總體國家安全觀視角下個人信息保護機制研究

近年來，我國個人信息泄露事件頻繁發(fā)生，嚴重的甚至會影響國家安全。目前，理論界對兩者相互影響機制尚不明確。如何厘清個人信息與國家安全的關(guān)系以及泄露后對國家安全的影響，構(gòu)建起既維護國家安全又保護個人信息的工作機制，已成為保密工作中亟待解決的重要課題。

一、個人信息的概念與內(nèi)容

（一）個人信息的概念厘定

目前，我國尚未制定專門的個人信息保護法，相關(guān)規(guī)定散見于各部門法，主要有《民法總則》《刑法》《網(wǎng)絡(luò)安全法》《居民身份證法》等，初步呈現(xiàn)出刑事、民事與行政齊頭并進的趨勢。然而在法律層面，個人信息概念尚處于模糊狀態(tài)，僅《網(wǎng)絡(luò)安全法》第76條規(guī)定，“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”。這一概念具有合理性，但受網(wǎng)絡(luò)管理業(yè)務(wù)局限，無法涵蓋個人信息完整內(nèi)涵與外延。在學理上，我國法學界對個人信息的研究主要集中在私法領(lǐng)域，將其與“個人資料”“個人數(shù)據(jù)”“信息隱私”等概念混用，存在話語體系不統(tǒng)一問題。本文以《網(wǎng)絡(luò)安全法》第76條為核心，將個人信息概念擴展為“與自然人相關(guān)聯(lián)的、可以識別其身份的任何信息，包括個人基本信息、注冊信息、設(shè)備信息和活動信息、社會關(guān)系信息、網(wǎng)上行為信息等”。

（二）個人信息的主要內(nèi)容

在現(xiàn)代社會，個人信息是動態(tài)變化的范疇，其隨著大數(shù)據(jù)、云計算等信息技術(shù)發(fā)展，不斷增加新的內(nèi)容�；�于前述厘定“個人信息”概念，其具體內(nèi)容至少包括以下6方面：一是個人基本信息，包括個人姓名、性別、年齡、住址、出生日期、身份證號等；二是個人注冊信息，包括電話號碼、EMAIL等通信信息，銀行賬戶、支付寶等電子支付信息，微信、QQ等社交媒體信息等；三是個人設(shè)備信息，包括計算機、手機、IPAD、便攜式電子設(shè)備等信息設(shè)備的IP地址、GPS位置等；四是個人活動信息，包括個人日記、通訊錄、通話信息、短信記錄、備忘錄等；五是個人社會關(guān)系信息，包括家庭關(guān)系、社交范圍、工作履歷、人事記錄等；六是個人網(wǎng)上行為信息，包括上網(wǎng)時間地點、網(wǎng)上購物記錄、瀏覽記錄、搜索記錄、輸入法記錄、網(wǎng)絡(luò)聊天記錄等。

二、個人信息與國家安全的關(guān)聯(lián)性分析

（一）重構(gòu)個人信息的“二維結(jié)構(gòu)”

根據(jù)傳統(tǒng)保密工作理論，個人信息與國家安全界分明確：一是兩者屬性不同。個人信息屬于私權(quán)利范疇；國家安全屬于公權(quán)力范疇。二是兩者主體不同。個人信息歸屬于自然人，屬于自然人的當然權(quán)利；涉及國家安全信息屬于國家，關(guān)系國家利益。三是兩者內(nèi)容不同。個人信息限于個人事務(wù)；國家安全涉及公共事務(wù)。隨著信息化和大數(shù)據(jù)及人工智能不斷發(fā)展，個人信息與國家安全關(guān)系越來越緊密，兩者經(jīng)常呈現(xiàn)出相互交織、相互影響的狀態(tài)。

在邏輯上，個人信息按照不同標準，可以劃分為不同類別。目前，學術(shù)界關(guān)于個人信息的分類多達6種，但相關(guān)分類所依據(jù)的均為一維的、扁平的標準。對個人信息中涉及國家安全內(nèi)容作溯因性分析，個人信息與國家安全的關(guān)聯(lián)程度高低主要受兩個因素的影響：一是個人信息主體的身份，究竟是涉密人員還是非涉密人員；二是個人信息內(nèi)容的敏感程度，究竟是個人敏感信息還是個人一般信息。以這兩個因素為標準，對個人信息進行二次分類，可以形成既區(qū)分信息主體又區(qū)分信息內(nèi)容的“二維結(jié)構(gòu)”：即涉密人員個人敏感信息、非涉密人員個人敏感信息、涉密人員個人一般信息和非涉密人員個人一般信息。此處需要說明的是，作為我國首部個人信息保護國家標準，2012年發(fā)布的《個人信息保護指南》已提出將個人信息分為個人敏感信息和個人一般信息；2017年發(fā)布的《個人信息安全規(guī)范》也從國家標準層面界定和列舉了個人敏感信息的內(nèi)涵和外延。因此，有學者在現(xiàn)行規(guī)定基礎(chǔ)上，結(jié)合信息泄露是否會導(dǎo)致重大傷害、給信息主體帶來傷害的概率、社會大多數(shù)人對某類信息的敏感度3個因素綜合考量，將健康信息、性生活和性取向、身份證件號碼、金融信息、政治意見、通信信息、基因信息、生物特征信息、精確地理位置列為個人敏感信息。

（二）“二維結(jié)構(gòu)”下個人信息與國家安全的同一性

一是涉密人員個人敏感信息直接關(guān)系國家安全。一方面，一些特定人員的個人敏感信息，可能基于國家安全和利益的考量，被納入國家秘密定密事項范圍。比如，在國家面臨政治動蕩、國家間出現(xiàn)戰(zhàn)爭沖突等情況下，一國領(lǐng)導(dǎo)人的身體疾患等情況可能作為國家秘密受到特別保護，以防止這些個人信息公布后對國家安全和利益造成風險和損害。另一方面，有的涉密人員個人敏感信息雖然不屬于國家秘密，但與國家安全高度相關(guān)。如，斯特拉瓦（Strava）公司根據(jù)其開發(fā)的戶外運動App，制作發(fā)布了一幅“全球運動熱力地圖”，涉及GPS位置記錄的軍人跑步或者騎行路線，導(dǎo)致美國、俄羅斯等國設(shè)在敘利亞、阿富汗等地的秘密軍事基地等涉密信息先后被披露。

二是涉密人員個人一般信息與國家安全亦有關(guān)聯(lián)。涉密人員在涉密崗位工作，在日常工作中產(chǎn)生、經(jīng)管或者經(jīng)常接觸、知悉國家秘密事項，這決定了其言行舉止與國家安全存在千絲萬縷的聯(lián)系。即使涉密人員個人一般信息有大概率不涉及國家秘密，仍然有可能通過兩兩結(jié)合、相互印證的方式，間接關(guān)聯(lián)到國家安全。如，有關(guān)部門在工作中發(fā)現(xiàn)，境外黑客組織通過對某涉密單位工作人員在互聯(lián)網(wǎng)上發(fā)布的數(shù)項個人一般信息進行分析，定位該工作人員所用互聯(lián)網(wǎng)計算機，進而實施網(wǎng)絡(luò)攻擊，竊取機內(nèi)存儲的相關(guān)個人敏感信息和工作文件資料，導(dǎo)致該單位有關(guān)敏感資料泄露，造成的負面影響不可輕視。

三是大規(guī)模的非涉密人員個人敏感信息可能與國家安全有關(guān)。當前，非涉密人員個人敏感信息存儲越來越集中，其與國家安全的邊界越來越模糊、相互關(guān)聯(lián)越來越密切，已成為現(xiàn)代情報獲取的“新石油”。據(jù)國外媒體報道，劍橋分析公司通過分析5000余萬臉書用戶政治傾向等數(shù)據(jù)，借助臉書的廣告投放系統(tǒng)，向這些用戶定向推送誘導(dǎo)性新聞，影響他們的投票行為，在美國大選和英國脫歐事件中發(fā)揮重要作用。又如，美國中央情報局開源情報中心（OpenSourceCenter）的數(shù)據(jù)挖掘系統(tǒng)可以自動使用30種語言，瀏覽20萬個網(wǎng)站和社交媒體站點提取在線評論以及時掌握事態(tài)發(fā)展并進行預(yù)測，幫助決策者快速準確了解當前事態(tài)變化以及未來發(fā)展趨勢。

三、個人信息泄露對國家安全的影響

（一）個人信息泄露與政治安全

政治安全是國家安全的前提和基礎(chǔ)。只有確保政治安全，才能有效維護和實現(xiàn)經(jīng)濟、科技、文化、生態(tài)等其他領(lǐng)域的安全。隨著信息技術(shù)發(fā)展，大數(shù)據(jù)時代到來，個人信息泄露所帶來的挑戰(zhàn)和威脅與日俱增，其引發(fā)的政治安全問題在很大程度上已經(jīng)超越了傳統(tǒng)安全領(lǐng)域。在一定條件下，泄露的相關(guān)個人信息數(shù)據(jù)有可能被敵對勢力所利用，使其得以在網(wǎng)上與一些不法群體勾聯(lián)，有針對性地開展爭奪人心工作，甚至直接指使開展刺探、竊取、非法提供國家秘密活動。尤其要注意的是，互聯(lián)網(wǎng)具有強大的組織動員能力和聚焦放大效應(yīng)，對于大規(guī)模個人信息數(shù)據(jù)的泄露、收集和利用，一旦遇到敏感事件的刺激，就可能爆發(fā)出驚人的破壞力量，對政治安全產(chǎn)生嚴重危害，甚至導(dǎo)致國家政權(quán)的更迭。這從烏克蘭、格魯吉亞、吉爾吉斯斯坦等國家爆發(fā)的“顏色革命”中已經(jīng)可以得到印證。

（二）個人信息泄露與經(jīng)濟安全

經(jīng)濟在國家發(fā)展中具有極其重要的地位，是決定國際關(guān)系格局變化和國家綜合競爭力、影響力的關(guān)鍵因素。在經(jīng)濟決策和運行中，個人信息數(shù)據(jù)的總體分析對國家經(jīng)濟安全和經(jīng)濟發(fā)展的重要性越來越強，成為影響經(jīng)濟安全的重要因素。如，美國最大的零售企業(yè)Target公司儲有7000萬顧客姓名、地址、電話、郵件、信用卡和儲蓄卡等信息的數(shù)據(jù)庫遭黑客攻擊，大量數(shù)據(jù)泄露，全美1797家商場無一幸免，社會經(jīng)濟受到嚴重影響。在我國，隨著互聯(lián)網(wǎng)經(jīng)濟快速發(fā)展，網(wǎng)絡(luò)貿(mào)易、網(wǎng)絡(luò)金融、網(wǎng)絡(luò)購物成為生活常態(tài)，個人信息數(shù)據(jù)被各平臺運營商、供應(yīng)商收集、掌握，技術(shù)防護水平參差不齊，成為對國家經(jīng)濟安全有重大影響的“定時炸彈”。據(jù)有關(guān)部門披露，僅2016年因個人信息泄露、垃圾短信等遭受的總體經(jīng)濟損失高達915億元，對此必須高度警惕，防止發(fā)生行業(yè)癱瘓、金融紊亂等情況。

（三）個人信息泄露與社會安全

社會安全是國家安全的重要內(nèi)容，是社會安定的“風向標”，其涉及防范、消除、控制直接威脅社會公共秩序和人民群眾生命財產(chǎn)安全的治安、刑事、暴力恐怖事件，以及規(guī)模較大的群體性事件等。在大數(shù)據(jù)時代，個人信息泄露后擴散的范圍、用途及后果無法預(yù)判，給社會秩序帶來嚴重不可控因素。特別是當前，我國發(fā)生的竊取公民個人信息、電信詐騙等新型網(wǎng)絡(luò)犯罪數(shù)量不斷增加，網(wǎng)上交易個人信息亂象屢禁不止，嚴重影響了社會公眾的安全感。如，通過事先掌握個人信息實施的精準詐騙，其欺騙性和危害性成倍增長，犯罪分子一旦掌握了個人信息，就有能力竊取人們在網(wǎng)絡(luò)上的虛擬身份，冒名頂替實施詐騙。據(jù)《人民日報》報道，許多境內(nèi)外的網(wǎng)絡(luò)犯罪團伙將目標瞄準了我國公民個人信息，竊取了數(shù)以億計的個人信息，形成交易個人信息的地下產(chǎn)業(yè)，對我國社會安全造成嚴重的現(xiàn)實和潛在危害。

四、構(gòu)建個人信息保護機制的建議

第一，保密制度層面。建議盡快建立健全涉密人員個人信息保護相關(guān)規(guī)定，明確涉密人員個人敏感信息、個人一般信息的管理要求，輔助其他已有的刑事、民事、行政法律法規(guī)，完善的個人信息法律保護體系。進一步完善涉密人員個人信息相關(guān)國家秘密事項范圍規(guī)定，進一步明確哪些主體、哪些信息屬于國家秘密或者工作秘密，及時將這部分人員信息納入保密工作直接管理的范圍。推動修訂《個人信息保護指南》《個人信息安全規(guī)范》，增加保密管理內(nèi)容，明確個人敏感信息的收集、使用規(guī)則，為機關(guān)、單位和相關(guān)企業(yè)提供行為規(guī)范。

第二，保密管理層面。建議對由于個人信息泄露導(dǎo)致國家秘密泄露或者失控的案件進行倒查，依法依紀追究責任，并針對暴露的問題，分析原因，健全制度，嚴格管理，采取補救措施，盡量減少損失。督促涉密人員所在機關(guān)、單位加強涉密人員個人信息管理，科學、合理劃定國家秘密事項范圍，從管理措施、技術(shù)防護等方面采取綜合措施，形成綜合防護體系。對收集、處理個人信息數(shù)據(jù)的機關(guān)、單位和企業(yè)，按照“誰主管、誰負責”原則，進一步嚴格保密管理要求，強化技術(shù)防護，防止因大規(guī)模個人信息數(shù)據(jù)泄露影響國家安全。

第三，保密指導(dǎo)層面。建議加強面向公眾的保密宣傳教育，宣傳依法保護個人信息的重要性，樹立防范個人信息被非法采集、傳播等思想意識，引導(dǎo)人們提高自我保護意識，養(yǎng)成謹慎使用第三方應(yīng)用軟件等良好習慣，有效保護自身個人信息。引導(dǎo)互聯(lián)網(wǎng)運營者樹立行業(yè)自律規(guī)范，明確收集、使用個人信息應(yīng)當遵循合法、正當、必要原則，不得收集與其提供服務(wù)無關(guān)的信息，不得違反法律法規(guī)規(guī)定和雙方約定收集、使用個人信息，加強技術(shù)防護，依法保存?zhèn)�人信息。借鑒國外的做法，試點在一些機關(guān)、單位和企業(yè)設(shè)立“首席信息安全官”，把個人信息安全責任落實到相應(yīng)部門和負責人，健全信息泄露的問責機制。

 

（原載于《保密科學技術(shù)》雜志2018年11月刊）