求是网:李克强总理在十二届全国人大三次会议上所做的政府工作报告中指出,政府要加强事中事后监管,健全为企业和社会服务一张网,推进社会信用体系建设,建立全国统一的社会信用代码制度和信用信息共享平台,依法保护企业和个人的信息安全,您是怎样理解总理这段话的?
冯俊:十八届四中全会党中央提出了全面推进依法治国的重大决策,全面推进依法治国是和每一个人的日常生活密切相关的,尤其涉及到个人信息安全问题,在大数据建设中重视个人信息安全、保护个人隐私就是全面推进依法治国的具体体现。所以,李克强总理在政府工作报告中对这一问题做了专门的阐述与部署。
求是网:您认为目前个人信息安全存在哪些问题?在现实生活中有哪些表现?
冯俊:前不久,手机微信中流传着一个段子:“一个故事告诉你什么是大数据时代?”说的是一快餐店的客服人员接到一个顾客要求送外卖的电话并告知会员卡号后,马上说出了顾客的住址、家庭电话、办公电话和手机号码;当顾客点完菜之后,客服人员又根据顾客本人医院体检记录、他母亲住院记录、图书馆借书记录说出哪些菜不适合他们家人;当顾客想要刷卡时,客服人员又说出了他的银行卡透支了多少、当日提现款超过限额等情况;当顾客要求把外卖送到何处时,客服人员则通过全球定位系统的车辆自动跟踪系统记录说出了顾客的摩托车车牌号和此时正在行驶的路段等,顾客听完后当即晕倒。……
这是一则笑话,但是它把大数据时代个人信息安全得不到保障、个人隐私荡然无存的状况活生生地表现出来了。而在现实中,此事未必是笑谈。
求是网:您刚才提到大数据和个人信息安全管理,您认为大数据建设中凸显了哪些个人信息安全问题?
冯俊:智慧城市建设大大加速了大数据的生产,由于城市公共信息平台汇集了城市的地理空间信息、人口信息、经济信息、信用信息、政务信息等各种信息资源,因此,这些大数据无疑已成为国家重要的战略资源。个人信息是大数据中的重要组成部分,也是各种信息平台都希望采集的重要资源。大数据要采集大量的个人信息,涉及到许许多多的个人隐私。在日常生活中,我们都能感受到,每当我们安装一个手机客户端时,软件都会要求读取通讯录信息、位置信息等;当我们使用电商网站服务时,经常需要填写真实姓名、出生年月、家庭住址、联系电话等个人信息。因此,商业网站掌握着我们的购物习惯;银行等金融服务部门掌握着我们的资产信息和资金往来情况;社交网络运营商掌握着我们衣食住行的各种细节……除此之外,其他的政府部门和公共服务机构如税务部门、教育机构、保险公司等也会在行政管理和提供服务的过程中收集公民的诸如收入、教育、身体状况等数据。商业公司掌握客户的个人数据固然有助于为客户提供更有针对性的服务,但是,如果对这些收集数据的行为与收集的数据不加以规范,一旦与互联网传播相结合,将会导致严重的侵害个人权利的行为。从媒体的报道得知,个人信息泄露事件时有发生。仅以2014年为例,某铁路客户服务中心网站再次爆出用户账号串号的问题,大量用户身份证等信息遭泄露;某电子商务公司前员工将20G用户资料贩卖给电商公司、数据公司;某酒店管理公司泄露数以千万的开房信息;还有报考研究生信息被出售,涉及考研用户的姓名、手机、身份证、地址、学校等敏感数据等等;这些事件不能不让我们担忧个人的信息安全问题。
求是网:您认为是什么原因导致了个人信息的泄露?
冯俊:从目前的现状来看,个人信息的泄露存在着下述原因:
1、个人信息法律保护不完善。在现有法律法规中,既缺少对个人信息、个人信息权利主体等概念的明确规定,也缺乏在数据的收集、使用和管理上明确的规范性指引。个人信息和个人隐私如何区分?哪些信息是可以流动、利用的,哪些信息是必须保密的?客户数据是属于企业还是属于用户的数据产权问题如何确定?这些都需要有法律制度。当前,我国初步建立了对个人信息和个人隐私权保护的法律体系,散见在相关法律条款、行政法规和部门规章中,但缺少个人信息保护方面的专门性立法,没有一部基本法律来全面系统地就个人信息保护的基本原则、个人信息主体的权利、监管机构及其职责、个人信息和隐私权受到侵犯时有效的法律救济等重要问题作出规定。2012年全国人大常委会出台的《关于加强网络信息保护的决定》只是规定了个人信息保护的基本原则,操作性不强,需要配套的法律法规以及操作性强的实施细则。
2、数据库本身存在重大安全缺陷。数据库也存在诸多的安全漏洞,黑客往往利用这些漏洞,对数据库进行侵入。由于对数据库访问的操作缺乏控制,很容易造成数据泄露,某些程序人员也恶意利用这些控制缺陷,在应用程序中埋下后门程序,对有价值的信息进行非法下载。数据库维护模式也在向服务外包模式转变,企业和政府部门的数据库采用服务外包的方式交给IT企业进行维护管理,使数据库的直接接触人员,不仅限于企业的内部维护人员,同时包含大量的服务外包人员、程序开发人员和系统测试人员,使传统基于人工内部管理模式为主的数据库安全机制面临巨大挑战。
3、数据使用监管存在明显隐患。企业对所收集用户数据的使用权边界模糊不清,用户无法了解自己隐私信息的用途,缺少知情权和选择权。个人信息保护目前属于多头监管,公安部、工信部、全国工商总局、商务部、中国人民银行、银监会、保监会、证监会等都负有个人信息监管职责,多头监管容易造成监管无序。主管部门重事后监管审查,缺少事前、事中监管。个人信息泄露缺乏对机构的问责机制,相关处罚只针对个人而不针对机构,难以真正起到警示作用。
求是网:那您认为解决这个问题应该采取哪些路径?
冯俊:大量个人信息泄露事件的出现,表明保护个人信息安全迫在眉睫。针对保护个人信息的现实需要,制订和修订相关的法律法规,加快了对个人信息保护方面的立法实践,在严格保护个人隐私的前提下推动大数据建设,是我们必须尽快研究的重要课题。
大数据时代,保护个人信息安全是一项非常复杂的系统性工程。它需要从法制建设、技术创新、监督管理、行业自律等多层面进行配套制约,建立起长效机制。基于当前我国大数据的发展趋势和个人隐私保护存在的问题,为把全面推进依法治国落到实处。
求是网:冯委员您是否对这个问题提出了什么提案或建议?
冯俊:针对这个问题我这次提出了一个提案,其中提出了如下建议:
1、尽快完善个人信息的法律保护。当务之急是建立起一个完善的、具有较强可操作性的个人信息法律保护体系。尽快出台统一的个人信息保护法,以明确个人信息的权利边界,个人信息收集及使用者的责任、义务,及侵权救济等问题。同时完善个人信息保护法律的配套实施细则、法律解释,增强个人信息法律保护的可操作性。优化执法体制,加强对个人信息安全行业的监管。建立关于个人信息保护的部门协调联席机制,强化事前、事中监管,加大监督检查行政执法,加强企业对个人信息泄露的问责机制和处罚力度。希望能单独制定一项与大数据和互联网有关的隐私保护条例。
在个人信息的法律保护方面,美国采取分行业保护的分散立法模式,保护个人信息的法律规定散见于各部门法。欧盟模式则是一种政府主导下的个人数据资料的保护模式。以制定统一的个人信息保护法为特征,两种立法模式各有利弊。
建议借鉴上述两种模式各自的成功经验,尽快形成个人信息保护的中国立法路径。
网络时代和大数据的使用在很大程度上加大了隐私泄露的风险,更容易侵犯个人隐私权。在中国,民法没有把隐私权确立为一项独立的人格权,只是借助司法解释并通过保护名誉权的方式或以维护公序良俗含括公民的隐私权,采取的是间接保护方法。实践证明,这种间接保护隐私权的方法,是不完备、不周密的。建议在宪法和即将制定的民法典中,明确规定隐私权为公民的一项独立的人格权,对公民隐私权的保护应形成以宪法为核心,以民法典为重点,以刑法、行政法等其它法律法规为辅助的保护体系。
2、加大对数据中心信息安全的监管力度。如今“云计算”技术建设数据中心已越来越普及,在带来便捷的同时,“云计算”安全亟待提高。除了加强数据中心的软硬件建设,尽可能减少数据中心本身的安全缺陷之外,还要学习信息服务行业的跨国公司在保护数据安全和客户隐私方面的管理制度和管理方法,提高数据中心提供信息服务和保证数据安全的能力和水平。应加强对数据库的监管,采用“最少权限”原则——也就是根据角色或工作职能需要来授予权限的管理办法来提高数据安全的保护力度。
3、建设信息安全生态圈。在智慧城市建设中政府、企业、用户都是数据的生产者、采集者和使用者,要从根本上保障信息安全,必须从多方入手,建立一个适合中国国情的信息安全生态圈,让政府、企业、用户分别承担起相应的保护信息安全的责任。建议工信部研究政府、企业和用户分别在信息安全生态圈中的职能和作用,以及它们发挥作用的方式、方法和手段,加强行业监管,提高信息安全监管水平,并在保证个人隐私安全和数据库安全的前提下,推动政府数据公开,加速数据流动,鼓励创新;企业应加强行业自律,并重视自身信息安全的软硬件建设和内部信息安全规章制度建设;个人应加强信息安全知识教育,提高信息安全意识。此外,全社会应弘扬诚信文化,在保护个人信息安全方面营造良好的社会氛围。
求是网:希望您的提案能够被采纳并能产生实际影响,能够使我们这方面的问题得到改善。谢谢您接受我们的采访!
冯俊:谢谢您。
(冯俊,全国政协委员,中国浦东干部学院常务副院长)
(冯俊,全国政协委员,中国浦东干部学院常务副院长)