新兴信息技术背景下我国个人信息安全保护体系研究

本书论及的问题，是非常重要且亟待解决的问题。在主持和参与了诸多研究和实践工作后，作者认为：我国个人信息安全保护的法律法规还有很多不健全，至今没有出台专门的个人信息安全保护法，事后救济渠道不畅通，“有法不依、有法难依”较为普遍；个人信息控制者缺乏自律，个人信息安全风险预评估机制缺乏，组织信息安全防护水平低；相关教育的普及较匮乏，导致信息安全防护意识低。在借鉴国内外相关法律法规和实践经验的基础上，作者通过相关问卷和数据，对我国个人信息安全的风险进行了概述，并提出应对建议。虽然仅是抛砖引玉之研究，但作者的研究方法和调查资料都较为丰富，论证亦较为详实，可以说给出了较为科学和详细的应对方略，一些安全风险案例和国外法律法规的细节描述，都为本书增加了实践指导意义。

本书总报告部分首先介绍了新兴信息技术背景下全球个人信息安全风险态势,接着对全球个人信息保护法律发展情况、个人信息安全管理标准、网络信息安全人才培养进展等进行比较研究，然后对我国如何应对个人信息安全风险提出对策建议，比如研究出台《个人信息保护法》、制定《网络安全法》实施细则、出台“个人信息安全侵害通知”制度、引入“从设计着手保护个人信息”理念等。本书分报告部分对我国社交网络、移动互联网、智慧城市、医疗卫生和未成年人个人信息安全保护现状及存在的问题分别进行了重点分析。

罗力，1982年生，武汉大学管理学博士，上海社会科学院信息研究所副研究员，上海社会科学院信息研究所青年学术交流中心主任，挪威奥斯陆大学计算机法律研究中心访问学者。

主要从事个人信息安全保护、数字经济治理、信息资源开发与利用等领域的政策研究，主持与个人信息安全保护有关的国家社科基金青年项目“新兴信息技术环境下我国个人信息安全保护体系构建及应用研究”以及其他省部级项目3项，并以核心成员身份参与并完成国家社会科学基金重大项目“大数据与云环境下国家信息安全管理范式及政策路径研究”。在《情报学报》《图书情报工作》等重要学术期刊和《网络空间安全蓝皮书》《数字经济蓝皮书》发表论文30余篇。

目录

总报告新兴信息技术环境下我国个人信息安全风险应对1
第一节全球个人信息安全风险态势分析3
第二节全球个人信息保护法律发展研究10
第三节国外个人信息安全管理标准比较研究29
第四节国外网络信息安全人才培养进展研究34
第五节我国个人信息安全保护现状及存在的问题38
第六节加强我国个人信息安全保护体系建设的对策44

分报告之一我国社交网络用户个人信息安全保护研究55
第一节社交网络中用户个人信息安全的内涵58
第二节社交网络用户个人信息安全现状的原因分析59
第三节加强我国社交网络用户个人信息安全保护对策建议63
第四节结语65

分报告之二我国移动互联网用户个人信息安全保护研究69
第一节移动互联网用户个人信息安全的概念72
第二节我国移动互联网用户个人信息安全风险识别和原因探析
72
第三节加强我国移动互联网用户个人信息安全保护的措施76
第四节结语80

分报告之三我国智慧城市信息安全治理研究83
第一节我国智慧城市建设的信息安全风险识别和诱因分析86
第二节加强我国智慧城市信息安全保障体系建设的对策90
第三节结语92

分报告之四我国个人医疗信息安全困境与对策研究95
第一节个人医疗信息安全的概念和内涵98
第二节我国个人医疗信息安全困境和原因分析99
第三节加强我国个人医疗信息安全防护的对策101

分报告之五我国未成年人网络安全和个人信息安全保护研究105
第一节未成年人网络安全和个人信息安全的内涵108
第二节国外加强未成年人网络安全和个人信息安全的举措109
第三节我国未成年人网络安全和个人信息安全困境和原因探析
119
第四节加强我国未成年人网络安全和个人信息安全的措施121

附录1上海市个人信息安全现状调查问卷127
附录2我国社交网站用户个人信息利用与保护调查问卷131
附录3《中华人民共和国网络安全法》有关个人信息保护的条款136
附录4《中华人民共和国民法典》有关个人信息保护的条款139
附录5中华人民共和国国家标准《信息安全技术个人信息安全规范》142
附录6App违法违规收集使用个人信息行为认定方法159
附录7儿童个人信息网络保护规定162

社交网络、移动互联网、云计算、大数据、人工智能、5G等新兴信息技术的应用极大地降低了个人信息的利用成本，提升了个人信息价值，促使围绕个人信息获取、利用和控制的国际竞争日趋激烈。新兴信息技术背景下我国个人信息安全保护遭遇到前所未有的挑战，其中个人信息安全保护的内涵得以扩展，获取和泄露个人信息的渠道更多、成本更低，滥用信息的危害更严重，保障个人信息安全已成为各国重要议题，包括欧盟《一般数据保护条例》、我国《网络安全法》《民法典》等国内外法律法规都对个人信息保护做出了严格的规定。
在此背景下，国内外高校、研究机构、企业等纷纷掀起了对新兴信息技术背景下个人信息安全风险应对的研究热潮，来自法学、政治学、管理学等各个领域的研究人员共同关注个人信息安全风险应对研究，围绕“个人信息保护法”“个人信息保护标准”“从设计保护个人信息”“信息安全教育”“网络安全宣传周”等问题的研究也日趋深入，一定程度上推动了个人信息安全风险应对实践的开展。近年来，笔者有幸见证和参与了国内外个人信息保护研究和实践工作，主持和参与了国家哲学社会科学规划办委托的“新兴信息技术环境下我国个人信息安全保护体系构建及应用研究”“大数据与云环境下国家信息安全管理范式及政策路径研究”等工作，其中一个深切体会是：虽然个人信息安全问题已经引起了国内外监管部门和众多学者的关注，现有研究成果也不少，但大部分研究主要集中于法律和技术领域，比较缺乏对拥有大量个人信息的政府和信息服务运营商的管理制度和流程进行深入的研究。概括而言，我国个人信息安全保护的法律法规不健全，至今没有出台专门的个人信息安全保护法，事后救济渠道不畅通，“有法不依、有法难依”较为普遍；个人信息控制者缺乏自律，个人信息安全风险预评估机制缺乏，组织信息安全防护水平低；信息安全普及教育和专业教育非常缺乏，信息安全保护意识淡薄是我国个人信息安全形势严峻的主要原因。

因此，笔者希望通过网络文献调研法、比较分析法、问卷调查法、实地访谈法和案例研究法等方法探讨新兴信息技术背景下个人信息安全保护的全球经验和创新机制，并研究我国多个行业面临的个人信息安全风险和应对措施，以促进有关行业健康可持续发展。

笔者历时六年多对新兴信息技术背景下我国个人信息安全风险应对问题展开研究，期间有幸接受国家留学基金委和上海社会科学院信息研究所资助，分别前往挪威奥斯陆大学计算机法律研究中心和中国台湾世新大学从事个人信息保护的访学研究。笔者有针对性地对欧盟各国、美国、日本、韩国等国家和地区开展调研，发现目前基本形成了政府、企业、相关社会组织、学校和家庭共同采取措施加以预防和保护个人信息安全的体系。其中政府主要负责出台相关法律、政策，并设立特定监管机构；企业根据法律和政策要求开发能有效降低个人信息安全风险的产品，同时积极开展行业自律工作；相关社会组织建立分享各国经验和最佳实践的平台，有效实现知识和经验共享；学校和家庭则提供专业信息安全教育和个人信息安全普及教育，提升市民的信息安全素养。为了有效应对新兴信息技术带来的挑战，OECD、欧盟、美国、日本等国际组织、国家和地区已对现有个人信息和隐私保护的法律法规进行了修改。

本书是笔者研究成果的集中呈现，首先介绍了新兴信息技术背景下全球个人信息安全风险态势,然后对我国社交网络、移动互联网、智慧城市、医疗卫生和未成年人个人信息安全保护现状及存在的问题进行重点分析。在此基础上，笔者对全球个人信息保护法律发展情况、个人信息安全管理标准、网络信息安全人才培养进展等进行比较研究。最后对如何应对我国个人信息安全风险提出对策建议，比如研究出台《个人信息保护法》、制定《网络安全法》实施细则、出台“个人信息安全侵害通知”制度、引入“从设计着手保护个人信息”理念，鼓励我国企业改善其内部管理流程，以用户为中心，尊重用户个人信息安全，在产品或服务设计初期就导入个人信息保护机制，并最终发展成为企业运作的“默认模式”等。

本书的主要观点体现在以下五个方面：一是个人信息安全侵害所造成的后果，不仅是造成家庭不和，个人财产受损等局部风险，而且是正在上升成为一个挑战现实社会管理系统和诚信系统，进而质疑政府执政能力，直接影响社会和谐稳定的紧迫问题。二是我国在研究出台《个人信息保护法》时，一定要充分吸收全球个人信息保护法的精髓，同时要充分考虑新兴信息技术应用对传统个人信息保护范式的冲击。三是个人信息控制者必须承担更大的责任来获得个人信息当事人的信任，要强化个人信息安全管理机制和防护措施建设，同时要提高其透明性要求，将个人信息来源、分析与利用方式明确告知当事人，给予当事人自由选择退出或加入的机会。四是个人信息安全管理标准是保障机构个人信息安全和保护公民合法权益的一种重要工具，需要出台相关制度加以落实，且贯穿于从个人信息收集到最后销毁的整个流程中。五是“人员”因素在国家个人信息安全保护体系中至关重要，因为个人信息安全防护的好坏并不完全依赖设备，而是更依赖于内部人员信息安全素养的提升，可通过信息安全教育、培养组织信息安全文化等手段切实提高人员信息安全素养。

本书强调对新兴信息技术环境下我国个人信息安全风险的识别和科学应对，并在此基础上对国内外个人信息安全管理理论和方法进行系统性梳理和集成式创新，这不仅有利于完善个人信息安全理论研究体系，而且也有利于改善我国个人信息安全管理实践，规范我国各个层面个人信息的收集、处理、利用过程，同时还有利于信息技术产品开发和智慧城市建设，保障个人信息安全和财产安全，增强用户对新兴信息技术的信心，促进我国新兴信息技术产业的发展和新兴信息技术的普及应用。

本书的写作得到诸多领导、老师、同事和同行们的大力支持，在此表示诚挚感谢。由于学识和时间所限，且本书是有关新兴信息技术背景下我国个人信息安全风险应对的探索性尝试，书中肯定有缺漏和不足之处，恳请方家不吝指正！

个人信息安全侵害并非只发生在我国，同在2014年1月8日，韩国KB国民卡、乐天卡、NH农协卡公司等多家金融机构的一亿多条用户个人信息被泄露，牵扯的人数高达2000万，从社会名流、演艺人士到普通公民都未能幸免，成为韩国有史以来最严重的信息泄露事件。2014年1月10日，美国零售巨头塔吉特表示，在该集团发生的数据库失窃事件中，有7000万顾客的付款卡个人信息被盗取。虽然美国最大的银行摩根大通在安全保护领域有着非常完善的安全规划并不惜投入巨资，但其90多台服务器仍被黑客控制，最终导致8300万用户信息被盗取，这也成为了美国历史上规模最大的客户数据泄露案之一。2015年4月，英国宽带服务提供商TalkTalk公司400多万客户的个人信息被窃取，这可能是英国史上最大规模的个人信息泄漏事件之一；2015年4月，美国人事管理办公室420万现役和前联邦政府员工的个人信息被窃取；美国第二大医疗保险公司Anthem保险客户和员工8000万个人信息被窃取，包括姓名、出生日期、客户ID、社会保险码、地址、电话号码、邮件地址和员工信息。2015年6月，日本政府养老金机构约125万用户个人信息被泄露，包括用户的姓名、年龄、地址、基本养老金号等，这些个人信息有可能被用于盗用客户名义骗取养老金。2016年1月，据国外媒体报道，美国最大的有线电视公司时代华纳旗下约有32万用户的邮件和密码信息已被黑客窃取，这些邮件和密码信息很有可能是通过网络钓鱼的方式获得，同时也可能是保存了时代华纳用户数据的第三方合作商信息泄露所致。2016年4月，土耳其爆发了重大数据泄露事件，近5000万土耳其公民个人信息牵涉其中，包括姓名、身份证号、父母姓名、住址等一连串敏感信息被黑客打包放在芬兰某IP地址下，人们可通过P2P任意下载他们感兴趣的数据。2016年6月，脸书被爆出窃听用户通话的新闻事件，即脸书可能利用某种App，通过智能手机对用户的对话进行录音，使用户页面显示与对话内容相关的广告。由于该应用程序发挥了收集、使用手机用户声音及声音内容个人信息的作用，在“告知后同意”原则的要求下，脸书必须在使用者下载前，清楚告知用户该应用程序会打开手机的麦克风收集声音。2018年1月，一位匿名黑客在第三方计算机服务器上进入了Sacramento Bee的两个数据库，并要求后者以支付比特币的方式赎回这些数据。这次入侵让Sacramento Bee的一个数据库发生泄露，其中包含来自美国加州州务卿的选民登记数据，而另一个数据库包含了在2017年之前激活数字账户的订阅用户联系信息。这个选民数据库包括1940万选民的联系信息（地址和电话号码）、党派关系、出生日期和出生地点。另一个订阅用户数据库则包括53000名当前和前Sacramento Bee用户的姓名、地址、电子邮件地址和电话号码。2018年6月，安全研究员Vinny Troia梳理数据库时发现，来自数据代理商Exactis的包含3.4亿条记录的数据库暴露在可公开访问的服务器上。这2TB大的数据库几乎囊括了所有美国公民，且包含非常详细的个人信息。除电话号码、家庭住址、电子邮箱等外，每条记录还包含超过400种各类具体特征，比如是否吸烟、宗教信仰、有无宠物等。虽然数据库中不包含财务信息或身份证号，不能直接用来进行身份盗窃，但其所含个人信息的深度，能为其他形式的社会工程欺诈提供帮助。

以上仅仅是近些年国内外个人信息安全侵害的一些案例，类似的例子更是数不胜数，这一系列个人信息安全事件引发了越来越多国际组织和国家的关注。个人信息安全侵害不止造成家庭不和、个人隐私权和财产权受损等局部风险，而且严重打击人们参与信息消费的热情和信心，进而造成挑战现实社会管理系统和诚信体系，影响社会和谐稳定，质疑政府执政能力，威胁国家信息安全等严重后果。