马志刚

　　在世界各国，个人数据安全关注个人数据本身的安全属性和安全状态，防止个人数据免遭非授权访问、使用、披露、修改或破坏，确保信息的完整性、保密性、可用性。

　　秩序恶瘤：可作为商品的个人信息

　　但是，显然，我们的网络环境并非以此为本位进行秩序建构的。长久以来，个人信息在我国可以作为商品，在类似的黑市上进行交易和流通。2009年3月至12月间，作为电信单位工作人员或者经电信单位授权直接从事电信相关业务的人员，谢新冲、黄伟帆等7人利用电信单位服务平台，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给刘海亮等人，严重侵害了公民的合法权益。2011年8月5日，北京市第二中级人民法院对本案作出一审判决，共有23名被告人涉嫌非法提供、获取以及出售公民个人信息，并且相互结成了一条非法提供、获取、销售公民个人信息的完整链条。

　　而2011年12月12日CSDN论坛、天涯社区、京东、当当、支付宝、腾讯、嘟嘟牛、7K7K、多玩网、178游戏网、多玩、世纪佳缘、珍爱网、美空网、百合、7K7K等网站发生的地个人信息数据库“脱库”事件（有消息称甚至交通银行、民生银行、工商银行等金融机构的个人信息数据库也已“脱库”），再一次证明，长期以来，个人信息在行业内部隐性存在的某个黑市里进行着自由的交易和流通，已经不是什么秘密，而是行业内心照不宣、人人皆知的事实；以此为出发点，黑客们聚集了许多技术含量要求并不高的自由职业者，开始对存储有用户个人关键资产的数据库进行“洗库”、“撞库”，从而获取用户高价值的网络虚拟资产。

　　有经济学家称，“中国的要害是没有私权利的保护机制，公权力过多、过深、过久地压抑和侵犯了私权利。没有政治体制改革，权力就不能得到有效制衡，释放私权利的过程就无法持续，这就不可能有真正的市场经济。”同样的道理，如果不存在私人领域的安全，这个世界上怎么可能只存在公共行政领域的单边安全呢，既然个人信息可作为商品进行交易和流转，那么足可反映出我们的秩序建构出现了重大问题。

　　技术发展：永无止境的个人信息风险和威胁

　　当前，随着移动互联网、云计算等新技术、新业务的发展，个人数据面临的系统性风险正在日益升级。

　　-历史上，操作系统预留后门事件层出不穷，历来是危害国家安全和用户隐私的重要杀手。例如，1998年8月发生的微软“NSA密钥事件”、2010年12月发生的OpenBSD开源软件“FBI后门事件”等等。

　　-当前，在移动互联网条件下，移动智能终端操作系统的功能日益多样，终端系统软件“后门”、漏洞随之增加，针对智能移动终端存在的各种漏洞，或利用操作系统平台提供的各类API，攻击者开发出的恶意代码越来越多，危害也越来越大，并可能导致安全事件频发。

　　-在移动互联网条件下，移动智能终端设备的生产厂家可以轻易可以通过企业服务器对移动终端实施远程控制，进行手机功能限制、应用卸载、数据删除、蓝牙等接口的关闭和启用等活动，盗取手机上保存的个人通讯录、日程安排、个人身份信息甚至个人机密信息，窃听机主的通话、截获机主的短信，篡改或删除用户的重要数据，对机主的个人信息安全构成重大威胁。

　　-2011年4月20日，两名程序员发现，自推出iOS 4后，基于该系统的苹果产品就开始跟踪并存储用户的地理位置信息，并带有时间戳，用户在与其他设备同步时，其个人数据完全面向同步设备开放，并被存储在consolidated.db 文件中。

　　-2012年2月17日，据香港明报报道，twitter承认在用户不知情下，将用户智能手机内的通信录悉数复制下来，储存到自己的服务器；而苹果虽在其应用程式研发指南中，明确规定在未经用户同意不得“抄走”个人私密信息，但实际却容许twitter以及其他社交网站的应用程式擅自取用iPhone用户的通信录资料。

　　法律和行政保护：个人信息的安全栖息地

　　我国十分重视个人数据的刑事司法保护，但是尚未建立个人数据的行政保护管理体制，无法适应信息时代政府社会管理的需求，也与个人数据保护国际惯例无法接轨，严重影响我国的国际大国声誉。

　　2011年10月16日，江苏省人大常委会审议通过《江苏省信息化条例》，从个人信息的采集、使用到法律责任都设定了具体的法律条款，严格保护个人信息的安全，构筑了一个由行政处罚与刑事处罚为后盾的衔接点和安全网，在个人信息保护上具有“里程碑式”意义。但是这一立法限于江苏一隅，亦未设立对个人数据保护起着关键核心作用的个人数据行政保护管理体制，因此，其影响和实际作用依然有限。

　　为了显示个人信息保护的重要性和国家决心，在欧盟成员国范围内，以及在东亚的韩国，大多设立了专门的隐私权保护机构；而在未设立专门机构的美国、日本等国，立法则指定由其他传统行政机关代行公民个人隐私权在线保护的相关政府职能。纵观世界各国有关公民个人数据的行政保护体制，根据拥有职能和发挥作用的大小，可以将个人数据保护管理体制区分为“政府主导型保护体制”和“行业自律组织主导型保护体制”两类。

　　当前，我国亟需进行公民个人数据行政保护管理体制的重大制度设计，在政府内部特设一个行使个人数据保护职能的专门机构，负责公民个人数据或其他隐私权问题的保护管理。

　　用户个人信息保护：一个民本网络环境的塑造

　　当今世界，网络广泛参与生产生活并作为辅助设施而存在，因此原生、伴生或共生了个人身份信息、金融账户信息、企业表内表外财务信息、国家宏观经济数据等各类在线数据资产，并基于商业或非商业需求，自然或非自然地、善意或恶意地、范围程度不等地流通并应用于跨界互联的网络空间之内。由于这些数据中的部分或全部天然地定义了与其对应的自然人、企业、社会组织乃至政府国家的自然或社会属性，因此，必然具有人权、法人财产权或者政府权利的属性，理应得到与人权、法人财产权或者政府权利等价等值的尊重和保护。

　　我国的网络和信息安全首先必须是有道义的安全，也就是安全工作必须时时把人民放在心上、把人民的利益放在心上、把人民的权利放在心上。以此为基点，不久的将来，一个民本的网络环境必将得以塑造并崛起、屹立在全球互联的网络空间之中。

　　作者简介：

　　马志刚：2001年毕业于中国政法大学,法学博士,副研究员、高级工程师。2001.05—2001.07，在信息产业部国家计算机网络与信息安全管理中心政策法规处工作；2001.08—2004.06，在信息产业部政策法规司工作；2004.07—2005.08，在国务院信息化工作办公室网络与信息安全组工作；2006.04—2009.6，在中国政法大学中国法律信息中心主持工作；2009.7至今，在工业和信息化部电信研究院政策与经济研究所工作。主要研究成果有，《美国通信法研究》、《中外互联网管理制度比较研究》、《关于我国网络实名制实现路径的报告》、《欧盟第七科技框架计划(FP7)中的知识产权问题分析报告》、《移动互联网监管政策体系研究》、《移动智能终端安全评估管理措施研究》、《移动应用软件商店监管政策研究》、《我国车联网发展环境和政策研究》等。