公民個(gè)人信息安全的法律保障

文_賀恒揚(yáng)

當(dāng)今世界，以互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能為主要特征和載體的信息化蓬勃發(fā)展，正逐步演進(jìn)成為一場(chǎng)全方位、深層次的社會(huì)變革，廣泛而深刻地影響著國(guó)家治理、社會(huì)生產(chǎn)、人民生活。隨著網(wǎng)絡(luò)成為信息傳播的主渠道，網(wǎng)絡(luò)安全已經(jīng)成為我國(guó)面臨的最復(fù)雜、最現(xiàn)實(shí)、最嚴(yán)峻的非傳統(tǒng)安全問題之一。習(xí)近平總書記深刻指出，“沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全，沒有信息化就沒有現(xiàn)代化”。信息化革命中，如何堅(jiān)持總體國(guó)家安全觀，運(yùn)用法治思維和法治方式保護(hù)公民個(gè)人信息安全，以信息化促進(jìn)國(guó)家治理體系和治理能力現(xiàn)代化，是一項(xiàng)重大的時(shí)代課題。

一、公民個(gè)人信息安全的戰(zhàn)略意義

（一）信息已經(jīng)成為國(guó)家的基礎(chǔ)性戰(zhàn)略資源

信息化時(shí)代，信息不僅是人們生產(chǎn)生活的必需品，而且在政治、經(jīng)濟(jì)、文化、軍事等領(lǐng)域起著至關(guān)重要的作用。比如，生活中習(xí)以為常的移動(dòng)通信、移動(dòng)支付、數(shù)字電影，以及共享經(jīng)濟(jì)、“智慧城市”、“嫦娥”上天、“蛟龍”下海、高鐵飛馳、C919大飛機(jī)翱翔、航母走向深藍(lán)等，無一能離開信息資源，無一不需要信息化支撐。信息已經(jīng)成為關(guān)系國(guó)計(jì)民生的基礎(chǔ)性戰(zhàn)略資源，也成為世界各國(guó)爭(zhēng)奪的焦點(diǎn)，誰在信息資源上掌握先機(jī)，誰就在發(fā)展和競(jìng)爭(zhēng)中贏得主動(dòng)。

（二）信息安全是國(guó)家安全的重要組成部分

從英國(guó)計(jì)算機(jī)科學(xué)之父阿蘭·圖靈破解德國(guó)密電碼改變第二次世界大戰(zhàn)進(jìn)程，到無人機(jī)、巡航導(dǎo)彈、電子對(duì)抗戰(zhàn)的廣泛應(yīng)用，現(xiàn)代國(guó)家安全的軍事維護(hù)很大程度上取決于信息化的對(duì)抗，現(xiàn)代戰(zhàn)爭(zhēng)就是信息化戰(zhàn)爭(zhēng)。信息安全防線守不住，國(guó)家安全防線就筑不牢。與此同時(shí)，大數(shù)據(jù)、云計(jì)算等信息技術(shù)已深度融入國(guó)家政治、經(jīng)濟(jì)、社會(huì)、文化等領(lǐng)域，成為意識(shí)形態(tài)安全、金融安全、公共安全等方面的重要變量，新聞事實(shí)被歪曲、金融交易信息被竊取、電力調(diào)配指令被篡改、城市公共交通指揮系統(tǒng)被攻擊等問題隨時(shí)可能出現(xiàn)。可以預(yù)見，隨著關(guān)鍵信息基礎(chǔ)設(shè)施的信息化程度越來越高，針對(duì)國(guó)家安全的攻擊和威脅將會(huì)越來越多。2017年5月中旬，WannaCry勒索病毒攻擊全球多個(gè)國(guó)家政府機(jī)構(gòu)和醫(yī)院、高校等公益性機(jī)構(gòu)的網(wǎng)絡(luò)，警示我們要從國(guó)家安全的戰(zhàn)略高度，加強(qiáng)信息安全管理和防范工作，讓信息技術(shù)這把“雙刃劍”成為維護(hù)國(guó)家安全的最大增量。

（三）個(gè)人信息安全在整個(gè)信息安全中居于重要地位

當(dāng)前，人們衣食住行、工作、學(xué)習(xí)、醫(yī)療、社保等信息資源大量匯聚。對(duì)個(gè)人信息的匯總處理，可以準(zhǔn)確地還原特定個(gè)人乃至特定人群和區(qū)域的社會(huì)生活全貌。例如，美國(guó)政府實(shí)施“棱鏡計(jì)劃”，監(jiān)聽監(jiān)視民眾電子郵件、電話通訊等個(gè)人信息，進(jìn)而竊取其他國(guó)家的秘密，危害其他國(guó)家的安全。IDC（互聯(lián)網(wǎng)絡(luò)數(shù)據(jù)中心）預(yù)測(cè)，2020年全球數(shù)據(jù)總量將達(dá)到44ZB（Zata Byte）。分析運(yùn)用這些大數(shù)據(jù)，完全可能對(duì)一個(gè)國(guó)家的經(jīng)濟(jì)社會(huì)安全乃至政治安全產(chǎn)生重大影響。正因?yàn)閭€(gè)人信息同國(guó)家安全和利益息息相關(guān)，它不只是民法賦予的單純?nèi)烁駲?quán)益和財(cái)產(chǎn)權(quán)益，理應(yīng)加強(qiáng)全方位的法治保障。

二、公民個(gè)人信息安全面臨的新挑戰(zhàn)

（一）網(wǎng)絡(luò)安全威脅加劇

網(wǎng)絡(luò)跨時(shí)空、立體化、廣滲透，日益成為各類風(fēng)險(xiǎn)的策源地、放大器。西方國(guó)家一些政客毫不避諱地表示要利用網(wǎng)絡(luò)拉攏中國(guó)年輕一代，直至扳倒中國(guó)。此外，歐洲網(wǎng)絡(luò)和信息安全機(jī)構(gòu)（ENISA）于2013年1月發(fā)布的《網(wǎng)絡(luò)環(huán)境安全威脅報(bào)告》顯示，“路過式漏洞攻擊”、“蠕蟲”和“木馬”、“代碼式注入”已成為全球網(wǎng)絡(luò)安全的三大威脅。雖然我國(guó)已是網(wǎng)絡(luò)大國(guó)，2018年網(wǎng)民達(dá)到8.29億，但確保網(wǎng)絡(luò)安全可控的核心技術(shù)存在短板。開源軟件Linux的Bash漏洞影響遍及全球5億臺(tái)服務(wù)器及其他網(wǎng)絡(luò)設(shè)備，“心臟出血”漏洞威脅到我國(guó)3.3萬臺(tái)網(wǎng)站服務(wù)器，使基礎(chǔ)通信網(wǎng)絡(luò)和金融、工控等重要信息系統(tǒng)安全面臨嚴(yán)峻挑戰(zhàn)。

（二）個(gè)人信息泄露問題頻發(fā)

隨著社會(huì)分工日益專業(yè)化和社會(huì)生活的網(wǎng)絡(luò)化，個(gè)人信息在更廣領(lǐng)域、更多環(huán)節(jié)被使用留痕，泄露的風(fēng)險(xiǎn)越來越高。特別是對(duì)個(gè)人信息價(jià)值的挖掘和利用全面提速，不法分子利用個(gè)人信息牟取非法利益的問題也日益突出。2018年美國(guó)facebook（臉書）用戶隱私泄密事件引發(fā)全世界對(duì)個(gè)人網(wǎng)絡(luò)隱私保護(hù)的恐慌情緒。國(guó)內(nèi)也曾發(fā)生10多億條快遞用戶信息、2億多條酒店客戶信息被泄露等事件。大量案例反映出，被泄露的個(gè)人信息既包括戶籍、車輛登記、征信報(bào)告、社保賬號(hào)、健康狀況等敏感信息，也包括住宿、行蹤等關(guān)聯(lián)信息。一些不法分子利用非法獲取的個(gè)人信息，“精準(zhǔn)”實(shí)施了電信網(wǎng)絡(luò)詐騙、故意傷害、非法拘禁等犯罪，嚴(yán)重危害社會(huì)安全。

（三）打擊危害個(gè)人信息安全犯罪難度大

大量案例表明，危害個(gè)人信息安全犯罪背后有龐大的“黑灰產(chǎn)業(yè)鏈”。與犯罪主體單一、非法獲取信息渠道狹窄、非法利用信息方式簡(jiǎn)單的傳統(tǒng)作案模式相比，“黑灰產(chǎn)業(yè)鏈”作案人數(shù)多、分工細(xì)、手段新，信息擴(kuò)散迅速、引發(fā)的下游犯罪多、社會(huì)危害嚴(yán)重。傳統(tǒng)偵查手段和偵查能力跟不上犯罪技術(shù)的發(fā)展，“頭痛醫(yī)頭腳痛醫(yī)腳”的治理方式難以徹底鏟除“黑灰產(chǎn)業(yè)鏈條”。以近年來高發(fā)的電信網(wǎng)絡(luò)詐騙犯罪為例，實(shí)施這類犯罪首先要非法獲取個(gè)人信息，這個(gè)環(huán)節(jié)已由雇用大批人員手工操作轉(zhuǎn)變?yōu)榻柚斯ぶ悄芡瓿?，再通過云盤轉(zhuǎn)移木馬病毒和涉案電子數(shù)據(jù)，犯罪活動(dòng)更隱蔽、危害更嚴(yán)重。

三、公民個(gè)人信息安全治理的基本原則

（一）堅(jiān)持統(tǒng)籌發(fā)展和安全

安全是發(fā)展的前提，信息安全對(duì)國(guó)家安全牽一發(fā)而動(dòng)全身。只有樹立和踐行總體國(guó)家安全觀，將個(gè)人信息安全納入政治安全、國(guó)土安全、經(jīng)濟(jì)安全等國(guó)家安全工作的整體框架，從源頭上預(yù)防和減少安全問題的產(chǎn)生，才能保障信息發(fā)展的全面性、協(xié)調(diào)性和可持續(xù)性。同時(shí)，在被喻為第四次工業(yè)革命到來的今天，發(fā)展是安全的保障，只有充分地流動(dòng)、共享、交易，讓大數(shù)據(jù)“動(dòng)起來”“用起來”，在有效防止信息擴(kuò)散失控、確保信息安全的前提下，為個(gè)人信息的合理利用留下足夠的空間，才能推動(dòng)信息領(lǐng)域核心技術(shù)突破，增強(qiáng)網(wǎng)絡(luò)防護(hù)能力，從而掌握網(wǎng)絡(luò)空間主導(dǎo)權(quán)，實(shí)現(xiàn)國(guó)家層面的信息安全。

（二）堅(jiān)持法治思維和法治方式

信息技術(shù)的背后，實(shí)質(zhì)是人的智慧和思維的體現(xiàn)。個(gè)人信息安全的治理，歸根結(jié)底是對(duì)人外在的技術(shù)行為的約束和管理。采用信息防護(hù)性技術(shù)手段雖然有效，但并非萬能，更需要法律實(shí)現(xiàn)規(guī)則之治。個(gè)人信息安全與發(fā)展要統(tǒng)籌協(xié)調(diào)、同步推進(jìn)，最重要的是通過法治手段為信息保護(hù)劃定合理邊界，為信息的采集、利用設(shè)定科學(xué)規(guī)則，確保信息技術(shù)發(fā)展的規(guī)范性、科學(xué)性、穩(wěn)定性。質(zhì)言之，信息社會(huì)的建設(shè)必須建立在依法保護(hù)個(gè)人信息安全的基礎(chǔ)上，同時(shí)也要善于推進(jìn)信息技術(shù)的最新發(fā)展成果在安全領(lǐng)域的應(yīng)用，構(gòu)建科學(xué)規(guī)則，促進(jìn)兩者相得益彰。

四、依法保護(hù)公民個(gè)人信息安全的建議

（一）構(gòu)建個(gè)人信息跨境流通保護(hù)機(jī)制

信息主權(quán)是一個(gè)國(guó)家自主管理本國(guó)信息傳播系統(tǒng)和傳播數(shù)據(jù)內(nèi)容的權(quán)利，是信息化時(shí)代國(guó)家主權(quán)的重要組成部分。2014年7月，習(xí)近平總書記出席金磚國(guó)家領(lǐng)導(dǎo)人第六次會(huì)晤并在巴西國(guó)會(huì)發(fā)表演講時(shí)強(qiáng)調(diào)，“互聯(lián)網(wǎng)技術(shù)再發(fā)展也不能侵犯他國(guó)的信息主權(quán)，更不能犧牲別國(guó)安全謀求自身所謂絕對(duì)安全”。

對(duì)本國(guó)信息的輸出和外國(guó)信息的輸入進(jìn)行管理，是信息主權(quán)的重要內(nèi)容。國(guó)際上已經(jīng)形成了較為成熟、系統(tǒng)的跨境數(shù)據(jù)流動(dòng)管理制度框架。比如，歐盟與美國(guó)的隱私盾協(xié)議（EU-U.S.Privacy Shield）、世界經(jīng)合組織的《隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流通指南》、亞太經(jīng)合組織的《跨境隱私規(guī)則》等，在保護(hù)個(gè)人信息和重要數(shù)據(jù)跨境安全方面發(fā)揮了積極作用。我國(guó)作為全球數(shù)據(jù)資源大國(guó)，也是數(shù)據(jù)資源流出大國(guó)，迫切需要建立符合自身國(guó)情的信息出境管理辦法，在確保國(guó)家安全的前提下，與全球伙伴共享信息紅利。建議在我國(guó)《網(wǎng)絡(luò)安全法》《個(gè)人信息出境安全評(píng)估辦法（征求意見稿）》的基礎(chǔ)上，結(jié)合我國(guó)信息輸出現(xiàn)狀，進(jìn)一步健全個(gè)人信息出境安全評(píng)估管理體系，明確操作流程規(guī)范和評(píng)估風(fēng)險(xiǎn)模型，為行政主管部門開展數(shù)據(jù)出境安全評(píng)估管理工作提供標(biāo)準(zhǔn)化依據(jù)。

（二）完善個(gè)人信息保護(hù)制度體系

第一，加快出臺(tái)《個(gè)人信息保護(hù)法》?！秱€(gè)人信息保護(hù)法》已列入十三屆全國(guó)人大常委會(huì)立法規(guī)劃第一類項(xiàng)目，即條件比較成熟、任期內(nèi)擬提請(qǐng)審議的法律草案。建議將其定位為個(gè)人信息保護(hù)的專門性、綜合性立法，明確個(gè)人信息內(nèi)涵外延、權(quán)利屬性，規(guī)定個(gè)人信息保護(hù)一般原則、權(quán)利義務(wù)、相關(guān)主體收集、存儲(chǔ)、傳輸、利用、處理個(gè)人信息應(yīng)當(dāng)遵循的規(guī)則和承擔(dān)的法律責(zé)任等。

第二，完善個(gè)人信息保護(hù)刑事立法。一是建議增設(shè)“非法利用個(gè)人信息罪”。適應(yīng)大數(shù)據(jù)、云計(jì)算等新技術(shù)發(fā)展和應(yīng)用的新形勢(shì)，將侵害個(gè)人信息的新類型犯罪補(bǔ)充到刑法規(guī)定中。實(shí)踐中，常有非法利用他人個(gè)人信息造成嚴(yán)重后果的情形，而我國(guó)刑法只規(guī)定對(duì)非法利用他人個(gè)人信息從事違法活動(dòng)、構(gòu)成犯罪的定罪處罰。中央電視臺(tái)曾曝光山東多家移動(dòng)公司向客戶大量發(fā)送垃圾信息謀利，這種行為既不屬于非法獲取，也不屬于非法出售或者提供行為，但其社會(huì)危害性不容忽視。建議在刑法中增設(shè)“非法利用個(gè)人信息罪”，將未經(jīng)授權(quán)而利用在履行職責(zé)或提供服務(wù)過程中獲悉的他人個(gè)人信息，造成嚴(yán)重后果的行為納入刑法調(diào)整。二是將非法公開他人個(gè)人信息的行為納入“侵犯公民個(gè)人信息罪”。我國(guó)刑法規(guī)定，侵犯公民個(gè)人信息罪的行為主要包括出售、提供和非法獲取，而將他人信息非法公開在互聯(lián)網(wǎng)空間，導(dǎo)致被廣泛傳播或者為不特定的人所知悉的行為，卻難以被侵犯公民個(gè)人信息罪所涵蓋。建議擴(kuò)充侵犯公民個(gè)人信息罪的行為方式，將非法公開公民個(gè)人信息行為納入該罪打擊。三是明確罪數(shù)適用標(biāo)準(zhǔn)。行為人非法獲取個(gè)人信息后，又將其用于實(shí)施其他犯罪的，是只定一罪還是數(shù)罪并罰存在爭(zhēng)議。考慮到信息化時(shí)代侵犯?jìng)€(gè)人信息的嚴(yán)重社會(huì)危害性，建議實(shí)行數(shù)罪并罰，在《刑法》第 253 條之一中增加一款，規(guī)定：竊取或以其他方法非法獲取公民個(gè)人信息后，又利用公民個(gè)人信息實(shí)施其他行為觸犯其他罪名的，以侵犯公民個(gè)人信息罪和觸犯的相關(guān)罪名，依照數(shù)罪并罰的規(guī)定處罰。

第三，完善個(gè)人信息保護(hù)行政管理和行業(yè)自律規(guī)則。一是設(shè)立個(gè)人信息保護(hù)的專門機(jī)構(gòu)。成立專司大數(shù)據(jù)發(fā)展與保護(hù)的專門機(jī)構(gòu)，提升信息數(shù)據(jù)綜合管理、利用、保護(hù)能力和水平。二是建立嚴(yán)格的監(jiān)管制度。建立對(duì)信息數(shù)據(jù)生成至利用環(huán)節(jié)全覆蓋的監(jiān)管制度，厘清合法利用個(gè)人信息的邊界，明確信息擁有者和使用者的權(quán)利、義務(wù)、責(zé)任。三是規(guī)范管理行為。社會(huì)治理過程中，政府對(duì)個(gè)人信息的收集、存儲(chǔ)、使用、共享與公開等行為，必須符合妥當(dāng)性、必要性、正當(dāng)程序原則。四是加強(qiáng)行業(yè)自律。充分發(fā)揮行業(yè)協(xié)會(huì)和有關(guān)組織的作用，制定信息數(shù)據(jù)行業(yè)規(guī)范，完善行業(yè)信用體系建設(shè)，形成對(duì)行政監(jiān)管的有效補(bǔ)充。

（三）探索個(gè)人信息保護(hù)公益訴訟

當(dāng)大規(guī)模侵犯?jìng)€(gè)人信息、侵害不特定多數(shù)人利益時(shí)，就涉及國(guó)家利益和社會(huì)公共利益。探索將這種違法行為納入檢察機(jī)關(guān)的公益訴訟范圍，不僅可以解決個(gè)人維權(quán)調(diào)查取證難、訴訟成本高等問題，還可以避免因被侵害的主體不特定、通過個(gè)案訴訟無法有效保護(hù)信息安全的困境。具體可以從幾個(gè)方面把握：一是案件范圍以侵害不特定多數(shù)人信息安全為限。只有涉及不特定多數(shù)人的公共利益才能納入公益訴訟范圍，即便人數(shù)眾多但不涉及損害公共利益的，可以通過民事訴訟中的訴訟代表人制度尋求救濟(jì)。二是以侵犯公民敏感信息、相關(guān)機(jī)構(gòu)在履職或提供服務(wù)中獲取的信息為公益訴訟重點(diǎn)對(duì)象。公民敏感信息直接關(guān)系公民的人身、財(cái)產(chǎn)安全。相關(guān)職能部門或企事業(yè)單位在履行職責(zé)或提供服務(wù)中獲取的信息量大面廣。這兩類信息一旦被侵犯，往往會(huì)嚴(yán)重?fù)p害公共利益，應(yīng)當(dāng)作為公益訴訟的重點(diǎn)對(duì)象。三是借助專業(yè)機(jī)構(gòu)和專家力量參與調(diào)查取證。侵犯?jìng)€(gè)人信息案件，智能化、專業(yè)化程度往往較高，一般需要電子勘驗(yàn)檢查和鑒定評(píng)估，有必要借助專業(yè)機(jī)構(gòu)及專家力量，為調(diào)查取證提供技術(shù)支撐。