近年来,我国个人信息泄露事件频繁发生,严重的甚至会影响国家安全。目前,理论界对两者相互影响机制尚不明确。如何厘清个人信息与国家安全的关系以及泄露后对国家安全的影响,构建起既维护国家安全又保护个人信息的工作机制,已成为保密工作中亟待解决的重要课题。
一、个人信息的概念与内容
(一)个人信息的概念厘定
目前,我国尚未制定专门的个人信息保护法,相关规定散见于各部门法,主要有《民法总则》《刑法》《网络安全法》《居民身份证法》等,初步呈现出刑事、民事与行政齐头并进的趋势。然而在法律层面,个人信息概念尚处于模糊状态,仅《网络安全法》第76条规定,“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。这一概念具有合理性,但受网络管理业务局限,无法涵盖个人信息完整内涵与外延。在学理上,我国法学界对个人信息的研究主要集中在私法领域,将其与“个人资料”“个人数据”“信息隐私”等概念混用,存在话语体系不统一问题。本文以《网络安全法》第76条为核心,将个人信息概念扩展为“与自然人相关联的、可以识别其身份的任何信息,包括个人基本信息、注册信息、设备信息和活动信息、社会关系信息、网上行为信息等”。
(二)个人信息的主要内容
在现代社会,个人信息是动态变化的范畴,其随着大数据、云计算等信息技术发展,不断增加新的内容。基于前述厘定“个人信息”概念,其具体内容至少包括以下6方面:一是个人基本信息,包括个人姓名、性别、年龄、住址、出生日期、身份证号等;二是个人注册信息,包括电话号码、EMAIL等通信信息,银行账户、支付宝等电子支付信息,微信、QQ等社交媒体信息等;三是个人设备信息,包括计算机、手机、IPAD、便携式电子设备等信息设备的IP地址、GPS位置等;四是个人活动信息,包括个人日记、通讯录、通话信息、短信记录、备忘录等;五是个人社会关系信息,包括家庭关系、社交范围、工作履历、人事记录等;六是个人网上行为信息,包括上网时间地点、网上购物记录、浏览记录、搜索记录、输入法记录、网络聊天记录等。
二、个人信息与国家安全的关联性分析
(一)重构个人信息的“二维结构”
根据传统保密工作理论,个人信息与国家安全界分明确:一是两者属性不同。个人信息属于私权利范畴;国家安全属于公权力范畴。二是两者主体不同。个人信息归属于自然人,属于自然人的当然权利;涉及国家安全信息属于国家,关系国家利益。三是两者内容不同。个人信息限于个人事务;国家安全涉及公共事务。随着信息化和大数据及篮球比分不断发展,个人信息与国家安全关系越来越紧密,两者经常呈现出相互交织、相互影响的状态。
在逻辑上,个人信息按照不同标准,可以划分为不同类别。目前,学术界关于个人信息的分类多达6种,但相关分类所依据的均为一维的、扁平的标准。对个人信息中涉及国家安全内容作溯因性分析,个人信息与国家安全的关联程度高低主要受两个因素的影响:一是个人信息主体的身份,究竟是涉密人员还是非涉密人员;二是个人信息内容的敏感程度,究竟是个人敏感信息还是个人一般信息。以这两个因素为标准,对个人信息进行二次分类,可以形成既区分信息主体又区分信息内容的“二维结构”:即涉密人员个人敏感信息、非涉密人员个人敏感信息、涉密人员个人一般信息和非涉密人员个人一般信息。此处需要说明的是,作为我国首部个人信息保护国家标准,2012年发布的《个人信息保护指南》已提出将个人信息分为个人敏感信息和个人一般信息;2017年发布的《个人信息安全规范》也从国家标准层面界定和列举了个人敏感信息的内涵和外延。因此,有学者在现行规定基础上,结合信息泄露是否会导致重大伤害、给信息主体带来伤害的概率、社会大多数人对某类信息的敏感度3个因素综合考量,将健康信息、性生活和性取向、身份证件号码、金融信息、政治意见、通信信息、基因信息、生物特征信息、精确地理位置列为个人敏感信息。
(二)“二维结构”下个人信息与国家安全的同一性
一是涉密人员个人敏感信息直接关系国家安全。一方面,一些特定人员的个人敏感信息,可能基于国家安全和利益的考量,被纳入国家秘密定密事项范围。比如,在国家面临政治动荡、国家间出现战争冲突等情况下,一国领导人的身体疾患等情况可能作为国家秘密受到特别保护,以防止这些个人信息公布后对国家安全和利益造成风险和损害。另一方面,有的涉密人员个人敏感信息虽然不属于国家秘密,但与国家安全高度相关。如,斯特拉瓦(Strava)公司根据其开发的户外运动App,制作发布了一幅“全球运动热力地图”,涉及GPS位置记录的军人跑步或者骑行路线,导致美国、俄罗斯等国设在叙利亚、阿富汗等地的秘密军事基地等涉密信息先后被披露。
二是涉密人员个人一般信息与国家安全亦有关联。涉密人员在涉密岗位工作,在日常工作中产生、经管或者经常接触、知悉国家秘密事项,这决定了其言行举止与国家安全存在千丝万缕的联系。即使涉密人员个人一般信息有大概率不涉及国家秘密,仍然有可能通过两两结合、相互印证的方式,间接关联到国家安全。如,有关部门在工作中发现,境外黑客组织通过对某涉密单位工作人员在互联网上发布的数项个人一般信息进行分析,定位该工作人员所用互联网计算机,进而实施网络攻击,窃取机内存储的相关个人敏感信息和工作文件资料,导致该单位有关敏感资料泄露,造成的负面影响不可轻视。
三是大规模的非涉密人员个人敏感信息可能与国家安全有关。当前,非涉密人员个人敏感信息存储越来越集中,其与国家安全的边界越来越模糊、相互关联越来越密切,已成为现代情报获取的“新石油”。据国外媒体报道,剑桥分析公司通过分析5000余万脸书用户政治倾向等数据,借助脸书的广告投放系统,向这些用户定向推送诱导性新闻,影响他们的投票行为,在美国大选和英国脱欧事件中发挥重要作用。又如,美国中央情报局开源情报中心(OpenSourceCenter)的数据挖掘系统可以自动使用30种语言,浏览20万个网站和社交媒体站点提取在线评论以及时掌握事态发展并进行预测,帮助决策者快速准确了解当前事态变化以及未来发展趋势。
三、个人信息泄露对国家安全的影响
(一)个人信息泄露与政治安全
政治安全是国家安全的前提和基础。只有确保政治安全,才能有效维护和实现经济、科技、文化、生态等其他领域的安全。随着信息技术发展,大数据时代到来,个人信息泄露所带来的挑战和威胁与日俱增,其引发的政治安全问题在很大程度上已经超越了传统安全领域。在一定条件下,泄露的相关个人信息数据有可能被敌对势力所利用,使其得以在网上与一些不法群体勾联,有针对性地开展争夺人心工作,甚至直接指使开展刺探、窃取、非法提供国家秘密活动。尤其要注意的是,互联网具有强大的组织动员能力和聚焦放大效应,对于大规模个人信息数据的泄露、收集和利用,一旦遇到敏感事件的刺激,就可能爆发出惊人的破坏力量,对政治安全产生严重危害,甚至导致国家政权的更迭。这从乌克兰、格鲁吉亚、吉尔吉斯斯坦等国家爆发的“颜色革命”中已经可以得到印证。
(二)个人信息泄露与经济安全
经济在国家发展中具有极其重要的地位,是决定国际关系格局变化和国家综合竞争力、影响力的关键因素。在经济决策和运行中,个人信息数据的总体分析对国家经济安全和经济发展的重要性越来越强,成为影响经济安全的重要因素。如,美国最大的零售企业Target公司储有7000万顾客姓名、地址、电话、邮件、信用卡和储蓄卡等信息的数据库遭黑客攻击,大量数据泄露,全美1797家商场无一幸免,社会经济受到严重影响。在我国,随着互联网经济快速发展,网络贸易、网络金融、网络购物成为生活常态,个人信息数据被各平台运营商、供应商收集、掌握,技术防护水平参差不齐,成为对国家经济安全有重大影响的“定时炸弹”。据有关部门披露,仅2016年因个人信息泄露、垃圾短信等遭受的总体经济损失高达915亿元,对此必须高度警惕,防止发生行业瘫痪、金融紊乱等情况。
(三)个人信息泄露与社会安全
社会安全是国家安全的重要内容,是社会安定的“风向标”,其涉及防范、消除、控制直接威胁社会公共秩序和人民群众生命财产安全的治安、刑事、暴力恐怖事件,以及规模较大的群体性事件等。在大数据时代,个人信息泄露后扩散的范围、用途及后果无法预判,给社会秩序带来严重不可控因素。特别是当前,我国发生的窃取公民个人信息、电信诈骗等新型网络犯罪数量不断增加,网上交易个人信息乱象屡禁不止,严重影响了社会公众的安全感。如,通过事先掌握个人信息实施的精准诈骗,其欺骗性和危害性成倍增长,犯罪分子一旦掌握了个人信息,就有能力窃取人们在网络上的虚拟身份,冒名顶替实施诈骗。据《人民日报》报道,许多境内外的网络犯罪团伙将目标瞄准了我国公民个人信息,窃取了数以亿计的个人信息,形成交易个人信息的地下产业,对我国社会安全造成严重的现实和潜在危害。
四、构建个人信息保护机制的建议
第一,保密制度层面。建议尽快建立健全涉密人员个人信息保护相关规定,明确涉密人员个人敏感信息、个人一般信息的管理要求,辅助其他已有的刑事、民事、行政法律法规,完善的个人信息法律保护体系。进一步完善涉密人员个人信息相关国家秘密事项范围规定,进一步明确哪些主体、哪些信息属于国家秘密或者工作秘密,及时将这部分人员信息纳入保密工作直接管理的范围。推动修订《个人信息保护指南》《个人信息安全规范》,增加保密管理内容,明确个人敏感信息的收集、使用规则,为机关、单位和相关企业提供行为规范。
第二,保密管理层面。建议对由于个人信息泄露导致国家秘密泄露或者失控的案件进行倒查,依法依纪追究责任,并针对暴露的问题,分析原因,健全制度,严格管理,采取补救措施,尽量减少损失。督促涉密人员所在机关、单位加强涉密人员个人信息管理,科学、合理划定国家秘密事项范围,从管理措施、技术防护等方面采取综合措施,形成综合防护体系。对收集、处理个人信息数据的机关、单位和企业,按照“谁主管、谁负责”原则,进一步严格保密管理要求,强化技术防护,防止因大规模个人信息数据泄露影响国家安全。
第三,保密指导层面。建议加强面向公众的保密篮球比分,宣传依法保护个人信息的重要性,树立防范个人信息被非法采集、传播等思想意识,引导人们提高自我保护意识,养成谨慎使用第三方应用软件等良好习惯,有效保护自身个人信息。引导互联网运营者树立行业自律规范,明确收集、使用个人信息应当遵循合法、正当、必要原则,不得收集与其提供服务无关的信息,不得违反法律法规规定和双方约定收集、使用个人信息,加强技术防护,依法保存个人信息。借鉴国外的做法,试点在一些机关、单位和企业设立“首席信息安全官”,把个人信息安全责任落实到相应部门和负责人,健全信息泄露的问责机制。
(原载于《保密科学技术》杂志2018年11月刊)