中國個人信息安全和隱私保護報告全文

1、中國個人信息安全和隱私保護報告（全文）熱門下載（點擊標題即可閱讀）?【下載】2015中國數(shù)據(jù)分析師行業(yè)峰會精彩 PPT下載（共計21個文件）中國個人信息安全和隱私保護報告近日發(fā)布。用大數(shù)據(jù)的方式展現(xiàn)了當下民眾面對個 人信息泄露現(xiàn)狀的焦慮和無助。統(tǒng)計數(shù)據(jù)表明，個人信息安全已成為社會普遍焦慮，個人信息泄露引發(fā)的騷擾密度與社會 經(jīng)濟和信息化發(fā)展程度成正比，公民個人信息遭侵害程度觸目驚心。而與這些相對應的， 是民眾防范意識不強，保護意識薄弱，維權(quán)動力不足。中國個人信息安全和隱私保護報告中國青年政治學院互聯(lián)網(wǎng)法治研究中心&封面智庫聯(lián)合發(fā)布2016年11月我國信息化建設的推進和互聯(lián)網(wǎng)應用的普及，推動了社會

2、大發(fā)展和新變革的同時，也為個 人信息安全帶來了新挑戰(zhàn)。侵犯公民個人信息犯罪以及因此滋生的電信、網(wǎng)絡詐騙等下游違法犯罪行為已造成社會巨 大損失，嚴重影響社會安定，成為社會公害。在執(zhí)法部門投入大量社會資源進行的持續(xù)高壓打擊之下，一系列大規(guī)模侵犯個人信息犯罪 案件告破，不法分子囂張氣焰得到遏制，但仍呈現(xiàn)出屢打不絕的態(tài)勢。要改變公民個人信息頻遭泄露侵害的社會現(xiàn)實，需要全方位建立個人信息安全的社會保障 體系：對于公眾，需要進一步清晰個人信息泄露造成的危害、掌握有效防范技能并樹立維權(quán)意識;法制建設方面，要改變現(xiàn)有個人信息保護法律法規(guī)過于分散的現(xiàn)實，建議盡快制定統(tǒng)一、 系統(tǒng)的個人信息保護法，為公民維權(quán)、打擊

3、犯罪提供便捷途徑；從司法實踐來看，應進一步強化打擊的威懾力，重點打擊以侵害個人信息生利的黑色產(chǎn)業(yè) 鏈；從信息相關(guān)產(chǎn)業(yè)和市場的角度，個人信息保護和合法使用，需要通過市場機制、社會共治 的模式，充分發(fā)揮產(chǎn)業(yè)界技術(shù)優(yōu)勢和創(chuàng)新能力，通過產(chǎn)業(yè)界的自律和他律，促進健康有序 的市場規(guī)范的形成，通過包括市場手段在內(nèi)的多種手段懲戒、共治違法違規(guī)者，防止劣幣 驅(qū)逐良幣的情況出現(xiàn)，推動形成個人信息保護方面優(yōu)勝劣汰的良性篩選機制。個人信息治理應當注重事前防范勝于事后打擊林維/中國青年政治學院副校長（互聯(lián)網(wǎng)法治研究中心主任、最高人民法院刑一庭副庭長）徐玉玉案”引發(fā)了全社會對個人信息泄露現(xiàn)狀的高度關(guān)注和熱議，但是個人信息

4、泄露和保 護問題由來已久，互聯(lián)網(wǎng)的發(fā)展也使得個人信息的地下交易產(chǎn)業(yè)鏈更加隱蔽、難以追蹤。目前，針對個人信息泄露及其引發(fā)的電信詐騙等犯罪活動，已經(jīng)引起了公安部等部門的高 度重視，也投入了大量的金額和資源進行打擊，近期開展的打擊整治網(wǎng)絡侵犯公民個人信 息犯罪專項行動也獲得了明顯的成效。但是，事后的打擊和懲處依然未能根除個人信息泄露和侵害現(xiàn)象，民眾對于自身個人信息 泄露的感受依然普遍強烈，并對維權(quán)途徑所知甚少、維權(quán)效果信心不足。本次中國個人信息安全和隱私保護報告的撰寫，是基于100余萬份問卷調(diào)查反饋的信息，用大數(shù)據(jù)的方式展現(xiàn)了當下民眾面對個人信息泄露現(xiàn)狀的焦慮和無助。統(tǒng)計數(shù)據(jù)表明，個人信息安全已成為

5、社會普遍焦慮，個人信息泄露引發(fā)的騷擾密度與社會 經(jīng)濟和信息化發(fā)展程度成正比，公民個人信息遭侵害程度觸目驚心。而與這些相對應的，是民眾防范意識不強，保護意識薄弱，維權(quán)動力不足。對此，立法、行政和司法機關(guān)的確應該當仁不讓承擔起治理亂象的重任。在梳理了立法、 行政和司法實踐現(xiàn)狀之后，報告建議建構(gòu)統(tǒng)一立法框架、加大司法打擊力度、確立順暢維 權(quán)渠道。法律制度上固然應當建立起一道堅實的保護壁壘，但是，鑒于個人信息泄露的復雜性和隱 匿性，把希望主要寄托在通過法律進行事后打擊和治理，恐怕并非治標之良策。個人信息侵害行為發(fā)現(xiàn)和查處難度明顯大于傳統(tǒng)犯罪，導致事后懲處無法產(chǎn)生足夠的威懾 力。因此，應當把關(guān)注的焦點從

6、事后的懲處轉(zhuǎn)移到事前的防范上來，從非法數(shù)據(jù)產(chǎn)業(yè)鏈的 源頭堵住數(shù)據(jù)泄露的可能性，才有希望從根本上治愈這一頑疾，迎來個人信息保護的藍天。報告的后半部分主要關(guān)注產(chǎn)業(yè)界數(shù)據(jù)處理的規(guī)范構(gòu)建，正是這種事前防范思路的反映。在 個人信息獲取、存儲、利用的合規(guī)化處理方面，產(chǎn)業(yè)界相對于政府部門，擁有更加專業(yè)化的技術(shù)能力，也具有更強的規(guī)則體系建設的驅(qū)動力。報告創(chuàng)新性地提出建設基礎法律規(guī)范、行業(yè)通用標準、企業(yè)最佳實踐”的治理構(gòu)架，并結(jié)合征信機構(gòu)等行業(yè)企業(yè)的實踐，在 符合法律法規(guī)最基本要求的基礎上，梳理并勾勒出豐富、細致、生動的產(chǎn)業(yè)實踐，呼吁設 立行業(yè)標準，確立企業(yè)最佳實踐的模板，推動企業(yè)以自律的方式承擔起保護個人信息

7、的社 會責任，在獲取、存儲、利用個人信息的各個環(huán)節(jié)，都設立并貫徹嚴格的自律規(guī)范，通過 技術(shù)手段的提高和安全規(guī)則的完善，截斷非法泄露、濫用個人信息的源頭，從而建立起個 人信息合規(guī)利用的良性生態(tài)，進而推動數(shù)據(jù)產(chǎn)業(yè)的健康、有序發(fā)展。以舉證責任倒置破解個人信息保護難題傅蔚岡/上海金融與法律研究院執(zhí)行院長個人信息安全已經(jīng)成為當下中國社會最為關(guān)注的公共議題之一，尤其是自今年震驚全國的 徐玉玉案”發(fā)生后。更讓人驚訝的是公安部門在此事件之后發(fā)布的相關(guān)數(shù)據(jù)。2016年7月20日，公安部官網(wǎng)以公安機關(guān)打擊整治網(wǎng)絡侵犯公民個人信息犯罪成效 顯著為題報道了公安部門打擊侵犯公民個人信息犯罪的努力。內(nèi)容顯示，自 2012

8、年起, 公安部就多次部署全國各地公安機關(guān)開展集中打擊侵犯公民個人信息犯罪行動且收獲頗豐。最近一次是自今年4月起、為期半年的打擊整治網(wǎng)絡侵犯公民個人信息犯罪專項行動， 截至7月，全國公安機關(guān)即累計查破刑事案件 750余起，抓獲犯罪嫌疑人1900余名， 繳獲信息230余億條，清理違法有害信息35.2萬余條，關(guān)停網(wǎng)站、欄目610余個。230余億條的信息固然讓人驚訝，但是也與公眾的印象相差不遠。被垃圾短信騷擾或者陌 生電話推廣，幾乎已經(jīng)成了我們生活的日常。如何破解個人身份信息泄露的難題？中國個人信息安全和隱私保護報告系統(tǒng)梳理了當 下中國個人信息安全問題，并且提出了非常有針對性的建議，并且從個人、市場與

9、社會； 立法、執(zhí)法和司法等多層次探討了今后該努力的方向。毫無疑問，這些建議非常有針對性。如果能得到落實，那么個人信息安全將會大幅度得以 改善。不過即便如此，短期內(nèi)個人身份信息泄露的狀況要大幅度改善，可能還是會有很大 的難度。難度來自于舉證責任。眾所周知，絕大多數(shù)的個人身份信息泄露并不屬于刑事責任，因此 公安部門無法派遣大量的人力和資源來查辦此類案件一一事實上也并不經(jīng)濟。在民事糾紛中，要求讓泄露個人信息的機構(gòu)或這個人承擔民事責任也是難于上青天，因為 它們會陷于法律上的舉證責任難題，因此到目前為止有關(guān)的訴訟大都以原告的敗訴收場。正是由于刑事上無法立案，民事上輸于舉證責任，因此才釀就了徐玉玉”的悲劇

10、一一可以想象，這必定不是最后因為個人身份信息泄露的受害者。如何解決這個困境？ 一個可行的舉措是改變民事訴訟中的舉證責任，將目前的誰主張誰舉證改為 舉證責任倒置”，即不是由原告提供證據(jù)來證明被告以不恰當?shù)姆绞将@得了個 人身份信息；而是原告只要提供了被告聯(lián)系其這一事實即可以被告非法獲得身份信息為由 提起民事訴訟，被告需要承擔提供其合法獲得原告身份信息的證明。這樣一來，就會對哪 些非法獲得身份信息的機構(gòu)和個人形成強烈的威懾效果。正如中國個人信息安全和隱私保護報告所言：由于個人信息獲取、存儲和利用的環(huán)節(jié)眾多，線下和線上傳播具有隱蔽性和復雜性，追本溯源成本很高，發(fā)現(xiàn)、查處難度大， 處罰、賠償力度小，同時

11、獲利空間巨大，執(zhí)法現(xiàn)狀為灰色產(chǎn)業(yè)鏈提供了巨大的投機空間。扭轉(zhuǎn)這個亂象的關(guān)鍵之舉就是舉證責任倒置。因為現(xiàn)在個人身份信息的存儲無處不在，個人沒有能力來約束那些獲得其身份信息的機構(gòu) 和個人，就必須通過舉證責任倒置的方式，讓那些有能力獲得他人身份信息的主體妥善保 管他人信息，也可以最大限度讓所有的機構(gòu)和個人只使用來自合法渠道獲得的個人信息。 不僅非法獲取個人身份信息要承擔責任，使用非法獲取的個人身份信息也要承擔民事責任， 這樣一來，就可以在源頭上切斷非法個人信息。近年來，侵犯公民個人信息及其所滋生的侵害事件不斷發(fā)生，擾亂了社會秩序，給群眾人 身財產(chǎn)安全造成巨大威脅，嚴重影響社會安定。震驚全國的徐玉玉案

12、”等一系列案件發(fā)生后，個人信息安全已成為全社會的重大關(guān)切。為充分了解及評估全社會對于個人信息保護的關(guān)注點、關(guān)注程度和自身保護的能力，中國 青年政治學院互聯(lián)網(wǎng)法治研究中心與封面智庫于 2016年10月聯(lián)合發(fā)起你的隱私泄露 了嗎？ 一一個人信息保護情況調(diào)研問卷調(diào)查，共回收問卷 1,048,575份。問卷回執(zhí)樣本分析顯示，個人信息安全所遭受的威脅已經(jīng)引起了公眾普遍重視，但由于個 人信息保護能力與常識、經(jīng)驗的缺乏，不法之徒對公民的個人信息侵害行為仍有機可乘， 且因群眾維權(quán)意識和動力不足，維權(quán)能力有限，個人信息保護仍處于危機時刻。本報告將對個人信息保護現(xiàn)狀進行綜合介紹，對造成個人信息安全危機的原因和國家

13、政策、 法律法規(guī)層面的現(xiàn)行應對進行梳理，并通過對 104萬8575份調(diào)查問卷回執(zhí)樣本的詳細分 析，顯示群眾對個人信息安全的關(guān)切點和社會個體在應對信息泄露時的意識和行為模式， 并指出其將造成的結(jié)果和需要關(guān)注的重點方向。本報告還將從立法和司法實踐角度闡述個人信息安全的法律監(jiān)管和維權(quán)現(xiàn)狀。由于個人信 息是大數(shù)據(jù)產(chǎn)業(yè)的重要核心，通過市場機制、社會共治實現(xiàn)個人信息安全、提升群眾安全感也切實可行，本報告將以征信行業(yè)和代表性企業(yè)為例，詳細說明行業(yè)和企業(yè)在個人信息 保護中的先進模式和具體實踐。一、侵犯公民個人信息犯罪及隱私侵害行為已成社會公害我國信息化建設和大數(shù)據(jù)等信息產(chǎn)業(yè)的不斷推進和發(fā)展，帶動了各項社會服務

14、日趨高效、 便捷，群眾生活水平持續(xù)提升，幸福感和獲得感不斷增強。但與此同時，信息的廣泛應用 以及人們對個人信息安全防范意識的薄弱，也給犯罪分子實施犯罪提供了便利條件。目前，我國刑法將出售、非法提供、非法獲取公民個人信息的行為認定為侵犯個人信息犯 罪行為。按照公安部發(fā)布的信息，侵害公民個人信息犯罪引發(fā)的下游犯罪案件包括且不限 于綁架拘禁、敲詐勒索、暴力追債、電信詐騙、網(wǎng)絡詐騙、網(wǎng)絡盜竊、非法調(diào)查等，甚至 有不法分子利用非法掌握的個人信息以脅迫手段介入蠟姻糾紛、財產(chǎn)繼承、債務糾紛等民 事訴訟。由于公民個人信息泄露導致的騷擾電話和垃圾短信更是為群眾所深惡痛絕。近年來，侵犯公民個人信息犯罪持續(xù)高發(fā)，其

15、中以徐玉玉被詐騙案”為代表的由于侵犯公民個人信息滋生的電信網(wǎng)絡詐騙犯罪已給群眾財產(chǎn)造成重大損失，嚴重影響社會安定。在 今年8月19日召開的打擊跨國電信網(wǎng)絡詐騙案件通報會上，公安部刑偵局有關(guān)負責人介 紹，2015年我國電信詐騙發(fā)案59.9萬起，造成經(jīng)濟損失約200億元；僅2016年上半年, 電信詐騙發(fā)案就達28.7萬起，造成損失80余億元1。執(zhí)法機關(guān)面對侵犯公民個人信息犯罪行為從未手軟。實際上，自 2012年起，公安部就多 次部署全國各地公安機關(guān)開展集中打擊侵犯公民個人信息犯罪行動且收獲頗豐。最近一次是自今年4月起、為期半年的打擊整治網(wǎng)絡侵犯公民個人信息犯罪專項行動，截至 7月, 全國公安機即關(guān)

16、累計查破刑事案件 750余起，抓獲犯罪嫌疑人1900余名，繳獲信息230 余億條，清理違法有害信息35.2萬余條，關(guān)停網(wǎng)站、欄目610余個2。但當前，侵犯公民個人信息犯罪呈現(xiàn)了屢打不絕且日趨專業(yè)化、團伙化、產(chǎn)業(yè)化的態(tài)勢。在近日由公安部統(tǒng)一組織25省區(qū)市公安機關(guān)破獲的一起特大侵犯公民個人信息案中，公 安機關(guān)在一案中即抓獲犯罪嫌疑人 201名，鏟除信息泄露源頭42個，摧毀9個涉案地域 廣、涉案人員多、信息數(shù)量、種類及涉案金額大的侵犯公民個人信息犯罪團伙。侵害個人信息犯罪行為的猖獗，引起了 *和國家的高度重視。近日，公安部、*綜治辦、 國家發(fā)展改革委、工信部等八部門聯(lián)合發(fā)布關(guān)于規(guī)范居民身份證使用管理

17、的公告，要 求國家機關(guān)或有關(guān)單位應當建立健全公民個人信息安全管理制度，對在履行職責或者提供 服務過程中獲得的居民身份證記載的公民個人信息嚴格保密。對單位內(nèi)部建立的公民個人 信息存儲系統(tǒng)，要嚴格設定查詢權(quán)限，嚴格控制知悉范圍；要強化技術(shù)防護措施，嚴防信 息泄露或被竊取3。2016年10月10日至11日召開的全國社會治安綜合治理創(chuàng)新工作會議上，更是明確要 求結(jié)合制定個人信息保護條例，加大信息源頭保護力度，完善公安、教育、醫(yī)療、金 融等重點行業(yè)信息安全保護體系4 o為進一步加強個人信息安全法律體系的建設，于 11月1日提請全國*會進行二次審議 的民法總則草案中，增加規(guī)定：自然人的個人信息受法律保護。

18、任何組織和個人不得非法收集、利用、加工、傳輸個人信息，不得非法提供、公開或者出售個人信息。”草案力圖在對個人信息應用的源頭和上游給予公民法律保護。2016年11月7日全國*會通過的網(wǎng)絡安全法在個人信息方面確立了重要的原則和規(guī)定，從法律層面為更加完善而 系統(tǒng)化的個人信息保護立法奠定了良好的基礎。輿論認為，要遏制侵犯個人信息犯罪行為，務必須要國家法律體系的日趨縝密和執(zhí)法力量 的持續(xù)高壓，同時，針對公民個體的普法教育和使公民切實提升個人信息安全防范意識也 不可或缺。二、百萬數(shù)據(jù)調(diào)查：公民個人信息安全意識強，但維權(quán)動力與能力有限為充分了解及評估公民對于個人信息保護的關(guān)注點、關(guān)注程度和自身保護的能力，中

19、國青 年政治學院互聯(lián)網(wǎng)法治研究中心與封面智庫于 2016年10月24日聯(lián)合發(fā)起你的隱私 泄露了嗎？一一個人信息保護情況調(diào)研問卷調(diào)查。覆蓋全國各省、區(qū)、市，共回收問卷 104 萬 8575 份。通過對調(diào)研問卷回執(zhí)的樣本數(shù)據(jù)分析，本報告認為，當前人們對個人信息保護的社會現(xiàn)狀 安全感不高，超七成參與調(diào)研者認為個人信息泄露安全問題嚴重；民眾遭受個人信息侵害 程度高；個人信息安全防范意識不強為侵害行為提供可乘之機，半數(shù)參與調(diào)研者對于因證 件復印和快遞單造成的個人信息泄露無察覺，超六成參與調(diào)研者在更換手機和手機號時存 在信息泄露隱患；個人信息侵害維權(quán)觀念不強、常識不夠、動力不足，僅有 20%的參與 調(diào)研者

20、在發(fā)現(xiàn)個人信息遭受侵犯時，采取投訴、舉報和報警等積極應對措施，六成參與調(diào) 研者不知如何維權(quán)，近半數(shù)參與調(diào)研者認為維權(quán)困難。（一）個人信息安全已成為社會普遍焦慮在全部問卷回執(zhí)中，針對 你覺得個人信息泄露問題嚴重嗎”問題，有28%的參與調(diào)研者認 為沒有感覺”，43%的參與調(diào)研者認為 嚴重”，認為邪常嚴重”的參與調(diào)研者占比達29%（見圖1）。圖1 :參與調(diào)查人群對個人信息泄露問題的整體感受圖2:不同年齡段人群對于個人信息泄露問題的整體感受 在參與調(diào)研者的性別和年齡比例中，對于上述問題的看法沒有明顯偏差（見圖 1、2）, 這也可以說明，對于個人信息安全的焦慮并非特定群體的主觀性偏差，具有社會普遍性。（

21、二）個人信息泄露引發(fā)的騷擾密度與社會經(jīng)濟和信息化發(fā)展程度成正比垃圾短信和騷擾電話是個人信息泄露所引發(fā)的電信騷擾及詐騙行為。參與調(diào)研者中，26%每天收到2個以上的垃圾短信，20%近一個月來每天收到2個以上騷擾電話（見圖3）。圖3:參與調(diào)查人群對電信騷擾的反饋情況圖4:電信騷擾地區(qū)排行在全國分布角度，來自西藏、寧夏、*、青海、甘肅等省區(qū)的參與調(diào)研者收到垃圾短信最 少，來自上海、北京、重慶、江蘇、天津等省市的參與調(diào)研者收到垃圾短信最多；在騷擾 電話方面，最少的省區(qū)是黑龍江、*、西藏、吉林、寧夏，最多的省市是上海、北京、江 蘇、安徽、浙江（見圖4）。總體上看，越是經(jīng)濟發(fā)達、社會網(wǎng)絡化、信息化程度高的地

22、 區(qū)，電信騷擾密度越高。（三）公民個人信息遭侵害程度觸目驚心本次調(diào)研所顯示出的公民個人信息遭侵害程度令人觸目驚心。問卷分析顯示，在遭遇個人信息侵害時，多達 81%的參與調(diào)研者經(jīng)歷過知道自己的姓名或單位等個人信息的陌生來電，因網(wǎng)頁搜索和瀏覽時泄露個人信息的參與調(diào)研者占53% ,經(jīng)歷郵箱、即時通訊、微博等網(wǎng)絡賬號密碼被盜的參與調(diào)研者占40%,因房屋租買、購車、考試和升學等信息泄露，和因在網(wǎng)站留下個人電話和注冊網(wǎng)絡金融服務而遭遇各類騷 擾和詐騙的參與調(diào)研者都在30%以上，遭遇針對銀行卡、信用卡和網(wǎng)絡交易詐騙以及被短信炮、撥死你”電信騷擾的參與調(diào)研者比例在20%以上，被冒充公檢法、稅務機關(guān)的 不法分子

23、詐騙、恐嚇的參與調(diào)研者比例達 19%,明確知道個人和家庭信息被販賣、泄露 的參與調(diào)研者比例達18%,最少的數(shù)據(jù)比例即個人隱私信息被網(wǎng)站公布、購買機票后 收到航班異常的電話或短信詐騙信息”也達9% （見圖5）。圖5:個人信息、隱私受侵害行為類型調(diào)查（四）民眾防范意識不強為侵害行為提供可乘之機在日常生活中，證件復印件、快遞單和手機是泄露個人信息的重要載體。問卷調(diào)研顯示， 由于對個人信息泄露渠道的不了解，雖然大多數(shù)人意識到個人信息泄露的嚴重程度，但相 當高比例的人群并不知道如何防范個人信息侵害，在使用個人信息的載體時疏忽大意或不 知如何采取防范行動。圖6:個人信息泄露隱患之線下渠道調(diào)查調(diào)研中,55%

24、的參與調(diào)研者從不將證件復印件標明用途；47%的參與調(diào)研者經(jīng)常將寫有個人信息的快遞單直接扔掉而不加處理（圖 6）。圖7:個人信息泄露隱患之移動端渠道調(diào)查在通過手機使用 Wi-Fi時，34%的參與調(diào)研者只希望確保手機在線，而不會對免費 Wi-Fi 鑒別使用；在收到陌生號碼發(fā)來的短信時，26%的參與調(diào)研者會點擊短信中的可能產(chǎn)生侵 害行為的網(wǎng)絡鏈接（圖7）。圖8:個人信息泄露隱患行為調(diào)查之手機硬件方向圖9:個人信息泄露隱患行為調(diào)查之手機號碼方向在更換手機時，更能確保個人信息安全的方法是將手機恢復出廠設置或格式化后，再用無 關(guān)內(nèi)容將手機存儲空間占滿后再予處理，但僅有 34%的參與調(diào)研者選擇了這一選項，有

25、 17%的參與調(diào)研者選擇將手機直接送人；在手機換號時，超過27%的參與調(diào)研者選擇直接使用新號碼，而不對舊號碼采取任何措施（見圖 9）。（五）個人信息侵害維權(quán)觀念不強，動力不足調(diào)研顯示，在明確自身遭遇個人信息泄露并面臨侵害時，相當一部分人群抱有僥幸心態(tài)， 大部分人選擇了較為被動的處理方式，僅有少部分人采取了積極對抗行動。在解釋未能維 權(quán)的原因時，半數(shù)以上的參與調(diào)研者因不知如何維權(quán)和沒有發(fā)現(xiàn)經(jīng)濟損失而選擇了沉默。圖10:個人信息及隱私被侵犯時的對應手段在被問到發(fā)現(xiàn)個人信息泄露會采取什么行動的問題時，71%的參與調(diào)研者選擇了掐斷電話或不予理睬，選擇拉黑及拒接的比例為 63%;僅有20%左右的參與調(diào)研

26、者選擇了舉報、 投訴、報警等積極應對措施（圖10）。圖11:個人信息及隱私被侵犯后未能維權(quán)原因被問及被侵犯時沒有維權(quán)的原因時，60%的參與調(diào)研者表示不知道怎么維權(quán)，56%的參與 調(diào)研者是因資金等個人利益未受損而放棄維權(quán)，值得重視的是，參與調(diào)研者中有高達44%的比例選擇了因維權(quán)程序太復雜、成本太高而放棄維權(quán)，另有34%的人是因缺少維權(quán)證據(jù)而無奈放棄。最為消極的是 維權(quán)成功也沒有好處”選項，也有14%的選擇比例（圖 11） 0值得關(guān)注的是，當被問及是否愿意提供個人信息以獲得更便利的服務享受”時，更多的人 選擇了愿意”（圖12） o這也充分說明，信息共享帶來的便利是客觀存在的，多數(shù)人并 不贊同為保護

27、隱私而過分限制信息流動。圖12:更多人選擇為獲得便利服務而提供個人信息問卷調(diào)研的結(jié)果已可以清楚顯示出當前公民個體對于個人信息保護的觀念、行動及能力的 基本面貌：盡管人們對于個人信息安全普遍焦慮，遭受信息泄露侵害程度較高，但由于對 于個人信息保護的常識不足，為不法分子留存了極大的侵害漏洞，而公民對于個人信息維 權(quán)觀念的缺乏和動力的不足，又客觀上降低了不法分子違法犯罪行為的成本，加劇了侵犯 公民個人信息犯罪的可能性。值得關(guān)注的是，國家在政策與法規(guī)層面不斷強化、在司法層面不斷加大對侵犯公民個人信 息犯罪的打擊力度，但相當一部分社會個體在面對侵害時卻保持了漠視甚至麻木的消極對 應方式，而并未操起法律的

28、武器與涉及自身的違法犯罪行為進行抗爭。這一方面說明，針 對個人信息安全的普法力度仍需加大，尤其是要使公民清晰掌握維權(quán)技能；另一方面也能 夠反映出個人信息安全維權(quán)的技術(shù)難度與不成正比的維權(quán)收益，使公民個體在維權(quán)中步履 艱難。三、法律監(jiān)管與維權(quán)現(xiàn)狀：亟需統(tǒng)一立法，加大司法懲處（一）立法述評.個人信息保護尚無統(tǒng)一立法，現(xiàn)有規(guī)定內(nèi)容分散我國目前針對個人信息保護尚未形成統(tǒng)一的綜合法律規(guī)范，而是具體地規(guī)定在法律、行政 法規(guī)、部門規(guī)章、地方性法規(guī)和規(guī)章、各類規(guī)范性文件等多層次、多領域的規(guī)范當中，形 成了一個內(nèi)容分散、體系龐雜的個人信息保護模式。.網(wǎng)絡安全法關(guān)于個人信息的規(guī)定2016年11月7日全國*會通過的

29、網(wǎng)絡安全法在個人信息方面確立了重要的原則 和規(guī)定，從法律層面為更加完善而系統(tǒng)化的個人信息保護立法奠定了良好的基礎。其中第 七十六條規(guī)定：個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合 識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證號碼、 個人生物識別信息、住址、電話號碼等?！边@是首次在法律層面上確立了一般意義上 個人 信息”的概念，為個人信息保護的體系化制度建設提供了起點。網(wǎng)絡安全法針對網(wǎng)絡運營商收集、使用個人信息，規(guī)定了應當遵循合法、正當、必要 的原則，公開收集、使用規(guī)則；明示收集、使用信息的目的、方式和范圍，并規(guī)定公民對 自己的個人信息在被使用過程

30、中，享有知情權(quán)、刪除權(quán)、更正權(quán)。另一方面，從促進產(chǎn)業(yè)發(fā)展的角度，該法明確了禁止向他人提供個人信息的例外情形，即 如果是經(jīng)過處理無法識別特定個人，并且不能復原的信息可以合理使用，這也是對國家鼓 勵和推動大數(shù)據(jù)產(chǎn)業(yè)發(fā)展政策的回應，這一規(guī)定將進一步推動數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。此外，網(wǎng)絡安全法規(guī)定，在我國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在 我國境內(nèi)存儲的原則，并首次在法律層面明確了違反個人信息保護規(guī)則的行政責任。這些 規(guī)定都體現(xiàn)了社會的最新訴求和行業(yè)的前沿實踐，對構(gòu)建更加完整的我國個人信息保護制 度具有非常重要的意義。.針對個人電子信息保護的綜合規(guī)定全國*會于2012年12月28日通過的關(guān)于加強網(wǎng)

31、絡信息保護的決定，針對 車人 電子信息”的保護作出了較為系統(tǒng)的規(guī)定，明確車人電子信息”為能夠識別公民個人身份 和涉及公民個人隱私的電子信息”，并對收集、使用、保存?zhèn)€人電子信息作出了系統(tǒng)性規(guī) 范，還規(guī)定了違反義務的主體需要承擔相應的民事、行政和刑事責任。這個法律性質(zhì)的文 件為個人電子信息的保護確立了相對全面的保護，也為其他領域的法律法規(guī)提供了可供參 照的樣板，被認為是目前最為重要的個人信息保護規(guī)范之一。工業(yè)與信息化部的部門規(guī)章電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定，專門針對電信業(yè)務 經(jīng)營者、互聯(lián)網(wǎng)信息服務提供者規(guī)定了較為全面而系統(tǒng)的個人信息收集和使用規(guī)范、安全 保障措施以及相應的法律責任，也是一部重要

32、的個人信息保護的專門規(guī)范。.經(jīng)營者的個人信息保護責任消費者權(quán)益保護法第29條規(guī)定了經(jīng)營者收集、使用消費者個人信息時需要遵循的原 則和承擔的義務，即 應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、 方式和范圍，并經(jīng)消費者同意。經(jīng)營者收集、使用消費者個人信息，應當公開其收集、使 用規(guī)則，不得違反法律、法規(guī)的規(guī)定和雙方的約定收集、使用信息?！苯?jīng)營者違反這些義務，需要承擔民事責任和行政責任。這些規(guī)定與關(guān)于加強網(wǎng)絡信息保護的決定中確立 的原則和規(guī)則保持一致，對于消費者個人信息的保護及于線上和線下，適用范圍亦十分廣 泛。除了消費者權(quán)益保護法對消費者個人信息提供一般的保護之外，特定行業(yè)的法律法規(guī)

33、 規(guī)章也對其經(jīng)營者提出了保護個人信息的要求，比如，旅游法規(guī)定，旅游經(jīng)營者對其 在經(jīng)營活動中知悉的旅游者個人信息，應當予以保密；征信業(yè)管理條例系統(tǒng)而全面地 規(guī)定了征信機構(gòu)采集、整理、保存、加工個人信息的相應規(guī)范；地圖管理條例規(guī)定了 互聯(lián)網(wǎng)地圖服務單位在收集、使用、保存用戶個人信息時需要承擔的義務；人民銀行關(guān) 于銀行業(yè)金融機構(gòu)做好個人信息保護工作的通知針對金融機構(gòu)的個人信息保護責任提出 了系統(tǒng)化的要求；在金融、大數(shù)據(jù)、電子商務、電信、交通、教育、醫(yī)療等眾多領域，都 有相應的法規(guī)和規(guī)章來規(guī)定個人信息保護的內(nèi)容。5行政機關(guān)及其工作人員的個人信息保護責任除了作為經(jīng)營者的商家有可能獲得消費者的個人信息之外

34、，個人在與政府機構(gòu)打交道過程 中也會涉及到大量個人信息。因此，有多個法律法規(guī)針對行政機關(guān)及其工作人員規(guī)定了其 保護個人信息的責任。居民身份證法規(guī)定，公安機關(guān)及其人民警察對因制作、發(fā)放、查驗、扣押居民身份證 而知悉的公民的個人信息，應當予以保密；國家機關(guān)的工作人員泄露在履行職責或者提供 服務過程中獲得的居民身份證記載的公民個人信息，需要承擔民事、行政乃至刑事責任。護照法對護照簽發(fā)機關(guān)及其工作人員、出入境管理法對履行出境入境管理職責的 工作人員、社會保險法對社會保險行政部門和其他有關(guān)行政部門、社會保險經(jīng)辦機構(gòu)、 社會保險費征收機構(gòu)及其工作人員、統(tǒng)計法對統(tǒng)計機構(gòu)和統(tǒng)計人員，都規(guī)定了類似的 責任。.民

35、事、行政、刑事責任根據(jù)目前的立法體系，公民對其個人信息的保護，雖然尚未在民法基礎法律文件中明確其 私權(quán)的地位，但是已經(jīng)在事實上作為 個人信息權(quán)”得到保護了，任何人侵害個人信息的行 為，都會產(chǎn)生民事責任，即被侵害方可以要求停止侵害、恢復名譽、消除影響、賠禮道歉， 并賠償損失。（消費者權(quán)益保護法第 50條）此外，任何人侵害個人信息的行為，還會面臨行政責任。比如，對網(wǎng)絡服務提供者違反規(guī) 定的，依法給予警告、罰款、沒收違法所得、吊銷許可證或者取消備案、關(guān)閉網(wǎng)站、禁止 有關(guān)責任人員從事網(wǎng)絡服務業(yè)務等處罰，記入社會信用檔案并予以公布。（關(guān)于加強網(wǎng) 絡信息保護的決定第11條）侵害個人信息嚴重的，有可能觸犯刑

36、法，構(gòu)成 侵犯個人信息罪根據(jù)刑法第253條規(guī)定, 違反國家有關(guān)規(guī)定，竊取或者以其他方法非法獲取、向他人出售或者提供公民個人信息， 情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴重的，處三 年以上七年以下有期徒刑，并處罰金。而違反國家有關(guān)規(guī)定，將在履行職責或者提供服務 過程中獲得的公民個人信息，出售或者提供給他人的，從重處罰。.立法現(xiàn)狀總結(jié)與建議盡管我國目前并沒有統(tǒng)一的個人信息保護法，但是并不能認為個人信息保護方面的法律法 規(guī)有所欠缺，恰恰相反，通過一般性規(guī)范和具體規(guī)定相結(jié)合，社會生活中包括線上和線下 的絕大部分領域，都已經(jīng)有了個人信息保護的法律規(guī)范，侵害個人信息需要承擔民

37、事、行 政乃至刑事責任。只是這些規(guī)范在形式上過于分散，對于普通民眾和商家來說，都難以形 成直觀的認知，盡快通過一部統(tǒng)一的個人信息保護法，對其進行系統(tǒng)化梳理和整合，無論 是從立法資源的節(jié)省、立法技術(shù)的提高、規(guī)則體系的優(yōu)化，還是向民眾普及個人信息法律 保護的常識和意識來看，都存在必要性和合理性。具體來說，通過制定個人信息保護法，在法律層面明確線上線下及跨境數(shù)據(jù)傳輸過程中的 各類個人信息采集及使用的方式、范圍及標準，并嚴格規(guī)范各類數(shù)據(jù)采集及使用主體在信 息處理方面的細則，完善個人信息安全方面的保障要求與信息披露義務，以及針對個人信 息權(quán)層面的相關(guān)權(quán)益保障要求，充分保障用戶在信息層面的知情權(quán)、選擇權(quán)、

38、救濟權(quán)、受 尊重權(quán)及信息安全權(quán)在內(nèi)的各項基礎性權(quán)利。（二）司法懲處力度仍須加大針對個人信息的非法獲取與利用的司法判決為數(shù)不少，但與個人信息泄露的普遍狀況相比， 并不成比例。由于個人信息獲取、存儲和利用的環(huán)節(jié)眾多，線下和線上傳播具有隱蔽性和 復雜性，追本溯源成本很高，發(fā)現(xiàn)、查處難度大，處罰、賠償力度小，同時獲利空間巨大， 執(zhí)法現(xiàn)狀為灰色產(chǎn)業(yè)鏈提供了巨大的投機空間。特別是個人信息泄露與電信詐騙等犯罪活 動結(jié)合之后，造成了重大的損失和巨大的社會影響，亟需加大懲處力度，增加犯罪成本， 以切實起到威懾作用。.電信詐騙：個人信息泄露的惡果2016年8月山東考生徐玉玉被電信詐騙導致不幸離世的新聞事件，使得社

39、會對于電信詐 騙以及相關(guān)的個人信息泄露問題的關(guān)注達到頂峰。徐玉玉輕信電話內(nèi)容并進行匯款的主要 原因之一，就在于其中請助學金貸款的信息被流入騙子之手，使其有機會進行精準營銷實際上，個人信息販賣已成地下產(chǎn)業(yè)鏈，從源頭的個人信息非法采集、黑客侵入，到非法 出售、購買、轉(zhuǎn)售，再到非法利用，個人信息獲取、存儲、利用的各個環(huán)節(jié)，都可能出現(xiàn) 非法侵害的情況，直接或間接地成為電信詐騙等惡性犯罪的溫床，都應當成為法律關(guān)注和 懲處的對象。.侵犯個人信息罪案例：缺乏有效打擊在司法實踐中，除了通過詐騙罪對電信詐騙人繩之以法之外，針對單純的非法獲取或出售 個人信息行為追究刑事責任的案例也不在少數(shù)。常見的非法獲取途徑絕大

40、部分是通過互聯(lián) 網(wǎng)獲取、購買，內(nèi)容包括電話號碼、通話記錄、交易訂單、定位信息、身份證戶籍資料、家庭地址等。但是，針對非法出售個人信息的判決卻并不多見，由于刑法第 253條之一 規(guī)定非法出售或提供個人信息的主體限于 國家機關(guān)或者金融、電信、交通、教育、醫(yī)療 等單位的工作人員”，實踐中此類人員被定罪并不多見。有法院將出售小區(qū)業(yè)主個人信息 房地產(chǎn)公司的工作人員也列為犯罪主體5。單純的侵犯個人信息罪的定罪量刑也較為輕 微，大多為一年以下有期徒刑或拘役并處罰金，通常適用緩期執(zhí)行。值得關(guān)注的是，針對個人信息販賣整個產(chǎn)業(yè)鏈展開的執(zhí)法行動，通常能夠?qū)崿F(xiàn)切實效果。 例如今年五月公安部督辦的 “526犯公民個人信

41、息案”，打擊了完整的黑色產(chǎn)業(yè)鏈，由 號主”團伙、中間商”團伙、出單渠道”團伙、洋法軟件制作團伙”四層架構(gòu)組成，其中 號主”團伙源頭來自銀行內(nèi)部人員。與引起巨大社會危害性的個人信息違法泄露和利用現(xiàn)狀相比，立法上看刑法針對侵犯個人 信息罪的處罰較低，執(zhí)法上看，從源頭堵截個人信息泄露的行動已有展開，但尚存不足， 對于已形成產(chǎn)業(yè)鏈的個人信息地下產(chǎn)業(yè)，缺乏全面有效的打擊和懲處措施。.個人維權(quán)困難我國個人信息保護立法體系中規(guī)定了侵害個人信息的民事、行政和刑事責任。與刑事案件 相比，民事案件的原告通常以侵害 隱私權(quán)”作為訴由，但能成功勝訴并獲得賠償者寥寥無 幾。例如，在消費者起訴移動通訊公司、機票預訂平臺等

42、泄露個人信息的民事案件中，法 院認為，被告并非掌握原告?zhèn)€人信息的唯一主體，無法確認被告實施了泄露原告隱私信息 的侵權(quán)行為，亦即原告無法舉證證明被告的泄露個人信息行為6。除此之外，即使在原告勝訴的案例中，由于無法證明經(jīng)濟損失或僅能證明極少的經(jīng)濟損失，原告可獲得的賠償 金額很低。個人維權(quán)還有一種途徑是通過向行政機關(guān)舉報，由工商行政管理部門等行政機關(guān)來進行查 處。但是同樣限于證據(jù)提供困難和個案的局限性，行政處罰對于販賣個人信息形成的黑色 產(chǎn)業(yè)鏈也是收效甚微。凡此種種，一方面無法對侵害人產(chǎn)生足夠的遏制效果，另一方面， 對于被侵害的個人信息持有者來說，也很難有動力去投入大量的精力和成本進行維權(quán)。.司法實

43、踐現(xiàn)狀總結(jié)與建議 鑒于個人信息非法泄露與利用的普遍狀況和嚴重危害性，目前司法實踐中，無論是刑事處 罰，還是民事追責，都存在著不成比例、無法匹配的現(xiàn)狀。這與個人信息泄露本身的特殊 性息息相關(guān)。從刑事打擊上看，一方面立法應當加重量刑，增加威懾力；另一方面，執(zhí)法 行為應當向打擊整個產(chǎn)業(yè)鏈傾斜，從針對某些具體個人的個別獲取行為，轉(zhuǎn)向?qū)Ψ欠ǔ鍪邸?提供、黑客侵入、販售、軟件設計等整個產(chǎn)業(yè)鏈的破獲和打擊，才能起到治標治本的效果。從民事案件來看，根據(jù)現(xiàn)有的舉證責任難度，對于技術(shù)復雜、環(huán)節(jié)眾多的個人信息侵害行 為，個人維權(quán)往往只能望洋興嘆。而個體案件中如果沒有造成嚴重的損害，個人也往往沒 有動力去展開成本頗高

44、的個人維權(quán)行動。因此，對于個人而言，通過事后個案維權(quán)保護個 人信息的機制，成本過高而收效極低，更為重要的是盡可能采取預防措施，實現(xiàn)防患于未 然。產(chǎn)業(yè)和社會也有責任向個人提供預防性、保護性技術(shù)措施，在獲取個人信息的源頭盡 可能支持個人獲得保護自己個人信息的能力和知識。四、用戶信息安全相關(guān)行業(yè)標準和企業(yè)自律模式 一一以征信行業(yè)為例在大數(shù)據(jù)產(chǎn)業(yè)迅猛發(fā)展的浪潮中，個人信息作為數(shù)據(jù)信息的核心內(nèi)容，面臨著采集、存儲、 加工、使用各環(huán)節(jié)的規(guī)范化問題。這一命題是整個產(chǎn)業(yè)的問題，也同樣是全社會面臨的問 題。司法、行政部門的執(zhí)法、監(jiān)管，應當作為個人信息保護的最后一道屏障而存在，如若 期望公權(quán)力全面徹底治理這一社會

45、化的大問題，并不合理，亦不現(xiàn)實。個人信息保護和利 用的問題，需要通過市場機制、社會共治的模式，通過產(chǎn)業(yè)界的自律和他律，促進健康有 序的市場規(guī)范的形成，通過包括市場手段在內(nèi)的多種手段懲戒、共治違法違規(guī)者，防止劣 幣驅(qū)逐良幣的情況出現(xiàn)，推動形成個人信息保護方面優(yōu)勝劣汰的良性篩選機制。市場上涉及個人信息處理的行業(yè)眾多，其中征信行業(yè)是以機構(gòu)和個人信息作為其主營業(yè)務 內(nèi)容的機構(gòu)。經(jīng)過對于市場實踐運作的調(diào)研和考察，可以觀察到目前征信行業(yè)在個人信息 保護方面的法規(guī)相對完善，明確規(guī)定了個人信息采集、處理、輸出等方面的要求，并構(gòu)建 了比較全面的用戶權(quán)益保障措施。而規(guī)范化經(jīng)營的征信機構(gòu)在個人信息保護方面的實踐也

46、走在各行業(yè)的前沿，具有很強的典型性和代表性。鑒于征信行業(yè)在個人信息處理和保護方 面的典型意義和借鑒價值，本報告選取征信機構(gòu)為模板來考察個人信息保護機制，對征信 行業(yè)的多家機構(gòu)進行了調(diào)研和訪談。其中，征信指的是對企業(yè)、事業(yè)單位等組織的信用信息和個人的信用信息進行采集、整理、保存、加工，并向信息使用者提供的活動?！闭餍艡C構(gòu)是 依法設立的，主要經(jīng)營征信業(yè)務的機構(gòu)實現(xiàn)健康市場秩序的具體模式，其構(gòu)架可以通過建設基礎法律規(guī)范、行業(yè)通用標準、企業(yè)最佳實踐”的架構(gòu)來實現(xiàn)。接下來選取征信行業(yè)的實踐為例，進行具體展開。（一）建立個人信息分類保護個人信息涉及到與識別個人身份相關(guān)各個方面的信息，采集、存儲、利用個人信

47、息應當符 合目的明確原則”和含法必要原則”，即范圍應當僅及于業(yè)務所需之必要信息。以征信行 業(yè)為例，征信業(yè)管理條例對于征信機構(gòu)采集的個人信息，設有禁止性和限制性兩類： 第一類禁止采集的包括：個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、 行政法規(guī)規(guī)定禁止采集的其他個人信息；第二類必須明確告知信息主體不良后果并取得其書面同意的信息包括：個人的收入、存款、有價證券、商業(yè)保險、不動產(chǎn)的信息和納稅數(shù) 額信息。作為基礎法律規(guī)范的規(guī)定，征信機構(gòu)都有必要嚴格執(zhí)行，建立技術(shù)上和管理上可行的機制， 不采集禁止性信息，對于限制性信息應當自覺履行相應告知和同意獲取程序。在此基礎上 可以發(fā)展出相應的行業(yè)標準

48、，約束征信機構(gòu)的行為。實踐中，芝麻信用、華道征信等機構(gòu) 都遵照法律規(guī)定，對禁止性信息和限制性信息分別建立內(nèi)部制度規(guī)范，使法律規(guī)則得以落 地。此外，在這兩類敏感信息之外，征信機構(gòu)針對用戶其他個人信息，亦可基于其實踐狀況發(fā) 展出其他自律規(guī)范，形成企業(yè)最佳實踐。例如以手機 app等軟件為例，芝麻信用等企業(yè) 建立內(nèi)部信息采集規(guī)范，只采集與評估用戶信用狀況有關(guān)的信息，而不采集用戶的聊天、 通話等個人隱私信息，不得追蹤用戶在社交媒體上的言論信息。（二）全面落實用戶授權(quán)機制包括征信業(yè)管理條例在內(nèi)的眾多法律法規(guī)都要求采集和利用個人信息需要經(jīng)過信息主 體的授權(quán)。但實踐中由于存在個人信息利用的眾多環(huán)節(jié)，初始采集時

49、的授權(quán)往往不能匹配 后續(xù)各種利用環(huán)節(jié)，因此法規(guī)中的原則性規(guī)定，需要有細化的行業(yè)標準和企業(yè)自律規(guī)范來 加以落實。在征信數(shù)據(jù)利用過程中，可能涉及到信息采集者、提供者（其中包括采集者）、整理加工 者、存儲者以及查詢者、使用者。授權(quán)通常發(fā)生在信息初始采集時，但當后續(xù)使用需求與 初始授權(quán)不匹配時，需要使用者啟用相應的核實授權(quán)機制重新授權(quán)。例如，芝麻信用通過 技術(shù)手段的持續(xù)開發(fā)，讓用戶直接與征信機構(gòu)發(fā)生授權(quán)交互確認，保障授權(quán)的有效性。征信機構(gòu)在與上下游行業(yè)展開合作時，也可以通過建立相應的機制來確保授權(quán)的全面有效 性。例如，芝麻信用對于上游的信息提供者進行資質(zhì)審核，包括對其數(shù)據(jù)安全保護能力等 方面進行評估，

50、只選擇接入符合特定條件的信息提供機構(gòu)；華道征信在各項業(yè)務中對信息 提供者進行合法性審查，與個人信息提供者簽署的合作協(xié)議中明確約定其信息采集、使用 規(guī)則和義務，如信息使用者必須對個人征信授權(quán)書中的重點內(nèi)容進行了加黑、加粗處理， 以起到顯著性提示的作用。對于下游的信息使用者，征信機構(gòu)也可以對商戶在用戶信息安全保障機制及能力等各方面 情況進行盡職調(diào)查，以評估是否與其合作，從而盡可能確保用戶信息輸出到合作商戶后的 用戶信息安全。企業(yè)在實踐中還探索建立了各具特色的對于合作商戶的監(jiān)控和篩選機制。如芝麻信用在合作伙伴的選擇上實行類似于 黑名單”制度，設立了外部輿情監(jiān)測機制，一旦發(fā)現(xiàn)合作商戶 存在信息泄露或違

51、法違規(guī)采集/輸出用戶信息的情況時，會及時評估事件對用戶信息安全 造成的風險或潛在威脅，甚至決定中止或終止與合作商戶的合作。華道征信的同業(yè)征信服 務系統(tǒng)建立了后臺監(jiān)測系統(tǒng)，實時監(jiān)測信息使用客戶的查詢行為，對于疑似存在異常查詢 行為的客戶及時進行重點監(jiān)控，要求該客戶提交若干筆查詢所對應的信息主體授權(quán)書，必 要時會安排現(xiàn)場調(diào)查。（三）嚴格規(guī)范內(nèi)部管控流程征信機構(gòu)在存儲和加工個人信息過程中，承擔著建立嚴格內(nèi)部制度保障信息安全的法定義 務。征信業(yè)管理條例規(guī)定，征信機構(gòu)應當建立健全和嚴格執(zhí)行保障信息安全的規(guī)章制 度，并采取有效技術(shù)措施保障信息安全；應當對其工作人員查詢個人信息的權(quán)限和程序作 出明確規(guī)定，對

52、工作人員查詢個人信息的情況進行登記，如實記載查詢工作人員的姓名， 查詢的時間、內(nèi)容及用途。工作人員不得違反規(guī)定的權(quán)限和程序查詢信息，不得泄露工作 中獲取的信息。法律的規(guī)定同樣需要建立行業(yè)標準和企業(yè)內(nèi)部管控制度，來落到實處。在實踐中，芝麻信 用、華道征信等機構(gòu)建立了關(guān)于信息采集、加工、存儲及使用等全數(shù)據(jù)生命周期的內(nèi)部流 程管控制度。芝麻信用內(nèi)部流程管控制度及配套的權(quán)限管理系統(tǒng)包括根據(jù)信息的敏感程度不同進行相應 的分級管理等。保證數(shù)據(jù)從采集開始直至輸出，任何數(shù)據(jù)的訪問使用都有必須經(jīng)過特定的 審批流程并保留相關(guān)記錄信息，避免非必要的用戶信息接觸行為。止匕外，機構(gòu)持續(xù)根據(jù)業(yè) 務實際情況，不斷對上述制度

53、及技術(shù)實現(xiàn)進行優(yōu)化完善，以保證制度及流程的可執(zhí)行性， 避免實際操作與信息安全保障要求相脫節(jié)的情況發(fā)生。華道征信成立了內(nèi)部信息安全委員會，制定了相關(guān)制度及規(guī)范，細化了安全檢查與審計管 理制度、信息系統(tǒng)人員安全管理規(guī)定、信息安全培訓和考核管理規(guī)定、信息系統(tǒng)安全事件 報告和處置管理制度、應急預案管理流程等一系列安全管理制度等一系列信息安全管理制 度，明確了有關(guān)部門信息安全管理工作職能，并對系統(tǒng)管理員、網(wǎng)絡管理員、安全管理員、 數(shù)據(jù)管理員等關(guān)鍵崗位制定了明確的職責分工、業(yè)務權(quán)限、操作規(guī)程，對工作人員查詢個 人信息的情況進行登記，確保各項制度流程有效實施。實踐中，將個人信息進行匿名化處理，是保護個人信息

54、特定主體的重要手段。在征信機構(gòu) 的實踐中，出現(xiàn)了避免輸出原始可識別身份信息的策略，例如，即使在用戶授權(quán)的前提下 向合作商戶輸出信息，芝麻信用通常情況下不會直接輸出用戶的原始或明細信息，或者傳 統(tǒng)信用報告，而是經(jīng)過加工后的信用標簽或變量信息。這樣的信息輸出策略，盡可能避免 了輸出用戶明細或原始信息可能給用戶造成的風險，以及合作商戶端萬一發(fā)生信息泄露情 況下，盡量降低可能對用戶信息安全造成的影響，是值得稱道和推廣的業(yè)內(nèi)重要實踐。（四）完善泄露危機應急預案 盡管法律法規(guī)并沒有對危機應對作出具體規(guī)定，但是出于企業(yè)社會責任的需要，征信機構(gòu) 在數(shù)據(jù)泄露應急處理方面亦有可為之處。實踐中，芝麻信用等機構(gòu)建立了

55、信息泄露應急處 置預案，并不定期進行應急演練，從而保證在極端情況下發(fā)生信息泄露時，可能順序定位 到信息泄露的原因及問題所在，并在最短時間內(nèi)進行處置與控制信息安全風險，以爭取將 信息泄露風險控制在最低程度。通過信息泄露的應急演練，征信機構(gòu)可以不斷就自己在信 息安全保障方面存在潛在風險點進行不斷識別、優(yōu)化完善，從而提高自身信息泄露風險防 御能力及水平。華道征信通過網(wǎng)站綜合監(jiān)控管理平臺實時監(jiān)控外部攻擊和風險，定期開展 漏洞掃描、掛馬掃描、篡改掃描等安全監(jiān)測工作。每年都邀請第三方安全機構(gòu)進行專業(yè)風 險評估，對于發(fā)現(xiàn)的漏洞和風險問題在第一時間進行修補和解決，有效降低受到外部攻擊 所導致的各種風險。從征信

56、機構(gòu)的行業(yè)實踐來看，在 基礎法律規(guī)范、行業(yè)通用標準、企業(yè)最佳實踐 ”的架構(gòu)下, 盡管基礎法律規(guī)范僅僅作出原則性和目標性的規(guī)定，但是在環(huán)節(jié)繁多、技術(shù)復雜的征信行 業(yè)中，要想真正將法律規(guī)范落到實處，還需要建立全面、細致、依賴先進技術(shù)手段的行業(yè) 標準和企業(yè)自律規(guī)范。通過行業(yè)主體的自律行為，建構(gòu)良好的個人信息處理規(guī)范，并建立 快速、準確的信息披露和評價機制，使得違規(guī)者無處遁形，避免劣幣驅(qū)逐良幣現(xiàn)象，建設 個人信息保護領域優(yōu)勝劣汰的良性競爭環(huán)境?；ヂ?lián)網(wǎng)的發(fā)展帶來社會變革的同時，也為個人信息保護帶來了巨大的挑戰(zhàn)。本報告整理并 總結(jié)了一百余萬份調(diào)查問卷反饋數(shù)據(jù)，并針對現(xiàn)有的立法體系、司法現(xiàn)狀進行了梳理和總

57、結(jié)，探討了個人信息保護存在的主要難點和障礙。最后，本報告把關(guān)注的焦點投向以征信 行業(yè)為代表的產(chǎn)業(yè)實踐，通過評估和總結(jié)具有代表性的企業(yè)自律規(guī)范，提出通過基礎法律規(guī)范、行業(yè)通用標準、企業(yè)最佳實踐 ”的治理架構(gòu)，來實現(xiàn)線上和線下的全方位、各環(huán) 節(jié)共治，針對個人信息保護問題實現(xiàn)既治標又治本的理想目標。（一）個人信息泄露嚴重、侵害程度觸目驚心根據(jù)一百余萬份調(diào)查問卷的反饋數(shù)據(jù)，目前個人信息侵害體現(xiàn)出明顯的范圍廣、危害大的 特征，大部分受訪人群都認為存在個人信息泄露的情況，而由個人信息泄露導致的惡性犯 罪行為亦在輿論中不絕于耳，使得個人信息侵害成為一個普遍性的嚴重社會問題，近年來 的泄漏事件，危害范圍之廣，

58、程度之深，令人觸目驚心，而且存在愈演愈烈的發(fā)展趨勢。（二）自我保護意識缺乏、維權(quán)能力動力不足與個人信息泄露和侵害范圍和危害程度恰成反比的，是普通民眾的自我保護認知、維權(quán)意 識和維權(quán)能力都嚴重偏低，對于自身個人信息的泄露途徑、方式等缺乏基本知識，在日常 生活、消費中無意間為個人信息泄露大開方便之門。在個人信息受到侵害或者可能受到侵害時，對維權(quán)行為意識淡薄，動力不足，能力低下。其中維權(quán)渠道缺乏、成本過高、難度 過大、收益過小構(gòu)成主要原因。因此，一方面應當針對普通民眾進行大規(guī)模的個人信息保 護觀念、知識宣傳，幫助其提高自我保護意識和能力，從源頭上對個人信息泄露進行防范； 另一方面，對個人信息侵害問題

59、的治理，很難主要依靠受侵害者通過個人維權(quán)的途徑得到 妥善解決，而應當進行更加行之有效的制度和規(guī)則建設。（三）采取統(tǒng)一立法模式、系統(tǒng)確立原則規(guī)則通過對于我國目前立法現(xiàn)狀和司法實踐的考察，目前的法律框架和司法打擊力度都存在改 善的空間。從立法模式來看，針對個人信息保護存在諸多法律規(guī)定，但基本都分散在效力 層次不一的各種法律法規(guī)乃至規(guī)范性文件。本報告認為，應盡快通過一部統(tǒng)一的個人信息 保護法規(guī)，對相應法律進行系統(tǒng)化梳理和整合，這無論是從立法資源的節(jié)省、立法技術(shù)的 提高、規(guī)則體系的優(yōu)化，還是向民眾普及個人信息法律保護的常識和意識來看，都存在必 要性和合理性。（四）加大司法懲處力度、重點打擊黑色產(chǎn)業(yè)針對

60、個人信息侵害的司法打擊盡管已經(jīng)投入大量資源，但是現(xiàn)有的司法投入仍然不能對個 人信息侵害造成足夠的威懾，尤其是專門規(guī)定個人信息侵害行為的刑法條文量刑偏輕，而 單純針對局部環(huán)節(jié)的個人信息侵害行為進行處罰，僅能治標而無法觸及根本。從源頭堵截 個人信息泄露的行動已有展開，但尚存不足，對于打著大數(shù)據(jù)”之名而行非法數(shù)據(jù)利用之實的個人信息黑色產(chǎn)業(yè)鏈，缺乏全面有效的打擊和懲處措施。從民事訴訟來看，由于個人 信息侵害在技術(shù)上存在高度復雜性，而且環(huán)節(jié)眾多，被侵害人在實踐中極少有可能舉證證 明侵害行為究竟在哪個環(huán)節(jié)發(fā)生，以及準確的侵害主體，因此通過侵權(quán)訴訟來主張權(quán)利難 度極大。這也同樣印證了第一個結(jié)論中維權(quán)困難導致