總體國(guó)家安全觀視角下個(gè)人信息保護(hù)機(jī)制研究

近年來(lái)，我國(guó)個(gè)人信息泄露事件頻繁發(fā)生，嚴(yán)重的甚至?xí)�影響�?guó)家安全。目前，理論界對(duì)兩者相互影響機(jī)制尚不明確。如何厘清個(gè)人信息與國(guó)家安全的關(guān)系以及泄露后對(duì)國(guó)家安全的影響，構(gòu)建起既維護(hù)國(guó)家安全又保護(hù)個(gè)人信息的工作機(jī)制，已成為保密工作中亟待解決的重要課題。

一、個(gè)人信息的概念與內(nèi)容

（一）個(gè)人信息的概念厘定

目前，我國(guó)尚未制定專門(mén)的個(gè)人信息保護(hù)法，相關(guān)規(guī)定散見(jiàn)于各部門(mén)法，主要有《民法總則》《刑法》《網(wǎng)絡(luò)安全法》《居民身份證法》等，初步呈現(xiàn)出刑事、民事與行政齊頭并進(jìn)的趨勢(shì)。然而在法律層面，個(gè)人信息概念尚處于模糊狀態(tài)，僅《網(wǎng)絡(luò)安全法》第76條規(guī)定，“個(gè)人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、電話號(hào)碼等”。這一概念具有合理性，但受網(wǎng)絡(luò)管理業(yè)務(wù)局限，無(wú)法涵蓋個(gè)人信息完整內(nèi)涵與外延。在學(xué)理上，我國(guó)法學(xué)界對(duì)個(gè)人信息的研究主要集中在私法領(lǐng)域，將其與“個(gè)人資料”“個(gè)人數(shù)據(jù)”“信息隱私”等概念混用，存在話語(yǔ)體系不統(tǒng)一問(wèn)題。本文以《網(wǎng)絡(luò)安全法》第76條為核心，將個(gè)人信息概念擴(kuò)展為“與自然人相關(guān)聯(lián)的、可以識(shí)別其身份的任何信息，包括個(gè)人基本信息、注冊(cè)信息、設(shè)備信息和活動(dòng)信息、社會(huì)關(guān)系信息、網(wǎng)上行為信息等”。

（二）個(gè)人信息的主要內(nèi)容

在現(xiàn)代社會(huì)，個(gè)人信息是動(dòng)態(tài)變化的范疇，其隨著大數(shù)據(jù)、云計(jì)算等信息技術(shù)發(fā)展，不斷增加新的內(nèi)容�；�于前述厘定“個(gè)人信息”概念，其具體內(nèi)容至少包括以下6方面：一是個(gè)人基本信息，包括個(gè)人姓名、性別、年齡、住址、出生日期、身份證號(hào)等；二是個(gè)人注冊(cè)信息，包括電話號(hào)碼、EMAIL等通信信息，銀行賬戶、支付寶等電子支付信息，微信、QQ等社交媒體信息等；三是個(gè)人設(shè)備信息，包括計(jì)算機(jī)、手機(jī)、IPAD、便攜式電子設(shè)備等信息設(shè)備的IP地址、GPS位置等；四是個(gè)人活動(dòng)信息，包括個(gè)人日記、通訊錄、通話信息、短信記錄、備忘錄等；五是個(gè)人社會(huì)關(guān)系信息，包括家庭關(guān)系、社交范圍、工作履歷、人事記錄等；六是個(gè)人網(wǎng)上行為信息，包括上網(wǎng)時(shí)間地點(diǎn)、網(wǎng)上購(gòu)物記錄、瀏覽記錄、搜索記錄、輸入法記錄、網(wǎng)絡(luò)聊天記錄等。

二、個(gè)人信息與國(guó)家安全的關(guān)聯(lián)性分析

（一）重構(gòu)個(gè)人信息的“二維結(jié)構(gòu)”

根據(jù)傳統(tǒng)保密工作理論，個(gè)人信息與國(guó)家安全界分明確：一是兩者屬性不同。個(gè)人信息屬于私權(quán)利范疇；國(guó)家安全屬于公權(quán)力范疇。二是兩者主體不同。個(gè)人信息歸屬于自然人，屬于自然人的當(dāng)然權(quán)利；涉及國(guó)家安全信息屬于國(guó)家，關(guān)系國(guó)家利益。三是兩者內(nèi)容不同。個(gè)人信息限于個(gè)人事務(wù)；國(guó)家安全涉及公共事務(wù)。隨著信息化和大數(shù)據(jù)及人工智能不斷發(fā)展，個(gè)人信息與國(guó)家安全關(guān)系越來(lái)越緊密，兩者經(jīng)常呈現(xiàn)出相互交織、相互影響的狀態(tài)。

在邏輯上，個(gè)人信息按照不同標(biāo)準(zhǔn)，可以劃分為不同類別。目前，學(xué)術(shù)界關(guān)于個(gè)人信息的分類多達(dá)6種，但相關(guān)分類所依據(jù)的均為一維的、扁平的標(biāo)準(zhǔn)。對(duì)個(gè)人信息中涉及國(guó)家安全內(nèi)容作溯因性分析，個(gè)人信息與國(guó)家安全的關(guān)聯(lián)程度高低主要受兩個(gè)因素的影響：一是個(gè)人信息主體的身份，究竟是涉密人員還是非涉密人員；二是個(gè)人信息內(nèi)容的敏感程度，究竟是個(gè)人敏感信息還是個(gè)人一般信息。以這兩個(gè)因素為標(biāo)準(zhǔn)，對(duì)個(gè)人信息進(jìn)行二次分類，可以形成既區(qū)分信息主體又區(qū)分信息內(nèi)容的“二維結(jié)構(gòu)”：即涉密人員個(gè)人敏感信息、非涉密人員個(gè)人敏感信息、涉密人員個(gè)人一般信息和非涉密人員個(gè)人一般信息。此處需要說(shuō)明的是，作為我國(guó)首部個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)，2012年發(fā)布的《個(gè)人信息保護(hù)指南》已提出將個(gè)人信息分為個(gè)人敏感信息和個(gè)人一般信息；2017年發(fā)布的《個(gè)人信息安全規(guī)范》也從國(guó)家標(biāo)準(zhǔn)層面界定和列舉了個(gè)人敏感信息的內(nèi)涵和外延。因此，有學(xué)者在現(xiàn)行規(guī)定基礎(chǔ)上，結(jié)合信息泄露是否會(huì)導(dǎo)致重大傷害、給信息主體帶來(lái)傷害的概率、社會(huì)大多數(shù)人對(duì)某類信息的敏感度3個(gè)因素綜合考量，將健康信息、性生活和性取向、身份證件號(hào)碼、金融信息、政治意見(jiàn)、通信信息、基因信息、生物特征信息、精確地理位置列為個(gè)人敏感信息。

（二）“二維結(jié)構(gòu)”下個(gè)人信息與國(guó)家安全的同一性

一是涉密人員個(gè)人敏感信息直接關(guān)系國(guó)家安全。一方面，一些特定人員的個(gè)人敏感信息，可能基于國(guó)家安全和利益的考量，被納入國(guó)家秘密定密事項(xiàng)范圍。比如，在國(guó)家面臨政治動(dòng)蕩、國(guó)家間出現(xiàn)戰(zhàn)爭(zhēng)沖突等情況下，一國(guó)領(lǐng)導(dǎo)人的身體疾患等情況可能作為國(guó)家秘密受到特別保護(hù)，以防止這些個(gè)人信息公布后對(duì)國(guó)家安全和利益造成風(fēng)險(xiǎn)和損害。另一方面，有的涉密人員個(gè)人敏感信息雖然不屬于國(guó)家秘密，但與國(guó)家安全高度相關(guān)。如，斯特拉瓦（Strava）公司根據(jù)其開(kāi)發(fā)的戶外運(yùn)動(dòng)App，制作發(fā)布了一幅“全球運(yùn)動(dòng)熱力地圖”，涉及GPS位置記錄的軍人跑步或者騎行路線，導(dǎo)致美國(guó)、俄羅斯等國(guó)設(shè)在敘利亞、阿富汗等地的秘密軍事基地等涉密信息先后被披露。

二是涉密人員個(gè)人一般信息與國(guó)家安全亦有關(guān)聯(lián)。涉密人員在涉密崗位工作，在日常工作中產(chǎn)生、經(jīng)管或者經(jīng)常接觸、知悉國(guó)家秘密事項(xiàng)，這決定了其言行舉止與國(guó)家安全存在千絲萬(wàn)縷的聯(lián)系。即使涉密人員個(gè)人一般信息有大概率不涉及國(guó)家秘密，仍然有可能通過(guò)兩兩結(jié)合、相互印證的方式，間接關(guān)聯(lián)到國(guó)家安全。如，有關(guān)部門(mén)在工作中發(fā)現(xiàn)，境外黑客組織通過(guò)對(duì)某涉密單位工作人員在互聯(lián)網(wǎng)上發(fā)布的數(shù)項(xiàng)個(gè)人一般信息進(jìn)行分析，定位該工作人員所用互聯(lián)網(wǎng)計(jì)算機(jī)，進(jìn)而實(shí)施網(wǎng)絡(luò)攻擊，竊取機(jī)內(nèi)存儲(chǔ)的相關(guān)個(gè)人敏感信息和工作文件資料，導(dǎo)致該單位有關(guān)敏感資料泄露，造成的負(fù)面影響不可輕視。

三是大規(guī)模的非涉密人員個(gè)人敏感信息可能與國(guó)家安全有關(guān)。當(dāng)前，非涉密人員個(gè)人敏感信息存儲(chǔ)越來(lái)越集中，其與國(guó)家安全的邊界越來(lái)越模糊、相互關(guān)聯(lián)越來(lái)越密切，已成為現(xiàn)代情報(bào)獲取的“新石油”。據(jù)國(guó)外媒體報(bào)道，劍橋分析公司通過(guò)分析5000余萬(wàn)臉書(shū)用戶政治傾向等數(shù)據(jù)，借助臉書(shū)的廣告投放系統(tǒng)，向這些用戶定向推送誘導(dǎo)性新聞，影響他們的投票行為，在美國(guó)大選和英國(guó)脫歐事件中發(fā)揮重要作用。又如，美國(guó)中央情報(bào)局開(kāi)源情報(bào)中心（OpenSourceCenter）的數(shù)據(jù)挖掘系統(tǒng)可以自動(dòng)使用30種語(yǔ)言，瀏覽20萬(wàn)個(gè)網(wǎng)站和社交媒體站點(diǎn)提取在線評(píng)論以及時(shí)掌握事態(tài)發(fā)展并進(jìn)行預(yù)測(cè)，幫助決策者快速準(zhǔn)確了解當(dāng)前事態(tài)變化以及未來(lái)發(fā)展趨勢(shì)。

三、個(gè)人信息泄露對(duì)國(guó)家安全的影響

（一）個(gè)人信息泄露與政治安全

政治安全是國(guó)家安全的前提和基礎(chǔ)。只有確保政治安全，才能有效維護(hù)和實(shí)現(xiàn)經(jīng)濟(jì)、科技、文化、生態(tài)等其他領(lǐng)域的安全。隨著信息技術(shù)發(fā)展，大數(shù)據(jù)時(shí)代到來(lái)，個(gè)人信息泄露所帶來(lái)的挑戰(zhàn)和威脅與日俱增，其引發(fā)的政治安全問(wèn)題在很大程度上已經(jīng)超越了傳統(tǒng)安全領(lǐng)域。在一定條件下，泄露的相關(guān)個(gè)人信息數(shù)據(jù)有可能被敵對(duì)勢(shì)力所利用，使其得以在網(wǎng)上與一些不法群體勾聯(lián)，有針對(duì)性地開(kāi)展?fàn)帄Z人心工作，甚至直接指使開(kāi)展刺探、竊取、非法提供國(guó)家秘密活動(dòng)。尤其要注意的是，互聯(lián)網(wǎng)具有強(qiáng)大的組織動(dòng)員能力和聚焦放大效應(yīng)，對(duì)于大規(guī)模個(gè)人信息數(shù)據(jù)的泄露、收集和利用，一旦遇到敏感事件的刺激，就可能爆發(fā)出驚人的破壞力量，對(duì)政治安全產(chǎn)生嚴(yán)重危害，甚至導(dǎo)致國(guó)家政權(quán)的更迭。這從烏克蘭、格魯吉亞、吉爾吉斯斯坦等國(guó)家爆發(fā)的“顏色革命”中已經(jīng)可以得到印證。

（二）個(gè)人信息泄露與經(jīng)濟(jì)安全

經(jīng)濟(jì)在國(guó)家發(fā)展中具有極其重要的地位，是決定國(guó)際關(guān)系格局變化和國(guó)家綜合競(jìng)爭(zhēng)力、影響力的關(guān)鍵因素。在經(jīng)濟(jì)決策和運(yùn)行中，個(gè)人信息數(shù)據(jù)的總體分析對(duì)國(guó)家經(jīng)濟(jì)安全和經(jīng)濟(jì)發(fā)展的重要性越來(lái)越強(qiáng)，成為影響經(jīng)濟(jì)安全的重要因素。如，美國(guó)最大的零售企業(yè)Target公司儲(chǔ)有7000萬(wàn)顧客姓名、地址、電話、郵件、信用卡和儲(chǔ)蓄卡等信息的數(shù)據(jù)庫(kù)遭黑客攻擊，大量數(shù)據(jù)泄露，全美1797家商場(chǎng)無(wú)一幸免，社會(huì)經(jīng)濟(jì)受到嚴(yán)重影響。在我國(guó)，隨著互聯(lián)網(wǎng)經(jīng)濟(jì)快速發(fā)展，網(wǎng)絡(luò)貿(mào)易、網(wǎng)絡(luò)金融、網(wǎng)絡(luò)購(gòu)物成為生活常態(tài)，個(gè)人信息數(shù)據(jù)被各平臺(tái)運(yùn)營(yíng)商、供應(yīng)商收集、掌握，技術(shù)防護(hù)水平參差不齊，成為對(duì)國(guó)家經(jīng)濟(jì)安全有重大影響的“定時(shí)炸彈”。據(jù)有關(guān)部門(mén)披露，僅2016年因個(gè)人信息泄露、垃圾短信等遭受的總體經(jīng)濟(jì)損失高達(dá)915億元，對(duì)此必須高度警惕，防止發(fā)生行業(yè)癱瘓、金融紊亂等情況。

（三）個(gè)人信息泄露與社會(huì)安全

社會(huì)安全是國(guó)家安全的重要內(nèi)容，是社會(huì)安定的“風(fēng)向標(biāo)”，其涉及防范、消除、控制直接威脅社會(huì)公共秩序和人民群眾生命財(cái)產(chǎn)安全的治安、刑事、暴力恐怖事件，以及規(guī)模較大的群體性事件等。在大數(shù)據(jù)時(shí)代，個(gè)人信息泄露后擴(kuò)散的范圍、用途及后果無(wú)法預(yù)判，給社會(huì)秩序帶來(lái)嚴(yán)重不可控因素。特別是當(dāng)前，我國(guó)發(fā)生的竊取公民個(gè)人信息、電信詐騙等新型網(wǎng)絡(luò)犯罪數(shù)量不斷增加，網(wǎng)上交易個(gè)人信息亂象屢禁不止，嚴(yán)重影響了社會(huì)公眾的安全感。如，通過(guò)事先掌握個(gè)人信息實(shí)施的精準(zhǔn)詐騙，其欺騙性和危害性成倍增長(zhǎng)，犯罪分子一旦掌握了個(gè)人信息，就有能力竊取人們?cè)诰W(wǎng)絡(luò)上的虛擬身份，冒名頂替實(shí)施詐騙。據(jù)《人民日?qǐng)?bào)》報(bào)道，許多境內(nèi)外的網(wǎng)絡(luò)犯罪團(tuán)伙將目標(biāo)瞄準(zhǔn)了我國(guó)公民個(gè)人信息，竊取了數(shù)以億計(jì)的個(gè)人信息，形成交易個(gè)人信息的地下產(chǎn)業(yè)，對(duì)我國(guó)社會(huì)安全造成嚴(yán)重的現(xiàn)實(shí)和潛在危害。

四、構(gòu)建個(gè)人信息保護(hù)機(jī)制的建議

第一，保密制度層面。建議盡快建立健全涉密人員個(gè)人信息保護(hù)相關(guān)規(guī)定，明確涉密人員個(gè)人敏感信息、個(gè)人一般信息的管理要求，輔助其他已有的刑事、民事、行政法律法規(guī)，完善的個(gè)人信息法律保護(hù)體系。進(jìn)一步完善涉密人員個(gè)人信息相關(guān)國(guó)家秘密事項(xiàng)范圍規(guī)定，進(jìn)一步明確哪些主體、哪些信息屬于國(guó)家秘密或者工作秘密，及時(shí)將這部分人員信息納入保密工作直接管理的范圍。推動(dòng)修訂《個(gè)人信息保護(hù)指南》《個(gè)人信息安全規(guī)范》，增加保密管理內(nèi)容，明確個(gè)人敏感信息的收集、使用規(guī)則，為機(jī)關(guān)、單位和相關(guān)企業(yè)提供行為規(guī)范。

第二，保密管理層面。建議對(duì)由于個(gè)人信息泄露導(dǎo)致國(guó)家秘密泄露或者失控的案件進(jìn)行倒查，依法依紀(jì)追究責(zé)任，并針對(duì)暴露的問(wèn)題，分析原因，健全制度，嚴(yán)格管理，采取補(bǔ)救措施，盡量減少損失。督促涉密人員所在機(jī)關(guān)、單位加強(qiáng)涉密人員個(gè)人信息管理，科學(xué)、合理劃定國(guó)家秘密事項(xiàng)范圍，從管理措施、技術(shù)防護(hù)等方面采取綜合措施，形成綜合防護(hù)體系。對(duì)收集、處理個(gè)人信息數(shù)據(jù)的機(jī)關(guān)、單位和企業(yè)，按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)”原則，進(jìn)一步嚴(yán)格保密管理要求，強(qiáng)化技術(shù)防護(hù)，防止因大規(guī)模個(gè)人信息數(shù)據(jù)泄露影響國(guó)家安全。

第三，保密指導(dǎo)層面。建議加強(qiáng)面向公眾的保密宣傳教育，宣傳依法保護(hù)個(gè)人信息的重要性，樹(shù)立防范個(gè)人信息被非法采集、傳播等思想意識(shí)，引導(dǎo)人們提高自我保護(hù)意識(shí)，養(yǎng)成謹(jǐn)慎使用第三方應(yīng)用軟件等良好習(xí)慣，有效保護(hù)自身個(gè)人信息。引導(dǎo)互聯(lián)網(wǎng)運(yùn)營(yíng)者樹(shù)立行業(yè)自律規(guī)范，明確收集、使用個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得收集與其提供服務(wù)無(wú)關(guān)的信息，不得違反法律法規(guī)規(guī)定和雙方約定收集、使用個(gè)人信息，加強(qiáng)技術(shù)防護(hù)，依法保存?zhèn)�人信息。借鑒國(guó)外的做法，試點(diǎn)在一些機(jī)關(guān)、單位和企業(yè)設(shè)立“首席信息安全官”，把個(gè)人信息安全責(zé)任落實(shí)到相應(yīng)部門(mén)和負(fù)責(zé)人，健全信息泄露的問(wèn)責(zé)機(jī)制。

 

（原載于《保密科學(xué)技術(shù)》雜志2018年11月刊）