浅谈个人信息的法律保护

2021-03-07吕宏强郭萍

网络安全技术与应用 2021年9期

◆吕宏强郭萍

浅谈个人信息的法律保护

◆吕宏强1郭萍2

（1.中共宝鸡市委党校陕西 721001；2.中共陕西省委党校陕西 710061）

“法律是治国之重器，良法是善治之前提”。在个人信息威胁日益剧增、法律保护体系不健全的实情下，合理利用和有效保护个人信息已成为社会各界广泛关注的热点问题。本文从个人信息面临的威胁入手，通过对个人信息法律保护存在问题进行分析，提出了多位一体的个人信息法律保护思路。

个人信息；安全威胁；法律保护

随着信息技术的广泛应用和互联网的不断普及，个人信息面临威胁五花八门、防不胜防，给个人信息的防护带来了前所未有的挑战。合理利用和有效保护个人信息已成为社会各界广泛关注的热点问题，个人信息保护迫在眉睫。

1 个人信息面临的威胁及防护特点

1.1 个人信息面临的主要威胁

截至2020年12月底我国网民数量达9.89亿，庞大的网民数量所面临的各种威胁更加严峻。近年来，个人信息面临的传统威胁仍然以信息泄漏、病毒、木马、诈骗、假冒、信息骚扰为主。新的威胁五花八门、令人防不胜防，新威胁主要有：APT攻击，恶意软件，勒索攻击，IoT僵尸网络攻击，渗透攻击、挖矿木马攻击、新冠疫情话题攻击等，攻击者的技战术水平日益提高。

目前，全球范围内最具代表性、影响最大、危害最严重的是APT攻击。APT攻击成为政治斗争、经济制裁、军事打击之外最隐蔽、最有效的攻击方式，越来越多的国家已经组建国家级的APT攻击组织（网络军队）。针对我国的境外APT组织主要有：美国的方程式和索伦之眼，越南的海莲花，印度的曼宁花、响尾蛇、白象，朝鲜的黑店、Lazarus等。以APT攻击为代表的新的网络威胁，不仅严重危害个人信息安全，甚至还威胁到国家安全。

1.2 个人信息防护的特点

网络威胁的日新月异和防不胜防，加大了个人信息防护的难度。个人信息防护呈现如下新特点：

（1）网络威胁多元化：网络面临的威胁不是单一的，而是诸多攻击技术融合、多元化的威胁。如APT攻击与勒索病毒、木马攻击融合，VPN攻击与木马技术融合。再加上网络交易的便捷化，使得黑客交流攻击技术和提升攻击能力的途径更加多样，使得威胁检测和防护难度再次加大。

（2）APT组织政府化：APT组织由以前的非政府组织变为政府化、国家性组织，国家层面的攻防对抗正向“实战化攻防”演变，网络军队取代黑客组织，APT攻击与地区间的政治、经济、军事冲突同步发生。

（3）黑客群体大众化：黑客通过黑客论坛、网上交易、暗网等渠道交易各种黑客工具，这使得一般的人低成本轻易获得各种黑客攻击教程和工具，并通过网络轻而易举攻击他人。黑客群体的大众化，进一步加大了信息安全的防护。

（4）经济损失巨额化：2019年网络安全给全球造成的经济损失达到2.5万亿美元，并逐年增加。网络威胁的损失超过一般的自然灾难的损失，“网络威胁胜于灾难”。

（5）信息防护复杂化：面对复杂多变的威胁，防护的难度和复杂度加大。道高一尺魔高一丈，防护总是走在攻击之后，信息防护任重道远。

2 个人信息法律保护存在的问题

目前，网民正面临着各种前所未有的威胁，我国成为遭受网络攻击最严重的国家之一。同时，我们同发达国家的网络安全防护技术水平差距较大，个人信息保护的相关法律制定和执行还存在诸多问题。

2.1 个人信息的法律保护模式不明确

关于个人信息的法律保护模式，国际上主要有三种模式：欧盟模式——立法规制模式，是以政府立法为主导实现对个人信息的保护。美国模式——行业自律模式，是建立在对个人资料隐私保护的基础上，其立场所强调的精神是行业自律，而不是政府法律规制的介入。日本模式——综合保护模式，以欧盟立法规制模式为主，引进美国的行业保护机制，通过政府立法和行业自律共同实现个人信息的保护，同时注重提高个人的保护意识。

关于个人信息的法律保护模式，目前国内理论界处于众说纷纭的阶段，理论探讨的多，实际实施的少，还没有建立明确的个人信息保护的法律模式，对个人信息的本质也存在争议，这必然导致在法律保护上的无力。

2.2 个人信息保护的法律体系不完善

在国外，关于个人信息保护的法律法规制订的比较早，法律体系相对比较健全。德国早在1976年颁布《联邦资料保护法》，英国1984年制定《数据保护法》，欧盟1995年通过了《欧盟个人数据保护指令》。美国早在1974年就通过了《保护隐私权的法案》，1997年提出了关于网络个人隐私的保护基本原则。日本早在1974年制定了个人信息条例，1988年10月制定和实施行政机关电子计算机处理个人信息保护法，2006年发布了工业标准《个人信息保护管理体系——要求事项》。

在我国，近年来有关个人信息的法律法规陆续发布。2014年习近平总书记指出“没有网络安全，就没有国家安全”；2015年刑法修正案（9）涉及个人信息的保护；2017年《网络安全法》实施；2018年中央网络安全和信息化委员会改组成功；2019年《密码法》、《等保2.0》等相关法律法规颁布，《网络安全威胁信息发布管理办法》征求意见已完成，发布时间待定；2020年10月《个人信息安全规范》实施。除此之外，我国的宪法、民法典、刑法、行政法等涉及个人信息保护的法律法规达20多部，但全都比较笼统，责任不明晰，侵权处罚不明确，操作性不强，法律体系不完善。

2.3 个人信息管理行业自律机制不健全

在我国，涉及个人信息的管理机构和部门比较多，但是管理都比较松散，缺少行业自律机制，对于个人信息管理过程的保密工作做得不够好，经常出现的个人信息泄露大部分都是由于行业管理人员的有意或者无意导致的。

2.4 政府的行政监管和法律执行不力

政府对整个信息产业的监管权较为分散，缺少统一性以及全局性，监管能力较弱。根据我国信息行业的实际情况，现在的主要目标是加强政府对行业自律监管的统一性及执法性。比如大量个人信息从行政管理部门泄露，与政府的行政监管不力有关。民政、医疗、工商、工信、教育等部门均存在个人信息泄漏的现象。同时关于个人信息保护的相关法律执行也不力，存在有法不依现象。

3 个人信息法律保护的思路

个人信息的保护涉及道德、理念、技术、标准、管理、法律等许多层面问题，所以个人信息的保护应该全面考虑，着力构建多位一体的保护体系。其中道德和理念方面是相对个人信息主体而言的；技术、标准、管理是相对信息行业而言；法律层面的保护是从法制角度而言，是保护中的基础和重点。

3.1 尽快确立个人信息的法律保护模式

国际上个人信息的法律保护模式已施行多年，各有千秋。整体而言，美国模式较为松散，不统一；而欧盟模式则较为死板，过于严格。因此有学者提出建议，主张我国实行所谓的综合模式，这种模式大致可以分为两种：一种是以美国行业自律模式为主，再增加欧盟模式的立法规制；另一种是以欧盟立法规制模式为主，再融合美国模式的行业自律。从我国的国情看，应该采用第二种，也就是加强国家的统一立法，同时完善行业的自律法规。

3.2 健全个人信息保护法律体系

“法律是治国之重器，良法是善治之前提。”我们应该：一是依照综合保护模式尽快制定我国的《个人信息保护法》；二是推进行业管理的立法工作，通过一系列的法律法规来保障个人信息的安全；三是修订完善相关的法律法规，比如在宪法、民法典、刑法、行政法等法律体系中明确增加相关个人信息保护的条款等。

3.3 完善信息行业自律机制

在网络时代，行业自律发挥着极其重要的作用。在进行立法规制的过程中，将行业自律也纳入个人信息保护模式当中，将行业自律同相关的法律规定有机结合，克服立法规制模式的缺点，以便更好地保护个人信息。一要完善网站的隐私权声明保护。在网站的隐私声明中，应当明确告知网站收集个人信息资料的方式、范围及使用目的；应明确告知网民在使用其服务时可能存在的个人信息被侵害的风险，并对此风险提出针对性的技术防护方案。二要加强信息行业内部监督。行业内部的监督可以有效审查和督促个人信息保护，同时相对于政府的监管会更直接、更有效。为了更有效加强行业内部监督，应建立一套专门的自身监督激励机制，最大程度进行行业内部监督，从而更好地保护个人信息安全。

3.4 加强政府行政监管力度

政府应该发挥自身监管职能，对互联网行业进行充分有效的监管，以达到个人信息的有效保护。根据我国信息行业的实际情况，目前主要目标是加强政府对行业自律监管的统一性及执法性。建议：一是应当建立独立的信息行业自律监管机构，可以有效避免监管主体的缺失或者监管重复的现象；同时根据实际情况可以赋予监管机构相应的职权。二是在监管的程序方面，应当坚持行政公开和公众参与的原则，保证监管工作的公开化和透明化；并及时反馈信息服务提供者及网民的意见，提高监管工作的实效性。

3.5 完善法律辅助保护作用

一是从行政法方面完善。针对我国的实际情况，可以先进行行政立法保护个人信息。由于民法立法速度的缓慢和立法程序的复杂，满足不了个人信息的保护需求。行政立法具有自身的灵活性、程序简便性，可以适应快速变化的网络社会。二是从刑法方面完善。刑法在个人信息保护方面起着非常重要的作用。2009年的刑法修正案（7）和2015年8月刑法修正案（9）中有相关个人信息保护的条款，但是比较笼统，不够明确和严厉，不够全面和系统。因此，结合其他部门法不断修正刑法，发挥刑法在个人信息保护中的重要作用。