關于大數據時代個人隱私信息保護的建議

于廣輝　張羽種

隨著網絡時代的發展，個人信息被記載在各種平臺的數據庫中，隨時面臨被泄露的風險。非法獲取公民個人信息主要有兩個來源：一是黑客入侵網站非法獲取；二是各行各業的內幕人員泄露信息。侵犯公民個人信息的犯罪已經形成了從非法收集、提供竊取、交易到交換等各個環節完整的利益鏈。目前，國內尚未制定個人信息保護法，因此針對個人信息外泄的處理也比較困難。我們與市經信委信息中心高級工程師王曉萍、市經信委政策法規處的蔡朋朋以及信息化推進處的劉迎風經過認真調研后，發現以下問題：

一是對企業采集個人信息的行為尚未形成完善的監管體系。隨著信息化社會的飛速發展，越來越多的平臺及企業建立了信息化系統。市民每天在上網過程中，都會面臨被采集數據的問題。譬如有很多企業要求用戶提供身份證掃描件或復印件電子版，有些企業要求用戶填寫個人姓名、家庭地址、電話號碼等種種信息。用戶有時無法拒絕數據的采集，目前相關部門對這些行為也沒有完善的監管體系，完全依靠企業的自律。

二是對于個人信息的采集、使用及企業應承擔的責任尚未出臺明確規定。有時候企業采集數據只是一次性使用，但是跟紙質年代不同，紙質資料只需碎紙機就可以粉碎，信息化時代的信息復制和傳播卻很容易，管理起來也就難。企業采集完數據后如何使用數據以及企業應該承擔的責任在現有的法律規定中難以找到對應的條例。

三是政府對于個人信息采集企業缺乏相關安全規范要求。對于政府類的信息系統和網站，有安全等級保護制度的要求，對于安全漏洞有定期檢查及提醒機制。但是非政府類的網站及系統，譬如企業，也采集了很多個人信息數據，對于他們的安全規范，沒有任何要求，只能寄希望于企業自律。但實際上很多企業未必有能力或費用來確保系統安全。

針對上述問題，我們提出以下建議：

一是企業采集個人數據應納入備案管理。為了避免企業濫用權力采集個人信息，政府應加強監管，對企業采集個人數據進行備案管理，特別是針對采集身份證照片或掃描件信息的企業行為。對未提供備案證明并要求采集用戶信息的企業，用戶可以投訴或舉報。

二是推廣第三方平臺提供用戶身份驗證機制。企業采集個人信息，很大程度上為了驗證用戶身份。隨著網上實名制的推進，越來越多的第三方平臺已經支持用戶身份驗證，譬如有些APP直接使用微信、支付寶等賬號登錄，相當于已對用戶信息作確認。目前缺乏的是政府權威部門的身份驗證，建議社保或者公安系統也提供第三方驗證機制或服務，減少個人信息在其他系統中的留存，降低信息泄露的風險。這樣政府只需要監管這些提供第三方驗證的平臺，監管的工作量及泄漏的風險都大大降低。

三是出臺相關規定，強化政府監管的職能及監管范圍。目前政府對網絡安全管理非常重視。網信、通管和公安等多個管理部門，按照職責分工，分別從網絡內容、網絡域名監管、信息安全等方面，對互聯網企業進行指導和管理。同時，我國也出臺了網絡安全法，為互聯網運行提供了法律支撐。但是，由于互聯網上的疆界不明顯，對于提供跨國服務的外國企業，服務器不在中國境內，如何切實保護用戶信息，更需要各監管部門履行好職責。

四是對于目前廣泛應用的移動應用APP，更加缺乏監管措施。國家2016年出臺的《移動互聯網應用程序信息服務管理規定》要求企業建立健全用戶信息安全保護機制，但這完全基于企業自律，用戶難以確保企業采集數據的流向，國家也沒有相應強制檢查或追責的措施。

目前移動APP分為兩大陣營，蘋果系統中運行的APP，完全由蘋果公司進行質量及漏洞的管理，存在監管盲區；安卓系統中運行的APP，更由于生態圈的復雜性，有多個發布市場，甚至企業可以自行發布下載鏈接，監管更加困難。這不僅需要網絡監管部門切實履行好職責，更需要提高監管水平應對復雜的網絡環境，尤其是要加強對大型APP平臺類企業的指導，從源頭上作好網絡風險防控。