电信和互联网用户个人信息保护白皮书.pdf-得力文库

资源描述

《电信和互联网用户个人信息保护白皮书.pdf》由会员分享，可在线阅读，更多相关《电信和互联网用户个人信息保护白皮书.pdf（41页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、电信和互联网电信和互联网用户用户个人信息保护个人信息保护白皮书白皮书（2012018 8 年）年）中国信息通信研究院中国信息通信研究院 2012018 8年年1 11 1月月版权声明版权声明本白皮书本白皮书版权属于版权属于中国信息通信研究院中国信息通信研究院，并受法律保，并受法律保护护。转载、摘编或利用其它方式使用转载、摘编或利用其它方式使用本白皮书文字或者观点本白皮书文字或者观点的，应的，应注明注明“来源：来源：中国信息通信研究院”中国信息通信研究院”。违反上述声明。违反上述声明者，本者，本院院将追究其相关法律责任。将追究其相关法律责任。前前言言数字经济时代，大数据、人工智

2、能等技术创新及广泛应用，个人信息的数据资源价值凸显，用户个人信息保护已成为用户权益保护的最主要、最热点领域之一。党的十九大报告提出“新时代中国特色社会主义思想，必须坚持以人民为中心的发展思想”，电信和互联网行业坚持这一基本思想，将用户利益摆在核心位置，高度重视用户个人信息保护工作。近年来，全球范围内掀起了个人信息保护立法的浪潮，美国、欧盟、日本等先后制定或修订个人信息保护相关规定，确立了个人信息收集和使用的基本规则，逐步完善了个人信息保护制度。我国采取政府主导的监管模式，法规标准、企业自律、用户监督等方面多管齐下，推动个人信息保护水平提升。随着个人信息链条延长，侵犯个人信息行为纷繁

3、涌现，用户个人信息保护面临严峻态势，主要体现在感知层面智能设备的普及和多样化放大了个人信息收集的安全风险；网络层面数据传输量巨大，传输安全存在隐患；应用层面新技术的涌现挑战个人信息流通安全；商业层面企业收集使用个人信息存在泄露风险。如何在保护用户个人信息安全的同时努力做到合理、正当使用，成为了工作重点。展望未来，持续开展用户个人信息保护工作，要平衡好个人信息安全和行业发展的双重需求，充分提高思想认识、把握关键原则、多种路径完善治理、探索新型技术应用，调动各方积极性，建立健全开放、协作、高效的多方参与的综合保护体系。目目录录一、用户个人信息保护的内涵 . 5 （一）个人信息的概念分析.

4、 5 （二）个人信息保护的内涵演变. 7 二、用户个人信息保护的国际形势 . 8 （一）用户个人信息保护面临严峻态势. 8 （二）欧盟、美国及日本形成三种典型保护模式. 9 （三）用户个人信息保护的国际间规则积极推进. 14 三、用户个人信息保护的国内现状. 16 （一）我国已初步建立个人信息保护体系. 16 （二）立法及标准相继出台. 17 （三）监管机构依法履职开展各类监管行动. 19 （四）企业从理念到操作提升个人信息保护能力. 21 （五）行业组织多管齐下开展工作. 22 （六）用户对个人信息保护需求强烈. 24 四、国内个人信息保护典型案例与特征. 25 （一）典型案例分析. 25

5、（二）典型应用分析. 28 （三）问题特征研究. 33 五、发展建议. 34 （一）提高个人信息保护的思想认识. 35 （二）把握个人信息保护的关键原则. 35 （三）多种路径完善个人信息保护体系. 37 （四）主动探索个人信息保护的新型技术. 38 中国信息通信研究院电信和互联网用户个人信息保护白皮书（2018 年） 5 一、用户个人信息保护的内涵一、用户个人信息保护的内涵（一）个人信息的概念分析（一）个人信息的概念分析当前各国对个人信息的描述主要有个人信息、个人数据、个人隐私三类说法。日本、韩国等国家主要使用“个人信息”这一说法；美国、加拿大、澳大利亚等英美法系国家主要采用“个人隐私

6、”这一概念；欧盟及其成员国习惯采用“个人数据”的称谓。本白皮书对这三种概念不做刻意区分。全球对用户个人信息并无统一界定，可以是用来识别或反映特定个体的信息，如姓名、年龄、性别等；也可以是反映个体身份或行为有关的一套符号系统，如通信记录、信用历史等；还可以是与其他信息结合后能够识别到特定个体及其行为的信息。从立法态势而言，全球立法对个人信息的定义呈现趋同性，一切与个人身份及行为有关的内容都相继纳入个人信息的范畴。例如，欧盟一般数据保护条例（简称 GDPR）的定义是 “任何指向一个已识别或可识别的自然人（数据主体）的信息；该可识别的自然人能够被直接或间接地识别，尤其是通过参照诸如姓名、身

7、份证号码、定位数据、在线身份识别这类标识，或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素”。美国加州消费者隐私保护法（简称 CCPA）的定义则包括“直接或间接地识别、关系到、描述、能够相关联或可合理地连结到特定消费者或家庭的信息”，将生电信和互联网用户个人信息保护白皮书（2018 年）中国信息通信研究院 6 物信息、教育信息等纳入其中。国内立法使用的是“个人信息”这一术语。网络安全法的定义是 “以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址

8、、电话号码等”；电信和互联网用户个人信息保护规定的定义是“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息” ；最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释的定义是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。此外，2018 年正式实施的国家标准信息安全技

9、术个人信息安全规范（GB/T 35273-2017）以资料附录的形式给出了个人信息和个人敏感信息的具体范围与类型，前者包括个人基本资料、个人身份信息、个人生物识别信息等；后者涵盖个人财产信息、健康生理信息等。总的来看，用户个人信息的内涵基本稳定、外延愈发多元，伴随着技术的演进而不断扩展。中国信息通信研究院电信和互联网用户个人信息保护白皮书（2018 年） 7 （二）个人信息保护的内涵演变（二）个人信息保护的内涵演变一些研究将全球的用户个人信息保护分为欧盟与美国两大模式，前者将个人信息视作基本人权加以保护，特点是重保护、轻应用；后者则建立在隐私权的基础上，通过保护公民隐私权来实现安全

10、保护与行业发展之间的有效平衡。尽管欧盟与美国在用户个人信息保护方面采用了不同的立法模式和监管手段，但这种差异不能抹杀双方在该领域日益接近的事实，其实质是用户个人信息保护理念的全球共识正逐步形成。早期的个人信息保护更多是纯粹的隐私权保护，哈佛大学的路易斯 D 布兰蒂斯和萨缪尔 D 沃伦在哈佛法学评论中将隐私权界定为“独处的不受干扰”的权利。随着经济社会发展及信息技术变革应用，个人信息既具有了人格权也具有了财产权的属性，既要安全可控也要合理使用。个人信息保护的内涵也逐渐发生变化。上个世纪 70 年代初，美国提出了公平信息实践法则（简称FIPPs），所包括的透明度、个人参与、目的明确、使

11、用限制等成为个人信息保护制度的基石。随后，经济发展与合作组织（简称 OECD）在1980年发布保护隐私和个人数据跨境流动指导原则（简称OECD指南），其中提出的八项基本原则成为许多国家立法的依据。进入21 世纪后，亚太经合组织借鉴了上述两份文件，制定了APEC 隐私框架，包括通知、收集限制、用户选择、确保个人信息完整性及采取必要安全措施等原则。个人信息既具有个人财产价值，也具有社会公共价值和商业价电信和互联网用户个人信息保护白皮书（2018 年）中国信息通信研究院 8 值。推动用户个人信息保护工作，要考虑个人信息的多种属性，实现基于安全可控基础上的合理使用和恰当平衡。这一点已经成

12、为全球各国的普遍共识，并且反映在立法中。加州消费者隐私保护法着力突出“所有权赋予、安全保护、个人控制”三点；欧盟一般数据保护条例体现了包容性监管思路，推动信息保护和促进数据资源的合理规范使用，为行业自律留下了空间。二、二、用户个人信息保护用户个人信息保护的国际的国际形势形势（一）用户个人信息保护面临严峻态势（一）用户个人信息保护面临严峻态势随着信息通信技术的应用普及，网络数据流转通道逐渐扩大，网络上流通的个人信息愈加广泛，全球个人信息安全问题日益凸显，盗取数据资源谋求商业利益的行为日益增多，形成了明显的黑色或灰色产业链。这类行为与用户权益联系紧密，轻则导致公民财产损失，重则危害行业

13、发展，挑战监管底线。美国电信运营商 Verizon 发布的2018 年数据泄露调查报告显示，网络犯罪所窃取的个人信息主要有支付细节、医疗记录、凭证等，这类事件主要集中在健康医疗、住宿和餐饮业、公共服务等领域。近年来，众多全球知名企业发生个人信息泄露事件。2017 年，亚马逊公司 AWS 云存储库 47G 的医疗数据意外对公众开放，导致 15万患者的姓名、住址、病例记录、检查结果等重要信息遭到泄露。同一年，征信企业 Equifax 遭遇黑客攻击，导致 1.43 亿用户的个人信息中国信息通信研究院电信和互联网用户个人信息保护白皮书（2018 年） 9 被泄露，其中包括姓名、社会安全号、住址、

14、驾照号、社保号、信用卡号等重要内容。 2018 年 3 月，美国著名运动装备品牌 Under Armour旗下一款食物和营养主题应用“My Fitness Pal”的 1.5亿用户数据被泄露，包括用户名、邮箱地址和加密的密码。2018 年初，Facebook将 5000 多万用户的信息提供给英国剑桥分析公司一事更是引发全球关注，上升到国际政治层面。多种原因导致了该类事件的频繁发生：一是个人信息外延的扩大。一是个人信息外延的扩大。技术发展让个人信息的外延扩大，一切能识别、关联和反映到特定个人的信息都纳入个人信息范畴。海量数据的流转往往裹挟着大量的个人信息，使其边界日益模糊，增加了保护难度。

15、二是技术发展的负外部性。二是技术发展的负外部性。人工智能、云计算等新技术的发展在更加依赖于数据资源的同时，不可避免的带来了负外部性，加大了个人信息的安全风险、冲击了个人信息保护体系。例如，勒索软件和恶意代码通过电子邮件、入侵服务器、攻击供应链、挂马网页、系统漏洞传播等方式盗取个人信息。三是三是监管模式的滞后。监管模式的滞后。产业链的延长、市场主体的增加让个人信息的多向流动成为常态，使得个人信息安全的监管牵扯到多个行业、多个领域，导致监管目标和监管任务难以区分，冲击了传统监管体系，提升了监管难度。（二）欧盟（二）欧盟、美国美国及日本及日本形成形成三种三种典型典型保护保护模式模式当前，欧盟和

16、美国代表了最具影响力的两种个人信息保护模式，电信和互联网用户个人信息保护白皮书（2018 年）中国信息通信研究院 10 前者以政府主导下的严格立法和统一监管为主，政府规制起到了核心作用；后者体现为行业驱动与规则塑造下的多方博弈，行业自律与政府有限干预相互结合。在亚太地区，日本的经验同样具有代表性。 1.欧盟模式：政府主导下的严格立法和统一监管 GDPR（一般数据保护条例）是欧盟个人信息保护的核心法律。 GDPR 具有强制实施效力，构建了一套完善的个人信息保护体系，能够直接适用于欧盟全境。在保护范围上，个人信息的外延得到延展，医疗健康、生物标识等都成为保护对象。在用户权利上，GDPR

17、引入被遗忘权、可携带权、删除权等新型权利，与知情权、同意权、访问权、反对权等共同构成用户享有的基本权利类型。在隐私政策制定上，企业必须确保“隐私设计”（Privacy By Design）的原则贯穿到整个数据处理过程中，在产品和服务的全业务周期流程中做到保护个人信息安全。在数据控制者的义务上，GDPR 设计了隐私影响评估、数据泄露预警和业务流程记录等要求，可以理解为数据控制者必须采取“足够的措施”来确保数据安全。总的来看，GDPR 赋予用户充分的个人信息自决权，而企业及其他掌握数据资源的主体必须承担更多的义务。从产业链条的逻辑来看，整个数据链的上下游各利益主体都会被问责，实现全方位的保

18、护。 GDPR 设立“联盟-机构-国家”三级监管体系，通过统一监管、一致协调、各自实施确保各个条款的具体落实，有助于建立 “一站式”的争议解决和服务流程，逐步消除各国个人信息水平不一致的碎片化现状。在监管机构设置上， GDPR 设立欧盟数据保护委员会（European 中国信息通信研究院电信和互联网用户个人信息保护白皮书（2018 年） 11 Data Protection Board，简称 EDPB）来确保 GDPR 执法过程的统一性和连续性，该机构处于欧盟数据保护体系的中心位置，协调各国数据保护机构合作；在人员构成上，EDPB 由各国数据保护机构和欧盟数据保护监督员或其代表组成

19、，欧盟委员会有权在不投票的前提下参与其会议，让各国做到充分沟通。具体任务上，EDPB 不仅制定 GDPR的指南性文件，同时也作为最高裁决者对数据跨境处理等争议发布具有约束力的决定，避免 GDPR 执行过程中因各国司法体系的差异产生混淆。GDPR 还规定，欧盟各实体机构设立数据保护官员（Data Protection Officer，简称 DPO）来监管内部的个人数据处理活动是否合规；从职能来看，数据保护官员相当于机构内部的首席隐私官，其主要作用在于评估潜在的隐私风险并提出针对性建议，目前已经有包括欧洲议会、欧洲中央银行在内的数十个欧盟机构设立了数据保护官员。各成员国的数据保护机构将根据

20、 GDPR 的要求，对境内企业的个人信息处理活动进行监管；各国监管机构必须互通有无，如出现分歧将提交欧盟处理。 2.美国模式：行业驱动与规则塑造下的多方博弈美国模式中，政府和企业呈现出充分合作、灵活博弈的关系。政府十分重视市场调节作用，通过对行业组织赋权并支持其开展管理活动，发挥行业自律的作用。美国的个人信息保护主要有以下几点：一是基于总体原则下的分散立法。一是基于总体原则下的分散立法。美国并没有统一的个人信息保护法，而是通过在联邦层面为个人信息保护工作提供宏观依据，主要体现在公平信息实践法则隐私法等联邦法律中；同时在重点电信和互联网用户个人信息保护白皮书（2018 年）中国信息通信

21、研究院 12 领域进行立法，如电子隐私通信法儿童在线隐私保护等联邦法律，以及加州消费者隐私保护法等地方法律。二是高度重视行业自律。二是高度重视行业自律。行业自律的典型代表是行业认证，主要由民间组织、技术团体等私营机构主导，通过制定个人信息保护标准并开展认证和授权工作，主要包括法律授权、企业评估、行业认证、事后争议解决等，实现“政府搭台、企业唱戏”，带动用户个人信息保护水平提升。总部位于加州的个人隐私认证机构“TRUSTe”是这方面的代表。三是两大三是两大委员会委员会是监管主角。是监管主角。美国的电信和互联网用户个人信息保护监管主要由联邦通信委员会和联邦贸易委员会负责，前者主要针对电信用

22、户，后者则聚焦于互联网用户。二者在监管触发机制和监管手段上较为相似，主要针对企业隐私政策、用户举报、数据泄露等，监管手段包括约谈、发函、调查、庭外和解、罚款等。 3.日本模式：政府主导+行业自律混合模式日本的个人信息保护有其独特经验，其个人信息保护立法主要参考欧盟，行业规范主要依据美国，通过“政府主导+行业自律”混合模式充分发挥地方公共组织和行业协会的作用。该国个人信息保护法也体现了充分的行业自律空间，兼具欧美所长。一是立法的全面性。一是立法的全面性。个人信息保护法等“关联五法案”构成了个人信息保护的核心制度；多数地方政府和大量公共团体制定了个人信息保护条例。二是监管的独立性。二是监

23、管的独立性。根据个人信息保护法成立的个人信息保中国信息通信研究院电信和互联网用户个人信息保护白皮书（2018 年） 13 护委员会具有高度的独立性，拥有监督、处理申诉、保护评估、向国会报告等独立权力。三是行业的自律性。三是行业的自律性。根据“一般财团法人日本情报经济社会推进协会 ” （ Japan Institute for Promotion of Digital Economy and Community，简称 JIPDEC）出台的个人信息保护管理体系要求事项构建了行业个人信息保护管理体系的和认证工作（P-MARK 认证），通过认证的企业将获得相关标识。四是体系的完备性。四是体系的

24、完备性。个人信息保护法给企业留下充分的行业自律空间，政府指导开展行业认证工作，体现了“政府主导+行业自律”的灵活性。对比三种典型模式，欧盟模式基于统一的立法和监管对个人信息进行严格规范，强调政府力量的作用，具有强制的约束力和价值观输出，但会造成企业合规成本过高，一定程度抑制了产业发展；美国模式依托于其强大的信息通信业实力与全球布局，强调产业力量的作用，凸显政府、企业、用户等不同主体间的利益均衡，但对市场成熟度有很多要求，并且不同地区保护水平存在不一致；日本模式从表明看相对更加合理，但对相应的政策和市场制度设计、实施、保障等提出了更高要求。总的来说，一个国家的个人信息保护模式与其经济社会发

25、展、产业发展路径、数据安全需求“一脉相承”，需要遵循立法公正、经济合理、司法可行的原则，选择适合实际国情的。电信和互联网用户个人信息保护白皮书（2018 年）中国信息通信研究院 14 （三）用户个人信息保护的（三）用户个人信息保护的国际间规则国际间规则积极推进积极推进从 1980 年至今，个人信息保护的国际间规则主要经历了三个阶段，内容也从早期的原则性沟通逐渐集中到数据跨境传输领域。其内容演变，既是行业发展的客观要求，也是政治博弈的必然结果。第一个阶段的代表是 OECD 保护隐私和个人数据跨境流动指导原则（简称 OECD 指南）和欧洲委员会个人数据自动化处理的个人信息保护公约（简称 1

26、08 号公约）。这两份文件规定了个人信息处理的基本原则，包括有限信息收集、数据质量、特定目的、安全措施、公开问责等，成为个人信息保护立法的重要依据。2013 年，OECD 对指南进行了微调，增加泄露通知、集体诉讼等内容。第二个阶段的代表是 APEC 跨境隐私规则体系（Cross-Border Privacy Rules，简称 CBPRs），也是亚太地区唯一的数据跨境传输规则。目前已经加入 CBPRs 的有美国、加拿大、日本、韩国、墨西哥和新加坡，取得认证资质的机构有美国的 TRUSTe 和日本的 JIPDEC，截至 2018 年有 20 多家企业通过认证。为确保该体系顺利实施， APEC

27、设立了跨境隐私执法安排机制（Cross-border Privacy Enforcement Arrangement，简称 CPEA）作为执法机构跨境执法、信息共享的平台，由美国联邦贸易委员会和日本个人信息保护委员会主导，目前共有27 个机构参与，包括我国香港的隐私专员公署和台湾地区的数个部门。从主导力量和参与数量来看，该机制处于“半搁浅”状态，这是因为该机制由美国主推，参与方多为美国盟友，参与方必须修改本国法律以达到 CBPRs 的要求，这一做法既不符合亚太地区经济体的利中国信息通信研究院电信和互联网用户个人信息保护白皮书（2018 年） 15 益诉求，又带有一定的政治捆绑成分，因而

28、推进缓慢。第三个阶段的代表是欧盟与美国的隐私盾（Privacy Shield）协议和欧盟GDPR的约束性公司章程（Binding Corporation Rule，简称BCR）。“隐私盾”是欧盟与美国数据传输的双边规则，为平衡欧盟与美国在数据资源获取能力上的差异。该协议赋予欧盟委员会针对美国政府的审查权，同时给予欧盟公民一定的救济权利，以制约美国政府监控和获取欧盟公民信息。 BCR是为企业设立的内部数据自由流动规则，允许跨国公司内部实现数据自由传输。该机制的设计避免了传统监管模式为数据跨境传输设立前提条件，调动了市场主体参与监管工作的积极性，是合作性治理模式的典范。截至2018年8月底，

29、已经有超过百家企业获准通过BCR，其中包括斯伦贝谢、壳牌、道达尔、空中客车、英国电信等知名跨国公司。此外，一些国家的立法也不可避免的涉及个人信息跨境处理。2018年初，美国通过的澄清境外数据的合法使用法案（Clarify Lawful Overseas Use of Data，简称Cloud法案）对执法机构调取别国个人信息进行了规定，同时允许 “适格” 外国机构调取美国公民信息，判断基准是 “外国政府的立法和国内法执行是否给予隐私和公民权利提供了稳健的保护”。从条件看，满足“适格”标准的多数是美国盟友。欧盟GDPR将“充分性标准”作为与域外国家实现数据自由流动的前提，推动数据跨境流动规则“

30、向欧盟看齐”，这一举动旨在推广欧盟的个人信息和数据治理规则，将更多经济体拉入到欧盟的数字市场中。电信和互联网用户个人信息保护白皮书（2018 年）中国信息通信研究院 16 三、三、用户个人信息保护用户个人信息保护的国内的国内现状现状（一）我国已初步建立个人信息保护体系（一）我国已初步建立个人信息保护体系总体来看，我国已经初步建立了与国内环境相符、与全球态势总体来看，我国已经初步建立了与国内环境相符、与全球态势相适的个人信息保护体系。相适的个人信息保护体系。法律法规方面，民法总则刑法全国人民代表大会常务委员会关于加强网络信息保护的决定网络安全法电信和互联网用户个人信息保护规定

31、等逐步形成个人信息保护法律框架；标准方面，个人信息安全规范等国家标准及系列行业标准推动标准体系日臻完善；监管方面，以“查证、管理、处罚”为主要手段，管理部门依法履职持续加大监督力度；行业方面，企业积极探索和提升保护能力，行业组织加快推进行业自律工作；用户方面，自我保护意识不断提高，对保护工作提出更高需求。与此同时，我国的个人信息保护依然存在诸多问题。在大数据时代，个人信息收集、使用和流转涉及多个流程、多个主体，容易被不法分子窃取、传播、交易，严重危害用户的人身安全、财产安全以及社会安全。2017 年下半年，辽宁省破获的特大侵犯公民个人信息案，涉及逾百亿条个人信息；2018 年 8 月，华

32、住集团旗下的连锁酒店约有 1.3 亿住客的信息被泄露，共计 5 亿条，包括姓名、手机号、身份证号、家庭住址等。根据最高人民检察院发布的侵犯公民个人信息犯罪典型案例，侵犯公民个人信息犯罪正在与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势，社会危害更加严重。上述事件表明，提升用户个人信息安全水平任重而道远。中国信息通信研究院电信和互联网用户个人信息保护白皮书（2018 年） 17 （二）立法及标准相继出台（二）立法及标准相继出台 1.用户个人信息保护法律制度框架逐步形成我国的个人信息保护立法属于分散模式，专门性的个人信息保护法尚未出台。宪法作为国家根本大法规定了“中华人民共和国公民的人格尊

33、严不受侵犯”。这里的“人格尊严”即公民的人格权，指的是与人格价值有关的基本权利，例如隐私权。早期立法主要通过保障 “个人隐私” 或 “个人秘密” 来实现对个人信息的间接保护，如侵权责任法民事诉讼法计算机信息系统安全保护条例等法律、行政法规中的相关内容。在民事上，2017 年生效的民法总则明确提出保护公民的“个人信息”和“隐私权”；2014 年实施的最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定确定了个人信息的法律内涵及侵权责任承担方式。在刑事上，刑法修正案（九）将刑法修正案（七）的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为

34、“侵犯公民个人信息罪”，放宽了该项罪名的成立条件；2017 年生效的最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释将反映特定自然人活动情况的各种信息，例如行踪轨迹信息等纳入个人信息保护范围，明确了量刑标准。 2012 年生效的全国人民代表大会常务委员会关于加强网络信电信和互联网用户个人信息保护白皮书（2018 年）中国信息通信研究院 18 息保护的决定、2013 年生效的电信和互联网用户个人信息保护规定、2017 年生效的网络安全法等法律法规界定了电信和互联网行业用户个人信息保护的概念，提出了具体的保护措施和罚则。 2.用户个人信息标准日臻完善我国的用

35、户个人信息保护国家标准主要是推荐性标准，以 2018年正式实施的信息安全技术个人信息安全规范（简称个人信息安全规范）为代表。在网络安全法的框架下，个人信息安全规范界定了个人信息的内涵和外延、规范了个人信息处理原则，就个人信息控制者在个人信息的收集、保存、使用、委托处理等过程中的操作规范和应守准则提出了具体要求。在现有法律法规过于原则性的前提下，该规范弥补了许多操作性空白，为优化政府监管、推动企业合规提供了符合行业发展需求的规范性指引，同时为后续标准制定及立法提供了重要参照。在行业标准方面，全国通信标准化服务委员会下属的用户个人信息保护标准工作组正在推动 “电信和互联网服务个人信息保护

36、标准体系”的构建，目前已完成电信和互联网服务用户个人信息保护定义及分类电信和互联网服务用户个人信息保护分级指南电信和互联网服务用户个人信息保护技术要求移动应用商店电信和互联网服务用户个人信息保护技术要求即时通信服务电信和互联网服务用户个人信息保护技术要求电子商务服务五项行业标准的制定。该体系首次从电信和互联网服务质量角度出发，对用户个人信息保护提出定义、分类、分级和管理技术要求，对移动应用等重中国信息通信研究院电信和互联网用户个人信息保护白皮书（2018 年） 19 点服务提出了个人信息保护规范指引，对促进行业自律起到了积极推动作用。（三）监管机构依法履职开展各

37、类监管行动（三）监管机构依法履职开展各类监管行动履行个人信息保护监管的机构主要有全国人大常委会、中央网信办、工信部等。全国人大常委会根据自身职能履职，对法律实施情况进行监督检查；中央网信办根据网络安全法统筹协调网络安全工作和相关监督管理工作；工信部和省级电信管理机构根据电信和互联网用户个人信息保护管理规定等开展行业内的用户个人信息保护工作。全国人大常委会依法履职开展“一法一决定”执法检查。全国人大常委会依法履职开展“一法一决定”执法检查。2017年下半年，全国人大常委会执法检查组开展了针对网络安全法全国人大常委会关于加强网络信息保护的决定实施情况的专门性检查，包括公民个人信息保护

38、制度落实情况、查处侵犯公民个人信息相关违法犯罪情况等。从检查结果看，我国近年来出台了一批涉及个人信息保护的法律法规，针对侵犯个人信息犯罪高发态势采取的专项行动，打击利用公民个人信息实施的电信网络诈骗犯罪，侦破了大量该类案件，取得了良好的法律和社会效果。与此同时该项工作依然面临诸多问题，例如手机免费程序普遍存在过度收集用户信息和侵犯个人隐私的现象；一些互联网公司和公共服务部门存储的大量公民个人信息由于安防技术落后容易被盗取；一些地方形成了非法收集、窃取、贩卖和利用公民个人信息的黑色产业链。这些都是下一步工作亟待解电信和互联网用户个人信息保护白皮书（2018 年）中国信息通信研究院 20

39、决的顽疾。中央网信办牵头隐私条款联合检查。中央网信办牵头隐私条款联合检查。2017 年，中央网信办与工信部等三部委联合开展了“隐私条款专项行动”，对微信、微博、淘宝、京东商城、支付宝、高德地图等十余款网络产品的隐私条款进行评审。本次行动希望对代表性网络产品的隐私条款进行专门性梳理和分析，督促网络运营者提升个人信息安全保护水平，做到树立标杆、提升影响，带动个人信息保护水平提升。从评审结果来看，十款产品在隐私政策方面均有不同程度提升，做到了明示收集、使用个人信息的规则，并征求用户明确授权，其中个别产品还做到了向用户主动明示并提供更多选择权。工信部以正面引导和问题查处为抓手开展行业用户个人信

40、息保工信部以正面引导和问题查处为抓手开展行业用户个人信息保护监管护监管。前者可以概括为“引导、推进、提升”，主要目的是形成示范效应，通过专项行动、政策讨论、舆论宣传等方式凝聚共识，引导行业自律、提升用户意识。例如，工信部在“517”世界电信日、全国网络安全周等加强宣传教育，希望引起各界关注。后者可以概括为“查、管、罚”机制，通过日常监管、行风检查、季度拨测、感知调查等方式，包括制度查阅、技术检测、现场检查、用户调研等手段，对发现的问题做到及时约谈、责令整改、后续监督。2018 年初，工信部约谈了百度、今日头条、蚂蚁金服等互联网企业，就用户协议默认勾选、使用目的告知不明确等问题进行了通报并要求整

41、改，维护用户合法权益。中国信息通信研究院电信和互联网用户个人信息保护白皮书（2018 年） 21 （四）企业从理念到操作提升个人（四）企业从理念到操作提升个人信息保护能力信息保护能力部分企业积极探索多种方式，从理念到操作上提升个人信息保护能力。从商业利益来看，用户个人身份和行为信息涉及商业利益，是重要的数据资产，保护个人信息安全就是保护企业数据资产完整。从社会责任来看，保护用户个人信息安全能够有效降低泄露、非法倒卖个人信息等行为的发生，净化市场秩序、提升企业信誉。基于“隐私设计”的个人信息保护体系。基于“隐私设计”的个人信息保护体系。“隐私设计”是在全生命周期流程贯彻积极的隐私保护理

42、念，强调企业的主动参与和用户可控，使得个人信息既不受非法侵犯又能得到合理使用。这一理念要求企业在新技术、新产品的最初阶段就要考虑隐私和安全，通过主动推进、而非被动补救的方式来确保个人信息安全与合理使用。在国内实践上，部分企业将其称为“默认隐私”，认为个人信息保护不仅存在于技术层面，也涉及到法律、流程、管理、产品涉及等层面。目前，部分领先企业已经在系统架构改造等环节实施这一理念，技术上实现了数据全链路加密，并且通过建立隐私保护小组对产品实行“安全+隐私”的双评估。可以看出，“隐私设计”是一个动态的概念，需要根据技术水平和商业模式来灵活调整。根据政策和市场及时更新隐私政策。根据政策和市场及时

43、更新隐私政策。企业的隐私政策能够体现个人信息保护理念，主要说明信息收集的内容、用途、用户享有的权利、适用范围等，通常与公司的用户服务协议紧密相连。可以说，用户可以通过隐私政策了解企业如何收集、使用、分享、删除个人信息，进而做到对个人信息进行有效管理。企业通常会根据政策导向、监管电信和互联网用户个人信息保护白皮书（2018 年）中国信息通信研究院 22 变化、行业发展等更新隐私政策。2017 年“隐私条款专项行动”后不久，多数企业陆续更新了隐私政策，做到了提示更明显、描述上更加通俗、操作性更强。在用户提示上，有的企业通过弹窗提示的方式告知用户已更新隐私政策；在用户信息管理上，有的企业新条

44、款详细写出了操作路径来指引用户；在用户信息使用上，有的企业罗列了第三方合作伙伴类型及共享的用户信息内容。技术手段与用户赋权并行。技术手段与用户赋权并行。提升个人信息保护能力，既要采用最新技术手段，也要通过用户赋权来实现个人信息的优化使用。腾讯已经使用了匿名化处理、差分隐私技术来弱化或切断个人信息的可识别性，同时在用户协议中设置选择性加入(opt-in)、选择性退出(opt-out)等选项，做到了商业便利和用户权益的平衡。华为在产品中采用了 virSign（全球最大信息安全数字证书认证）数字证书来验证，同时搭配双层密钥管理方案进行数据加密，保护用户信息从收集、传输到使用各个环节的安全性和完整性。（五）行业组织多管齐下开展五）行业组织多管齐下开展工作工作行业机构持续开展个人信息保护技术监测。行业机构持续开展个人信息保护技术监测。在工信部指导下，中国信息通信研究院连续多年针对互联网信息服务、手机应用软件等用户个人信息保护情况进行业务拨测、真实数据测试、技术检测和行为取证，发现的违规应用软件通过工信部电信服务质量通告向全社会公开，并逐步建立部、省联动机制，加强政府监管。国家互联网应急中心（CNCERT）持续监测互联网恶意应用软件，对监测发现的恶意中国信息通信研究院电信和互联网用户个人信息保护白皮书（2018 年） 23 样本定期对外公布。全国全国信息安全技术标准化委

展开阅读全文