湯立波 中國信息通信研究院技術(shù)與標準研究所高級工程師

李璐 中國信息通信研究院技術(shù)與標準研究所助理工程師

葛雨明 中國信息通信研究院技術(shù)與標準研究所博士

韓涵 中國信息通信研究院技術(shù)與標準研究所博士

網(wǎng)絡技術(shù)——用戶個人信息保護專題

電信和互聯(lián)網(wǎng)服務用戶個人信息保護研究

湯立波 中國信息通信研究院技術(shù)與標準研究所高級工程師

李璐 中國信息通信研究院技術(shù)與標準研究所助理工程師

葛雨明 中國信息通信研究院技術(shù)與標準研究所博士

韓涵 中國信息通信研究院技術(shù)與標準研究所博士

電信和互聯(lián)網(wǎng)服務中產(chǎn)生了大量用戶數(shù)據(jù)，用戶個人信息保護面臨挑戰(zhàn)。本文闡述了對用戶個人信息保護的理解、國內(nèi)外保護狀況，探討了我國用戶個人信息保護面臨的主要問題并提出建議。

電信和互聯(lián)網(wǎng) 用戶個人信息 保護

1 引言

電信和互聯(lián)網(wǎng)服務中存在大量用戶個人信息，這些信息具有應用價值高、挖掘潛力大的特點，是電信和互聯(lián)網(wǎng)業(yè)務創(chuàng)新、提供個性化服務的重要基礎(chǔ)數(shù)據(jù)。用戶個人信息的高價值性吸引了大量業(yè)務開發(fā)者、服務提供者甚至惡意竊取者，由于電信和互聯(lián)網(wǎng)企業(yè)用戶個人信息保護水平良莠不齊，導致行業(yè)內(nèi)存在較多未經(jīng)授權(quán)收集、使用、披露、轉(zhuǎn)移用戶個人信息行為，且有愈演愈烈的趨勢，社會各界高度關(guān)注。加強電信和互聯(lián)網(wǎng)用戶個人信息保護，營造良好的用戶個人信息保護氛圍，維護用戶合法權(quán)益，成為社會、政府、企業(yè)和用戶共同面臨的重要問題。

2 對電信和互聯(lián)網(wǎng)服務用戶個人信息保護的理解

2.1 電信和互聯(lián)網(wǎng)服務用戶個人信息的定義

電信和互聯(lián)網(wǎng)用戶個人信息是指“電信業(yè)務經(jīng)營者和互聯(lián)網(wǎng)信息服務提供者在提供服務過程中收集的能夠單獨或者與其它信息結(jié)合識別用戶和涉及用戶個人隱私的信息”。

電信和互聯(lián)網(wǎng)用戶個人信息可分為以下3類：

（1）用戶身份和鑒權(quán)信息

能夠單獨或與其它信息結(jié)合，對用戶自然人身份進行識別，或代替用戶自然人身份屬性在電信和互聯(lián)網(wǎng)服務中使用的虛擬身份信息，也包括用于驗證身份的鑒權(quán)相關(guān)信息。例如，姓名、年齡、性別、證件類型、證件號碼、服務賬戶、密碼口令等。

（2）用戶數(shù)據(jù)和服務內(nèi)容信息

電信和互聯(lián)網(wǎng)服務過程中收集的具有用戶隱私屬性的數(shù)據(jù)和內(nèi)容信息。例如，通話內(nèi)容、短信、彩信、用戶存儲的私有數(shù)據(jù)和媒體信息、即時通信內(nèi)容、通訊錄、好友列表等。

（3）用戶服務相關(guān)信息

電信和互聯(lián)網(wǎng)服務過程中，所收集的服務使用情況及服務相關(guān)輔助類信息。例如，業(yè)務訂購信息、服務記錄和日志、消費信息和賬單、設(shè)備信息等。

2.2 用戶個人信息保護的理解

電信和互聯(lián)網(wǎng)用戶個人信息保護的核心理念是在收集、使用用戶個人信息時，遵循合法、正當、必要的原則，重點保護用戶的知情權(quán)和選擇權(quán)。

目前，電信和互聯(lián)網(wǎng)服務用戶個人信息保護面臨的挑戰(zhàn)主要集中在未經(jīng)授權(quán)收集、使用、披露、轉(zhuǎn)移用戶個人信息，或收集服務所必需以外的用戶個人信息等方面。電信和互聯(lián)網(wǎng)服務用戶個人信息保護的關(guān)鍵環(huán)節(jié)包括：

（1）服務推廣過程的用戶個人信息收集和使用

服務推廣渠道可能存在非法、未經(jīng)授權(quán)、收集服務所必需以外的用戶個人信息現(xiàn)象。

（2）服務提供過程的全流程用戶個人信息保護

在業(yè)務的運營維護、業(yè)務使用的全生命周期都需加強用戶個人信息保護，合理、合法、有效授權(quán)地對用戶個人信息進行收集、使用、披露、轉(zhuǎn)移、刪除。

（3）服務終止過程的用戶個人信息有效清除

用戶個人信息需要隨著服務的終止有效清除，或在用戶授權(quán)并有效保護的情況下合理保存。

3 電信和互聯(lián)網(wǎng)用戶個人信息保護現(xiàn)狀

3.1 國外用戶個人信息保護政策

國際社會普遍重視用戶個人信息保護，主要發(fā)達國家和地區(qū)通過立法、行業(yè)自律、國際協(xié)作等方式加強用戶個人信息保護。

（1）美國

美國強調(diào)行業(yè)自律，形成了較好的行業(yè)自律氛圍，強調(diào)政府的有限介入。美國的用戶個人信息保護工作起步較早，主要措施如下：

●加強立法

美國政府陸續(xù)出臺了《隱私權(quán)法》、《信息自由法》、《電子通訊隱私法》和《有線通訊隱私權(quán)法案》等基礎(chǔ)性和行業(yè)性法律，構(gòu)建個人信息保護的法律依據(jù)。

●充分發(fā)揮行業(yè)協(xié)會和私人機構(gòu)的作用，大力推動行業(yè)自律，形成了良好的行業(yè)自律氛圍

例如，1998年6月，由美國電子工業(yè)協(xié)會、美國工商協(xié)會等和AOL、AT&T、IBM、BankofAmerica等100多家團體和企業(yè)成立了“在線隱私聯(lián)盟”；美國商務網(wǎng)絡財團和電子前線基金會共同發(fā)起了網(wǎng)絡隱私認證機構(gòu)TRUSTe；美國BBBonline推行了網(wǎng)絡隱私認證計劃等。

（2）歐盟

歐盟依托完備的法律，通過法律強制力高標準開展用戶個人信息保護，強調(diào)政府在其中的主導地位。

●歐盟層面加強立法，協(xié)調(diào)歐盟各國國內(nèi)法，確保用戶個人信息在歐盟范圍內(nèi)自由流動

1995年，歐盟通過了《關(guān)于在個人數(shù)據(jù)處理過程中保護當事人及此類數(shù)據(jù)自由流通的指令》；1997年，通過了《有關(guān)電信行業(yè)中的個人數(shù)據(jù)處理和隱私權(quán)保護的指令》；2002年，頒布了《關(guān)于在電子通信領(lǐng)域個人數(shù)據(jù)處理及保護隱私權(quán)的指令》。

●主要歐盟國家也制定了相關(guān)法律保護用戶個人信息

德國于1976年頒布了《聯(lián)邦資料保護法》；法國于1978年通過了《法國自由、檔案、信息法》；英國于1984年制訂了《數(shù)據(jù)保護法》；1981年，冰島發(fā)布了《有關(guān)個人資料處理法》；1987年，芬蘭出臺了《資料保護法》；1978年，奧地利也發(fā)布了《信息保護法》等。

（3）國際范圍內(nèi)

國際范圍內(nèi)的用戶信息保護合作機制正逐漸形成。

●國際組織加強多邊合作，積極開展用戶個人信息保護工作

經(jīng)濟合作與發(fā)展組織（OECD）理事會頒布了《關(guān)于保護隱私和個人數(shù)據(jù)國際流通的指南》，亞太經(jīng)合組織（APEC）建立了地區(qū)隱私保護標準。

●歐美之間十分重視開展個人信息保護方面的雙邊合作，積極協(xié)調(diào)不同的用戶個人信息保護準則

2000年，歐盟與美國政府簽訂了個人信息保護“安全港”計劃，對加入“安全港”計劃的美國公司進行監(jiān)管，在確保美國企業(yè)達到歐盟的較高保護準則的同時，維持美國長久以來一直采用的自律機制。

3.2 我國電信和互聯(lián)網(wǎng)服務用戶個人信息保護政策

目前，我國電信和互聯(lián)網(wǎng)行業(yè)用戶個人信息保護工作得到監(jiān)管機構(gòu)、社會輿論、企業(yè)和個人的高度關(guān)注。現(xiàn)階段我國用戶個人信息保護工作主要體現(xiàn)在兩方面：

●強化相關(guān)法律法規(guī)中的個人信息保護條款，出臺相關(guān)部門規(guī)章制度，加強個人信息保護方面的監(jiān)管。

●重視個人信息保護相關(guān)國家和行業(yè)標準的制定，通過統(tǒng)一規(guī)范來引導行業(yè)自律，加強個人信息保護。

近年來，我國逐步加強法律和行政規(guī)章頂層設(shè)計，初步建立了個人信息保護法規(guī)體系。2009年，第十一屆全國人民代表大會常務委員會第七次會議通過了《中華人民共和國刑法修正案（七）》，對于獲得、出售或非法提供給他人公民用戶信息的行為定義為違法行為，明確有期徒刑、拘役或處罰金等懲處措施。2012年12月28日，第十一屆全國人大常委會第三十次會議審議通過了《全國人民代表大會常務委員會關(guān)于加強網(wǎng)絡信息保護的決定》，強調(diào)保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。在人大文件基礎(chǔ)上，2011—2013年，工業(yè)和信息化部先后出臺20、24號令，對我國電信服務和互聯(lián)網(wǎng)信息服務過程中收集、使用用戶個人信息的活動提出了明確要求。另外，《工業(yè)和信息化部關(guān)于電信服務質(zhì)量的通告》將用戶個人信息保護問題單獨作為通告的一部分內(nèi)容呈現(xiàn)，按季度向全社會通告，不斷加強監(jiān)管力度。

另外，我國用戶個人信息保護標準體系正加速建立。2013年2月，國家標準《信息安全技術(shù)公共及商用服務信息系統(tǒng)個人信息保護指南》發(fā)布；2013年底，中國通信標準化協(xié)會（CCSA）啟動了電信和互聯(lián)網(wǎng)行業(yè)用戶個人信息保護標準的制定，其中《電信和互聯(lián)網(wǎng)服務用戶個人信息保護定義及分類》對電信和互聯(lián)網(wǎng)用戶個人信息的定義和分類進行了規(guī)定，為用戶個人信息保護工作的開展奠定了基礎(chǔ)；《電信和互聯(lián)網(wǎng)服務用戶個人信息保護分級指南》規(guī)定了電信和互聯(lián)網(wǎng)服務用戶個人信息保護的對象和分級方法，是開展差異化分級保護工作的總體性指導文件?！峨娦藕突ヂ?lián)網(wǎng)服務用戶個人信息保護技術(shù)要求移動應用商店》、《電信和互聯(lián)網(wǎng)服務用戶個人信息保護技術(shù)要求電子商務服務》、《電信和互聯(lián)網(wǎng)服務用戶個人信息保護技術(shù)要求即時通信服務》等標準對具體業(yè)務的用戶個人信息保護提出了要求，為我國電信和互聯(lián)網(wǎng)企業(yè)開展服務提出了明確、統(tǒng)一的要求。

3.3 手機應用軟件是當前用戶個人信息保護的重點領(lǐng)域

截止到2014年底，我國手機用戶數(shù)量達到12.86億人，手機上安裝的應用軟件成為用戶常用工具，主流三大手機操作系統(tǒng)分別是谷歌Android、蘋果IOS、微軟WindowsPhone操作系統(tǒng)，這些系統(tǒng)的手機應用軟件都面臨用戶個人信息保護挑戰(zhàn)。手機應用軟件行業(yè)存在大量收集用戶個人信息現(xiàn)象，如何保護用戶個人信息值得警惕。中國信息通信研究院技術(shù)與標準研究所“用戶個人信息保護實驗室”2015年上半年對全國應用商店抽樣檢測，12萬款安卓系統(tǒng)手機應用軟件中存在讀取用戶手機號碼行為的占15.7%，讀取位置信息的占43.6%，讀取用戶通訊錄的占4.4%，讀取短信記錄的占4.1%，讀取通話記錄的占2.6%。數(shù)據(jù)顯示，基于手機應用軟件的用戶個人信息收集和使用現(xiàn)象非常突出，在大量的用戶信息收集行為中，判斷用戶個人信息收集行為是否為服務所必需、是否合理合法、是否滿足了用戶的知情權(quán)和選擇權(quán)成為政府監(jiān)管和行業(yè)自律的重點。

4 我國面臨的問題和建議

4.1 我國面臨的主要問題

我國電信和互聯(lián)網(wǎng)服務用戶個人信息保護工作剛剛起步，目前面臨的主要問題如下：

（1）法律規(guī)章及技術(shù)標準需隨著產(chǎn)業(yè)發(fā)展不斷完善

●電信和互聯(lián)網(wǎng)服務業(yè)務形態(tài)多、更新快，用戶個人信息保護相關(guān)法律、規(guī)章、標準需適應產(chǎn)業(yè)發(fā)展不斷完善，同時目前還缺少必要的業(yè)務審查、檢查機制。

●現(xiàn)有的行政處罰力度過于輕微，根據(jù)《行政處罰法》和國務院的有關(guān)規(guī)定，部門規(guī)章設(shè)定的罰款最高額度較低，高價值的用戶個人信息和違規(guī)代價低之間不平衡，無法保證監(jiān)管工作的有效威懾力。

（2）企業(yè)自律和用戶自我保護意識均有待加強

●目前互聯(lián)網(wǎng)特別是移動互聯(lián)網(wǎng)中，形成了很多以用戶個人信息為基礎(chǔ)的商業(yè)模式，企業(yè)在收集、使用用戶個人信息時對用戶知情權(quán)、選擇權(quán)保護水平參差不齊，部分企業(yè)自律意識不足。

●用戶的個人信息保護意識不強，相關(guān)服務收集、使用個人信息的聲明和措施未得到用戶的應有重視。

（3）侵權(quán)行為隱蔽，違規(guī)取證困難

用戶個人信息侵權(quán)行為通常非常隱蔽，用戶信息侵權(quán)時取證困難、追責困難。政府、服務提供者和經(jīng)營者在用戶個人信息保護工作中的認證、檢測技術(shù)支持還有不足。

4.2 我國電信和互聯(lián)網(wǎng)用戶個人信息保護工作建議

面對當前快速發(fā)展、不斷創(chuàng)新的電信和互聯(lián)網(wǎng)服務產(chǎn)業(yè)，用戶個人信息保護工作應以維護用戶權(quán)益為目標，同時保證產(chǎn)業(yè)健康發(fā)展。相關(guān)工作建議如下：

（1）分階段、突出重點，以手機應用為突破口帶動全行業(yè)健康規(guī)范發(fā)展

由于電信網(wǎng)和互聯(lián)網(wǎng)業(yè)務種類多、差異大，用戶個人信息保護問題復雜，短期內(nèi)全面展開用戶個人信息保護工作難度較大。因此，建議抓住重點，尋找工作突破口，快速推動工作并取得成效。近期手機應用軟件用戶個人信息保護問題值得重點關(guān)注，另外電子商務、社交類服務也是涉及用戶個人信息較多領(lǐng)域。

（2）加快配套規(guī)章制度、標準出臺，確保工作“有法可依”

建議結(jié)合工作重點，盡快出臺更細化、可操作性強的法律、規(guī)章制度、標準，為用戶個人信息侵權(quán)判定提供依據(jù)，為企業(yè)自律和自我管理提出明確的要求和指導文件。政府加強法律、規(guī)章制度和標準宣貫，監(jiān)督落實，形成企業(yè)自查、監(jiān)督檢查制度。

（3）推動行業(yè)自律

促進企業(yè)用戶個人信息保護自律，有效保護、尊重用戶的知情權(quán)、選擇權(quán)，將行業(yè)自律風氣與監(jiān)管結(jié)合，在行業(yè)內(nèi)形成良好的用戶個人信息保護氛圍。

（4）完善技術(shù)能力建設(shè)

針對電信和互聯(lián)網(wǎng)行業(yè)需求，進一步完善技術(shù)檢測手段和違規(guī)取證能力建設(shè)，形成行業(yè)權(quán)威開放檢測平臺，滿足政府監(jiān)管、企業(yè)自律工作需求。

1 中國通信行業(yè)標準.YD/T2781-2014.電信和互聯(lián)網(wǎng)服務用戶個人信息保護定義及分類

Research on User Personal Information Protection of Telecom and Internet Service

There is a lot of user data in telecom and internet services,which need to strengthen protection.In this paper,we present the understanding of user personal information protection,introduce the development status,and propose some suggestions.

telecom and internet,user,personal information,protection

2015-09-18）