近年來(lái),我國(guó)個(gè)人信息泄露事件頻繁發(fā)生,嚴(yán)重的甚至?xí)绊憞?guó)家安全。目前,理論界對(duì)兩者相互影響機(jī)制尚不明確。如何厘清個(gè)人信息與國(guó)家安全的關(guān)系以及泄露后對(duì)國(guó)家安全的影響,構(gòu)建起既維護(hù)國(guó)家安全又保護(hù)個(gè)人信息的工作機(jī)制,已成為保密工作中亟待解決的重要課題。
一、個(gè)人信息的概念與內(nèi)容
(一)個(gè)人信息的概念厘定
目前,我國(guó)尚未制定專(zhuān)門(mén)的個(gè)人信息保護(hù)法,相關(guān)規(guī)定散見(jiàn)于各部門(mén)法,主要有《民法總則》《刑法》《網(wǎng)絡(luò)安全法》《居民身份證法》等,初步呈現(xiàn)出刑事、民事與行政齊頭并進(jìn)的趨勢(shì)。然而在法律層面,個(gè)人信息概念尚處于模糊狀態(tài),僅《網(wǎng)絡(luò)安全法》第76條規(guī)定,“個(gè)人信息,是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等”。這一概念具有合理性,但受網(wǎng)絡(luò)管理業(yè)務(wù)局限,無(wú)法涵蓋個(gè)人信息完整內(nèi)涵與外延。在學(xué)理上,我國(guó)法學(xué)界對(duì)個(gè)人信息的研究主要集中在私法領(lǐng)域,將其與“個(gè)人資料”“個(gè)人數(shù)據(jù)”“信息隱私”等概念混用,存在話語(yǔ)體系不統(tǒng)一問(wèn)題。本文以《網(wǎng)絡(luò)安全法》第76條為核心,將個(gè)人信息概念擴(kuò)展為“與自然人相關(guān)聯(lián)的、可以識(shí)別其身份的任何信息,包括個(gè)人基本信息、注冊(cè)信息、設(shè)備信息和活動(dòng)信息、社會(huì)關(guān)系信息、網(wǎng)上行為信息等”。
(二)個(gè)人信息的主要內(nèi)容
在現(xiàn)代社會(huì),個(gè)人信息是動(dòng)態(tài)變化的范疇,其隨著大數(shù)據(jù)、云計(jì)算等信息技術(shù)發(fā)展,不斷增加新的內(nèi)容;谇笆隼宥ā皞(gè)人信息”概念,其具體內(nèi)容至少包括以下6方面:一是個(gè)人基本信息,包括個(gè)人姓名、性別、年齡、住址、出生日期、身份證號(hào)等;二是個(gè)人注冊(cè)信息,包括電話號(hào)碼、EMAIL等通信信息,銀行賬戶(hù)、支付寶等電子支付信息,微信、QQ等社交媒體信息等;三是個(gè)人設(shè)備信息,包括計(jì)算機(jī)、手機(jī)、IPAD、便攜式電子設(shè)備等信息設(shè)備的IP地址、GPS位置等;四是個(gè)人活動(dòng)信息,包括個(gè)人日記、通訊錄、通話信息、短信記錄、備忘錄等;五是個(gè)人社會(huì)關(guān)系信息,包括家庭關(guān)系、社交范圍、工作履歷、人事記錄等;六是個(gè)人網(wǎng)上行為信息,包括上網(wǎng)時(shí)間地點(diǎn)、網(wǎng)上購(gòu)物記錄、瀏覽記錄、搜索記錄、輸入法記錄、網(wǎng)絡(luò)聊天記錄等。
二、個(gè)人信息與國(guó)家安全的關(guān)聯(lián)性分析
(一)重構(gòu)個(gè)人信息的“二維結(jié)構(gòu)”
根據(jù)傳統(tǒng)保密工作理論,個(gè)人信息與國(guó)家安全界分明確:一是兩者屬性不同。個(gè)人信息屬于私權(quán)利范疇;國(guó)家安全屬于公權(quán)力范疇。二是兩者主體不同。個(gè)人信息歸屬于自然人,屬于自然人的當(dāng)然權(quán)利;涉及國(guó)家安全信息屬于國(guó)家,關(guān)系國(guó)家利益。三是兩者內(nèi)容不同。個(gè)人信息限于個(gè)人事務(wù);國(guó)家安全涉及公共事務(wù)。隨著信息化和大數(shù)據(jù)及人工智能不斷發(fā)展,個(gè)人信息與國(guó)家安全關(guān)系越來(lái)越緊密,兩者經(jīng)常呈現(xiàn)出相互交織、相互影響的狀態(tài)。
在邏輯上,個(gè)人信息按照不同標(biāo)準(zhǔn),可以劃分為不同類(lèi)別。目前,學(xué)術(shù)界關(guān)于個(gè)人信息的分類(lèi)多達(dá)6種,但相關(guān)分類(lèi)所依據(jù)的均為一維的、扁平的標(biāo)準(zhǔn)。對(duì)個(gè)人信息中涉及國(guó)家安全內(nèi)容作溯因性分析,個(gè)人信息與國(guó)家安全的關(guān)聯(lián)程度高低主要受兩個(gè)因素的影響:一是個(gè)人信息主體的身份,究竟是涉密人員還是非涉密人員;二是個(gè)人信息內(nèi)容的敏感程度,究竟是個(gè)人敏感信息還是個(gè)人一般信息。以這兩個(gè)因素為標(biāo)準(zhǔn),對(duì)個(gè)人信息進(jìn)行二次分類(lèi),可以形成既區(qū)分信息主體又區(qū)分信息內(nèi)容的“二維結(jié)構(gòu)”:即涉密人員個(gè)人敏感信息、非涉密人員個(gè)人敏感信息、涉密人員個(gè)人一般信息和非涉密人員個(gè)人一般信息。此處需要說(shuō)明的是,作為我國(guó)首部個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn),2012年發(fā)布的《個(gè)人信息保護(hù)指南》已提出將個(gè)人信息分為個(gè)人敏感信息和個(gè)人一般信息;2017年發(fā)布的《個(gè)人信息安全規(guī)范》也從國(guó)家標(biāo)準(zhǔn)層面界定和列舉了個(gè)人敏感信息的內(nèi)涵和外延。因此,有學(xué)者在現(xiàn)行規(guī)定基礎(chǔ)上,結(jié)合信息泄露是否會(huì)導(dǎo)致重大傷害、給信息主體帶來(lái)傷害的概率、社會(huì)大多數(shù)人對(duì)某類(lèi)信息的敏感度3個(gè)因素綜合考量,將健康信息、性生活和性取向、身份證件號(hào)碼、金融信息、政治意見(jiàn)、通信信息、基因信息、生物特征信息、精確地理位置列為個(gè)人敏感信息。
(二)“二維結(jié)構(gòu)”下個(gè)人信息與國(guó)家安全的同一性
一是涉密人員個(gè)人敏感信息直接關(guān)系國(guó)家安全。一方面,一些特定人員的個(gè)人敏感信息,可能基于國(guó)家安全和利益的考量,被納入國(guó)家秘密定密事項(xiàng)范圍。比如,在國(guó)家面臨政治動(dòng)蕩、國(guó)家間出現(xiàn)戰(zhàn)爭(zhēng)沖突等情況下,一國(guó)領(lǐng)導(dǎo)人的身體疾患等情況可能作為國(guó)家秘密受到特別保護(hù),以防止這些個(gè)人信息公布后對(duì)國(guó)家安全和利益造成風(fēng)險(xiǎn)和損害。另一方面,有的涉密人員個(gè)人敏感信息雖然不屬于國(guó)家秘密,但與國(guó)家安全高度相關(guān)。如,斯特拉瓦(Strava)公司根據(jù)其開(kāi)發(fā)的戶(hù)外運(yùn)動(dòng)App,制作發(fā)布了一幅“全球運(yùn)動(dòng)熱力地圖”,涉及GPS位置記錄的軍人跑步或者騎行路線,導(dǎo)致美國(guó)、俄羅斯等國(guó)設(shè)在敘利亞、阿富汗等地的秘密軍事基地等涉密信息先后被披露。
二是涉密人員個(gè)人一般信息與國(guó)家安全亦有關(guān)聯(lián)。涉密人員在涉密崗位工作,在日常工作中產(chǎn)生、經(jīng)管或者經(jīng)常接觸、知悉國(guó)家秘密事項(xiàng),這決定了其言行舉止與國(guó)家安全存在千絲萬(wàn)縷的聯(lián)系。即使涉密人員個(gè)人一般信息有大概率不涉及國(guó)家秘密,仍然有可能通過(guò)兩兩結(jié)合、相互印證的方式,間接關(guān)聯(lián)到國(guó)家安全。如,有關(guān)部門(mén)在工作中發(fā)現(xiàn),境外黑客組織通過(guò)對(duì)某涉密單位工作人員在互聯(lián)網(wǎng)上發(fā)布的數(shù)項(xiàng)個(gè)人一般信息進(jìn)行分析,定位該工作人員所用互聯(lián)網(wǎng)計(jì)算機(jī),進(jìn)而實(shí)施網(wǎng)絡(luò)攻擊,竊取機(jī)內(nèi)存儲(chǔ)的相關(guān)個(gè)人敏感信息和工作文件資料,導(dǎo)致該單位有關(guān)敏感資料泄露,造成的負(fù)面影響不可輕視。
三是大規(guī)模的非涉密人員個(gè)人敏感信息可能與國(guó)家安全有關(guān)。當(dāng)前,非涉密人員個(gè)人敏感信息存儲(chǔ)越來(lái)越集中,其與國(guó)家安全的邊界越來(lái)越模糊、相互關(guān)聯(lián)越來(lái)越密切,已成為現(xiàn)代情報(bào)獲取的“新石油”。據(jù)國(guó)外媒體報(bào)道,劍橋分析公司通過(guò)分析5000余萬(wàn)臉書(shū)用戶(hù)政治傾向等數(shù)據(jù),借助臉書(shū)的廣告投放系統(tǒng),向這些用戶(hù)定向推送誘導(dǎo)性新聞,影響他們的投票行為,在美國(guó)大選和英國(guó)脫歐事件中發(fā)揮重要作用。又如,美國(guó)中央情報(bào)局開(kāi)源情報(bào)中心(OpenSourceCenter)的數(shù)據(jù)挖掘系統(tǒng)可以自動(dòng)使用30種語(yǔ)言,瀏覽20萬(wàn)個(gè)網(wǎng)站和社交媒體站點(diǎn)提取在線評(píng)論以及時(shí)掌握事態(tài)發(fā)展并進(jìn)行預(yù)測(cè),幫助決策者快速準(zhǔn)確了解當(dāng)前事態(tài)變化以及未來(lái)發(fā)展趨勢(shì)。
三、個(gè)人信息泄露對(duì)國(guó)家安全的影響
(一)個(gè)人信息泄露與政治安全
政治安全是國(guó)家安全的前提和基礎(chǔ)。只有確保政治安全,才能有效維護(hù)和實(shí)現(xiàn)經(jīng)濟(jì)、科技、文化、生態(tài)等其他領(lǐng)域的安全。隨著信息技術(shù)發(fā)展,大數(shù)據(jù)時(shí)代到來(lái),個(gè)人信息泄露所帶來(lái)的挑戰(zhàn)和威脅與日俱增,其引發(fā)的政治安全問(wèn)題在很大程度上已經(jīng)超越了傳統(tǒng)安全領(lǐng)域。在一定條件下,泄露的相關(guān)個(gè)人信息數(shù)據(jù)有可能被敵對(duì)勢(shì)力所利用,使其得以在網(wǎng)上與一些不法群體勾聯(lián),有針對(duì)性地開(kāi)展?fàn)帄Z人心工作,甚至直接指使開(kāi)展刺探、竊取、非法提供國(guó)家秘密活動(dòng)。尤其要注意的是,互聯(lián)網(wǎng)具有強(qiáng)大的組織動(dòng)員能力和聚焦放大效應(yīng),對(duì)于大規(guī)模個(gè)人信息數(shù)據(jù)的泄露、收集和利用,一旦遇到敏感事件的刺激,就可能爆發(fā)出驚人的破壞力量,對(duì)政治安全產(chǎn)生嚴(yán)重危害,甚至導(dǎo)致國(guó)家政權(quán)的更迭。這從烏克蘭、格魯吉亞、吉爾吉斯斯坦等國(guó)家爆發(fā)的“顏色革命”中已經(jīng)可以得到印證。
(二)個(gè)人信息泄露與經(jīng)濟(jì)安全
經(jīng)濟(jì)在國(guó)家發(fā)展中具有極其重要的地位,是決定國(guó)際關(guān)系格局變化和國(guó)家綜合競(jìng)爭(zhēng)力、影響力的關(guān)鍵因素。在經(jīng)濟(jì)決策和運(yùn)行中,個(gè)人信息數(shù)據(jù)的總體分析對(duì)國(guó)家經(jīng)濟(jì)安全和經(jīng)濟(jì)發(fā)展的重要性越來(lái)越強(qiáng),成為影響經(jīng)濟(jì)安全的重要因素。如,美國(guó)最大的零售企業(yè)Target公司儲(chǔ)有7000萬(wàn)顧客姓名、地址、電話、郵件、信用卡和儲(chǔ)蓄卡等信息的數(shù)據(jù)庫(kù)遭黑客攻擊,大量數(shù)據(jù)泄露,全美1797家商場(chǎng)無(wú)一幸免,社會(huì)經(jīng)濟(jì)受到嚴(yán)重影響。在我國(guó),隨著互聯(lián)網(wǎng)經(jīng)濟(jì)快速發(fā)展,網(wǎng)絡(luò)貿(mào)易、網(wǎng)絡(luò)金融、網(wǎng)絡(luò)購(gòu)物成為生活常態(tài),個(gè)人信息數(shù)據(jù)被各平臺(tái)運(yùn)營(yíng)商、供應(yīng)商收集、掌握,技術(shù)防護(hù)水平參差不齊,成為對(duì)國(guó)家經(jīng)濟(jì)安全有重大影響的“定時(shí)炸彈”。據(jù)有關(guān)部門(mén)披露,僅2016年因個(gè)人信息泄露、垃圾短信等遭受的總體經(jīng)濟(jì)損失高達(dá)915億元,對(duì)此必須高度警惕,防止發(fā)生行業(yè)癱瘓、金融紊亂等情況。
(三)個(gè)人信息泄露與社會(huì)安全
社會(huì)安全是國(guó)家安全的重要內(nèi)容,是社會(huì)安定的“風(fēng)向標(biāo)”,其涉及防范、消除、控制直接威脅社會(huì)公共秩序和人民群眾生命財(cái)產(chǎn)安全的治安、刑事、暴力恐怖事件,以及規(guī)模較大的群體性事件等。在大數(shù)據(jù)時(shí)代,個(gè)人信息泄露后擴(kuò)散的范圍、用途及后果無(wú)法預(yù)判,給社會(huì)秩序帶來(lái)嚴(yán)重不可控因素。特別是當(dāng)前,我國(guó)發(fā)生的竊取公民個(gè)人信息、電信詐騙等新型網(wǎng)絡(luò)犯罪數(shù)量不斷增加,網(wǎng)上交易個(gè)人信息亂象屢禁不止,嚴(yán)重影響了社會(huì)公眾的安全感。如,通過(guò)事先掌握個(gè)人信息實(shí)施的精準(zhǔn)詐騙,其欺騙性和危害性成倍增長(zhǎng),犯罪分子一旦掌握了個(gè)人信息,就有能力竊取人們?cè)诰W(wǎng)絡(luò)上的虛擬身份,冒名頂替實(shí)施詐騙。據(jù)《人民日?qǐng)?bào)》報(bào)道,許多境內(nèi)外的網(wǎng)絡(luò)犯罪團(tuán)伙將目標(biāo)瞄準(zhǔn)了我國(guó)公民個(gè)人信息,竊取了數(shù)以?xún)|計(jì)的個(gè)人信息,形成交易個(gè)人信息的地下產(chǎn)業(yè),對(duì)我國(guó)社會(huì)安全造成嚴(yán)重的現(xiàn)實(shí)和潛在危害。
四、構(gòu)建個(gè)人信息保護(hù)機(jī)制的建議
第一,保密制度層面。建議盡快建立健全涉密人員個(gè)人信息保護(hù)相關(guān)規(guī)定,明確涉密人員個(gè)人敏感信息、個(gè)人一般信息的管理要求,輔助其他已有的刑事、民事、行政法律法規(guī),完善的個(gè)人信息法律保護(hù)體系。進(jìn)一步完善涉密人員個(gè)人信息相關(guān)國(guó)家秘密事項(xiàng)范圍規(guī)定,進(jìn)一步明確哪些主體、哪些信息屬于國(guó)家秘密或者工作秘密,及時(shí)將這部分人員信息納入保密工作直接管理的范圍。推動(dòng)修訂《個(gè)人信息保護(hù)指南》《個(gè)人信息安全規(guī)范》,增加保密管理內(nèi)容,明確個(gè)人敏感信息的收集、使用規(guī)則,為機(jī)關(guān)、單位和相關(guān)企業(yè)提供行為規(guī)范。
第二,保密管理層面。建議對(duì)由于個(gè)人信息泄露導(dǎo)致國(guó)家秘密泄露或者失控的案件進(jìn)行倒查,依法依紀(jì)追究責(zé)任,并針對(duì)暴露的問(wèn)題,分析原因,健全制度,嚴(yán)格管理,采取補(bǔ)救措施,盡量減少損失。督促涉密人員所在機(jī)關(guān)、單位加強(qiáng)涉密人員個(gè)人信息管理,科學(xué)、合理劃定國(guó)家秘密事項(xiàng)范圍,從管理措施、技術(shù)防護(hù)等方面采取綜合措施,形成綜合防護(hù)體系。對(duì)收集、處理個(gè)人信息數(shù)據(jù)的機(jī)關(guān)、單位和企業(yè),按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)”原則,進(jìn)一步嚴(yán)格保密管理要求,強(qiáng)化技術(shù)防護(hù),防止因大規(guī)模個(gè)人信息數(shù)據(jù)泄露影響國(guó)家安全。
第三,保密指導(dǎo)層面。建議加強(qiáng)面向公眾的保密宣傳教育,宣傳依法保護(hù)個(gè)人信息的重要性,樹(shù)立防范個(gè)人信息被非法采集、傳播等思想意識(shí),引導(dǎo)人們提高自我保護(hù)意識(shí),養(yǎng)成謹(jǐn)慎使用第三方應(yīng)用軟件等良好習(xí)慣,有效保護(hù)自身個(gè)人信息。引導(dǎo)互聯(lián)網(wǎng)運(yùn)營(yíng)者樹(shù)立行業(yè)自律規(guī)范,明確收集、使用個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則,不得收集與其提供服務(wù)無(wú)關(guān)的信息,不得違反法律法規(guī)規(guī)定和雙方約定收集、使用個(gè)人信息,加強(qiáng)技術(shù)防護(hù),依法保存?zhèn)人信息。借鑒國(guó)外的做法,試點(diǎn)在一些機(jī)關(guān)、單位和企業(yè)設(shè)立“首席信息安全官”,把個(gè)人信息安全責(zé)任落實(shí)到相應(yīng)部門(mén)和負(fù)責(zé)人,健全信息泄露的問(wèn)責(zé)機(jī)制。
(原載于《保密科學(xué)技術(shù)》雜志2018年11月刊)