不久前發(fā)生的一系列事件讓個(gè)人信息安全再成輿論熱點(diǎn):華住旗下多家酒店品牌疑似發(fā)生大規模信息泄露事件,數據涉及約1.23億條官網(wǎng)注冊資料、1.3億條入住登記身份信息;有“暗網(wǎng)”用戶(hù)聲稱(chēng)手握3億條順豐快遞客戶(hù)數據,包括寄收件人姓名、地址、電話(huà)等個(gè)人信息,并積極叫賣(mài)……
網(wǎng)絡(luò )時(shí)代,我們的個(gè)人信息安全狀況如何?誰(shuí)是個(gè)人信息泄露的幕后“黑手”?護航個(gè)人信息安全,政府和企業(yè)需要再做些什么?
個(gè)人身份信息最容易被侵犯
全國消協(xié)組織受理的消費者投訴數據顯示,今年上半年,電商平臺、社交平臺軟件等非法采集消費者個(gè)人信息現象成消費投訴新熱點(diǎn),位居十大投訴榜榜首。不久前,中消協(xié)發(fā)布的《APP個(gè)人信息泄露情況調查報告》(以下簡(jiǎn)稱(chēng)《報告》)也反映,遇到過(guò)個(gè)人信息泄露情況的人數占比為85.2%。
“網(wǎng)絡(luò )具有即時(shí)性與虛擬性,加上個(gè)人信息被廣泛采集卻未受到良好保護,公民個(gè)人信息一旦泄露,普遍存在舉證難、損失認定難的情況,因此,個(gè)人信息泄露問(wèn)題沒(méi)得到有效治理。”中國法學(xué)會(huì )消費者權益保護法研究會(huì )副秘書(shū)長(cháng)陳音江說(shuō)。
“個(gè)人信息主要有三種形式:第一種叫個(gè)人隱私信息,這是隱私權保護的范圍;第二種叫個(gè)人身份信息,如身份證號碼、電話(huà)號碼、個(gè)人賬戶(hù)信息等,用個(gè)人信息權予以保護;第三種是衍生數據,是對網(wǎng)絡(luò )上留存的海量的個(gè)人數據進(jìn)行加工處理形成的新數據,已經(jīng)與個(gè)人的身份信息脫敏。”中國人民大學(xué)法學(xué)院教授楊立新認為,個(gè)人隱私信息和個(gè)人身份信息都要依照法律的規定進(jìn)行支配,只有衍生數據才可以在大數據時(shí)代中進(jìn)行商業(yè)處理。
楊立新認為,最容易被侵犯的個(gè)人信息是身份信息,各類(lèi)商業(yè)推銷(xiāo)、電信詐騙等大多是基于個(gè)人身份信息泄露而出現的?!秷蟾妗凤@示,約86.5%的受訪(fǎng)者曾收到推銷(xiāo)電話(huà)或短信的騷擾,約75.0%的受訪(fǎng)者接到詐騙電話(huà),約63.4%的受訪(fǎng)者收到垃圾郵件,這是最常見(jiàn)的三大問(wèn)題。此外,消費者還面臨著(zhù)收到非法鏈接、個(gè)人賬戶(hù)密碼被盜等風(fēng)險。
據介紹,去年3月,公安部開(kāi)展了打擊整治黑客攻擊破壞和網(wǎng)絡(luò )侵犯公民個(gè)人信息犯罪專(zhuān)項行動(dòng),僅4個(gè)月就偵破相關(guān)案件1800余起,查獲各類(lèi)被非法倒賣(mài)公民個(gè)人信息500余億條。
手機應用軟件過(guò)度采集個(gè)人信息
《報告》發(fā)現,個(gè)人信息泄露的兩條最主要途徑,一是經(jīng)營(yíng)者未經(jīng)本人同意暗自收集個(gè)人信息,二是經(jīng)營(yíng)者或不法分子故意泄露、出售或者非法向他人提供個(gè)人信息,這兩者均超過(guò)調查總樣本的60%。
據了解,部分APP會(huì )“私自竊密”。例如,部分記賬理財APP會(huì )通過(guò)留存消費者的個(gè)人網(wǎng)銀登錄賬號、密碼等信息,并模仿消費者網(wǎng)銀登錄的方式,獲取賬戶(hù)交易明細等信息。有的APP在提供服務(wù)時(shí),采取特殊方式來(lái)獲得用戶(hù)授權,這本質(zhì)上仍屬“未經(jīng)同意”。例如,在用戶(hù)協(xié)議中,將“同意”之選項設置為較小字體,且已經(jīng)預先勾選,導致部分消費者在未知情況下進(jìn)行授權。
另外,手機APP過(guò)度采集個(gè)人信息呈現普遍趨勢。“最突出的是在非必要的情況下獲取位置信息和訪(fǎng)問(wèn)聯(lián)系人權限。”中消協(xié)秘書(shū)長(cháng)朱劍雄說(shuō),“比如,像天氣預報、手電筒這類(lèi)功能單一的手機APP,在安裝協(xié)議中也提出要讀取通訊錄,這與《全國人民代表大會(huì )常務(wù)委員會(huì )關(guān)于加強網(wǎng)絡(luò )信息保護的決定》明確規定的手機軟件在獲取用戶(hù)信息時(shí)要堅持‘必要’原則相悖。”
《報告》還發(fā)現,在安裝和使用手機APP時(shí),很少有用戶(hù)仔細閱讀應用權限和用戶(hù)協(xié)議或隱私政策。“不授權就沒(méi)法用,只能被迫接受。”不少消費者在接受采訪(fǎng)時(shí)表示。
“雙方當事人無(wú)法進(jìn)行面對面協(xié)商,這決定了消費者只能先接受平臺提出的交易規則,否則就無(wú)法進(jìn)行交易。”楊立新說(shuō),問(wèn)題的關(guān)鍵在于,網(wǎng)絡(luò )交易平臺提供的交易規則是否合法,“對此,商務(wù)、市場(chǎng)監管等有關(guān)部門(mén)在實(shí)體和程序上都做了規定。若交易規則內容違法,消費者可以主張廢除該規則,也可以行使撤銷(xiāo)權撤銷(xiāo)該交易,造成損害的還可以請求損害賠償。”
與此同時(shí),個(gè)人信息買(mǎi)賣(mài)已形成一條規模大、鏈條長(cháng)、利益大的產(chǎn)業(yè)鏈。“這條產(chǎn)業(yè)鏈結構完整、分工細化,個(gè)人信息被明碼標價(jià),流通變現環(huán)節主要包含三個(gè)方面。”據中國人民大學(xué)法學(xué)院博士后劉笑岑介紹,上游環(huán)節負責“源頭供貨”,非法獲取或向他人提供個(gè)人信息,主要來(lái)自于黑客攻擊和“內鬼”外泄;中游環(huán)節負責對從上游處獲取的個(gè)人信息進(jìn)行處理與再加工,通過(guò)買(mǎi)賣(mài)、交換等形式形成規?;袌?chǎng);下游環(huán)節負責“應用變現”,將所獲個(gè)人信息應用于電信詐騙、惡意營(yíng)銷(xiāo)等不法渠道以牟取高額利潤。
在公安部今年的“凈網(wǎng)2018”專(zhuān)項行動(dòng)中,公安機關(guān)對侵犯公民個(gè)人信息犯罪、黑客攻擊破壞犯罪和非法銷(xiāo)售“黑卡”犯罪進(jìn)行嚴厲打擊,半年內抓獲犯罪嫌疑人8000余名,其中涉電信服務(wù)商、互聯(lián)網(wǎng)企業(yè)、銀行等行業(yè)內部人員300余名,黑客1200余名,繳獲“黑卡”270余萬(wàn)張。
引導行業(yè)建立個(gè)人信息分級分類(lèi)保護體系
據統計,目前有近40部法律、30余部法規涉及個(gè)人信息保護,包括民法總則、刑法、消費者權益保護法、網(wǎng)絡(luò )安全法以及新近通過(guò)的電子商務(wù)法。
楊立新認為,現有的法律法規已經(jīng)足以保護個(gè)人信息,問(wèn)題在于,侵害個(gè)人信息構成犯罪的,能夠追究其刑事責任,但對于侵權行為,仍然制裁不力。“重點(diǎn)是加強司法上的民法保護,在懲戒手段、賠償問(wèn)題上落實(shí)落細,加強對侵害個(gè)人信息權行為的打擊力度,承擔賠償責任。”“個(gè)人信息保護的主管機關(guān)還未確定,目前公安、工信、網(wǎng)信、司法等多家部門(mén)都在管,需擰成監管合力。”劉笑岑認為,還處于立法計劃當中的個(gè)人信息保護法,將來(lái)應致力于解決這些問(wèn)題。
個(gè)人信息泄露的源頭是什么?“問(wèn)題出在過(guò)度采集上。”陳音江說(shuō),“合法、正當、必要”六字是目前相關(guān)法律對個(gè)人信息采集和使用的規定,必須貫徹落實(shí),同時(shí)要盡快明確,哪些事項必須通過(guò)實(shí)名制注冊或辦理,哪些事項無(wú)需實(shí)名,避免信息采集主體過(guò)多、實(shí)名登記事項過(guò)度。
“如何引導行業(yè)對于個(gè)人信息進(jìn)行分類(lèi),構建分級分類(lèi)保護體系,這是當前個(gè)人信息防泄露問(wèn)題要著(zhù)重考慮的一項。”騰訊守護者計劃安全專(zhuān)家馬瑞凱說(shuō)。
受訪(fǎng)專(zhuān)家表示,個(gè)人信息獲取、存儲和利用的環(huán)節眾多,許多信息的傳播又具有隱蔽性和復雜性,做到切實(shí)保障公民個(gè)人信息安全,需要公民、信息采集機構、技術(shù)人員和有關(guān)部門(mén)協(xié)同共治。就企業(yè)管理層面而言,要推動(dòng)數據防竊密、防篡改、防泄露等安全技術(shù)的研發(fā)和部署,有效降低不法分子竊密風(fēng)險;就監管部門(mén)而言,要進(jìn)一步加大對電信詐騙、網(wǎng)絡(luò )詐騙等違法犯罪活動(dòng)的打擊力度,持續形成高壓態(tài)勢,保護消費者的合法權益。
