理信息、個人教育工作信息、個人財產信息、個人通信信息、聯系人信息、個人網上記錄、個人常用設備信息、個人位置信息、其他信息等。

3 公民個人信息泄露案例及特征分析

個人信息泄露案件呈逐年高發態勢，并且隨著數據價值的增加，其影響也越來越大。本文通過梳理27 起影響較大的個人信息泄露案例，從受害主體、泄露信息、影響危害等3 個方面對案例進行分析，總結了公民個人信息泄露案件的被動收集性、群體參與性、集體博弈性、平衡對立性、連鎖反應性和時間滯后性等特征。

3.1 公民個人信息泄露案例分析

隨著我國以大數據、云計算、物聯網為代表的信息經濟迅速崛起，正在發生巨大變革的不僅是經濟發展方式，還有個人生活的方方面面。便捷、高效、智能且個性化的信息服務逐漸滲透到公民生活的各個方面，與此同時，公民個人信息泄露事件的頻繁發生引發了人們關于新時代下公民個人信息隱私保護的反思。

本文通過網絡調研，獲取了近3 年影響較大的27 起公民個人信息泄露案例（表1），并對這些案例的關鍵要素進行了歸納（表2）。

表1 2020-2022 年我國公民個人信息泄露典型案例（部分）

續表1

表2 公民個人信息泄露類型及典型案例

3.1.1 受害主體范圍廣泛

通過梳理可以看出，信息泄露的受害主體既有普通公民、農民工，也有高校學生，覆蓋了多個平臺、公司或單位的用戶、客戶及網民群體。這說明知識文化水平并不能夠成為判斷是否會發生信息泄露案件的有效標準，具有較高文化素質的高校大學生群體依舊成為了信息泄露事件的受害者。這也從側面反映了當前非法獲取信息的技術手段發展之先進、滲透之廣泛，即便是對具有一定信息保護意識、具備個人信息保護能力的人來說依舊防不勝防。一些知名企業、單位及互聯網平臺沒有很好地遵守相應的法律法規、道德規范，沒有盡到應盡的保密義務，反而在利益的驅使下做出一系列侵犯他人信息安全的行為，損害了其自身聲譽，也辜負了民眾的信任。

3.1.2 泄露信息類型多樣

表2 顯示，自2020 年以來，影響較大的公民個人信息泄露案例可分為信息泄露、信息盜取和信息交易3 種類型。信息泄露是指部分服務平臺、管理單位的用戶/人員數據被批量泄露甚至販賣，數據主要以個人基本信息和賬號信息為主；信息盜取是指一些不法分子利用爬蟲、外掛和木馬病毒等技術手段，或者利用工作之便非法盜取并售賣大量個人基本信息、收貨信息、通信信息等；信息交易是指一些不法分子通過非法途徑購買或售賣大量的個人基本信息、購貨信息等。被泄露的信息內容以個人基本信息為主，同時還包括賬號信息、通訊信息、收貨信息、購買信息、醫療信息、出行信息、求職信息等，基本涵蓋了個人信息的全部類型。個人信息泄露案件頻發、涉及的信息內容廣泛，公民幾乎毫無隱私可言，一切能夠轉化為利益的信息與數據都有受到侵犯的風險。

3.1.3 負面影響惡劣

信息泄露造成的負面影響廣泛而惡劣，不法個人或集體通過非法泄露、非法盜取、非法購買和售賣等手段侵犯公民的個人信息牟利，泄露的數據體量少則上千條，多則數億條，數據量巨大，非法獲利金額不菲。這些個人信息泄露事件都產生了不良的影響，輕則通過短信電話騷擾公民的正常生活，重則通過詐騙等非法手段侵害公民的個人財產、破壞社會公平，危害了社會的和平穩定與長治久安。雖然信息泄漏的相關話題會隨著重大案件的發生不時見諸報端，引發群眾的廣泛討論與密切關注，但并不能從源頭解決問題，也不能減輕信息泄露已造成的各種負面影響。因此，信息泄露亂象的整治刻不容緩，有必要擬定更具針對性的對策措施、實施更有效的懲治手段。

3.2 公民個人信息泄露特征分析

通過文獻調研和對公民個人信息泄露典型案例的分析，本文總結歸納了公民個人信息泄露案件的六大特征。

3.2.1 被動收集性

公民參加購物、掃描健康寶、辦理銀行業務、購買車船飛機票、參加線上培訓、發表學術論文、注冊社交軟件及學習軟件等社會活動時，一般都會根據要求填寫個人信息或被后臺軟件自動抓取行為數據，很多情況下基于服務“霸王條款”公民只能被動同意，因此個人信息被大量收集，信息被非對稱占有，從而構成潛在危險。

3.2.2 群體參與性

如今手機已成為人們出行和辦理業務的重要工具，購物支付、旅行購票、學習注冊等都離不開手機，尤其是疫情期間很多公共場合要求出示健康寶或行程卡，只要公民出門參與社會活動就必須出示健康寶或行程卡，大量個人信息就會被全范圍采集，呈現出了群體參與的特點。

3.2.3 集體博弈性

公民個人信息泄露有一部分是個人無意泄露的，但后果比較嚴重的是機構非法批量出售個人信息。而且泄密與反泄密已不僅是簡單的個人泄密問題，涉及到法律制度、行業管理、技術防范、網絡滲透與反滲透等多個領域，是公民、政府執法機關與出售個人信息團伙的集體博弈。

3.2.4 平衡對立性

目前個人隱私保護的痛點在于人們享受技術帶來的便利的同時，也需面對技術帶來的弊端。數據成為資產的現實使大多數機構愈發迫切地想要掌握更多數據，關于各種App 要求強制授權、過度收集個人信息的話題熱度不減，互聯網上不法分子的陰暗操作讓人防不勝防。平衡個人數據共享和隱私保護存在的對立性是重中之重，如精準購物推薦和個人行為痕跡記錄。一方面，精準推薦給我們帶來更多的視野，方便我們做更好的選擇；另一方面我們又必須面對令人厭煩的行為定向營銷。

3.2.5 連鎖反應性

網絡時代，信息快速傳播使個人信息泄露的蝴蝶效應愈發明顯。很多情況下，一不留神的一次按鍵授權會導致敏感信息泄露呈網狀快速蔓延，引發一系列的不良反應，甚至愈演愈烈，引起軒然大波。

3.2.6 時間滯后性

很多情況下，個人信息被收集后并不會馬上泄露出去，信息收集后還有信息處理、出售和利用的過程。因此，很多個人信息泄露案例存在一定的時間滯后性，這也給受害主體造成了一定的麻痹，使保密管理更加被動，不易跟蹤和追溯。

4 公民個人信息泄露途徑及原因

4.1 公民個人信息泄露途徑

4.1.1 個人手機等智能設備成為個人信息泄露重要渠道

一是App 等應用程序過度采集個人信息情況嚴重。大量App 通過非法設置手機安裝和使用權限獲取用戶手機通訊錄、相冊、地址等信息，借助精準的人工智能推薦算法，從年齡、偏好、習慣、地域、交往、飲食、運動等多角度對用戶進行分析，一些App 為保證用戶真實性還需上傳人臉照片進行認證，從而為用戶精準畫像。2021 年5 月，國家互聯網信息辦公室在公眾大量使用的App 中抽取了105 款，對這些App 收集使用個人信息的情況進行了檢測，發現了很多問題，如未經用戶同意收集使用個人信息；違反必要原則，收集與其提供的服務無關的個人信息；未公開收集使用規定等，存在非法獲取、超范圍收集、過度索權等違規收集使用個人信息的現象。

二是微信、QQ 等即時通訊工具成為公民個人信息泄露的重災區。有調查結果顯示，很多人把注冊微信需要填寫的基本信息設置為真實信息，有的甚至把職務加姓名設置為用戶昵稱，把頭像設置為私人照；有的人對用戶權限設置較低，添加好友未開啟驗證功能，朋友圈允許陌生人查看，位置信息處于允許共享狀態。微信用戶均可通過以上開放信息迅速鎖定個人身份，成為不法分子竊密的重要目標。

三是可穿戴設備成為泄密渠道。可穿戴設備集成了嵌入式操作系統、內置傳感器、數據采集、無線自組網等技術，通過設備軟件支持和信息交互、云端交互來實現強大的功能，如智能手環、谷歌眼鏡、智能頭盔等。可穿戴設備體型小巧，外觀與普通穿戴相似，可隨著人的活動而活動，利用各種傳感器隨時隨地采集周圍的各種數據，如影像、聲音、氣象、地理坐標、行動軌跡等信息，一旦進入個人生活區域，可輕易獲得個人信息。可穿戴設備采用的無線連接和開放操作系統，能夠實時連接移動通信網絡、無線網絡，容易遭到非法遠程控制，成為個人信息泄露的隱秘通道。

4.1.2 第三方惡意技術入侵盜取公民個人信息

常見的主要是網上黑客攻擊和針對具體單位和人員的信息偷竊。2022 年5 月，大象保險服務有限公司美國總部報告稱，公司在3 月底遭遇的一起網絡安全事件可能涉及到數百萬份保單客戶的相關信息，公司在檢測到“網絡上存在異常活動”之后立即展開調查，并確定入侵者可能獲取了包括姓名、駕駛執照號碼和出生日期在內的信息，給用戶的生活秩序造成重大風險隱患，產生了很大的負面影響。

4.1.3 數據采集機構非法出售個人信息

大數據時代，公民個人信息的商業價值被充分挖掘，擁有個人信息的機構在信息時代就是擁有巨額財富，也是境外機構的重點收集目標。在利益驅動下個人信息容易被不法分子售賣，如2018 年“數據堂”特大侵權公民個人信息案。據公安部門統計，“數據堂”一個月內日均傳輸個人信息1.3 億條，規模之大令人觸目驚心。再如2021 年轟動全球的“滴滴”事件，“滴滴出行”App 存在嚴重違法違規采集個人信息問題，為避免擴大風險，國家互聯網信息辦公室通知網絡應用商店下架“滴滴出行”App，停止新用戶注冊。

4.1.4 政府機關及公共服務部門采集和公示個人信息

隨著“互聯網+”及無紙化辦公的快速推進落地，各項數據信息化建設也向著“云平臺+”建設推進，各級政府、機關和公共服務部門在采集數據時，會要求公民提供超過本部門需求的信息，存在過度采集和隨意采集問題。如公民的郵箱信息、身份證號、家庭住址、家庭成員信息、手機號等信息被采集后，可能會遭到泄露；還有一些政府、機關單位及公共服務部門對公民信息進行公示，被公示的個人信息也存在泄露的風險。

4.2 公民個人信息泄露原因

4.2.1 國家信息安全法律體系不完善導致不法分子有漏洞可鉆

一是國家個人信息保護的法律體系不夠完善。我國從憲法、各類法律、法規、規章到所簽訂的國際條約都對個人信息保護進行了規定。但相關規定側重于理論，操作性不強，相關條文零散分布，缺乏統一性和體系性，個人信息的概念不清、界限模糊，個人信息保障范圍有限，信息侵犯主體范圍模糊，侵犯行為判斷易出現偏差。如個人信息保護的法律大多是針對安全問題發生后的懲處，對個人的行為規范卻并不多，很難從根本上對個人信息安全問題進行有效預防；《中華人民共和國網絡安全法》《信息安全技術個人信息安全規范》等法律規范對個人信息進行了定義，但判定標準仍然不夠明確，執法部門難以參照相關內容判斷出遭竊取、泄露的信息是否為個人信息，容易讓犯罪分子鉆法律的空子，得不到應有的法律制裁。

二是國家執法力度不強。一些組織或個人出于謀取非法利益等目的，違反職業道德和保密義務，以竊取、收買、非法提供等方式大肆收集、存儲、利用、泄露公民個人信息，特別是一些政府機關或公共服務部門在履行公務或提供服務時獲取的公民個人信息被非法泄露的情況時有發生。然而在司法實踐中，司法機關對侵犯公民個人信息的案件沒有足夠重視，沒有開展強有力的司法審判和執行。在現行相關法律中，對泄露、竊取個人信息的相關違法行為，通常都是罰款為主，不法分子很少會承擔刑事責任。售賣個人信息的收益顯然要遠高于違法成本，致使出售或非法提供個人信息的活動越來越猖獗。

4.2.2 保密意識不強使政府機關及公共服務部門無意泄露公民個人信息

政府信息公開是促進政府職能轉變的有力戰略，然而在公民個人信息保密方面，一些政府機關及公共服務部門存在行政部門職能缺失的問題。一是在處理公民個人信息的各個階段中，相關工作人員缺少對公民信息保密的意識，注意力主要放在完成相應的工作上，造成信息泄露的現象。如一些公共服務部門工作人員對個人信息的保密性認識不到位，展示了不該展示的內容，導致公民個人信息泄露。二是政府機關及公共服務部門缺乏對工作人員的管理和監督，導致相關工作人員的信息安全意識不強。有些工作人員對公民信息采集及公開的范圍、內容缺乏清晰的認識，容易過度收集公民個人信息，跨越收集原則的底線，使公民成為“透明人”。甚至有些工作人員在行使權力的過程中不遵守相關制度和規定或不按程序操作，增加了公民隱私泄露的風險。

4.2.3 趨利性使商業機構非法兜售個人信息

個人信息商品化使售賣個人信息成為不法分子牟利的惡劣手段。一方面是不法分子形成黑色產業鏈，非法采集、加工、售賣、購買、轉售并非法利用個人信息。另一方面是大數據公司通過利用高新科技手段在未經允許的情況下非法追蹤抓取個人信息，通過對零散細碎個人信息拼接組合進行數據挖掘分析，暴露公民個人信息。

4.2.4 斗爭性使境外機構不擇手段獲取個人信息

一是境外情報機構滲透，策反竊密活動無孔不入。這些機構緊盯核心重要涉密人員，不擇手段脅迫策反我國在境外人員，通過多種渠道結識、攀拉我國涉密人員，非法竊取國家機密情報。二是境外情報機構不斷加大網絡竊密攻擊力度，目標直指核心要害部門。攻擊密集，指向明確，緊盯我國大事要事，高端智庫、知名學者的計算機成為境外機構攻擊重點。三是境外反華勢力文化入侵。美國利用網絡空間霸權進行政治引導及價值觀輸出，美國文化產品所宣揚的拜金主義、享樂主義和利己主義等價值理念都通過網絡滲透影響青少年價值觀，一些人追求所謂的“民主和自由”，向往奢靡享樂的生活，無視保密規定鋌而走險。

4.2.5 技術落后導致信息安全監管能力不足

一是信息領域核心技術落后。軟件方面，大多數計算機采用Windows 系列操作系統，后臺核心代碼非我國控制，容易在未經允許的情況下保存瀏覽器數據，并私自上傳數據到境外的服務器上，給我國公民個人信息安全帶來巨大風險。硬件方面，我國芯片技術被“卡脖子”，智能設備和信息采集設備核心芯片容易被遠程操控留“暗門”，難以杜絕植入芯片竊取數據等安全問題，使用這些設備的個人信息存在安全隱患。二是信息監管防護能力不高。個人信息的泄露通常需要經過采集、整理、發布或出售幾個階段。如一些軟件會利用Cookie 文件對上網人員的瀏覽記錄、用戶名、密碼和IP 地址等詳細信息進行記錄，然后對數據進行標引識別后處理銷售。這些流程記錄行為缺乏有效的信息安全監控管理技術，任何一個環節若能夠得到有效監管都可以大大降低信息泄露的風險。

4.2.6 公民隱私保護教育不力

一是公民個人信息保密意識不強。我國對隱私保護教育重視不夠，個人隱私防范風險意識不強，不了解隱私泄露途徑，用網隨意不設防；個別人虛榮心作祟，難抵金錢美色誘惑，為在短期內獲得極大利益回報不惜鋌而走險。

二是個人信息安全法律教育不足。《中華人民共和國個人信息保護法》2021 年才頒布實施，公民關于個人信息保護的法律知識欠缺，個人信息安全受到侵犯時難以想到通過法律手段保護個人信息安全。

5 公民個人信息安全保密對策

5.1 構建完善的個人信息保護法律體系加強個人信息司法保護

一是要完善國家關于個人信息保護的法律體系。盡管近年我國集中頒布并實施了《中華人民共和國個人信息保護法》、《中華人民共和國數據安全法》和《中華人民共和國網絡安全法》等有關個人信息保護的法律。但這些法律剛剛實施，還存在一些沒有特別明確的問題，相關部門應在后續的法律實施過程中對法律條文中的一些細節進行規范明確的說明，避免不法分子鉆法律漏洞，導致公民信息泄露帶來不必要的損失。

二是要加大處罰力度，提高違法成本。《中華人民共和國刑法》第二百五十三條規定：違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。《中華人民共和國消費者權益保護法》和《中華人民共和國網絡安全法》則基本以現金罰款為重。上述法律法規規定的刑期和罰款金額，相對于愈演愈烈的侵犯公民信息犯罪行為相比，明顯過輕，違法犯罪成本過低。因此，立法應加大侵犯公民個人信息行為的處罰力度，特別是如侵犯公安人員、軍人、兒童等特殊群體個人信息的還應從重處罰。

5.2 加強行政監管

政府機關及公共服務部門要提高對公民個人信息的保護意識，充分發揮地方行政保護的力量，強化地方行政機關對公民信息保護的監管責任，成立公民個人信息保護機構，加強信息監督，嚴格執法，即時有效制裁各種個人信息侵權行為，追究違法企業主體責任。必要時應采取聯合執法模式，全方位打擊治理侵犯個人信息的違法行為，建立完善的事先責任制和事后問責追究制，避免因政府機關及公共服務部門過度采集個人信息而導致公民個人信息泄露。同時，政府機關及公共服務部門應加強對工作人員的管理與監督，對他們進行公民個人信息保密方面的培訓，建立和完善獎懲機制，加大內部約束力，從制度上、思想上、行為上對從業人員進行約束，實現對公民隱私權利的保障。

5.3 加強經營者主體責任，平衡公民權益保護和數字經濟發展

互聯網及大數據公司是個人信息匯聚的重要地點，信息流入流出都會經過這些公司的數據處理環節。一是明確規定經營者在信息收集環節的責任和義務，嚴格要求運營者不得收集與提供與服務無關的信息，必須依照法律法規的規定和用戶的約定處理保存信息，一旦在此過程中出現數據泄露事件，嚴厲追究經營者責任。二是應對運營者收集到的與所提供服務相關的公民信息進行使用記錄，確保這些信息僅應用于經營過程而不是進行非法販賣，并且要組織相關部門定期對其信息使用記錄進行審計。三是進行行業治理，制定行業守則，通過“凈網”行動整頓行業亂象，充分尊重公民個人意愿，刪除如“最終解釋全歸網站所有”等霸王條款，嚴格保障公民個人權益。四是在充分保護個人信息安全的同時，通過技術措施平衡數字經濟發展。

5.4 增強憂患意識和敵情觀念，加強防間反竊密能力

正確把握國際國內形勢發展變化，要充分意識到信息時代信息傳播和獲取的便捷性。互聯網已成為政治滲透的新工具和意識形態斗爭的新戰場，我們必須強化互聯網信息泄露的風險意識，盡量避免通過互聯網傳輸涉密信息，一定需要傳輸的應盡量采取光盤刻錄的形式。此外，還應當加強泄密風險預判預警，增強憂患意識和敵情觀念，克服麻痹大意思想，時刻保持警惕和清醒頭腦，提升信息化條件下防范化解重大失泄密風險的能力水平，采取有針對性的綜合措施，下好先手棋，打好主動仗。

5.5 發展自主信息安全技術，提升個人信息泄露技術對抗能力

目前個人信息主要通過網絡傳播。如果采集、存儲和傳播個人信息的網絡不能完全自主可控，那么這個網絡平臺則存在巨大隱患。若想從根本上擺脫對國外基礎軟硬件的依賴，避免因網絡傳播而導致信息泄露，應采取以下措施。一是大力推進信息產業基礎技術自主可控發展，從基礎軟硬件源頭防范暗門風險。基礎軟硬件包括支撐系統安全運行的硬件、固件、操作系統等。二是大力推進信息產業中間平臺和應用技術發展，在信息采集傳輸環節加強個人信息安全防范。中間平臺主要是指云計算平臺、大數據平臺、并行計算平臺等。應用層主要指各種辦公、數據處理和功能應用的運行程序。這些軟件最易被植入后門，遭受病毒和黑客攻擊，這也是個人信息泄露的重要原因。三是大力發展個人信息數據處理技術，提升信息傳播檢測預警能力。加強如文件加密技術、身份認證技術、個人信息錄入提醒技術等個人信息采集技術的研究，增強源頭性保護；加強如社交網絡匿名保護技術、數據發布匿名保護技術，數據溯源技術等個人信息處理技術的研究，推進過程性保護；加強如入侵檢測技術、防火墻技術、殺毒軟件等防護技術的研究，提升信息安全防御；加強個人信息監測預警技術的研究，加強風險預判處置能力。

5.6 加強公民隱私保護教育和管理，提升個人信息安全防范能力

加大個人信息保護宣傳教育力度，提升隱私保護法治教育的針對性和有效性。通過進行個人信息保護宣傳教育，提升個人信息防護意識。即時更新教育內容，讓公民充分了解網絡信息發布的漏洞和竊取信息的途徑；引導公民重視對日常生活信息的管理，如拒絕向來歷不明或存在風險的組織或個人提供個人信息，不在“朋友圈”、微博等社交網絡發布可能暴露隱私的照片或文字，保管好銀行憑據、快遞單據、車票等包含個人信息的文件，丟棄前可采取對關鍵信息進行涂抹或粉碎等處理。總之，不斷增強公民的保密意識，加強個人信息泄露防御能力。

6 結語

如今，互聯網已融入我們的生活，網絡購物、交通出行、線上交易等應用程序便利了我們的生活，但同時也會更多地收集公民的個人信息，使個人信息安全面臨更大的威脅。當前，我國在法律體系、政府監管、保密意識、技術服務等方面對個人信息的保護尚有明顯不足，需緊跟時代變革的節奏和步伐，加大對個人信息的保護力度。首先，政府機關應樹立責任意識，加強對工作人員保密知識的教育培訓，完善相關法律體系，加大行政監管和懲罰力度；第二，公民個人要增強防范意識和責任意識，重視對日常生活信息的管理，強化互聯網信息泄露的風險意識，加強民族責任意識，以避免被利益驅使出賣他人信息；第三，發展自主信息安全技術，增強防泄露技術研究能力，提升個人信息加密技術水平。綜上所述，我國應建立健全的信息保護治理體系，構建產業協同的安全保障網絡，進一步明確公民個人信息使用規則［38］，真正實現對公民個人信息的保護，促進信息社會建設。