网络个人信息风险与保护策略研究

李亚平

摘要：互联网环境下，个人信息安全风险问题日益突出，个人信息保护面临着立法滞后、各方利益矛盾、技术更新迅速等多种困难。从网络个人信息保护面临的主要问题出发，研究个人信息侵害的隐蔽性以及个人信息监管的权力边界不清晰的问题，在此基础上，对安全风险的原因进行了分析，进而提出了网络个人信息保护的具体策略，这对于互联网环境下个人信息保护具有积极的意義。

关键词：个人信息；保护；互联网

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2018）08-0063-03

1引言

随着电子商务、社交网络的深度应用和不断延伸，个人信息作为一种重要的网络资源普遍存在于各个互联网平台中。由于个人信息具有的商业价值，使得个人信息面临的安全风险问题日益突出。2013年2月1日，国内首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》正式实施，《指南》将个人信息划分为个人敏感信息和个人一般信息两大类。其中个人敏感信息主要是指“一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息”。在国外的相关研究和实践中，《欧盟指令》将个人信息界定为：有关自然人的能被识别和可以识别的所有信息。在日本的个人信息保护中，则主要将个人信息从静态的属性信息延伸到个人生活记录。由此可见，个人信息有广义狭义之分，狭义的个人信息更多强调的是与特定自然人相关的属性信息，广义的个人信息则是与自然人相关并能够被识别的所有信息。即不仅包含自然人的属性信息，也包括其行为信息以及社会关系信息等。

针对个人信息保护的相关研究十分广泛。从立法保护的角度看，文献[3]提出政府应通过制定相应的救济措施，提高技术防范手段，保障公民的隐私权和言论自由权不受侵扰。文献[4]阐述了美国引入第三方安全检测机构和自律组织的经验，同时针对中国的国情，提出网民隐私权保护的重点是针对网络服务商的监管。从技术保护的角度看，文献[5]针对网民身份信息的保护提出了基于可信服务器的云存储架构，以实现数据存储和用户个人信息管理隔离。文献[6]、文献[7]分别研究了物联网和大数据环境下的网民个人隐私保护问题。从监管保护的角度看，文献[8]研究了有限实名网络中的个人信息保护，提出发挥政府职能部门和权威第三方监管作用的具体策略。文献[9]从政府监管的视角研究了大数据环境下个人信息保护。

在网络个人信息保护相关研究的基础上，本文重点从网络个人信息保护面临的主要问题出发，重点研究个人信息侵害的隐蔽性以及个人信息监管的权力边界不清晰的问题，在此基础上，从利益驱使、立法滞后、追责不力、诚信缺失等角度对个人安全风险的原因进行了分析，进而提出了网络个人信息保护的具体策略。

2网络个人信息保护面临的问题

互联网环境下，个人信息保护面临着立法滞后、各方利益矛盾、技术更新迅速等多种困难，相关研究进行了较为广泛和深入的分析。本文重点分析网络个人信息侵害的隐蔽性问题以及个人信息监管中的权力边界模糊性问题。

2.1个人信息侵害的隐蔽性

（1）技术手段的隐蔽性

随着信息技术手段的不断进步，对网民个人信息的采集、存储和转移更为便利，同时也更为隐蔽。从个人信息采集的角度看，在网络系统存在漏洞的情况下，通过技术手段窃取个人隐私信息具有较高的隐蔽性，即使事后察觉，也很难弥补已经发生的信息泄露和可能产生的危害。此外，通过数据挖掘等技术手段获取更广泛的个人行为信息等，则更加难以防范。

（2）侵害主体的隐蔽性

技术手段的隐蔽性，不可避免地带来侵害主体的隐蔽性问题。随着技术门槛不断降低，无论是个人或是企业都能够更为便利地借助相应的信息技术手段获取网民个人信息。这使得在个人信息泄露发生时，追踪侵害主体存在明显的困难。同时，由于侵害主体的隐蔽性，进一步刺激个人信息泄露风险的发生，并使得监管和追责面临很大的障碍。

（3）交易行为的隐蔽性

由于网民个人信息通常以“电子数据”的形式存在，这些“电子数据”通过网络渠道能够非常便利地被买卖和转移。通过社交平台、即时通讯软件、电子商务平台等，网民个人信息的转移、买卖的整个交易过程，从沟通、供货、支付都能够实现虚拟化和网络化，既隐蔽又十分迅速。

2.2个人信息监管的权力边界不清晰

（1）行业监管权利边界不清晰

互联网的快速发展，使得个人信息的立法保护相对滞后。在此情况下，行业协会的监管显得尤为重要。然而由于网络权力边界的不确定性以及个人信息资源边界的模糊性，使得行业协会的监管缺乏有效性和针对性。针对互联网企业在个人隐私信息采集、存储、使用、保护等方面行业监管还缺乏有效的评估能力、预警能力和追责能力。

（2）行政监管的权利边界不清晰

目前针对个人信息的行政监管主要存在两方面的问题。首先，面向互联网治理，国内已经制定了一些涉及个人信息保护的法律法规，然而，这些法律法规还很分散，这在一定程度上导致网民个人信息保护的监管工作呈现多头管理、交叉管理或无人管理的情形。其次，互联网的发展日新月异，现有的行政资源并不能够满足个人隐私信息保护全面监管的需要。

3个人信息安全风险的原因分析

3.1个人信息产生的利益驱使

随着网络应用的不断发展，网民个人信息作为一种重要的资源已经成为互联网企业追求经济利益的重要渠道。《中国网络空间安全发展报告（2015）》中同样认为，由于电子商务、电子支付、网络营销等网络应用的实际需要，网民个人隐私信息在也逐渐成为企业、商家和非法分子谋取经济利益的工具。因此，不难看出巨大的经济利益仍然是我国个人信息安全面临风险的直接原因。

3.2技术发展凸显的法律空白

电子商务、大数据、互联网+、社交网络等网络技术和网络应用的快速发展，使得个人信息保护在法律方面的欠缺日益突出。由于没有专门的个人信息保护法，目前国内对于个人隐私信息保护的法律法规仍旧分散在宪法、刑法、侵权责任法等各类法律法规中，并主要侧重于保护个人隐私、通信秘密等。虽然，国内对于互联网领域的法律法规、司法解释不断完善，包括最新公布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，但目前由于信息技术及其应用快速发展带来的个人信息保护的法律问题仍十分突出。

3.3监管漏洞导致的追责不力

近年来，关于互联网行业中个人信息保护类条例和规章制度得到了越来越多的重视。由于针对个人信息的使用和保护无法给予有效的监管，使得互联网平台在个人信息采集、存储、使用、保护中，仍然更多地处在自我约束的阶段。同时，由于追责力度不够，也使得相关规定难以得到落实。以此前工信部发布的《信息安全技术、公共及商用服务信息系统个人信息保护指南》为例，该《指南》在个人信息保护方面给出了很多建设性的操作方案，由于该《指南》并不是强制性标准，因此在个人隐私信息保护中对互联网企业约束作用仍然十分有限。

3.4诚信缺失引发的信息滥用

目前，我国企业每年因不诚信导致的经济损失高达6000亿元人民币，国内的个人诚信和企业诚信情况并不乐观。《中国城市信用状况监测评价报告2017》显示，诚信缺失问题在一定程度上已经成为制约我国经济社会持续有序健康稳定发展的顽症。互联网企业及其工作人员的诚信缺失问题，对网民个人信息保护带来显著的影响。首先，企业及其工作人员未能按照相关规定的要求，履行保护用户个人隐私信息的责任。其次，出于企业及其工作人员自身利益的诉求，过度采集个人隐私信息的情形仍然普遍存在。此外，出于商业利益滥用个人隐私信息，包括与其他企业共享网民个人信息，也为个人信息风险埋下隐患。

4互联网环境下个人信息保护策略

4.1加快個人信息保护的立法与追责

首先，建立健全法制。随着大数据时代的来临，个人隐私信息安全面临更加严峻的形势。因此，加快对个人隐私信息保护的立法已经势在必行，政府职能部门也正从建立健全法律法规、标准等多方面，加大网络个人隐私信息保护的力度。由于个人隐私信息作为一种重要的资源，其内涵十分广泛，边界也十分模糊，借鉴国外个人隐私信息保护的立法经验，制定专门的个人信息保护法是当前国内互联网健康发展的迫切需要。

其次，加大追责力度。对于个人隐私信息的保护，立法是前提，切实可行的追责才是关键。以《关于加强网络信息保护的决定》为例，《决定》虽然明确提出“任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息”，但对于违法组织对侵害个人隐私信息安全的行为应该承担什么样的责任，以及如何追责，有谁追责等还缺乏可操作的手段和具体要求，因此相应的法律法规也还面临着如何落到实处的困难。

4.2建立政府主导、行业协会主办的监管体系

做好个人隐私信息保护，加强政府部门的监管职能必不可少。对于互联网企业的监管还应该放到互联网的环境中去解决，借鉴上海对电商平台进行信用监管的网上监管模式，在个人隐私信息保护中，探索推进更加全面的“互联网+监管”模式，由政府主导、第三方参与的个人隐私信息保护监管体系，在互联网监管领域强化互联网企业以及第三方的监管力量。

针对如何构建监管体系，首先，应围绕核心的互联网企业建立覆盖不同领域的行业自律委员会或类似的第三方非政府机构，推进政府部门的监管职权进一步下放，政府职能部门重点关注于管好行业自律委员会和核心互联网企业，通过监管几个“点”实现监管整个“面”。其次，应建立政府职能部门与行业监管机构之间的信息共享，并进一步调动监管机构、组织和个人的监管积极性，从而打造新的网络监管方式。

4.3大力推进互联网企业信用体系建设

网络实名制通过推进网络信用的建设，但与此同时也增加了个人信息在各个网络平台的累积。国务院发布的《社会信用体系建设规划纲要（2014-2020年）》中提出，要逐步落实网络实名制、建立网络信用评价体系、建立涵盖互联网企业及上网个人的网络信用档案。因此，社会信用体系建设进入一个快速推进的阶段。

在此基础上，如何将个人信息保护与互联网企业的信用建设相结合，还应做好以下两方面工作。首先，将互联网企业在个人隐私信息采集、使用等方面管理制度的建设纳入企业信用评价体系，引导互联网企业进一步减少个人信息过度采集、非授权的滥用等行为。其次，规范第三方信用评价行为，提高其公信力。进一步建立政府主导、第三方参与的评价模式。同时，鉴于第三方信用评价的规范性和可行性成为信用体系建设的重要作用，对第三方信用评价机构同样应予以有效的监管。

4.4加强个人信息安全意识的提升

企业与个人的信息安全意识是个人信息安全的重要支撑。首先要普及实名网络环境个人隐私信息安全教育，目前，社会公众对个人信息法律法规的了解明显不足。因此，加强信息安全教育不只是提高企业、个人的信息安全意识，更重要的是在个人信息保护立法的同时，加强对相应的法律法规制度的宣传。其次，要加大对互联网企业组织信息安全培训的引导，引导互联网企业将个人信息安全保护纳入到企业与员工的保密协议中，提高互联网企业及其工作人员的信息安全意识。此外，还应加大信息安全专业人才的培养，通过引导企业甚至信息安全岗位，推动信息安全专业的人才培养，从而进一步促进社会各方面对信息安全的重视。

5小结

随着互联网应用的不断推进，个人信息安全问题日益突出。由于利益驱使、立法滞后、监管缺失、诚信不足一系列问题，导致在互联网环境中累积的个人隐私信息面临过度采集、泄露、商业滥用等风险。本文对当前互联网环境下的个人隐私信息安全风险凸显的主要问题进行分析，在此基础上，提出了加快个人隐私信息保护的立法与追责，建立政府主导、行业协会主办的监管体系，大力推进互联网企业信用体系建设，提升信息安全意识等具体建议。