淺談個(gè)人信息的法律保護(hù)

◆呂宏強(qiáng) 郭萍

淺談個(gè)人信息的法律保護(hù)

◆呂宏強(qiáng)1郭萍2

（1.中共寶雞市委黨校 陜西 721001；2.中共陜西省委黨校 陜西 710061）

“法律是治國之重器，良法是善治之前提”。在個(gè)人信息威脅日益劇增、法律保護(hù)體系不健全的實(shí)情下，合理利用和有效保護(hù)個(gè)人信息已成為社會(huì)各界廣泛關(guān)注的熱點(diǎn)問題。本文從個(gè)人信息面臨的威脅入手，通過對(duì)個(gè)人信息法律保護(hù)存在問題進(jìn)行分析，提出了多位一體的個(gè)人信息法律保護(hù)思路。

個(gè)人信息；安全威脅；法律保護(hù)

隨著信息技術(shù)的廣泛應(yīng)用和互聯(lián)網(wǎng)的不斷普及，個(gè)人信息面臨威脅五花八門、防不勝防，給個(gè)人信息的防護(hù)帶來了前所未有的挑戰(zhàn)。合理利用和有效保護(hù)個(gè)人信息已成為社會(huì)各界廣泛關(guān)注的熱點(diǎn)問題，個(gè)人信息保護(hù)迫在眉睫。

1 個(gè)人信息面臨的威脅及防護(hù)特點(diǎn)

1.1 個(gè)人信息面臨的主要威脅

截至2020年12月底我國網(wǎng)民數(shù)量達(dá)9.89億，龐大的網(wǎng)民數(shù)量所面臨的各種威脅更加嚴(yán)峻。近年來，個(gè)人信息面臨的傳統(tǒng)威脅仍然以信息泄漏、病毒、木馬、詐騙、假冒、信息騷擾為主。新的威脅五花八門、令人防不勝防，新威脅主要有：APT攻擊，惡意軟件，勒索攻擊，IoT僵尸網(wǎng)絡(luò)攻擊，滲透攻擊、挖礦木馬攻擊、新冠疫情話題攻擊等，攻擊者的技戰(zhàn)術(shù)水平日益提高。

目前，全球范圍內(nèi)最具代表性、影響最大、危害最嚴(yán)重的是APT攻擊。APT攻擊成為政治斗爭、經(jīng)濟(jì)制裁、軍事打擊之外最隱蔽、最有效的攻擊方式，越來越多的國家已經(jīng)組建國家級(jí)的APT攻擊組織（網(wǎng)絡(luò)軍隊(duì)）。針對(duì)我國的境外APT組織主要有：美國的方程式和索倫之眼，越南的海蓮花，印度的曼寧花、響尾蛇、白象，朝鮮的黑店、Lazarus等。以APT攻擊為代表的新的網(wǎng)絡(luò)威脅，不僅嚴(yán)重危害個(gè)人信息安全，甚至還威脅到國家安全。

1.2 個(gè)人信息防護(hù)的特點(diǎn)

網(wǎng)絡(luò)威脅的日新月異和防不勝防，加大了個(gè)人信息防護(hù)的難度。個(gè)人信息防護(hù)呈現(xiàn)如下新特點(diǎn)：

（1）網(wǎng)絡(luò)威脅多元化：網(wǎng)絡(luò)面臨的威脅不是單一的，而是諸多攻擊技術(shù)融合、多元化的威脅。如APT攻擊與勒索病毒、木馬攻擊融合，VPN攻擊與木馬技術(shù)融合。再加上網(wǎng)絡(luò)交易的便捷化，使得黑客交流攻擊技術(shù)和提升攻擊能力的途徑更加多樣，使得威脅檢測和防護(hù)難度再次加大。

（2）APT組織政府化：APT組織由以前的非政府組織變?yōu)檎?、國家性組織，國家層面的攻防對(duì)抗正向“實(shí)戰(zhàn)化攻防”演變，網(wǎng)絡(luò)軍隊(duì)取代黑客組織，APT攻擊與地區(qū)間的政治、經(jīng)濟(jì)、軍事沖突同步發(fā)生。

（3）黑客群體大眾化：黑客通過黑客論壇、網(wǎng)上交易、暗網(wǎng)等渠道交易各種黑客工具，這使得一般的人低成本輕易獲得各種黑客攻擊教程和工具，并通過網(wǎng)絡(luò)輕而易舉攻擊他人。黑客群體的大眾化，進(jìn)一步加大了信息安全的防護(hù)。

（4）經(jīng)濟(jì)損失巨額化：2019年網(wǎng)絡(luò)安全給全球造成的經(jīng)濟(jì)損失達(dá)到2.5萬億美元，并逐年增加。網(wǎng)絡(luò)威脅的損失超過一般的自然災(zāi)難的損失，“網(wǎng)絡(luò)威脅勝于災(zāi)難”。

（5）信息防護(hù)復(fù)雜化：面對(duì)復(fù)雜多變的威脅，防護(hù)的難度和復(fù)雜度加大。道高一尺魔高一丈，防護(hù)總是走在攻擊之后，信息防護(hù)任重道遠(yuǎn)。

2 個(gè)人信息法律保護(hù)存在的問題

目前，網(wǎng)民正面臨著各種前所未有的威脅，我國成為遭受網(wǎng)絡(luò)攻擊最嚴(yán)重的國家之一。同時(shí)，我們同發(fā)達(dá)國家的網(wǎng)絡(luò)安全防護(hù)技術(shù)水平差距較大，個(gè)人信息保護(hù)的相關(guān)法律制定和執(zhí)行還存在諸多問題。

2.1 個(gè)人信息的法律保護(hù)模式不明確

關(guān)于個(gè)人信息的法律保護(hù)模式，國際上主要有三種模式：歐盟模式——立法規(guī)制模式，是以政府立法為主導(dǎo)實(shí)現(xiàn)對(duì)個(gè)人信息的保護(hù)。美國模式——行業(yè)自律模式，是建立在對(duì)個(gè)人資料隱私保護(hù)的基礎(chǔ)上，其立場所強(qiáng)調(diào)的精神是行業(yè)自律，而不是政府法律規(guī)制的介入。日本模式——綜合保護(hù)模式，以歐盟立法規(guī)制模式為主，引進(jìn)美國的行業(yè)保護(hù)機(jī)制，通過政府立法和行業(yè)自律共同實(shí)現(xiàn)個(gè)人信息的保護(hù)，同時(shí)注重提高個(gè)人的保護(hù)意識(shí)。

關(guān)于個(gè)人信息的法律保護(hù)模式，目前國內(nèi)理論界處于眾說紛紜的階段，理論探討的多，實(shí)際實(shí)施的少，還沒有建立明確的個(gè)人信息保護(hù)的法律模式，對(duì)個(gè)人信息的本質(zhì)也存在爭議，這必然導(dǎo)致在法律保護(hù)上的無力。

2.2 個(gè)人信息保護(hù)的法律體系不完善

在國外，關(guān)于個(gè)人信息保護(hù)的法律法規(guī)制訂的比較早，法律體系相對(duì)比較健全。德國早在1976年頒布《聯(lián)邦資料保護(hù)法》，英國1984年制定《數(shù)據(jù)保護(hù)法》，歐盟1995年通過了《歐盟個(gè)人數(shù)據(jù)保護(hù)指令》。美國早在1974年就通過了《保護(hù)隱私權(quán)的法案》，1997年提出了關(guān)于網(wǎng)絡(luò)個(gè)人隱私的保護(hù)基本原則。日本早在1974年制定了個(gè)人信息條例，1988年10月制定和實(shí)施行政機(jī)關(guān)電子計(jì)算機(jī)處理個(gè)人信息保護(hù)法，2006年發(fā)布了工業(yè)標(biāo)準(zhǔn)《個(gè)人信息保護(hù)管理體系——要求事項(xiàng)》。

在我國，近年來有關(guān)個(gè)人信息的法律法規(guī)陸續(xù)發(fā)布。2014年習(xí)近平總書記指出“沒有網(wǎng)絡(luò)安全，就沒有國家安全”；2015年刑法修正案（9）涉及個(gè)人信息的保護(hù)；2017年《網(wǎng)絡(luò)安全法》實(shí)施；2018年中央網(wǎng)絡(luò)安全和信息化委員會(huì)改組成功；2019年《密碼法》、《等保2.0》等相關(guān)法律法規(guī)頒布，《網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法》征求意見已完成，發(fā)布時(shí)間待定；2020年10月《個(gè)人信息安全規(guī)范》實(shí)施。除此之外，我國的憲法、民法典、刑法、行政法等涉及個(gè)人信息保護(hù)的法律法規(guī)達(dá)20多部，但全都比較籠統(tǒng)，責(zé)任不明晰，侵權(quán)處罰不明確，操作性不強(qiáng)，法律體系不完善。

2.3 個(gè)人信息管理行業(yè)自律機(jī)制不健全

在我國，涉及個(gè)人信息的管理機(jī)構(gòu)和部門比較多，但是管理都比較松散，缺少行業(yè)自律機(jī)制，對(duì)于個(gè)人信息管理過程的保密工作做得不夠好，經(jīng)常出現(xiàn)的個(gè)人信息泄露大部分都是由于行業(yè)管理人員的有意或者無意導(dǎo)致的。

2.4 政府的行政監(jiān)管和法律執(zhí)行不力

政府對(duì)整個(gè)信息產(chǎn)業(yè)的監(jiān)管權(quán)較為分散，缺少統(tǒng)一性以及全局性，監(jiān)管能力較弱。根據(jù)我國信息行業(yè)的實(shí)際情況，現(xiàn)在的主要目標(biāo)是加強(qiáng)政府對(duì)行業(yè)自律監(jiān)管的統(tǒng)一性及執(zhí)法性。比如大量個(gè)人信息從行政管理部門泄露，與政府的行政監(jiān)管不力有關(guān)。民政、醫(yī)療、工商、工信、教育等部門均存在個(gè)人信息泄漏的現(xiàn)象。同時(shí)關(guān)于個(gè)人信息保護(hù)的相關(guān)法律執(zhí)行也不力，存在有法不依現(xiàn)象。

3 個(gè)人信息法律保護(hù)的思路

個(gè)人信息的保護(hù)涉及道德、理念、技術(shù)、標(biāo)準(zhǔn)、管理、法律等許多層面問題，所以個(gè)人信息的保護(hù)應(yīng)該全面考慮，著力構(gòu)建多位一體的保護(hù)體系。其中道德和理念方面是相對(duì)個(gè)人信息主體而言的；技術(shù)、標(biāo)準(zhǔn)、管理是相對(duì)信息行業(yè)而言；法律層面的保護(hù)是從法制角度而言，是保護(hù)中的基礎(chǔ)和重點(diǎn)。

3.1 盡快確立個(gè)人信息的法律保護(hù)模式

國際上個(gè)人信息的法律保護(hù)模式已施行多年，各有千秋。整體而言，美國模式較為松散，不統(tǒng)一；而歐盟模式則較為死板，過于嚴(yán)格。因此有學(xué)者提出建議，主張我國實(shí)行所謂的綜合模式，這種模式大致可以分為兩種：一種是以美國行業(yè)自律模式為主，再增加歐盟模式的立法規(guī)制；另一種是以歐盟立法規(guī)制模式為主，再融合美國模式的行業(yè)自律。從我國的國情看，應(yīng)該采用第二種，也就是加強(qiáng)國家的統(tǒng)一立法，同時(shí)完善行業(yè)的自律法規(guī)。

3.2 健全個(gè)人信息保護(hù)法律體系

“法律是治國之重器，良法是善治之前提。”我們應(yīng)該：一是依照綜合保護(hù)模式盡快制定我國的《個(gè)人信息保護(hù)法》；二是推進(jìn)行業(yè)管理的立法工作，通過一系列的法律法規(guī)來保障個(gè)人信息的安全；三是修訂完善相關(guān)的法律法規(guī)，比如在憲法、民法典、刑法、行政法等法律體系中明確增加相關(guān)個(gè)人信息保護(hù)的條款等。

3.3 完善信息行業(yè)自律機(jī)制

在網(wǎng)絡(luò)時(shí)代，行業(yè)自律發(fā)揮著極其重要的作用。在進(jìn)行立法規(guī)制的過程中，將行業(yè)自律也納入個(gè)人信息保護(hù)模式當(dāng)中，將行業(yè)自律同相關(guān)的法律規(guī)定有機(jī)結(jié)合，克服立法規(guī)制模式的缺點(diǎn)，以便更好地保護(hù)個(gè)人信息。一要完善網(wǎng)站的隱私權(quán)聲明保護(hù)。在網(wǎng)站的隱私聲明中，應(yīng)當(dāng)明確告知網(wǎng)站收集個(gè)人信息資料的方式、范圍及使用目的；應(yīng)明確告知網(wǎng)民在使用其服務(wù)時(shí)可能存在的個(gè)人信息被侵害的風(fēng)險(xiǎn)，并對(duì)此風(fēng)險(xiǎn)提出針對(duì)性的技術(shù)防護(hù)方案。二要加強(qiáng)信息行業(yè)內(nèi)部監(jiān)督。行業(yè)內(nèi)部的監(jiān)督可以有效審查和督促個(gè)人信息保護(hù)，同時(shí)相對(duì)于政府的監(jiān)管會(huì)更直接、更有效。為了更有效加強(qiáng)行業(yè)內(nèi)部監(jiān)督，應(yīng)建立一套專門的自身監(jiān)督激勵(lì)機(jī)制，最大程度進(jìn)行行業(yè)內(nèi)部監(jiān)督，從而更好地保護(hù)個(gè)人信息安全。

3.4 加強(qiáng)政府行政監(jiān)管力度

政府應(yīng)該發(fā)揮自身監(jiān)管職能，對(duì)互聯(lián)網(wǎng)行業(yè)進(jìn)行充分有效的監(jiān)管，以達(dá)到個(gè)人信息的有效保護(hù)。根據(jù)我國信息行業(yè)的實(shí)際情況，目前主要目標(biāo)是加強(qiáng)政府對(duì)行業(yè)自律監(jiān)管的統(tǒng)一性及執(zhí)法性。建議：一是應(yīng)當(dāng)建立獨(dú)立的信息行業(yè)自律監(jiān)管機(jī)構(gòu)，可以有效避免監(jiān)管主體的缺失或者監(jiān)管重復(fù)的現(xiàn)象；同時(shí)根據(jù)實(shí)際情況可以賦予監(jiān)管機(jī)構(gòu)相應(yīng)的職權(quán)。二是在監(jiān)管的程序方面，應(yīng)當(dāng)堅(jiān)持行政公開和公眾參與的原則，保證監(jiān)管工作的公開化和透明化；并及時(shí)反饋信息服務(wù)提供者及網(wǎng)民的意見，提高監(jiān)管工作的實(shí)效性。

3.5 完善法律輔助保護(hù)作用

一是從行政法方面完善。針對(duì)我國的實(shí)際情況，可以先進(jìn)行行政立法保護(hù)個(gè)人信息。由于民法立法速度的緩慢和立法程序的復(fù)雜，滿足不了個(gè)人信息的保護(hù)需求。行政立法具有自身的靈活性、程序簡便性，可以適應(yīng)快速變化的網(wǎng)絡(luò)社會(huì)。二是從刑法方面完善。刑法在個(gè)人信息保護(hù)方面起著非常重要的作用。2009年的刑法修正案（7）和2015年8月刑法修正案（9）中有相關(guān)個(gè)人信息保護(hù)的條款，但是比較籠統(tǒng)，不夠明確和嚴(yán)厲，不夠全面和系統(tǒng)。因此，結(jié)合其他部門法不斷修正刑法，發(fā)揮刑法在個(gè)人信息保護(hù)中的重要作用。

3.6 加大個(gè)人信息保護(hù)相關(guān)法律的實(shí)施力度

“法律的生命力在于實(shí)施，法律的權(quán)威也在于實(shí)施”。法律能否達(dá)到有效的個(gè)人信息保護(hù)，關(guān)鍵在于法律的實(shí)施。因此，一要加強(qiáng)普法宣傳，通過宣傳提高民眾的法律保護(hù)意識(shí)；二要盡快健全保證個(gè)人信息保護(hù)相關(guān)法律正常實(shí)施的機(jī)制；三要簡化個(gè)人信息侵權(quán)案件的受理程序，使民眾能夠方便地進(jìn)行申訴維權(quán)。

[1]齊愛民.個(gè)人信息的法律保護(hù)[J].民商法前沿論壇，2012-2.

[2]郎慶斌，孫毅.個(gè)人信息安全——研究與實(shí)踐[M].人民出版社，2012：11.

[3]羅伯特?瓦摩西（美國）.個(gè)人信息保衛(wèi)戰(zhàn)[M].機(jī)械工業(yè)出版社，2012：6.

[4]張超.淺析個(gè)人信息的法律保護(hù)[EB/OL].中國法院網(wǎng)，2013：05.

[5]劉春泉.大數(shù)據(jù)時(shí)代個(gè)人信息的法律保護(hù)[R].中國電子商務(wù)研究中心，2014-09-18.

[6]王祥偉，賀宏斌.網(wǎng)絡(luò)個(gè)人信息的法律保護(hù)[J].人民論壇，2014-07-29.