个人信息安全与保护(2)

发布时间:2012-04-12 09:33 作者:佚名来源:人民网强国论坛点击:加载中...次

　　■ 个人信息保护面临利益平衡问题　不能走极端

　　[网友孙亚非]：再问嘉宾：我们的个人信息保护处于一个初始阶段?个人信息维护的利与弊，将来会否“过度”保护?

　　【周汉华】：这位网友提出了一个非常好的问题，我们要看到一个方面，个人信息保护确实处于一个初始阶段，很多领域甚至处于“无法无天”的状态，因此，必须加强个人信息保护的立法，以及相应的执法。适应国际社会的发展趋势和信息化的要求，打造一个安全的环境。对于我们这种法制发展程度比较低，人民的权利意识还没有得到充分的发育，相关的权利救济机制也不健全的国家来说，加强个人信息保护是矛盾的主要方面，必须下大力气来奠定一个良好的基础。但是，另外一个方面，个人信息保护确实面临一个利益平衡的问题，不能够走入极端。我们都知道，现在是一个信息时代，人与人之间、企业和个人之间的基本交往方式就是信息交流，如果没有信息交流，我们的C2C、B2C，我们的社交网络都无法正常地运转，每个人都会成为一个信息孤岛，社会的信用体系也无法建立。因此，在保护个人信息的同时，必须要促进信息社会的信息交流和共享，在发展中加强保护，在保护中促进发展，实现良性循环。如果只是片面地强调任何一个方面，结果都不会理想。

　　这些其实在国际社会已经有一些相关的经验可以借鉴，比如欧盟最近正在酝酿修改它的个人信息保护的指令，它提出了“两手都要硬”的修改思路，一方面是加强了处罚的力度，最高可以处罚一个公司年营业额的5%，但另一方面它同时又强调了要重视企业的自我管理，更多调动企业的保护的积极性，而不是一刀切地监管。同样在美国也一直面临着在个人信息保护和促进商业模式创新之间的利益平衡问题，美国过去更加重视保护企业的创新的空间，一直没有制定统一的个人信息保护的法律，但最近这个情况也在发生变化，绝大部分州已经制定了个人信息保护的法律，联邦层面也在酝酿制定相关的法律，美国政府上一个月刚发布了消费者隐私权利保护法案，也在加强对个人信息的保护。

　　所以，我们看到各国其实都在寻求个人信息保护和信息的有效交流、共享之间的平衡。我们是一个发展中国家，一方面是要发展，另一方面权利也需要得到有效地保护，如何协调好这一对不同的价值，是立法当中最难的地方，也是最需要全社会共同讨论的地方。

　　【黄子河】：咱们说的个人信息保护肯定是处于初级阶段，现在还在概念的普及，基础性的工作正在做。大家一定要搞清楚个人信息保护最主要的内容，我不知道网友说的“过度”保护是什么意思，信息保护之后是不利于信息的传播还是什么样?比如大家常用的QQ号，包括人名，这个东西互动方面是没有问题的，现在是把相关的信息结合起来，包括一个人有很多相关的信息，如果是这样的话，把它结合起来，可能会对个人的利益造成损害。凡是对个人利益不造成什么损害的，我觉得这个东西也有一个尺度。现在讲保护过度还有点早，因为个人保护还没有做好，至于将来怎么样是另外一个问题。现在重点的推动是个人信息保护的工作积极进行推动。

　　[网友枫笛]：“微博实名制”是不是侵犯了网民的个人信息安全呢?

　　【黄子河】：微博实名制和个人信息的保护是两个概念，我们标准所谈到的微博实名制要讲清楚为什么要实名，对于这些实名个人的东西如何进行使用，如何进行有效保护，如果在之前把这些东西对网友都讲清楚了，他也同意了，使用中也是非常违反的，我不认为微博实名制对个人信息保护造成了什么挑战。

　　实际上个人信息泄露中黑客攻击的行为只占了一少部分，百分之七八十是内部员工作案的，而实际上作为一个企业，也就是我们说的个人信息主体，绝大部分情况下是希望保护好收集的个人信息的。但是，由于管理制度的不健全和技术手段的缺失，使得没有权限的人接触的信息不应该使用的情况使用了信息。因此，个人信息更多地考虑不是现在大家说的信息泄露的黑客的途径，而是说在一个企业内部如何用体系建设来把它保护好。

　　[网友寒碧]：老周，为何在个人信息保护方面，立法迟迟跟不上呢?有啥困难吗?

　　【周汉华】：这个问题挺不好回答的，我可以介绍一点儿基本情况。2003年，国务院信息办就委托我们社科院法学所承担了起草个人信息保护法专家建议稿的任务，我是课题组的组长，我们于2005年年底就提交了专家建议稿。当时，国务院信息办在信息化立法计划当中，把个人信息保护法放在非常重要的地位，仅次于电子签名法和政府信息公开条例，当完成了电子签名法和政府信息公开条例之后，国务院信息办就开始推动个人信息保护法和信息安全条例的立法工作。

　　但是由于2008年的国务院机构改革中国务院信息办与其他部门合并，形成了新的工业和信息化部。而后者的职能非常广泛，按照我们目前的立法的机制，个人信息保护法很难被列到优先的位置。因为电信法起草了近三十年还没有制定出来，而工业和信息化部又增加了很多新的工业管理方面的职能。我想这是立法迟迟跟不上的原因。另外还有一个原因，我觉得是认识问题，尤其是我们一些领导干部的认识问题，他们没有充分地认识到个人信息保护是整个信息社会的基础，也是国际社会目前都在致力的方向。国际上目前已经有近百个经济体制定了个人信息保护方面的专门法律，也设立了独立的执法机构，个人信息保护也成为国际上最热点的问题。但是，在我们国家好象对个人信息保护的重要性认识还是不足，有些领导可能认为信息泄露只是收到几条垃圾短信，只是收到几个营销电话，没有看到它可能会导致的可怕后果。

　　所以，如果不能转变认识，不能科学地认识个人信息保护和信息化的关系，会使我们的信息化进程可能会遇到难以预估的损失。所以，我们一直在呼吁相关的立法机关、决策部门从战略和全局的高度来尽快推动个人信息保护的立法。我们希望能看到立法迟迟跟不上的局面能够有所改观。从这个意义上说，学者、媒体、企业、社会、个人都是参与者，都需要共同地推动立法进程的早日启动。

　　■ 标准出台旨在为指导行业健康发展

　　[网友团团绿]：黄主任，这个国标的出台你们都做了哪些技术上的测试与考证?

　　【黄子河】：因为现在还没有出台，还是一个草案，正在等待国标的号。我们前期在国标的制订过程中根据原则做了很多的测试工作。今年发布的个人信息保护网站和手机测试报告都是根据规则和指南详细做了测试，也对很多网站个人信息保护的情况进行了测试，但应该说这个测试还不是非常全面的，比如对网站只是对保护政策进行了测试，对相关的技术，包括实际执行和管理情况并没有做测试，我们也没有通知他们，而是通过他们的网站进行测试。但是对于手机软件进行下载之后我们是进行了严格测试的，也发现了个人隐私泄露的问题。等国标正式出台之后，测试有两方面的作用，一是为网站来提供指导，帮助他发现问题，以利于改正。当然对于个人信息保护做得非常不好的，通过抽测的方式来发现个人信息保护方面的问题。

　　咱们国家很多标准都不是强制性的标准，只有涉及到食品安全，或者是涉及到生命安全的才有强制性标准。包括国际上ISO的标准也不是强制性的，但是为什么大家还遵循这些标准呢?虽然不是强制的，但是很多企业出台了这方面的标准，有责任也有义务来遵循这样的标准。如果遵守强制性的标准，这样的话我们国家90%以上的标准都制订得没有必要，只有很少量的标准才是强制性标准。这个标准本身就是为了指导行业健康发展，有指导作用。大家也不要希望出台一个标准就什么事都解决了，很多法律即使出台了指法也有问题，也未必法律出台了就一劳永逸了，也不是这样的。最主要的还是守法、遵法，标准也是一样，这才是最重要的。出来了一个指导性的标准，希望大家按照标准的要求尽量满足标准的要求。

　　[网友麻辣师奶]：嘉宾，您认为这个国标的制定和出台，对于咱老百姓有哪些好处?

　　【黄子河】：首先是免骚扰，有很多本来是为了干一件事，未必想做另外的事情，但整天会有人给你打电话。做好之后，我想这方面会是第一个感觉。另外，如果很多人知道你的隐私信息，肯定会有一些不良分子进行诈骗行为，我想这对老百姓避免上当受骗会有好处。

　　[主持人]：国标出台之后对他们信息共享的行为会有约束?

　　【黄子河】：对。实际上有很多企业在内部信息系统建设需要外包，就是我们标准所谈到的个人信息获得者这个角色。他开发系统时、处理信息时是不是把信息得到有效保护了?我们现在已经得到明确的案例了，就是在某个全国性的行业，是一个通信行业，发生了一个事件，就是一个外包的软件开发商在给他开发软件时留了一个后门，在通信运营商收到个人信息系统时本来是正常的事情，同时隐蔽着向软件开发商传发信息，这个燃烧开发商恶意收这些信息，而且累计到了几年，当运营商发现时已经发生了比较严重的事件了。

　　这也提醒我们，我们前面谈到的个人信息管理者希望保护个人信息，但是开发的系统有没有在质量方面，尤其在安全方面，个人信息方面经过检验，也就是我们经常讲的源代码有没有做安全审计，别人给你留了一个后门都不知道。这是应该关注的。所以这里可以参照国外的通行做法，也就是说我们建立一个对于第三方承担外包的服务机构的认证机制，它承担软件开发时应该有什么样的管理制度和技术手段，遵循一个什么样的体系，就像很多安全的管理体系、质量管理体系一样，这样才能保护好相应的业主单位、个人信息管理者所收集到的个人信息。

　　[网友糖果乐园]：去年中国互联网多个门户网站出现泄密用户个人信息事件，这给公众带来了很多困扰和不安，按照现行法律，是否会对这些网站进行惩罚?

　　【周汉华】：去年年底披露的多个门户网站泄露用户个人信息的案例，是一个非常有意思的案例，基本的情况是黑客攻破了网站的安全设置，窃取了用户的邮箱和密码。按照现行的法律，对黑客进行制裁是没有任何问题的，因为我们国家的刑法对此有明确的规定，其他国家类似的情况也是一样可以制裁。但是有趣的问题是对于这些网站是不是可以制裁，用什么名义来制裁。大家知道，最后公安部门是根据信息安全等级保护的相关规定对网站进行了行政处理，给予了警告，而不是根据个人信息保护的法律，这种局面是因为我们目前的个人信息保护法律，很难直接追究网站泄露个人信息的责任。

　　我们刑法修正案(七)规定了两种情况追究刑事责任，一种是非法出售个人信息，另一种是非法获取个人信息，对于黑客可以根据非法获取个人信息来追究刑事责任，但是对于网站，只要它没有非法出售或者其他非法提供的情节，就不能够追究他们的刑事责任。所以在这个案例当中，就无法追究网站的责任。在起草刑法修正案(七)的过程中，在人大法工委征求专家意见的座谈会上，我曾经提出把第一种情况归纳为“泄露”，而不是“非法出售或提供”，因为泄露可以包括这种不采取积极措施维护信息安全的行为，而非法出售或提供所涵盖的面非常窄，在国外规定的都是叫泄露。

　　所以如果出现这个案例的情况，在国外是可以追究网站的责任的。非常可喜的是，居民身份证法修改当中规定的是泄露，所以如果出现了泄露居民身份证信息的情况，是可以追究网站的责任的。正是因为这种立法格局，公安部门最后根据信息安全等级保护的规定履行了自己的职能，但是我们看到在整个过程中，对于网站而言，个人信息保护的行政执法是缺位的。这种局面是非常可惜的，希望能够通过个人信息保护法的制定，通过建立独立的个人信息保护的行政执法机关来改变这种局面。

　　[网友纯情小牛牛]：国标出台后，是否有什么具体举措来保护民众信息安全?如果发生信息泄露的事件，民众应该找哪个部门求助呢?

　　【黄子河】：整个行业的主管部门，我们希望今后政府以行业主管部门的形式，鼓励第三方监督，大家发生问题时可以采取投诉的机制处理。如果轻微的时候，很多不良信息或者是恶意软件在举报之后建立，这是可以融合在一起的。

　　另外一方面，作为第三方机构，把这个事情做了检测评估，成为一个必要的技术手段。最后肯定是法律的诉求，关于这一点，我们和相关的工作部门联合在一起了，发生这些事情时我们可以形成一个比较完善的从技术手段到法律的取证手段，一种完全完善的方式，使得个人发生泄露时向司法机关进行举证时有一个有效的手段和途径。

　　[网友糊糊大脸猫]：一般信息和敏感信息如何界定?遭遇信息泄漏又如何维权呢?怎样的途径可以解决?

　　【黄子河】：敏感信息指的是一旦遭到泄露或者修改，会对标识的个人信息主体造成不良影响的个人信息，包括身份证、手机号码、种族、政治观点、宗教信仰、基因、指纹等，但是根据接受的服务主体意愿和行业特点，可能会存在差异。除此之外的都是一般的信息。很多的标准都是起到规范的作用，我们国家的GB/T和GB/Z的标准大量的都是推荐性的标准，而且现在在执行过程中发现这些标准对于相应的约束还是行之有效的。

　　[网友狼与狗的时间]：黄主任，这个指南对于政府机关有何约束作用吗?不仅仅是互联网和电信等服务行业能获取大量个人信息吧，政府机关也占了大头，如果出现利用公权侵犯个人信息的情况，公众怎么办?

　　【黄子河】：我想政府有政府行政方面的要求，对这个方面进行约束。从实际情况来看，这些年发生信息泄露的事件以及造成的影响危害比较大的，其实我们没有看到是政府主管部门造成的，比如由于政府的行政主管职能要求收集的，没有看到从他这儿流出信息造成什么影响。当前大家更多考虑到如何把重灾区的问题给解决掉。

　　[网友小小教书匠]：请问周主任，目前的法律规定侵犯个人信息的隐私什么样的情况能构成犯罪?

　　【周汉华】：我刚才已经讲过，刑法修正案(七)规定了两种情况可以构成犯罪，一种是非法出售或者提供个人信息罪，另一种是非法获取个人信息罪。前者针对的是“老虎”，比如电信公司、保险公司、银行、医院等等，后者针对的是“苍蝇”，比如侦探公司、调查公司、街头游商、QQ群等等。这两种情况不光个人可以构成为犯罪的主体，法人也能够成为犯罪的主体。除此之外，传统的隐私保护之下还有诽谤罪，也和个人的隐私保护有很密切的关系。

(责任编辑：)