移動互聯(lián)網(wǎng)時代個人信息保護法規(guī)研究

雷鳴宇 中國信息通信研究院技術與標準研究所工程師

高慕楠 重慶郵電大學電子信息工程專業(yè)本科在讀

移動互聯(lián)網(wǎng)時代個人信息保護法規(guī)研究

雷鳴宇 中國信息通信研究院技術與標準研究所工程師

高慕楠 重慶郵電大學電子信息工程專業(yè)本科在讀

隨著移動互聯(lián)網(wǎng)業(yè)務的蓬勃發(fā)展，面對數(shù)據(jù)信息化的多樣性，技術上的不斷更迭，個人信息遭到泄露和濫用情況已引起了國內(nèi)外的廣泛重視。本文主旨在于對數(shù)據(jù)化個人信息保護方面國內(nèi)外形勢進行梳理，對個人信息安全保護所面臨的困境進行分析及移動互聯(lián)網(wǎng)時代個人信息的保護途徑進行總結與探究。

移動互聯(lián)網(wǎng) 個人信息 保護法

1 引言

近年來，移動互聯(lián)網(wǎng)技術和業(yè)務的快速發(fā)展，數(shù)字信息社會的飛速發(fā)展，個人信息已不再是能夠保守住的秘密，不僅成為各種媒體、企業(yè)利用的資源，其重要性與日俱增。然而伴隨著個人信息利用領域的不斷擴大，丟失、泄漏和濫用個人信息的案件時有發(fā)生給現(xiàn)有的個人信息保護法律制度帶來了新的挑戰(zhàn)。如在移動互聯(lián)網(wǎng)時代中，每天都涌現(xiàn)數(shù)以萬記，包括新聞、社交、理財、健身、教育等多個種類的信息服務應用，在享受閱讀便利、個人生活狀態(tài)分享交互、獲取最新資訊的同時，用戶的使用習慣、位置信息、關鍵隱私信息已經(jīng)易被獲取、泄露，個人信息安全面臨嚴重威脅，各國已深刻認識到制定個人信息保護法不僅是保護公民個人權利的需要，更是提高信息資源利用率，保證本國信息自由流動，促進信息化發(fā)展，參與全球化競爭的戰(zhàn)略需要。在此形勢下，各國不僅出臺國內(nèi)的個人信息保護法，并且積極參與相關國際規(guī)則的制定，在國際舞臺上推行符合本國利益訴求的個人信息保護與跨境流動的國際規(guī)則。

2 個人信息法律保護國際法律現(xiàn)狀

政府提供強制性提供隱私權保護的基本技術支撐下，仍然有大規(guī)模的信息泄露事件的發(fā)生，如近年來發(fā)生在亞洲多個國家的信用卡賬戶信息，被黑客通過網(wǎng)絡安全漏洞進行“大規(guī)?！钡谋I取，國內(nèi)用戶因個人信息泄露受到垃圾電話騷擾、詐騙事件頻頻發(fā)生，亟需向美國和歐洲等在立法工作走在前列工作國家借鑒經(jīng)驗。

（1）主要國家/地區(qū)個人信息保護立法現(xiàn)狀

美國早在1974通過了《隱私權法》，正式確立了美國以法律手段保護公民個人信息的決心，隨后通過行業(yè)自律性來保護個人安全信息。美國對網(wǎng)絡安全有基礎性立法和行業(yè)性立法，如《電子通訊隱私法》、《金融隱私權法案》、《有線通訊隱私權法案》等。另外，采取行業(yè)自律作為立法外的保護網(wǎng)絡隱私權的補充，在個人信息保護方面取得實效。

相比之下，歐洲國家對于保護個人信息方面效果顯著，這與歐盟采用的嚴格法律法規(guī)來加強信息保護不無關系。歐盟通過立法，協(xié)調(diào)各國國內(nèi)法以及確保個人信息在歐盟范圍內(nèi)自由流動。各歐盟國家也分別制定國內(nèi)的相關法律來保護個人安全。同時，未解決歐美之間不同的信息保護標準，歐盟與美國政府簽訂了個人信息保護的“安全港”計劃，使得美國在歐盟的企業(yè)達到歐盟較高的保護標準的同時，維持美國長久以來一直采用的自律機制。

面對個人信息保護這個世界性的難題，不僅需要每個國家、地區(qū)做好立法工作，還需要各個國家的協(xié)作。經(jīng)濟合作與發(fā)展組織OECD理事會發(fā)布了《關于保護隱私合格人數(shù)急劇國際流通的指南》；亞太經(jīng)合組織APEC也建立了地區(qū)隱私保護標準：歐盟與美國等國家也有聯(lián)合頒布的相關法律法規(guī)以及包括上述中“安全港”計劃在內(nèi)的相關計劃來實現(xiàn)個人信息的保護。

（2）主要國家/地區(qū)個人信息保護法律修訂現(xiàn)狀

●在已有的個人信息保護立法框架下，積極制定云計算、移動互聯(lián)網(wǎng)等新業(yè)務的個人信息保護規(guī)則

2012年6月，法國國家信息與自由委員會發(fā)布《云計算數(shù)據(jù)保護指南》，對云計算服務協(xié)議應當包含的因素和云計算的安全管理提出了建議。2012年2月，美國白宮發(fā)布《網(wǎng)絡世界中的消費者數(shù)據(jù)隱私報告》，該報告提出要在全球數(shù)字經(jīng)濟發(fā)展過程中，構建保護隱私和促進創(chuàng)新的基本架構，并致力于推動《消費者隱私權利法案（草案）》的出臺；2012年6月，美國電信與信息管理局（NTIA）宣布要出臺手持移動設備的數(shù)據(jù)保護執(zhí)行準則。

●對現(xiàn)有的個人信息保護統(tǒng)一立法進行修訂

歐盟1995年制定了《關于個人數(shù)據(jù)處理保護與自由流動指令（95/46/EC）》，該指令是歐盟區(qū)域內(nèi)個人信息保護的基礎性立法。2012年1月25日，歐盟委員會發(fā)布了《有關“95年個人數(shù)據(jù)保護指令”的立法建議》，對1995年數(shù)據(jù)保護指令著手進行全面修訂。

●繼續(xù)完善現(xiàn)有的個人信息保護立法框架體系

2011年3月29日，韓國頒布《個人信息保護法》，廢除了1999年《公共機關個人信息保護法》，新法適用范圍涵蓋公共與私人部門管理的所有個人數(shù)據(jù)信息；新加坡則在現(xiàn)有的公共機構個人信息保護法的基礎上，于2012年10月繼續(xù)補充出臺了針對私營機構的個人信息保護法。

3 個人信息法律保護國際法律現(xiàn)狀

我國近年來也加快了對個人信息保護方面的立法實踐。在我國的《刑法修正案（七）》、《侵權責任法》、《電子簽名法》、《居民身份證法（2011年修訂）》、《消費者權益保護法（2013年修訂）》和《關于加強網(wǎng)絡信息保護的決定》等法律法規(guī)中，都含有個人信息保護的規(guī)定。同時，國務院各部委還制定了一些關于個人信息保護內(nèi)容的部門規(guī)章，如工業(yè)和信息化部的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》、《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》，國家工商總局的《網(wǎng)絡交易管理辦法》等。此外，不少地方基于本地實際情況還出臺了相關地方性法律條例，如《深圳經(jīng)濟特區(qū)互聯(lián)網(wǎng)信息服務安全條例》。

4 移動互聯(lián)網(wǎng)時代個人信息法律保護的困境

（1）個人信息的法律邊界不明

●個人信息的外延邊界不明。在國內(nèi)現(xiàn)行的法律法規(guī)中，并沒有法律對個人信息進行明確界定。

●個人信息的區(qū)分邊界不明。在我國個人信息的法律保護的現(xiàn)狀中，并沒有對個人信息和個人隱私進行明確區(qū)分，不利于對二者進行區(qū)分保護。

●個人信息的權利邊界不明。在移動互聯(lián)網(wǎng)時代，用戶使用網(wǎng)絡時不可避免地會將個人信息的占有權轉(zhuǎn)移給服務商，經(jīng)過多重交易以及多個第三方渠道的介入，難以厘定個人信息的權利邊界。而市場還沒有形成良好的自律氛圍，亂象較多，沒有形成固有的管理模式。從目前來看，基礎電信業(yè)務形態(tài)比較單純，用戶個人信息管理相對規(guī)范。

綜合考慮，電信和互聯(lián)網(wǎng)服務中用戶個人信息的屬性和類型特征來看，將電信網(wǎng)和互聯(lián)網(wǎng)服務個人信息分為用戶身份和鑒權信息、用戶數(shù)據(jù)服務內(nèi)容信息、用戶服務相關信息三大類。前不久，國家頒發(fā)各運營商私人手機號碼實名制的相關條例，這其實也是一種對個人信息安全的保護措施。其大大限制了某些不良企業(yè)以及非法集團散布的不良信息的流通以及保護手機號碼法人的合法權益與個人信息的管理與保護，從根本遏制了電話短信詐騙陷阱的危害，保護了個人權益。而互聯(lián)網(wǎng)等電信增值業(yè)務形態(tài)趨于多樣化，個人信息保護問題也更加趨于嚴峻。信息發(fā)布平臺和遞送服務，信息社區(qū)服務以及信息及時交互服務正朝著多樣化發(fā)展，而以上3種問題也逐漸有著相通相融的趨勢，使監(jiān)管難度更加困難。

（2）個人信息保護法律體系不完善

盡管我國已制定了多部涉及個人信息保護的法律、法規(guī)以及條例，但同當前個人信息保護的現(xiàn)實需求還有差距。

一方面，個人信息保護領域的立法缺乏系統(tǒng)性。在我國現(xiàn)行的法律法規(guī)以及地方條例中，并未對個人信息保護進行綜合立法。2012年全國人大常委會出臺的《關于加強網(wǎng)絡信息保護的決定》仍舊只是規(guī)定了個人信息保護的基本原則。雖然中央也將個人數(shù)據(jù)保護法散落在《憲法》、《民法通則》、《刑法》等各項法律文獻中，但仍不是很健全與完善，成立頒布相關專門的法案法規(guī)已迫在眉睫。

另一方面，個人信息保護法律的操作性不強，需要配套的法律法規(guī)以及操作性強的實施細則。雖然個人信息保護已經(jīng)上升為政府的重點工作，但在頂層設計上如何細化分配，如何管理，是怎樣的思維模式還需要不斷的摸索。對于我國企業(yè)的企業(yè)自律也已逐漸的聚焦和細化，專門的用戶個人信息標準也已經(jīng)起步。但尚有數(shù)少數(shù)企業(yè)能夠達到自律標準，而大多企業(yè)則擔心會導致市場推廣不利而止步不前?？傮w來說，雖然完善的法律和政策不能完全杜絕用戶信息的泄漏，卻是支撐一切工作的基礎，而且并不能一蹴而就以逸待勞，而是一項長期的建設性與發(fā)展性工作。

（3）個人信息保護執(zhí)法機制滯后

首先，我國個人信息保護目前處于多部門監(jiān)管狀態(tài)，公安部、工業(yè)和信息化部、全國工商局、商務部、中國人民銀行、銀監(jiān)會、保監(jiān)會、證監(jiān)會等都負有個人信息監(jiān)管職責，多頭監(jiān)管容易使得監(jiān)管信息溝通不暢、監(jiān)管無序。

其次，執(zhí)法依賴事后監(jiān)管，缺少事前監(jiān)管相關企業(yè)、單位在個人信息安全保護方面的制度構建以及執(zhí)行情況，難以從根本上杜絕和防范非法使用的行為。雖然許多企業(yè)邀請第三方對客戶的信息安全進行全方位監(jiān)管，但據(jù)了解第三方的檢測仍存在著不小的隱患。首先第三方的監(jiān)控雖然不受市場與企業(yè)的制約，但并未達到完全的公正，其評價標準也未完全公開，讓人們很難判斷其真實性。其次，有不少的第三方與其監(jiān)管企業(yè)有著直接或間接的關聯(lián)，導致存在虛假聲明的行為，誤導消費者與廣大人民。最后，缺乏企業(yè)個人信息泄露問責機制，相關處罰只對個人不對企業(yè)，不能真正起到警示作用。

5 移動互聯(lián)網(wǎng)時代個人信息法律保護的路徑

（1）明確個人信息的法律邊界

明確個人信息的外延邊界。從范圍上看，個人信息指的是能夠識別某個特定自然人身份的信息以及需要集合起來才能推斷出特定某個人身份的信息。明確個人信息的區(qū)分邊界。要明確區(qū)分個人信息與個人隱私，前者須具備身份識別性，而后者通常是指公民個人生活中不愿向他人公開或為他人知悉的秘密。在明確區(qū)分的基礎上，區(qū)別對待，嚴格保密嚴禁搜集的個人隱私，防止濫用個人信息。明確個人信息的權利邊界，應當在相關法律法規(guī)中明確用戶的個人信息屬于私人資產(chǎn)，相關企業(yè)不得擅自使用。

（2）完善個人信息保護的立法體系

在現(xiàn)有國家和地方個人信息保護立法實踐的基礎上制定個人信息保護的專門法，厘定移動互聯(lián)網(wǎng)時代個人信息保護的基本原則和規(guī)則，對企業(yè)如何保護收集來的個人信息做出明確規(guī)定，明確個人的信息數(shù)據(jù)準入權、刪除權、修改權、救濟權等內(nèi)容，完善個人信息違法行為的責任體系。完善與個人信息保護相關的法律法規(guī)，針對垃圾電子郵件、手機垃圾短信等與個人信息保護密切相關的問題制定法律法規(guī)，為移動互聯(lián)網(wǎng)時代個人信息的法律保護提供多角度、全方位的立法支撐。完善個人信息安全相關法律的實施細則，細化個人信息保護相關法律的基本規(guī)定，提高個人信息法律保護的可操作性。

（3）完善對個人信息保護方面的監(jiān)管手段，優(yōu)化個人信息保護的執(zhí)法機制，設立個人信息監(jiān)督管理機構

為避免多頭監(jiān)管帶來的問題，可以設立跨部門的個人信息保護委員會，統(tǒng)籌規(guī)劃，專司其職。強化個人信息保護的事前監(jiān)管。對于監(jiān)管過程與實際操作的過程中，不能一概而論，需要審時度量，拒絕“一手抓，一鍋出”，試圖以同一方式解決所有問題。在監(jiān)管手段方面，可采取分散設點，嚴格分區(qū)，做到分工有別，相互依托，并與頂層銜接，形成一個完整的監(jiān)控體系。對于不同的區(qū)域以及信息需求程度分別對待，做到將監(jiān)管安排在事前，實現(xiàn)政府及有關部門的圍觀操控，對個人信息以及數(shù)據(jù)的安全實現(xiàn)真正的實時保護。同時也可以方便第一時間發(fā)現(xiàn)問題，做到“早排查，早解決”，將各種相關問題扼殺在萌芽之中。并且政府應主動推動與支持企業(yè)的自律行為，營造良好的企業(yè)與市場的和諧氛圍。對于企業(yè)自律給予幫助與獎勵。從而鼓勵更多的企業(yè)加入其中，從根本上解決個人信息泄漏的漏洞。同時也要組建與扶持外部監(jiān)控組織，嚴格對企業(yè)自律的行為做出公開公正的評價，使監(jiān)控過程透明化，更有說服力，保障企業(yè)在自律的過程中內(nèi)部的純潔性。在移動互聯(lián)網(wǎng)時代，一旦保護個人信息被泄露，其被非法使用可能帶來諸多無法彌補的危害和危險，保護個人信息不能只立足于事后查處，更應著眼于事前預防，從根本上預防非法使用個人信息的行為。建立企業(yè)個人信息泄露問責機制，加大對涉事企業(yè)的處罰力度，增強企業(yè)對用戶信息安全維護意識。

（4）對于當前已存在的重點突出問題采取緊急解決方案，對重點問題進行著重管理，以達到解決疑難問題的同時也對其它問題預先提供示范的先例以及警示作用

對于目前最突出的問題，無疑是安卓手機應用的泛濫與監(jiān)控的不成熟。首先，安卓市場用戶基數(shù)較大，應用商店較多，開發(fā)門檻也較低，雖然便于開發(fā)者的創(chuàng)新運營，但也有著許多的隱患與之共存。目前，安卓應用市場魚目混雜，有很多不法人員利用其平臺發(fā)布惡意軟件和手機病毒以套取用戶的個人信息及資費，導致消費者深受其害，卻又無可奈何。對此，各應用商店應自主對各應用軟件進行排查與審核，保持市場的純凈化，而政府也要加強對市場的監(jiān)管與督促能力，保障市場應用的安全。從頂層由上而下逐一管控，不放過任何可疑的弊端，維護廣大消費者的合法權益。而蘋果系統(tǒng)由于自主開發(fā)權限有一定的控制，暫時沒有如安卓市場般混亂，但仍有部分上述現(xiàn)象存在，對此各部門應對AppStore進行嚴格的審核與測試，對通過的應用進行代碼簽名，以證實此軟件安全、可控。同時利用政府的權威性，推出對安卓市場應用對于個人信息收集、采取以及調(diào)用方面的法律法規(guī)，對其數(shù)據(jù)收集等行為做出明確的度量，對于企業(yè)非授權收集，過度收集，擅自披露與轉(zhuǎn)移個人信息行為給予相應的處罰措施。劃清敏感信息與非敏感信息的界限，確保應用僅收集用于服務的必要信息以及對個人隱私信息的保密程度，使應用安全再無其他隱患。

（5）與其他國家聯(lián)合進行監(jiān)控

對于我國目前來說，個人信息保護的機制還處于建設的初級階段，所以應與其他對此相對進步的國家伸出友好之手，共同建立保障個人信息安全的合作協(xié)議以及平等、公正的評判標準。積極學習進步國家的發(fā)展優(yōu)勢，吸取其發(fā)展至今的經(jīng)驗教訓。使我國更快速地融入個人安全信息保護這個共贏圈中，為更多的人們提供安全良好的服務體驗。另外，積極培養(yǎng)人們對于電信與互聯(lián)網(wǎng)上的個人信息自我保護意識。

愛立信設備連接平臺助力Brighter電子醫(yī)療服務交付

愛立信日前宣布總部位于瑞典斯德哥爾摩的Brighter選擇愛立信設備連接平臺（DCP）作為其移動醫(yī)療解決方案的全球連通性管理平臺。Brighter將使用DCP標準化解決方案并將該平臺用于下一代BrighterOne的生命周期管理、控制和分布，BrighterOne是糖尿病治療聯(lián)網(wǎng)設備，結合了血糖測量和胰島素注射功能。

愛立信Cloud&IP業(yè)務部網(wǎng)絡功能產(chǎn)品線副總裁AndersOlin表示：“物聯(lián)網(wǎng)是愛立信一個關鍵競爭領域，我們看到了移動醫(yī)療領域的巨大潛力。在當今競爭激烈的ICT行業(yè)，運營商可從提供電子醫(yī)療服務、傳統(tǒng)的語音和數(shù)據(jù)服務中受益。此次合作將DCP與Brighter聯(lián)網(wǎng)產(chǎn)品結合，可為全球運營商創(chuàng)造新的增長機遇并為患者的健康帶來積極影響。”

ResearchonPersonal Information Protection Regulations in the Mobile Internet Era

In recent years, with the rapid development of mobile Internet business, the diversity of data information,technology, and the continuous change of personal information has been leaked and abuse of the situation has caused widespread attention at home and abroad. The purpose of this paper is to sort out the situation of data oriented personal information protection, and analyze the difficulties faced by personal information security protection and the protection of personal information in the mobile Internet era.

MobileInternet,personalin formation,protection regulation

2015-09-10）