汤立波 中国信息通信研究院技术与标准研究所高级工程师

李璐 中国信息通信研究院技术与标准研究所助理工程师

葛雨明 中国信息通信研究院技术与标准研究所博士

韩涵 中国信息通信研究院技术与标准研究所博士

网络技术——用户个人信息保护专题

电信和互联网服务用户个人信息保护研究

汤立波 中国信息通信研究院技术与标准研究所高级工程师

李璐 中国信息通信研究院技术与标准研究所助理工程师

葛雨明 中国信息通信研究院技术与标准研究所博士

韩涵 中国信息通信研究院技术与标准研究所博士

电信和互联网服务中产生了大量用户数据，用户个人信息保护面临挑战。本文阐述了对用户个人信息保护的理解、国内外保护状况，探讨了我国用户个人信息保护面临的主要问题并提出建议。

电信和互联网 用户个人信息 保护

1 引言

电信和互联网服务中存在大量用户个人信息，这些信息具有应用价值高、挖掘潜力大的特点，是电信和互联网业务创新、提供个性化服务的重要基础数据。用户个人信息的高价值性吸引了大量业务开发者、服务提供者甚至恶意窃取者，由于电信和互联网企业用户个人信息保护水平良莠不齐，导致行业内存在较多未经授权收集、使用、披露、转移用户个人信息行为，且有愈演愈烈的趋势，社会各界高度关注。加强电信和互联网用户个人信息保护，营造良好的用户个人信息保护氛围，维护用户合法权益，成为社会、政府、企业和用户共同面临的重要问题。

2 对电信和互联网服务用户个人信息保护的理解

2.1 电信和互联网服务用户个人信息的定义

电信和互联网用户个人信息是指“电信业务经营者和互联网信息服务提供者在提供服务过程中收集的能够单独或者与其它信息结合识别用户和涉及用户个人隐私的信息”。

电信和互联网用户个人信息可分为以下3类：

（1）用户身份和鉴权信息

能够单独或与其它信息结合，对用户自然人身份进行识别，或代替用户自然人身份属性在电信和互联网服务中使用的虚拟身份信息，也包括用于验证身份的鉴权相关信息。例如，姓名、年龄、性别、证件类型、证件号码、服务账户、密码口令等。

（2）用户数据和服务内容信息

电信和互联网服务过程中收集的具有用户隐私属性的数据和内容信息。例如，通话内容、短信、彩信、用户存储的私有数据和媒体信息、即时通信内容、通讯录、好友列表等。

（3）用户服务相关信息

电信和互联网服务过程中，所收集的服务使用情况及服务相关辅助类信息。例如，业务订购信息、服务记录和日志、消费信息和账单、设备信息等。

2.2 用户个人信息保护的理解

电信和互联网用户个人信息保护的核心理念是在收集、使用用户个人信息时，遵循合法、正当、必要的原则，重点保护用户的知情权和选择权。

目前，电信和互联网服务用户个人信息保护面临的挑战主要集中在未经授权收集、使用、披露、转移用户个人信息，或收集服务所必需以外的用户个人信息等方面。电信和互联网服务用户个人信息保护的关键环节包括：

（1）服务推广过程的用户个人信息收集和使用

服务推广渠道可能存在非法、未经授权、收集服务所必需以外的用户个人信息现象。

（2）服务提供过程的全流程用户个人信息保护

在业务的运营维护、业务使用的全生命周期都需加强用户个人信息保护，合理、合法、有效授权地对用户个人信息进行收集、使用、披露、转移、删除。

（3）服务终止过程的用户个人信息有效清除

用户个人信息需要随着服务的终止有效清除，或在用户授权并有效保护的情况下合理保存。

3 电信和互联网用户个人信息保护现状

3.1 国外用户个人信息保护政策

国际社会普遍重视用户个人信息保护，主要发达国家和地区通过立法、行业自律、国际协作等方式加强用户个人信息保护。

（1）美国

美国强调行业自律，形成了较好的行业自律氛围，强调政府的有限介入。美国的用户个人信息保护工作起步较早，主要措施如下：

●加强立法

美国政府陆续出台了《隐私权法》、《信息自由法》、《电子通讯隐私法》和《有线通讯隐私权法案》等基础性和行业性法律，构建个人信息保护的法律依据。

●充分发挥行业协会和私人机构的作用，大力推动行业自律，形成了良好的行业自律氛围

例如，1998年6月，由美国电子工业协会、美国工商协会等和AOL、AT&T、IBM、BankofAmerica等100多家团体和企业成立了“在线隐私联盟”；美国商务网络财团和电子前线基金会共同发起了网络隐私认证机构TRUSTe；美国BBBonline推行了网络隐私认证计划等。

（2）欧盟

欧盟依托完备的法律，通过法律强制力高标准开展用户个人信息保护，强调政府在其中的主导地位。

●欧盟层面加强立法，协调欧盟各国国内法，确保用户个人信息在欧盟范围内自由流动

1995年，欧盟通过了《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》；1997年，通过了《有关电信行业中的个人数据处理和隐私权保护的指令》；2002年，颁布了《关于在电子通信领域个人数据处理及保护隐私权的指令》。

●主要欧盟国家也制定了相关法律保护用户个人信息

德国于1976年颁布了《联邦资料保护法》；法国于1978年通过了《法国自由、档案、信息法》；英国于1984年制订了《数据保护法》；1981年，冰岛发布了《有关个人资料处理法》；1987年，芬兰出台了《资料保护法》；1978年，奥地利也发布了《信息保护法》等。

（3）国际范围内

国际范围内的用户信息保护合作机制正逐渐形成。

●国际组织加强多边合作，积极开展用户个人信息保护工作

经济合作与发展组织（OECD）理事会颁布了《关于保护隐私和个人数据国际流通的指南》，亚太经合组织（APEC）建立了地区隐私保护标准。

●欧美之间十分重视开展个人信息保护方面的双边合作，积极协调不同的用户个人信息保护准则

2000年，欧盟与美国政府签订了个人信息保护“安全港”计划，对加入“安全港”计划的美国公司进行监管，在确保美国企业达到欧盟的较高保护准则的同时，维持美国长久以来一直采用的自律机制。

3.2 我国电信和互联网服务用户个人信息保护政策

目前，我国电信和互联网行业用户个人信息保护工作得到监管机构、社会舆论、企业和个人的高度关注。现阶段我国用户个人信息保护工作主要体现在两方面：

●强化相关法律法规中的个人信息保护条款，出台相关部门规章制度，加强个人信息保护方面的监管。

●重视个人信息保护相关国家和行业标准的制定，通过统一规范来引导行业自律，加强个人信息保护。

近年来，我国逐步加强法律和行政规章顶层设计，初步建立了个人信息保护法规体系。2009年，第十一届全国人民代表大会常务委员会第七次会议通过了《中华人民共和国刑法修正案（七）》，对于获得、出售或非法提供给他人公民用户信息的行为定义为违法行为，明确有期徒刑、拘役或处罚金等惩处措施。2012年12月28日，第十一届全国人大常委会第三十次会议审议通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》，强调保护能够识别公民个人身份和涉及公民个人隐私的电子信息。在人大文件基础上，2011—2013年，工业和信息化部先后出台20、24号令，对我国电信服务和互联网信息服务过程中收集、使用用户个人信息的活动提出了明确要求。另外，《工业和信息化部关于电信服务质量的通告》将用户个人信息保护问题单独作为通告的一部分内容呈现，按季度向全社会通告，不断加强监管力度。

另外，我国用户个人信息保护标准体系正加速建立。2013年2月，国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》发布；2013年底，中国通信标准化协会（CCSA）启动了电信和互联网行业用户个人信息保护标准的制定，其中《电信和互联网服务用户个人信息保护定义及分类》对电信和互联网用户个人信息的定义和分类进行了规定，为用户个人信息保护工作的开展奠定了基础；《电信和互联网服务用户个人信息保护分级指南》规定了电信和互联网服务用户个人信息保护的对象和分级方法，是开展差异化分级保护工作的总体性指导文件。《电信和互联网服务用户个人信息保护技术要求移动应用商店》、《电信和互联网服务用户个人信息保护技术要求电子商务服务》、《电信和互联网服务用户个人信息保护技术要求即时通信服务》等标准对具体业务的用户个人信息保护提出了要求，为我国电信和互联网企业开展服务提出了明确、统一的要求。

3.3 手机应用软件是当前用户个人信息保护的重点领域

截止到2014年底，我国手机用户数量达到12.86亿人，手机上安装的应用软件成为用户常用工具，主流三大手机操作系统分别是谷歌Android、苹果IOS、微软WindowsPhone操作系统，这些系统的手机应用软件都面临用户个人信息保护挑战。手机应用软件行业存在大量收集用户个人信息现象，如何保护用户个人信息值得警惕。中国信息通信研究院技术与标准研究所“用户个人信息保护实验室”2015年上半年对全国应用商店抽样检测，12万款安卓系统手机应用软件中存在读取用户手机号码行为的占15.7%，读取位置信息的占43.6%，读取用户通讯录的占4.4%，读取短信记录的占4.1%，读取通话记录的占2.6%。数据显示，基于手机应用软件的用户个人信息收集和使用现象非常突出，在大量的用户信息收集行为中，判断用户个人信息收集行为是否为服务所必需、是否合理合法、是否满足了用户的知情权和选择权成为政府监管和行业自律的重点。

4 我国面临的问题和建议

4.1 我国面临的主要问题

我国电信和互联网服务用户个人信息保护工作刚刚起步，目前面临的主要问题如下：

（1）法律规章及技术标准需随着产业发展不断完善

●电信和互联网服务业务形态多、更新快，用户个人信息保护相关法律、规章、标准需适应产业发展不断完善，同时目前还缺少必要的业务审查、检查机制。

●现有的行政处罚力度过于轻微，根据《行政处罚法》和国务院的有关规定，部门规章设定的罚款最高额度较低，高价值的用户个人信息和违规代价低之间不平衡，无法保证监管工作的有效威慑力。

（2）企业自律和用户自我保护意识均有待加强

●目前互联网特别是移动互联网中，形成了很多以用户个人信息为基础的商业模式，企业在收集、使用用户个人信息时对用户知情权、选择权保护水平参差不齐，部分企业自律意识不足。

●用户的个人信息保护意识不强，相关服务收集、使用个人信息的声明和措施未得到用户的应有重视。

（3）侵权行为隐蔽，违规取证困难

用户个人信息侵权行为通常非常隐蔽，用户信息侵权时取证困难、追责困难。政府、服务提供者和经营者在用户个人信息保护工作中的认证、检测技术支持还有不足。

4.2 我国电信和互联网用户个人信息保护工作建议

面对当前快速发展、不断创新的电信和互联网服务产业，用户个人信息保护工作应以维护用户权益为目标，同时保证产业健康发展。相关工作建议如下：

（1）分阶段、突出重点，以手机应用为突破口带动全行业健康规范发展

由于电信网和互联网业务种类多、差异大，用户个人信息保护问题复杂，短期内全面展开用户个人信息保护工作难度较大。因此，建议抓住重点，寻找工作突破口，快速推动工作并取得成效。近期手机应用软件用户个人信息保护问题值得重点关注，另外电子商务、社交类服务也是涉及用户个人信息较多领域。

（2）加快配套规章制度、标准出台，确保工作“有法可依”

建议结合工作重点，尽快出台更细化、可操作性强的法律、规章制度、标准，为用户个人信息侵权判定提供依据，为企业自律和自我管理提出明确的要求和指导文件。政府加强法律、规章制度和标准宣贯，监督落实，形成企业自查、监督检查制度。

（3）推动行业自律

促进企业用户个人信息保护自律，有效保护、尊重用户的知情权、选择权，将行业自律风气与监管结合，在行业内形成良好的用户个人信息保护氛围。

（4）完善技术能力建设

针对电信和互联网行业需求，进一步完善技术检测手段和违规取证能力建设，形成行业权威开放检测平台，满足政府监管、企业自律工作需求。

1 中国通信行业标准.YD/T2781-2014.电信和互联网服务用户个人信息保护定义及分类

Research on User Personal Information Protection of Telecom and Internet Service

There is a lot of user data in telecom and internet services,which need to strengthen protection.In this paper,we present the understanding of user personal information protection,introduce the development status,and propose some suggestions.

telecom and internet,user,personal information,protection

2015-09-18）