求是網(wǎng)：李克強(qiáng)總理在十二屆全國人大三次會議上所做的政府工作報(bào)告中指出，政府要加強(qiáng)事中事后監(jiān)管，健全為企業(yè)和社會服務(wù)一張網(wǎng)，推進(jìn)社會信用體系建設(shè)，建立全國統(tǒng)一的社會信用代碼制度和信用信息共享平臺，依法保護(hù)企業(yè)和個人的信息安全，您是怎樣理解總理這段話的？ 

　　馮�。菏�八屆四中全會黨中央提出了全面推進(jìn)依法治國的重大決策，全面推進(jìn)依法治國是和每一個人的日常生活密切相關(guān)的，尤其涉及到個人信息安全問題，在大數(shù)據(jù)建設(shè)中重視個人信息安全、保護(hù)個人隱私就是全面推進(jìn)依法治國的具體體現(xiàn)。所以，李克強(qiáng)總理在政府工作報(bào)告中對這一問題做了專門的闡述與部署。 

　　求是網(wǎng)：您認(rèn)為目前個人信息安全存在哪些問題？在現(xiàn)實(shí)生活中有哪些表現(xiàn)？ 

　　馮俊：前不久，手機(jī)微信中流傳著一個段子：“一個故事告訴你什么是大數(shù)據(jù)時代？”說的是一快餐店的客服人員接到一個顧客要求送外賣的電話并告知會員卡號后，馬上說出了顧客的住址、家庭電話、辦公電話和手機(jī)號碼；當(dāng)顧客點(diǎn)完菜之后，客服人員又根據(jù)顧客本人醫(yī)院體檢記錄、他母親住院記錄、圖書館借書記錄說出哪些菜不適合他們家人；當(dāng)顧客想要刷卡時，客服人員又說出了他的銀行卡透支了多少、當(dāng)日提現(xiàn)款超過限額等情況；當(dāng)顧客要求把外賣送到何處時，客服人員則通過全球定位系統(tǒng)的車輛自動跟蹤系統(tǒng)記錄說出了顧客的摩托車車牌號和此時正在行駛的路段等，顧客聽完后當(dāng)即暈倒。…… 

　　這是一則笑話，但是它把大數(shù)據(jù)時代個人信息安全得不到保障、個人隱私蕩然無存的狀況活生生地表現(xiàn)出來了。而在現(xiàn)實(shí)中，此事未必是笑談。 

　　求是網(wǎng)：您剛才提到大數(shù)據(jù)和個人信息安全管理，您認(rèn)為大數(shù)據(jù)建設(shè)中凸顯了哪些個人信息安全問題？ 

　　馮俊：智慧城市建設(shè)大大加速了大數(shù)據(jù)的生產(chǎn)，由于城市公共信息平臺匯集了城市的地理空間信息、人口信息、經(jīng)濟(jì)信息、信用信息、政務(wù)信息等各種信息資源，因此，這些大數(shù)據(jù)無疑已成為國家重要的戰(zhàn)略資源。個人信息是大數(shù)據(jù)中的重要組成部分，也是各種信息平臺都希望采集的重要資源。大數(shù)據(jù)要采集大量的個人信息，涉及到許許多多的個人隱私。在日常生活中，我們都能感受到，每當(dāng)我們安裝一個手機(jī)客戶端時，軟件都會要求讀取通訊錄信息、位置信息等；當(dāng)我們使用電商網(wǎng)站服務(wù)時，經(jīng)常需要填寫真實(shí)姓名、出生年月、家庭住址、聯(lián)系電話等個人信息。因此，商業(yè)網(wǎng)站掌握著我們的購物習(xí)慣；銀行等金融服務(wù)部門掌握著我們的資產(chǎn)信息和資金往來情況；社交網(wǎng)絡(luò)運(yùn)營商掌握著我們衣食住行的各種細(xì)節(jié)……除此之外，其他的政府部門和公共服務(wù)機(jī)構(gòu)如稅務(wù)部門、教育機(jī)構(gòu)、保險公司等也會在行政管理和提供服務(wù)的過程中收集公民的諸如收入、教育、身體狀況等數(shù)據(jù)。商業(yè)公司掌握客戶的個人數(shù)據(jù)固然有助于為客戶提供更有針對性的服務(wù)，但是，如果對這些收集數(shù)據(jù)的行為與收集的數(shù)據(jù)不加以規(guī)范，一旦與互聯(lián)網(wǎng)傳播相結(jié)合，將會導(dǎo)致嚴(yán)重的侵害個人權(quán)利的行為。從媒體的報(bào)道得知，個人信息泄露事件時有發(fā)生。僅以2014年為例，某鐵路客戶服務(wù)中心網(wǎng)站再次爆出用戶賬號串號的問題，大量用戶身份證等信息遭泄露；某電子商務(wù)公司前員工將20G用戶資料販賣給電商公司、數(shù)據(jù)公司；某酒店管理公司泄露數(shù)以千萬的開房信息；還有報(bào)考研究生信息被出售，涉及考研用戶的姓名、手機(jī)、身份證、地址、學(xué)校等敏感數(shù)據(jù)等等；這些事件不能不讓我們擔(dān)憂個人的信息安全問題。 

　　求是網(wǎng)：您認(rèn)為是什么原因?qū)е铝藗�人信息的泄露？ 

　　馮�。簭哪壳暗默F(xiàn)狀來看，個人信息的泄露存在著下述原因： 

　　1、個人信息法律保護(hù)不完善。在現(xiàn)有法律法規(guī)中，既缺少對個人信息、個人信息權(quán)利主體等概念的明確規(guī)定，也缺乏在數(shù)據(jù)的收集、使用和管理上明確的規(guī)范性指引。個人信息和個人隱私如何區(qū)分？哪些信息是可以流動、利用的，哪些信息是必須保密的？客戶數(shù)據(jù)是屬于企業(yè)還是屬于用戶的數(shù)據(jù)產(chǎn)權(quán)問題如何確定？這些都需要有法律制度。當(dāng)前，我國初步建立了對個人信息和個人隱私權(quán)保護(hù)的法律體系，散見在相關(guān)法律條款、行政法規(guī)和部門規(guī)章中，但缺少個人信息保護(hù)方面的專門性立法，沒有一部基本法律來全面系統(tǒng)地就個人信息保護(hù)的基本原則、個人信息主體的權(quán)利、監(jiān)管機(jī)構(gòu)及其職責(zé)、個人信息和隱私權(quán)受到侵犯時有效的法律救濟(jì)等重要問題作出規(guī)定。2012年全國人大常委會出臺的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》只是規(guī)定了個人信息保護(hù)的基本原則，操作性不強(qiáng)，需要配套的法律法規(guī)以及操作性強(qiáng)的實(shí)施細(xì)則。 

　　2、數(shù)據(jù)庫本身存在重大安全缺陷。數(shù)據(jù)庫也存在諸多的安全漏洞，黑客往往利用這些漏洞，對數(shù)據(jù)庫進(jìn)行侵入。由于對數(shù)據(jù)庫訪問的操作缺乏控制，很容易造成數(shù)據(jù)泄露，某些程序人員也惡意利用這些控制缺陷，在應(yīng)用程序中埋下后門程序，對有價值的信息進(jìn)行非法下載。數(shù)據(jù)庫維護(hù)模式也在向服務(wù)外包模式轉(zhuǎn)變，企業(yè)和政府部門的數(shù)據(jù)庫采用服務(wù)外包的方式交給IT企業(yè)進(jìn)行維護(hù)管理，使數(shù)據(jù)庫的直接接觸人員，不僅限于企業(yè)的內(nèi)部維護(hù)人員，同時包含大量的服務(wù)外包人員、程序開發(fā)人員和系統(tǒng)測試人員，使傳統(tǒng)基于人工內(nèi)部管理模式為主的數(shù)據(jù)庫安全機(jī)制面臨巨大挑戰(zhàn)。

　　3、數(shù)據(jù)使用監(jiān)管存在明顯隱患。企業(yè)對所收集用戶數(shù)據(jù)的使用權(quán)邊界模糊不清，用戶無法了解自己隱私信息的用途，缺少知情權(quán)和選擇權(quán)。個人信息保護(hù)目前屬于多頭監(jiān)管，公安部、工信部、全國工商總局、商務(wù)部、中國人民銀行、銀監(jiān)會、保監(jiān)會、證監(jiān)會等都負(fù)有個人信息監(jiān)管職責(zé)，多頭監(jiān)管容易造成監(jiān)管無序。主管部門重事后監(jiān)管審查，缺少事前、事中監(jiān)管。個人信息泄露缺乏對機(jī)構(gòu)的問責(zé)機(jī)制，相關(guān)處罰只針對個人而不針對機(jī)構(gòu)，難以真正起到警示作用。 

　　求是網(wǎng)：那您認(rèn)為解決這個問題應(yīng)該采取哪些路徑？ 

　　馮�。捍罅總�人信息泄露事件的出現(xiàn)，表明保護(hù)個人信息安全迫在眉睫。針對保護(hù)個人信息的現(xiàn)實(shí)需要，制訂和修訂相關(guān)的法律法規(guī)，加快了對個人信息保護(hù)方面的立法實(shí)踐，在嚴(yán)格保護(hù)個人隱私的前提下推動大數(shù)據(jù)建設(shè)，是我們必須盡快研究的重要課題。 

　　大數(shù)據(jù)時代，保護(hù)個人信息安全是一項(xiàng)非常復(fù)雜的系統(tǒng)性工程。它需要從法制建設(shè)、技術(shù)創(chuàng)新、監(jiān)督管理、行業(yè)自律等多層面進(jìn)行配套制約，建立起長效機(jī)制�；�于當(dāng)前我國大數(shù)據(jù)的發(fā)展趨勢和個人隱私保護(hù)存在的問題，為把全面推進(jìn)依法治國落到實(shí)處。 

　　求是網(wǎng)：馮委員您是否對這個問題提出了什么提案或建議？ 

　　馮�。横槍�這個問題我這次提出了一個提案，其中提出了如下建議： 

　　1、盡快完善個人信息的法律保護(hù)。當(dāng)務(wù)之急是建立起一個完善的、具有較強(qiáng)可操作性的個人信息法律保護(hù)體系。盡快出臺統(tǒng)一的個人信息保護(hù)法，以明確個人信息的權(quán)利邊界，個人信息收集及使用者的責(zé)任、義務(wù)，及侵權(quán)救濟(jì)等問題。同時完善個人信息保護(hù)法律的配套實(shí)施細(xì)則、法律解釋，增強(qiáng)個人信息法律保護(hù)的可操作性。優(yōu)化執(zhí)法體制，加強(qiáng)對個人信息安全行業(yè)的監(jiān)管。建立關(guān)于個人信息保護(hù)的部門協(xié)調(diào)聯(lián)席機(jī)制，強(qiáng)化事前、事中監(jiān)管，加大監(jiān)督檢查行政執(zhí)法，加強(qiáng)企業(yè)對個人信息泄露的問責(zé)機(jī)制和處罰力度。希望能單獨(dú)制定一項(xiàng)與大數(shù)據(jù)和互聯(lián)網(wǎng)有關(guān)的隱私保護(hù)條例。 

　　在個人信息的法律保護(hù)方面，美國采取分行業(yè)保護(hù)的分散立法模式，保護(hù)個人信息的法律規(guī)定散見于各部門法。歐盟模式則是一種政府主導(dǎo)下的個人數(shù)據(jù)資料的保護(hù)模式。以制定統(tǒng)一的個人信息保護(hù)法為特征，兩種立法模式各有利弊。 

　　建議借鑒上述兩種模式各自的成功經(jīng)驗(yàn)，盡快形成個人信息保護(hù)的中國立法路徑。 

　　網(wǎng)絡(luò)時代和大數(shù)據(jù)的使用在很大程度上加大了隱私泄露的風(fēng)險，更容易侵犯個人隱私權(quán)。在中國，民法沒有把隱私權(quán)確立為一項(xiàng)獨(dú)立的人格權(quán)，只是借助司法解釋并通過保護(hù)名譽(yù)權(quán)的方式或以維護(hù)公序良俗含括公民的隱私權(quán)，采取的是間接保護(hù)方法。實(shí)踐證明，這種間接保護(hù)隱私權(quán)的方法，是不完備、不周密的。建議在憲法和即將制定的民法典中，明確規(guī)定隱私權(quán)為公民的一項(xiàng)獨(dú)立的人格權(quán)，對公民隱私權(quán)的保護(hù)應(yīng)形成以憲法為核心，以民法典為重點(diǎn)，以刑法、行政法等其它法律法規(guī)為輔助的保護(hù)體系。 

　　2、加大對數(shù)據(jù)中心信息安全的監(jiān)管力度。如今“云計(jì)算”技術(shù)建設(shè)數(shù)據(jù)中心已越來越普及，在帶來便捷的同時，“云計(jì)算”安全亟待提高。除了加強(qiáng)數(shù)據(jù)中心的軟硬件建設(shè)，盡可能減少數(shù)據(jù)中心本身的安全缺陷之外，還要學(xué)習(xí)信息服務(wù)行業(yè)的跨國公司在保護(hù)數(shù)據(jù)安全和客戶隱私方面的管理制度和管理方法，提高數(shù)據(jù)中心提供信息服務(wù)和保證數(shù)據(jù)安全的能力和水平。應(yīng)加強(qiáng)對數(shù)據(jù)庫的監(jiān)管，采用“最少權(quán)限”原則——也就是根據(jù)角色或工作職能需要來授予權(quán)限的管理辦法來提高數(shù)據(jù)安全的保護(hù)力度。 

　　3、建設(shè)信息安全生態(tài)圈。在智慧城市建設(shè)中政府、企業(yè)、用戶都是數(shù)據(jù)的生產(chǎn)者、采集者和使用者，要從根本上保障信息安全，必須從多方入手，建立一個適合中國國情的信息安全生態(tài)圈，讓政府、企業(yè)、用戶分別承擔(dān)起相應(yīng)的保護(hù)信息安全的責(zé)任。建議工信部研究政府、企業(yè)和用戶分別在信息安全生態(tài)圈中的職能和作用，以及它們發(fā)揮作用的方式、方法和手段，加強(qiáng)行業(yè)監(jiān)管，提高信息安全監(jiān)管水平，并在保證個人隱私安全和數(shù)據(jù)庫安全的前提下，推動政府?dāng)?shù)據(jù)公開，加速數(shù)據(jù)流動，鼓勵創(chuàng)新；企業(yè)應(yīng)加強(qiáng)行業(yè)自律，并重視自身信息安全的軟硬件建設(shè)和內(nèi)部信息安全規(guī)章制度建設(shè)；個人應(yīng)加強(qiáng)信息安全知識教育，提高信息安全意識。此外，全社會應(yīng)弘揚(yáng)誠信文化，在保護(hù)個人信息安全方面營造良好的社會氛圍。 

　　求是網(wǎng)：希望您的提案能夠被采納并能產(chǎn)生實(shí)際影響，能夠使我們這方面的問題得到改善。謝謝您接受我們的采訪！ 

　　馮俊：謝謝您。