公民个人信息安全的法律保障

文_贺恒扬

当今世界，以互联网、大数据、人工智能为主要特征和载体的信息化蓬勃发展，正逐步演进成为一场全方位、深层次的社会变革，广泛而深刻地影响着国家治理、社会生产、人民生活。随着网络成为信息传播的主渠道，网络安全已经成为我国面临的最复杂、最现实、最严峻的非传统安全问题之一。***总书记深刻指出，“没有网络安全就没有国家安全，没有信息化就没有现代化”。信息化革命中，如何坚持总体国家安全观，运用法治思维和法治方式保护公民个人信息安全，以信息化促进国家治理体系和治理能力现代化，是一项重大的时代课题。

一、公民个人信息安全的战略意义

（一）信息已经成为国家的基础性战略资源

信息化时代，信息不仅是人们生产生活的必需品，而且在政治、经济、文化、军事等领域起着至关重要的作用。比如，生活中习以为常的移动通信、移动支付、数字电影，以及共享经济、“智慧城市”、“嫦娥”上天、“蛟龙”下海、高铁飞驰、C919大飞机翱翔、航母走向深蓝等，无一能离开信息资源，无一不需要信息化支撑。信息已经成为关系国计民生的基础性战略资源，也成为世界各国争夺的焦点，谁在信息资源上掌握先机，谁就在发展和竞争中赢得主动。

（二）信息安全是国家安全的重要组成部分

从英国计算机科学之父阿兰·图灵破解德国密电码改变第二次世界大战进程，到无人机、巡航导弹、电子对抗战的广泛应用，现代国家安全的军事维护很大程度上取决于信息化的对抗，现代战争就是信息化战争。信息安全防线守不住，国家安全防线就筑不牢。与此同时，大数据、云计算等信息技术已深度融入国家政治、经济、社会、文化等领域，成为意识形态安全、金融安全、公共安全等方面的重要变量，新闻事实被歪曲、金融交易信息被窃取、电力调配指令被篡改、城市公共交通指挥系统被攻击等问题随时可能出现。可以预见，随着关键信息基础设施的信息化程度越来越高，针对国家安全的攻击和威胁将会越来越多。2017年5月中旬，WannaCry勒索病毒攻击全球多个国家政府机构和医院、高校等公益性机构的网络，警示我们要从国家安全的战略高度，加强信息安全管理和防范工作，让信息技术这把“双刃剑”成为维护国家安全的最大增量。

（三）个人信息安全在整个信息安全中居于重要地位

当前，人们衣食住行、工作、学习、医疗、社保等信息资源大量汇聚。对个人信息的汇总处理，可以准确地还原特定个人乃至特定人群和区域的社会生活全貌。例如，美国政府实施“棱镜计划”，监听监视民众电子邮件、电话通讯等个人信息，进而窃取其他国家的秘密，危害其他国家的安全。IDC（互联网络数据中心）预测，2020年全球数据总量将达到44ZB（Zata Byte）。分析运用这些大数据，完全可能对一个国家的经济社会安全乃至政治安全产生重大影响。正因为个人信息同国家安全和利益息息相关，它不只是民法赋予的单纯人格权益和财产权益，理应加强全方位的法治保障。

二、公民个人信息安全面临的新挑战

（一）网络安全威胁加剧

网络跨时空、立体化、广渗透，日益成为各类风险的策源地、放大器。西方国家一些政客毫不避讳地表示要利用网络拉拢中国年轻一代，直至扳倒中国。此外，欧洲网络和信息安全机构（ENISA）于2013年1月发布的《网络环境安全威胁报告》显示，“路过式漏洞攻击”、“蠕虫”和“木马”、“代码式注入”已成为全球网络安全的三大威胁。虽然我国已是网络大国，2018年网民达到8.29亿，但确保网络安全可控的核心技术存在短板。开源软件Linux的Bash漏洞影响遍及全球5亿台服务器及其他网络设备，“心脏出血”漏洞威胁到我国3.3万台网站服务器，使基础通信网络和金融、工控等重要信息系统安全面临严峻挑战。

（二）个人信息泄露问题频发

随着社会分工日益专业化和社会生活的网络化，个人信息在更广领域、更多环节被使用留痕，泄露的风险越来越高。特别是对个人信息价值的挖掘和利用全面提速，不法分子利用个人信息牟取非法利益的问题也日益突出。2018年美国facebook（脸书）用户隐私泄密事件引发全世界对个人网络隐私保护的恐慌情绪。国内也曾发生10多亿条快递用户信息、2亿多条酒店客户信息被泄露等事件。大量案例反映出，被泄露的个人信息既包括户籍、车辆登记、征信报告、社保账号、健康状况等敏感信息，也包括住宿、行踪等关联信息。一些不法分子利用非法获取的个人信息，“精准”实施了电信网络诈骗、故意伤害、非法拘禁等犯罪，严重危害社会安全。

（三）打击危害个人信息安全犯罪难度大

大量案例表明，危害个人信息安全犯罪背后有庞大的“黑灰产业链”。与犯罪主体单一、非法获取信息渠道狭窄、非法利用信息方式简单的传统作案模式相比，“黑灰产业链”作案人数多、分工细、手段新，信息扩散迅速、引发的下游犯罪多、社会危害严重。传统侦查手段和侦查能力跟不上犯罪技术的发展，“头痛医头脚痛医脚”的治理方式难以彻底铲除“黑灰产业链条”。以近年来高发的电信网络诈骗犯罪为例，实施这类犯罪首先要非法获取个人信息，这个环节已由雇用大批人员手工操作转变为借助人工智能完成，再通过云盘转移木马病毒和涉案电子数据，犯罪活动更隐蔽、危害更严重。

三、公民个人信息安全治理的基本原则

（一）坚持统筹发展和安全

安全是发展的前提，信息安全对国家安全牵一发而动全身。只有树立和践行总体国家安全观，将个人信息安全纳入政治安全、国土安全、经济安全等国家安全工作的整体框架，从源头上预防和减少安全问题的产生，才能保障信息发展的全面性、协调性和可持续性。同时，在被喻为第四次工业革命到来的今天，发展是安全的保障，只有充分地流动、共享、交易，让大数据“动起来”“用起来”，在有效防止信息扩散失控、确保信息安全的前提下，为个人信息的合理利用留下足够的空间，才能推动信息领域核心技术突破，增强网络防护能力，从而掌握网络空间主导权，实现国家层面的信息安全。

（二）坚持法治思维和法治方式

信息技术的背后，实质是人的智慧和思维的体现。个人信息安全的治理，归根结底是对人外在的技术行为的约束和管理。采用信息防护性技术手段虽然有效，但并非万能，更需要法律实现规则之治。个人信息安全与发展要统筹协调、同步推进，最重要的是通过法治手段为信息保护划定合理边界，为信息的采集、利用设定科学规则，确保信息技术发展的规范性、科学性、稳定性。质言之，信息社会的建设必须建立在依法保护个人信息安全的基础上，同时也要善于推进信息技术的最新发展成果在安全领域的应用，构建科学规则，促进两者相得益彰。

四、依法保护公民个人信息安全的建议

（一）构建个人信息跨境流通保护机制

信息主权是一个国家自主管理本国信息传播系统和传播数据内容的权利，是信息化时代国家主权的重要组成部分。2014年7月，***总书记出席金砖国家领导人第六次会晤并在巴西国会发表演讲时强调，“互联网技术再发展也不能侵犯他国的信息主权，更不能牺牲别国安全谋求自身所谓绝对安全”。

对本国信息的输出和外国信息的输入进行管理，是信息主权的重要内容。国际上已经形成了较为成熟、系统的跨境数据流动管理制度框架。比如，欧盟与美国的隐私盾协议（EU-U.S.Privacy Shield）、世界经合组织的《隐私保护和个人数据跨境流通指南》、亚太经合组织的《跨境隐私规则》等，在保护个人信息和重要数据跨境安全方面发挥了积极作用。我国作为全球数据资源大国，也是数据资源流出大国，迫切需要建立符合自身国情的信息出境管理办法，在确保国家安全的前提下，与全球伙伴共享信息红利。建议在我国《网络安全法》《个人信息出境安全评估办法（征求意见稿）》的基础上，结合我国信息输出现状，进一步健全个人信息出境安全评估管理体系，明确操作流程规范和评估风险模型，为行政主管部门开展数据出境安全评估管理工作提供标准化依据。

（二）完善个人信息保护制度体系

第一，加快出台《个人信息保护法》。《个人信息保护法》已列入十三届全国人大常委会立法规划第一类项目，即条件比较成熟、任期内拟提请审议的法律草案。建议将其定位为个人信息保护的专门性、综合性立法，明确个人信息内涵外延、权利属性，规定个人信息保护一般原则、权利义务、相关主体收集、存储、传输、利用、处理个人信息应当遵循的规则和承担的法律责任等。

第二，完善个人信息保护刑事立法。一是建议增设“非法利用个人信息罪”。适应大数据、云计算等新技术发展和应用的新形势，将侵害个人信息的新类型犯罪补充到刑法规定中。实践中，常有非法利用他人个人信息造成严重后果的情形，而我国刑法只规定对非法利用他人个人信息从事违法活动、构成犯罪的定罪处罚。中央电视台曾曝光山东多家移动公司向客户大量发送垃圾信息谋利，这种行为既不属于非法获取，也不属于非法出售或者提供行为，但其社会危害性不容忽视。建议在刑法中增设“非法利用个人信息罪”，将未经授权而利用在履行职责或提供服务过程中获悉的他人个人信息，造成严重后果的行为纳入刑法调整。二是将非法公开他人个人信息的行为纳入“侵犯公民个人信息罪”。我国刑法规定，侵犯公民个人信息罪的行为主要包括出售、提供和非法获取，而将他人信息非法公开在互联网空间，导致被广泛传播或者为不特定的人所知悉的行为，却难以被侵犯公民个人信息罪所涵盖。建议扩充侵犯公民个人信息罪的行为方式，将非法公开公民个人信息行为纳入该罪打击。三是明确罪数适用标准。行为人非法获取个人信息后，又将其用于实施其他犯罪的，是只定一罪还是数罪并罚存在争议。考虑到信息化时代侵犯个人信息的严重社会危害性，建议实行数罪并罚，在《刑法》第 253 条之一中增加一款，规定：窃取或以其他方法非法获取公民个人信息后，又利用公民个人信息实施其他行为触犯其他罪名的，以侵犯公民个人信息罪和触犯的相关罪名，依照数罪并罚的规定处罚。

第三，完善个人信息保护行政管理和行业自律规则。一是设立个人信息保护的专门机构。成立专司大数据发展与保护的专门机构，提升信息数据综合管理、利用、保护能力和水平。二是建立严格的监管制度。建立对信息数据生成至利用环节全覆盖的监管制度，厘清合法利用个人信息的边界，明确信息拥有者和使用者的权利、义务、责任。三是规范管理行为。社会治理过程中，政府对个人信息的收集、存储、使用、共享与公开等行为，必须符合妥当性、必要性、正当程序原则。四是加强行业自律。充分发挥行业协会和有关组织的作用，制定信息数据行业规范，完善行业信用体系建设，形成对行政监管的有效补充。

（三）探索个人信息保护公益诉讼

当大规模侵犯个人信息、侵害不特定多数人利益时，就涉及国家利益和社会公共利益。探索将这种违法行为纳入检察机关的公益诉讼范围，不仅可以解决个人维权调查取证难、诉讼成本高等问题，还可以避免因被侵害的主体不特定、通过个案诉讼无法有效保护信息安全的困境。具体可以从几个方面把握：一是案件范围以侵害不特定多数人信息安全为限。只有涉及不特定多数人的公共利益才能纳入公益诉讼范围，即便人数众多但不涉及损害公共利益的，可以通过民事诉讼中的诉讼代表人制度寻求救济。二是以侵犯公民敏感信息、相关机构在履职或提供服务中获取的信息为公益诉讼重点对象。公民敏感信息直接关系公民的人身、财产安全。相关职能部门或企事业单位在履行职责或提供服务中获取的信息量大面广。这两类信息一旦被侵犯，往往会严重损害公共利益，应当作为公益诉讼的重点对象。三是借助专业机构和专家力量参与调查取证。侵犯个人信息案件，智能化、专业化程度往往较高，一般需要电子勘验检查和鉴定评估，有必要借助专业机构及专家力量，为调查取证提供技术支撑。