论法 | 你的隐私谁做主？网络安全6大问题7大对策

作者 | 舒海

来源 | 智合东方

■ 本文仅代表作者个人观点，不代表智合立场

一、什么是个人信息和个人隐私

通常来说，“个人信息”也称“个人资料”，指的是与个人有关的所有信息。如果将个人信息储存在计算机或者网络上，这些信息就成了“个人数据”。而“个人隐私”指的是个人不愿披露或者披露后对其有不利影响的信息。

与“个人隐私”相对应的权利就是个人的“隐私权”， 即指个人享有的私人生活安宁以及与公共利益无关的私人信息依法受到保护，不被他人非法侵扰、知悉、收集、利用和公开的人格权。“隐私权”的概念是由美国律师塞缪尔·沃伦（Samuel D. Warren）和路易斯·布兰代斯（Louis D. Brandeis）1890年12月15日在《哈佛法学评论》（Harvard Law Review）第4期发表论文《隐私权》（The Right to Privacy）的时候首次提出的。在1928年Olmstead v .United States案中，布兰迪大法官认为，公民有“不受打扰的权利”，成为对隐私权的经典论断。该案件引起美国社会的广泛讨论，并对个人隐私的保护产生深远影响。

在大数据时代，手机、电脑、电视机、可穿戴设备等信息化设备都接入网络，随着物联网的发展，万物互联将是趋势。随着个人信息不断被各种经营者采集，这些看起来是零散的数据被汇总、挖掘、分析，也就是大数据的商业化，我们每个人就变成了“透明人”，这些数据有可能被不正当使用、披露或者泄露，由此引发公众对于隐私权的担忧。

二、我国个人信息被滥用的现状

1. 过度收集个人信息

在日常生活中，公民身份信息经常会因为各种理由被收集。电信、网站、银行、保险公司、中介、教育机构乃至政府部门和医院，大多都要求提供身份证号码、手机号、家庭住址、邮箱等个人信息。一些银行要求申办信用卡的客户提供配偶资料等。

2. 擅自披露和提供个人信息

有关机构在未经法律授权或者本人同意的情况下，或者超出必要限度地披露他人个人信息的现象也很普遍。比如，银行、保险公司、航空公司等机构之间未经客户授权或者超出授权范围共享客户信息。

更为恶劣的是大量非法买卖个人信息。社会上出现了大量兜售房主信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息的现象，并形成了一个产业。比如，个人在办理购房、购车、住院等手续之后，相关信息被有关机构或其工作人员卖给房屋中介、保险公司、母婴用品企业、广告公司等。

正如2013年4月23日最高人民法院、最高人民检察院、公安部在《关于依法惩处侵害公民个人信息犯罪活动的通知 》里面提到的：当前，一些犯罪分子为追求不法利益，利用互联网大肆倒卖公民个人信息，已逐渐形成庞大“地下产业”和黑色利益链。

3. 个人信息泄露的途径

一种情况是掌握个人信息的单位和个人有意和无意的泄露。比如2008年7月至10月间，唐XX利用其担任中国联通有限公司北京分公司网络运行维护部监控中心主任的工作之便，获取大量公民个人信息，非法出售获利。

另外就是相关数据库存在漏洞，由于管理和技术上的原因，导致信息泄露。比如，2014年10月，多家国内连锁酒店被曝光有2000万个人开房信息被泄露；2014年12月,“12306系统”被曝光泄露了约13万条真实的用户信息,包括姓名、身份证号码、邮箱、手机和密码等重要隐私、

三、我国相关的法律法规

我国目前对个人隐私的法律保护非常不完备，没有一部独立的个人信息保护法，有关个人信息保护的法律规定比较零散、缺乏系统性。对于“个人信息”的法律概念，第一次正式出现是在2013年4月23日，最高人民法院、最高人民检察院、公安部《关于依法惩处侵害公民个人信息犯罪活动的通知》 中。这个《通知》首次明确了“个人信息”的含义是“公民个人信息包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。

我国对个人信息提供直接保护的法律法规，主要包括《刑法修正案七》、《侵权责任法》、《全国人大常委会关于加强网络信息保护的决定》、《治安管理处罚法》、《电信法》、《未成年人保护法》、《妇女权益保护法》、《执业医师法》、《消费者权益保护法》、国务院发布的《互联网信息服务管理办法》等；对个人信息间接保护的立法包括《宪法》、《民法通则》等。还有工信部《电信和互联网用户个人信息保护规定》、《通信短信息服务管理规定》、工商总局《网络交易管理办法》等部门规章。

据不完全统计，我国目前大概有40部法律、30余部法规，以及近200部规章涉及个人信息保护。此外，还有不少地方法规，如2003年上海颁布的《上海市个人信用征信管理试行办法》等。

四、关于《网络安全法》草案

我国最新有关个人信息保护的法律草案是2015年6月，第十二届全国人大常委会第十五次会议初次审议的《中华人民共和国网络安全法（草案）》（以下简称《草案》），该《草案》已经公开并向全社会征求意见。

这个《草案》在《附则》里面对于“公民个人信息”进行了定义，即“以电子或者其他方式记录的公民的姓名、出生日期、身份证件号码、个人生物识别信息、职业、住址、电话号码等个人身份信息，以及其他能够单独或者与其他信息结合能够识别公民个人身份的各种信息”。

对个人信息的保护，主要体现在在《草案》第四章《网络信息安全》里面的第34-39条。此外，《草案》在第17条规定了网络运营者对个人信息的安全保护义务，以及第31条要求“关键信息基础设施的运营者”必须在境内存储公民个人信息等重要数据；确需在境外存储或者向境外提供的，应当按照规定进行安全评估。

总体来看，从积极的方面来看，《网络安全法草案》参考了国内外的个人信息立法和实践，涉及到了以下原则：

● 网络运营者的安全保障原则（第17条）；

● 个人同意原则（第18条，第35条）；

● 目的明确原则（第35条）；

● 最少够用原则（第35条）；

● 公开告知原则（第35条）；

● 质量保证原则（第36条）；

● 泄漏通知要求（第36条）

但是，考虑到立法目的主要是“保障网络安全，维护网络空间主权和国家安全、社会公共利益”（第一条），该《草案》毕竟不是一部专门针对我国个人信息保护的立法，因此，对于个人信息的保护，仅仅是在个别条文里面简单涉及了。与成熟的国外立法相比，还明显存在一些不足之处：

● 个人信息保护范围太窄。该《草案》还仅仅规制的是“我国境内建设、运营、维护和使用网络”的“网络运营者”，包括基础电信运营者、网络信息服务提供者、重要信息系统运营者，相比个人信息保护专门立法规制的“个人信息的搜集、处理等经营者”而言，范围显然太窄了。

● 个人的知情权不够。这个《草案》规制的是网络运营者，对于行政公权力领域内如何保护公民个人信息的规定很少，只是在第39条原则性地规定“依法负有网络安全监督管理职责的部门，必须对在履行职责中知悉的公民个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供”， 没有规范政府处理个人信息的行为，对于政府机构以及公用企业（比如电信等）对个人信息的采集、使用、公开和保密问题没有作出更加详细的规定，对于平衡公共利益与个人隐私权之间的矛盾，考虑不多。举例来说，公民被公安机关错误列入网上追逃名单而不自知，引发的不幸遭遇频发。比如据2009年8月17日，《南国都市报》报导，2009年8月4日，湖南长沙航空职业技术学院毕业生吴某某，在长沙网吧遭到公安拘捕。被拘5天之后，广东公安解释说，由于别人冒用他的身份证，他被错误地列入网上追逃名单。

● 对于大数据的商业化和个人隐私保护之间的矛盾，没有提供解决方案。比如韩国就要求经营者在数据搜集阶段就要通过删除、匿名、聚合、归类、屏蔽等方式，删除或者替换全部或者部分个人信息，从而使相关数据无法指向具体的个人（即个人信息的匿名化处理）。经营者如果采取了这些措施，即使未取得个人的同意，也可以搜集和开发个人信息，可以将这些信息提供给第三方，以及为了提供服务的目的内部使用；除非用户明确表示反对。一旦采取上述措施的信息仍然包含能够明确指向具体个人的信息，经营者应立即销毁该信息或者采取额外措施使其无法识别具体个人。这样，对于大数据从业者来说，不必单独征求用户的同意，显然提高了效率。纵观《草案》的条文，这个问题没有涉及。

此外，对于个人信息的加工和转移，《草案》也没有规定。仅仅是在第三十一条要求“关键信息基础设施的运营者应当在中华人民共和国境内存储在运营中收集和产生的公民个人信息等重要数据；因业务需要，确需在境外存储或者向境外的组织或者个人提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估”，这仅仅涉及到“关键信息基础设施的运营者”对于个人信息的储存问题，对于个人数据加工和转移问题，则没有予以考虑。

● 对于违规的处罚不够，违法成本太低。比如，根据《草案》的规定，对于不合规行为，首先都是由“有关主管部门责令改正，给予警告”，只有“拒不改正或者导致危害网络安全等后果的”，才有五万到五十万的罚款，最高的处罚是对“关键信息基础设施的运营者”的处罚，最高的幅度也仅仅是一百万元。对于直接负责的主管人员和其他直接责任人员的处罚也仅仅在五千元到十万之间。欧盟2012年11月制定的《一般数据保护条例》，对于不合规的处罚，最高可以达到经营者年全球营业额的百分之二；2015年3月27日，韩国颁布的《云计算发展及保护使用者相关法律》，对于未经用户同意使用其信息或向第三方提供的，或者明知上述信息而接受的，以及泄露个人信息的，都有相应的刑事处罚。

● 没有统一的执法机构。《草案》第六条规定“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院工业和信息化、公安部门和其他有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作”。这就还是维持“九龙治水”的局面，没有明确对于个人信息保护的执法主体。欧盟早在2001年就设立了“数据保护监督专员”(European Data Protection Supervisor)这一职位，职责是确保所有欧盟机构和组织在处理公民个人数据时尊重公民的隐私权。此外，根据《数据保护指令》第 29 条规定，还成立了“欧盟数据保护工作组” (Article 29 Data Protection Working Party)，一般称之为“第 29 条工作组”或者数据保护工作组。加拿大联邦的个人信息保护专门机构是加拿大隐私专员办公室（Office of the Privacy Commissioner） , 同时各省也设立隐私专员办公室或类似机构。根据我国现在的法律框架，发生不合规行为，个人往往不知道“有关部门”到底是哪个部门。

● 个人的法律救济措施不够。《草案》第六十三条，仅仅有一个原则性的规定“违反本法规定，给他人造成损害的，依法承担民事责任”。我们注意到，韩国的《云计算发展及保护使用者相关法律》就明确规定，云服务提供者因违法而发生损害时，用户可以请求赔偿，并且由服务商承担举证责任。

在云计算、大数据快速发展的技术背景下，我国个人信息保护立法的滞后性显而易见，更忽视了云计算、大数据快速发展这一时代背景和个人信息保护的全球化趋势。因此，我们不能寄希望于一部《网络安全法》覆盖个人信息保护的诸多方面。因此，颁布一部《个人信息保护法》还是显得至关重要。

据了解，早在2003年，国务院信息化办公室就已对个人信息立法研究课题进行部署，2005年《个人信息保护法（专家意见稿）》已经形成，2008年草案已经呈报国务院，但从此杳无音信。

我们呼吁，《个人信息保护法》应早日出台，并寄希望于专门的立法能极大地弥补我国个人信息保护立法上的诸多不足。

六、企业如何应对个人信息保护问题

在现有的法律框架下，我们建议相关企业采取以下措施来应对个人信息保护的问题：

1. 关注国内外立法进展。对于外商投资企业，应该关注母公司所在国的法律和中国法律的进展；对于“走出去”的国内企业，也应该关注目标国的法律动态。考虑到欧盟对于不合规的处罚相当严厉（最高可达全球年经营额的百分之二），有关企业不得不格外谨慎。

2. 及时修订信息搜集和隐私保护政策：对于企业自身的相关政策和业务流程进行梳理并及时修订，以确保在本国和业务延伸国的合规。需要引起注意的是，欧盟2012年11月制定的《一般数据保护条例》，扩大了个人数据保护的适用范围，除了欧盟范围内的适用，还适用于数据主体在欧盟境内，但是数据控制者不在欧盟境内，而在欧盟境内向数据主体提供产品或服务的数据处理活动。

3. 个人信息保护的尽职调查：除了对于企业自身关于个人信息保护的政策、流程进行梳理以外，企业对于供应商、其他商业伙伴的个人信息保护政策和实际操作也应该密切关注，必要时进行尽职调查，有效规避法律风险。比如，1998年生效的《欧盟个人数据保护指令》，不允许向未达到欧盟标准的国家或地区传输客户的个人数据。欧盟的《一般数据保护条例》也禁止向无法确保充分的数据保护的国家和组织传输个人数据。

4. 采取高级别的安全保护措施和管理手段，防止个人信息的泄露。参考《网络安全法草案》以及国外的立法要求，企业应对个人信息保护高度重视，制定内部安全管理制度和操作规程，并从技术上采取防范计算机病毒和网络攻击、网络入侵等危害网络安全行为的技术措施；采取记录、跟踪网络运行状态，监测、记录网络安全事件的技术措施，并按照规定留存网络日志；采取数据分类、重要数据备份和加密等措施。

5. 切实履行泄漏通知义务。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，告知可能受到影响的用户，以便个人及时采取措施，并按照规定向有关主管部门报告。韩国等国家还规定，终止服务或者运营时，应返还并废弃用户信息；美国的《数据泄漏事件通报法案》（草案）(Data Breach Notification Act) 要求，在有些情况下，个人信息泄露事故必须立即通报，比如超过一万名个人的信息的泄露；包含超过一百万个人信息的数据库的泄露；联邦政府数据库的泄露；个人信息事关联邦雇员或者承包商，并涉及国家安全或者执法部门的。这些都值得企业予以重点关注。

6. 对搜集到的个人信息在技术上进行匿名化处理。与云计算、大数据商业化相关的企业，对于个人信息进行匿名化处理，避免披露能识别个体信息的数据，这既是有效的安全措施，在很多国家更是法律的要求。

7. 加强与执法机关的沟通。鉴于我国个人信息立法的不完善，企业在经营过程中积极主动地与执法机关沟通，不失为有效的方法。尤其是发生个人信息泄露或者可能泄露，相关服务中断等突发事件时，配合执法机关的调查，积极采取弥补措施，往往能赢得主动。

_________________________

原文标题 | 《你的隐私谁做主？——我国个人信息的法律保护现状及企业的对策》

编辑 | Carols

封面图片 | 必应