總體國家安全觀視角下個人信息保護機制研究

近年來，我國個人信息泄露事件頻繁發生，嚴重的甚至會影響國家安全。目前，理論界對兩者相互影響機制尚不明確。如何厘清個人信息與國家安全的關系以及泄露后對國家安全的影響，構建起既維護國家安全又保護個人信息的工作機制，已成為保密工作中亟待解決的重要課題。

一、個人信息的概念與內容

（一）個人信息的概念厘定

目前，我國尚未制定專門的個人信息保護法，相關規定散見于各部門法，主要有《民法總則》《刑法》《網絡安全法》《居民身份證法》等，初步呈現出刑事、民事與行政齊頭并進的趨勢。然而在法律層面，個人信息概念尚處于模糊狀態，僅《網絡安全法》第76條規定，“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”。這一概念具有合理性，但受網絡管理業務局限，無法涵蓋個人信息完整內涵與外延。在學理上，我國法學界對個人信息的研究主要集中在私法領域，將其與“個人資料”“個人數據”“信息隱私”等概念混用，存在話語體系不統一問題。本文以《網絡安全法》第76條為核心，將個人信息概念擴展為“與自然人相關聯的、可以識別其身份的任何信息，包括個人基本信息、注冊信息、設備信息和活動信息、社會關系信息、網上行為信息等”。

（二）個人信息的主要內容

在現代社會，個人信息是動態變化的范疇，其隨著大數據、云計算等信息技術發展，不斷增加新的內容�；�于前述厘定“個人信息”概念，其具體內容至少包括以下6方面：一是個人基本信息，包括個人姓名、性別、年齡、住址、出生日期、身份證號等；二是個人注冊信息，包括電話號碼、EMAIL等通信信息，銀行賬戶、支付寶等電子支付信息，微信、QQ等社交媒體信息等；三是個人設備信息，包括計算機、手機、IPAD、便攜式電子設備等信息設備的IP地址、GPS位置等；四是個人活動信息，包括個人日記、通訊錄、通話信息、短信記錄、備忘錄等；五是個人社會關系信息，包括家庭關系、社交范圍、工作履歷、人事記錄等；六是個人網上行為信息，包括上網時間地點、網上購物記錄、瀏覽記錄、搜索記錄、輸入法記錄、網絡聊天記錄等。

二、個人信息與國家安全的關聯性分析

（一）重構個人信息的“二維結構”

根據傳統保密工作理論，個人信息與國家安全界分明確：一是兩者屬性不同。個人信息屬于私權利范疇；國家安全屬于公權力范疇。二是兩者主體不同。個人信息歸屬于自然人，屬于自然人的當然權利；涉及國家安全信息屬于國家，關系國家利益。三是兩者內容不同。個人信息限于個人事務；國家安全涉及公共事務。隨著信息化和大數據及人工智能不斷發展，個人信息與國家安全關系越來越緊密，兩者經常呈現出相互交織、相互影響的狀態。

在邏輯上，個人信息按照不同標準，可以劃分為不同類別。目前，學術界關于個人信息的分類多達6種，但相關分類所依據的均為一維的、扁平的標準。對個人信息中涉及國家安全內容作溯因性分析，個人信息與國家安全的關聯程度高低主要受兩個因素的影響：一是個人信息主體的身份，究竟是涉密人員還是非涉密人員；二是個人信息內容的敏感程度，究竟是個人敏感信息還是個人一般信息。以這兩個因素為標準，對個人信息進行二次分類，可以形成既區分信息主體又區分信息內容的“二維結構”：即涉密人員個人敏感信息、非涉密人員個人敏感信息、涉密人員個人一般信息和非涉密人員個人一般信息。此處需要說明的是，作為我國首部個人信息保護國家標準，2012年發布的《個人信息保護指南》已提出將個人信息分為個人敏感信息和個人一般信息；2017年發布的《個人信息安全規范》也從國家標準層面界定和列舉了個人敏感信息的內涵和外延。因此，有學者在現行規定基礎上，結合信息泄露是否會導致重大傷害、給信息主體帶來傷害的概率、社會大多數人對某類信息的敏感度3個因素綜合考量，將健康信息、性生活和性取向、身份證件號碼、金融信息、政治意見、通信信息、基因信息、生物特征信息、精確地理位置列為個人敏感信息。

（二）“二維結構”下個人信息與國家安全的同一性

一是涉密人員個人敏感信息直接關系國家安全。一方面，一些特定人員的個人敏感信息，可能基于國家安全和利益的考量，被納入國家秘密定密事項范圍。比如，在國家面臨政治動蕩、國家間出現戰爭沖突等情況下，一國領導人的身體疾患等情況可能作為國家秘密受到特別保護，以防止這些個人信息公布后對國家安全和利益造成風險和損害。另一方面，有的涉密人員個人敏感信息雖然不屬于國家秘密，但與國家安全高度相關。如，斯特拉瓦（Strava）公司根據其開發的戶外運動App，制作發布了一幅“全球運動熱力地圖”，涉及GPS位置記錄的軍人跑步或者騎行路線，導致美國、俄羅斯等國設在敘利亞、阿富汗等地的秘密軍事基地等涉密信息先后被披露。

二是涉密人員個人一般信息與國家安全亦有關聯。涉密人員在涉密崗位工作，在日常工作中產生、經管或者經常接觸、知悉國家秘密事項，這決定了其言行舉止與國家安全存在千絲萬縷的聯系。即使涉密人員個人一般信息有大概率不涉及國家秘密，仍然有可能通過兩兩結合、相互印證的方式，間接關聯到國家安全。如，有關部門在工作中發現，境外黑客組織通過對某涉密單位工作人員在互聯網上發布的數項個人一般信息進行分析，定位該工作人員所用互聯網計算機，進而實施網絡攻擊，竊取機內存儲的相關個人敏感信息和工作文件資料，導致該單位有關敏感資料泄露，造成的負面影響不可輕視。

三是大規模的非涉密人員個人敏感信息可能與國家安全有關。當前，非涉密人員個人敏感信息存儲越來越集中，其與國家安全的邊界越來越模糊、相互關聯越來越密切，已成為現代情報獲取的“新石油”。據國外媒體報道，劍橋分析公司通過分析5000余萬臉書用戶政治傾向等數據，借助臉書的廣告投放系統，向這些用戶定向推送誘導性新聞，影響他們的投票行為，在美國大選和英國脫歐事件中發揮重要作用。又如，美國中央情報局開源情報中心（OpenSourceCenter）的數據挖掘系統可以自動使用30種語言，瀏覽20萬個網站和社交媒體站點提取在線評論以及時掌握事態發展并進行預測，幫助決策者快速準確了解當前事態變化以及未來發展趨勢。

三、個人信息泄露對國家安全的影響

（一）個人信息泄露與政治安全

政治安全是國家安全的前提和基礎。只有確保政治安全，才能有效維護和實現經濟、科技、文化、生態等其他領域的安全。隨著信息技術發展，大數據時代到來，個人信息泄露所帶來的挑戰和威脅與日俱增，其引發的政治安全問題在很大程度上已經超越了傳統安全領域。在一定條件下，泄露的相關個人信息數據有可能被敵對勢力所利用，使其得以在網上與一些不法群體勾聯，有針對性地開展爭奪人心工作，甚至直接指使開展刺探、竊取、非法提供國家秘密活動。尤其要注意的是，互聯網具有強大的組織動員能力和聚焦放大效應，對于大規模個人信息數據的泄露、收集和利用，一旦遇到敏感事件的刺激，就可能爆發出驚人的破壞力量，對政治安全產生嚴重危害，甚至導致國家政權的更迭。這從烏克蘭、格魯吉亞、吉爾吉斯斯坦等國家爆發的“顏色革命”中已經可以得到印證。

（二）個人信息泄露與經濟安全

經濟在國家發展中具有極其重要的地位，是決定國際關系格局變化和國家綜合競爭力、影響力的關鍵因素。在經濟決策和運行中，個人信息數據的總體分析對國家經濟安全和經濟發展的重要性越來越強，成為影響經濟安全的重要因素。如，美國最大的零售企業Target公司儲有7000萬顧客姓名、地址、電話、郵件、信用卡和儲蓄卡等信息的數據庫遭黑客攻擊，大量數據泄露，全美1797家商場無一幸免，社會經濟受到嚴重影響。在我國，隨著互聯網經濟快速發展，網絡貿易、網絡金融、網絡購物成為生活常態，個人信息數據被各平臺運營商、供應商收集、掌握，技術防護水平參差不齊，成為對國家經濟安全有重大影響的“定時炸彈”。據有關部門披露，僅2016年因個人信息泄露、垃圾短信等遭受的總體經濟損失高達915億元，對此必須高度警惕，防止發生行業癱瘓、金融紊亂等情況。

（三）個人信息泄露與社會安全

社會安全是國家安全的重要內容，是社會安定的“風向標”，其涉及防范、消除、控制直接威脅社會公共秩序和人民群眾生命財產安全的治安、刑事、暴力恐怖事件，以及規模較大的群體性事件等。在大數據時代，個人信息泄露后擴散的范圍、用途及后果無法預判，給社會秩序帶來嚴重不可控因素。特別是當前，我國發生的竊取公民個人信息、電信詐騙等新型網絡犯罪數量不斷增加，網上交易個人信息亂象屢禁不止，嚴重影響了社會公眾的安全感。如，通過事先掌握個人信息實施的精準詐騙，其欺騙性和危害性成倍增長，犯罪分子一旦掌握了個人信息，就有能力竊取人們在網絡上的虛擬身份，冒名頂替實施詐騙。據《人民日報》報道，許多境內外的網絡犯罪團伙將目標瞄準了我國公民個人信息，竊取了數以億計的個人信息，形成交易個人信息的地下產業，對我國社會安全造成嚴重的現實和潛在危害。

四、構建個人信息保護機制的建議

第一，保密制度層面。建議盡快建立健全涉密人員個人信息保護相關規定，明確涉密人員個人敏感信息、個人一般信息的管理要求，輔助其他已有的刑事、民事、行政法律法規，完善的個人信息法律保護體系。進一步完善涉密人員個人信息相關國家秘密事項范圍規定，進一步明確哪些主體、哪些信息屬于國家秘密或者工作秘密，及時將這部分人員信息納入保密工作直接管理的范圍。推動修訂《個人信息保護指南》《個人信息安全規范》，增加保密管理內容，明確個人敏感信息的收集、使用規則，為機關、單位和相關企業提供行為規范。

第二，保密管理層面。建議對由于個人信息泄露導致國家秘密泄露或者失控的案件進行倒查，依法依紀追究責任，并針對暴露的問題，分析原因，健全制度，嚴格管理，采取補救措施，盡量減少損失。督促涉密人員所在機關、單位加強涉密人員個人信息管理，科學、合理劃定國家秘密事項范圍，從管理措施、技術防護等方面采取綜合措施，形成綜合防護體系。對收集、處理個人信息數據的機關、單位和企業，按照“誰主管、誰負責”原則，進一步嚴格保密管理要求，強化技術防護，防止因大規模個人信息數據泄露影響國家安全。

第三，保密指導層面。建議加強面向公眾的保密宣傳教育，宣傳依法保護個人信息的重要性，樹立防范個人信息被非法采集、傳播等思想意識，引導人們提高自我保護意識，養成謹慎使用第三方應用軟件等良好習慣，有效保護自身個人信息。引導互聯網運營者樹立行業自律規范，明確收集、使用個人信息應當遵循合法、正當、必要原則，不得收集與其提供服務無關的信息，不得違反法律法規規定和雙方約定收集、使用個人信息，加強技術防護，依法保存個人信息。借鑒國外的做法，試點在一些機關、單位和企業設立“首席信息安全官”，把個人信息安全責任落實到相應部門和負責人，健全信息泄露的問責機制。

 

（原載于《保密科學技術》雜志2018年11月刊）