虛實身份分離的個人信息保護新模式

陳全思

個人信息泄露直接導致電信詐騙、信息騷擾等諸多社會問題，已經受到公眾的廣泛關注。究其根源，主要在于個人信息獲取主體太多，信息采集行為無序。為從源頭保護公民個人信息，國家應建立個人身份信息集中管理制度，由集中管理者建立真實身份與虛擬身份相對應的編碼系統，使公民個人真實身份及聯系方式與服務提供者相分離，有效兼顧服務需求、信息安全需求和公共利益需求。

個人信息保護面臨的挑戰

信息采集主體眾多，采集行為缺少監管規范。目前進行個人信息采集儲存的主體分布廣泛、數量巨大，這些信息包括身份、 財產、交易、通信、位置等。不同采集主體的采集目的不同，安全保障能力也不同，但由于沒有針對性法律法規來規范個人信息采集的主體資格、技術能力和采集資質，當前個人信息采集具有相當的隨意性和無序性，個人信息安全風險持續增加。

個人信息使用流轉環節難以監管。個人信息被采集后即留存 在服務企業的服務器中，個人信息的使用、加工、處理過程均發生在企業內部，這一過程以及后續的信息流轉、交易情況難以監管，安全風險難以得到有效控制。對于用于交易的數據應如何進行脫敏和脫敏的程度也尚無法律規范，且隨著大數據計算分析能力的發展，經過脫敏的數據也可能被還原。

信息泄露造成的影響廣泛且持久。因為個人信息采集主體眾多，采集和傳播成本非常低，信息泄露問題極難防范和杜絕。一旦出現泄露，信息的傳播范圍和持續時間均難以控制。

建立真實身份與虛擬身份分離機制

建立真實身份集中采集中心，嚴格管控其它采集主體。鑒于個人信息保護面臨的諸多挑戰，為兼顧國家、公共安全和個人信息保護的需求，相關主管部門應建立全國統一的個人身份信息識別中心（以下簡稱識別中心），集中管理各類服務所需的身份信息。識別中心須建立最高等級的信息安全機制，采用設備身份驗證機制而非防火墻模式抵御外來攻擊。識別中心以外采集身份信息的主體須建立完善的信息安全保障機制，安全級別比照識別中心的要求。

服務提供者僅得到虛擬身份，無法獲知真實身份。無采集權的服務提供者需要獲取用戶身份信息的，應向識別中心提出備案申請，識別中心進行備案后為其分配一套編碼系統，不同申請者使用不同的編碼系統。用戶使用某服務前向識別中心發出申請，識別中心通過該服務專屬的編碼系統生成一個與用戶真實身份對應的虛擬身份，服務提供者僅可獲得這個虛擬的身份信息，并依法獲取用戶享受服務所需要提供的其它信息，如位置、財產、 偏好等。在個人信息侵權案件中，由于不法分子獲知了受害人的真實身份及真實活動，受害人往往會將行騙者和有權機關或者真實服務提供者混淆。若行騙者只知虛擬身份，其“可信性”就大幅下降，這能從根本上保障公民的個人信息安全。不同的編碼系統可以防止不法分子通過數據分析還原用戶的真實身份。

分離機制既能保障公共利益，也有利于建設國家信用機制。獲取真實身份信息的作用和意義主要體現在兩個方面：一是防范和打擊違法犯罪行為，二是記錄用戶的信用情況。發揮這兩方面的作用均不需要服務者了解用戶的真實身份。對于打擊違法犯罪行為，法院、公安、稅務等有權機關可以通過法律程序從識別中心調取用戶的身份數據，集中管理身份信息更便于有權機關的調查、取證、辦案等執法工作；對于信用記錄，服務提供者可以通過虛擬身份向識別中心反饋用戶的信用情況，通過數據分析，識別中心能夠超越傳統信用信息評價機制，更加全面而有效地進行個人信用評價，這對我國建設領先的信用機制十分有利。

虛實分離不影響服務提供，在技術上也可行。大多數服務只需要用戶注冊賬戶，僅在理財、租賃、交通等少數領域才有必要獲得用戶的真實身份，因此分離機制不會給現有服務業帶來很大負擔，不會影響真實身份信息以外的信息收集和分析。對于需要真實身份的服務，使用者和服務者也僅在首次注冊、上傳信用信息等少數情況下需要聯系識別中心，因此現有技術完全可以支持全國統一的個人身份信息識別中心的建設。

個人信息需要區別化管理

聯系電話可以由識別中心統一管理。聯系電話信息泄露是電信詐騙的最主要原因，被動防御效果并不理想，應將電話信息視同身份信息予以保護，從源頭切斷不法侵害的可能性。

聯系地址的精確性可以具體規定。除了聯系電話，通信或收貨地址也是公民重要的個人信息，地址信息泄露同樣有可能危害公民工作生活的安寧甚至是人身安全。但由于交通和物流等原因，地址信息不可能像電話信息一樣，以隱匿方式保護。為降低不法侵害的發生風險，法律可以對獲取地址信息進行具體規范， 例如收件人名稱應默認為虛擬身份的名稱，地址一般不得精確到門牌號，消費者地址的最長保存期限等。個人信息保護規范應與技術發展和社會需要相適應。