有限实名网络环境中的个人信息保护
2016-08-15周伟良李亚平
周伟良,李亚平,2
(1.安徽行政学院,安徽 合肥 230059;2.合肥工业大学 管理学院,安徽 合肥 230009)
有限实名网络环境中的个人信息保护
周伟良1,李亚平1,2
(1.安徽行政学院,安徽 合肥 230059;2.合肥工业大学 管理学院,安徽 合肥 230009)
有限实名网络作为重要的网络发展形态,带来了网络环境治理的新途径,同时也带来了个人信息保护的新需求。个人信息保护虽然得到了越来越广泛的重视,但在网络环境快速发展、变化转型的阶段,仍然存在诸多局限性认识。文章从保护范围、使用界限、交易隐蔽性、互联网企业责任等角度分析了有限实名网络中个人信息保护面临的实际障碍,围绕信用体系、行业自律、市场监管等提出了具体的建议。
有限实名网络;网络实名制;个人信息;监管
[DOI]10.3969/j.issn.1007-5097.2016.05.027
一、引 言
随着网络社交、电子商务的深度发展,信息的采集、存储、传递、处理和使用愈加便利,并由此推动大数据时代的到来。与此同时,网络环境中个人信息的累积成为一个不可逆转的演进过程。在此背景下,网络暴力、网络谣言、个人信息贩卖等网络乱象屡见不鲜,并造成了愈加严重的后果[1],个人信息的使用与保护成为网络环境治理面临的一个现实的矛盾。网络实名制为网络治理提供了一个可行的方案,但同时也面临个人信息保护的现实风险[2]。
个人信息的内涵相当广泛,其中主要包括6种类型:属于个人、关于个人、个人发送、个人接收、个人体验、有用于个人。针对网络环境下的个人信息保护,国外的相关研究主要集中在特定领域个人信息泄露与保护模式、个人信息的安全需求层次、个人信息隐私顾问、个人隐私信息过滤等方面[3]。国内学者也对网络环境中的网络监管和个人信息安全进行了深入的研究[4-6],部分文献分别提出了网络监管的分析机制、应急机制、预警机制、处理机制,在保护方案的设计方面,主要集中在网络实名系统方案、基于“网络身份证”的信息保护方案等。此外,也有一些研究关注了网络实名的适用领域问题。网络实名制环境中个人信息保护已经成为网络环境治理研究的热点问题。
传统的个人信息保护研究更加关注从立法保护的角度研究如何保障个人隐私权。然而,个人信息保护是一个系统工程,涉及技术保护、行业自律、社会诚信、政府监督等各个方面。因此,还需要从不同的角度研究防范不同的风险来源。个人信息资源既具有传统网络资源的共性特征,也具有自身在存储、传播、使用方面的个性特征。随着网络环境的复杂化,个人信息不仅需要保护,同样也需要合理的使用;既有得到广泛认同的内容和形式,又缺乏明确的隐私权法律规定;既有外部窃取的风险,又面临内部管理的风险。基于这些特征,研究个人信息保护,不仅需要从立法保护的角度、技术保护的角度,还需要从监管的角度、自律的角度进行更加系统的研究。据此,本文针对有限实名网络中的个人信息保护问题,从有限实名网络中的个人信息风险出发,结合具体问卷调查和企业调研,明确个人信息面临的主要风险因素。在此基础上,着重分析个人信息保护存在的关键问题及障碍。最后,以调研数据为基础,筛选出改进个人信息安全的关键因素,并有针对性地提出个人信息保护的策略。
二、有限实名网络的提出
在网络实名制的实践方面,国内外都进行了积极的探索。2007年,韩国颁布网络实名制法案,并将其扩展到所有日访问量超过10万的网站,从而实现全面的网络实名制管理[7]。日本主要通过IP地址备案和手机实名注册等实现间接网络实名。美国、英国则多以行业自律模式实施网络信息监管。遗憾的是,因实名制推行,个人信息在网络平台集中存储和不断累积,从而导致严重的用户资料外泄,并最终致使韩国于2012年8月宣布废除网络实名制法案。在国内的网络实名制实践方面,2004年,价值中国网成为中国首家全站实名制网站,2012年,新浪、腾讯等社交平台率先实行微博注册实名制。国内外的网络实名实践表明,政府管控意志与网络匿名需求的矛盾影响着网络个人信息保护的演进,个人信息保护已成为网络环境管理的关键。
国内网络实名制的研究可以追溯到2002年,李希光提出“中国人大应该禁止任何人网上匿名”[4]。此后,网络实名制得到了广泛的研究,并在各个领域得到了不同程度的推进。2006年,中科院院士胡启恒提出从有限实名(即前台匿名,后台实名)的角度平衡个人隐私和公众、国家利益,这为网络实名制的推进提供了一个新的方向[8]。由于有限实名制在保障个人隐私方面较完全实名制有着显著的优势,有限实名网络环境得到了快速的延伸和发展。与此同时,有限实名网络同样带来个人信息在网络平台的累积,带来了新的个人信息安全问题。因此,如何加强对有限实名网络环境中个人实名信息的保护成为当前网络监管的重要组成部分。
三、有限实名网络中的个人信息风险
随着网络应用的不断深入,尤其是随着电子商务的发展,局部、有限的实名网络已普遍存在,有限实名网络也被赋予更多形式和内涵。同时,有限实名不可避免地带来个人实名信息在网络平台的累积,这也导致更加严峻的个人信息安全形势。
针对有限实名网络中的个人信息风险,课题组对政府职能部门工作人员、网民个体进行了问卷调查。首先,对安徽省内政府职能部门的工作人员发放问卷180份,回收有效问卷171份,涉及的政府职能部门超过100个;其次,课题组对网民个体发放问卷1 400份,回收有效问卷1 344份。共计回收有效问卷1 515份。在问卷调查“您认为个人信息风险的最主要来源是”中,相关数据见表1所列。
表1 个人信息风险的来源
由表1可知,个人信息面临的泄露风险、信用风险和法律风险得到了受访者不同程度的认可。其中,更多的受访者将技术风险作为个人信息泄露最主要的风险因素。其次,追责不力的风险、管理风险和立法滞后在个人信息风险因素中也具有显著的重要性。此外,仅有2.7%的受访者认为“未经授权的共享”是最主要的风险来源。现对调查中涉及的主要风险因素做简要分析。
(一)个人信息面临的泄露风险
互联网企业及其网络平台获取了大量的个人信息资源,这些个人信息资源面临着技术窃取和内部人员泄露两种主要风险[9]。首先是技术窃取的风险。随着网络技术突飞猛进,很多安全技术手段被用于个人信息的安全保护,同时新技术也使得对个人信息的获取或是窃取更加便利。其次是管理风险。由于企业内部员工可以便利地接触到企业所掌握的个人信息,内部员工对于个人信息的泄露同样是重要的风险因素。因此,互联网企业不仅需要为个人信息投入大量的技术保护措施,其完善内部安全管理制度同样重要。
(二)个人信息面临的信用风险
个人信息面临信用风险[10],不同于个人信息从互联网企业内部的外泄,而是主要表现为企业本身源于商业利益而进行的信息滥用以及与其他企业进行的未经授权的共享。用户在网络平台注册个人信息,目的在于获取某种个人所需的网络服务。在用户所需的业务之外,互联网企业可以将这些用户信息应用在用户不需要的其他业务中,或是将个人信息与其他企业共享,用于其他企业的业务推广中。未经授权的滥用,同样是对个人利益的一种侵害,并为个人信息安全带来更多的隐患。
(三)个人信息面临的法律风险
个人信息面临的法律风险主要表现为:由于法律法规的滞后,使得个人信息安全受到侵害时得不到必要的法律保障。目前,国内还没有建立专门的个人信息保护法,对于个人信息保护的法律分散在不同类型法律法规中[11]。一方面,面对日益复杂的网络环境,现有的法律法规存在很多不适应性,例如对于一些新技术导致的个人信息侵害行为难以进行界定;另一方面,对于个人信息受到侵害后的追责也有待进一步的完善。
四、个人信息保护存在的关键问题及障碍分析
(一)个人信息保护存在的关键问题
1.侧重于个人身份信息保护的局限性
由于个人信息一直缺乏较为明确的边界,网络环境中的个人信息过度采集、共享和滥用同样缺乏行之有效的监管依据,这给立法保护带来了现实的困难[12]。传统观念在个人信息保护中更多地将个人信息理解为个人身份信息,从而缺乏对个人属性信息、网络行为信息保护的关注。在课题组的问卷调查中,关于“哪些个人实名信息曾经受到过侵害”,受访者中表示“联系方式”(电话、邮箱、QQ号等)受侵害比例达到93.9%,通讯类信息成为个人信息泄露中的重灾区。基于大数据的环境背景,将网络个体的在各个网络平台的数据、状态、行为进行挖掘、整合成为可能,即个人网络行为信息的采集、使用将成为十分现实的应用。因此,对未来网络环境下更加广义的个人信息进行界定和保护是必要的。
2.侧重于打击个人信息贩卖的局限性
2014年,公安部、工信部等部门开展了较为密集的互联网安全治理工作。在个人信息保护方面,无论是法律层面的禁止还是道德层面的约束,往往都会将个人信息贩卖者作为最直接的对象。然而,由于利益的驱使,在个人信息非法采集、贩卖、滥用整个利益链中,作为一个桥梁纽带的信息贩卖者面临的风险与其可以预见利益相比是微不足道的。因此,过多地依靠对“桥梁”的打击还是远远不够的。由于这个桥梁低成本、低风险的自身特性使得这一手段更多地表现为事后补救且收效十分有限。
3.侧重于依赖立法保护的局限性
在个人信息保护中,学者对加快个人信息保护的立法呼声最高,本文同样认为,个人信息保护的立法不仅是当前网络治理的迫切需求,同样也是其出台的最佳时机。欧盟、美国等发达国家在个人信息保护方面的立法更为严格,同时相关法律也起到了十分积极的作用,然而,美国的《隐私权法》、《信息自由法》以及众多行业内法规,也未能阻止“棱镜门”事件以及2013年涉及万事达等企业多达1 000万信用卡用户信息的泄露事件。立法是风险发生前的引导,也是风险发生后的救济,加强个人信息保护立法是十分必要和迫切的,但立法并不能实现对风险过程的监管。在课题组的调研中,“当个人信息受到侵害时,会采用哪些方式维权”,56.8%受访者选择通过“举报”的方式进行维权,有37%的受访者愿意“诉诸法律”,选择沉默的受访者比例有29.6%,有11.8%的受访者会“求助新闻媒体”。由此可见,仅仅依赖立法的完善还是远远不够的。
(二)有限实名网络中个人信息保护的现实障碍分析
1.个人信息保护范围的界定有待完善
2012年12月全国人民代表大会常务委员会《关于加强网络信息保护的决定》、2013年7月工信部颁布的《电信和互联网用户个人信息保护规定》以及2014年3月由第三方学术机构发布的我国首个《互联网企业个人信息保护测评标准》对个人信息均有界定且有所不同[13],更加侧重于个人身份信息或属性信息,尚缺乏对个人网络行为信息保护的关注。随着数据挖掘技术的不断发展以及大数据环境的不断延伸,有限实名网络环境中的个人信息将不仅仅局限于个人身份信息,状态信息、行为信息以及由此经过挖掘整合衍生的相应信息都会成为个人信息保护更加广泛的范畴。
2.合理使用与非法使用的界限模糊
保护个人信息的前提在于明确什么样的个人信息应该得到什么样的保护。然而,由于个人隐私权界定和保护的模糊性[14],使得在现有网络环境中网络个人信息合理使用与非法使用的界限同样模糊。包括《关于加强网络信息保护的决定》的各项法律法规在内,还很难对合理使用和非法使用设定可操作性的要求,从而使得个人信息监管、保护缺少应有的着力点,更多地针对那些社会影响、危害明显且巨大的典型事件进行事后打击,而对普遍存在的网络个人信息非法使用的监管上始终存在诸多困难。因此,从信息主体的需求出发,在非明示同意的前提下,按照最小化原则将信息使用限定在个人主动或被动提供信息时的目的范围内,将是有效和必要的。
3.个人信息非法获取、交易的隐蔽性
网络技术以及数据挖掘技术的不断发展使得网络个人信息几近透明,然而却又使得网络个人信息的获取、交易十分隐蔽。对这些极其隐蔽却又普遍存在的行为进行发现、处理是不现实的。同时,实名网络或有限实名网络环境为个人信息非法获取、隐蔽的交易提供了更加便利的条件和潜在的风险。因此,不仅需要制定、颁布相应的法律法规,还要使这些法律法规能够落到实处。
4.互联网企业的不作为
通过对众多互联网企业的调研发现,源于企业利益,很多互联网企业会收集、处理、使用个人信息。部分企业在“免责条款”的掩盖下,对发现或参与的个人信息交易行为存在纵容和不作为。同时,参照《互联网企业个人信息保护测评标准》中关于初始方、关联方和第三方的界定,互联网企业不可避免地面临与关联方和第三方产生个人信息转移的风险。因此,加大对核心互联网企业的监管以及加强互联网企业的自律尤为重要。
五、有限实名网络中个人信息保护策略
(一)改进个人信息安全状况的关键因素
针对上述分析中个人信息保护面临的问题,课题组对政府职能部门、网民个体进行了问卷调查,对相关的互联网企业进行实地调研,关于监管机构和政府作为的调研中,相关数据见表2和表3所列。
表2 个人信息保护中的监管机构
由表2可知,在监管方面,受访的政府工作人员中,超过半数的受访者认为“政府机构”更适合作为监管方,32.1%的受访者选择了“第三方”,选择“行业协会”的仅占到12.9%。网民个体的受访者中,选择“政府机构”作为监管机构的比例为44.5%。由此可见,对于个人信息保护,政府的监管行为十分重要。
表3 个人信息保护中的政府作为
由表3可知,在保护个人信息安全的政府作为方面,无论是政府部门工作人员还是网民个体,都有超过六成的受访者认为政府应做好“健全法律制度”的工作,半数左右的受访者选择了“健全信用体系”、“完善技术应用”。在网民个体受访者中,有六成的网民选择了“完善信息管理”。由此可见,在完善立法、加强技术保护之外,健全信用体系、完善信息管理同样重要。
此外,在问卷调查基础上,课题组针对互联网环境下的个人信息保护,重点走访了安徽省内多家互联网企业。从调查情况看,相关企业采用了必要的防火墙、入侵检测、加密等技术手段保障自身的数据安全。然而,与之相对应的是管理方面的漏洞相对明显,缺少明确的安全管理制度、保密协议和人员培训,企业内部管理还存在较大的安全隐患。因此,如何加强互联网企业自律成为保障个人信息安全的关键环节。
对于改善个人信息安全状况,完善立法和加强安全技术应用作为关键的影响因素得到了普遍的认同。综合上述分析,在完善立法和安全技术应用之外,政府监管、信用体系建设以及互联网企业自律等同样是改进个人信息安全状况的关键影响因素。
(二)个人信息保护策略
在个人信息保护中,健全法制和完善安全技术的应用已经得到了普遍的共识和重视。因此,本文结合调查结果,重点围绕政府监管、信用体系建设、互联网企业自律等关键影响因素,提出相应的个人信息保护策略。
1.以治理非法使用者为重点的政府监管
打击和规范信息贩卖的违法行为是个人信息保护的重要方式,但由于交易的隐蔽性和违规的低成本,打击效果并不理想,尤其是对那些互联网小企业和个人中广泛存在的信息转移行为更是缺乏有效的监管方式。我们建议通过重点治理非法使用者而非采集、贩卖者来实现切断个人信息黑色产业链的目的。因为,对于网民和监管者而言更多的是接触到信息滥用者,而不是信息买卖的环节。同时,治理非法使用者具有明显的优势:一是更直接地符合网民的利益诉求;二是由于非法使用者缺乏隐蔽性,可以让治理行为更简单、更现实。以治理非法使用者为重点的市场监管与监管核心互联网企业不同之处在于其主要目的不只在于打击严重的个人信息方面的违法行为,还在于对中小企业的监督能够得以常态化。
2.以信用评估和安全审查为切入点的有条件免责
将企业及其信息技术产品对个人信息的保护纳入到企业信用体系建设和政府职能部门对互联网企业的网络安全审查制度中,并对其中符合信用等级条件的互联网企业和通过网络安全审查的信息产品在不可抗外力情形下出现的个人信息泄露适用免责条款,而对于未能切实履行个人信息保护责任的互联网企业则需要承担相应的责任。这既可以完善企业信用体系建设和信息安全保障,又可以抵御部分互联网企业在个人信息保护方面的不作为。
3.以监管核心互联网企业为关键的行业自律
在网络个人信息保护中,政府的行政行为存在诸多困难。一些学者提出在各级政府建立新的网络监管部门,这可能需要投入相对较大的管理成本。鉴于网络个人信息累积、使用、保护等最为集中的环节在于大型的互联网企业,因此,建议围绕核心的互联网企业建立覆盖不同领域的行业自律委员会或类似的非政府机构,并结合国家层面的网络安全审查制度构建行业内的网络安全审查制度,承担在该领域内互联网企业个人信息保护的监管职责,从而使得政府部门的监管职权进一步下放,职能部门更多地管好行业自律委员会和核心互联网企业,通过监管几个“点”实现监管整个“面”,从而形成以监管核心互联网企业为关键的行业自律体系。
六、结束语
针对有限实名网络环境中个人信息面临的安全风险,本文重点分析了个人信息保护存在的关键问题、障碍以及关键影响因素,由此提出相应的个人信息保护策略,这对于改进个人信息安全保护具有积极的意义。
个人信息保护作为网络环境治理的重要内容,面临着政府、企业、网民等多方面的利益需求,同样面临着立法、行业自律、技术管控等多种手段的影响。有限实名网络作为网络环境的重要形态,带来了更为显著的个人信息保护需求。有限实名网络中的个人信息保护既需要科学的立法,也需要严厉的执法打击,更需要围绕信用体系、行业自律、市场监管等多措并举的网络监管行为。
[1]程少华,傅丁根.网络监督:蓬勃中呼唤规范[J].法制与社会,2009(5):6-8.
[2]程琳,李明桂.网络实名制的隐私保护研究[J].信息安全与通信保密,2013(11):84-88.
[3]Gross R,Acquisti A.Information revelation and privacy in online social networks[C].NewYork:Proceedings of the 2005 ACM workshop on Privacy in the electronic society,2005:71-80.
[4]李欲晓.互联网治理与信息社会法律的研究对象和目标[J].北京邮电大学学报:社会科学版,2010,12(1):7-11.
[5]周汉华.个人信息保护前沿问题研究[M].北京:法律出版社,2006:25-36.
[6]蔡德聪刘素华.“网络实名制”与网络不良信息治理[J].中国行政管理,2012(11):68-71.
[7]柳圣爱.韩国网络实名制的发展与式微[J].行政管理改革,2013(4):57-61.
[8]邓的荣.胡启恒有限实名锻造负责任大国网民[J].科学新闻,2007(1):2-2.
[9]董杨慧,谢友宁.大数据视野下的数据泄露与安全管理——基于90个数据泄露事件的分析[J].情报杂志,2014 (11):154-158.
[10]李亚平,周伟良.有限实名网络中的个人信息安全风险[J].吉首大学学报:自然科学版,2015(6):30-34.
[11]王红一.个人信息保护政府规制立法探讨[J].电子政务,2015(2):73-82.
[12]高志明.个人信息法的基本界定[J].燕山大学学报:哲学社会科学版,2013,14(2):45-50.
[13]中国科学技术法学会.互联网企业个人信息保护测评标准[J].网络法律评论,2013,17(2):4-9.
[14]段伟文,纪长霖.网络与大数据时代的隐私权[J].科学与社会,2014,4(2):90-100.
[责任编辑:余志虎]
Personal Information Protection in the Context of Limited Real Identity Network
ZHOU Wei-liang1,LI Ya-ping1,2
(1.Anhui Administration Institute,Hefei 230059,China;2.School of Management,Hefei University of Technology,Hefei 230009,China)
Limited real identity network,as an important form of network development,brings a new way of network environment governance.Meanwhile,it also creates a new demand for personal information protection.Although individual information protection attracts more and more attention,there are still many limitations of understanding in the stage of rapid development and transformation of the network environment.This paper analyzes the practical obstacles to personal information protection in the limited real identity network from the perspectives of the scope of protection,the boundary of rational use,transaction concealment,Internet corporate responsibility,etc.Furthermore,the paper puts forth some specific recommendations in terms of credit system,industry self-regulation,market supervision and so on.
limited real identity network;Internet real identity policy;personal information;supervision
F490.6
A
1007-5097(2016)05-0174-05
2015-10-12
国家社会科学基金项目(13BTQ048),安徽省高校省级优秀青年人才基金重点项目(2013SQRW115ZD)
周伟良(1967-),男,湖南长沙人,教授,MBA导师,博士,研究方向:信息管理与信息系统;李亚平(1982-),男,安徽长丰人,副教授,博士研究生,研究方向:信息管理与信息系统。
