于廣輝　張羽種

隨著網(wǎng)絡(luò)時代的發(fā)展，個人信息被記載在各種平臺的數(shù)據(jù)庫中，隨時面臨被泄露的風險。非法獲取公民個人信息主要有兩個來源：一是黑客入侵網(wǎng)站非法獲取；二是各行各業(yè)的內(nèi)幕人員泄露信息。侵犯公民個人信息的犯罪已經(jīng)形成了從非法收集、提供竊取、交易到交換等各個環(huán)節(jié)完整的利益鏈。目前，國內(nèi)尚未制定個人信息保護法，因此針對個人信息外泄的處理也比較困難。我們與市經(jīng)信委信息中心高級工程師王曉萍、市經(jīng)信委政策法規(guī)處的蔡朋朋以及信息化推進處的劉迎風經(jīng)過認真調(diào)研后，發(fā)現(xiàn)以下問題：

一是對企業(yè)采集個人信息的行為尚未形成完善的監(jiān)管體系。隨著信息化社會的飛速發(fā)展，越來越多的平臺及企業(yè)建立了信息化系統(tǒng)。市民每天在上網(wǎng)過程中，都會面臨被采集數(shù)據(jù)的問題。譬如有很多企業(yè)要求用戶提供身份證掃描件或復(fù)印件電子版，有些企業(yè)要求用戶填寫個人姓名、家庭地址、電話號碼等種種信息。用戶有時無法拒絕數(shù)據(jù)的采集，目前相關(guān)部門對這些行為也沒有完善的監(jiān)管體系，完全依靠企業(yè)的自律。

二是對于個人信息的采集、使用及企業(yè)應(yīng)承擔的責任尚未出臺明確規(guī)定。有時候企業(yè)采集數(shù)據(jù)只是一次性使用，但是跟紙質(zhì)年代不同，紙質(zhì)資料只需碎紙機就可以粉碎，信息化時代的信息復(fù)制和傳播卻很容易，管理起來也就難。企業(yè)采集完數(shù)據(jù)后如何使用數(shù)據(jù)以及企業(yè)應(yīng)該承擔的責任在現(xiàn)有的法律規(guī)定中難以找到對應(yīng)的條例。

三是政府對于個人信息采集企業(yè)缺乏相關(guān)安全規(guī)范要求。對于政府類的信息系統(tǒng)和網(wǎng)站，有安全等級保護制度的要求，對于安全漏洞有定期檢查及提醒機制。但是非政府類的網(wǎng)站及系統(tǒng)，譬如企業(yè)，也采集了很多個人信息數(shù)據(jù)，對于他們的安全規(guī)范，沒有任何要求，只能寄希望于企業(yè)自律。但實際上很多企業(yè)未必有能力或費用來確保系統(tǒng)安全。

針對上述問題，我們提出以下建議：

一是企業(yè)采集個人數(shù)據(jù)應(yīng)納入備案管理。為了避免企業(yè)濫用權(quán)力采集個人信息，政府應(yīng)加強監(jiān)管，對企業(yè)采集個人數(shù)據(jù)進行備案管理，特別是針對采集身份證照片或掃描件信息的企業(yè)行為。對未提供備案證明并要求采集用戶信息的企業(yè)，用戶可以投訴或舉報。

二是推廣第三方平臺提供用戶身份驗證機制。企業(yè)采集個人信息，很大程度上為了驗證用戶身份。隨著網(wǎng)上實名制的推進，越來越多的第三方平臺已經(jīng)支持用戶身份驗證，譬如有些APP直接使用微信、支付寶等賬號登錄，相當于已對用戶信息作確認。目前缺乏的是政府權(quán)威部門的身份驗證，建議社保或者公安系統(tǒng)也提供第三方驗證機制或服務(wù)，減少個人信息在其他系統(tǒng)中的留存，降低信息泄露的風險。這樣政府只需要監(jiān)管這些提供第三方驗證的平臺，監(jiān)管的工作量及泄漏的風險都大大降低。

三是出臺相關(guān)規(guī)定，強化政府監(jiān)管的職能及監(jiān)管范圍。目前政府對網(wǎng)絡(luò)安全管理非常重視。網(wǎng)信、通管和公安等多個管理部門，按照職責分工，分別從網(wǎng)絡(luò)內(nèi)容、網(wǎng)絡(luò)域名監(jiān)管、信息安全等方面，對互聯(lián)網(wǎng)企業(yè)進行指導(dǎo)和管理。同時，我國也出臺了網(wǎng)絡(luò)安全法，為互聯(lián)網(wǎng)運行提供了法律支撐。但是，由于互聯(lián)網(wǎng)上的疆界不明顯，對于提供跨國服務(wù)的外國企業(yè)，服務(wù)器不在中國境內(nèi)，如何切實保護用戶信息，更需要各監(jiān)管部門履行好職責。

四是對于目前廣泛應(yīng)用的移動應(yīng)用APP，更加缺乏監(jiān)管措施。國家2016年出臺的《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》要求企業(yè)建立健全用戶信息安全保護機制，但這完全基于企業(yè)自律，用戶難以確保企業(yè)采集數(shù)據(jù)的流向，國家也沒有相應(yīng)強制檢查或追責的措施。

目前移動APP分為兩大陣營，蘋果系統(tǒng)中運行的APP，完全由蘋果公司進行質(zhì)量及漏洞的管理，存在監(jiān)管盲區(qū)；安卓系統(tǒng)中運行的APP，更由于生態(tài)圈的復(fù)雜性，有多個發(fā)布市場，甚至企業(yè)可以自行發(fā)布下載鏈接，監(jiān)管更加困難。這不僅需要網(wǎng)絡(luò)監(jiān)管部門切實履行好職責，更需要提高監(jiān)管水平應(yīng)對復(fù)雜的網(wǎng)絡(luò)環(huán)境，尤其是要加強對大型APP平臺類企業(yè)的指導(dǎo)，從源頭上作好網(wǎng)絡(luò)風險防控。