保密园地

随着智能手机的广泛运用，移动互联网时代来临。网络终端从台式电脑、笔记本电脑的“大屏”逐步转移到了智能手机的“小屏”。与此同时，让“大屏”深受其害的各种安全问题也逐步向“小屏”进军，更为棘手的是，“小屏”的“全天候”“随身行”等特点带来了其独有的安全难题。
在网络环境下，以前出现的“在互联网上，没人知道你是一只狗”的名言风行一时。但伴随科技的迅猛发展，这种情况已经发生改变。因为通过各种追踪技术，利用记录人们上网行为的庞大数据库，在进行信息交叉比对和汇集后，可以推测出上网用户的个人喜好，有人会知道“你是一只有着什么喜好的狗”。进入互联网时代，移动互联技术发展迅速，用户的信息早已变成商品，包括黑客在内的不法分子通过各种途径获取用户的姓名、身份证号码、手机号码、住址、收入、喜好等隐私，而后再转手出售从而获取非法利益的事情并不鲜见。需要注意的是，即使是一个公民的信息，如果收集全面，也会对该人产生巨大威胁。与此同时，隐私窃取类恶意软件呈大规模爆发趋势，手机系统漏洞也频频爆出。总体来看，随着系统终端扩容至智能手机，智能手机带来的安全保密问题是一个亟待解决的重大课题。
一、限制信息的收集和使用
为保护个人信息，我国开展过不少打击侵害公民个人信息的行动，但由于相关立法不完善、不严谨，以及网络业务的监管部门较多，导致“九龙治水”，没有形成工作合力，成效不大。归根结底，还在于立法和执法都未能跟上网络时代。
网络时代公民信息保护法律规定及执法需要全方位考虑，主要有以下几方面要求：
一是限制公共权力对个人信息的收集与使用。公民信息侵害来源不仅限于企业和个人，还来自国家。美国国家安全局就被曝建谷歌式搜索引擎日均搜集数亿信息，以便向美国政府各部门提供有效信息。澳大利亚将出台新版反恐法案，强制保存公民日常的手机、电话以及互联网通信记录。这都涉及个人信息的保护问题。对于美国政府监听全球的“棱镜”项目，美国隐私和公民自由监督委员会指出，当涉及美国公民个人隐私问题时，美国国家安全局的监控项目就不符合宪法的规定了。故美国最高法院裁定，在没有得到授权的前提下，警方不得私自查看被捕人员的智能手机，公民的个人隐私权优先于执法机构的执法需要，明确地限制公共权力对个人信息的收集与使用。而在立法层面上，美国通过了旨在限制美国国家安全局大规模搜集美国人电话记录等信息的《自由法案》。
二是限制企业对个人信息的收集与使用。斯诺登表示用户不应通过手机发送未经加密的文字信息，不要依赖默认的SMS工具，移动设备加密应该受到欢迎。台湾监管部门称，小米向北京服务器传送用户数据。在如何强制这些服务企业遵守相关法规方面，仍需细化规定，如限定搜集的数据存储在国内服务器上，预防海外传播。俄罗斯新规要求互联网公司所存储的俄罗斯公民的个人数据，必须存储在国内服务器上。在限制搜集之外，服务商有记录保存义务。英国打算要求英国电信公司及互联网服务供应商将用户的通话、短信及互联网使用记录保存最长12个月。同时，限制使用之外，也要推动并规范大数据的利用。日本建议企业可以在未经本人同意的情况下，向第三方提供并使用无法推定具体个人的信息，如购物履历等。
此外，还应注意用户的“被遗忘权”。欧盟法院曾裁定用户有权要求谷歌等搜索引擎公司删除对其名誉不利的搜索结果。谷歌已经开始根据欧盟最高法院的裁定，在搜索结果中删除一些特定内容，给予用户“被遗忘权”。
二、立法应注意的几个问题
网络时代公民信息保护法律规定需要视角更新。除了立法层次低、《网络安全法》《信息保护法》等核心法律严重缺失等宏观立法问题外，对执法效果影响最为直接的反而是具体规定视角不完善的问题。
一是行为规范不少，但技术规范严重短缺。信息时代的网络世界不仅仅再造了一个行为空间，而且是一个全新的技术世界。网络空间中的违法行为不仅仅是行为失范，更是技术失衡。仅仅规定不得违规搜集、利用公民信息是远远不够的，只有详细具体地规定针对违法行为的技术措施，如果行为人或者其他网络主体采纳了或者不采纳该技术措施的，认定为违法，才可能有执法效果。如美国加州通过防盗机制法，要求所有的智能手机厂商在手机中预装“kill switch”这项功能，当用户发现手机丢失或被盗之后可以远程锁住这些设备。如此，执法部门就不会为了忙于“救火”而疲于奔命，而是会为了善于“防火”而自信满满。技术强制制度之外，亦可规定“柔性”的技术鼓励制度。如工信部鼓励手机安全软件厂家开发违法App一键举报功能，从而推动开展App第三方认证工作等。
二是技术术语的合理确定也是执法效果的保障。公民个人信息应是一般公民不愿公布、涉及公民隐私的个人信息，但实践认定仍然众说纷纭。虽然在法律上，办案人员不能强迫个人交代智能手机的密码、PIN等信息，但美国法官裁定指纹不属于密码。因此，对于个人信息的保护，也需要合理准确地界定其范围。
三是现有规范文件宣示意义过强，而实体规定极为匮乏。从实体上看，如果一个具体规定只是说你“应当”、你“不得”，而没有具体法律责任，或者只有“依法承担责任”，而依的法还没有被“生出来”，或者“生出来”不知在哪里，那并不是一个有效的法律规范。而互联网行业自律规范在此问题上更为突出，更要严格规定具体的责任措施才可行之有效。具体的责任不但可以考虑罚款、拘留甚至刑事责任，而且应当考虑暂扣、吊销许可证和行业限制、禁止等“资格刑”。
“徒法不足以自行”，网络时代的内容视角更新需要配套的主体视角更新。对于许多难题，我们的一大法宝似乎是“齐抓共管”，但法律制度、机构设置却没有体系性地跟上日新月异的信息社会。信息时代网络技术飞速发展，传统的根据人的属地性进行控制管理的思维已经不可行，而有的执法部门却基本上依照地域设置；信息时代跨界思维方兴未艾，既有的一个部门管理一个行业的实践正受到猛烈的冲击。完善的“委员会”制能够协调多方事务，这将是信息时代的一大特色，如国家安全委员会等综合协调组织的兴起正是在应对这一挑战。英国近期的一个新法案内容就包括建立一个全新的隐私与公民自由监督委员会，负责监察相关法律对公民隐私及自由所带来的影响。一句话，对于智能手机时代个人信息的保护，我们始终在路上。