馬志剛

　　在世界各國，個人數據安全關注個人數據本身的安全屬性和安全狀態，防止個人數據免遭非授權訪問、使用、披露、修改或破壞，確保信息的完整性、保密性、可用性。

　　秩序惡瘤：可作為商品的個人信息

　　但是，顯然，我們的網絡環境並非以此為本位進行秩序建構的。長久以來，個人信息在我國可以作為商品，在類似的黑市上進行交易和流通。2009年3月至12月間，作為電信單位工作人員或者經電信單位授權直接從事電信相關業務的人員，謝新衝、黃偉帆等7人利用電信單位服務平臺，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息出售或者非法提供給劉海亮等人，嚴重侵害了公民的合法權益。2011年8月5日，北京市第二中級人民法院對本案作出一審判決，共有23名被告人涉嫌非法提供、獲取以及出售公民個人信息，並且相互結成了一條非法提供、獲取、銷售公民個人信息的完整鏈條。

　　而2011年12月12日CSDN論壇、天涯社區、京東、噹噹、支付寶、騰訊、嘟嘟牛、7K7K、多玩網、178遊戲網、多玩、世紀佳緣、珍愛網、美空網、百合、7K7K等網站發生的地個人信息數據庫“脫庫”事件（有消息稱甚至交通銀行、民生銀行、工商銀行等金融機構的個人信息數據庫也已“脫庫”），再一次證明，長期以來，個人信息在行業內部隱性存在的某個黑市裏進行著自由的交易和流通，已經不是什麼秘密，而是行業內心照不宣、人人皆知的事實；以此為出發點，黑客們聚集了許多技術含量要求並不高的自由職業者，開始對存儲有用戶個人關鍵資産的數據庫進行“洗庫”、“撞庫”，從而獲取用戶高價值的網絡虛擬資産。

　　有經濟學家稱，“中國的要害是沒有私權利的保護機制，公權力過多、過深、過久地壓抑和侵犯了私權利。沒有政治體制改革，權力就不能得到有效制衡，釋放私權利的過程就無法持續，這就不可能有真正的市場經濟。”同樣的道理，如果不存在私人領域的安全，這個世界上怎麼可能只存在公共行政領域的單邊安全呢，既然個人信息可作為商品進行交易和流轉，那麼足可反映出我們的秩序建構出現了重大問題。

　　技術發展：永無止境的個人信息風險和威脅

　　當前，隨著移動互聯網、雲計算等新技術、新業務的發展，個人數據面臨的系統性風險正在日益升級。

　　-歷史上，操作系統預留後門事件層出不窮，歷來是危害國家安全和用戶隱私的重要殺手。例如，1998年8月發生的微軟“NSA密鑰事件”、2010年12月發生的OpenBSD開源軟體“FBI後門事件”等等。

　　-當前，在移動互聯網條件下，移動智慧終端操作系統的功能日益多樣，終端系統軟體“後門”、漏洞隨之增加，針對智慧移動終端存在的各種漏洞，或利用操作系統平臺提供的各類API，攻擊者開發出的惡意代碼越來越多，危害也越來越大，並可能導致安全事件頻發。

　　-在移動互聯網條件下，移動智慧終端設備的生産廠家可以輕易可以通過企業服務器對移動終端實施遠程控制，進行手機功能限制、應用卸載、數據刪除、藍牙等接口的關閉和啟用等活動，盜取手機上保存的個人通訊錄、日程安排、個人身份信息甚至個人機密信息，竊聽機主的通話、截獲機主的短信，篡改或刪除用戶的重要數據，對機主的個人信息安全構成重大威脅。

　　-2011年4月20日，兩名程序員發現，自推出iOS 4後，基於該系統的蘋果産品就開始跟蹤並存儲用戶的地理位置信息，並帶有時間戳，用戶在與其他設備同步時，其個人數據完全面向同步設備開放，並被存儲在consolidated.db 文件中。

　　-2012年2月17日，據香港明報報道，twitter承認在用戶不知情下，將用戶智慧手機內的通信錄悉數複製下來，儲存到自己的服務器；而蘋果雖在其應用程式研髮指南中，明確規定在未經用戶同意不得“抄走”個人私密信息，但實際卻容許twitter以及其他社交網站的應用程式擅自取用iPhone用戶的通信錄資料。

　　法律和行政保護：個人信息的安全棲息地

　　我國十分重視個人數據的刑事司法保護，但是尚未建立個人數據的行政保護管理體制，無法適應信息時代政府社會管理的需求，也與個人數據保護國際慣例無法接軌，嚴重影響我國的國際大國聲譽。

　　2011年10月16日，江蘇省人大常委會審議通過《江蘇省信息化條例》，從個人信息的採集、使用到法律責任都設定了具體的法律條款，嚴格保護個人信息的安全，構築了一個由行政處罰與刑事處罰為後盾的銜接點和安全網，在個人信息保護上具有“里程碑式”意義。但是這一立法限于江蘇一隅，亦未設立對個人數據保護起著關鍵核心作用的個人數據行政保護管理體制，因此，其影響和實際作用依然有限。

　　為了顯示個人信息保護的重要性和國家決心，在歐盟成員國範圍內，以及在東亞的韓國，大多設立了專門的隱私權保護機構；而在未設立專門機構的美國、日本等國，立法則指定由其他傳統行政機關代行公民個人隱私權在線保護的相關政府職能。縱觀世界各國有關公民個人數據的行政保護體制，根據擁有職能和發揮作用的大小，可以將個人數據保護管理體制區分為“政府主導型保護體制”和“行業自律組織主導型保護體制”兩類。

　　當前，我國亟需進行公民個人數據行政保護管理體制的重大制度設計，在政府內部特設一個行使個人數據保護職能的專門機構，負責公民個人數據或其他隱私權問題的保護管理。

　　用戶個人信息保護：一個民本網絡環境的塑造

　　當今世界，網絡廣泛參與生産生活並作為輔助設施而存在，因此原生、伴生或共生了個人身份信息、金融賬戶信息、企業表內表外財務信息、國家宏觀經濟數據等各類在線數據資産，並基於商業或非商業需求，自然或非自然地、善意或惡意地、範圍程度不等地流通並應用於跨界互聯的網絡空間之內。由於這些數據中的部分或全部天然地定義了與其對應的自然人、企業、社會組織乃至政府國家的自然或社會屬性，因此，必然具有人權、法人財産權或者政府權利的屬性，理應得到與人權、法人財産權或者政府權利等價等值的尊重和保護。

　　我國的網絡和信息安全首先必須是有道義的安全，也就是安全工作必須時時把人民放在心上、把人民的利益放在心上、把人民的權利放在心上。以此為基點，不久的將來，一個民本的網絡環境必將得以塑造並崛起、屹立在全球互聯的網絡空間之中。

　　作者簡介：

　　馬志剛：2001年畢業于中國政法大學,法學博士,副研究員、高級工程師。2001.05—2001.07，在信息産業部國家計算機網絡與信息安全管理中心政策法規處工作；2001.08—2004.06，在信息産業部政策法規司工作；2004.07—2005.08，在國務院信息化工作辦公室網絡與信息安全組工作；2006.04—2009.6，在中國政法大學中國法律信息中心主持工作；2009.7至今，在工業和信息化部電信研究院政策與經濟研究所工作。主要研究成果有，《美國通信法研究》、《中外互聯網管理制度比較研究》、《關於我國網絡實名制實現路徑的報告》、《歐盟第七科技框架計劃(FP7)中的知識産權問題分析報告》、《移動互聯網監管政策體系研究》、《移動智慧終端安全評估管理措施研究》、《移動應用軟體商店監管政策研究》、《我國車聯網發展環境和政策研究》等。