公民個人信息泄露問題現(xiàn)狀分析及對策

馮占英，陳 銳，張 玉，王 妤，鄭 斐，張建平，李 璐

大數(shù)據(jù)環(huán)境下，信息及數(shù)據(jù)技術(shù)的發(fā)展極大方便了人們的生產(chǎn)生活。但技術(shù)為人們帶來便利的同時，也引發(fā)了個人信息泄露問題。個人信息泄露案件呈逐年高發(fā)態(tài)勢，并且隨著數(shù)據(jù)價值的增加，其影響也越來越大，公民個人信息隱私保護引起了大家的廣泛關(guān)注。本文主要針對公民個人信息安全問題，通過分析典型案例，剖析其產(chǎn)生原因，提出相應的對策。

1 公民個人信息泄露問題研究概述

近些年，眾多學者對公民個人隱私問題開展了研究，內(nèi)容主要集中在個人信息保護相關(guān)法律、各領(lǐng)域的個人信息保護策略研究、個人信息泄露分析研究和個人信息保護技術(shù)等。

1.1 個人信息保護相關(guān)法律研究

為了保障個人信息的隱私保護和數(shù)據(jù)安全，許多國家和地區(qū)制定了與個人信息保護相關(guān)的法律法規(guī)和政策［1］。

1.1.1 歐盟

1995 年，歐盟通過了《數(shù)據(jù)保護指令》，以最低保護限度為要求，協(xié)調(diào)了各成員國在數(shù)據(jù)保護上的一致性，由于該指令原則性強、實際操作性弱，實踐中各成員國多通過國內(nèi)立法對其進行解釋，而成員國立法混亂，導致數(shù)據(jù)壁壘形成，嚴重阻礙了數(shù)據(jù)流通。為了適應互聯(lián)網(wǎng)和大數(shù)據(jù)的快速發(fā)展，歐盟于2018 年出臺了史上最嚴格的《通用數(shù)據(jù)保護條例》。該條例不僅僅適用于歐盟，也適用于為歐盟境內(nèi)的個人提供商品、服務，以及收集歐盟公民個人數(shù)據(jù)的企業(yè)，管轄范圍幾乎涉及全球。該條例為成員國的數(shù)據(jù)立法提供了統(tǒng)一標準，建立了健全完備的監(jiān)管機制，對個人信息給予了全面保護?？傮w而言，歐盟認為個人信息屬于基本人權(quán)，以綜合立法的形式確定各成員國的個人信息保護標準，側(cè)重政府公權(quán)力的介入。

1.1.2 美國

1974 年，美國通過了《隱私法案》。該法案規(guī)范了聯(lián)邦政府處理個人信息的行為，但對州政府或私營企業(yè)沒有約束力。之后，美國各州陸續(xù)出臺了相應的數(shù)據(jù)隱私法案，如《加利福尼亞州消費者隱私法案》《加利福尼亞州隱私權(quán)利法》《弗吉尼亞州消費者數(shù)據(jù)保護法》《科羅拉多州隱私法》等。在商業(yè)領(lǐng)域，美國采取分散立法的模式，制定了《信息自由法》《網(wǎng)絡安全信息共享法》《駕駛員隱私保護法》《電子通訊隱私法》《兒童在線隱私保護法》等針對特定領(lǐng)域的單行行政法，使個人信息保護立法得到不斷完善?？傮w而言，美國認為個人信息屬于個人隱私，以分散立法的模式來限制政府對個人信息的獲取，主張個人數(shù)據(jù)跨境自由流動，強調(diào)行業(yè)自律和政府輔助監(jiān)管。

1.1.3 中國

2013 年，中國工業(yè)和信息化部出臺了《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》，明確了電信業(yè)務經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者收集、使用用戶個人信息的規(guī)則；2016 年，《中華人民共和國網(wǎng)絡安全法》把個人信息保護納入網(wǎng)絡安全保護范疇，明確規(guī)定了違反個人信息保護應負的法律責任；2021 年，全國人大常委會先后通過了《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》，真正實現(xiàn)了個人隱私與信息保護綜合立法“零”的突破?？傮w而言，我國采取寬嚴相濟的立法模式［2］，在明確個人在個人信息處理中的權(quán)利的基礎(chǔ)上，采取行政干預方式，對國家機關(guān)個人信息處理者的行為進行規(guī)范。

我國學者從各個方面對個人信息保護的相關(guān)法律進行了研究。有學者研究了大數(shù)據(jù)背景下個人信息安全法律問題［3］，有學者研究了大數(shù)據(jù)時代保護個人信息的行政法［4］，有學者從民法角度研究了大數(shù)據(jù)時代個人信息保護策略［5-6］，有學者研究了公民個人信息的刑法保護法律完善問題［7］，有學者研究了網(wǎng)絡環(huán)境下個人信息保護的行政監(jiān)管［8］，有學者研究了關(guān)于App 收集個人信息的行政法規(guī)制度［9］等。這些學者從不同角度和層面研究了我國個人信息保護的相關(guān)法律，客觀上推動了我國個人信息保護法規(guī)的建設。

1.2 多個領(lǐng)域的個人信息泄露研究

個人信息內(nèi)容眾多，涉及行業(yè)范圍廣，不少領(lǐng)域都存在個人信息泄露風險，國內(nèi)不同領(lǐng)域的學者對此進行了相關(guān)研究。如有學者研究了電子支付中的個人信息保護問題［10］，有學者研究了個人生物識別信息的隱私權(quán)保護策略［11］，有學者研究了疫情防控背景下個人信息的安全問題及對策［12］，有學者研究了網(wǎng)上銀行的信息安全保障義務［13］，還有多位學者對電商背景下的快遞服務用戶信息、民航旅客信息、在線旅客個人信息泄漏情況及對策進行了思考［14-17］，有學者討論了大數(shù)據(jù)趨勢下的搜索引擎用戶的信息安全［18］。

1.3 個人信息泄露分析及治理研究

不少學者針對個人信息的泄露途徑及泄露行為進行分析，并提出了應對策略。如有學者對內(nèi)幕交易者的信息泄露行為進行了分析［19］，有學者研究了個人隱私泄露的途徑與防范措施［20］，有學者對大數(shù)據(jù)時代個人隱私數(shù)據(jù)的泄露進行了調(diào)研與分析［21］，有多位學者對我國公民個人信息保護現(xiàn)實困境與對策、大數(shù)據(jù)分析的隱私信息保護方法、公民個人信息安全防控體系、人工智能時代的個人信息安全挑戰(zhàn)與應對等［22-26］問題進行了研究。

1.4 個人信息保護技術(shù)研究

隨著互聯(lián)網(wǎng)應用的普及和人們對互聯(lián)網(wǎng)的依賴，個人信息泄露事件頻發(fā)。大數(shù)據(jù)、云計算等技術(shù)的發(fā)展更加劇了這一現(xiàn)象。針對個人信息保護技術(shù)，有關(guān)學者進行了研究。如有學者研究了個人信息泄漏檢測模型的對抗攻擊策略［27］，有學者探討了基于計算機技術(shù)對涉密信息的保護［28］，有學者研究了面向邊緣計算的任務卸載隱私保護技術(shù)［29］，有學者設計并應用了基于數(shù)據(jù)流的Android 應用信息泄露檢測平臺［30］，有學者研究了位置大數(shù)據(jù)中基于隱私保護的加密技術(shù)［31］，有學者對大數(shù)據(jù)時代個人隱私保護路徑進行了重構(gòu)［32］，有學者研究了基于矩陣變換的大數(shù)據(jù)隱私保護關(guān)鍵技術(shù)［33］等。但總體而言，個人信息防護技術(shù)的研究滯后于信息技術(shù)的研究。

1.5 個人信息理論研究

由于個人信息大多為被動收集，大多時候公民在享受信息便利的同時也丟失了個人信息。數(shù)據(jù)的共享與隱私保護、個人信息保護也涉及倫理問題。有學者研究了大數(shù)據(jù)的“共享-隱私”悖論［34］，有學者研究了大數(shù)據(jù)發(fā)展與隱私保護問題［35］，有學者分析了大數(shù)據(jù)語境下個人信息隱私安全倫理［36］。

本文通過調(diào)研公民個人信息泄露現(xiàn)狀，分析公民個人信息泄露特征，剖析泄露途徑和原因，探討公民個人信息泄露的防范措施。

2 公民個人信息概念及范圍

在我國，個人信息是指“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息”。在我國現(xiàn)有法律體系中，已有多部法律法規(guī)對個人信息做出了定義，如《中華人民共和國網(wǎng)絡安全法》第七十六條、《中華人民共和國民法典》第一千零三十條及2021 年11月1 日起施行的《中華人民共和國個人信息保護法》第四條等?！吨腥A人民共和國民法典》《中華人民共和國網(wǎng)絡安全法》等相關(guān)法律列舉了個人信息的范圍，主要包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。為了進一步細化相關(guān)信息，國家標準化管理委會于2020 年3 月6日發(fā)布了《信息安全技術(shù)個人信息安全規(guī)范》（GB/T 35273-2020）［37］，列舉了個人信息的主要范圍，包括個人姓名、生日、性別、民族、國籍家庭關(guān)系、住址、個人電話號碼、電子郵件地址等個人基本資料，身份證、軍官證、護照、駕駛證、工作證、出入證、社保卡、居住證等個人身份信息，個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等個人生物識別信息，以及網(wǎng)絡身份識別信息、個人健康生理信息、個人教育工作信息、個人財產(chǎn)信息、個人通信信息、聯(lián)系人信息、個人網(wǎng)上記錄、個人常用設備信息、個人位置信息、其他信息等。

3 公民個人信息泄露案例及特征分析

個人信息泄露案件呈逐年高發(fā)態(tài)勢，并且隨著數(shù)據(jù)價值的增加，其影響也越來越大。本文通過梳理27 起影響較大的個人信息泄露案例，從受害主體、泄露信息、影響危害等3 個方面對案例進行分析，總結(jié)了公民個人信息泄露案件的被動收集性、群體參與性、集體博弈性、平衡對立性、連鎖反應性和時間滯后性等特征。

3.1 公民個人信息泄露案例分析

隨著我國以大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)為代表的信息經(jīng)濟迅速崛起，正在發(fā)生巨大變革的不僅是經(jīng)濟發(fā)展方式，還有個人生活的方方面面。便捷、高效、智能且個性化的信息服務逐漸滲透到公民生活的各個方面，與此同時，公民個人信息泄露事件的頻繁發(fā)生引發(fā)了人們關(guān)于新時代下公民個人信息隱私保護的反思。

本文通過網(wǎng)絡調(diào)研，獲取了近3 年影響較大的27 起公民個人信息泄露案例（表1），并對這些案例的關(guān)鍵要素進行了歸納（表2）。

表1 2020-2022 年我國公民個人信息泄露典型案例（部分）

續(xù)表1

表2 公民個人信息泄露類型及典型案例

3.1.1 受害主體范圍廣泛

通過梳理可以看出，信息泄露的受害主體既有普通公民、農(nóng)民工，也有高校學生，覆蓋了多個平臺、公司或單位的用戶、客戶及網(wǎng)民群體。這說明知識文化水平并不能夠成為判斷是否會發(fā)生信息泄露案件的有效標準，具有較高文化素質(zhì)的高校大學生群體依舊成為了信息泄露事件的受害者。這也從側(cè)面反映了當前非法獲取信息的技術(shù)手段發(fā)展之先進、滲透之廣泛，即便是對具有一定信息保護意識、具備個人信息保護能力的人來說依舊防不勝防。一些知名企業(yè)、單位及互聯(lián)網(wǎng)平臺沒有很好地遵守相應的法律法規(guī)、道德規(guī)范，沒有盡到應盡的保密義務，反而在利益的驅(qū)使下做出一系列侵犯他人信息安全的行為，損害了其自身聲譽，也辜負了民眾的信任。

3.1.2 泄露信息類型多樣

表2 顯示，自2020 年以來，影響較大的公民個人信息泄露案例可分為信息泄露、信息盜取和信息交易3 種類型。信息泄露是指部分服務平臺、管理單位的用戶/人員數(shù)據(jù)被批量泄露甚至販賣，數(shù)據(jù)主要以個人基本信息和賬號信息為主；信息盜取是指一些不法分子利用爬蟲、外掛和木馬病毒等技術(shù)手段，或者利用工作之便非法盜取并售賣大量個人基本信息、收貨信息、通信信息等；信息交易是指一些不法分子通過非法途徑購買或售賣大量的個人基本信息、購貨信息等。被泄露的信息內(nèi)容以個人基本信息為主，同時還包括賬號信息、通訊信息、收貨信息、購買信息、醫(yī)療信息、出行信息、求職信息等，基本涵蓋了個人信息的全部類型。個人信息泄露案件頻發(fā)、涉及的信息內(nèi)容廣泛，公民幾乎毫無隱私可言，一切能夠轉(zhuǎn)化為利益的信息與數(shù)據(jù)都有受到侵犯的風險。

3.1.3 負面影響惡劣

信息泄露造成的負面影響廣泛而惡劣，不法個人或集體通過非法泄露、非法盜取、非法購買和售賣等手段侵犯公民的個人信息牟利，泄露的數(shù)據(jù)體量少則上千條，多則數(shù)億條，數(shù)據(jù)量巨大，非法獲利金額不菲。這些個人信息泄露事件都產(chǎn)生了不良的影響，輕則通過短信電話騷擾公民的正常生活，重則通過詐騙等非法手段侵害公民的個人財產(chǎn)、破壞社會公平，危害了社會的和平穩(wěn)定與長治久安。雖然信息泄漏的相關(guān)話題會隨著重大案件的發(fā)生不時見諸報端，引發(fā)群眾的廣泛討論與密切關(guān)注，但并不能從源頭解決問題，也不能減輕信息泄露已造成的各種負面影響。因此，信息泄露亂象的整治刻不容緩，有必要擬定更具針對性的對策措施、實施更有效的懲治手段。

3.2 公民個人信息泄露特征分析

通過文獻調(diào)研和對公民個人信息泄露典型案例的分析，本文總結(jié)歸納了公民個人信息泄露案件的六大特征。

3.2.1 被動收集性

公民參加購物、掃描健康寶、辦理銀行業(yè)務、購買車船飛機票、參加線上培訓、發(fā)表學術(shù)論文、注冊社交軟件及學習軟件等社會活動時，一般都會根據(jù)要求填寫個人信息或被后臺軟件自動抓取行為數(shù)據(jù)，很多情況下基于服務“霸王條款”公民只能被動同意，因此個人信息被大量收集，信息被非對稱占有，從而構(gòu)成潛在危險。

3.2.2 群體參與性

如今手機已成為人們出行和辦理業(yè)務的重要工具，購物支付、旅行購票、學習注冊等都離不開手機，尤其是疫情期間很多公共場合要求出示健康寶或行程卡，只要公民出門參與社會活動就必須出示健康寶或行程卡，大量個人信息就會被全范圍采集，呈現(xiàn)出了群體參與的特點。

3.2.3 集體博弈性

公民個人信息泄露有一部分是個人無意泄露的，但后果比較嚴重的是機構(gòu)非法批量出售個人信息。而且泄密與反泄密已不僅是簡單的個人泄密問題，涉及到法律制度、行業(yè)管理、技術(shù)防范、網(wǎng)絡滲透與反滲透等多個領(lǐng)域，是公民、政府執(zhí)法機關(guān)與出售個人信息團伙的集體博弈。

3.2.4 平衡對立性

目前個人隱私保護的痛點在于人們享受技術(shù)帶來的便利的同時，也需面對技術(shù)帶來的弊端。數(shù)據(jù)成為資產(chǎn)的現(xiàn)實使大多數(shù)機構(gòu)愈發(fā)迫切地想要掌握更多數(shù)據(jù)，關(guān)于各種App 要求強制授權(quán)、過度收集個人信息的話題熱度不減，互聯(lián)網(wǎng)上不法分子的陰暗操作讓人防不勝防。平衡個人數(shù)據(jù)共享和隱私保護存在的對立性是重中之重，如精準購物推薦和個人行為痕跡記錄。一方面，精準推薦給我們帶來更多的視野，方便我們做更好的選擇；另一方面我們又必須面對令人厭煩的行為定向營銷。

3.2.5 連鎖反應性

網(wǎng)絡時代，信息快速傳播使個人信息泄露的蝴蝶效應愈發(fā)明顯。很多情況下，一不留神的一次按鍵授權(quán)會導致敏感信息泄露呈網(wǎng)狀快速蔓延，引發(fā)一系列的不良反應，甚至愈演愈烈，引起軒然大波。

3.2.6 時間滯后性

很多情況下，個人信息被收集后并不會馬上泄露出去，信息收集后還有信息處理、出售和利用的過程。因此，很多個人信息泄露案例存在一定的時間滯后性，這也給受害主體造成了一定的麻痹，使保密管理更加被動，不易跟蹤和追溯。

4 公民個人信息泄露途徑及原因

4.1 公民個人信息泄露途徑

4.1.1 個人手機等智能設備成為個人信息泄露重要渠道

一是App 等應用程序過度采集個人信息情況嚴重。大量App 通過非法設置手機安裝和使用權(quán)限獲取用戶手機通訊錄、相冊、地址等信息，借助精準的人工智能推薦算法，從年齡、偏好、習慣、地域、交往、飲食、運動等多角度對用戶進行分析，一些App 為保證用戶真實性還需上傳人臉照片進行認證，從而為用戶精準畫像。2021 年5 月，國家互聯(lián)網(wǎng)信息辦公室在公眾大量使用的App 中抽取了105 款，對這些App 收集使用個人信息的情況進行了檢測，發(fā)現(xiàn)了很多問題，如未經(jīng)用戶同意收集使用個人信息；違反必要原則，收集與其提供的服務無關(guān)的個人信息；未公開收集使用規(guī)定等，存在非法獲取、超范圍收集、過度索權(quán)等違規(guī)收集使用個人信息的現(xiàn)象。

二是微信、QQ 等即時通訊工具成為公民個人信息泄露的重災區(qū)。有調(diào)查結(jié)果顯示，很多人把注冊微信需要填寫的基本信息設置為真實信息，有的甚至把職務加姓名設置為用戶昵稱，把頭像設置為私人照；有的人對用戶權(quán)限設置較低，添加好友未開啟驗證功能，朋友圈允許陌生人查看，位置信息處于允許共享狀態(tài)。微信用戶均可通過以上開放信息迅速鎖定個人身份，成為不法分子竊密的重要目標。

三是可穿戴設備成為泄密渠道?？纱┐髟O備集成了嵌入式操作系統(tǒng)、內(nèi)置傳感器、數(shù)據(jù)采集、無線自組網(wǎng)等技術(shù)，通過設備軟件支持和信息交互、云端交互來實現(xiàn)強大的功能，如智能手環(huán)、谷歌眼鏡、智能頭盔等?？纱┐髟O備體型小巧，外觀與普通穿戴相似，可隨著人的活動而活動，利用各種傳感器隨時隨地采集周圍的各種數(shù)據(jù)，如影像、聲音、氣象、地理坐標、行動軌跡等信息，一旦進入個人生活區(qū)域，可輕易獲得個人信息?？纱┐髟O備采用的無線連接和開放操作系統(tǒng)，能夠?qū)崟r連接移動通信網(wǎng)絡、無線網(wǎng)絡，容易遭到非法遠程控制，成為個人信息泄露的隱秘通道。

4.1.2 第三方惡意技術(shù)入侵盜取公民個人信息

常見的主要是網(wǎng)上黑客攻擊和針對具體單位和人員的信息偷竊。2022 年5 月，大象保險服務有限公司美國總部報告稱，公司在3 月底遭遇的一起網(wǎng)絡安全事件可能涉及到數(shù)百萬份保單客戶的相關(guān)信息，公司在檢測到“網(wǎng)絡上存在異?；顒印敝罅⒓凑归_調(diào)查，并確定入侵者可能獲取了包括姓名、駕駛執(zhí)照號碼和出生日期在內(nèi)的信息，給用戶的生活秩序造成重大風險隱患，產(chǎn)生了很大的負面影響。

4.1.3 數(shù)據(jù)采集機構(gòu)非法出售個人信息

大數(shù)據(jù)時代，公民個人信息的商業(yè)價值被充分挖掘，擁有個人信息的機構(gòu)在信息時代就是擁有巨額財富，也是境外機構(gòu)的重點收集目標。在利益驅(qū)動下個人信息容易被不法分子售賣，如2018 年“數(shù)據(jù)堂”特大侵權(quán)公民個人信息案。據(jù)公安部門統(tǒng)計，“數(shù)據(jù)堂”一個月內(nèi)日均傳輸個人信息1.3 億條，規(guī)模之大令人觸目驚心。再如2021 年轟動全球的“滴滴”事件，“滴滴出行”App 存在嚴重違法違規(guī)采集個人信息問題，為避免擴大風險，國家互聯(lián)網(wǎng)信息辦公室通知網(wǎng)絡應用商店下架“滴滴出行”App，停止新用戶注冊。

4.1.4 政府機關(guān)及公共服務部門采集和公示個人信息

隨著“互聯(lián)網(wǎng)+”及無紙化辦公的快速推進落地，各項數(shù)據(jù)信息化建設也向著“云平臺+”建設推進，各級政府、機關(guān)和公共服務部門在采集數(shù)據(jù)時，會要求公民提供超過本部門需求的信息，存在過度采集和隨意采集問題。如公民的郵箱信息、身份證號、家庭住址、家庭成員信息、手機號等信息被采集后，可能會遭到泄露；還有一些政府、機關(guān)單位及公共服務部門對公民信息進行公示，被公示的個人信息也存在泄露的風險。

4.2 公民個人信息泄露原因

4.2.1 國家信息安全法律體系不完善導致不法分子有漏洞可鉆

一是國家個人信息保護的法律體系不夠完善。我國從憲法、各類法律、法規(guī)、規(guī)章到所簽訂的國際條約都對個人信息保護進行了規(guī)定。但相關(guān)規(guī)定側(cè)重于理論，操作性不強，相關(guān)條文零散分布，缺乏統(tǒng)一性和體系性，個人信息的概念不清、界限模糊，個人信息保障范圍有限，信息侵犯主體范圍模糊，侵犯行為判斷易出現(xiàn)偏差。如個人信息保護的法律大多是針對安全問題發(fā)生后的懲處，對個人的行為規(guī)范卻并不多，很難從根本上對個人信息安全問題進行有效預防；《中華人民共和國網(wǎng)絡安全法》《信息安全技術(shù)個人信息安全規(guī)范》等法律規(guī)范對個人信息進行了定義，但判定標準仍然不夠明確，執(zhí)法部門難以參照相關(guān)內(nèi)容判斷出遭竊取、泄露的信息是否為個人信息，容易讓犯罪分子鉆法律的空子，得不到應有的法律制裁。

二是國家執(zhí)法力度不強。一些組織或個人出于謀取非法利益等目的，違反職業(yè)道德和保密義務，以竊取、收買、非法提供等方式大肆收集、存儲、利用、泄露公民個人信息，特別是一些政府機關(guān)或公共服務部門在履行公務或提供服務時獲取的公民個人信息被非法泄露的情況時有發(fā)生。然而在司法實踐中，司法機關(guān)對侵犯公民個人信息的案件沒有足夠重視，沒有開展強有力的司法審判和執(zhí)行。在現(xiàn)行相關(guān)法律中，對泄露、竊取個人信息的相關(guān)違法行為，通常都是罰款為主，不法分子很少會承擔刑事責任。售賣個人信息的收益顯然要遠高于違法成本，致使出售或非法提供個人信息的活動越來越猖獗。

4.2.2 保密意識不強使政府機關(guān)及公共服務部門無意泄露公民個人信息

政府信息公開是促進政府職能轉(zhuǎn)變的有力戰(zhàn)略，然而在公民個人信息保密方面，一些政府機關(guān)及公共服務部門存在行政部門職能缺失的問題。一是在處理公民個人信息的各個階段中，相關(guān)工作人員缺少對公民信息保密的意識，注意力主要放在完成相應的工作上，造成信息泄露的現(xiàn)象。如一些公共服務部門工作人員對個人信息的保密性認識不到位，展示了不該展示的內(nèi)容，導致公民個人信息泄露。二是政府機關(guān)及公共服務部門缺乏對工作人員的管理和監(jiān)督，導致相關(guān)工作人員的信息安全意識不強。有些工作人員對公民信息采集及公開的范圍、內(nèi)容缺乏清晰的認識，容易過度收集公民個人信息，跨越收集原則的底線，使公民成為“透明人”。甚至有些工作人員在行使權(quán)力的過程中不遵守相關(guān)制度和規(guī)定或不按程序操作，增加了公民隱私泄露的風險。

4.2.3 趨利性使商業(yè)機構(gòu)非法兜售個人信息

個人信息商品化使售賣個人信息成為不法分子牟利的惡劣手段。一方面是不法分子形成黑色產(chǎn)業(yè)鏈，非法采集、加工、售賣、購買、轉(zhuǎn)售并非法利用個人信息。另一方面是大數(shù)據(jù)公司通過利用高新科技手段在未經(jīng)允許的情況下非法追蹤抓取個人信息，通過對零散細碎個人信息拼接組合進行數(shù)據(jù)挖掘分析，暴露公民個人信息。

4.2.4 斗爭性使境外機構(gòu)不擇手段獲取個人信息

一是境外情報機構(gòu)滲透，策反竊密活動無孔不入。這些機構(gòu)緊盯核心重要涉密人員，不擇手段脅迫策反我國在境外人員，通過多種渠道結(jié)識、攀拉我國涉密人員，非法竊取國家機密情報。二是境外情報機構(gòu)不斷加大網(wǎng)絡竊密攻擊力度，目標直指核心要害部門。攻擊密集，指向明確，緊盯我國大事要事，高端智庫、知名學者的計算機成為境外機構(gòu)攻擊重點。三是境外反華勢力文化入侵。美國利用網(wǎng)絡空間霸權(quán)進行政治引導及價值觀輸出，美國文化產(chǎn)品所宣揚的拜金主義、享樂主義和利己主義等價值理念都通過網(wǎng)絡滲透影響青少年價值觀，一些人追求所謂的“民主和自由”，向往奢靡享樂的生活，無視保密規(guī)定鋌而走險。

4.2.5 技術(shù)落后導致信息安全監(jiān)管能力不足

一是信息領(lǐng)域核心技術(shù)落后。軟件方面，大多數(shù)計算機采用Windows 系列操作系統(tǒng)，后臺核心代碼非我國控制，容易在未經(jīng)允許的情況下保存瀏覽器數(shù)據(jù)，并私自上傳數(shù)據(jù)到境外的服務器上，給我國公民個人信息安全帶來巨大風險。硬件方面，我國芯片技術(shù)被“卡脖子”，智能設備和信息采集設備核心芯片容易被遠程操控留“暗門”，難以杜絕植入芯片竊取數(shù)據(jù)等安全問題，使用這些設備的個人信息存在安全隱患。二是信息監(jiān)管防護能力不高。個人信息的泄露通常需要經(jīng)過采集、整理、發(fā)布或出售幾個階段。如一些軟件會利用Cookie 文件對上網(wǎng)人員的瀏覽記錄、用戶名、密碼和IP 地址等詳細信息進行記錄，然后對數(shù)據(jù)進行標引識別后處理銷售。這些流程記錄行為缺乏有效的信息安全監(jiān)控管理技術(shù)，任何一個環(huán)節(jié)若能夠得到有效監(jiān)管都可以大大降低信息泄露的風險。

4.2.6 公民隱私保護教育不力

一是公民個人信息保密意識不強。我國對隱私保護教育重視不夠，個人隱私防范風險意識不強，不了解隱私泄露途徑，用網(wǎng)隨意不設防；個別人虛榮心作祟，難抵金錢美色誘惑，為在短期內(nèi)獲得極大利益回報不惜鋌而走險。

二是個人信息安全法律教育不足?！吨腥A人民共和國個人信息保護法》2021 年才頒布實施，公民關(guān)于個人信息保護的法律知識欠缺，個人信息安全受到侵犯時難以想到通過法律手段保護個人信息安全。

5 公民個人信息安全保密對策

5.1 構(gòu)建完善的個人信息保護法律體系加強個人信息司法保護

一是要完善國家關(guān)于個人信息保護的法律體系。盡管近年我國集中頒布并實施了《中華人民共和國個人信息保護法》、《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國網(wǎng)絡安全法》等有關(guān)個人信息保護的法律。但這些法律剛剛實施，還存在一些沒有特別明確的問題，相關(guān)部門應在后續(xù)的法律實施過程中對法律條文中的一些細節(jié)進行規(guī)范明確的說明，避免不法分子鉆法律漏洞，導致公民信息泄露帶來不必要的損失。

二是要加大處罰力度，提高違法成本。《中華人民共和國刑法》第二百五十三條規(guī)定：違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金?！吨腥A人民共和國消費者權(quán)益保護法》和《中華人民共和國網(wǎng)絡安全法》則基本以現(xiàn)金罰款為重。上述法律法規(guī)規(guī)定的刑期和罰款金額，相對于愈演愈烈的侵犯公民信息犯罪行為相比，明顯過輕，違法犯罪成本過低。因此，立法應加大侵犯公民個人信息行為的處罰力度，特別是如侵犯公安人員、軍人、兒童等特殊群體個人信息的還應從重處罰。

5.2 加強行政監(jiān)管

政府機關(guān)及公共服務部門要提高對公民個人信息的保護意識，充分發(fā)揮地方行政保護的力量，強化地方行政機關(guān)對公民信息保護的監(jiān)管責任，成立公民個人信息保護機構(gòu)，加強信息監(jiān)督，嚴格執(zhí)法，即時有效制裁各種個人信息侵權(quán)行為，追究違法企業(yè)主體責任。必要時應采取聯(lián)合執(zhí)法模式，全方位打擊治理侵犯個人信息的違法行為，建立完善的事先責任制和事后問責追究制，避免因政府機關(guān)及公共服務部門過度采集個人信息而導致公民個人信息泄露。同時，政府機關(guān)及公共服務部門應加強對工作人員的管理與監(jiān)督，對他們進行公民個人信息保密方面的培訓，建立和完善獎懲機制，加大內(nèi)部約束力，從制度上、思想上、行為上對從業(yè)人員進行約束，實現(xiàn)對公民隱私權(quán)利的保障。

5.3 加強經(jīng)營者主體責任，平衡公民權(quán)益保護和數(shù)字經(jīng)濟發(fā)展

互聯(lián)網(wǎng)及大數(shù)據(jù)公司是個人信息匯聚的重要地點，信息流入流出都會經(jīng)過這些公司的數(shù)據(jù)處理環(huán)節(jié)。一是明確規(guī)定經(jīng)營者在信息收集環(huán)節(jié)的責任和義務，嚴格要求運營者不得收集與提供與服務無關(guān)的信息，必須依照法律法規(guī)的規(guī)定和用戶的約定處理保存信息，一旦在此過程中出現(xiàn)數(shù)據(jù)泄露事件，嚴厲追究經(jīng)營者責任。二是應對運營者收集到的與所提供服務相關(guān)的公民信息進行使用記錄，確保這些信息僅應用于經(jīng)營過程而不是進行非法販賣，并且要組織相關(guān)部門定期對其信息使用記錄進行審計。三是進行行業(yè)治理，制定行業(yè)守則，通過“凈網(wǎng)”行動整頓行業(yè)亂象，充分尊重公民個人意愿，刪除如“最終解釋全歸網(wǎng)站所有”等霸王條款，嚴格保障公民個人權(quán)益。四是在充分保護個人信息安全的同時，通過技術(shù)措施平衡數(shù)字經(jīng)濟發(fā)展。

5.4 增強憂患意識和敵情觀念，加強防間反竊密能力

正確把握國際國內(nèi)形勢發(fā)展變化，要充分意識到信息時代信息傳播和獲取的便捷性?；ヂ?lián)網(wǎng)已成為政治滲透的新工具和意識形態(tài)斗爭的新戰(zhàn)場，我們必須強化互聯(lián)網(wǎng)信息泄露的風險意識，盡量避免通過互聯(lián)網(wǎng)傳輸涉密信息，一定需要傳輸?shù)膽M量采取光盤刻錄的形式。此外，還應當加強泄密風險預判預警，增強憂患意識和敵情觀念，克服麻痹大意思想，時刻保持警惕和清醒頭腦，提升信息化條件下防范化解重大失泄密風險的能力水平，采取有針對性的綜合措施，下好先手棋，打好主動仗。

5.5 發(fā)展自主信息安全技術(shù)，提升個人信息泄露技術(shù)對抗能力

目前個人信息主要通過網(wǎng)絡傳播。如果采集、存儲和傳播個人信息的網(wǎng)絡不能完全自主可控，那么這個網(wǎng)絡平臺則存在巨大隱患。若想從根本上擺脫對國外基礎(chǔ)軟硬件的依賴，避免因網(wǎng)絡傳播而導致信息泄露，應采取以下措施。一是大力推進信息產(chǎn)業(yè)基礎(chǔ)技術(shù)自主可控發(fā)展，從基礎(chǔ)軟硬件源頭防范暗門風險?；A(chǔ)軟硬件包括支撐系統(tǒng)安全運行的硬件、固件、操作系統(tǒng)等。二是大力推進信息產(chǎn)業(yè)中間平臺和應用技術(shù)發(fā)展，在信息采集傳輸環(huán)節(jié)加強個人信息安全防范。中間平臺主要是指云計算平臺、大數(shù)據(jù)平臺、并行計算平臺等。應用層主要指各種辦公、數(shù)據(jù)處理和功能應用的運行程序。這些軟件最易被植入后門，遭受病毒和黑客攻擊，這也是個人信息泄露的重要原因。三是大力發(fā)展個人信息數(shù)據(jù)處理技術(shù)，提升信息傳播檢測預警能力。加強如文件加密技術(shù)、身份認證技術(shù)、個人信息錄入提醒技術(shù)等個人信息采集技術(shù)的研究，增強源頭性保護；加強如社交網(wǎng)絡匿名保護技術(shù)、數(shù)據(jù)發(fā)布匿名保護技術(shù)，數(shù)據(jù)溯源技術(shù)等個人信息處理技術(shù)的研究，推進過程性保護；加強如入侵檢測技術(shù)、防火墻技術(shù)、殺毒軟件等防護技術(shù)的研究，提升信息安全防御；加強個人信息監(jiān)測預警技術(shù)的研究，加強風險預判處置能力。

5.6 加強公民隱私保護教育和管理，提升個人信息安全防范能力

加大個人信息保護宣傳教育力度，提升隱私保護法治教育的針對性和有效性。通過進行個人信息保護宣傳教育，提升個人信息防護意識。即時更新教育內(nèi)容，讓公民充分了解網(wǎng)絡信息發(fā)布的漏洞和竊取信息的途徑；引導公民重視對日常生活信息的管理，如拒絕向來歷不明或存在風險的組織或個人提供個人信息，不在“朋友圈”、微博等社交網(wǎng)絡發(fā)布可能暴露隱私的照片或文字，保管好銀行憑據(jù)、快遞單據(jù)、車票等包含個人信息的文件，丟棄前可采取對關(guān)鍵信息進行涂抹或粉碎等處理?？傊粩嘣鰪姽竦谋Ｃ芤庾R，加強個人信息泄露防御能力。

6 結(jié)語

如今，互聯(lián)網(wǎng)已融入我們的生活，網(wǎng)絡購物、交通出行、線上交易等應用程序便利了我們的生活，但同時也會更多地收集公民的個人信息，使個人信息安全面臨更大的威脅。當前，我國在法律體系、政府監(jiān)管、保密意識、技術(shù)服務等方面對個人信息的保護尚有明顯不足，需緊跟時代變革的節(jié)奏和步伐，加大對個人信息的保護力度。首先，政府機關(guān)應樹立責任意識，加強對工作人員保密知識的教育培訓，完善相關(guān)法律體系，加大行政監(jiān)管和懲罰力度；第二，公民個人要增強防范意識和責任意識，重視對日常生活信息的管理，強化互聯(lián)網(wǎng)信息泄露的風險意識，加強民族責任意識，以避免被利益驅(qū)使出賣他人信息；第三，發(fā)展自主信息安全技術(shù)，增強防泄露技術(shù)研究能力，提升個人信息加密技術(shù)水平。綜上所述，我國應建立健全的信息保護治理體系，構(gòu)建產(chǎn)業(yè)協(xié)同的安全保障網(wǎng)絡，進一步明確公民個人信息使用規(guī)則［38］，真正實現(xiàn)對公民個人信息的保護，促進信息社會建設。