個人信息數(shù)據(jù)網(wǎng)絡(luò)收集與管理的行政規(guī)制

魏波 劉曉昊

摘? ?要：執(zhí)法是守法的必要措施，行政規(guī)制體現(xiàn)法治水平與執(zhí)法能力。個人信息數(shù)據(jù)收集亂象在網(wǎng)絡(luò)空間領(lǐng)域成為常態(tài)，嚴(yán)重影響著互聯(lián)網(wǎng)生態(tài)與個人信息安全。文章通過重點剖析互聯(lián)網(wǎng)產(chǎn)品的數(shù)據(jù)收集亂象，從行政角度探討了國有電信企業(yè)在數(shù)據(jù)治理領(lǐng)域的缺位問題，提出了信息數(shù)據(jù)管理的行政創(chuàng)制構(gòu)想。文章還對當(dāng)前行政試點大數(shù)據(jù)管理局的職能缺陷和空白進行了剖析，并依托正在起草研究的《信息安全法》立法規(guī)劃，對個人信息數(shù)據(jù)網(wǎng)絡(luò)收集與管理的行政規(guī)制進行探究。

關(guān)鍵詞：信息數(shù)據(jù)收集;信息安全;行政;規(guī)制

中圖分類號：TP309? ? ? ? ? 文獻標(biāo)識碼：A

Administrative regulations on collection and management of personal information data network

Wei Bo1，2， Liu? Xiaohao3

（1.First Research Institute of the Ministry of Public Security of PRC， Beijing 100044;

2.Institute of Computing Technology Chinese Academy of Sciences， Beijing 100190;

3. University of International Relations， Beijing 100091）

Abstract： Law enforcement is a necessary measure to abide by the law， and administrative regulation reflects the level of rule of law and the ability of law enforcement. Personal information data collection disorder has become a normal phenomenon in the field of cyberspace， which seriously affects the Internet ecology and personal information security. By focusing on the status quo of data collection disorder of Internet products and analyzing the reasons from the administrative perspective， this paper explores the absence of state-owned telecommunications enterprises in the field of data governance and the administrative creation concept of multi-dimensional information data management. This paper makes an analysis of the functional defects and gaps of the current administration pilot big data management bureau. Relying on the legislative planning of Personal Information Security Protection Law， this paper explores the administrative regulation of the collection and management of personal information data network.

Key words： information data collection; information security; administration; rules and regulations

1 引言

在當(dāng)前信息數(shù)據(jù)爆炸式增長的環(huán)境下，個人信息數(shù)據(jù)在網(wǎng)絡(luò)上的收集主體比比皆是，收集之后的管理與后續(xù)環(huán)節(jié)，大都呈現(xiàn)出較為混亂的局面。收集主體無限制、無根據(jù)地對用戶信息數(shù)據(jù)進行收集，這些主體尤其以商事主體為主。而在個人信息數(shù)據(jù)的管理領(lǐng)域，則有收集一方和政府管理部門一方在不同領(lǐng)域進行。商事主體的運營行為要在法律基礎(chǔ)上進行，政府部門則是依法進行管理，因此商事主體的運營行為也要受到政府部門的管理。個人信息數(shù)據(jù)的商業(yè)運用是新興領(lǐng)域，需要政府部門在其收集與管理環(huán)節(jié)上進行創(chuàng)新的行政規(guī)制。

2 信息數(shù)據(jù)收集亂象

信息數(shù)據(jù)收集亂象產(chǎn)生的影響并不局限于收集環(huán)節(jié)，如果規(guī)范信息數(shù)據(jù)持有者的收集活動不合理，那么后續(xù)的保存、使用、共享、轉(zhuǎn)讓、公開披露等信息處理活動便會失控。若不對信息數(shù)據(jù)收集行為加以嚴(yán)格規(guī)定，則會引發(fā)一系列問題。因此，如何加強個人信息數(shù)據(jù)收集管理，做到既適應(yīng)社會信息化發(fā)展需要，又維護公民個人合法利益，保護公共利益，成為當(dāng)前一項重大而緊迫的課題。

在當(dāng)前云技術(shù)和移動互聯(lián)網(wǎng)迅猛發(fā)展的大背景下，數(shù)據(jù)收集亂象帶來的挑戰(zhàn)不容小覷?！靶煊裼癜浮钡纫幌盗袗盒园讣o社會帶來的不良影響，使人們充分意識到信息數(shù)據(jù)泄露和濫用帶來的嚴(yán)重社會危害，對個人信息保護的需求更加迫切，從而使得民眾對個人信息法律保護的需求與個人信息保護法律缺失之間的矛盾不斷激化。

我國已經(jīng)頒布實施了大量的互聯(lián)網(wǎng)法律法規(guī)，但這些法律法規(guī)之間缺乏整體性、協(xié)調(diào)性，呈現(xiàn)出明顯的分散化現(xiàn)象。這種“多頭立法、政出多門”的現(xiàn)象，必然導(dǎo)致互聯(lián)網(wǎng)法律法規(guī)之間的重復(fù)與矛盾。信息化時代，信息保護的漏洞與風(fēng)險被進一步放大，加強信息保護的重心已經(jīng)轉(zhuǎn)移到網(wǎng)絡(luò)企業(yè)上。

2.1 互聯(lián)網(wǎng)產(chǎn)品數(shù)據(jù)收集亂象現(xiàn)狀與原因

2019年4月17日，由北京大學(xué)互聯(lián)網(wǎng)法律中心、北京大學(xué)粵港澳大灣區(qū)知識產(chǎn)權(quán)發(fā)展研究院共同完成的《全球百款互聯(lián)網(wǎng)應(yīng)用產(chǎn)品個人信息保護測評報告（2018）》[4]發(fā)布。這次測評在樣本抽取上，相較往年擴大了測評企業(yè)范圍，測評對象涵蓋了移動醫(yī)療、社交軟件、智能家居等18個領(lǐng)域，所測評的國內(nèi)外互聯(lián)網(wǎng)產(chǎn)品總數(shù)達到100款。該報告還特別參考了國家標(biāo)準(zhǔn)與產(chǎn)業(yè)特征，據(jù)此進行的行業(yè)分類研究界定更具權(quán)威性和科學(xué)性。在100款被抽樣測評的國內(nèi)外互聯(lián)網(wǎng)應(yīng)用產(chǎn)品中，有5款A(yù)PP的個人信息保護政策在總體水平上達到“相對優(yōu)秀”標(biāo)準(zhǔn)，35款A(yù)PP為“表現(xiàn)良好”，31款A(yù)PP為“表現(xiàn)一般”，29款A(yù)PP為“表現(xiàn)不佳”。簡而言之，僅5款軟件在個人信息數(shù)據(jù)收集上沒有超出權(quán)限，表現(xiàn)合格。

在被測評的18個領(lǐng)域中，個人信息保護政策相對得分較高的是云儲存類、瀏覽器類、出行導(dǎo)航類APP;總體平均得分表現(xiàn)最差的是公益眾籌類、航拍軟件類、智能停車類APP，基本缺乏完整的個人信息保護政策。特別是公益眾籌類軟件還存在著極為嚴(yán)重的信息失真問題，正如不斷爆出的“有錢人”眾籌新聞，不合理信息甚至失真信息的濫竽充數(shù)，從另一方面危害到了信息數(shù)據(jù)的安全。

通過對比域內(nèi)外互聯(lián)網(wǎng)應(yīng)用產(chǎn)品總體得分情況，報告認為：在政策形式和申訴反饋機制方面，域內(nèi)APP平均得分相對較高;而在處理周期以及安全與維護機制方面，域外APP普遍表現(xiàn)較好?？傮w評價直觀顯示，除了金融支付領(lǐng)域，域外APP在個人信息和數(shù)據(jù)保護方面整體上更加完善，這得益于域外法治發(fā)展較早、政府管理嚴(yán)格。本文從行政規(guī)制視角，剖析我國個人信息數(shù)據(jù)收集與管理出現(xiàn)亂象的原因，找到解決辦法。

個人信息數(shù)據(jù)的收集網(wǎng)絡(luò)主體，不僅包含著互聯(lián)網(wǎng)產(chǎn)品，但是作為當(dāng)前發(fā)展最為迅速的媒介，以APP軟件為代表的互聯(lián)網(wǎng)產(chǎn)品，在收集信息數(shù)據(jù)上有著極為持續(xù)且龐大的渠道和機會?；ヂ?lián)網(wǎng)產(chǎn)品當(dāng)前面臨的現(xiàn)狀，是在數(shù)據(jù)的海洋中放肆地遨游，而“遨游”的驅(qū)動力自然是數(shù)據(jù)信息背后隱藏的經(jīng)濟利益，這種利益寄生在灰色經(jīng)濟空間里。其“自由翱翔”的存在，說明了政府監(jiān)管的缺失。這種缺失體現(xiàn)在兩方面：第一，行政對權(quán)利和法律的保護力度不夠強大;第二，行政保護措施在職能和執(zhí)行上不夠完善。

公民個人信息數(shù)據(jù)固然內(nèi)涵廣泛，價值多元，依托載體種類多樣，但首先要明確的是，個人信息數(shù)據(jù)的權(quán)屬是歸于公民本人的私權(quán)利。在2018年正式實施的《信息安全技術(shù)個人信息安全規(guī)范》（GB/T 35273-2017）國家標(biāo)準(zhǔn)中，明確了國家標(biāo)準(zhǔn)對個人信息的具體范圍和種類，包括個人基本資料、個人身份信息、個人生物識別信息等。這些信息的基礎(chǔ)無疑是個人數(shù)據(jù)收集后的整理歸納，所以個人信息數(shù)據(jù)是無法切割的。保護個人信息，就意味著也要保護個人數(shù)據(jù)。對于企業(yè)超權(quán)限、違規(guī)收集用戶數(shù)據(jù)，這種數(shù)據(jù)雖然停留在代碼電文階段，但是一經(jīng)識別就能成為信息，體現(xiàn)價值，包括個人財產(chǎn)價值、社會公共價值和商業(yè)價值。在行政執(zhí)法過程中，對信息的保護往往是事后補救，只有對數(shù)據(jù)進行同樣的保護，才能事先減少個人信息安全事件的發(fā)生，防患于未然。行政力量對于法律保護的私權(quán)利無法一視同仁地保障，會導(dǎo)致權(quán)利和法律都遭受損害。

而在行政治理過程中，往往存在著“好吃的肉都吃掉了，剩下的都是難啃的硬骨頭”的現(xiàn)象。對于表面上能夠管轄的事務(wù)，無論哪個部門都愿意簡單、粗暴地伸手，從而形成一種“九龍治水、大水漫灌”的治理形勢，形成似乎眾志成城治理信息數(shù)據(jù)安全的局面，實際上對于矛盾草草處理，掩蓋了問題的根源。觸及對問題根源的準(zhǔn)入審查和治理，則囿于工作技術(shù)難度和任務(wù)量等原因相互推脫，這就是職能上的不明確以及執(zhí)行上的“挑肥揀瘦”所造成的弊病。

2.2 國有電信企業(yè)在數(shù)據(jù)保護領(lǐng)域的管理缺位

根據(jù)最高人民法院、最高人民檢察院發(fā)布的若干侵犯公民個人信息犯罪典型案例顯示，侵犯公民個人信息犯罪正在與電信網(wǎng)絡(luò)詐騙呈合流態(tài)勢，產(chǎn)生嚴(yán)重的社會危害。前文提到的“徐玉玉案”即為典型一例由于個人信息泄漏導(dǎo)致的悲劇事件。個人信息數(shù)據(jù)安全事件的發(fā)生，大都與電信業(yè)務(wù)有關(guān)，其中最直接體現(xiàn)為因電信詐騙引起的利益受損。通過對電信業(yè)務(wù)關(guān)聯(lián)的個人信息數(shù)據(jù)安全事件進行分析，發(fā)現(xiàn)其根源在于信息數(shù)據(jù)的泄漏和濫用等問題。如果從電信業(yè)務(wù)方面進行整治，則能事半功倍。國有企業(yè)（包括中央企業(yè)和地方國企）在我國當(dāng)前制度框架下，承擔(dān)社會責(zé)任、分擔(dān)政治任務(wù)是理所應(yīng)當(dāng)?shù)模聦嵣弦彩侨绱?。《中央企業(yè)社會責(zé)任藍皮書》顯示，中央企業(yè)的責(zé)任管理更加體系化，法治具有普遍性和統(tǒng)一性， 在價值理念、制度規(guī)范、適用主體和客體、實施空間和范圍、獎懲后果等方面， 法治強調(diào)法律面前人人平等，一視同仁、普遍統(tǒng)一、沒有特殊。國有企業(yè)無論以何種性質(zhì)身份，都有義務(wù)維護法律。公平與正義是法律追求的重要價值，無論是國家管理，還是企業(yè)發(fā)展都應(yīng)當(dāng)在正義觀念的基礎(chǔ)上進行。國有企業(yè)為國民提供服務(wù)與保障公民合法權(quán)利是并行不悖的，不能默許和容忍個別違法犯罪分子借助國企進行犯罪活動。

鑒于當(dāng)前我國的電信業(yè)務(wù)大都由國有企業(yè)主導(dǎo)，主要由中國移動、中國聯(lián)通、中國電信三家央企承擔(dān)，那么防范電信詐騙與信息安全事件的企業(yè)社會責(zé)任，必然以央企為主承擔(dān)。當(dāng)前，電信業(yè)務(wù)對于號碼識別功能極強，通過用戶之間通話所產(chǎn)生的標(biāo)記往往能夠認定電信號碼的用途，針對電信用戶的標(biāo)記，電信企業(yè)并沒有繼續(xù)深挖其標(biāo)簽的作用，采取進一步措施來分流管理電信用戶。而其他具備通訊功能的社交軟件如微信、QQ等，都有一套逐級管理用戶的措施，針對用戶行為以及他人的舉報，采取必要及時的措施。對于被標(biāo)記為電信詐騙的號碼，電信企業(yè)并沒有采取任何限制和調(diào)查的措施，這種服務(wù)于詐騙號碼的行為實際上是在助推違法行為。對于安全問題，無論是個人或機構(gòu)，公共的或商業(yè)的，線上的或線下的，承擔(dān)保護信息安全責(zé)任都是不可缺少的，占有技術(shù)優(yōu)勢的企業(yè)主體必須在信息管理上嚴(yán)防死守，確保收集起來的信息不被泄露或非法消費。信息數(shù)據(jù)安全事件往往需要與信息數(shù)據(jù)權(quán)利人接觸才能產(chǎn)生實質(zhì)性損失，電信詐騙是重要途徑之一。因此，電信行業(yè)企業(yè)的管理缺位，已成為助推信息安全事件發(fā)生的重要原因。