个人信息保护面临尴尬：对企业追责不够 立法分散

　　《中国经济周刊》 记者 银昕 青岛、北京报道

　　(本文刊发于《中国经济周刊》2018年第45期)

　　“从去年7月1日实施以来，《网络安全法》执法力度是很大的，但存在对企业主体追责不明确的问题。”11月1日，在青岛举办的中国保密技术交流大会上，360企业安全集团董事长齐向东首次评论“华住案”。

　　今年8月28日早上6时，一则华住旗下酒店开房记录疑似泄露，在网上明码标价出售的消息在网上流传。被售卖的数据包括华住官网注册资料，酒店入住登记身份信息，还有酒店开房记录等三类，总计近5亿条数据，合计大小141.5G。发帖者称以上数据全部打包价为8比特币，约为38万元人民币。

　　随后华住酒店集团向警方报案，上海警方随即介入调查。360企业安全集团作为技术支持者配合上海警方以技术手段进行侦查，并成功将犯罪嫌疑人抓捕归案。经查，犯罪嫌疑人利用黑客手段窃取华住集团旗下酒店数据并在境外网站兜售，但未交易成功。上海警方还表示，对该案中涉及未落实网络安全措施的责任主体单位，警方将依法予以查处。此后上海警方再未对外公布关于该案的具体内容和侦破过程。

　　齐向东对《中国经济周刊》记者说，《网络安全法》已经在个人信息保护的立法层面进行了比较全面的阐述，但仍有对企业主体追责不够的遗憾，这部分遗憾需要在更加细致的《个人信息保护法》中加以落实。

　　中国消费者协会今年8月发布的《APP信息泄露情况调查报告》显示，我国个人信息泄露总体情况比较严重，遇到过个人信息泄露情况的人数占比为85.2%，没有遇到过个人信息泄露情况的人数占比为14.8%。

　　对我国何时能有一部专门的《个人信息保护法》的讨论随之而来。就此话题《中国经济周刊》记者对相关人士和立法专家进行了采访。

　　《个人信息保护法》 进入立法议程

　　虽然上海市公安局在公告中称“对该案中涉及未落实网络安全措施的责任主体单位警方将依法予以查处”，但《网络安全法》只在相关章节规定了网络运营主体和数据控制方对保护个人信息所负的法律义务，并未规定企业面临的法律后果。

　　《中国经济周刊》记者检索公开资料发现，截至目前，“华住案”中未落实网络安全措施的责任主体单位华住酒店集团，尚未有受到任何处罚及查处的消息。

　　齐向东认为，作为泄密单位，华住酒店集团给用户造成的损失是不可挽回的，它应该承担什么样的责任，法律上有要求但细节和细则落实不到位。

　　360企业安全集团总裁吴云坤则对记者表示，目前掌握个人信息最多的不是个人用户本地的存储，也不是政府部门，而是企业，“特别是使用频次很高的产品背后的企业，比如微信、支付宝和其他网购平台，所以保护企业所掌握的个人信息其实就是在保护绝大部分的个人信息。”

　　就在9月10日，《个人信息保护法》被写入十三届全国人大常委会立法规划(共116件)的第一类项目，即条件比较成熟、任期内拟提请审议的法律草案，立法的地位和优先级有了巨大提升。

　　从事个人信息保护研究工作的中国人民大学金融科技与互联网安全研究中心主任杨东告诉《中国经济周刊》记者，《个人信息保护法》主要的立法目的就是强化企业的责任，“个人信息泄露的主要出口就是企业的不规范操作。”

　　立法分散是目前个人信息保护的另一个尴尬。国务院信息化办公室从2003年起就开始部署个人信息保护法立法研究工作；2009年修订通过的《刑法修正案(七)》对非法窃取、出售、泄露个人信息的行为作出了规定，《刑法修正案(九)》还设置了非法获取公民个人信息的罪名。除《网络安全法》外，个人信息保护的内容还出现在《民法总则》《消费者权益保护法》《电子商务法》和《全国人民代表大会常务委员会关于加强网络信息保护的决定》等近40部法律、30余部法规和200部规章制度中。“目前的法律现实是对个人信息保护的规定十分分散，缺乏系统性、严谨性和逻辑性，也没有清晰的流程。”杨东说。

　　相关企业将配置部门管理个人信息

　　值得注意的是，在《网络安全法》生效后不久，一则由全国信息安全标准化技术委员会制定的《个人信息安全规范》(下称“《规范》”)从2017年底开始在各互联网公司等数据控制方中悄然流行。《规范》按照《网络安全法》所规定的原则进行的更加细致的规定，很多企业为避免违反《网络安全法》，就将《规范》作为其业务执行的标准。

　　《规范》明确了个人信息的边界和范围，即关联路径和识别路径下的个人信息同属应被保护的范畴。所谓关联路径是指不能直接识别出某个特定的自然人，但包含了特定自然人的大量行为和习惯数据，如聊天记录，购物记录，经常使用的行车路线和好友名单等的数据，对该段数据进行分析之后可以关联到特定的自然人；所谓识别路径，是指可直接识别出特定自然人的信息，如手机号码、身份证号码和其他证件号码等。

　　以微信、微博和人人网等社交网站为例，在《规范》出台之前，其只将包含用户识别路径下的信息加以保护，而将用户关联路径下的个人信息作为网络运行日志保存而非个人信息对待，这种做法在《规范》的指引下得到了纠正。

　　《规范》还要求规模在200人以上，或处理超过50万人的个人信息的企业设立专职负责人和部门管理个人信息的保护问题。按此标准，零售业巨头阿里巴巴、京东以及社交领域的微信、微博和QQ无一例外都需建立这一部门。根据《中国经济周刊》记者的了解，属医疗行业的丁香园在2018年初已将该负责人部署到位，零售巨头京东和属网络安全领域的360集团早年间就设立了类似的部门。

　　《个人信息保护法》是否会沿用《规范》当中的内容？抑或与时俱进地做出调整？杨东对《中国经济周刊》记者表示，与《个人信息保护法》相比，《规范》更倾向于是对从业者的一种业务层面的“建议”，“不一定所有内容都会进入法律，法律也没有必要过分具体地落地到业务操作层面的规定。但《规范》中一些十分成熟的条文很有可能被法律吸收进来。”杨东说。