我国电子政务中的个人信息保护问题探析*

于 洁 季木子

北京电子科技学院，北京市 100070

引言

随着互联网的高速发展和信息技术的不断更新换代，个人信息的收集、存储和分析变得越来越容易，个人信息保护问题也成为了网络安全治理领域关注的重点热点难点。 2016 年国家互联网信息办公室发布《国家网络空间安全战略》中指出，公民在网络空间的合法权益面临严峻风险与挑战，滥用个人信息等不法行为大量存在，一些组织肆意窃取用户信息、交易数据、位置信息，严重损害个人利益；战略目标之一“有序”的一层涵义是“网络空间个人隐私获得有效保护，人权受到充分尊重”；依法治理网络空间的原则中指出要保护个人隐私；打击网络恐怖和违法犯罪的战略任务中指出要严厉打击侵害公民个人信息的违法犯罪行为。[1]《网络安全法》中将个人信息的含义界定为：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”[2]第三章网络运行安全和第四章网络信息安全中都有对个人信息保护的具体要求。 《中华人民共和国民法典》对个人信息含义的界定与《网络安全法》一致，补充列举了个人信息还包括电子邮箱、健康信息、行踪信息等。

目前，随着“互联网+政务服务”的深入推进，各类电子政务服务平台在提供越来越便捷高效的服务的同时，也通过互联网相关技术工具收集和存储了大量公民个人信息，涉及户籍、教育、就业和社会保障、税务、交通、不动产、卫生和健康、婚姻和生育等诸多民生领域，这些信息重要性和详细程度都非常高。 近年来电子政务中个人信息泄露的事件屡见报端，引发了公众对政府侵犯公民个人隐私问题的讨论。 由此可见，在当前网络空间安全治理工作中，个人信息保护的要求不仅仅局限于电子商务领域以及社交网站和媒体等网络信息平台，电子政务中的个人信息保护更是一个应当被重视的问题。

1 相关研究综述

国内学者对个人信息保护的研究主要集中在定义界定、内容和特征以及信息保护立法等方面，关于电子政务中个人信息保护的研究相对较少。 笔者在中国知网上使用电子政务、个人信息保护、隐私权为关键词进行组合检索，得到的文献仅一百余条，研究主题主要有以某一国家或地区为例，分析其做法，探讨启示；从一般意义上探讨电子政务中个人信息保护面临的问题；从政府信息公开和法律的角度探讨电子政务中隐私权问题；从技术的角度探讨电子政务数据安全方案等。 从具体国家为例的研究中，谢尧雯认为美国通过制定法律与行政体系，构建出一套规范政府信息行为和保障公民个人信息的规则体系，美国电子政务中的个人信息保护核心规则包括：基于数据生命周期的隐私保护机制、隐私风险评估机制、专业化的信息隐私管理机制；[3]邹东升指出加拿大颁布了隐私影响评估政策，用于识别和评估联邦政府提供服务中潜在的个人隐私泄露风险，并在评价该政策的基础上构建了基于隐私风险的数据类别和数据开放类型的平衡框架。[4]从一般意义的问题研究角度，杨绍亮等人从法律法规、标准规范、监管机制、数据主体等方面，分析我国政府在应对个人信息保护中存在的管理问题，并提出相应的对策建议。[5]从电子政务中隐私权问题角度，刘友华等人提出电子政务中侵犯个人信息的主要形式包括不当采集、存储、使用和传播个人信息，提出个人信息安全的威胁主要来自政府在行政管理过程中的不当行为和技术黑客所带来的风险和威胁；[6]何振等人指出由于网络的开放性与共享性以及政务信息自身的重要性，政务信息资源库在收集、传输、存储、使用、处理、共享的过程中存在个人信息安全问题，分析了管理因素和技术因素导致的电子政务对个人隐私权的侵犯。[7]信息公开与个人信息保护的冲突研究方面，巩雨从法律、管理、技术和公民个体方面对公民信息隐私权可能被侵犯的原因进行分析；[8]钟易扬认为现行的《侵权责任法》已经无法适应其特殊的侵权主体和不同的侵权形式，从完善《侵权责任法》的角度探讨我国电子政务隐私权保护方式；[9]吕欣等人认为规范涉及隐私信息的电子政务信息共享流程能够确保隐私信息的正确使用；[10]舒小庆提出了电子政务环境下网络隐私权保护立法构想。[11]从数据安全技术的角度，张连营等人指出电子政务云中存储着如居民社保信息、个人医疗信息等重要数据，一旦被不法分子所利用，将会造成极其恶劣的社会影响，其设计的电子政务云数据安全技术方案包含个人信息保护安全模块。[12]

《2018 联合国电子政务调查报告——发展电子政务，支持向可持续和弹性社会转型》在利用电子政务构建弹性社会所面临的挑战、风险和脆弱性部分指出，在安保、隐私和控制方面，数字连接性的提高导致网络安全问题增加，其中涉及到被创造和共享的大量个人数据的安全、所有权和使用问题，以及保护个人的身份问题。 在构建电子政务之弹性章节指出，网络安全是弹性电子政务转型的重要因素，鉴于网络技术的快速发展，必须尽快修改现有的法律框架，以便保护个人隐私。 提出了具体的措施以减少电子政务中违规和未经授权的数据检索方面的风险，包括尽量减少保存个人敏感数据；加密存储个人数据，过期应予销毁；尽量减少参与数据收集和存储的人员人数；数据备份和外部存储等。[13]

通过综述相关研究，本文探讨我国电子政务中个人信息保护的着眼点和创新点在于：第一，详细剖析电子政务中个人信息保护的重要性，以明确研究意义；第二，全面梳理国家战略、法律、政策、标准、工作要点等文本中最新的相关规定，以明确管理现状；第三，从实际出发，采用案例分析法提炼工作实践中存在的问题，并提出针对性的建议。

2 电子政务中个人信息保护的重要性

2020 年3 月国家标准化管理委员会发布《信息安全技术 个人信息安全规范》，界定了个人信是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。[14]该标准列举的诸多详细类别的个人信息在电子政务业务工作中会被大量收集并存储在政府及相关部门的数据库或云端，在提供政务服务和政务信息公开等工作中使用和传递。 电子政务越来越普及化、智能化、便利化的同时也给公民个人信息安全带来了潜在的威胁，造成了公众对政府信息透明化和公开化的需求与个人信息保护的利益冲突问题。 近年来媒体报道的政府网站泄露个人信息事件使得政府信息公开与个人信息保护的矛盾问题更加凸显，本应作为公民隐私“守门人”的各级政府机关却可能成为泄露公民个人信息的“急先锋”，电子政务中的个人信息保护问题的重要性不言而喻。

2.1 有利于二者在动态平衡中实现双赢

个人信息保护作为衡量电子政务中信息安全的重要标准，与电子政务的发展相辅相成，相互促进，因此，在动态变化中找到电子政务发展和个人信息保护的平衡点会带来双赢的结果。一方面，电子政务的应用推进有助于创造更多的社会效益，但如果社会效益的增长中存在侵犯公民个人信息的隐患，这种效益的可持续性和对社会进步的推动力就会打折扣；另一方面，越来越多的公民具有强烈的个人信息保护意识，电子政务在提供便民利民服务的同时，对个人信息的收集存储使用公开等都有明确规范的流程和规则，才能增强公众对其的信任，以更好发挥作用，助力政府的公共服务和社会治理事业。

2.2 巩固公众对政府的信任，维护公民合法权益

中国互联网协会发布的《中国网民权益保护调查报告2016》的数据显示54%的网民认为个人信息泄露严重，其中21%的网民认为非常严重。 84%的网民亲身感受到了由于个人信息泄露带来的不良影响。[15]相比商业网站和手机应用程序中的用户个人信息保护问题，公众出于对政府的信任，容易忽视自身在电子政务中个人信息保护的权利。 电子政务收集、使用公民个人电子信息，同样应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。 电子政务中履行个人信息保护的责任，既能够巩固并增强公众对政府行为的信任和信心，也是维护公民合法权益的必然要求。

2.3 规范政府的个人信息管理行为，强化电子政务系统安全可靠

近年来，电子政务在实现政府信息化和智能化决策、社会化政府管理、便利化公众服务等方面发挥了重要作用，各级政府在建设和升级电子政务系统时十分重视网络安全问题，也一定程度上关注到个人信息保护的需要。 加强个人信息保护可以为电子政务的内外网建设完善提供保障，有助于健全电子政务系统的安全功能。 合理利用和强化保护电子政务中的个人信息，不仅能够规范政府的个人信息管理行为，也是电子政务系统安全可靠性的重要体现。

3 我国电子政务中个人信息保护现状及问题

随着我国电子政务发展的成熟，电子政务信息安全问题也得到了越来越多的重视。 本部分梳理当前我国电子政务中个人信息保护的现状，通过案例分析，阐明当前电子政务中个人信息保护存在的主要问题。

3.1 电子政务中个人信息保护的现状

3.1.1 完善法律保障，促进依法行政

我国虽然尚未出台专门的个人信息保护法，但在民法典、网络安全法、政府信息公开条例等法律法规中，对个人信息权益、个人信息处理规则、个人信息安全保护措施等进行了相应的规定。 表1 梳理了《民法典》《网络安全法》《身份证法》《政府信息公开条例》三部法律和一个行政法规中针对电子政务中个人信息保护相关条款的规定。

表1 相关法律法规

3.1.2 完善政策和标准支持

通过研究分析近年来国务院发布的与电子政务相关的政策文件，表2 梳理出四份文件的内容表述中直接与电子政务中个人信息保护相关的要点；表中还列出了国家标准《信息安全技术个人信息安全规范》，该标准为电子政务中个人信息安全保护提供了标准化、规范化和可操作的依据。

表2 相关政策和标准文件

3.1.3 加强政务公开中对个人信息保护的关注

国务院办公厅发布的《2018 年政务公开工作要点》第十四点加强政府信息公开审查工作中要求，政府信息公开前要依法依规严格审查，特别要做好对公开内容表述、公开时机、公开方式的研判，避免发生信息发布失信、影响社会稳定等问题。 要依法保护好个人隐私，除惩戒公示、强制性信息披露外，对于其他涉及个人隐私的政府信息，公开时要去标识化处理，选择恰当的方式和范围。[16]这是国办自2012 年开始发布政务公开工作要点以来关于在政府信息公开中保护个人隐私最为详细的表述。 《2020 年政务公开工作要点》对于公共卫生信息公开释放出问题导向的信号，要求加强个人信息保护，尤其对因新冠肺炎疫情防控工作需要收集的个人信息，要严格落实个人信息保护有关规定，采取有效措施保管并妥善处理。[17]这项要点针对公众关心的疫情相关个人信息如何管理的问题，将在电子政务工作实践中给予更多关注和研究制定合理的解决方案。

3.2 存在问题

从上文可以看出个人信息保护的规定零散地分布在网络空间安全和电子政务相关的法律和政策文件条款中，没有一份专门的文件或文件中专门的章节对其进行详细规定；且一般为原则性规定，缺乏实施过程中的可操作性指导，这一定程度上影响了这些条款在电子政务运行实践中的执行力度和落实效果。 近年来，电子政务中个人信息保护问题突出表现在以下几个方面。

3.3.1 政府信息公开公示中的个人信息泄露

在政府信息公开公示的实际工作中泄露个人隐私信息的事件时有发生，主要表现在以下三方面：第一，对贫困户、脱贫名单等信息的公示，包括个人电话号码、住址、身份证号等，并可任意下载获取。[18]《关于某县2017 年度建档立卡贫困户名单的公示》的附件中披露了该县多个行政村贫困户姓名、完整身份证号码、文化程度、健康状况等详细信息，所涉信息总量近一万条。 第二，对公民身体健康、社会保障和社会救济等信息发布中泄露个人隐私。 2017 年某市政府信息公开网发布了《阳光社区2017 孕前优生健康检查人员名单》，其中公布了40 对夫妻的姓名及检查日期，其中77 人的身份证号码完整呈现，名单仅对现居住地地址做了模糊处理。 第三，在涉及居民住房和惠民补贴等信息发布中泄露个人隐私。 2019 年某县政府官网公示的《某县城镇住房保障事务配租审核对象名单公示》附件中的8 份名单均包含人员姓名、身份证号、家庭人口，公示期已过去较长时间，公示信息仍显示在网站上；该县《2019 年危房改造资金发放公示》共包含373 条危改户信息，显示了危改户户主姓名和身份证号码、危改对象姓名和身份证号码以及“两折两卡”号码。[19]这些真实的政府官网泄露公民个人信息事件给政府信息公开公示工作敲响了加强个人信息保护的警钟。

3.3.2 政务系统漏洞带来个人信息泄露风险

2015 年补天漏洞响应平台的数据显示，已超过30 个省市在社保系统、户籍查询系统、疾控中心、医院等系统中存在高危漏洞，仅社保类信息安全漏洞统计就高达5279.4 万条，涉及人员数千万，社保系统存储了包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息，[20]一旦被窃取或泄露，后果不堪设想。 政务系统中存储和处理的个人信息与民生息息相关，系统的漏洞和脆弱性使得在面临大规模的网络攻击时极易造成信息泄露，这类网络安全风险问题不容小觑。

3.3.3 工作人员主观因素导致侵犯个人信息权利

现实案例中，该问题主要表现在两方面：一是工作人员在个人信息录入和维护中出现失误。在某市公安局交通警察支队与杜某等行政注销纠纷案件中，由于他区公安分局工作人员错误录入信息，导致某市公安局交通警察支队按照错误信息把杜某的机动车驾驶证注销。 电子政务系统由政府机构内部运行维护，公众难以发现工作人员在信息录入和维护时出现的失误，只有当个人信息已泄露或已造成严重后果时，公民才有可能后知后觉发现自身合法权益受到侵害。 二是工作人员对公民个人信息的保护意识淡薄。2020 年疫情期间，在大规模的个人信息收集和排查工作的特殊背景下，部分地区陆续出现了身份证号码、电话号码、家庭住址、行程等个人信息泄露问题。 某乡镇社区计生部门的工作人员，为了满足朋友的好奇心，将一份用于防疫工作排查的人员信息表通过微信发送给朋友；[21]某区卫生健康局副局长通过微信将一份病例调查报告转发给该区财政局工作人员，他们将属于内部工作文件且涉及多人隐私的信息转发给无关人员，最终导致信息在微信群广泛传播，不仅违反了疫情防控工作纪律，而且侵害了公民个人隐私，致使部分居民的日常生活受到干扰，造成了不良的社会影响。

3.3.4 政府网站检查和监管工作考核中没有个人信息安全相关指标

2019 年4 月国务院办公厅发布了《政府网站与政务新媒体检查指标》和《政府网站与政务新媒体监管工作年度考核指标》，指标体系主要包括网页设计、信息发布、办事服务、互动交流等方面的具体评价标准，[22]其中将安全、泄密事故等严重问题作为单项否决的一级指标表明了政府网站和政务新媒体对安全保密的重视，但在列出的6 项二级指标中泄密相关的只有泄露国家秘密，没有涉及个人和组织敏感信息保护。 政府网站和政务新媒体运行中安全保密要求的全面性有待提高。

4 加强电子政务中个人信息保护的建议

针对上文分析的具体问题，可以从法律规范、制度约束、人才培养等方面探索解决措施。

4.1 完善顶层设计，推进立法工作进程

网络安全无小事，电子政务信息安全关系着政务业务的平稳有效运行，应从顶层设计上规范电子政务中信息安全工作的指导思想和整体布局。 根据2020 年6 月公布的调整后的全国人大常委会2020 年度立法工作计划，个人信息保护法将要接受全国人大常委会初次审议，这是我国推进完善个人信息保护相关法律法规的重要工作环节。 个人信息保护法立法完成后，电子政务领域个人信息保护的法律保障将进一步加强，相关工作的法制化规范化水平将进一步提升，与此同时，建议推进出台配套的专门针对电子政务领域个人信息安全问题的行政法规，推动相关政策的制定和落实。

4.2 构建电子政务系统安全运行管理机制

政府应重点关注电子政务系统的运行安全，坚持“数据不泄露、服务不停止”原则，制定全面有效的管理规范和工作流程。 建立电子政务敏感信息管理机制，制定配套的具体规章制度，如工作说明书和人员守则；建立电子政务信息安全监管机制，设置专门的监管部门，对各级政府电子政务信息安全，特别是个人信息保护工作进行监督检查，及时发现信息安全隐患。 落实等级保护相关规定，定期进行漏洞扫描和技术检查，防患于未然。

4.3 制定明确的个人信息公开公示标准

在严格遵守政府信息公开公示的原则性规定基础上，进一步制定统一的和可操作的具体标准，规范不宜公开的个人信息应采用何种脱敏处理方法；明确规定涉及个人信息的公开公示在网络平台上显示的最长时限；针对已经发布的涉及个人敏感信息的内容，制定具体的修改或撤销办法；对标准施行后的执行情况进行常态化检查，接受公众监督。

4.4 加强电子政务专业人才培养和网络安全教育

人力资源是影响电子政务系统安全可靠运行的关键因素，政府工作人员的网络安全素养对电子政务安全的影响不容忽视。 要建立健全电子政务人才管理制度，科学选人用人，专业教育培训，合理考核激励，着力培养既懂技术又懂管理的电子政务专业人才。 进一步加强公民网络安全教育，尤其是对政府工作人员，引导公众从思想上提升对个人信息保护的敏感度。

4.5 将个人信息保护纳入评价考核体系中

完善政府网站与政务新媒体检查指标体系，在安全、泄密事故等严重问题一级指标下增加个人信息保护相关的二级指标。 在电子政务工作人员考核中，可将个人信息泄露列入减分项或负面清单，督促相关人员在日常工作中重视个人信息保护，当好电子政务中的个人信息“守门人”。