于广辉　张羽种

随着网络时代的发展，个人信息被记载在各种平台的数据库中，随时面临被泄露的风险。非法获取公民个人信息主要有两个来源：一是黑客入侵网站非法获取；二是各行各业的内幕人员泄露信息。侵犯公民个人信息的犯罪已经形成了从非法收集、提供窃取、交易到交换等各个环节完整的利益链。目前，国内尚未制定个人信息保护法，因此针对个人信息外泄的处理也比较困难。我们与市经信委信息中心高级工程师王晓萍、市经信委政策法规处的蔡朋朋以及信息化推进处的刘迎风经过认真调研后，发现以下问题：

一是对企业采集个人信息的行为尚未形成完善的监管体系。随着信息化社会的飞速发展，越来越多的平台及企业建立了信息化系统。市民每天在上网过程中，都会面临被采集数据的问题。譬如有很多企业要求用户提供身份证扫描件或复印件电子版，有些企业要求用户填写个人姓名、家庭地址、电话号码等种种信息。用户有时无法拒绝数据的采集，目前相关部门对这些行为也没有完善的监管体系，完全依靠企业的自律。

二是对于个人信息的采集、使用及企业应承担的责任尚未出台明确规定。有时候企业采集数据只是一次性使用，但是跟纸质年代不同，纸质资料只需碎纸机就可以粉碎，信息化时代的信息复制和传播却很容易，管理起来也就难。企业采集完数据后如何使用数据以及企业应该承担的责任在现有的法律规定中难以找到对应的条例。

三是政府对于个人信息采集企业缺乏相关安全规范要求。对于政府类的信息系统和网站，有安全等级保护制度的要求，对于安全漏洞有定期检查及提醒机制。但是非政府类的网站及系统，譬如企业，也采集了很多个人信息数据，对于他们的安全规范，没有任何要求，只能寄希望于企业自律。但实际上很多企业未必有能力或费用来确保系统安全。

针对上述问题，我们提出以下建议：

一是企业采集个人数据应纳入备案管理。为了避免企业滥用权力采集个人信息，政府应加强监管，对企业采集个人数据进行备案管理，特别是针对采集身份证照片或扫描件信息的企业行为。对未提供备案证明并要求采集用户信息的企业，用户可以投诉或举报。

二是推广第三方平台提供用户身份验证机制。企业采集个人信息，很大程度上为了验证用户身份。随着网上实名制的推进，越来越多的第三方平台已经支持用户身份验证，譬如有些APP直接使用微信、支付宝等账号登录，相当于已对用户信息作确认。目前缺乏的是政府权威部门的身份验证，建议社保或者公安系统也提供第三方验证机制或服务，减少个人信息在其他系统中的留存，降低信息泄露的风险。这样政府只需要监管这些提供第三方验证的平台，监管的工作量及泄漏的风险都大大降低。

三是出台相关规定，强化政府监管的职能及监管范围。目前政府对网络安全管理非常重视。网信、通管和公安等多个管理部门，按照职责分工，分别从网络内容、网络域名监管、信息安全等方面，对互联网企业进行指导和管理。同時，我国也出台了网络安全法，为互联网运行提供了法律支撑。但是，由于互联网上的疆界不明显，对于提供跨国服务的外国企业，服务器不在中国境内，如何切实保护用户信息，更需要各监管部门履行好职责。

四是对于目前广泛应用的移动应用APP，更加缺乏监管措施。国家2016年出台的《移动互联网应用程序信息服务管理规定》要求企业建立健全用户信息安全保护机制，但这完全基于企业自律，用户难以确保企业采集数据的流向，国家也没有相应强制检查或追责的措施。

目前移动APP分为两大阵营，苹果系统中运行的APP，完全由苹果公司进行质量及漏洞的管理，存在监管盲区；安卓系统中运行的APP，更由于生态圈的复杂性，有多个发布市场，甚至企业可以自行发布下载链接，监管更加困难。这不仅需要网络监管部门切实履行好职责，更需要提高监管水平应对复杂的网络环境，尤其是要加强对大型APP平台类企业的指导，从源头上作好网络风险防控。