突发公共卫生事件中个人信息的保护

王晓牛

（华东政法大学 法律学院，上海 长宁区200050）

根据中国互联网络信息中心（CNNIC）发布的第44 次《中国互联网络发展状况统计报告》，截至2019 年6 月，我国网民总人数为8.54 亿，互联网总体普及率为61.2%。①然而，伴随高普及率的却是低安全感，人们一面享受着网络带来的极大便利，一面也在承受着巨大的安全风险。个人信息被誉为二十一世纪最富有价值的竞争资源，其对于个人具有社会交往价值，对企业等私主体具有商业价值，是预测未来经济发展的风向标。近年来个人信息安全问题屡见不鲜，在2020 年初新型冠状肺炎病毒疫情爆发之后，全国上下尽举国之力开展联防联控工作，个人信息在这场疫情防控战中发挥着举足轻重的作用。但是，随着各项工作的展开，个人信息泄露事件却频繁发生，被泄露的个人信息在网络公开传播，对被泄露者的个人生活、安全引发极大安全隐患。因此，2020 年2 月9 日中央网络安全和信息化委员会办公室公开发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》②提出了疫情防控工作中对于个人信息保护的明确要求。在此之前，我国已于2017 年正式施行《中华人民共和国网络安全法》（下称《网络安全法》），2019 年《中华人民共和国民法典（草案）》（下称《民法典（草案）》）将个人信息保护纳入“人格权编”进行具体规定，全国人大法工委亦表示我国将于2020 年制定《个人信息保护法》与《数据安全法》，我国个人信息保护进程正在不断向前推进。因此在突发公共安全卫生事件时，讨论个人信息保护面临的困境和解决路径，平衡个人信息保护与价值利用间的关系具有一定的理论基础与重要的现实意义。

一、突发公共卫生事件中个人信息保护面临的困境

《网络安全法》第七十六条对个人信息的含义进行了明确规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”根据其是否具有标识化特征可以将其分为一般信息与敏感信息。

（一）个人信息保护面临的技术威胁

1.外部恶意攻击

黑客攻击和各类病毒是目前个人信息泄露的主要源头。黑客攻击的常用手段有伪装攻击，探测攻击，嗅探攻击，欺骗攻击，Web 脚本攻击等。不法分子通过发送电子邮件，网络链接等手段搜寻用户手机、电脑等通讯设备上存在的漏洞，并经由该漏洞侵入用户的网络系统，窃取用户的个人信息。除此之外，互联网平台目前存储个人信息的主要方式是建立用户数据库，但数据库很容易因黑客利用第三方平台的安全漏洞侵入而被窃取，或者因黑客的撞库攻击而被破坏。除了黑客攻击，无处不在的网络病毒也是个人信息的一大安全隐患。这些病毒可能来自软件本身，也可能通过扫描二维码等外部方式感染，一旦病毒入侵，用户使用手机、电脑等进行购物、社交等活动时，其个人身份信息，银行卡支付信息等重要信息都极有可能被窃取。

2.网络搜索失范

网络搜索这项技术内嵌于几乎所有的网络应用当中，它除了能帮助我们答疑解惑，也隐藏着巨大的商机，一旦被滥用将会给个人信息带来巨大的安全风险。无论是日常生活中用户在百度、淘宝等软件首页被推荐的类似的信息，还是突发公共安全事件中用户通过一些平台搜索具有病毒感染者的小区、交通工具等信息，这些既是网络搜索带来的便利，亦是其埋下的隐患。公民的虚拟行为甚至是现实行为通过网络搜索技术都能被时刻“监视”。大数据时代下，这种“监视”更加隐蔽且更容易实现。有关部门利用第三方平台将搜集到的个人信息进行专项整合，从而在现实生活中锁定特定个体，对其现实行为进行披露追踪，这对于锁定感染者的行动路线具有重要作用，但在不法分子眼中，这也是“人肉搜索”的实现途径。在疫情面前人人对自身安全的担忧日甚，网络搜索失范将会给不法分子可乘之机，有关个人信息权利的归属、个人信息所有权、对个人信息开发利用的限度等问题将引起热烈的讨论，这对保护个人信息的主体、个人信息的范围以及保护的方式等问题的解决产生了深刻影响。［1］

（二）个人信息交易存在的市场风险

随着信息技术的飞速发展，商业重心由实体逐渐过渡为网络，电子商务的崛起对于多元数据的渴求以及社会各行业对个人信息的关注空前高涨。在这种复杂多元的市场环境下，个人信息的价值得到极大程度的肯定，信息成为市场竞争洪流中的“定海神针”。在公共卫生安全事件突发之时，虽然仅赋予特定主体采集个人信息的权利，但大多数网络平台具有采集个人信息的能力，在信息安全壁垒出现缺口，信息交易市场迎来严峻挑战的背景下，个人信息的采集、使用、交易各阶段面临着诸多问题，严重影响个人信息的正常合法交易。

1.信息非法收集

2018 年中国消费者协会对100 款APP 开展了隐私政策测评工作，结果显示，多达91 款App存在涉嫌过度收集或使用用户信息的问题。③对于任何网络平台，用户无论是登录其网站还是下载APP，在使用之前必须要填写相关个人信息注册登录，这是面向用户最原始的要求。以APP 为例，绝大多数平台所采用的都是传统的“知情-同意”架构，即在用户打开APP 后会跳出冗长的用户协议，其上规范了该平台所享有的权限和用户使用须知等内容。然而，这种协议表面上赋予用户知情权，实则并无实际意义，原因有三：其一协议内容冗长，外观设计迷惑，绝大多数用户不会真正研读协议内容；其二协议内容多涉及专业知识，如特定权限的种类，用户不解其意；其三多数协议采取“是或否”的方式供用户进行选择，这种方式虽然对平台来说效率最高、成本最低、风险最小，但实质为用户虚设了选择权。除此之外，用户在注册时亦有诸多限制，部分平台为用户设置强制填写选项，其中包括敏感信息，获取该信息的目的是否与经营有关缺乏现实的考察依据与标准。

2.信息滥用

我国法律尚未从正面规定个人信息作为一项权利的归属，但从普世价值观和相关制度设计的角度来看，个人信息从始至终由其个人所有。个人信息虽然在某些时候与公共利益、集体利益有关，但只有为个人信息提供充分的私权保护，才有利于从根本上保护公共利益，调动个人对其个人信息进行主动保护的积极性。［2］虽然相关部门规章和国家/行业标准对于网络平台在获取用户提供的个人信息后使用的规范进行了规定，但在突发公共卫生安全事件时如何妥善利用个人信息仍存在制度上的缺漏。一旦发生信息泄露事件，电商为维护企业声誉，可能会采取措施大事化小小事化了，而未从根本上解决症结所在。且部分企业因其内部管理机制不完善，平台管理易出现不规范和混乱，用户在生命健康面临威胁的同时，亦无法有效保障自身的个人信息权利。

3.信息非法交易

个人信息的商业价值中蕴含着巨大的商机，这种商机不仅体现在电商平台自身对信息的使用，还包括对信息的二次开发。在大数据的时代背景下，各类企业的商业模式纷纷转向以海量社会数据为核心。所谓“社会数据”，是指“关于公民活动、行为方式、兴趣爱好、与他人的关系等能够识别公民个体社会属性的数据”。［3］为了二次利用个人信息的价值，企业对社会数据进行分析研究，从而分析预测用户的行为规律、需求内容等。而获得多大的利益就意味着要承担多大的风险，用户的信息安全同时可能受到网络恶意程序的威胁，进而对用户的财产、人身甚至是整个网络环境造成破坏。2018年6 月“暗网”某用户兜售圆通快递10 亿条快递数据，其中包括寄收件人的姓名、电话、地址等信息；华住酒店集团旗下酒店5 亿条用户信息于2018 年8 月在“暗网”售卖。上述事件表明，个人信息在被窃取之后，经过信息交易黑色产业链多次倒卖，会使信息所有者的权利受到持续的损害，且这种损害是难以完全弥补的。

（三）个人信息关联的法律问题

1.个人信息权法律属性不明

王泽鉴在《民法总则》中提到，“当某种法益在现实生活中具有相当程度的重要性时，或直接经由立法，或间接经由判例学说被赋予法律效力，使其成为权利”。［4］大数据时代个人信息的人身价值和财产价值都得到了充分肯定。我国在2017 年10 月1 日起施行的《民法总则》第一百一十一条中首次从民事基本法层面提出了“个人信息权”，并确立其法律地位及性质。但遗憾的是，该条文并未明确界定个人信息的法律内涵。而后《网络安全法》以列举式的方法规定了个人信息的完整法律内涵，但关于个人信息权的法律属性仍有争议。2019 年《民法典（草案）》亦未进行进一步的明确，虽然其将个人信息保护纳入到民事权利中的人格权编中，但不可否认的是，个人信息仍具有明显的财产权特性，它通常固定于特定形式的信息载体形成信息资料，这些信息资料可以反复运用于商业活动中，具有丰富的经济价值。学界有一种混合学说，认为个人信息权天然具有人身与财产的混合属性，不能单纯地将个人信息权归为人格权或财产权。

个人信息的财产属性是基于人身属性产生的，个人信息附属于个人而存在，个人对其信息所享有的权利应当包括所有权和使用权，且有权从合法的个人信息交易中获取利益，并着力打击非法信息交易。此时，针对海量个人信息，他人是否有权对其进行处理加工并利用加工后的成果获取利益陷入个人信息保护的价值困境。一方面为了维护个人人格尊严，符合其人身权属性，他人理应无权利用个人信息，但个人仅凭个体的信息很难获利；另一方面为了实现信息自由，最大化发挥个人信息的财产价值，需要专门的信息利用者进行开发，他们在信息处理过程中付出了自己的劳动，理应获得相应的报酬，但这样势必会在一定程度上损害个人对其信息享有的财产权。为了明确认定并制止侵害个人信息的行为，应在立法过程中将行为内容以法律条文的形式明确规定下来。［5］因此在今后个人信息专门立法活动中，立法者应明确个人信息权的法律属性，坚持实现信息自由以维护人格尊严为前提，从而实现信息主体与利用者之间的利益共赢，充分发挥个人信息的法益价值。

2.现有相关法律体系不完善

在我国，个人信息保护在法律法规、部门规章、司法解释以及国家/行业标准当中都有所体现，包括《民法典（草案）》《民法总则》《刑法修正案（九）》《网络安全法》《APP 违法违规收集使用个人信息行为认定办法》《信息安全技术个人信息安全规范》（下称《个人信息安全规范》）等等。但是这些规定覆盖面较窄，效力层级不高、处罚不具体，阐述不清晰，范围受局限，内容不集中，适用不明确，尚未形成统一的关于个人信息保护的基本法律体系，尤其是在公共安全卫生事件突发的情况下可操作性较差。

从立法内容上来看，许多法律条文规定的内容过于抽象，如《网络安全法》中涉及个人信息保护的大多为原则性的条款，数量较少，主要集中在第四章“网络信息安全”。部分法律规定之间且存在交叉重复，比如关于“个人信息必须依法取得”在《民法总则》《网络安全法》中都有提到，但是依据什么法律，违法取得后的处罚措施等都无具体规定，这样使得在实践中相关案件难以找到审判、执行的依据；再比如我国法律针对非法信息交易处罚的对象仅为信息出售者，但实际上，在这条交易产业链上，信息的购买者、加工者也负有一定的责任，需要相关法律进行约束。总体来看，我国法律对个人信息的保护控制大于自由，主要体现为以下四点：一是个人有权要求制止侵害其个人信息合法权益的行为。二是收集、使用个人信息的目的、方式和范围应当公开并获得信息所有者的同意。三是个人信息安全由信息收集者和处理者负责。四是信息收集者不得泄露、篡改、毁损他人信息，不得非法与他人交易，严格保密已经收集到的个人信息。

二、国外个人信息保护的相关经验

（一）美国——行业自律为主

关于个人信息保护问题，美国采用法律保护与行业自律相结合的模式，其中以行业自律为主，法律保护为辅。行业自律模式规范个人信息侵权行为的手段主要包括：行业自身网络隐私保护、行业指导、自律规范、实施网络隐私认证计划等。［6］在大数据的网络环境下，行业自律相较于法律保护有其特殊的优势。首先信息行业的专业人士相较于普通人更加了解该行业的具体情况，通过他们自发商讨所确定的规则比法律人士制定的法律规范更具有针对性。通过行业自律能够调和行业发展与信息保护之间的矛盾，有利于实现共赢，且“自律”意味着在问题发生前就进行防范，这种模式比事后惩罚补救要有效的多。在当今网络环境下，美国的个人信息保护的自律措施主要有以下两种：隐私保护认证标志和制定行业自律规范。［7］美国的行业自律组织通过对个人信息保护进行认证以实现行业自律，并利用行业间的良性竞争发挥自律规范的约束作用，典型代表有美国联邦贸易委员会和美国直销协会制定的行业自律规范。

（二）欧盟——统一立法与“数字遗忘权”

欧盟的个人信息保护模式相较于美国的“双管齐下”，更有“一枝独秀”之势，即统一立法模式。随着各种新型个人信息问题的出现，欧盟保护个人信息的立法活动也在与时俱进。2018 年欧盟出台《 通用数据保护条例》（GDPR），明确将个人数据保护列为公民基本权利，对个人数据的主体及其权利，包括知情权、访问权、更正权、可携权、删除权、限制处理权、反对权和自动化个人决策相关权利做出了明确的规定。除此之外，欧盟专门设置了监管个人信息保护工作的部门，用于及时应诉有关个人信息侵害案件，第一时间维护个人相关权益，防止因时间流逝造成难以弥补的损害。

除此之外，在欧盟的法律体系中还有一个重要的法律概念“数字遗忘权”。2012 年1 月欧盟公布《欧盟议会和欧盟理事会关于个人数据处理和自由流动的保护规则》的建议书，其中第十七条明确规定了“数字遗忘权”。数字遗忘权这一概念最早由维克托·迈耶—肖恩伯格于其著作《删除—数字时代里遗忘的美德》中提出。［8］关于数字遗忘权的含义各方学者各有所见，欧盟经过长时间的斟酌最终提出了关于数字遗忘权的工作定义，包括两个方面：“单个人在不违反自由表达情况下享有的要求他人从网站上删除其个人信息的权利；网站经营者必须从自己的服务器上立即删除侵权信息，同时尽最大努力删除第三方服务器上的侵权信息”。［9］欧盟致力于将数字遗忘权纳入其个人信息保护法当中，《GDPR》中明确规定了消费者有权获得自己数据的副本，要求企业删除其数据，知悉其数据被收集、处理、分析的过程。这充分体现出数字遗忘权的概念已经渗透到欧盟的法律体系当中并落入实践。我国法律中虽然没有明确“数字遗忘权”的概念，但《网络安全法》第四十三条在一定程度上体现出“数字遗忘权”的含义。虽然我国尚未出台《个人信息保护法》对个人信息进行专门保护，但在今后的立法活动中必将会把数字遗忘权作为一项独立的权利加以规定，这既是我国面对信息技术飞速发展带给个人信息保护的挑战的必然选择，也是大数据网络环境下保护个人信息安全准确的必然要求。

（三）日本——《个人信息保护法》

从“个人信息保护关联五法”到2017 年大幅修正后再次施行的《个人信息保护法》，近些年来日本在保护个人信息的立法道路上迎头前进，对于我国的专门立法工作具有很强的指导意义。该法为了同时满足信息有效利用与信息保护，规定了个人信息的基本理念、政府制定的基本方针以及其他保护措施等基本事项，并明确了信息处理业者的义务。与我国《网络安全法》不同，该法并未具体列举个人信息的具体内容，仅赋予其特定识别的特性。伴随着信息技术的发展，消费者和企业所面临的网络环境快速变化，《个人信息保护法》的出现在保护日本消费者的个人信息的同时，对于日本创新产业服务有十分积极的意义。

三、突发公共卫生事件中个人信息的保护路径

（一）个人信息保护的技术路径

身份认证作为防止个人信息泄露的技术关键，必须确保在身份认证环路中信息存储与运输的安全性，保证环路间各个节点的安全性和合法性。近年来，区块链技术受到广泛关注，其在数字货币领域风头正劲。“区块链”这一概念最早出现于2008 年“比特币之父”中本聪所著论文《比特币：一种点对点电子现金系统》中。2016 年我国工信部发布了《中国区块链技术和应用发展白皮书（2016）》，从狭义和广义两个角度对区块链进行了解释。从狭义来讲，区块链是一种链式数据结构，每个数据块都包含数据、时间戳、关联到上一个数据块的信息以及相应的可执行代码，各个数据块按照时间顺序进行连接。从广义来讲，区块链使用块链数据结构对数据进行验证和存储，通过分布式节点一致性算法对数据进行生成和更新，使用加密方法来保护数据传输和访问，并使用自动脚本代码组件。［10］总之，区块链本质上是一种去中心化的分布式数据库，允许各方就共享数据达成共识。将区块链应用于网络身份认证，是当今网络环境下保护个人信息的一种新思路。

区块链技术应用于网络身份认证主要有两个研究方向：一种是利用其去中心化的特性来处理已有的身份认证信息，另一种是基于区块链创建新的身份证书。

去中心化就是不需要传统的中心化的第三方服务器代理，通过点对点的直接交互来构建分布式节点之间的信任关系，所有节点是平等且独立的，即使其中某一节点损坏或信息丢失，也不会影响整个系统的正常运行，从而降低用户个人信息被窃听或泄露的风险。区块链的数据块取代了传统的第三方服务器，用户首先验证已经存在的身份证书，然后将该信息与区块链上的合法所有者一对一绑定，从而创建一个去中心化的数据库，实现网络身份与现实世界主体之间的对应关系。且基于区块链不可篡改的特性，一旦个人信息数据进入到区块链中便不可篡改，在某种程度上保证了个人信息的安全性。在使用区块链技术创建新的身份证书之后，用户掌握了个人信息的数据的所有权，用户个人可自由控制自己的数据信息，并能基于不同情况授予或废除对其信息的访问权，这在某种程度上保证了个人信息的个人性和私密性。

（二）个人信息保护的市场路径

1.建立专门的数据交易中心

个人信息巨大的商业价值毋庸置疑，我们在保护个人信息安全的同时，也应着手充分发挥其价值。面对信息交易黑色产业，国家在严厉打击的同时，也应反思其存在发展的内在原因。信息交易有利可图，与其将其置于“地下”，不如由国家出面，建立专门的信息交易中心，着力将其打造成合法信息交易中的“枢纽”，并在相关法律中明确其法律地位，使其受到保护和监管。这样有利于营造健康的信息交易市场环境，完善信息交易网络平台，推动互联网信息交易市场的健康发展，促进新兴产业升级从而推动整个大数据产业的发展。2014 年我国首个大数据交易平台“中关村数海大数据交易平台”宣布启动，主要服务为合法买卖数据，而后各地纷纷出现了信息交易机构，整体形势一片大好。接下来我国需要进一步推进各地的信息交易机构联结成线，通过专门的信息交易中心汇集成网，形成一个合理、安全、高效的信息交易管理系统。

2.构建个人信息风险管理机制

大数据时代我国相关法律虽赋予信息主体控制其个人信息的权利，但这种控制很难产生实际效果。个人与企业虽然是平等的民事主体，但无论从财力、人力还是对信息的掌控力，企业远胜于个人。因此应赋予企业强制性的义务，利用其实力对个人信息进行动态监管，构建以个人信息处理风险评估、安全保障措施为核心的风险管理机制。欧盟《GDPR》第三十五条规定，数据控制者面对可能发生的风险，在对数据进行处理之前应当进行风险评估。因此，国家或有关机构应首先制定出一套与风险等级对应的处理策略。在企业在对信息进行加工处理之前，先进行个人信息处理风险评估，根据评估的结果确定风险等级，并采取相应措施防范消除风险。除此之外，企业还应定期向社会公布个人信息处理风险评估报告，使社会公众充分了解个人信息处理过程中所涉及的相关风险，将选择权交给个人。作为该风险管理机制的另一大核心，企业有义务构建完善的个人信息安全保障措施。网络运营者为了保障信息安全，应采取与风险程度相对应的安全处理措施，包括定期测试、评估管理措施的有效性，个人信息加密与假名化，发生事故时及时修复数据可用性、可访问性等。

（三）个人信息保护的法律路径

1.制定个人信息保护法

我国目前对于个人信息的法律治理采用的是分散立法的模式，从根本法到各个部门法再到法律规范、规章制度，这种模式难以对个人信息保护的全局性、基础性问题作出规定，也不利于统筹监管和协作监管。因此立法部门应学习借鉴其他国家先进的立法保护经验，尽快出台个人信息保护专门法，形成统一规定的立法模式，以全面应对突发公共卫生事件中的个人信息安全问题。在制定个人信息保护专门法时，我们虽然要吸取国外先进的经验，但也不能照搬照抄，而应立足于促进对个人信息的利用的同时防止对个人信息的滥用，实现信息产业发展与个人信息保护的双赢。

个人信息保护专门法应在现有的法律规范的基础上进行整合、修改和补充，消除不同规范之间的矛盾和混乱，建立起统一规范的法律体系。根据我国其他法律在今后制定个人信息保护专门法律时，应弥补现行法中的不足，注意以下几点：首先，应该保证个人信息处理全过程公开透明，而不仅局限于事前收集信息这一步，这样可以让个人及时了解其在信息处理过程中的权利、即将面临的风险以及处理者将采用的安全保护措施。在信息交易的产业链中，不仅要保证信息主体与企业之间的联系，其中的协助者也应向信息主体披露信息处理状况，以便其能随时行使权利。其次，我国应区别普通信息与敏感信息，进行差异化保护。对于普通信息可以适当降低对信息处理者的要求，扩大无须信息主体明示同意的例外情形。对于严重影响信息主体人格尊严的敏感信息，则要严令禁止收集，即便符合法律规定的特殊情形，也要由信息主体自主选择愿意透漏的敏感信息。除此之外，敏感信息的处理过程要严格符合法律规范，处理之后进行利用时必须保证不能给信息主体造成困扰。最后，我国应明确规定个人信息被侵犯前的监督管理机制和被侵犯后的救济机制，明确规定违法者应该承担的具体法律责任。例如赋予诸如国家网信部门、行业组织相关监督管理职责，并联合新闻媒体、社会公益组织进行宣传，鼓励公民个人积极参与；公民因被侵犯个人信息遭受人身或其他严重精神损害的，确保投诉有门、协商有道，有权就损害事实提起民事诉讼、公益诉讼、行政诉讼，以维护其合法权益；对于侵害信息主体合法权益的，通过警告、没收违法所得、罚款、责令停业、吊销营业执照等行政处罚措施，以及承担有关民事、刑事责任等多种方式进行处罚。

2.综合运用部门法相关条文追究责任

我国部门法中对于公民个人信息的保护以刑法先行，以《刑法》第二百五十三条之一规定的“侵犯公民个人信息罪”追究责任，该罪的认定依据包括法律、行政法规、部门规章等，但目前有关公民个人信息保护的法律、行政法规、部门规章尚不健全，且相关规定内容偏原则化，这样一来有关部门在认定该罪时缺少准确的根据，给执法者留下较大的自由裁量空间，难免会影响该罪的认定。在突发公共卫生事件时处理个人信息时，应从民事、行政、刑事三个角度综合遵循相关法律规范，民事方面以《民法典（草案）》与《民法总则》为主，行政方面以《网络安全法》与《治安管理处罚法》为主，刑事方面以最新修订的《刑法》为主辅以相关司法解释。除此之外，针对突发公共卫生事件背景下的个人信息法律保护，还应广泛采纳《突发公共卫生事件条例》《传染病防治法》《医疗机构病历管理规定》等作为法律依据追究相关责任者的责任。

结 语

公共卫生安全事件的突发在给人们带来生命健康威胁的同时，伴随着的相关问题亦不容忽视。大数据时代个人信息具有巨大的人身价值和财产价值，牵动着整个经济社会的和谐稳定发展。但安全是发展的前提，发展是安全的保障。要充分发挥个人信息的价值，就必须致力于其安全保障。面对紧急情况，个人信息保护虽然在技术、市场和法律方面面临着一些困境，但在积极吸取国外先进经验的前提下，摆脱困境仍有解决之路径。一方面将区块链等新技术尽早应用于个人信息保护领域，实现“硬保护”，另一方面更应加快个人信息保护专门立法的进程，实现“软保护”，除此之外，营造一个安全稳定放心的信息产业市场也至关重要。此次疫情的发生虽然在许多方面给我国带来了新的挑战，但在国家、社会和每个公民的共同努力之下，疫情一定会尽快得以消除，个人信息也一定会得到更有效的保护。

注释：

①人民网：第44 次《中国互联网络发展状况统计报告》发布，来源：http://media.people.com.cn/n1/2019/0831/c40606-31329137.html，2020年1月5日访问。

②中共中央网络安全和信息化委员会办公室：《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，来源：http：//www.cac.gov.cn/2020-02/09/c_1582791585580220.htm，2020年2月10日访问。

③中国消费者协会：《100 款APP 个人信息收集与隐私政策测评》，来源：http：//www.legaldaily.com.cn/IT/content/2018-12/04/content_7710145.htm，2020年1月20日访问。