加強個人網絡信息的安全防御

【摘要】“互聯網+”時代的網絡安全法律體系建設，在強調互聯網秩序和安全基礎上，應當尤其重視網絡用戶對個人信息的自主性和可控性，重視個人信息權利的保障。無論公權力機關對公民身份信息的獲取，抑或一般用途的網絡用戶信息獲取，都應當符合合法、正當、必要的原則，從而避免過度采集對公民個人信息權利的侵害。

【關鍵詞】大數據  個人信息  網絡安全    【中圖分類號】D923    【文獻標識碼】A

2017年《網絡安全法》的頒布，結束了我國網絡安全法律體系基本法空白的局面。在這一背景下，加強個人的網絡信息安全防御，應對網絡安全和信息化發(fā)展的雙重挑戰(zhàn)，是國家網絡強國建設和全球互聯網治理體系建設的必然要求。

大數據時代的個人信息風險

首先，個人信息控制者的信息收集、使用存在風險。一方面，數據運營商的用戶信息采集未以明顯可識別的方式向用戶告知。2018年初，多平臺以年度總結形式發(fā)布的數據分析，就涉及用戶賬單支付信息、音樂偏好信息的采集是否被充分告知的問題。另一方面，社交平臺未提供賬號及賬號下數據信息的刪除途徑，也未提供必要且最少的信息保存時限。這些網絡數據一經網絡平臺發(fā)布，便難以獲得尋求救濟的機會。

其次，個人信息以轉賣等方式泄露。通過梳理最高檢發(fā)布的相關典型司法案例，公民個人信息的侵害主體涉及特殊主體和一般主體。個人信息泄露的主要方式包括：國家機關工作人員借助職務便利從公務系統(tǒng)獲取并轉賣個人信息；網絡經營者或服務行業(yè)經營者向他人泄露合法收集的用戶個人信息；以及一般主體通過植入惡意程序等黑客手段、或利用網絡平臺的技術漏洞非法獲取個人信息。近年來，對公民身份信息的非法交易屢禁不止，被交易的信息內容主要包括用戶登記和日常生活所涉身份、賬戶和活動信息，交易信息來源也涉及通訊社交、電子商務、快遞服務等行業(yè)，呈現出明顯的廣泛性。

最后，以非法獲取個人信息為手段實施關聯犯罪。隨著信息技術的高度發(fā)展，信息化程度不斷提高，對個人信息的竊取方式更加難以防范。網絡信息相關犯罪，涉及侵犯公民個人信息罪和其他關聯犯罪。數據信息的泄露，不僅可能侵害公民個人信息權、隱私權、被遺忘權等人格權和公民財產權，更直接或間接地對國家安全和社會公共安全產生侵害。尤其是涉及關鍵行業(yè)的數據信息時，法益侵害程度將更為嚴重，侵害范圍也更為廣泛。

大數據時代個人信息保護的新要求

第一，對網絡空間治理能力現代化提出挑戰(zhàn)。隨著全球互聯網治理體系的變革，信息安全和個人信息權保護也蘊含了新的時代內涵。近年來，各國陸續(xù)發(fā)布了統(tǒng)一數據保護法律規(guī)范和各領域相關法律。數據信息的跨地域特征決定了網絡安全治理的國際合作戰(zhàn)略，網絡空間治理，必然面臨被遺忘權與公眾知情權等各項權利之間的沖突。現階段公民數字信息的被遺忘權保護存在缺失，未成年人的個人信息權益也未受到充分保護。其個人信息的不適當暴露不僅可能造成難以恢復的人格權損害，涉及先前不良信息的部分更將對其正常回歸社會造成阻礙。

第二，對明確收集使用個人信息的程序和限度提出考驗。如何通過必要性和合比例性實現信息收集和適用的禁止過度原則，是網絡信息安全治理的重要問題。2012年通過了《關于加強網絡信息保護的決定》。該決定一方面加強了網絡空間治理，規(guī)定用戶應當提交真實身份信息的情形；另一方面從收集使用的目的、方式和所涉?zhèn)€人信息的范圍角度，明確了這一信息收集、使用的原則。但是，當前規(guī)制個人信息收集、使用的法律法規(guī)仍亟待完善，個人信息保護與信息數據的商業(yè)使用之間尚未實現合理的平衡。

第三，對完善個人信息權利受到侵犯的法律責任提出要求。當前侵犯公民個人信息權利的侵權成本不高，導致數據運營者缺乏網絡信息監(jiān)管審查的內在動力。充分健全和落實網絡信息安全相關的法律責任，能夠從監(jiān)管層面對網絡運營者形成倒逼機制，加強其網絡信息監(jiān)管能力，提高其數據信息保護意識，督促其提供必要保護措施和技術措施，履行數據信息管理和保護的義務。

完善個人信息保護體制機制，增強公民個人數據保護意識

第一，健全個人信息保護法律體系。完善并落實網絡安全中的個人信息安全法律規(guī)范，是實現網絡空間有序治理的必由之路。首先，我國應當完善與《網絡安全法》等相配套的具體規(guī)范。我國網絡空間治理是一個循序漸進的發(fā)展過程。2014年修訂的《消費者權益保護法》已經確認了消費者個人信息保護權，并對經營者設定了具體的法定義務。2017年實施的《網絡安全法》加大了個人信息保護的力度，并從立法上為個人信息作出了具體的闡釋。隨后，相繼頒行的《民法總則》和《信息安全技術個人信息安全規(guī)范》，強化了對個人信息的法律保護。其次，應當在現行法律體系的基礎上，加快推進《個人信息保護法》等個人信息保護專項立法。應當充分關注未成年人的合法權利，為弱勢群體的個人數據提供更為全面嚴格的法律保護。同時，可以探索設立被遺忘權和數據可攜權。

第二，優(yōu)化相關部門的監(jiān)督管理職責。首先，應當在公正與效率并重的目標模式下高效有序推進網絡空間治理?；谇趾€人信息安全的行為特征，充分運用部門聯動機制；鑒于網絡介質的特性和技術性要求，建議對重點治理環(huán)節(jié)的執(zhí)法監(jiān)管和證據收集加大經費投入，避免技術設備欠缺對其形成掣肘。其次，與隱私權相較，數據信息的專項權利保護路徑更加注重事前預防。對信息收集的事前告知義務加強審查，方能充分保障信息主體的知情同意權，并為是否隨意擴大信息收集范圍的判斷提供依據。當信息主體對信息收集范圍和方式存在質疑時，應當根據數據信息收集使用的目的和程度，依照比例原則對個案的正當性和必要性進行客觀考量，并說明理由。

第三，加強網絡運營方的網絡信息管理。首先，網絡運營者應當履行對用戶個人信息的保護義務。尤其對于直接顯示個人身份的網絡信息和可間接識別個人身份的網絡信息，應當履行法定的數據信息保護義務。其次，暢通個人信息安全的用戶反饋渠道，建立網絡安全應急報告制度。當用戶的個人信息安全遭受侵害時，應當提供公開的舉報投訴途徑；當網絡信息安全遭受第三方侵害的程度嚴重、影響范圍廣，應當及時向相關部門報告。被侵害人得以通過便捷途徑通知網絡運營商，也是“避風港”原則發(fā)揮實質作用的前提。網絡運營者應當從法治規(guī)范和信息技術的雙重路徑，對信息安全實行有效監(jiān)管，加強行為規(guī)范和矯治。

第四，發(fā)揮行業(yè)組織的行業(yè)自治機制。“互聯網+”時代的數據信息保護具有自身的復雜性。針對互聯網所涉?zhèn)€人信息的特殊問題，行業(yè)組織應當充分發(fā)揮對網絡信息安全建設的積極作用。包括中國互聯網協會發(fā)布的《中國互聯網行業(yè)自律公約》在內，行業(yè)協會和其他社會主體相繼出臺了相關行業(yè)規(guī)范，有力地推動了我國的網絡空間治理。行業(yè)的監(jiān)管和引導，有利于創(chuàng)造合法有序的信息化發(fā)展環(huán)境，規(guī)范數據信息的收集和使用，對于互聯網行業(yè)的發(fā)展意義重大。

第五，增強公民個人數據權利的保護意識。隨著身份信息識別技術的提升和網絡信息安全侵害手段的多樣化，公民個人對于釣魚詐騙類網站和信息缺乏充分的分辨意識，個人的信息風險防范能力明顯欠缺。面對要求收集使用身份信息和其他可識別信息的情形，個人信息的權利主體應當提高甄別防范能力。當個人信息權、隱私權和被遺忘權受到侵害時，及時向侵害方提出要求行使刪除、更正等相關法律權利。

（作者為吉林大學司法文明協同創(chuàng)新中心博士研究生）

【參考文獻】

①王利明：《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，《現代法學》，2013年第4期。

②張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，《中國法學》，2015年第3期。

責編/孫垚    美編/楊玲玲  史航（見習）

聲明：本文為人民論壇雜志社原創(chuàng)內容，任何單位或個人轉載請回復本微信號獲得授權，轉載時務必標明來源及作者，否則追究法律責任。