有限实名网络中个人信息监管的主体责任

2019-02-16 08:44李亚平周伟良
关键词:职能部门网民个人信息

李亚平,周伟良

(1.合肥工业大学 管理学院,安徽 合肥 230009;2.安徽行政学院,安徽 合肥 230059)

2002年,李希光教授提出“中国人大应该禁止任何人网上匿名”之后,网络实名制便受到了越来越广泛的关注和研究[1-2]。2006年,中科院院士胡启恒提出应从有限实名(即前台匿名,后台实名)的角度平衡个人隐私和公众、国家利益。这为网络实名制的推进提供了一个新的方向[3]。依据网络实名的程度可以将网络环境划分为匿名网络、有限实名网络和实名网络3种[4],有限实名是介于匿名与实名的中间状态。2012年,全国人大常委会通过的《关于加强网络信息保护的决定》(以下简称《决定》)中不仅包括接入实名,而且包括信息发布实名的要求[5],在实现方式上,《决定》同样包含了“前台匿名、后台实名”的“有限实名”方式。

有限实名网络区别于匿名网络和实名网络,既有匿名网络、实名网络的特征,又有其自身的特点,是兼顾网络言论自由和互联网监管的中间方案。然而,个人信息在有限实名网络环境的各个平台、应用程序中沉淀、累积,同样也面临较高的安全风险。由于有限实名网络在实现方式上与实名网络存在显著差异,其安全需求、实施难度与实名网络同样存在不同。本文从有限实名网络中个人信息的内涵和风险出发,研究个人信息保护在监管主体及其监管责任方面存在的问题,并在此基础上,重点分析有限实名网络个人信息监管的主体责任。

一、有限实名网络中的个人信息及其安全风险

有限实名网络的新特征赋予了个人信息新的内涵,同时也为沉淀其中的个人信息带来了新的信息安全风险。有限实名网络中的个人信息边界更为模糊,因此其面临的安全风险来源更为复杂,监管也更为困难。

(一)有限实名网络中个人信息的内涵

1.个人信息的界定

在欧盟,《欧盟指令》将个人信息界定为有关自然人的能被识别和可以识别的所有信息。《欧盟指令》将个人信息划分为可以直接识别和间接识别两大类,但究其核心主要是强调个人信息的可识别属性[6]。在美国,个人信息是指用来标识个人基本情况的资料。日本则使用“生活日志”的概念,将个人信息从静态的属性信息延伸到个人生活记录,例如网站浏览记录、电商网站的购买和支付记录、GPS位置信息等[7]。

2013年2月1日,我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)正式实施[8],它将个人信息界定为可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。同时,《指南》还将个人信息划分为个人敏感信息和个人一般信息两大类。其中,个人敏感信息是指“一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息”。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。

综上所述,个人信息有广义和狭义之分,狭义的个人信息更多强调的是与特定自然人相关的属性信息,广义的个人信息则是与自然人相关并能够被识别的所有信息,不仅包含相关自然人的属性信息,还包括其行为信息以及社会关系信息等。

2.有限实名网络中的个人信息

互联网环境下,个人信息主要以“个人电子数据”作为主要的存在形式。有限实名网络中“后台实名”的个人信息并非静态地存在于信息系统或应用程序中,也不仅仅局限于相关自然人的属性信息,有限实名网络中的个人信息具有显著的模糊性特征。

内容上的模糊性。有限实名网络个人信息的内容既包括姓名、电话、身份证、地址等明确的信息,也包括网络活动轨迹等模糊信息,其内容边界很难完整、准确地给予界定。

形式上的模糊性。有限实名网络中个人信息的存在形式既有文本、图片、音频、视频等,也有可能是数据库中隐性的相关关系,这些信息散落在有限实名网络的各个平台或应用程序中,通过数据挖掘等信息技术又能够形成一些有价值的知识,从而对个人信息显性化、个人的网络生活和社会生活产生影响。

权利归属的模糊性。个人信息既具有财产权利的基本特征[9],又具有权利归属的模糊特征。例如,通过数据挖掘技术获得的个人相关信息或统计类信息,其权力属于相关自然人或是相关的互联网企业,仍然存在一定的不确定性。同时,从另外一个角度看,个人信息在内容、形式及权利方面的模糊性也导致了个人信息保护在立法监管方面的模糊性。

(二)有限实名网络中个人信息的安全风险

1.个人信息安全风险的复杂性

首先,个人信息的过度采集。基于个人信息潜在或直接的商业价值,个人信息的过度采集已经成为网络环境中一个较为普遍的现象。有限网络环境中的个人信息过度采集主要表现为网络服务提供商超出所提供服务的业务需要,采集非必要或完全无关的个人信息的行为。例如,借助GPS定位技术,一些网络服务提供商开始过度采集用户的实时位置信息;一些电子商务企业或平台超出自身业务需求大量存储用户的银行账户信息;一些基于手机通讯录的即时通信软件通过“云”端采集用户的通讯录信息。此外,大数据时代,数据挖掘技术为个人信息的获取、分析、处理带来极大的便利,同时也使得个人信息在获取、存储、转移等各个环节都呈现新的特点[10]。而这些被过度采集、挖掘的个人信息,在一定程度上增加了个人信息安全风险,具有明显的隐蔽性。

其次,个人信息的滥用。目前,大数据及数据挖掘等相关信息技术,使得个人信息直接或潜在的商业价值不断凸显,这进一步刺激着互联网企业甚至硬件设备商、应用程序开发商等都对用户个人信息进行过度的收集和滥用[11]。有限实名网络中个人信息滥用主要表现为违规披露和违规“共享”两种情形,违规披露是指网络服务提供商在未获法律授权、未得到用户许可或者超出必要限度地披露他人的个人信息。违规共享是指网络服务提供商在未经法律授权或者用户许可的情况下,将所掌握的个人信息提供给其他机构。信息技术的发展以及互联网相关企业对个人信息的滥用进一步加剧了个人信息安全风险的复杂性。

第三,个人信息的泄露。随着有限实名网络的不断延伸以及信息技术的不断发展,个人信息泄露不断规模化,产生的危害也日益严重。中国互联网协会发布的《2016中国网民权益保护调查报告》显示,84%的网民曾经遭受过因个人信息泄露带来的不良影响,个人信息泄露的情形具有显著的普遍性。

从个人信息泄露的途径看,个人信息泄露的原因主要包括技术原因和非技术原因(人为因素)两种。一是技术原因,主要表现为计算机病毒(手机病毒)的传播在电子设备中获取个人信息,黑客利用系统漏洞等侵入计算机系统获取个人信息。二是人为因素,主要表现为互联网企业或企业内部人员有意或无意的泄露,其中既有商业因素驱动下的个人信息交易,也有企业管理漏洞导致的泄露。这使得个人信息安全风险产生更为严重的危害性。

2.个人信息侵害的隐蔽性

首先,技术手段的隐蔽性。信息技术手段的不断进步,使得个人信息的获取、存储和转移更为便利,同时也更为隐蔽。从获取的角度看,在系统存在漏洞的情况下,通过技术手段窃取个人信息具有较高的隐蔽性,即使事后察觉,也很难弥补已经发生的信息泄露和可能产生的危害。此外,通过数据挖掘技术获取更广泛的个人行为信息或统计信息等,则更为隐蔽,也更加难以防范。

其次,侵害主体的隐蔽性。技术手段的隐蔽性直接导致侵害主体的隐蔽性。随着技术门槛的不断降低,无论是黑客个人、互联网企业都可以借助相应的信息技术手段获取个人信息。这使得在个人信息泄露发生时,追踪锁定侵害主体存在较大的困难,这在一定程度上进一步刺激了个人信息窃取行为的发生,并使得监管和追责面临很大的障碍。

第三,交易行为的隐蔽性。与传统的交易行为不同,由于个人信息通常以“个人电子数据”的形式存在,通过网络渠道,这些“电子数据”能够非常便利地实现转移。个人信息的转移、交易通过社交平台、即时通讯软件、电子商务平台等,整个交易的过程从沟通、供货、支付都可以实现虚拟化和网络化,这使得目前个人信息的交易行为既隐蔽又十分迅速。

二、个人信息监管主体及其监管责任存在的问题

目前,针对网络个人信息监管的法律法规还相对滞后,关于个人信息的立法保护主要存在立法分散、立法滞后和立法空白等问题[12-13]。同时,有限实名中个人信息风险的新特征使得个人信息监管变得更为困难。针对个人信息的监管,既存在监管主体范围不明确,又存在监管主体责任边界不清晰的问题。

(一)监管主体的范围不明确

2017年实施的《网络安全法》,对保障我国网络安全及个人信息安全具有重要意义。作为一部保障网络安全的基本法,《网络安全法》对个人信息保护做出了原则性的规定,但并未对监管的主体进行界定,也未对监管主体的职责等进行明确。同时,相关学者对于监管主体的研究,通常更侧重于政府职能部门的行政监管。因此,在行政监管之外,对于网络个人信息保护的监管主体范围,还没有明确的界定,这无疑会进一步加剧有限实名网络环境下的个人信息安全风险。

《关于加强网络信息保护的决定》对网络个人信息保护的主体进行了界定,主要包括网络服务提供者、企事业单位、监管部门等,这对于界定个人信息保护的监管主体具有重要的借鉴意义。在此基础上,从使用控制的角度看,个人信息监管不仅涉及上述主体,同样涉及网民个人和其他访问者。因此,有限实名网络中针对个人信息的有效使用和保护,需要政府职能部门、互联网企业以及网民个人等相关权利主体协同配合,有效履行各自承担的责任。综上分析,有限实名网络个人信息保护的监管主体应主要包括政府职能部门、互联网企业、网民个人等。

(二)监管主体的责任边界不清晰

行政监管是网络个人信息监管的主要手段。有限实名网络环境中,对个人信息采集、存储、使用、保护等方面的监管同样离不开行政监管。目前,针对个人信息的行政监管的主体责任边界不清晰主要表现在两个方面:第一,虽然国内目前已经制定了一些关于互联网方面涉及个人信息保护的法律法规,但是这些法律法规十分分散,还没有形成完备的体系,这就在客观上导致互联网监管工作呈现多头管理、交叉管理或无人管理的尴尬局面。第二,源于行政资源的限制,目前还没有足够的行政资源参与涉及个人信息保护的监管中,同时由于网络技术的日新月异,监管什么、怎么监管都还存在诸多不确定性。

监管责任不清晰不仅仅局限于行政监管。从网络个人信息资源权益相关方的角度看,个人信息监管主要涉及政府职能部门、互联网企业和网民个人。从网络个人信息的生命周期看,主要包含采集、存储、使用、更新、销毁等环节。各权益相关方在个人信息生命周期的不同阶段,能够实现监管的有效程度存在较大差别。例如,网民个人参与的个人信息监管环节主要涉及采集和更新两个阶段,而对于存储、使用和销毁环节则很难起到监管作用。因此,有限实名网络中个人信息监管的主体责任边界不够清晰的情形仍普遍存在。

三、个人信息监管主体的监管责任分析

有限实名网络中的个人信息安全涉及互联网企业、网民个人以及政府职能部门等多个主体的权责义务。由于有限实名网络个人信息的复杂性以及法律法规的相对滞后,各主体之间的监管责任往往存在权责交叉、监管空白等问题,即有些问题多头管理,有些问题又没有明确的责任主体,这为有限实名网络中的个人信息保护和监管带来了诸多困难。进一步厘清各权利主体的权责义务,有利于推进个人信息更加有效的监管。

(一)政府职能部门的监管责任

1.完善个人信息保护立法的责任

目前,国内还没有针对个人信息保护的专项立法,在对互联网企业个人信息采集、存储、使用、销毁等环节的行为规范缺乏必要约束和责任追究。从国外个人信息安全保护的立法情况来看[14],德国早在1970年便颁布了《个人资料保护法》,随后,《联邦数据保护法》和《州数据保护法》陆续颁布。美国于1974年在参众两院通过《隐私权法》,并于1986年颁布了《电子通讯隐私法》;随着网络技术的不断应用,1998年颁布了针对互联网从业者的《有效保护隐私权的自律规范》。欧盟于1995年也颁布了《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》。日本于2003年颁布了《个人信息保护法》[15]。

作为一个互联网大国,中国在个人信息安全立法方面较为滞后,还缺乏对互联网个人信息有效保护的法律规范。结合国外个人信息立法的经验,中国未来在个人信息立法方面,应着重关注以下几个方面:一是面向互联网环境尤其是实名网络环境、有限实名网络环境的个人信息保护立法;二是面向个人信息采集、存储、使用、销毁全过程的个人信息立法;三是面向政府职能部门、互联网企业、互联网行业协会、网民个人多主体的个人信息立法。

2.完善互联网企业个人信息保护能力评估的责任

目前,互联网在个人信息使用和保护方面的权利和义务是不对等的。互联网企业通过提供一定的网络服务来(过度)采集个人信息的情形十分普遍。与此同时,互联网企业滥用个人信息或未能有效保护个人信息的情形同样普遍。政府职能部门对于互联网企业采集、存储、使用个人信息缺乏必要的安全能力评估和市场准入限制。在立法滞后的情况下,可以通过设计安全能力评估、诚信等级评估等对互联网企业的个人信息采集、存储、使用等行为进行规范。

通过对互联网企业个人信息保护能力评估,设计针对具有一定规模的互联网企业个人信息采集、存储、使用等行为的市场准入机制和市场退出机制。对不具备安全保护能力的互联网企业限制其采集个人信息的规模,或对其提出相应的整改要求,以提高互联网企业的个人信息保护能力。

3.构建动态巡查及信息安全预警平台的责任

网络环境下,个人信息的买卖或滥用,通常十分隐秘,如何发现个人信息安全风险是非常困难的。立法是基础,如何让各项法律、制度得以有效落实也是政府职能部门需要履行的重要责任。因此,需要建立动态的网络个人信息安全风险发现机制。这主要体现为主动巡查和接受举报两种渠道。

一是针对互联网企业的个人信息安全保护的动态巡查机制,加强对核心互联网企业尤其是实名社交网络平台、有限实名的社交网络平台的动态巡查,对其个人信息安全保护的制度、技术、人员管理等方面进行动态评估。二是建立畅通的个人信息安全预警平台,通过漏洞检测和接受网民举报等方式,及时发现互联网平台存在的信息安全漏洞和风险,发布个人信息安全预警,提高互联网平台应对个人信息安全风险的及时性。

4.完善个人信息安全事件的追责机制的责任

个人信息作为一种重要的资源受到政府职能部门、互联网企业以及非法使用者等各个方面的关注。在利益的驱动下,个人信息泄露、滥用、买卖等情形层出不穷。加强个人信息保护,需要对个人信息使用中的不法行为进行必要的追责,既要追究非法获取者、买卖者、使用者的责任,也要追究个人信息保护不力者的责任,而如何构建有效的个人信息安全事件追责机制,也是当下政府职能部门进行互联网管理的一项重要职责。

(二)互联网企业的内部监管责任

经营实名网络平台、有限实名网络平台的互联网企业是个人信息采集、存储、使用的关键主体,也是进行个人信息保护的关键环节。因此,从责权对等的角度看,互联网企业既要享受个人信息带来的利益,也需承担相应的个人信息保护的责任。

1.完善企业内部个人信息安全管理制度的责任

建立健全互联网企业的内部个人信息安全管理制度,是进行个人信息保护的前提和基础,是互联网企业进行自我行为规范的依据。参照《全国人大常委会关于加强网络信息保护的规定》,互联网企业应认识自身在个人信息保护方面的责任,进一步完善企业内部的个人信息管理制度。

互联网企业的个人信息安全管理制度应主要包括数据安全、密码与权限安全、网络设备安全以及操作人员安全等方面的管理制度,从基础设备层、数据层、业务层和管理层设计更为完善的个人信息安全管理制度。

2.完善企业个人信息技术保护手段的责任

针对来自企业外部、内部的个人信息安全风险,既需要制度保障,又需要必要的安全技术手段。互联网企业需要对采集到的个人信息履行安全保护的责任,因此需要不断完善企业在个人信息保护方面的技术投入。这主要包括加密技术的使用、访问控制权限的划分以及网络安全防护措施等。

在加密技术方面,要采用必要的加密措施加强个人关键信息的密文存储,即使个人信息被非法访问,也无法得到有价值的密文。在访问控制权限划分方面,企业对个人信息的使用并非面向企业内部所有人员,差异化的权限划分十分必要,这将有利于强化对个人信息安全的保护,降低个人信息在企业内部的滥用和泄露风险。在网络安全防护措施方面,要加强对防火墙技术、入侵检测技术、VPN等网络安全技术的应用,构建更加全面的安全防护体系。

3.企业人员安全保密的管理责任

制度的完善、技术的应用,落实关键在人。强化互联网企业内部操作人员的安全保密责任意识十分重要。相对于外部入侵的信息安全风险,内部人员安全风险更加难以防护。因此,加强企业人员的安全保密管理也是互联网企业履行个人信息安全保护的重要责任。

加强企业操作人员的安全保密管理,主要包括三方面内容:一是切实履行信息安全保密协议,通过签订个人信息安全保密协议,明确企业操作人员在个人信息安全保护方面的责任。二是强化企业操作人员在个人信息安全方面的技术培训,在提高其安全意识的同时,提高其操作的规范性。三是在权限划分方面切实履行最小化原则和数据库双人操作原则,尽量避免个人信息在企业内部的泄露。

4.接受政府职能部门、网民个人监督的责任

互联网企业在个人信息安全保护方面的措施以及对个人信息的使用需要接受政府职能部门和网民个人的监督。如何保障这样的监督具有可操作性,则需要互联网企业进行必要的信息公开。目前,互联网企业对于自身信息安全防护措施等信息的公开还处于空白阶段。此外,对于互联网企业采集、存储的个人信息,网民个人并没有相应的处置权利,因此,互联网企业还应面向网民个人开通畅通的个人信息维护渠道。

互联网企业的信息公开主要包括个人信息安全保护措施的公开和个人信息采集、使用规则以及个人信息安全事件的公开3个方面。个人信息维护渠道方面,网民个体应该享有维护存储在互联网平台的个人信息,其中包括申请删除、注销等权利。

(三)网民个人的监管责任

作为个人信息的关键权益方,网民个人却很难对网络平台的信息采集和信息使用享有相应的处置权利,使得网民个人的权益难以得到保障。一方面是网民自身信息安全意识还较为薄弱,另一方面是网民主张其利益的渠道还不畅通。但就个人信息保护而言,网民个人的监督对于提升互联网平台的个人信息安全水平至关重要。

1.提高自身个人信息安全意识的责任

网民个人需要进一步提升自身信息安全的意识,充分认识个人信息的价值以及个人信息泄露的不利影响。在获取网络服务的同时,对网络平台的个人信息采集进行必要的甄别,对缺乏信用体系认证和技术防护能力的网络平台、互联网企业予以关注。减少不必要的个人信息登记,强化个人密码管理,自觉维护自身信息安全。

网民个人的信息安全意识的提升应主要表现在以下方面:一是加强对个人信息保护相关法律法规的了解,在个人信息安全受到侵害时,能够更好地利用法律手段维护自身利益;二是加强个人信息的保密意识,减少不必要的个人信息登记、发布,加强自身网络平台的密码管理。

2.监督互联网企业个人信息管理行为的责任

目前,网民个人对互联网企业监管责任的体现还很不充分,究其原因,既有互联网企业信息安全措施和使用信息公开的空白,也有相关法律法规的滞后。在此情形下,网民个人维护自身信息安全利益仍然需要加强对互联网企业信息采集、使用行为的监督,并主要从个人信息维护和侵权行为举报、投诉两个方面展开。一是加强个人信息维护,网民个人要对存留在网络平台的个人信息及时地进行注销、清理;二是对互联网企业个人信息过度采集、个人信息滥用等现象进行举报和投诉。

3.监督政府职能部门个人信息保护措施的责任

加强互联网管理是政府职能部门的一项重要职能,强化对政府职能部门在追责方面的监督,是网民个人的权利,同样也是维护自身信息安全的责任。有效的监督,可以促使政府职能部门更加高效地履行各自在个人信息安全保护的职责。针对政府职能部门在个人信息保护方面立法、评估、巡查、追责等责任,网民个人的监督责任主要体现在提供建议、配合评估、积极举报等方面。一是要对政府职能部门的法律法规制定提供意见和建议;二是要对积极参与配合政府职能部门在互联网企业诚信、信息安全等级方面的评估;三是要对政府职能部门在追责过程中的行为进行必要的监督。

四、结语

对有限实名网络中的个人信息安全使用进行必要的监管是实现个人信息有序采集、合理使用、有效保护的重要手段。长久以来,由于相关法律法规的滞后,相关的监管工作存在诸多问题。强化对有限实名网络中个人信息的监管,需要对监管主体、监管权责进行划分和界定。

本文从政府职能部门、互联网企业、网民个人3个维度划分监管主体,并从这3个监管主体出发,研究分析不同主体的监管职责。首先,政府职能部门的监管职责应集中在完善立法、完善互联网企业个人信息保护能力评估、构建动态巡查及信息安全预警平台、完善个人信息安全事件的追责机制等方面。其次,互联网企业的监管职责应集中在完善安全管理制度、完善技术保护手段、人员安全保密管理等方面。第三,网民个人监管职责主要表现在监督政府职能部门和互联网企业,并提高自身的信息安全意识。

同时,由于互联网企业数量众多,规模差异大以及个人信息在存储、使用、销毁等环节各项操作的隐蔽性,政府职能部门、互联网企业及网民个人不可避免地出现监管不足的问题。因此,在未来的监管研究中,还应进一步研究引入诸如权威第三方等新的监管主体来填补监管环节上的盲区。

猜你喜欢
职能部门网民个人信息
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
警惕个人信息泄露
检察版(十)
网民低龄化 “小网虫”的明天谁来守护
有关公路,网民有话说
关于如何做好电力企业职能部门的员工绩效考核管理
基于“管理创造价值”理念下的职能部门绩效考核的几点思考
个人信息保护等6项通信行业标准征求意见
有感“网民节”