我国电信和互联网领域个人信息保护制度研究

李雅文　中国信息通信研究院政策与经济研究所工程师

1　引言

随着云计算、大数据和移动互联网等新技术新业务的应用和普及，个人信息保护在各行业各领域受到不同程度的冲击，日渐受到行业主管部门及行业内企业、组织的关注。电信和互联网行业由于其普遍性、承载性、移动性、连续性以及创新性等特征，在其用户个人信息保护中具有诸多特殊性。

2　电信和互联网行业的特殊性

总体来看，电信和互联网行业具有以下特征，导致其在个人信息保护领域的特殊性：一是普遍性，不论所处的时间、地点，几乎每个人都在使用电信和互联网服务，以便同外界保持联系，用户范围的普遍性使得电信和互联网服务几乎能够覆盖每个个体的信息；二是承载性，电信和互联网服务具有工具属性，在信息传输过程中的承载着海量的内容和信息，这使得电信和互联网信息服务能够获取超出服务范围的大量个人隐私；三是移动性、连续性，在移动互联的背景下，用户大量使用移动终端和即时通信应用软件，这使得电信和互联网能够持续、稳定的获取个人信息；四是创新性，互联网行业是新模式新业务创新的集中领域，从移动终端到共享经济、从云计算到大数据再到区块链技术，新兴技术及服务模式对个人信息保护提供新的挑战。由于电信和互联网行业的上述特征，使得电信和互联网信息服务提供者不同于金融、医疗等服务提供者，在个人信息保护方面面临严峻的挑战。

3　我国电信和互联网个人信息保护情况

3.1　电信和互联网领域个人信息保护的出发点及渊源

电信和互联网领域个人信息保护的出发点主要分为两类，一是从个人信息保护的角度出发，强调对用户个人信息的一般保护，保护范围较广，但程度适中，缺乏针对性；二是从通信秘密的角度出发，强调除侦查刑事犯罪、国家安全等目的外，不得对通信内容进行监听，保护范围集中，但程度较高，具有针对性。

在此基础上，电信和互联网领域个人信息保护的主要依据分为以下3个方面：一是个人信息保护领域的专门立法，针对个人信息保护的作出全面的规制，一般普遍适用于各行业，如美国1974年《隐私法》，欧盟《通用数据保护规则》（GDPR）；二是电信和互联网领域的专门立法，从促进行业内企业合法经营和行业竞争秩序角度，对电信和互联网用户的个人信息权益保护做出规定，如美国《1996年电信法》；三是电信和互联网领域个人信息保护的专门立法，有针对性的围绕该领域用户个人信息做出细化规定，如美国《电子通信隐法》、《有线通信隐私法》、欧盟e-Privacy指令以及我国《电信和互联网用户个人信息保护规定》（以下简称工信部令第24号）。其他依据还包括从消费者保护、发不正当竞争等角度对个人信息保护进行法律规则。近年来随着新技术新业务的不断发展和应用，各国开始针对特定通信服务个人信息保护进行专门立法，如法国《云计算数据保护指南》、韩国《云计算发展和用户保护法》以及欧盟《关于智能终端的APP的相关意见》《cookie指令》等。

我国电信和互联网领域的专门立法——《电信条例》中，没有涉及个人信息保护的相关内容，目前个人信息保护法律依据主要来自：一是个人信息保护相关立法，包括《网络安全法》《全国人大常委会关于加强个人信息保护的决定》《消费者保护法》《刑法修正案九》等，确立了普遍适用的个人信息保护的相关规定，内容包括个人信息的界定、个人信息保护原则、规则以及法律责任等；二是工信部令第24号对电信和互联网用户的个人信息保护作出专门规定。

总体来看，我国缺乏个人信息专门立法及电信行业立法中针对个人信息保护的专门规定，虽具有行业专门立法，但出台时间较早，立法层级较低，无法针对专门问题做出全面、有效的规制，另外，电信和互联网服务业务形态多、更新快，立法未及时对新业务新模式进行规制。

3.2　电信和互联网个人信息的范围

个人信息的界定在各国立法实践中存在差异，目前学界对于个人信息法律概念的界定中，大多将其表述为与特定个人相关联的、反映个体特征的、具有可识别性的信息，包括用户身份和鉴权信息、用户数据和服务内容信息以及用户服务相关信息3类。

总体来看，各国立法中的个人信息保护的范畴呈现以下趋势：一是电信和互联网领域的个人信息界定更加细化，如美国《通信法》针对用户专有网络信息（CPNI）、群体信息以及用户名单信息作出规定，专门明确用户数据和服务内容信息以及用户服务相关信息的个人信息属性；二是通过不同层级的多种立法形式予以界定，如美国通过立法、新加坡出台指南、欧盟EPrivacy指令等多种形式；三是聚焦特定业务中的个人信息，韩国《云计算发展与用户保护法》中对云计算用户信息作出专门规定；新加坡《个人数据保护法关键概念咨询指南》中对IP地址和IMEI码进行规定。

我国工信部24号令将电信和互联网用户个人信息界定为，电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。因此总体来看，用户身份和鉴权信息以及用户服务相关信息属于个人信息，而用户数据和服务内容信息，即电信和互联网服务过程中收集的具有用户隐私属性的数据和内容信息未予以明确，同时由通信设备和技术引入的IMEI码、IP地址以及Cookies等特殊信息是否属于个人信息保护的范畴也存在争议。

3.3　电信和互联网个人信息的义务主体

通常来看，电信和互联网领域的个人信息保护义务主体为电信服务提供商，主要围绕基础电信服务提供商。但随着互联网的逐渐渗透，VoIP业务模式逐渐发展成熟，使得个人保护的义务主体有所扩展。近年来，新模式、新业务不断诞生，云计算、大数据服务提供商由于掌握大量的个人信息，成为新的核心义务主体。同时，在产业融合的背景下，共享经济中的个人信息保护义务主体由于纳入第三方平台等多方主体，因此相关义务、责任有待进一步明确。

从国际立法趋势来看，最早仅规制电信服务提供商，如美国《通信法》规制转售电信服务提供商在内的电信服务提供商、设备制造商；随着业务拓展逐渐发展制VoIP服务提供商，如美国CPNI规则规定电信运营商和互联性VoIP提供商的相关义务；近年来互联网信息服务提供者也纳入监管范畴，如英国的《2003年隐私和电子通信规定》包括了电信服务提供者和互联网服务提供者；近年来，随着业务的不断扩展，APP和云计算服务提供商也纳入范畴，如韩国《云计算发展与用户保护法》、法国《云计算数据保护指南》等。

从我国立法情况来看，根据工信部令第24号，电信和互联网服务提供者特指电信业务经营者、互联网信息服务提供者。其中电信业务经营者指取得电信业务经营许可提供电信服务业务的主体；互联网信息服务业务是指获得经营性互联网信息服务业务许可或非经营性互联网信息服务备案，通过互联网向上网用户有偿提供信息或者网页制作等服务活动或无偿提供具有公开性、共享性信息的服务活动的主体。而随着信息通信技术不断发展和应用，针对云计算、大数据以及共享经济中的新业务新业态，也应当进一步明确其业务形态，对于属于电信和互联网服务的部分，应当作为相关业务予以监管，同时针对其用户的个人信息进行保护。

3.4　电信和互联网个人信息保护机制

电信和互联网个人信息保护机构可能包括个人信息保护的专门机构和电信行业主管部门。近年来，各国纷纷积极建立个人信息保护机制，而监管机构是其中的核心要素之一，目前全球已有超过100个国家设立或指定了个人信息保护专门机构，对个人信息保护进行专门监管。与此同时，许多违反个人信息保护义务的行为，如非法收集、处理、泄露个人信息，涉及到未尽到信息安全管理义务等不正当经营行为，因此，电信和互联网行业的主管部门，从维护用户权益和产业竞争秩序的角度出发，当然有权对电信和互联网企业侵犯个人信息权益的行为进行监管并予以处罚。此外，除行政监管手段外，电信和互联网领域的相关行业组织、企业、用户自身以及司法机关，也在个人信息保护机制中发挥积极作用。

目前，我国个人信息保护仍以行政责任为主导，但目前尚未设立或指定个人信息保护专门机构，而电信互联网行业主管部门在内的相关主管部门之间存在个人信息保护方面的职权划分和衔接不明，需要进一步界定，在执法方面存在执法力度弱、行业组织尚未形成有效的自律机制、企业内部管控机制良莠不齐、用户自助救济机制有待建立等多方面的问题。

3.5　我国电信和互联网个人信息保护总体情况

因此，总体来看，我国电信和互联网个人信息保护机制较为薄弱，在立法层面，缺乏专门立法层级较低、缺乏对细化规定、可操作性不强、未对新兴业态进行跟进；保护机制层面，以政府监管为主、但执法力度不强，行业组织、企业、用户参与度不高，尚未形成多维度的保护机制。

4　我国电信和互联网个人信息保护的建议

未来我国电信和互联网用户个人信息保护应当在进一步细化立法的基础上，努力形成政府主导、行业参与、多方配合的保护机制。在政府层面，通过立法出台、政策制定、标准发布来明确电信和互联网用户个人信息保护的制度框架，为监管机构提供执法依据、为用户提供救济手段，同时加强相关立法的落实力度。在政府主导下，由行业层面多方配合，各主体在互动中形成规则、统筹推进、协同监管、分担责任；同时，企业、行业组织、用户通过行业自律、落实执行、监督问责等方式予以配合、形成合力。

4.1　立法层面

一是出台个人信息保护专门立法，提升电信和互联网用户个人信息保护立法层级，避免因立法层级限制执法力度；二是细化个人信息保护相关具体规定，满足规制和指导需求，进一步明确电信和互联网个人信息保护的范畴以及信息保护的权利义务，为各方落实相关义务提供指引，使相关规范更具可操作性；三是保持对新技术新业务的追踪研究，在充分平衡产业发展、市场安全和用户保护的基础上，对新技术、新业务中的新增主体及其义务进行规制，将其纳入监管框架；四是除立法外，鼓励行业协会及相关组织制定相关标准以及指南，以满足不同的指引和规范需求。

4.2　执法层面

一是加强个人信息保护执法力度，加强行政执法机关的执法力度，建立、完善监督检查和纠纷解决机制，降低执法和监管过程中的任意性和不确定性，充分落实现有立法的制度规定，二是设立或指定个人信息保护专门机构，明确与其他有关部门的职能划分，形成个人信息主管机构和行业主管部门协作机制，发挥行业主管部门在个人信息保护机制中的作用。

4.3　多方治理机制层面

一是充分发挥电信和互联网领域行业协会的积极作用，结合技术特征和应用发展，制定有针对性的行业自律规范，为电信和互联网企业提供指引，形成行业自律机制。二是促进隐私保护认证机制及第三方评估机制的建立，针对电信和互联网企业的个人信息保护机制建设和具体措施进行评估认证，引导、督促企业完善其内部机制和能力建设。三是加强企业内自律，要求企业充分落实相关义务，建立完善其内部隐私保护机制建设，加强人员权限管理，建立个人信息全流程监督机制，完善隐私管理制度和操作细则、规范和流程，建立风控、预警以及应急机制，并对隐私日志进行留存。

4.4　用户权益维护和救济层面

一是在服务中为用户提供更多主动权，包括服务前的个人信息收集、使用的选择权、服务中的个人信息查询权、修改权以及服务终结后的删除权、携带权等；二是建立多方投诉举报制度，建立、完善用户向企业、行业组织、第三方隐私保护机构以及监管部门进行投诉举报的机制及处理机制，保障个人信息侵权能够及时发现；三是降低司法救济难度，适度调整隐私侵权纠纷中的证明标准和举证责任分配，保障用户能够以较低的成本通过司法途径维护其权益。