移动互联网时代个人信息保护法规研究
2015-02-22雷鸣宇中国信息通信研究院技术与标准研究所工程师
雷鸣宇 中国信息通信研究院技术与标准研究所工程师
高慕楠 重庆邮电大学电子信息工程专业本科在读
移动互联网时代个人信息保护法规研究
雷鸣宇 中国信息通信研究院技术与标准研究所工程师
高慕楠 重庆邮电大学电子信息工程专业本科在读
随着移动互联网业务的蓬勃发展,面对数据信息化的多样性,技术上的不断更迭,个人信息遭到泄露和滥用情况已引起了国内外的广泛重视。本文主旨在于对数据化个人信息保护方面国内外形势进行梳理,对个人信息安全保护所面临的困境进行分析及移动互联网时代个人信息的保护途径进行总结与探究。
移动互联网 个人信息 保护法
1 引言
近年来,移动互联网技术和业务的快速发展,数字信息社会的飞速发展,个人信息已不再是能够保守住的秘密,不仅成为各种媒体、企业利用的资源,其重要性与日俱增。然而伴随着个人信息利用领域的不断扩大,丢失、泄漏和滥用个人信息的案件时有发生给现有的个人信息保护法律制度带来了新的挑战。如在移动互联网时代中,每天都涌现数以万记,包括新闻、社交、理财、健身、教育等多个种类的信息服务应用,在享受阅读便利、个人生活状态分享交互、获取最新资讯的同时,用户的使用习惯、位置信息、关键隐私信息已经易被获取、泄露,个人信息安全面临严重威胁,各国已深刻认识到制定个人信息保护法不仅是保护公民个人权利的需要,更是提高信息资源利用率,保证本国信息自由流动,促进信息化发展,参与全球化竞争的战略需要。在此形势下,各国不仅出台国内的个人信息保护法,并且积极参与相关国际规则的制定,在国际舞台上推行符合本国利益诉求的个人信息保护与跨境流动的国际规则。
2 个人信息法律保护国际法律现状
政府提供强制性提供隐私权保护的基本技术支撑下,仍然有大规模的信息泄露事件的发生,如近年来发生在亚洲多个国家的信用卡账户信息,被黑客通过网络安全漏洞进行“大规模”的盗取,国内用户因个人信息泄露受到垃圾电话骚扰、诈骗事件频频发生,亟需向美国和欧洲等在立法工作走在前列工作国家借鉴经验。
(1)主要国家/地区个人信息保护立法现状
美国早在1974通过了《隐私权法》,正式确立了美国以法律手段保护公民个人信息的决心,随后通过行业自律性来保护个人安全信息。美国对网络安全有基础性立法和行业性立法,如《电子通讯隐私法》、《金融隐私权法案》、《有线通讯隐私权法案》等。另外,采取行业自律作为立法外的保护网络隐私权的补充,在个人信息保护方面取得实效。
相比之下,欧洲国家对于保护个人信息方面效果显著,这与欧盟采用的严格法律法规来加强信息保护不无关系。欧盟通过立法,协调各国国内法以及确保个人信息在欧盟范围内自由流动。各欧盟国家也分别制定国内的相关法律来保护个人安全。同时,未解决欧美之间不同的信息保护标准,欧盟与美国政府签订了个人信息保护的“安全港”计划,使得美国在欧盟的企业达到欧盟较高的保护标准的同时,维持美国长久以来一直采用的自律机制。
面对个人信息保护这个世界性的难题,不仅需要每个国家、地区做好立法工作,还需要各个国家的协作。经济合作与发展组织OECD理事会发布了《关于保护隐私合格人数急剧国际流通的指南》;亚太经合组织APEC也建立了地区隐私保护标准:欧盟与美国等国家也有联合颁布的相关法律法规以及包括上述中“安全港”计划在内的相关计划来实现个人信息的保护。
(2)主要国家/地区个人信息保护法律修订现状
●在已有的个人信息保护立法框架下,积极制定云计算、移动互联网等新业务的个人信息保护规则
2012年6月,法国国家信息与自由委员会发布《云计算数据保护指南》,对云计算服务协议应当包含的因素和云计算的安全管理提出了建议。2012年2月,美国白宫发布《网络世界中的消费者数据隐私报告》,该报告提出要在全球数字经济发展过程中,构建保护隐私和促进创新的基本架构,并致力于推动《消费者隐私权利法案(草案)》的出台;2012年6月,美国电信与信息管理局(NTIA)宣布要出台手持移动设备的数据保护执行准则。
●对现有的个人信息保护统一立法进行修订
欧盟1995年制定了《关于个人数据处理保护与自由流动指令(95/46/EC)》,该指令是欧盟区域内个人信息保护的基础性立法。2012年1月25日,欧盟委员会发布了《有关“95年个人数据保护指令”的立法建议》,对1995年数据保护指令着手进行全面修订。
●继续完善现有的个人信息保护立法框架体系
2011年3月29日,韩国颁布《个人信息保护法》,废除了1999年《公共机关个人信息保护法》,新法适用范围涵盖公共与私人部门管理的所有个人数据信息;新加坡则在现有的公共机构个人信息保护法的基础上,于2012年10月继续补充出台了针对私营机构的个人信息保护法。
3 个人信息法律保护国际法律现状
我国近年来也加快了对个人信息保护方面的立法实践。在我国的《刑法修正案(七)》、《侵权责任法》、《电子签名法》、《居民身份证法(2011年修订)》、《消费者权益保护法(2013年修订)》和《关于加强网络信息保护的决定》等法律法规中,都含有个人信息保护的规定。同时,国务院各部委还制定了一些关于个人信息保护内容的部门规章,如工业和信息化部的《电信和互联网用户个人信息保护规定》、《信息安全技术公共及商用服务信息系统个人信息保护指南》,国家工商总局的《网络交易管理办法》等。此外,不少地方基于本地实际情况还出台了相关地方性法律条例,如《深圳经济特区互联网信息服务安全条例》。
4 移动互联网时代个人信息法律保护的困境
(1)个人信息的法律边界不明
●个人信息的外延边界不明。在国内现行的法律法规中,并没有法律对个人信息进行明确界定。
●个人信息的区分边界不明。在我国个人信息的法律保护的现状中,并没有对个人信息和个人隐私进行明确区分,不利于对二者进行区分保护。
●个人信息的权利边界不明。在移动互联网时代,用户使用网络时不可避免地会将个人信息的占有权转移给服务商,经过多重交易以及多个第三方渠道的介入,难以厘定个人信息的权利边界。而市场还没有形成良好的自律氛围,乱象较多,没有形成固有的管理模式。从目前来看,基础电信业务形态比较单纯,用户个人信息管理相对规范。
综合考虑,电信和互联网服务中用户个人信息的属性和类型特征来看,将电信网和互联网服务个人信息分为用户身份和鉴权信息、用户数据服务内容信息、用户服务相关信息三大类。前不久,国家颁发各运营商私人手机号码实名制的相关条例,这其实也是一种对个人信息安全的保护措施。其大大限制了某些不良企业以及非法集团散布的不良信息的流通以及保护手机号码法人的合法权益与个人信息的管理与保护,从根本遏制了电话短信诈骗陷阱的危害,保护了个人权益。而互联网等电信增值业务形态趋于多样化,个人信息保护问题也更加趋于严峻。信息发布平台和递送服务,信息社区服务以及信息及时交互服务正朝着多样化发展,而以上3种问题也逐渐有着相通相融的趋势,使监管难度更加困难。
(2)个人信息保护法律体系不完善
尽管我国已制定了多部涉及个人信息保护的法律、法规以及条例,但同当前个人信息保护的现实需求还有差距。
一方面,个人信息保护领域的立法缺乏系统性。在我国现行的法律法规以及地方条例中,并未对个人信息保护进行综合立法。2012年全国人大常委会出台的《关于加强网络信息保护的决定》仍旧只是规定了个人信息保护的基本原则。虽然中央也将个人数据保护法散落在《宪法》、《民法通则》、《刑法》等各项法律文献中,但仍不是很健全与完善,成立颁布相关专门的法案法规已迫在眉睫。
另一方面,个人信息保护法律的操作性不强,需要配套的法律法规以及操作性强的实施细则。虽然个人信息保护已经上升为政府的重点工作,但在顶层设计上如何细化分配,如何管理,是怎样的思维模式还需要不断的摸索。对于我国企业的企业自律也已逐渐的聚焦和细化,专门的用户个人信息标准也已经起步。但尚有数少数企业能够达到自律标准,而大多企业则担心会导致市场推广不利而止步不前。总体来说,虽然完善的法律和政策不能完全杜绝用户信息的泄漏,却是支撑一切工作的基础,而且并不能一蹴而就以逸待劳,而是一项长期的建设性与发展性工作。
(3)个人信息保护执法机制滞后
首先,我国个人信息保护目前处于多部门监管状态,公安部、工业和信息化部、全国工商局、商务部、中国人民银行、银监会、保监会、证监会等都负有个人信息监管职责,多头监管容易使得监管信息沟通不畅、监管无序。
其次,执法依赖事后监管,缺少事前监管相关企业、单位在个人信息安全保护方面的制度构建以及执行情况,难以从根本上杜绝和防范非法使用的行为。虽然许多企业邀请第三方对客户的信息安全进行全方位监管,但据了解第三方的检测仍存在着不小的隐患。首先第三方的监控虽然不受市场与企业的制约,但并未达到完全的公正,其评价标准也未完全公开,让人们很难判断其真实性。其次,有不少的第三方与其监管企业有着直接或间接的关联,导致存在虚假声明的行为,误导消费者与广大人民。最后,缺乏企业个人信息泄露问责机制,相关处罚只对个人不对企业,不能真正起到警示作用。
5 移动互联网时代个人信息法律保护的路径
(1)明确个人信息的法律边界
明确个人信息的外延边界。从范围上看,个人信息指的是能够识别某个特定自然人身份的信息以及需要集合起来才能推断出特定某个人身份的信息。明确个人信息的区分边界。要明确区分个人信息与个人隐私,前者须具备身份识别性,而后者通常是指公民个人生活中不愿向他人公开或为他人知悉的秘密。在明确区分的基础上,区别对待,严格保密严禁搜集的个人隐私,防止滥用个人信息。明确个人信息的权利边界,应当在相关法律法规中明确用户的个人信息属于私人资产,相关企业不得擅自使用。
(2)完善个人信息保护的立法体系
在现有国家和地方个人信息保护立法实践的基础上制定个人信息保护的专门法,厘定移动互联网时代个人信息保护的基本原则和规则,对企业如何保护收集来的个人信息做出明确规定,明确个人的信息数据准入权、删除权、修改权、救济权等内容,完善个人信息违法行为的责任体系。完善与个人信息保护相关的法律法规,针对垃圾电子邮件、手机垃圾短信等与个人信息保护密切相关的问题制定法律法规,为移动互联网时代个人信息的法律保护提供多角度、全方位的立法支撑。完善个人信息安全相关法律的实施细则,细化个人信息保护相关法律的基本规定,提高个人信息法律保护的可操作性。
(3)完善对个人信息保护方面的监管手段,优化个人信息保护的执法机制,设立个人信息监督管理机构
为避免多头监管带来的问题,可以设立跨部门的个人信息保护委员会,统筹规划,专司其职。强化个人信息保护的事前监管。对于监管过程与实际操作的过程中,不能一概而论,需要审时度量,拒绝“一手抓,一锅出”,试图以同一方式解决所有问题。在监管手段方面,可采取分散设点,严格分区,做到分工有别,相互依托,并与顶层衔接,形成一个完整的监控体系。对于不同的区域以及信息需求程度分别对待,做到将监管安排在事前,实现政府及有关部门的围观操控,对个人信息以及数据的安全实现真正的实时保护。同时也可以方便第一时间发现问题,做到“早排查,早解决”,将各种相关问题扼杀在萌芽之中。并且政府应主动推动与支持企业的自律行为,营造良好的企业与市场的和谐氛围。对于企业自律给予帮助与奖励。从而鼓励更多的企业加入其中,从根本上解决个人信息泄漏的漏洞。同时也要组建与扶持外部监控组织,严格对企业自律的行为做出公开公正的评价,使监控过程透明化,更有说服力,保障企业在自律的过程中内部的纯洁性。在移动互联网时代,一旦保护个人信息被泄露,其被非法使用可能带来诸多无法弥补的危害和危险,保护个人信息不能只立足于事后查处,更应着眼于事前预防,从根本上预防非法使用个人信息的行为。建立企业个人信息泄露问责机制,加大对涉事企业的处罚力度,增强企业对用户信息安全维护意识。
(4)对于当前已存在的重点突出问题采取紧急解决方案,对重点问题进行着重管理,以达到解决疑难问题的同时也对其它问题预先提供示范的先例以及警示作用
对于目前最突出的问题,无疑是安卓手机应用的泛滥与监控的不成熟。首先,安卓市场用户基数较大,应用商店较多,开发门槛也较低,虽然便于开发者的创新运营,但也有着许多的隐患与之共存。目前,安卓应用市场鱼目混杂,有很多不法人员利用其平台发布恶意软件和手机病毒以套取用户的个人信息及资费,导致消费者深受其害,却又无可奈何。对此,各应用商店应自主对各应用软件进行排查与审核,保持市场的纯净化,而政府也要加强对市场的监管与督促能力,保障市场应用的安全。从顶层由上而下逐一管控,不放过任何可疑的弊端,维护广大消费者的合法权益。而苹果系统由于自主开发权限有一定的控制,暂时没有如安卓市场般混乱,但仍有部分上述现象存在,对此各部门应对AppStore进行严格的审核与测试,对通过的应用进行代码签名,以证实此软件安全、可控。同时利用政府的权威性,推出对安卓市场应用对于个人信息收集、采取以及调用方面的法律法规,对其数据收集等行为做出明确的度量,对于企业非授权收集,过度收集,擅自披露与转移个人信息行为给予相应的处罚措施。划清敏感信息与非敏感信息的界限,确保应用仅收集用于服务的必要信息以及对个人隐私信息的保密程度,使应用安全再无其他隐患。
(5)与其他国家联合进行监控
对于我国目前来说,个人信息保护的机制还处于建设的初级阶段,所以应与其他对此相对进步的国家伸出友好之手,共同建立保障个人信息安全的合作协议以及平等、公正的评判标准。积极学习进步国家的发展优势,吸取其发展至今的经验教训。使我国更快速地融入个人安全信息保护这个共赢圈中,为更多的人们提供安全良好的服务体验。另外,积极培养人们对于电信与互联网上的个人信息自我保护意识。
爱立信设备连接平台助力Brighter电子医疗服务交付
爱立信日前宣布总部位于瑞典斯德哥尔摩的Brighter选择爱立信设备连接平台(DCP)作为其移动医疗解决方案的全球连通性管理平台。Brighter将使用DCP标准化解决方案并将该平台用于下一代BrighterOne的生命周期管理、控制和分布,BrighterOne是糖尿病治疗联网设备,结合了血糖测量和胰岛素注射功能。
爱立信Cloud&IP业务部网络功能产品线副总裁AndersOlin表示:“物联网是爱立信一个关键竞争领域,我们看到了移动医疗领域的巨大潜力。在当今竞争激烈的ICT行业,运营商可从提供电子医疗服务、传统的语音和数据服务中受益。此次合作将DCP与Brighter联网产品结合,可为全球运营商创造新的增长机遇并为患者的健康带来积极影响。”
ResearchonPersonal Information Protection Regulations in the Mobile Internet Era
In recent years, with the rapid development of mobile Internet business, the diversity of data information,technology, and the continuous change of personal information has been leaked and abuse of the situation has caused widespread attention at home and abroad. The purpose of this paper is to sort out the situation of data oriented personal information protection, and analyze the difficulties faced by personal information security protection and the protection of personal information in the mobile Internet era.
MobileInternet,personalin formation,protection regulation
2015-09-10)