（企业管理专业论文）个人信息保护认证管理机制研究.pdf

摘要 进入2 1 世纪后，高科技突飞猛进，深刻地影响着人民的生存状况、生活方 式甚至内心世界等诸多方面，个人信息安全受到了巨大的威胁。个人信息作为 “个人”和“信息”的合成词早已有之。但是当个人信息和个人资料、个人数 据等词汇具备相同的含义且被频繁使用时，是在网络出现之后的事。计算机网 络使得信息的处理和传播比以往任何时候都快捷、简便和低廉，这令包括个人 信息在内的整个信息资源异常活跃。同时，个人信息被非法窃取、传播、公开、 交易的现象也日益严重。对此，处于弱势的用户往往一无所知，或者即使知道 也难以应对。个人信息保护在我国还是舶来品，是在世界经济全球化的大形势 下逐渐走入人们视线的。国外对个人信息保护问题已经十分重视，并形成了个 人信息保护的管理体制，这给我国许多领域的对外业务带来不小的影响。本文 即以此一问题为开端，讨论了个人信息保护的背景、国内外个人信息保护现状、 保护模式以及我国的个人信息保护管理机制和评价认证研究。 本文共分为四章，主要内容是： 第一章，主要分析个人信息保护的必要性及其意义。首先，介绍了个人信 息的含义、特征及与其相关的个人数据、隐私的概念，并将三个概念做了比较。 其次，举例说明了个人信息的不安全因素，包括个人信息的不合理、滥用等现 象。再次，主要论述了个人信息保护重要性日益增强的社会背景及其重要意义。 最后，指出了涉及个人信息保护的领域。 第二章，主要讨论了国外个人信息保护的现状，并进行了保护模式的比较分 析。首先，介绍了一些国家和国际组织对个人信息保护的现状及其相关政策法 规。而后，对目前国际上两种比较典型的个人信息保护模式立法规制的欧 盟模式、行业自律的美国模式进行了分析和比较，并指出国际上个人信息保护 管理模式的趋同性。 第三章，首先，对我国个人信息保护的现状和面临的问题进行了描述。其 次，介绍了我国大连软件及信息服务业的个人信息保护管理机制。最后，指出 我国个人信息保护应建立以立法规制为主、行业自律和技术保护为辅的保护模 式，同时要加强我国公民的个人信息保护意识，对我国个人信息保护管理体制 的建立问题做了深入的研究，这是本文的重点部分，有很强的理论价值。 第四章，主要讨论了个人信息保护的评价和认证。详细介绍了日本p - m a r k 认证和大连p i p a 认证的体系结构、认证流程等内容。在此基础上，对我国未 来个人信息保护的评价认证体系进行大胆建议，主要谈到了我固个人信息保护 评价体系、组织机构体系的职能和如何进行认证状况的监管等问题，这是本文 的主要创新之处。 个人信息的保护不仅需要学术界的关注，更需引起全社会的高度重视，个 人信息保护工作在我国任重而道远。 关键词：个人信息保护，管理模式，评价认证，p i p a 王i a b s t r a c t w h e ni ts t e p si n t o2 1c t i l r y ，t o pt e c h n o l o g i e sd e v e l o pe n o r m o u s l y , w h i c h i n f l u e n c ep e o p l e sl i v i n gc o n d i t i o n s m o d eo fl i f ea n de 啪t h e i rt h o u g h t s a tt h e s a m et i m e ，p e r s o n a li n f o r m a t i o ns e c u r i t yh a sb e e nt h r e a t e n e dt r e m e n d o u s l y a sa c o m b i n a t i o nw o r do fp e r s o n a la n di n f o r m a t i o n , p e r s o n a li n f o r m a t i o nh a db e e nu s e d s ol o n g b u tt h ef r e q u e n tu s eo fp e r s o n a li n f o r m a t i o n , a sw e l la sp e r s o n a ld a t aa n d t h eo t h e rs i m i l a rw o r d sd i do c c u rs i n c et h ea p p e a r a n c eo fi n t e m e t 。t h ew h o l e i n f o r m a t i o nr e $ 0 1 n c c si n c l u d i n gp e r s o n a li n f o r m a t i o na l ee x t r e m e l ya c t i v et h a ne v e l ， b e c a u s et h ei n t e m e tm a k ei tc o n v e n i e n ta n dc h e a pt op r o c e s sa n dl r a n s m i t a tt h e s l l n l t ：t i m e ，i ti si n c r e a s i n g l ys e r i o u st h a tp e r s o n a li n f o r m a t i o nh a sb e e ni l l e g a la c c e s s ， d e s l r u e t i o n , d i s c l o s u r ea n dt r a d e r e g a r d i n gt ot h ea b o v es i t u a t i o n a st h ew e a k c o u n t e r p a r t , t h ec o l l s u m e ra r en o tc a p a b l et on o t i c eo rh a r d l yt od e a lw i t ht h ei l l e g a l a c t i o n sn l e yf o u n d i no u rc o u n t r y , p e r s o n a li n f o r m a t i o np r o t e c t i o ni sb r o u g h tf r o m f o r e i g nc o u n t r i e sw i t hc h i n e s ec h a r a c t e r i s t i c s p e r s o n a li n f o r m a t i o np r o t e c t i o nh a s c o m et ot h ea t t e n t i o no ff o r e i g ng o v e r n m e n t , a n dt h e i rp r o t e c t i o nh a sc o m ei n t o b e i n gm a n a g e m e n ts y s t e m t h a te x c r t s a l li n f l u e n c eo nf o r e i g nt r a d ei nm a n y i n d u s t r i e so fo u rc o u n t r y b e g i n n i n gw i t ht h a ts i t u a t i o n , t h i st h e s i st r i e st od i s c u s s t h eb a c k g r o u n d , d o m e s t i ca n df o r e i g na c t u a l i t y , p r o t e c t i v es y s t e mo fp e r s o n a l i n f o r m a t i o np r o t e c t i o n ，a n da n a l y s e st h em a n a g e m e n ts y s t e ma n dc e r t i f i c a t i o n s y s t e mo f p e r s o n a li n f o r m a t i o np r o t e c t i o ni n0 1 1 1 c o u n t r y t h ef o u rp a r t so f t h et h e s i sa l ea sf o l l o w s ： c h a p t e r1m a i n l yc o n c e l 3 n $ a b o u tt h en e c e s s i t yo ft h ep e r s o n a li n f o r m a t i o n p r o t e c t i o n f i r s t l y , i ti n t r o d u c e s t h e m e a n i n g sa n dc h a r a c t e r i s t i c o fp e r s o n a l i n f o r m a t i o na n dc o m p a r e st h es i m i l a rc o n c e p to fp e r s o n a li n f o r m a t i o n s e c o n d l y , i t i l l u s t r a t e si l l s e c l l r ef a c t o ro f p e r s o n a li n f o r m a t i o n , i n c l u d i n ga b u s ea n dd i s c l o s u r ee t e t h i r d l y , i tm a i n l y d i s c u s s e si n c r e a s i n gn e c e s s i t yo ft h ep e r s o n a li n f o r m a t i o n p r o t e c t i o n f i n a l l y , i tp o i n to u tt h ei n d u s t r i e st h a tr e l a t et op e r s o n a li n f o r m a t i o n p r o t e c t i o n t t i c h a p t e r2m a i n l yi n l x o d u c e st h ea c t u a l i t yo f t h ep e r s o n a li n f o r m a t i o np r o t e c t i o n a b r o a d , w h i l em a k i n gc o m p a r i s o n sa n da n a l y s e so ft h ed i f f e r e n tp r o t e c t i o nm o d e s f i r s t l y , i ti n t r o d u c e st h ea c t u a l i t y , p o l i c i e sa n ds t a t u t e so f t h ep e r s o n a li n f o r m a t i o n p r o t e c t i o ni ns o m ec o u n t r i e sa n dn a t i o n a lo r g a n i z a t i o n s t h e n ，i tc o m p a r e st h et w o t y p i c a li n t e r n a t i o n a lm o d e so f t h ep e r s o n a li n f o r m a t i o np r o t e c t i o n m ee u m o d e w i t hl e g i s l a t i v er e g u l a t i o na n dt h ea n l a i c a nm o d ew i t hs e l f - d i s c i p l i n e ，a n di n d i c a t e s t h ei n t e r n a t i o n a lm a n a g e m e n tm o d e so ft h ep e r s o n a li n f o r m a t i o np r o t e c t i o nw i l l a c c o r d i nc h a p t e r3 ，f i r s t l y , t h et h e s i sd e s c r i b e st h ea c t u a l i t ya n dp r o b l e m so ft h e p e r s o n a li n f o r m a t i o np r o t e c t i o ni no u rc o u n t r y t h e ni tr e f e r st 0t h ep r o t e c t i o np o l i c y o ft h ep e r s o n a li n f o r m a t i o np r o t e c t i o ni nd a l i a ns o f t w a r ea n di n f o r m a t i o ns e r v i c e i n d u s t r y f i n a l l y , i tp o i n t so u tt h a tt h ep r o t e c t i o nm o d eo ft h ep e r s o n a li n f o r m a t i o n p r o t e c t i o nw h i c hw i l lb ee s t a b l i s h e di no u rc o u n t r ys h o u l dc o n s i d e rt h el e g i s l a t i v e r e g u l a t i o na st h em o s ti ：m p o r t a n t ，w h i l es e l f - d i s c i p l i n ea n dt e c h n i c a lp r o t e c t i o na s a s s i s t a n c e a tt h es a m et i m e ，t h ec o n s c i o u s n e s so fp e r s o n a li n f o r m a t i o np r o t e c t i o n s h o u l db ce n h a n c e di no u rc o u n t r y t h i sc h a p t e rm a k e sa ni n d e e pr e s e a r c ho nt h e m a n a g e m e n ts y s t e mo fp e r s o n a li n f o r m a t i o np r o t e c t i o ni no u rc o u n t r y i ti st h e k e y p o i n to f t h et h e s i sa n dh a ss i g n i f i c a n tv a l u ei nt h e o r y c h a p t e r 4m a i n l yd i s c u s s e st h ec e r t i f i c a t i o ns y s t e mo ft h ep e r s o n a li n f o r m a t i o n p r o t e c t i o n ni n t r o d u c e st h es y s t e ms t r u c t u r ea n dc e r t i f i c a t i o np r o g r a mo fj a p a n e s e p m a r ka n dd a l i a np i p ai nd e t a i l o nt h eb a s i so ft h a t , i to f f e r ss o m ep r o p o s a l sf o r c e r t i f i c a t i o np r o g r a mi no u rc o u n t r yi nt h ef u t u r e ，m a i n l yi n c l u d i n go fo r g a n i z a t i o n s y s t e ma n dh o w t oi n s p e c tt h eo p e r a t i o ne t e t h a ti st h ei n n o v a t i o no f t h i st h e s i s p e r s o n a li n f o r m a t i o np r o t e c t i o ni sn o to n l yn e e dt h ec o n c e r ni na c a d e m e ，b u t a l s on e e dt h ec o n c e r t ii nt h ew h o l es o c i e t y p e r s o n a li n f o r m a t i o np r o t e c t i o ni s s h o u l d e rh 洛v yr e s p o n s i b i l i t i e si no u rc o u n t r y k e yw o r d s ：p e r s o n a li n f o r m a t i o np r o t e c t i o n , n m n a g c m e n ts y s t e m ，c e r t i f i c a t i o n s y s t e m , p i p a i v 东北财经大学研究生学位论文原创性声明 本人郑重声明：此处所提交的硕士学位论文个人信息保护 认证管理机制研究，是本人在导师指导下，在东北财经大学攻读 硕士学位期间独立进行研究所取得的成果。据本人所知，论文中 除已注明部分外不包含他人已发表或撰写过的研究成果，对本文 的研究工作做出重要贡献的个人和集体均已注明。本声明的法律 结果将完全由本人承担。 作者签名 日期：0 年f f 月护 东北财经大学研究生学位论文使用授权书 个人信息保护认证管理机制研究系本人在东北财经大学 攻读硕士学位期间在导师指导下完成的硕士学位论文。本论文的 研究成果归东北财经大学所有，本沦文的研究内容不得以其他单 位的名义发表。本人完全了解东北财经大学关于保存、使用学位 论文的规定，同意学校保留并向有关部门送交论文的复印件和电 子版本，允许论文被查阅和借阅。本人授权东北财经大学，可以 采用影印、缩印或其他复制手段保存论文，可以公布论文的全部 或部分内容。 作者繇斟孵 新虢副裰一 导师签名：6 q 、为篷 日 臼 加驷 ， r 掣 钳 、r， 0 哆 肌 肌 绪论 绪论 互联网的迅速发展直接牵动了科技创新、信息产业的发展和知识经济的勃 兴。信息网络已逐渐成为经济繁荣、社会稳定和国家发展的基础。信息化深刻 影响着全球经济的整合、国家战略的调整和安全观念的转变。全球化和信息化 的潮流，给我国带来了难得的发展机遇同时也在国际斗争和国家安全方面提出 了严峻的挑战。信息安全闯题己从单纯的技术性问题变成事关国家安全的全球 性问题。而其中个人信息安全也逐渐引起了许多国家和组织的关注。 在信息社会，信息是社会的重要资源。随着信息设备与技术的发展，信息 的传输和共享变得更容易实现，大量信息的存储和复制越来越方便，使得个人 信息泄漏和非法利用的现象不断增加，许多企业和个人的利益受到很大损失。 据“友邦顾问市场调查( u p p o i n t ) ”2 0 0 7 年6 月的一项调查显示，8 9 的受访 者表示自己的个人信息曾被泄露过。在调查人群中，有9 6 的人表示。自己的 手机号码曾被泄鼹。主要表现为，经常接到来自陌生号码的短信息或电话，且 多以推销商品，提供服务为主。除经常被莫名其妙的电话骚扰外，个人信息泄 露后对自己造成的最大危害是对自身生活缺乏安全感。多数人认为买房买车时 留下的信息是泄露的主要途径。 个人信息保护早已引起世界许多国家和组织的高度重视，并纷纷采取了相 应的措施。而个人信息保护在我国还是一个新的概念，除了在法律领域相关学 者正在研究和制定相关法律的草案外，个人信息保护在我国其他领域的研究基 本是一片空白。加之我国公民和社会普遍缺乏个人信息保护意识，个入信息安 全受到严重的侵害。 随着全球经济一体化的大趋势，我国企业的国际交流和国际业务不断增多， 所以国际上对个人信息保护的关注直接影响着我国企业。与较重视个人信息保 护的国家进行项目合作和业务往来时，这些国家会鉴于我国个人信息保护的情 况，而优先选择实行个人信息保护的国家。因此，个人信息保护已成为国际业 务交流中一项重要的制衡条件。 面对信息技术的发展给个人信息保护带来的冲击，面对国际上个人信息保 个人信息保护认证管理机制研究 护工作给我国企业的影响，我们亟待解决的不仅仅是技术本身的问题，而更重 要的是建立有效的个人信息保护管理机制。另外，一个企业或者组织是否真正 做到了个人信息保护，不能凭这个企业或组织的商业承诺，而必须要有科学、 客观和正确的评判，所以完善个人信息保护评价认证体系是很有必要的。 那么，建立怎样的个人信息保护管理模式，如何建立这样的管理机制，如 何建立我国的个人信息保护评价认证体系，又如何指导企业做好个人信息保护 工作，将成为我国个人信息保护研究的重点，而现阶段我国在这方面的研究还 基本是个空白，仅有的几篇相关论文也只是对国外研究的归纳、总结、借鉴， 这说明我国对个人信息保护还未引起足够的重视，而这些正是本文将论述的内 容。 本文针对这些急需理论支持的闽题，采用从纵、横两个层面进行比较分析 的研究方法：纵向采用历史的方法，从分析个人信息的含义和特征入手，举例 说明了我国现阶段个人信息受到严重侵害的状况、保护个人信息的意义以及国 外个人信息保护的发展历程。横向采取比较的分析方法，通过比较、分析其他 国家目前个人信息保护的模式，借鉴国外先进立法经验，结合我国国情，提出 建立我国个人信息保护制度的构想。本文研究了怎样的个人信息保护模式适应 中国，立法规制还是行业自律，从而，探讨了具有我国特色个人信息保护管理 模式。并结合理论与实践，探讨了个人信息保护评价体系的建立问题，包括认 证标准的制定、认证的组织和管理等。本文不仅从理论上研究个人信息保护认 证的体系，还可以指导企业做好个人信息保护的管理工作。 希望本文的研究能丰富个人信息保护理论，为个人信息保护研究添砖加瓦， 起到抛砖引玉之目的。 2 第一章个人信息保护概述 第一章个人信息保护概述 1 1 个人信息概述 1 1 1个人信息的含义 个人信息( p e r s o n a li n f o r m a t i o n ) ，顾名思义是关于个人的信息，是指有关个 人的一切资料、数据，即指个人所拥有的与该个人直接关联的各种信息符号。 一方面包括其自身产生的信息，如年龄、收入、爱好等；另一方面包括非自身 产生的信息，主要是他人对该人的评价等。也可以根据其公开的程度分为两类， 一类是极其个人化、永远不能公开的个入信息，如信用卡号、财务状况等；另 一类是在某些范围和一定程度上公开的个人信息，如姓名、性别等。 网络时代的个人信息主要涵盖个人的信息以及经过数据加工处理后得到的 信息和网上活动、网上空间等方面的信息资料。其中，个人的信息指已被识别或 可被识别的个人相关的任何资料，当然也包括家庭的一些相关情况等。而网上活 动的数据资料，是指人们上网后被记录在案的、以数字化的形式存放在网站的数 据库中的，在虚拟空间所有活动轨迹的描述，以及商家将收集到的个人信息，经加 工处理，甚至使用数据挖掘等工具从中得到的有关个人消费习惯、购物偏爱、网 络行为分析、网上心理活动等信息。 1 1 ，2 与个人信息相关的概念 不同国家和地区对个人信息的表述不同，其中，我们不难发现与个人信息 相关的概念主要有两个，即隐私和个人数据。 1 隐私( p r i v a c y ) 隐私是近几年来频繁出现在我们生活中的词语。私：指个人的、秘密的、 不公开的；隐：是藏匿、不显露、藏在深处的意思；那么，在现代汉语词典 中，隐私就是指不愿告人的或不愿公开的个人的事情，或者说，与公共利益无 关的个人私生活秘密方面的事宜。在英文中，隐私为“p r i v a c y ”，是独处而不 受干扰，相对公开而言是秘密，或者说是隐蔽和不受干扰的意思。 3 个人信息保护认证管理机制研究 隐私的观念虽然在人类将自己的私密部位用树叶等遮挡起来的时候就产生 了，但随着社会的发展和观念的变化，隐私的概念在不断发展。在现代，隐私的 概念有了较严格的界定。按照法律的解释，隐私是与公共利益无关的个人私生 活秘密方面的事宜。它由私人信息、私人活动和私人空间所组成，涉及有关个 人的数据资料、个人行为以及附属于个人的空间领域等三个方面。其中：( 1 ) 个 人数据，指有关个人的资料。如肖像、身高、体重、指纹、声音、经历、个人 爱好、医疗记录、财务资料、般人事资料、家庭电话号码等。( 2 ) 个人活动， 指一切个人的、与公共利益无关的活动。如日常生活、通讯、社会交往、夫妻 之间的性生活、甚至婚外性关系以及一切私人不愿意公开的活动和事实等，都 属于隐私的范围。( 3 ) 个人空间，也称私人领域。个人空间隐私是指个人的隐私范 围，涉及属于个人的物理空间和心理空间。如身体的隐私部位、个人住所、旅 客的行李、学生的书包、日记、信件等。 从概念中可以看出，实际上构成隐私主要内容的是私人生活安宁与私人信 息。而私人信息与个人信息是同义语，一般不加区分。所以个人信息是属于个 人隐私的一部分，我们关注的个人信息安全实际上是隐私权保护的一部分。 2 个人数据( p e r s o n a ld a t a ) 在信息论中，数据是一组表示数量行动和目标的非随机的可鉴别的信号， 数据的中文解释，是进行各种统计、计算、科学研究或技术设计等所依据的数 值。英文中，“d a t a ”表示为数据，事实或资料，或者说是计算机处理的数据或 符号。而信息在信息论中，指用符号传送的报道，报道的内容是接收者预先不 知道的，通过数据加工处理后得到。从以上定义来看，信息对接收者而言即为 知识。英文中信息( i n f o r m a t i o n ) ，是指经过加工后的数据( d a t ao fd a t a ) ，它对接 收者的行为能产生影响，对接收者的决策具有价值，亦即知识或消息。 根据信息与数据两者之间的关系，一般认为个人数据属于个人信息的范围， 个人信息包含了个人数据。所谓个人数据，是指用来标识个人基本情况的一组 数据资料。从广义上来说，一切有关个人的数据都属于个人数据的范畴。 3 隐私、个人数据和个人信息的区别 由上文可以看到，个人数据和个人信息的区别并不大，就所有日常用途而 言，这两个术语可以有效地互换。只是在不同地区由于语言演化的原因，叫法 才有不同。就个人信息保护来说，在欧洲，从不说个人信息保护，总是说个人 4 第一章个人信息保护概述 数据保护；而在日本，却总是说个人信息保护。一般来讲，隐私问题的层次更 高，由隐私的定义可知，隐私所涉及的不仅仅是信息，隐私是要求别人不要打 扰自己的权利。个人信息保护是隐私权保护的一部分，它是关于个人信息的隐 私。这是在欧洲隐私和个人数据保护的区别。但是在美国，当谈到隐私时，经 常指的是在欧洲称之为个人数据保护的东西。两在我国，通常称之为个人信息 保护。 所以，不同的国家和地区关于个人信息保护的法律法规中对个人信息这一 概念的表述也不同。法国计算机与自由法规定个人数据或称个人记名信息， 是指不论以何种形式，可以直接或间接地使人认证信息所指的自然人身份的信 息，不论处理程序是由自然人还是法人进行；欧洲联盟数据保护规章则规定， 个人数据指有关一个被识别或可识别的自然人( 数据主体) 的任何信息；可以 识别的自然人是一个可以被证明，即可以直接或间接地，特别是通过对其身体 的、生理的、经济的、文化的、或生活身份的一项或多项的识别；1 9 9 8 年英国 数据保护法规定的比较全面，其指出个人数据指与可识别的活着的个人的 数据组合，包括数据管理者占有或可能占有的其他信息，任何关于该个人观点 的表述、数据管理者或与该个人有关的其他人意图的表示；我国台湾地区电 脑处理个人资料保护法则采用列举的方式，指明个人资料包括自然人的姓名、 出生年月日、身份证统一编号、特征、指纹、婚姻、家庭、教育、健康、病历、 财务状况、社会活动及其他足以识别该个人的资料；1 9 8 8 年日本个人信息保 护法则规定个人信息是关于生存着的个人的信息，包括姓名、出生年月及其 他一些能够用以识别特定个体的信息；而于2 0 0 6 年4 月1 日在我国大连地区施 行的大连软件及信息服务业个人信息保护规范则规定个人信息是指存在的 与个人相关的，并且可用于识别特定个人的信息，包括姓名、出生日期、分派 给个人的号码、标志以及其它符号，可以识别个人的图像或声音等。 1 1 3 个人信息的特征 。 1 广泛性 从广义上来说凡是与个人相关、能识别该个人的所有个人资料与数据都属 于个人信息范畴。个人信息包括所有与个人有关的信息，具体包括：身体物理 特征、感情、思想与观点；经济与财产状况；生活方式；身份信息；家庭与社 5 个人信息保护认证管理机制研究 会关系；从业经历、简历和个人档案材料；健康状况与病历；个人通信、日记 和其他私人文件、其他所有纯属私人内容的个人数据资料。【l l 2 可识别性 从个人信息的定义来看，可识别性是个人信息应有之义。这里之所以再次 提出是因为有些信息虽然与个人相关，但并不一定就具有可识别性。如将消费 者姓名删除后的购物记录，虽然该记录与消费者相关，但我们并不能凭借该记 录识别出该消费者。与个人利益密切相关者是那些能识别出该个体的信息，并 且只有那些信息对信息主体而言，才具有法律保护价值。各国对个人信息保护 无不强调个人信息的可识别性。 3 可分享性 “信息作为一种可利用的存在，为社会所共有。在一定的时间和空间，在一 定的范围与程度内，可以分享，不会为某单位或者个人永远占有。”1 2 同一内容 的信息可以在同一时间为两个或两个以上的信宿( 用户) 获得和使用。另外，“在 信息的传递过程中，接收方获得了信息，而发送方并没有失去信息。”【3 】信息的 分享是信息的传递反馈作用，信息的内容不断丰富。同时个人信息的可分享性 拓展了个人信息价值的发挥空间，也相应地增加了个人信息的保护难度。 4 可积累性 个人信息的可积累性包括两个方面的含义：旧有信息的保存和新信息的增 强，这就是说，信息的积累性与信息的可存储性有着极为密切的关系。这一特 性决定了人们可以采集信息，并进行加工、处理，并使得个人信息在信息时代 所蕴含的巨大的经济价值和社会价值得以实现成为可能，同时也凸显了个人信 息保护的法律意义。人类知识的不断丰富和扩充过程，实质上就是信息的积累 过程。 1 2 个人信息保护背景 随着社会生活日益走向开放，计算机技术和网络技术的不断发展，个人信 息保护的问题变得越来越突出。而个人信息保护的目的是为了维护个人权利， 促进个人信息的有序流动，所以个人信息保护主要是强调如何对个人信息的收 集、利用、保管、传播等行为进行管理，以及如何对个人信息的本身与作为信 6 第一章个人信息保护概述 息处理者的政府部门和非政府部门之间的关系进行调整。下面将通过说明个人 信息存在的不安全因素，得出个人信息的意义和涉及的领域。 1 2 1 个人信息不安全因素 2 0 0 7 年7 月发布的中国互联网络信息中心( c n n i c ) 所做的中国互联网 络发展状况统计报告中指出：截至2 0 0 p 7 年6 月，中国网民总人数达到1 6 2 亿，仅次于美国2 1 1 亿的网民规模，位居世界第二。与2 0 0 6 年末相比，新增 网民2 5 0 0 万，与2 0 0 6 年同期相比，网民数一年内增加了3 9 0 0 万人，中国网民 年增长率达到3 1 7 。而只有1 3 ( 3 5 1 ) 的网民表示对互联网信任。互联网 的迅速发展，造成了个人信息可能受到侵害或者个人信息不安全的因素越来越 多，可以归纳为： 1 个人信息的不合理收集 由于信息技术的发展，通过各种可以识别出个人或者同相关信息结合而可 识别出个人的信息，便可以勾画出一个人的全貌或者把握其某一方面的特征。 现实中，个别政府部门超出职权范围、一些非政府部门超出其业务目的收集利 用个人信息的现象随处可见。比如，一些学校以防范考试作弊、加强校内管理 为名，安装闭路电视监控设备，以至于学生的一举一动尽在其监控之内。 不合理地大量收集用户个人信息并随各在线服务商所愿而使用的情况在未 成年人中尤为严重。网站从毫无戒心的儿童那里套取信息，用于只有他们自己 才知道的目的，而很少想到要取得孩子父母的同意。比如，在1 9 9 8 年美国联邦， 贸易委员会( f t c ) 的一次调查中就发现，在所调查的2 1 2 个儿童网站中，8 9 的网站从儿童那里收集个人资料，超过半数的网站将这些数据用于自己的目的， 而只有2 3 的网站向孩子们“建议”在填写他们的姓名、住址等情况时先征得 父母的同意。 2 对个人信息的滥用 有些企业和个人将收集到的个人信息，存放在专门的数据库之中，然后根 据一定的商业目的，通过数据加工或数据挖掘等手段得到有价值的信息，这个 过程也可以称为“个人信息的二次开发利用”。对于这种开发利用，有些企业和 个人的出发点可能是好的，其目的主要是为了向用户提供更多的、更有针对性 的或者是更加持续的服务，但是不可否认也存在着一些企业和个人将这些信息 7 个人信思保护认证管理机制研究 用于合理的用途之外。比如：个别地方在制作各种形式的社保卡或其他电子卡 时，收集的个人信息有的多达1 0 0 多项，存在严重的滥用危险。 个人信息滥用的主要形式也包括将收集到的数据进行交易，这是较为典型 的个人信息滥用形式。2 0 0 0 年国内有关媒体报道了这样一个消息，即“某些网 站和公司向社会销售电子邮件地址”。他们在向客户自我推销的电子邮件中写 道：我们收集了全球3 4 0 0 万个电脑用户( 国内4 0 0 万用户) 、2 0 万家企业的电 子邮箱地址。这所有的一切您只需支付几十元人民币。以上所有的e - m a i l 地址 可在我们的网站下载，如果需用c d r 光碟交货，请加付由深圳到您所在地的 足够邮资。据业内人士称，尽管这类买卖往往声明禁止用其提供的资源进行与 国家法律相违背的违法活动，不许用这些资源发送垃圾邮件，但实际上，个人 邮件地址的买家大多用于发送商业性邮件，这种毫无约束力的声明无疑是自欺 欺人。 3 个人信息质量得不到保证 持有个人信息的内容必须是准确的，而不是虚假或过时的。个人信息并不 是一成不变的，有些信息如学历、婚姻、职业、健康状况等会随着时间的推移 而改变。由于个人对于有关组织所收集、保存的本人信息无权查阅，以至于对 于自己的哪些信息为他人所掌握、该信息是否与事实相符等往往无从把握，现 实中有关组织基于有误的个人信息而对本人做出各种决定的现象并不鲜见。例 如：一个人可能已经去世很久了，但他仍然每月收到百货公司寄给她的促销材 料；又如许多网上应聘者可能在找到工作半年后，还会接到其它公司的面试通 知。 4 个人信息安全的侵害 一旦顾客的个人信息进入企业的信息系统中，企业应采取必要的、有效的 安全措施，以保证个人信息尽量不受破坏，不被非法浏览。但是绝对的信息安 全是不存在的，在信息技术高度发展的今天，要求企业保证个人信息的万无一 失是不可能的，它们有可能受到来自多方面的攻击，如黑客、研究人员、犯罪 者、竞争对手等。例如一位名叫r a p h a e lg r a y 的1 8 岁青年黑客曾经侵入美国、 加拿大、日本、英国等国家的9 个电子商务站点，窃取了超过2 6 0 0 0 个信用卡 账户的信息，其中还包括号称世界首富的比尔盖茨的信用卡号。需要指出， 作为企业对个人信息虽然做不到“绝对安全”，也应当尽到谨慎从事的义务来保 g 第一章个人信息保护概述 证个人数据信息的“相对安全”。而实际上，许多企业对个人信息安全的意识并 不是太强。 1 2 2 个人信息保护重要性日益增强的社会背景 在现代社会中各种技术、经济、政治、文化因素交错纵横，成为了个人信 息重要性日益增强的社会背景。1 4 下面的内容以我国的情况为例分析论述各种 社会原因，与此同时我们不难看出这些情况与大多数发达国家具有或多或少的 共同点： 1 技术方面的因素 信息技术的迅猛发展是个人信息重要性日益增强的技术因素。由于互联网 的出现，收集和处理信息的成本急剧下降，各种政府、企业、组织可以通过互 联网简单快速地对目标人群的个人信息进行收集、处理、保存和交换。其实不 仅仅是组织，就连个人也在通过建立通讯录、地址录等形式收集保存对自己有 用的个人信息。例如我们在节日时通过电子邮件和短信传递祝福的形式已相当 普遍，而这些操作的前提是用电子方式在电脑或手机中记录并随时更新朋友的 电子邮件和手机号码。显然新技术的出现和发展对个人信息保护重要性的日益 增强必将起到深远而广泛的影响。 2 经济方面的因素 2 0 世纪7 0 年代后半期法国调整学派主张的“由规模生产到后规模生产” 的思潮和与之相符的市场变化成为了个人信息保护重要性日益增强的经济方面 因素。规模生产( 福特式生产方式) 简单来说是指大量生产某一标准化产品， 通过向消费者进行广泛宣传达到该产品大量消费的生产方式。其优点在于通过 标准化产品的规模生产大幅度降低了生产成本，从而降低了产品的售价。凭借 着规模生产方式，公众消费品得到了迅速的普及，但由于消费者的需要从单一 的普通消费品逐渐转向多样化的个性化消费品，规模生产方式从2 0 世纪6 0 年代末期开始逐步走向衰退。这样一来，收集目标消费群体的个人信息，了解 消费者的偏好和需求成为了企业市场营销活动的重要一环。 3 政治方面的因素 福利社会的发展和伴随着全球化的发展出现的各国壁垒的降低成为了个人 信息重要性日益增强的政治方面因素。当一个国家处于贫困之中，所谓的福利 9 个人信思保护认证管理机制研究 制度不过是以收入的再分配为主，但是伴随着经济的不断发展，国家逐步富强 之后，符合国民不同需要的、高水平的、细化的福利制度孕育而生。因此具体 地了解不同阶层的经济状况、生活水平等国民个人信息成为了有针对性的福利 制度出台的前提和保证。此外，伴随着人力、资源、金钱、信息等国际交往和 流通的日益增多，出现了企业及个人为了获取更高的经济利益而非法转移所得， 逃避纳税、洗钱、移民等不正当行为。从以上两个方面来说，能否掌握国民的 个人信息关系到国家的福利制度、纳税制度等政策制定的成败。 4 文化方面的因素 人们希望为自己建立广泛和谐的人际关系网，期待实现自我价值的这一愿 望成为了个人信息重要性日益增强的文化方面因素。理论普遍认为人的欲求是 一个从“缺乏行为动机”到“社会性欲求”再到“对自尊的欲求”的发展过程。 伴随着经济全球化和网络社会的发展，传统意义上的企业、学校、地区团体的 组织约束力日趋薄弱，人们开始寻求和探索新的人际关系网。互联网上个人主 页数量的剧增成为了这一文化变容的典型事例，人们通过在个人主页上发表作 品、日记、游记等，向世界展现自我才能、实现自我价值。 综上所述，技术、经济、政治和文化方面的各种因素相互交织成为了个人 信息重要性日益增强的主要社会背景。 1 2 3 个人信息保护的意义 1 保护个人的权利 由上文所述，由于信息技术的发展，个人信息存在许多不安全的因素，个 人信息的不合理收集、滥用和安全受到侵害等等。因而，当人们体味着信息化 给生活带来的种种便利的同时，又不得不面对个人生活空间逐步缩小的现实。 因此，随着信息化社会中大量个人信息被收集利用，必须尽快加强个人信息的 保护，从而保障每个公民的权利不被侵害。个人信息属个人隐私的一部分，如 不对个人信息加以保护，造成泄露、滥用等，将侵犯他人隐私，这不仅是不道 德的行为，还将构成犯罪。 2 力日强个人信息保护有利于促进信息的共享与自由流动 “个人信息保护一方面需要保护个人权利，另一方面，又不能阻碍正常的 信息流动，加大市场主体的交易成本，阻碍社会的进步。尤其在信息时代，信 i o 第一章个人信息保护概述 息作为战略性资源。其自由流动具有重要的基础性意义。如果对个人信息的保 护走入极端，势必使每一个人都成为一座座信息孤岛，全社会成为一盘散沙。 因此，要协调好个人信息保护与促进信息自由流动的关系，在这一对价值中， 偏废任何一个方面，都是不足取的。”p 】 在我国，部门之间信息封锁、缺少信息共享是非常普遍的现象。这种现象 的形成有着非常复杂的原因，其中的一个重要原因就是缺少对个人信息的充分 保护。因此，加强的个人信息保护，肯定能够大大促进信息共享与自由流动。 3 加强个人信息保护可以促进我国的电子商务和电子政务健康发展 随着信息化的不断发展，电子商务这一被称为2 l 世纪经济增长原动力的商 业模式在国民经济中的作用越来越重要，电子政务也已被视作建设高效、透明 政府的重要举措。在网上交易过程中，消费者的许多个人信息往往会在知情或 者不知情的情况下被商家收集。消费者往往因担心个人信息的安全而放弃进行 网上交易、仍旧选择传统交易方式，这在很大程度上制约着我国电子商务的发 展。同样，没有安全且值得信赖的个人信息保护体系，也就同样不可能建成值 得人们信赖的电子政府，我国的电子政务建设必将受到影响。可以说：个人信 息保护，是推进电子商务与电子政务的一项基础性工程。 4 力口强个人信息保护可以促进国际交往，在国际关系中保持主动 在国际舞台上，个人信息保护不仅是一个基