中国个人信息安全和隐私保护报告(全文)

中国个人信息安全和隐私保护报告（全文）
热门下载（点击标题即可阅读）
☞【下载】2015中国数据分析师行业峰会精彩PPT下载（共计21个文件）
《中国个人信息安全和隐私保护报告》近日发布。

用大数据的方式展现了当下民众面对个人信息泄露现状的焦虑和无助。

统计数据表明，个人信息安全已成为社会普遍焦虑，个人信息泄露引发的骚扰密度与社会经济和信息化发展程度成正比，公民个人信息遭侵害程度触目惊心。

而与这些相对应的，是民众防范意识不强，保护意识薄弱，维权动力不足。

中国个人信息安全和隐私保护报告
中国青年政治学院互联网法治研究中心
&封面智库联合发布
2016年11月
我国信息化建设的推进和互联网应用的普及，推动了社会大发展和新变革的同时，也为个人信息安全带来了新挑战。

侵犯公民个人信息犯罪以及因此滋生的电信、网络诈骗等下游违法犯罪行为已造成社会巨大损失，严重影响社会安定，成为社会公害。

在执法部门投入大量社会资源进行的持续高压打击之下，一系列大规模侵犯个人信息犯罪案件告破，不法分子嚣张气焰得到遏制，但仍呈现出屡打不绝的态势。

要改变公民个人信息频遭泄露侵害的社会现实，需要全方位建立个人信息安全的社会保障体系：
对于公众，需要进一步清晰个人信息泄露造成的危害、掌握有效防范技能并树立维权意识；
法制建设方面，要改变现有个人信息保护法律法规过于分散的现实，建议尽快制定统一、系统的《个人信息保护法》，为公民维权、打击犯罪提供便捷途径；
从司法实践来看，应进一步强化打击的威慑力，重点打击以侵害个人信息生利的黑色产业链；
从信息相关产业和市场的角度，个人信息保护和合法使用，需要通过市场机制、社会共治的模式，充分发挥产业界技术优势和创新能力，通过产业界的自律和他律，促进健康有序的市场规范的形成，通过包括市场手段在内的多种手段惩戒、共治违法违规者，防止劣币驱逐良币的情况出现，推动形成个人信息保护方面优胜劣汰的良性筛选机制。

个人信息治理应当注重事前防范胜于事后打击
林维/中国青年政治学院副校长
（互联网法治研究中心主任、最高人民法院刑一庭副庭长）
“徐玉玉案”引发了全社会对个人信息泄露现状的高度关注和热议，但是个人信息泄露和保
护问题由来已久，互联网的发展也使得个人信息的地下交易产业链更加隐蔽、难以追踪。

目前，针对个人信息泄露及其引发的电信诈骗等犯罪活动，已经引起了公安部等部门的高度重视，也投入了大量的金额和资源进行打击，近期开展的打击整治网络侵犯公民个人信息犯罪专项行动也获得了明显的成效。

但是，事后的打击和惩处依然未能根除个人信息泄露和侵害现象，民众对于自身个人信息泄露的感受依然普遍强烈，并对维权途径所知甚少、维权效果信心不足。

本次《中国个人信息安全和隐私保护报告》的撰写，是基于100余万份问卷调查反馈的
信息，用大数据的方式展现了当下民众面对个人信息泄露现状的焦虑和无助。

统计数据表明，个人信息安全已成为社会普遍焦虑，个人信息泄露引发的骚扰密度与社会经济和信息化发展程度成正比，公民个人信息遭侵害程度触目惊心。

而与这些相对应的，是民众防范意识不强，保护意识薄弱，维权动力不足。

对此，立法、行政和司法机关的确应该当仁不让承担起治理乱象的重任。

在梳理了立法、行政和司法实践现状之后，报告建议建构统一立法框架、加大司法打击力度、确立顺畅维权渠道。

法律制度上固然应当建立起一道坚实的保护壁垒，但是，鉴于个人信息泄露的复杂性和隐匿性，把希望主要寄托在通过法律进行事后打击和治理，恐怕并非治标之良策。

个人信息侵害行为发现和查处难度明显大于传统犯罪，导致事后惩处无法产生足够的威慑力。

因此，应当把关注的焦点从事后的惩处转移到事前的防范上来，从非法数据产业链的源头堵住数据泄露的可能性，才有希望从根本上治愈这一顽疾，迎来个人信息保护的蓝天。

报告的后半部分主要关注产业界数据处理的规范构建，正是这种事前防范思路的反映。

在个人信息获取、存储、利用的合规化处理方面，产业界相对于政府部门，拥有更加专业化
的技术能力，也具有更强的规则体系建设的驱动力。

报告创新性地提出建设“基础法律规范、行业通用标准、企业最佳实践”的治理构架，并结合征信机构等行业企业的实践，在
符合法律法规最基本要求的基础上，梳理并勾勒出丰富、细致、生动的产业实践，呼吁设立行业标准，确立企业最佳实践的模板，推动企业以自律的方式承担起保护个人信息的社会责任，在获取、存储、利用个人信息的各个环节，都设立并贯彻严格的自律规范，通过技术手段的提高和安全规则的完善，截断非法泄露、滥用个人信息的源头，从而建立起个人信息合规利用的良性生态，进而推动数据产业的健康、有序发展。

以举证责任倒置破解个人信息保护难题
傅蔚冈/上海金融与法律研究院执行院长
个人信息安全已经成为当下中国社会最为关注的公共议题之一，尤其是自今年震惊全国的“徐玉玉案”发生后。

更让人惊讶的是公安部门在此事件之后发布的相关数据。

2016年7月20日，公安部官网以《公安机关打击整治网络侵犯公民个人信息犯罪成效
显著》为题报道了公安部门打击侵犯公民个人信息犯罪的努力。

内容显示，自2012年起，公安部就多次部署全国各地公安机关开展集中打击侵犯公民个人信息犯罪行动且收获颇丰。

最近一次是自今年4月起、为期半年的打击整治网络侵犯公民个人信息犯罪专项行动，
截至7月，全国公安机关即累计查破刑事案件750余起，抓获犯罪嫌疑人1900余名，
缴获信息230余亿条，清理违法有害信息35.2万余条，关停网站、栏目610余个。

230余亿条的信息固然让人惊讶，但是也与公众的印象相差不远。

被垃圾短信骚扰或者陌生电话推广，几乎已经成了我们生活的日常。

如何破解个人身份信息泄露的难题？《中国个人信息安全和隐私保护报告》系统梳理了当下中国个人信息安全问题，并且提出了非常有针对性的建议，并且从个人、市场与社会；立法、执法和司法等多层次探讨了今后该努力的方向。

毫无疑问，这些建议非常有针对性。

如果能得到落实，那么个人信息安全将会大幅度得以改善。

不过即便如此，短期内个人身份信息泄露的状况要大幅度改善，可能还是会有很大的难度。

难度来自于举证责任。

众所周知，绝大多数的个人身份信息泄露并不属于刑事责任，因此公安部门无法派遣大量的人力和资源来查办此类案件——事实上也并不经济。

在民事纠纷中，要求让泄露个人信息的机构或这个人承担民事责任也是难于上青天，因为它们会陷于法律上的举证责任难题，因此到目前为止有关的诉讼大都以原告的败诉收场。

正是由于刑事上无法立案，民事上输于举证责任，因此才酿就了“徐玉玉”的悲剧——可以
想象，这必定不是最后因为个人身份信息泄露的受害者。

如何解决这个困境？一个可行的举措是改变民事诉讼中的举证责任，将目前的“谁主张谁
举证”改为“举证责任倒置”，即不是由原告提供证据来证明被告以不恰当的方式获得了个
人身份信息；而是原告只要提供了被告联系其这一事实即可以被告非法获得身份信息为由提起民事诉讼，被告需要承担提供其合法获得原告身份信息的证明。

这样一来，就会对哪些非法获得身份信息的机构和个人形成强烈的威慑效果。

正如《中国个人信息安全和隐私保护报告》所言：“由于个人信息获取、存储和利用的环
节众多，线下和线上传播具有隐蔽性和复杂性，追本溯源成本很高，发现、查处难度大，处罚、赔偿力度小，同时获利空间巨大，执法现状为灰色产业链提供了巨大的投机空间。

”
扭转这个乱象的关键之举就是举证责任倒置。

因为现在个人身份信息的存储无处不在，个人没有能力来约束那些获得其身份信息的机构和个人，就必须通过举证责任倒置的方式，让那些有能力获得他人身份信息的主体妥善保管他人信息，也可以最大限度让所有的机构和个人只使用来自合法渠道获得的个人信息。

不仅非法获取个人身份信息要承担责任，使用非法获取的个人身份信息也要承担民事责任，这样一来，就可以在源头上切断非法个人信息。

近年来，侵犯公民个人信息及其所滋生的侵害事件不断发生，扰乱了社会秩序，给群众人身财产安全造成巨大威胁，严重影响社会安定。

震惊全国的“徐玉玉案”等一系列案件发生后，个人信息安全已成为全社会的重大关切。

为充分了解及评估全社会对于个人信息保护的关注点、关注程度和自身保护的能力，中国青年政治学院互联网法治研究中心与封面智库于2016年10月联合发起《你的隐私泄露
了吗？——个人信息保护情况调研》问卷调查，共回收问卷1,048,575份。

问卷回执样本分析显示，个人信息安全所遭受的威胁已经引起了公众普遍重视，但由于个人信息保护能力与常识、经验的缺乏，不法之徒对公民的个人信息侵害行为仍有机可乘，且因群众维权意识和动力不足，维权能力有限，个人信息保护仍处于危机时刻。

本报告将对个人信息保护现状进行综合介绍，对造成个人信息安全危机的原因和国家政策、法律法规层面的现行应对进行梳理，并通过对104万8575份调查问卷回执样本的详细分析，显示群众对个人信息安全的关切点和社会个体在应对信息泄露时的意识和行为模式，并指出其将造成的结果和需要关注的重点方向。

本报告还将从立法和司法实践角度阐述个人信息安全的法律监管和维权现状。

由于个人信息是大数据产业的重要核心，通过市场机制、社会共治实现个人信息安全、提升群众安全
感也切实可行，本报告将以征信行业和代表性企业为例，详细说明行业和企业在个人信息保护中的先进模式和具体实践。

一、侵犯公民个人信息犯罪及隐私侵害行为已成社会公害
我国信息化建设和大数据等信息产业的不断推进和发展，带动了各项社会服务日趋高效、便捷，群众生活水平持续提升，幸福感和获得感不断增强。

但与此同时，信息的广泛应用以及人们对个人信息安全防范意识的薄弱，也给犯罪分子实施犯罪提供了便利条件。

目前，我国刑法将出售、非法提供、非法获取公民个人信息的行为认定为侵犯个人信息犯罪行为。

按照公安部发布的信息，侵害公民个人信息犯罪引发的下游犯罪案件包括且不限于绑架拘禁、敲诈勒索、暴力追债、电信诈骗、网络诈骗、网络盗窃、非法调查等，甚至有不法分子利用非法掌握的个人信息以胁迫手段介入婚姻纠纷、财产继承、债务纠纷等民事诉讼。

由于公民个人信息泄露导致的骚扰电话和垃圾短信更是为群众所深恶痛绝。

近年来，侵犯公民个人信息犯罪持续高发，其中以“徐玉玉被诈骗案”为代表的由于侵犯公
民个人信息滋生的电信网络诈骗犯罪已给群众财产造成重大损失，严重影响社会安定。

在今年8月19日召开的打击跨国电信网络诈骗案件通报会上，公安部刑侦局有关负责人介绍，2015年我国电信诈骗发案59.9万起，造成经济损失约200亿元；仅2016年上半年，电信诈骗发案就达28.7万起，造成损失80余亿元[1]。

执法机关面对侵犯公民个人信息犯罪行为从未手软。

实际上，自2012年起，公安部就多
次部署全国各地公安机关开展集中打击侵犯公民个人信息犯罪行动且收获颇丰。

最近一次是自今年4月起、为期半年的打击整治网络侵犯公民个人信息犯罪专项行动，截至7月，全国公安机即关累计查破刑事案件750余起，抓获犯罪嫌疑人1900余名，缴获信息230余亿条，清理违法有害信息35.2万余条，关停网站、栏目610余个[2]。

但当前，侵犯公民个人信息犯罪呈现了屡打不绝且日趋专业化、团伙化、产业化的态势。

在近日由公安部统一组织25省区市公安机关破获的一起特大侵犯公民个人信息案中，公
安机关在一案中即抓获犯罪嫌疑人201名，铲除信息泄露源头42个，摧毁9个涉案地域广、涉案人员多、信息数量、种类及涉案金额大的侵犯公民个人信息犯罪团伙。

侵害个人信息犯罪行为的猖獗，引起了**和国家的高度重视。

近日，公安部、**综治办、
国家发展改革委、工信部等八部门联合发布《关于规范居民身份证使用管理的公告》，要求国家机关或有关单位应当建立健全公民个人信息安全管理制度，对在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息严格保密。

对单位内部建立的公民个人信息存储系统，要严格设定查询权限，严格控制知悉范围；要强化技术防护措施，严防信息泄露或被窃取[3]。

2016年10月10日至11日召开的全国社会治安综合治理创新工作会议上，更是明确要求结合制定《个人信息保护条例》，加大信息源头保护力度，完善公安、教育、医疗、金融等重点行业信息安全保护体系[4]。

为进一步加强个人信息安全法律体系的建设，于11月1日提请全国****会进行二次审议的民法总则草案中，增加规定：“自然人的个人信息受法律保护。

任何组织和个人不得非法收集、利用、加工、传输个人信息，不得非法提供、公开或者出售个人信息。

”草案力图在对个人信息应用的源头和上游给予公民法律保护。

2016年11月7日全国****会通过的《网络安全法》在个人信息方面确立了重要的原则和规定，从法律层面为更加完善而系统化的个人信息保护立法奠定了良好的基础。

舆论认为，要遏制侵犯个人信息犯罪行为，务必须要国家法律体系的日趋缜密和执法力量的持续高压，同时，针对公民个体的普法教育和使公民切实提升个人信息安全防范意识也不可或缺。

二、百万数据调查：公民个人信息安全意识强，但维权动力与能力有限
为充分了解及评估公民对于个人信息保护的关注点、关注程度和自身保护的能力，中国青年政治学院互联网法治研究中心与封面智库于2016年10月24日联合发起《你的隐私泄露了吗？——个人信息保护情况调研》问卷调查。

覆盖全国各省、区、市，共回收问卷104万8575份。

通过对调研问卷回执的样本数据分析，本报告认为，当前人们对个人信息保护的社会现状安全感不高，超七成参与调研者认为个人信息泄露安全问题严重；民众遭受个人信息侵害程度高；个人信息安全防范意识不强为侵害行为提供可乘之机，半数参与调研者对于因证件复印和快递单造成的个人信息泄露无察觉，超六成参与调研者在更换手机和手机号时存在信息泄露隐患；个人信息侵害维权观念不强、常识不够、动力不足，仅有20%的参与调研者在发现个人信息遭受侵犯时，采取投诉、举报和报警等积极应对措施，六成参与调研者不知如何维权，近半数参与调研者认为维权困难。

（一）个人信息安全已成为社会普遍焦虑
在全部问卷回执中，针对“你觉得个人信息泄露问题严重吗”问题，有28%的参与调研者认为“没有感觉”，43%的参与调研者认为“严重”，认为“非常严重”的参与调研者占比达29%（见图1）。

图1：参与调查人群对个人信息泄露问题的整体感受
图2：不同年龄段人群对于个人信息泄露问题的整体感受
在参与调研者的性别和年龄比例中，对于上述问题的看法没有明显偏差（见图1、2），
这也可以说明，对于个人信息安全的焦虑并非特定群体的主观性偏差，具有社会普遍性。

（二）个人信息泄露引发的骚扰密度与社会经济和信息化发展程度成正比
垃圾短信和骚扰电话是个人信息泄露所引发的电信骚扰及诈骗行为。

参与调研者中，26%每天收到2个以上的垃圾短信，20%近一个月来每天收到2个以上骚扰电话（见图3）。

图3：参与调查人群对电信骚扰的反馈情况
图4：电信骚扰地区排行
在全国分布角度，来自西藏、宁夏、**、青海、甘肃等省区的参与调研者收到垃圾短信最少，来自上海、北京、重庆、江苏、天津等省市的参与调研者收到垃圾短信最多；在骚扰电话方面，最少的省区是黑龙江、**、西藏、吉林、宁夏，最多的省市是上海、北京、江苏、安徽、浙江（见图4）。

总体上看，越是经济发达、社会网络化、信息化程度高的地区，电信骚扰密度越高。

（三）公民个人信息遭侵害程度触目惊心
本次调研所显示出的公民个人信息遭侵害程度令人触目惊心。

问卷分析显示，在遭遇个人信息侵害时，多达81%的参与调研者经历过知道自己的姓名
或单位等个人信息的陌生来电，因网页搜索和浏览时泄露个人信息的参与调研者占53%，经历邮箱、即时通讯、微博等网络账号密码被盗的参与调研者占40%，因房屋租买、购车、考试和升学等信息泄露，和因在网站留下个人电话和注册网络金融服务而遭遇各类骚扰和诈骗的参与调研者都在30%以上，遭遇针对银行卡、信用卡和网络交易诈骗以及被“短信炮”、“拨死你”电信骚扰的参与调研者比例在20%以上，被冒充公检法、税务机关的
不法分子诈骗、恐吓的参与调研者比例达19%，明确知道个人和家庭信息被贩卖、泄露
的参与调研者比例达18%，最少的数据比例即“个人隐私信息被网站公布”、“购买机票后
收到航班异常的电话或短信诈骗信息”也达9%（见图5）。

图5：个人信息、隐私受侵害行为类型调查
（四）民众防范意识不强为侵害行为提供可乘之机
在日常生活中，证件复印件、快递单和手机是泄露个人信息的重要载体。

问卷调研显示，由于对个人信息泄露渠道的不了解，虽然大多数人意识到个人信息泄露的严重程度，但相当高比例的人群并不知道如何防范个人信息侵害，在使用个人信息的载体时疏忽大意或不知如何采取防范行动。

图6：个人信息泄露隐患之线下渠道调查
调研中，55%的参与调研者从不将证件复印件标明用途；47%的参与调研者经常将写有个人信息的快递单直接扔掉而不加处理（图6）。

图7：个人信息泄露隐患之移动端渠道调查
在通过手机使用Wi-Fi时，34%的参与调研者只希望确保手机在线，而不会对免费Wi-Fi
鉴别使用；在收到陌生号码发来的短信时，26%的参与调研者会点击短信中的可能产生侵害行为的网络链接（图7）。

图8：个人信息泄露隐患行为调查之手机硬件方向
图9：个人信息泄露隐患行为调查之手机号码方向
在更换手机时，更能确保个人信息安全的方法是将手机恢复出厂设置或格式化后，再用无关内容将手机存储空间占满后再予处理，但仅有34%的参与调研者选择了这一选项，有17%的参与调研者选择将手机直接送人；在手机换号时，超过27%的参与调研者选择直
接使用新号码，而不对旧号码采取任何措施（见图9）。

（五）个人信息侵害维权观念不强，动力不足
调研显示，在明确自身遭遇个人信息泄露并面临侵害时，相当一部分人群抱有侥幸心态，大部分人选择了较为被动的处理方式，仅有少部分人采取了积极对抗行动。

在解释未能维权的原因时，半数以上的参与调研者因不知如何维权和没有发现经济损失而选择了沉默。

图10：个人信息及隐私被侵犯时的对应手段
在被问到发现个人信息泄露会采取什么行动的问题时，71%的参与调研者选择了掐断电话或不予理睬，选择拉黑及拒接的比例为63%；仅有20%左右的参与调研者选择了举报、
投诉、报警等积极应对措施（图10）。

图11：个人信息及隐私被侵犯后未能维权原因
被问及被侵犯时没有维权的原因时，60%的参与调研者表示不知道怎么维权，56%的参与调研者是因资金等个人利益未受损而放弃维权，值得重视的是，参与调研者中有高达44%的比例选择了因维权程序太复杂、成本太高而放弃维权，另有34%的人是因缺少维权证
据而无奈放弃。

最为消极的是“维权成功也没有好处”选项，也有14%的选择比例（图11）。

值得关注的是，当被问及是否“愿意提供个人信息以获得更便利的服务享受”时，更多的人选择了“愿意”（图12）。

这也充分说明，信息共享带来的便利是客观存在的，多数人并不赞同为保护隐私而过分限制信息流动。

图12：更多人选择为获得便利服务而提供个人信息
问卷调研的结果已可以清楚显示出当前公民个体对于个人信息保护的观念、行动及能力的基本面貌：尽管人们对于个人信息安全普遍焦虑，遭受信息泄露侵害程度较高，但由于对于个人信息保护的常识不足，为不法分子留存了极大的侵害漏洞，而公民对于个人信息维权观念的缺乏和动力的不足，又客观上降低了不法分子违法犯罪行为的成本，加剧了侵犯公民个人信息犯罪的可能性。

值得关注的是，国家在政策与法规层面不断强化、在司法层面不断加大对侵犯公民个人信息犯罪的打击力度，但相当一部分社会个体在面对侵害时却保持了漠视甚至麻木的消极对应方式，而并未操起法律的武器与涉及自身的违法犯罪行为进行抗争。

这一方面说明，针对个人信息安全的普法力度仍需加大，尤其是要使公民清晰掌握维权技能；另一方面也能够反映出个人信息安全维权的技术难度与不成正比的维权收益，使公民个体在维权中步履艰难。

三、法律监管与维权现状：亟需统一立法，加大司法惩处
（一）立法述评
1.个人信息保护尚无统一立法，现有规定内容分散
我国目前针对个人信息保护尚未形成统一的综合法律规范，而是具体地规定在法律、行政法规、部门规章、地方性法规和规章、各类规范性文件等多层次、多领域的规范当中，形成了一个内容分散、体系庞杂的个人信息保护模式。

2. 网络安全法关于个人信息的规定
2016年11月7日全国****会通过的《网络安全法》在个人信息方面确立了重要的原则和规定，从法律层面为更加完善而系统化的个人信息保护立法奠定了良好的基础。

其中第七十六条规定：“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。

”这是首次在法律层面上确立了一般意义上“个人信息”的概念，为个人信息保护的体系化制度建设提供了起点。