國家保密局網(wǎng)站>>保密科技

總體國家安全觀視角下個人信息保護機制研究

2020年05月09日    來源:國家保密科技測評中心【字體: 打印

近年來,我國個人信息泄露事件頻繁發(fā)生,嚴(yán)重的甚至?xí)绊憞野踩D壳,理論界對兩者相互影響機制尚不明確。如何厘清個人信息與國家安全的關(guān)系以及泄露后對國家安全的影響,構(gòu)建起既維護國家安全又保護個人信息的工作機制,已成為保密工作中亟待解決的重要課題。

一、個人信息的概念與內(nèi)容

(一)個人信息的概念厘定

目前,我國尚未制定專門的個人信息保護法,相關(guān)規(guī)定散見于各部門法,主要有《民法總則》《刑法》《網(wǎng)絡(luò)安全法》《居民身份證法》等,初步呈現(xiàn)出刑事、民事與行政齊頭并進的趨勢。然而在法律層面,個人信息概念尚處于模糊狀態(tài),僅《網(wǎng)絡(luò)安全法》第76條規(guī)定,“個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”。這一概念具有合理性,但受網(wǎng)絡(luò)管理業(yè)務(wù)局限,無法涵蓋個人信息完整內(nèi)涵與外延。在學(xué)理上,我國法學(xué)界對個人信息的研究主要集中在私法領(lǐng)域,將其與“個人資料”“個人數(shù)據(jù)”“信息隱私”等概念混用,存在話語體系不統(tǒng)一問題。本文以《網(wǎng)絡(luò)安全法》第76條為核心,將個人信息概念擴展為“與自然人相關(guān)聯(lián)的、可以識別其身份的任何信息,包括個人基本信息、注冊信息、設(shè)備信息和活動信息、社會關(guān)系信息、網(wǎng)上行為信息等”。

(二)個人信息的主要內(nèi)容

在現(xiàn)代社會,個人信息是動態(tài)變化的范疇,其隨著大數(shù)據(jù)、云計算等信息技術(shù)發(fā)展,不斷增加新的內(nèi)容;谇笆隼宥ā皞人信息”概念,其具體內(nèi)容至少包括以下6方面:一是個人基本信息,包括個人姓名、性別、年齡、住址、出生日期、身份證號等;二是個人注冊信息,包括電話號碼、EMAIL等通信信息,銀行賬戶、支付寶等電子支付信息,微信、QQ等社交媒體信息等;三是個人設(shè)備信息,包括計算機、手機、IPAD、便攜式電子設(shè)備等信息設(shè)備的IP地址、GPS位置等;四是個人活動信息,包括個人日記、通訊錄、通話信息、短信記錄、備忘錄等;五是個人社會關(guān)系信息,包括家庭關(guān)系、社交范圍、工作履歷、人事記錄等;六是個人網(wǎng)上行為信息,包括上網(wǎng)時間地點、網(wǎng)上購物記錄、瀏覽記錄、搜索記錄、輸入法記錄、網(wǎng)絡(luò)聊天記錄等。

二、個人信息與國家安全的關(guān)聯(lián)性分析

(一)重構(gòu)個人信息的“二維結(jié)構(gòu)”

根據(jù)傳統(tǒng)保密工作理論,個人信息與國家安全界分明確:一是兩者屬性不同。個人信息屬于私權(quán)利范疇;國家安全屬于公權(quán)力范疇。二是兩者主體不同。個人信息歸屬于自然人,屬于自然人的當(dāng)然權(quán)利;涉及國家安全信息屬于國家,關(guān)系國家利益。三是兩者內(nèi)容不同。個人信息限于個人事務(wù);國家安全涉及公共事務(wù)。隨著信息化和大數(shù)據(jù)及人工智能不斷發(fā)展,個人信息與國家安全關(guān)系越來越緊密,兩者經(jīng)常呈現(xiàn)出相互交織、相互影響的狀態(tài)。

在邏輯上,個人信息按照不同標(biāo)準(zhǔn),可以劃分為不同類別。目前,學(xué)術(shù)界關(guān)于個人信息的分類多達6種,但相關(guān)分類所依據(jù)的均為一維的、扁平的標(biāo)準(zhǔn)。對個人信息中涉及國家安全內(nèi)容作溯因性分析,個人信息與國家安全的關(guān)聯(lián)程度高低主要受兩個因素的影響:一是個人信息主體的身份,究竟是涉密人員還是非涉密人員;二是個人信息內(nèi)容的敏感程度,究竟是個人敏感信息還是個人一般信息。以這兩個因素為標(biāo)準(zhǔn),對個人信息進行二次分類,可以形成既區(qū)分信息主體又區(qū)分信息內(nèi)容的“二維結(jié)構(gòu)”:即涉密人員個人敏感信息、非涉密人員個人敏感信息、涉密人員個人一般信息和非涉密人員個人一般信息。此處需要說明的是,作為我國首部個人信息保護國家標(biāo)準(zhǔn),2012年發(fā)布的《個人信息保護指南》已提出將個人信息分為個人敏感信息和個人一般信息;2017年發(fā)布的《個人信息安全規(guī)范》也從國家標(biāo)準(zhǔn)層面界定和列舉了個人敏感信息的內(nèi)涵和外延。因此,有學(xué)者在現(xiàn)行規(guī)定基礎(chǔ)上,結(jié)合信息泄露是否會導(dǎo)致重大傷害、給信息主體帶來傷害的概率、社會大多數(shù)人對某類信息的敏感度3個因素綜合考量,將健康信息、性生活和性取向、身份證件號碼、金融信息、政治意見、通信信息、基因信息、生物特征信息、精確地理位置列為個人敏感信息。

(二)“二維結(jié)構(gòu)”下個人信息與國家安全的同一性

一是涉密人員個人敏感信息直接關(guān)系國家安全。一方面,一些特定人員的個人敏感信息,可能基于國家安全和利益的考量,被納入國家秘密定密事項范圍。比如,在國家面臨政治動蕩、國家間出現(xiàn)戰(zhàn)爭沖突等情況下,一國領(lǐng)導(dǎo)人的身體疾患等情況可能作為國家秘密受到特別保護,以防止這些個人信息公布后對國家安全和利益造成風(fēng)險和損害。另一方面,有的涉密人員個人敏感信息雖然不屬于國家秘密,但與國家安全高度相關(guān)。如,斯特拉瓦(Strava)公司根據(jù)其開發(fā)的戶外運動App,制作發(fā)布了一幅“全球運動熱力地圖”,涉及GPS位置記錄的軍人跑步或者騎行路線,導(dǎo)致美國、俄羅斯等國設(shè)在敘利亞、阿富汗等地的秘密軍事基地等涉密信息先后被披露。

二是涉密人員個人一般信息與國家安全亦有關(guān)聯(lián)。涉密人員在涉密崗位工作,在日常工作中產(chǎn)生、經(jīng)管或者經(jīng)常接觸、知悉國家秘密事項,這決定了其言行舉止與國家安全存在千絲萬縷的聯(lián)系。即使涉密人員個人一般信息有大概率不涉及國家秘密,仍然有可能通過兩兩結(jié)合、相互印證的方式,間接關(guān)聯(lián)到國家安全。如,有關(guān)部門在工作中發(fā)現(xiàn),境外黑客組織通過對某涉密單位工作人員在互聯(lián)網(wǎng)上發(fā)布的數(shù)項個人一般信息進行分析,定位該工作人員所用互聯(lián)網(wǎng)計算機,進而實施網(wǎng)絡(luò)攻擊,竊取機內(nèi)存儲的相關(guān)個人敏感信息和工作文件資料,導(dǎo)致該單位有關(guān)敏感資料泄露,造成的負(fù)面影響不可輕視。

三是大規(guī)模的非涉密人員個人敏感信息可能與國家安全有關(guān)。當(dāng)前,非涉密人員個人敏感信息存儲越來越集中,其與國家安全的邊界越來越模糊、相互關(guān)聯(lián)越來越密切,已成為現(xiàn)代情報獲取的“新石油”。據(jù)國外媒體報道,劍橋分析公司通過分析5000余萬臉書用戶政治傾向等數(shù)據(jù),借助臉書的廣告投放系統(tǒng),向這些用戶定向推送誘導(dǎo)性新聞,影響他們的投票行為,在美國大選和英國脫歐事件中發(fā)揮重要作用。又如,美國中央情報局開源情報中心(OpenSourceCenter)的數(shù)據(jù)挖掘系統(tǒng)可以自動使用30種語言,瀏覽20萬個網(wǎng)站和社交媒體站點提取在線評論以及時掌握事態(tài)發(fā)展并進行預(yù)測,幫助決策者快速準(zhǔn)確了解當(dāng)前事態(tài)變化以及未來發(fā)展趨勢。

三、個人信息泄露對國家安全的影響

(一)個人信息泄露與政治安全

政治安全是國家安全的前提和基礎(chǔ)。只有確保政治安全,才能有效維護和實現(xiàn)經(jīng)濟、科技、文化、生態(tài)等其他領(lǐng)域的安全。隨著信息技術(shù)發(fā)展,大數(shù)據(jù)時代到來,個人信息泄露所帶來的挑戰(zhàn)和威脅與日俱增,其引發(fā)的政治安全問題在很大程度上已經(jīng)超越了傳統(tǒng)安全領(lǐng)域。在一定條件下,泄露的相關(guān)個人信息數(shù)據(jù)有可能被敵對勢力所利用,使其得以在網(wǎng)上與一些不法群體勾聯(lián),有針對性地開展?fàn)帄Z人心工作,甚至直接指使開展刺探、竊取、非法提供國家秘密活動。尤其要注意的是,互聯(lián)網(wǎng)具有強大的組織動員能力和聚焦放大效應(yīng),對于大規(guī)模個人信息數(shù)據(jù)的泄露、收集和利用,一旦遇到敏感事件的刺激,就可能爆發(fā)出驚人的破壞力量,對政治安全產(chǎn)生嚴(yán)重危害,甚至導(dǎo)致國家政權(quán)的更迭。這從烏克蘭、格魯吉亞、吉爾吉斯斯坦等國家爆發(fā)的“顏色革命”中已經(jīng)可以得到印證。

(二)個人信息泄露與經(jīng)濟安全

經(jīng)濟在國家發(fā)展中具有極其重要的地位,是決定國際關(guān)系格局變化和國家綜合競爭力、影響力的關(guān)鍵因素。在經(jīng)濟決策和運行中,個人信息數(shù)據(jù)的總體分析對國家經(jīng)濟安全和經(jīng)濟發(fā)展的重要性越來越強,成為影響經(jīng)濟安全的重要因素。如,美國最大的零售企業(yè)Target公司儲有7000萬顧客姓名、地址、電話、郵件、信用卡和儲蓄卡等信息的數(shù)據(jù)庫遭黑客攻擊,大量數(shù)據(jù)泄露,全美1797家商場無一幸免,社會經(jīng)濟受到嚴(yán)重影響。在我國,隨著互聯(lián)網(wǎng)經(jīng)濟快速發(fā)展,網(wǎng)絡(luò)貿(mào)易、網(wǎng)絡(luò)金融、網(wǎng)絡(luò)購物成為生活常態(tài),個人信息數(shù)據(jù)被各平臺運營商、供應(yīng)商收集、掌握,技術(shù)防護水平參差不齊,成為對國家經(jīng)濟安全有重大影響的“定時炸彈”。據(jù)有關(guān)部門披露,僅2016年因個人信息泄露、垃圾短信等遭受的總體經(jīng)濟損失高達915億元,對此必須高度警惕,防止發(fā)生行業(yè)癱瘓、金融紊亂等情況。

(三)個人信息泄露與社會安全

社會安全是國家安全的重要內(nèi)容,是社會安定的“風(fēng)向標(biāo)”,其涉及防范、消除、控制直接威脅社會公共秩序和人民群眾生命財產(chǎn)安全的治安、刑事、暴力恐怖事件,以及規(guī)模較大的群體性事件等。在大數(shù)據(jù)時代,個人信息泄露后擴散的范圍、用途及后果無法預(yù)判,給社會秩序帶來嚴(yán)重不可控因素。特別是當(dāng)前,我國發(fā)生的竊取公民個人信息、電信詐騙等新型網(wǎng)絡(luò)犯罪數(shù)量不斷增加,網(wǎng)上交易個人信息亂象屢禁不止,嚴(yán)重影響了社會公眾的安全感。如,通過事先掌握個人信息實施的精準(zhǔn)詐騙,其欺騙性和危害性成倍增長,犯罪分子一旦掌握了個人信息,就有能力竊取人們在網(wǎng)絡(luò)上的虛擬身份,冒名頂替實施詐騙。據(jù)《人民日報》報道,許多境內(nèi)外的網(wǎng)絡(luò)犯罪團伙將目標(biāo)瞄準(zhǔn)了我國公民個人信息,竊取了數(shù)以億計的個人信息,形成交易個人信息的地下產(chǎn)業(yè),對我國社會安全造成嚴(yán)重的現(xiàn)實和潛在危害。

四、構(gòu)建個人信息保護機制的建議

第一,保密制度層面。建議盡快建立健全涉密人員個人信息保護相關(guān)規(guī)定,明確涉密人員個人敏感信息、個人一般信息的管理要求,輔助其他已有的刑事、民事、行政法律法規(guī),完善的個人信息法律保護體系。進一步完善涉密人員個人信息相關(guān)國家秘密事項范圍規(guī)定,進一步明確哪些主體、哪些信息屬于國家秘密或者工作秘密,及時將這部分人員信息納入保密工作直接管理的范圍。推動修訂《個人信息保護指南》《個人信息安全規(guī)范》,增加保密管理內(nèi)容,明確個人敏感信息的收集、使用規(guī)則,為機關(guān)、單位和相關(guān)企業(yè)提供行為規(guī)范。

第二,保密管理層面。建議對由于個人信息泄露導(dǎo)致國家秘密泄露或者失控的案件進行倒查,依法依紀(jì)追究責(zé)任,并針對暴露的問題,分析原因,健全制度,嚴(yán)格管理,采取補救措施,盡量減少損失。督促涉密人員所在機關(guān)、單位加強涉密人員個人信息管理,科學(xué)、合理劃定國家秘密事項范圍,從管理措施、技術(shù)防護等方面采取綜合措施,形成綜合防護體系。對收集、處理個人信息數(shù)據(jù)的機關(guān)、單位和企業(yè),按照“誰主管、誰負(fù)責(zé)”原則,進一步嚴(yán)格保密管理要求,強化技術(shù)防護,防止因大規(guī)模個人信息數(shù)據(jù)泄露影響國家安全。

第三,保密指導(dǎo)層面。建議加強面向公眾的保密宣傳教育,宣傳依法保護個人信息的重要性,樹立防范個人信息被非法采集、傳播等思想意識,引導(dǎo)人們提高自我保護意識,養(yǎng)成謹(jǐn)慎使用第三方應(yīng)用軟件等良好習(xí)慣,有效保護自身個人信息。引導(dǎo)互聯(lián)網(wǎng)運營者樹立行業(yè)自律規(guī)范,明確收集、使用個人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則,不得收集與其提供服務(wù)無關(guān)的信息,不得違反法律法規(guī)規(guī)定和雙方約定收集、使用個人信息,加強技術(shù)防護,依法保存?zhèn)人信息。借鑒國外的做法,試點在一些機關(guān)、單位和企業(yè)設(shè)立“首席信息安全官”,把個人信息安全責(zé)任落實到相應(yīng)部門和負(fù)責(zé)人,健全信息泄露的問責(zé)機制。

 

(原載于《保密科學(xué)技術(shù)》雜志2018年11月刊)