关键基础设施行业隐私保护政策内容分析
——以苹果隐私保护政策为借鉴

信息网络安全公安部重点实验室（公安部第三研究所） 何治乐 黄道丽 雷云婷

关键基础设施行业隐私保护政策内容分析
——以苹果隐私保护政策为借鉴

信息网络安全公安部重点实验室（公安部第三研究所） 何治乐 黄道丽 雷云婷

大数据、云计算、遥测技术、智能家庭、移动终端等新技术的深度结合和广泛应用，改变了关键基础设施行业传统的发展模式，但也带来个人信息被侵犯的负面效应。信息泄露事件持续发生，影响社会和经济效益。根据我国现行立法深入分析关键基础设施行业的隐私保护政策内容，具有现实的紧迫性。

关键基础设施行业界定

关键基础设施的定义首先出现在美国，二十年前，关键基础设施被定义为主要的国家公共工程，20世纪90年代中期，鉴于日益增长的国际恐怖主义威胁，导致政策决定者从美国国土安全的角度出发对其重新定义。《2001年爱国者法案》第1016节指出所谓“关键基础设施”，指关系到美国生死存亡的物理或虚拟的系统和资产，一旦其功能丧失或遭到破坏，会对国家安全、经济稳定、公众健康与安全或这些要素的任何结合产生严重影响。[1]国际电联、欧共体、澳大利亚、韩国等组织和国家也对关键基础设施进行了定义，都将涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统列入重点保护范围。

我国相关政策法规中没有明确关键基础设施的定义，但从国外关键基础设施的定义和我国《计算机信息系统保护条例》第4条 的规定出发，关键基础设施行业至少包括政府、金融、海关、能源、教育、交通等。根据赛迪顾问2012年的调查数据显示，中国大数据IT应用投资规模以五大行业最高，互联网行业 (28.9%)，电信行业（19.9%），金融行业（17.5%），政府（8.8%）和医疗行业（6.3%）。[2]信息化发达的美国、欧盟等则重视教育行业的大数据投入。2012年，美国联邦政府教育部参与了耗资2亿美元的公共教育中的大数据计划，从财政预算中支出2500万美元用于理解学生如何在个性化层面学习。本文选取我国大数据占比较重的政府、互联网、金融、医疗行业，及国际社会大数据应用广泛的教育行业为代表，研究我国关键基础设施行业的隐私保护政策。

我国隐私立法主要内容

信息通讯技术的飞速发展，加强了网络的开放性和复杂性，流氓软件和网络钓鱼问题愈演愈烈，个人信息遭到过度收集、不当利用、恶意篡改以及非法传播。为了稳定社会秩序，建立安全的在线环境，2012年12月和2013年6月，我国分别通过《全国人大常委会关于加强网络信息保护的决定》（以下简称《决定》）《电信和互联网用户个人信息保护规定》（以下简称《规定》），进一步规范个人信息的收集和使用。

1.保护范围和收集原则

个人信息的种类和范围是对其进行有效保护的基础，《决定》第1条将能够识别公民身份和涉及到个人隐私的电子信息列入保护范围，禁止出售和非法提供。《规定》第2条明确保护能够识别用户和不识别身份的信息，包括能够单独识别和与其它信息结合识别个人身份的信息。新技术新应用不断推广，个人信息的范围也会持续扩展，法律应该根据实际变化不断做出调整。《决定》第2条和《规定》第5、9条提出，个人信息的收集和使用原则包括合法、正当、必要原则。该原则过于简单和系统化，尤其是在大数据和移动互联网技术迅速发展的时代，不够精细的原则不能起到很好的法律指引作用。

2.保密义务和安全措施的规定

保密义务针对的是内部员工，防止其利用职务便利，恶意泄露、篡改、毁损或者售卖个人信息。《决定》第3、10条，《规定》第18条分别对网络服务提供者、国家机关及其工作人员、电信管理机构及其工作人员的业务活动进行规范，要求其对收集的个人信息保密，这是对关键基础设施行业利用互联网处理事务的强制性约束。新技术新应用下，政府网站需要收集和发布公众最为关心的各种政务信息，是搜集和披露民众个人信息的重要载体，法律专门规定其工作人员的保密义务是十分必要的。《决定》第4条、《规定》第6条明确网络服务提供者和其他企业事业单位应该采取措施保护个人信息的安全，包括技术措施和其他必要措施（例如设立专人专岗负责隐私保护）。安全保护措施是机构进行个人信息保护的最直接和有效方式，尤其是技术措施更能够防止未经授权的访问，但管理措施也是不可缺少的，因此，关键基础设施行业的隐私保护政策不仅应该包括技术措施，还应该包括其他措施。

3.违法有害信息删除和委托行为产生的义务

违法有害信息传输的删除义务针对网络服务提供者，《决定》第5条规定，发现法律、法规禁止发布或者传输的信息，应该立即停止传输，保存记录并向有关主管部门报告。1997年12月施行的《计算机信息网络国际联网安全保护管理办法》第4条将侵犯公民合法权益的信息（包括个人信息）列为禁止传播的信息范畴。但由于新技术新应用下个人信息的权利边界日益模糊，很难辨认哪些个人信息的传播会侵犯当事人的合法权益，也很难判定侵害程度和赔偿限额，法律应该进一步明确。

4.其他个人信息的保护机制

《决定》和《规定》还涉及其他个人信息保护机制，包括举报投诉制度，委托方对被委托方的监督管理制度，培训制度，监督检查制度。《决定》第9条，《规定》第12、14条，针对网络信息违法行为建立举报投诉机制。《规定》第11条明确，电信业务经营者、互联网信息服务提供者对被委托者收集、使用个人信息的工作进行监督和管理。《规定》第15条明确电信业务经营者、互联网信息服务提供者对其员工知识、技能方面的培训。监督检查机制分为上级机关监督和机构自检两个方面，《规定》第3、16、17、19、20条明确，工信部和电信管理机构对电信和互联网用户个人信息保护工作实施监督管理，电信业务经营者、互联网信息服务提供者至少每年进行一次个人信息保护的自查，以及时消除安全隐患。

关键基础设施行业隐私保护政策的内容和不足

1.主要内容

大数据和云计算技术日益泛化和常态化的今天，出于社会管理和利润创造的目的，政府和企业对个人数据的收集变得无孔不入。从浏览记录等不能识别身份的信息到基因、医疗等隐私信息；从账号注册到注销的全过程，个人信息都被收集并监视着。为了精准营销，隐私信息被一次、两次、甚至更多次开发，在此过程中被盗取、滥用、毁损的风险骤增。按照法律要求制定隐私保护政策，并根据国内外形势不断调整，成为关键基础设施行业个人信息保护的重要方式。通过对政府、互联网、教育、金融、医疗五大关键基础设施行业164个机构[ ]隐私保护政策的分析，结合我国《决定》和《规定》的个人信息保护内容，可以总结出目前我国关键基础设施行业的隐私保护政策内容主要包括：收集范围、限制利用原则、安全措施、信息披露条件、未成年人的个人信息保护。

(1)收集范围

30个机构规定了个人信息的保护范围，占调研机构的18.29%。概括而言，收集的用户信息包括可以识别身份的个人信息和不能识别身份的个人信息。能够识别身份的个人信息主要包括：1.直接联系信息（姓名、邮箱、住址、手机号码、备用邮箱等）；2.自然信息（生日、性别、性取向等）；3.用户社会信息（职业、收入状况、身份证号码、护照号码、通话记录等）；4.家庭信息（婚姻等）。根据服务的性质，不同的行业会收集特殊类别的个人信息，如银行会收集用户的银行卡号、取款密码；医疗行业会收集个人诊疗资料，如诊治记录、疾病信息。出于提供有针对性服务或改善管理的目的，网站（尤其是互联网行业）会收集不能识别身份的个人信息，包括用户使用的浏览器和操作系统类型，访问时间及页面，软件的安装信息，位置信息等。

(2)限制利用原则和信息披露条件

16个机构在隐私保护政策中明确了限制利用原则，占调研机构的9.76%。限制利用原则的主要内容是：在取得用户书面同意、免除用户紧迫危险、防止他人权益遭受重大危害、增进公共利益且无损于用户重大利益的情况下，机构会对收集的个人资料进行必要范围以外的使用。35个机构规定了个人信息的披露条件，即用户个人信息保密的除外规定，占调研机构的21.34%。披露条件包括取得用户授权、为维护用户或机构自身的合法权益、为了政府部门的需要或诉讼目的、法律法规的要求。赋予政府机构查看个人信息的权利是为了稳定社会秩序，减少犯罪发生，但维护机构合法权益是机构给予自身的豁免权，这与法律的规定有出入。

(3)技术措施

34个机构承诺使用技术手段对数据进行保护，例如加密、防火墙设置等，以防止未经授权的访问，占调研机构的20.73%。在个人信息蕴藏着巨大价值的大数据时代，技术措施成为信息保护最直接的手段。但大部分关键基础设施行业的机构仍怠于履行职责，使得个人信息被篡改、泄露的风险增加。有关部门应该认真检查网站各项技术措施落实情况，重点落实防范非法攻击、网页防篡改和自动恢复、有害信息过滤、病毒防护等技术措施，并积极实现与公安网络安全报警处置中心的联网预警，及时升级网站服务器应用补丁程序，切实增强网站防护能力。

(4)未成年人的隐私保护

未成年人受年龄、认知能力的限制，在网络社会中处于天然弱势地位，成为重点保护对象。美国有专门的《儿童在线隐私保护法》，欧盟、英国等都在个人数据保护法中对其加以保护。我国《未成年人保护法》第39条明确保护未成年人的信件、日记和电子邮件安全，但未涉及到未成年人的上网行为和信息收集条件等方面。17个机构明确了未成年人的个人信息保护，占调研机构的10.37%，包括上网需获得监护人同意及个人信息收集条件等内容。但是对受保护的未成年人的年龄没有统一标准，集中在18周岁、16周岁、无限制行为能力人、2周岁，这会影响实际的操作过程。

此外，17个机构规定了删除权，1个机构规定了信息保护官制度和自我监督机制，2个机构承诺会对委托方处理个人信息的行为负责，8个机构声明会更新隐私保护政策并以明示方式告知。而关于立法规定的举报制度、用户投诉处理机制等内容都未涉及。

2.不足分析

通过梳理《决定》《规定》的个人信息保护内容，可以发现我国关键基础设施行业的隐私保护政策内容缺失较为严重（见图1），这不仅无法有效预防新技术新应用下的安全风险，也不符合我国有法必依的法治要求。导致我国关键基础设施行业防范风险和解决突发事件的能力较弱，个人信息泄露事件持续产生。

图1 我国关键基础设施行业隐私保护政策主要内容构成

首先，隐私保护政策缺失。在调研的164个关键基础设施行业中，有专门隐私政策的共35个，占总数的21.34%，其中政府机构11个，互联网行业5个，政府教育行业4个，金融行业6个，医疗行业9个。其余机构都没有隐私保护政策，有些在法律声明中列出了个人信息保护的条款，内容也过于粗糙；

其次，不及时更新。我国关键基础设施行业的隐私保护政策很少修订，90%以上的机构隐私政策仍然停留在制定之初。隐私保护政策的内容已经落后于新技术新应用的发展，必然导致风险增加；

再次，不符合法律最低标准。梳理《决定》《规定》的个人信息保护条款和关键基础设施行业隐私政策的内容可知，现有的隐私政策内容不满足立法的最低要求，如自我监督机制、设立专人专岗等鲜有涉及；

最后，落后于国际发展趋势。观察国际社会的个人信息保护，对信息跨境的规制成为隐私政策的必要内容。信息的互联互通推动我国关键基础设施行业迈向世界，在信息向境外传输过程中必然面临更多风险。我国关键基础设施行业缺乏此方面的保护意识，信息化发达国家可能借此限制本国的信息流向我国，削弱我国在信息竞争中的主动性。

这种局面的形成与我国立法不完善，个人及企业的隐私保护意识淡薄等原因密不可分。我国信息化起步较晚，缺乏核心技术，个人信息保护方面法律和管理体制尚不完善，应该积极借鉴国外企业的相关制度，在探索中不断加强个人信息的保护力度。

苹果企业隐私保护政策主要内容及借鉴

苹果的隐私保护政策已经获得Trust-e的隐私标志权计划认可（目前被普遍认证的隐私保护计划），在信息披露、儿童隐私保护、位置服务、数据跨境方面的规定尤其值得我国关键基础设施行业借鉴。

1.信息披露

与我国关键基础设施行业隐私保护政策的最大不同是，对于政府及其机构出于执法或公共安全目的而调查个人信息，苹果设计了严格的信息披露条件，并保持高度透明。苹果在隐私政策中专门有一部分为“来自政府的请求”，在这一部分，苹果每半年会发布透明度报告。涵盖政府（标明国家）请求的类型（包括设备请求和账户请求）、收到的请求数量、同意请求的数量等内容，苹果还将新更新的国家安全令放置其中，以证明其信息披露符合国家相关法令。苹果处理执法请求时，会根据用户的地理区域相应的遵守美国，欧洲、中东、印度和非洲（EMEIA），或者日本和亚太地区（APAC）的指导方针。迄今为止，苹果有不足0.00385%的个人信息因为政府请求而被披露。

在美国的《隐私权法案》中规定了政府机关请求搜集涉及个人隐私信息的程序和方式，在收集对个人不利的信息时，还必须直接向个人搜集，并且出示该资料所依据的权利、用途和不提供的法律后果，政府必须对收集的个人信息保密。这是平衡个人信息安全和政府公权力的解决方法，在尽可能保护个人信息的基础上，支持政府的执法需求。而我国法律和实践中几乎都无条件支持政府机构的执法，缺乏约束机制和透明度报告，这无疑会增加恶意员工泄露个人信息的风险，造成公私利益失衡。

2.儿童隐私保护

苹果将受保护儿童的年龄定在13周岁以下，符合美国《儿童在线隐私保护法》（适用于美国管辖下的单位对13岁以下儿童在线个人信息的收集）。根据苹果的隐私保护政策，13周岁以下的儿童要创建App1e ID，家长必须通过针对学生的 App1e ID 计划或家庭共享计划的儿童帐户这两种方式创建流程。苹果建立了针对儿童的App1e ID 和家庭共享计划信息披露书及App1e 收集、使用和披露儿童信息同意书（在官网上有直接链接），家长必须在全面了解苹果对儿童隐私保护措施的基础上再决定是否为儿童创建帐户。通过隐私问题联系表，任何时候家长都可以访问、改正或删除与其家庭共享计划帐户或子女App1e ID有关的数据。相比我国关键基础设施行业的隐私保护政策，苹果在未成年人的个人信息保护方面显然更加谨慎，值得我国机构借鉴。

3.位置服务

新技术新应用环境下，个人位置信息的价值开始凸显。根据《2014年我国大数据分析报告》显示，在个人位置数据领域，美国大数据产业每年产生1000亿美元的市场，个人位置信息的不当收集和滥用问题也引起广泛关注。一些国家开展专门立法进行规范，2005年1月，韩国颁布《位置信息保护与使用法》规范位置信息的收集和使用。美国联邦贸易委员会2013年修订《儿童在线隐私保护法》，把个人信息范畴扩展到地理位置标记。苹果承诺，收集位置信息之前会获得用户同意并采取匿名方式进行，用户可以随时撤回许可，并且明确了基于位置的服务所使用的技术应该遵守的隐私权规定。我国大数据发展如日中天，对位置信息的收集不可避免，但所有的关键基础设施行业都未提及，这和我国的立法缺失有很大关系。立法具有滞后性，关键基础设施行业应该提高自律性，顺应国际发展趋势，及时调整隐私保护政策的内容。

4.数据跨境

随着经济文化的全球化发展，个人数据的泛在跨境流动或者传输成为常态，在此过程中产生的安全风险成为各界关注的焦点。苹果的隐私政策对跨境个人信息保护遵从不同的法律，例如欧洲经济区和瑞士的个人信息保护遵守安全港框架，以满足欧盟有关数据跨境流动的法律要求（欧盟95指令禁止向无法确保充足的数据保护的国家和组织传输个人数据）。此外，苹果严格遵守亚太经济合作组织 (APEC)的跨境隐私规则体系，以保护APEC 成员经济体之间的个人信息传输隐私。大数据和云计算环境下的数据泛在跨境流动是形成全球共享资源池，突破信息产业发展瓶颈的关键，我国应该尽快完善法律，成立数据流动监管组织，关键基础设施行业应该参考借鉴国外跨国企业的规定，制定数据跨境流动的保护制度。

结语

2014年是我国信息安全发展战略的开局之年，国家高层高度重视包括隐私安全、关键基础设施等在内的互联网发展问题，在政策、法律、技术等层面都取得了相应突破。但隐私泄露问题仍然很严峻，携程网信息安全门、小米800万用户数据泄露、多家快递网站的1400万条用户信息被转卖等众多事件，暴露了我国关键基础设施行业隐私保护方面的不足。苹果隐私保护政策在更新的及时性、儿童和位置信息保护、平衡公私利益、跨境数据传输等方面都值得我国关键基础设施行业借鉴。新技术新应用推动传统产业与网络融合，关键基础设施行业的主要业务也由线下向线上转移。关键基础设施行业成为信息流动和共享的重要渠道，也成为收集和分析个人信息的主要载体，应该尽快完善隐私保护政策，以更好的保护个人信息并满足实践需求。

[1]第4条：计算机信息系统的安全保护工作，重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。

[2]包括政府网站32个（4个直辖市、5个自治区省会以及其他22个省会（台湾除外）及青岛、无锡、苏州、宁波、福州、厦门）；互联网企业5个（腾讯、360、百度、搜狐、新浪）；金融行业42个（中国人民银行、3个政策性银行、16家代表性的商业银行，上海/深圳证券交易所、排名前十的证券公司、排名前十的保险公司）；医疗行业23个（我国较出名的23个医院）；教育行业62个（2014年排名前30的大学和与政府网站相同的32个城市的教育局）。