個(gè)人信息保護(hù)制度研究

當(dāng)前社會(huì)，個(gè)人信息已成為一種重要的社會(huì)資源，同時(shí)也成為各方競(jìng)相爭(zhēng)奪的戰(zhàn)略資源，安全挑戰(zhàn)日益嚴(yán)峻。隨著云計(jì)算、物聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)等新一代信息技術(shù)的飛速發(fā)展，大數(shù)據(jù)應(yīng)用規(guī)模日趨擴(kuò)大，在數(shù)據(jù)采集、存儲(chǔ)、開放共享等均存在安全隱患，嚴(yán)重威脅個(gè)人信息安全，甚至關(guān)系到社會(huì)秩序和國(guó)家安全，亟需加強(qiáng)個(gè)人信息保護(hù)制度建設(shè)，全面提升全社會(huì)個(gè)人信息保護(hù)能力建設(shè)。

個(gè)人信息安全形勢(shì)

數(shù)據(jù)作為一種新的生產(chǎn)要素，成為各方競(jìng)相爭(zhēng)奪的重要戰(zhàn)略資源，非法收集、披露和交易數(shù)據(jù)的行為屢見(jiàn)不鮮。一方面，網(wǎng)絡(luò)運(yùn)營(yíng)者以“一攬子協(xié)議”強(qiáng)迫用戶同意、隱秘收集、誘騙收集個(gè)人信息。2017年全國(guó)人大常委會(huì)的“一法一決定”執(zhí)法檢查“萬(wàn)人調(diào)查報(bào)告”顯示：有49.6%的受訪者曾遇到過(guò)度收集用戶信息現(xiàn)象。許多受訪者反映，當(dāng)前免費(fèi)應(yīng)用程序普遍存在過(guò)度收集用戶信息、侵犯?jìng)€(gè)人隱私問(wèn)題，但幾乎沒(méi)有受到任何監(jiān)管和依法懲處。近年來(lái)，因App默認(rèn)勾選、第三方數(shù)據(jù)采集等問(wèn)題引發(fā)的糾紛頻出?！安锁B順豐之爭(zhēng)”“大眾點(diǎn)評(píng)訴百度地圖案”“支付寶年度賬單事件”等更是將數(shù)據(jù)無(wú)序爭(zhēng)奪等問(wèn)題不斷暴露在公眾視野中。另一方面，受強(qiáng)大的經(jīng)濟(jì)利益驅(qū)動(dòng)，違法犯罪分子大肆倒賣和披露公民個(gè)人信息，已逐漸形成龐大完整的地下黑色產(chǎn)業(yè)鏈，甚至出現(xiàn)了“第三方擔(dān)保平臺(tái)”，個(gè)人信息買賣的市場(chǎng)規(guī)模大到了需要細(xì)分配套產(chǎn)業(yè)的地步，侵犯公民個(gè)人信息犯罪日趨專業(yè)化、產(chǎn)業(yè)化。

隨著國(guó)家大數(shù)據(jù)戰(zhàn)略和“互聯(lián)網(wǎng)+”行動(dòng)的加快實(shí)施，數(shù)字經(jīng)濟(jì)飛速發(fā)展，大數(shù)據(jù)應(yīng)用規(guī)模日趨擴(kuò)大，云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等新興領(lǐng)域匯聚了海量數(shù)據(jù)，萬(wàn)網(wǎng)互聯(lián)下網(wǎng)絡(luò)攻擊正逐步向各類新型網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)及聯(lián)網(wǎng)終端滲透，伴生性安全威脅和傳統(tǒng)安全威脅交織呈現(xiàn)。APT等新型高級(jí)網(wǎng)絡(luò)攻擊持續(xù)挑戰(zhàn)傳統(tǒng)數(shù)據(jù)保護(hù)技術(shù)，并以存儲(chǔ)海量數(shù)據(jù)的互聯(lián)網(wǎng)數(shù)據(jù)中心、云平臺(tái)和重要信息系統(tǒng)為主要攻擊目標(biāo)，造成大規(guī)模用戶信息泄露事件接連發(fā)生。2017年發(fā)生的幾起個(gè)人信息泄露案件數(shù)據(jù)規(guī)模甚至達(dá)到了十億、百億級(jí)，如涉及京東員工數(shù)據(jù)泄露案泄露數(shù)據(jù)50億條，58同城被曝簡(jiǎn)歷數(shù)據(jù)泄露，700元可采集全國(guó)簡(jiǎn)歷信息，遼寧4·26特大公民信息泄露案泄露個(gè)人信息100億條，雅虎30億賬戶全部泄露。這些信息不僅數(shù)量多，內(nèi)容也十分豐富，除了身份戶籍等身份信息外，在生活中產(chǎn)生的各類信息，如名下資產(chǎn)、手機(jī)通話記錄、支付寶賬號(hào)、開房記錄、航班記錄、打車記錄、“淘寶”送貨地址等也被隨意買賣，公民的生活軌跡被完全泄露。大數(shù)據(jù)時(shí)代的到來(lái)又給個(gè)人數(shù)據(jù)保護(hù)帶來(lái)了更多新的難題與挑戰(zhàn)，個(gè)人信息保護(hù)不足導(dǎo)致個(gè)人隱私、安寧、財(cái)產(chǎn)等權(quán)利受到侵害且在受到侵害后無(wú)救濟(jì)渠道。

個(gè)人信息的泄露不僅造成用戶數(shù)據(jù)在互聯(lián)網(wǎng)平臺(tái)非法交易，被竊取的公民個(gè)人信息經(jīng)過(guò)加工、轉(zhuǎn)賣，被大量用于網(wǎng)絡(luò)詐騙、敲詐勒索、暴力追債以及滋擾型“軟暴力”等違法犯罪，特別是為電信詐騙犯罪嫌疑人實(shí)施精準(zhǔn)詐騙提供了更加便利的條件，嚴(yán)重威脅公眾財(cái)產(chǎn)和人身安全，主要有以下幾種形式：一是實(shí)施電信詐騙、網(wǎng)絡(luò)詐騙等新型、非接觸式犯罪；二是直接實(shí)施搶劫、敲詐勒索等嚴(yán)重暴力犯罪活動(dòng)；三是實(shí)施非法商業(yè)競(jìng)爭(zhēng)；四是以各類“調(diào)查公司”和“私家偵探”的名義調(diào)查婚姻、滋擾民眾。

安全問(wèn)題已是數(shù)字經(jīng)濟(jì)健康發(fā)展的最大威脅。一是數(shù)據(jù)安全問(wèn)題失控，將會(huì)嚴(yán)重打擊全社會(huì)對(duì)數(shù)字經(jīng)濟(jì)的信心。近些年，航空售票系統(tǒng)、醫(yī)療衛(wèi)生系統(tǒng)個(gè)人信息系統(tǒng)由于遭受黑客攻擊或由于內(nèi)部管理不善，導(dǎo)致個(gè)人信息泄露事件發(fā)生，降低相關(guān)企業(yè)甚至行業(yè)的公信力，影響行業(yè)的健康和可持續(xù)發(fā)展。二是網(wǎng)絡(luò)運(yùn)營(yíng)商間無(wú)序競(jìng)爭(zhēng)引發(fā)激烈爭(zhēng)端。數(shù)據(jù)成為各方競(jìng)相爭(zhēng)奪的戰(zhàn)略性資源，一些網(wǎng)絡(luò)運(yùn)營(yíng)商不斷在數(shù)據(jù)歸屬的爭(zhēng)奪中“擦槍走火”，引發(fā)行業(yè)站隊(duì)和激戰(zhàn)，嚴(yán)重?cái)_亂行業(yè)生態(tài)秩序。如華為和騰訊的“數(shù)據(jù)之爭(zhēng)”、順豐和菜鳥“數(shù)據(jù)斷交”事件，此類爭(zhēng)執(zhí)最終通過(guò)協(xié)調(diào)和解等應(yīng)急性措施解決，并未有統(tǒng)一的規(guī)則來(lái)“劃線止?fàn)帯?，隱患依然存在。另外，一些企業(yè)肆意“倒賣數(shù)據(jù)”獲得了競(jìng)爭(zhēng)優(yōu)勢(shì)，形成“劣幣驅(qū)逐良幣”的惡性競(jìng)爭(zhēng)狀態(tài)，嚴(yán)重破壞行業(yè)發(fā)展生態(tài)。

國(guó)家間圍繞數(shù)據(jù)占有和利用的博弈日趨激烈，數(shù)據(jù)竊取、濫用等問(wèn)題日益突出，嚴(yán)重威脅網(wǎng)絡(luò)安全乃至國(guó)家安全。一是美國(guó)等發(fā)達(dá)國(guó)家利用其掌握相關(guān)核心技術(shù)的優(yōu)勢(shì)，大量獲取他國(guó)的敏感信息。棱鏡門事件充分暴露出美國(guó)利用核心技術(shù)優(yōu)勢(shì)實(shí)施網(wǎng)絡(luò)竊密的事實(shí)。二是針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的國(guó)家級(jí)有組織的網(wǎng)絡(luò)攻擊持續(xù)發(fā)生，對(duì)我國(guó)基礎(chǔ)數(shù)據(jù)和海量用戶信息的竊取，基于規(guī)模化個(gè)體信息的加工分析，可形成對(duì)國(guó)家安全的嚴(yán)重威脅。三是支撐網(wǎng)絡(luò)的基礎(chǔ)物理設(shè)施和技術(shù)規(guī)范被私營(yíng)數(shù)據(jù)寡頭掌控，擁有海量用戶數(shù)據(jù)的數(shù)據(jù)寡頭企業(yè)利用其技術(shù)支配力和市場(chǎng)壟斷力，侵害用戶合法權(quán)益。四是大規(guī)模數(shù)據(jù)跨境流動(dòng)威脅國(guó)家安全，國(guó)外大型互聯(lián)網(wǎng)企業(yè)對(duì)我國(guó)大數(shù)據(jù)資源搜集、跨境輸出并深度挖掘，竊取國(guó)家重要敏感數(shù)據(jù)和海量用戶信息，嚴(yán)重威脅我國(guó)國(guó)家安全。

國(guó)外個(gè)人信息保護(hù)制度基本情況

目前，世界范圍內(nèi)有關(guān)個(gè)人敏感信息保護(hù)主要有三種模式，即歐盟模式、美國(guó)模式和日本模式。

歐盟模式。在權(quán)利保護(hù)方面 ，歐盟采取人格權(quán)保護(hù)模式，將個(gè)人信息視作公民人格和人權(quán)的一部分，不僅停留在隱私權(quán)保護(hù)，而是上升到基本權(quán)利高度，按照一般人格權(quán)的保護(hù)路徑進(jìn)行嚴(yán)格保護(hù)，賦予用戶個(gè)人知情權(quán)、查閱權(quán)、被遺忘權(quán)、刪除權(quán)等一系列權(quán)利，嚴(yán)格規(guī)范網(wǎng)絡(luò)運(yùn)營(yíng)者在信息收集、存儲(chǔ)、適用、更改、流動(dòng)、消滅等全生命周期的行為界限。

在立法模式方面，采用統(tǒng)一立法模式，即制定一個(gè)綜合性的個(gè)人信息保護(hù)法來(lái)規(guī)范針對(duì)個(gè)人信息的行為，統(tǒng)一適用于公共部門和非公共部門，并設(shè)置一個(gè)綜合監(jiān)管部門集中監(jiān)管。近年來(lái)，綜合性法律不斷完善，1995年通過(guò)《個(gè)人數(shù)據(jù)保護(hù)指令》，1997年通過(guò)《電信業(yè)隱私權(quán)指令》，2002年頒布了新的《電子隱私權(quán)指令》，2016年頒布《數(shù)據(jù)保護(hù)通用條例》，取代了1995年頒布的“數(shù)據(jù)保護(hù)指令”，2017年通過(guò)了《隱私與電子通信條例》。

美國(guó)模式。在權(quán)利保護(hù)方面，美國(guó)模式以隱私權(quán)保護(hù)為基礎(chǔ)，并根據(jù)數(shù)據(jù)經(jīng)濟(jì)發(fā)展趨勢(shì)和需要加以變通的方式，來(lái)調(diào)整用戶個(gè)人和數(shù)據(jù)控制者、處理者之間的權(quán)利關(guān)系。如將隱私權(quán)的消極被動(dòng)保護(hù)屬性變?yōu)榉e極主動(dòng)自決屬性，由用戶來(lái)決定是否個(gè)人信息是否可被利用；通過(guò)劃分個(gè)人信息的重要等級(jí)予以動(dòng)態(tài)性、區(qū)分式保護(hù)；利用憲法“法不禁止即自由”賦予網(wǎng)絡(luò)運(yùn)營(yíng)商更廣闊的發(fā)展空間。

在立法模式方面，采取分散立法和行業(yè)自律相結(jié)合的方式。在公共領(lǐng)域，美國(guó)以隱私權(quán)作為憲法和行政法的基礎(chǔ)，通過(guò)單行法《隱私權(quán)法》為公權(quán)力機(jī)構(gòu)個(gè)人信息要求制定統(tǒng)一規(guī)則，同時(shí)在各領(lǐng)域逐一立法規(guī)定其特殊要求。在私人領(lǐng)域，因無(wú)法統(tǒng)一立法，采取自律機(jī)制、通過(guò)行業(yè)自我約束實(shí)現(xiàn)對(duì)個(gè)人信息的保護(hù)，并根據(jù)個(gè)人信息的具體內(nèi)容進(jìn)行分業(yè)監(jiān)管。

日本模式。日本同時(shí)借鑒了歐洲和美國(guó)的個(gè)人信息保護(hù)模式，以保障公民隱私權(quán)在內(nèi)的人格權(quán)和財(cái)產(chǎn)權(quán)為核心，采用歐盟統(tǒng)一立法模式，通過(guò)《個(gè)人信息保護(hù)法》這部綜合性立法，全方位規(guī)制政府部門、私營(yíng)企業(yè)個(gè)人信息處理行為。同時(shí)，沿用美國(guó)實(shí)用主義立法經(jīng)驗(yàn)，重視重點(diǎn)行業(yè)的特別立法、行業(yè)自律和社團(tuán)參與等，從而形成獨(dú)特的日本個(gè)人信息保護(hù)模式，有效平衡個(gè)人信息保護(hù)和信息的自由流動(dòng)的關(guān)系。

盡管各國(guó)立法模式和路徑各異，但在個(gè)人信息保護(hù)方面形成了國(guó)際上普遍認(rèn)同、基本一致的保護(hù)原則，奠定了各國(guó)及國(guó)際組織個(gè)人信息立法的制度基礎(chǔ)，主要有：一是公開性和透明性原則，即個(gè)人信息處理者應(yīng)公開關(guān)于個(gè)人信息處理的一切政策、流程和措施，禁止個(gè)人信息被秘密地處理；二是限制性原則，包括個(gè)人信息必須被合法處理，收集個(gè)人信息堅(jiān)持最少必要原則，個(gè)人信息的使用范圍、保存期限和銷毀應(yīng)受到限制；三是數(shù)據(jù)質(zhì)量原則，即信息控制者應(yīng)確保個(gè)人信息準(zhǔn)確、完整和適時(shí)更新；四是責(zé)任與安全原則，信息控制機(jī)構(gòu)必須承擔(dān)個(gè)人信息保護(hù)的主要責(zé)任，要將個(gè)人信息保護(hù)內(nèi)化于其業(yè)務(wù)流程和技術(shù)設(shè)計(jì)中，同時(shí)采取必要的安全防范措施保護(hù)個(gè)人信息，防止數(shù)據(jù)丟失或未經(jīng)授權(quán)的訪問(wèn)、銷毀、使用、修改或泄露，并承擔(dān)相應(yīng)的責(zé)任；五是個(gè)人信息權(quán)利保護(hù)原則，充分保障信息主體的知情權(quán)、查詢權(quán)、異議權(quán)與糾錯(cuò)權(quán)，甚至是可攜帶權(quán)等。