论文部分内容阅读
当前社会,个人信息已成为一种重要的社会资源,同时也成为各方竞相争夺的战略资源,安全挑战日益严峻。随着云计算、物联网和移动互联网等新一代信息技术的飞速发展,大数据应用规模日趋扩大,在数据采集、存储、开放共享等均存在安全隐患,严重威胁个人信息安全,甚至关系到社会秩序和国家安全,亟需加强个人信息保护制度建设,全面提升全社会个人信息保护能力建设。
个人信息安全形势
数据作为一种新的生产要素,成为各方竞相争夺的重要战略资源,非法收集、披露和交易数据的行为屡见不鲜。一方面,网络运营者以“一揽子协议”强迫用户同意、隐秘收集、诱骗收集个人信息。2017年全国人大常委会的“一法一决定”执法检查“万人调查报告”显示:有49.6%的受访者曾遇到过度收集用户信息现象。许多受访者反映,当前免费应用程序普遍存在过度收集用户信息、侵犯个人隐私问题,但几乎没有受到任何监管和依法惩处。近年来,因App默认勾选、第三方数据采集等问题引发的纠纷频出。“菜鸟顺丰之争”“大众点评诉百度地图案”“支付宝年度账单事件”等更是将数据无序争夺等问题不断暴露在公众视野中。另一方面,受强大的经济利益驱动,违法犯罪分子大肆倒卖和披露公民个人信息,已逐渐形成庞大完整的地下黑色产业链,甚至出现了“第三方担保平台”,个人信息买卖的市场规模大到了需要细分配套产业的地步,侵犯公民个人信息犯罪日趋专业化、产业化。
随着国家大数据战略和“互联网 ”行动的加快实施,数字经济飞速发展,大数据应用规模日趋扩大,云计算、移动互联网、工业互联网等新兴领域汇聚了海量数据,万网互联下网络攻击正逐步向各类新型网络、业务系统及联网终端渗透,伴生性安全威胁和传统安全威胁交织呈现。APT等新型高级网络攻击持续挑战传统数据保护技术,并以存储海量数据的互联网数据中心、云平台和重要信息系统为主要攻击目标,造成大规模用户信息泄露事件接连发生。2017年发生的几起个人信息泄露案件数据规模甚至达到了十亿、百亿级,如涉及京东员工数据泄露案泄露数据50亿条,58同城被曝简历数据泄露,700元可采集全国简历信息,辽宁4·26特大公民信息泄露案泄露个人信息100亿条,雅虎30亿账户全部泄露。这些信息不仅数量多,内容也十分丰富,除了身份户籍等身份信息外,在生活中产生的各类信息,如名下资产、手机通话记录、支付宝账号、开房记录、航班记录、打车记录、“淘宝”送货地址等也被随意买卖,公民的生活轨迹被完全泄露。大数据时代的到来又给个人数据保护带来了更多新的难题与挑战,个人信息保护不足导致个人隐私、安宁、财产等权利受到侵害且在受到侵害后无救济渠道。
个人信息的泄露不仅造成用户数据在互联网平台非法交易,被窃取的公民个人信息经过加工、转卖,被大量用于网络诈骗、敲诈勒索、暴力追债以及滋扰型“软暴力”等违法犯罪,特别是为电信诈骗犯罪嫌疑人实施精准诈骗提供了更加便利的条件,严重威胁公众财产和人身安全,主要有以下几种形式:一是实施电信诈骗、网络诈骗等新型、非接触式犯罪;二是直接实施抢劫、敲诈勒索等严重暴力犯罪活动;三是实施非法商业竞争;四是以各类“调查公司”和“私家侦探”的名义调查婚姻、滋扰民众。
安全问题已是数字经济健康发展的最大威胁。一是数据安全问题失控,将会严重打击全社会对数字经济的信心。近些年,航空售票系统、医疗卫生系统个人信息系统由于遭受黑客攻击或由于内部管理不善,导致个人信息泄露事件发生,降低相关企业甚至行业的公信力,影响行业的健康和可持续发展。二是网络运营商间无序竞争引发激烈争端。数据成为各方竞相争夺的战略性资源,一些网络运营商不断在数据归属的争夺中“擦枪走火”,引发行业站队和激战,严重扰乱行业生态秩序。如华为和腾讯的“数据之争”、顺丰和菜鸟“数据断交”事件,此类争执最终通过协调和解等应急性措施解决,并未有统一的规则来“划线止争”,隐患依然存在。另外,一些企业肆意“倒卖数据”获得了竞争优势,形成“劣币驱逐良币”的恶性竞争状态,严重破坏行业发展生态。
国家间围绕数据占有和利用的博弈日趋激烈,数据窃取、滥用等问题日益突出,严重威胁网络安全乃至国家安全。一是美国等发达国家利用其掌握相关核心技术的优势,大量获取他国的敏感信息。棱镜门事件充分暴露出美国利用核心技术优势实施网络窃密的事实。二是针对关键信息基础设施的国家级有组织的网络攻击持续发生,对我国基础数据和海量用户信息的窃取,基于规模化个体信息的加工分析,可形成对国家安全的严重威胁。三是支撑网络的基础物理设施和技术规范被私营数据寡头掌控,拥有海量用户数据的数据寡头企业利用其技术支配力和市场垄断力,侵害用户合法权益。四是大规模数据跨境流动威胁国家安全,国外大型互联网企业对我国大数据资源搜集、跨境输出并深度挖掘,窃取国家重要敏感数据和海量用户信息,严重威胁我国国家安全。
国外个人信息保护制度基本情况
目前,世界范围内有关个人敏感信息保护主要有三种模式,即欧盟模式、美国模式和日本模式。
欧盟模式。在权利保护方面 ,欧盟采取人格权保护模式,将个人信息视作公民人格和人权的一部分,不仅停留在隐私权保护,而是上升到基本权利高度,按照一般人格权的保护路径进行严格保护,赋予用户个人知情权、查阅权、被遗忘权、删除权等一系列权利,严格规范网络运营者在信息收集、存储、适用、更改、流动、消灭等全生命周期的行为界限。
在立法模式方面,采用统一立法模式,即制定一个综合性的个人信息保护法来规范针对个人信息的行为,统一适用于公共部门和非公共部门,并设置一个综合监管部门集中监管。近年来,综合性法律不断完善,1995年通过《个人数据保护指令》,1997年通过《电信业隐私权指令》,2002年颁布了新的《电子隐私权指令》,2016年颁布《数据保护通用条例》,取代了1995年颁布的“数据保护指令”,2017年通过了《隐私与电子通信条例》。
美国模式。在权利保护方面,美国模式以隐私权保护为基础,并根据数据经济发展趋势和需要加以变通的方式,来调整用户个人和数据控制者、处理者之间的权利关系。如将隐私权的消极被动保护属性变为积极主动自决属性,由用户来决定是否个人信息是否可被利用;通过划分个人信息的重要等级予以动态性、区分式保护;利用宪法“法不禁止即自由”赋予网络运营商更广阔的发展空间。
在立法模式方面,采取分散立法和行业自律相结合的方式。在公共领域,美国以隐私权作为宪法和行政法的基础,通过单行法《隐私权法》为公权力机构个人信息要求制定统一规则,同时在各领域逐一立法规定其特殊要求。在私人领域,因无法统一立法,采取自律机制、通过行业自我约束实现对个人信息的保护,并根据个人信息的具體内容进行分业监管。
日本模式。日本同时借鉴了欧洲和美国的个人信息保护模式,以保障公民隐私权在内的人格权和财产权为核心,采用欧盟统一立法模式,通过《个人信息保护法》这部综合性立法,全方位规制政府部门、私营企业个人信息处理行为。同时,沿用美国实用主义立法经验,重视重点行业的特别立法、行业自律和社团参与等,从而形成独特的日本个人信息保护模式,有效平衡个人信息保护和信息的自由流动的关系。
尽管各国立法模式和路径各异,但在个人信息保护方面形成了国际上普遍认同、基本一致的保护原则,奠定了各国及国际组织个人信息立法的制度基础,主要有:一是公开性和透明性原则,即个人信息处理者应公开关于个人信息处理的一切政策、流程和措施,禁止个人信息被秘密地处理;二是限制性原则,包括个人信息必须被合法处理,收集个人信息坚持最少必要原则,个人信息的使用范围、保存期限和销毁应受到限制;三是数据质量原则,即信息控制者应确保个人信息准确、完整和适时更新;四是责任与安全原则,信息控制机构必须承担个人信息保护的主要责任,要将个人信息保护内化于其业务流程和技术设计中,同时采取必要的安全防范措施保护个人信息,防止数据丢失或未经授权的访问、销毁、使用、修改或泄露,并承担相应的责任;五是个人信息权利保护原则,充分保障信息主体的知情权、查询权、异议权与纠错权,甚至是可携带权等。
个人信息安全形势
数据作为一种新的生产要素,成为各方竞相争夺的重要战略资源,非法收集、披露和交易数据的行为屡见不鲜。一方面,网络运营者以“一揽子协议”强迫用户同意、隐秘收集、诱骗收集个人信息。2017年全国人大常委会的“一法一决定”执法检查“万人调查报告”显示:有49.6%的受访者曾遇到过度收集用户信息现象。许多受访者反映,当前免费应用程序普遍存在过度收集用户信息、侵犯个人隐私问题,但几乎没有受到任何监管和依法惩处。近年来,因App默认勾选、第三方数据采集等问题引发的纠纷频出。“菜鸟顺丰之争”“大众点评诉百度地图案”“支付宝年度账单事件”等更是将数据无序争夺等问题不断暴露在公众视野中。另一方面,受强大的经济利益驱动,违法犯罪分子大肆倒卖和披露公民个人信息,已逐渐形成庞大完整的地下黑色产业链,甚至出现了“第三方担保平台”,个人信息买卖的市场规模大到了需要细分配套产业的地步,侵犯公民个人信息犯罪日趋专业化、产业化。
随着国家大数据战略和“互联网 ”行动的加快实施,数字经济飞速发展,大数据应用规模日趋扩大,云计算、移动互联网、工业互联网等新兴领域汇聚了海量数据,万网互联下网络攻击正逐步向各类新型网络、业务系统及联网终端渗透,伴生性安全威胁和传统安全威胁交织呈现。APT等新型高级网络攻击持续挑战传统数据保护技术,并以存储海量数据的互联网数据中心、云平台和重要信息系统为主要攻击目标,造成大规模用户信息泄露事件接连发生。2017年发生的几起个人信息泄露案件数据规模甚至达到了十亿、百亿级,如涉及京东员工数据泄露案泄露数据50亿条,58同城被曝简历数据泄露,700元可采集全国简历信息,辽宁4·26特大公民信息泄露案泄露个人信息100亿条,雅虎30亿账户全部泄露。这些信息不仅数量多,内容也十分丰富,除了身份户籍等身份信息外,在生活中产生的各类信息,如名下资产、手机通话记录、支付宝账号、开房记录、航班记录、打车记录、“淘宝”送货地址等也被随意买卖,公民的生活轨迹被完全泄露。大数据时代的到来又给个人数据保护带来了更多新的难题与挑战,个人信息保护不足导致个人隐私、安宁、财产等权利受到侵害且在受到侵害后无救济渠道。
个人信息的泄露不仅造成用户数据在互联网平台非法交易,被窃取的公民个人信息经过加工、转卖,被大量用于网络诈骗、敲诈勒索、暴力追债以及滋扰型“软暴力”等违法犯罪,特别是为电信诈骗犯罪嫌疑人实施精准诈骗提供了更加便利的条件,严重威胁公众财产和人身安全,主要有以下几种形式:一是实施电信诈骗、网络诈骗等新型、非接触式犯罪;二是直接实施抢劫、敲诈勒索等严重暴力犯罪活动;三是实施非法商业竞争;四是以各类“调查公司”和“私家侦探”的名义调查婚姻、滋扰民众。
安全问题已是数字经济健康发展的最大威胁。一是数据安全问题失控,将会严重打击全社会对数字经济的信心。近些年,航空售票系统、医疗卫生系统个人信息系统由于遭受黑客攻击或由于内部管理不善,导致个人信息泄露事件发生,降低相关企业甚至行业的公信力,影响行业的健康和可持续发展。二是网络运营商间无序竞争引发激烈争端。数据成为各方竞相争夺的战略性资源,一些网络运营商不断在数据归属的争夺中“擦枪走火”,引发行业站队和激战,严重扰乱行业生态秩序。如华为和腾讯的“数据之争”、顺丰和菜鸟“数据断交”事件,此类争执最终通过协调和解等应急性措施解决,并未有统一的规则来“划线止争”,隐患依然存在。另外,一些企业肆意“倒卖数据”获得了竞争优势,形成“劣币驱逐良币”的恶性竞争状态,严重破坏行业发展生态。
国家间围绕数据占有和利用的博弈日趋激烈,数据窃取、滥用等问题日益突出,严重威胁网络安全乃至国家安全。一是美国等发达国家利用其掌握相关核心技术的优势,大量获取他国的敏感信息。棱镜门事件充分暴露出美国利用核心技术优势实施网络窃密的事实。二是针对关键信息基础设施的国家级有组织的网络攻击持续发生,对我国基础数据和海量用户信息的窃取,基于规模化个体信息的加工分析,可形成对国家安全的严重威胁。三是支撑网络的基础物理设施和技术规范被私营数据寡头掌控,拥有海量用户数据的数据寡头企业利用其技术支配力和市场垄断力,侵害用户合法权益。四是大规模数据跨境流动威胁国家安全,国外大型互联网企业对我国大数据资源搜集、跨境输出并深度挖掘,窃取国家重要敏感数据和海量用户信息,严重威胁我国国家安全。
国外个人信息保护制度基本情况
目前,世界范围内有关个人敏感信息保护主要有三种模式,即欧盟模式、美国模式和日本模式。
欧盟模式。在权利保护方面 ,欧盟采取人格权保护模式,将个人信息视作公民人格和人权的一部分,不仅停留在隐私权保护,而是上升到基本权利高度,按照一般人格权的保护路径进行严格保护,赋予用户个人知情权、查阅权、被遗忘权、删除权等一系列权利,严格规范网络运营者在信息收集、存储、适用、更改、流动、消灭等全生命周期的行为界限。
在立法模式方面,采用统一立法模式,即制定一个综合性的个人信息保护法来规范针对个人信息的行为,统一适用于公共部门和非公共部门,并设置一个综合监管部门集中监管。近年来,综合性法律不断完善,1995年通过《个人数据保护指令》,1997年通过《电信业隐私权指令》,2002年颁布了新的《电子隐私权指令》,2016年颁布《数据保护通用条例》,取代了1995年颁布的“数据保护指令”,2017年通过了《隐私与电子通信条例》。
美国模式。在权利保护方面,美国模式以隐私权保护为基础,并根据数据经济发展趋势和需要加以变通的方式,来调整用户个人和数据控制者、处理者之间的权利关系。如将隐私权的消极被动保护属性变为积极主动自决属性,由用户来决定是否个人信息是否可被利用;通过划分个人信息的重要等级予以动态性、区分式保护;利用宪法“法不禁止即自由”赋予网络运营商更广阔的发展空间。
在立法模式方面,采取分散立法和行业自律相结合的方式。在公共领域,美国以隐私权作为宪法和行政法的基础,通过单行法《隐私权法》为公权力机构个人信息要求制定统一规则,同时在各领域逐一立法规定其特殊要求。在私人领域,因无法统一立法,采取自律机制、通过行业自我约束实现对个人信息的保护,并根据个人信息的具體内容进行分业监管。
日本模式。日本同时借鉴了欧洲和美国的个人信息保护模式,以保障公民隐私权在内的人格权和财产权为核心,采用欧盟统一立法模式,通过《个人信息保护法》这部综合性立法,全方位规制政府部门、私营企业个人信息处理行为。同时,沿用美国实用主义立法经验,重视重点行业的特别立法、行业自律和社团参与等,从而形成独特的日本个人信息保护模式,有效平衡个人信息保护和信息的自由流动的关系。
尽管各国立法模式和路径各异,但在个人信息保护方面形成了国际上普遍认同、基本一致的保护原则,奠定了各国及国际组织个人信息立法的制度基础,主要有:一是公开性和透明性原则,即个人信息处理者应公开关于个人信息处理的一切政策、流程和措施,禁止个人信息被秘密地处理;二是限制性原则,包括个人信息必须被合法处理,收集个人信息坚持最少必要原则,个人信息的使用范围、保存期限和销毁应受到限制;三是数据质量原则,即信息控制者应确保个人信息准确、完整和适时更新;四是责任与安全原则,信息控制机构必须承担个人信息保护的主要责任,要将个人信息保护内化于其业务流程和技术设计中,同时采取必要的安全防范措施保护个人信息,防止数据丢失或未经授权的访问、销毁、使用、修改或泄露,并承担相应的责任;五是个人信息权利保护原则,充分保障信息主体的知情权、查询权、异议权与纠错权,甚至是可携带权等。