使用者該怎麼捉資料洩露的“BUG”

Editor發表於2018-12-19

近日,移動社交平臺陌陌被爆有3000萬條使用者資料在暗網(儲存在網路資料庫裡、但不能通過超連結訪問的資源集合)上被售賣。賣家宣稱,這些資料包含使用者手機號、密碼等敏感資訊。陌陌方面回應稱,網傳遭洩露的資料為三年前的資料,且跟陌陌使用者的匹配度極低。


11月30日,萬豪國際集團通過官方微博表示,旗下喜達屋酒店的客房預訂資料庫被黑客入侵,多達5億人次的詳細資訊可能遭到洩露,其中高達3.27億人次的洩露資訊包括名字、電話號碼、護照號碼、到達和離店資訊等。而且,部分入住者的信用卡支付卡號、支付有效期也遭到洩露,雖然已經加密,但不能排除部分使用者可能遭遇財產風險。


隨著網際網路的發展,許多使用者的個人資訊在不經意間就被獲取、儲存、交易、利用,與之相關的資料洩露事件也頻頻發生。但是,相應的使用者維權過程則非常艱難。由於取證難、訴訟成本高等,大多數使用者對自己的隱私資訊被洩露“敢怒不敢言”,許多企業也因成本較高、監管較鬆,並未履行好保護使用者個人資訊的責任。


鑑於上述困境,業內人士呼籲,個人資訊保護領域的制度安排需要進一步細化、嚴格化,事前督促企業及時行動,事後懲戒違法行為。



百部法律法規沒有堵住資料漏洞


據不完全統計,2018年每個季度都發生了規模巨大的資料洩露事件。3月,Facebook上至少700萬條使用者資訊被洩漏;6月,圓通快遞10億條資料(含有收寄件人的姓名、電話、地址等隱私資訊)在暗網上被以1比特幣的價格打包出售;8月,華住集團旗下多個連鎖酒店的使用者資料在暗網售賣,資料洩露總數接近5億條……


頻頻發生的資料洩露事件,已經給每個網民帶來真實的風險和危害。中國網際網路協會發布的《中國網民權益保護調查報告》顯示,僅2016年國內就有6.88億網民因垃圾簡訊、詐騙資訊、個人資訊洩露等造成經濟損失,估算達915億元。有54%的網民認為個人資訊洩露情況嚴重,有84%的網民曾親身感受到因個人資訊洩露帶來的不良影響。


資料洩露的“幽靈”如此活躍,如果保護個人資訊的制度利器不能發揮作用,損失將會越來越大。


目前,我國已經陸續頒佈、實施了一系列保護個人資訊的法律、法規,尤其是2017年正式實施的《網路安全法》,強調了中國境內網路運營者對所收集到的個人資訊應承擔的保護責任和違規處罰措施。但在使用者層面,據此開展的維權行為仍然面臨重重困難。


首先,在“個人資訊”的界定標準上,企業和使用者的看法經常不一樣。中國政法大學智慧財產權中心特約研究員趙佔領表示,個人資訊的關鍵定義是“具有身份識別性”,可分為身份證號碼等直接識別資訊和手機號碼等間接識別資訊,但有不少企業通過大資料分析,給使用者做鑑證畫像,這類行為是否屬於間接識別使用者個人資訊?業內對此還有不少爭議。


其次,使用者即使發現個人資訊已遭洩露,想要取證也非常艱難。中國社會科學院法學所研究員呂豔濱指出,在大多數情況下,使用者連企業是否獲取、如何獲取、獲取了多少自己的個人資訊都很難找到證據。


中國消費者協會11月28日釋出的《100款App個人資訊收集與隱私政策測評報告》顯示,開展測評的100款App中多達91款列出的許可權涉嫌“越界”,即存在過度收集使用者個人資訊的問題;僅有53款App的隱私條款得分達到及格分以上;有13款App具備隱私條款,但得分低於及格分;另有超過三分之一(34款)的App隱私條款得分為0,即未對使用者公佈個人資訊隱私條款。


“我們面對的是很隱蔽的資訊處理活動,究竟在哪個環節出的問題,究竟誰掌握了我們的資訊,怎麼處理的,怎麼洩漏的,這些都很難知道。”呂豔濱認為,關於個人資訊保護中企業的責任,比如如何獲取、如何處理、如何保護等問題,我國現有法律只有原則性規定,並沒有具體解釋和行動指南,這在客觀上給使用者維權帶來了困難。


重慶大學網路與大資料戰略研究院院長齊愛民曾統計過,我國涉及到個人資訊的法律有50多部,行政法規40多部,司法解釋或者檔案40多部,部門規章更是多達700多部。但是眾多法律法規並沒有形成完整體系,如此鬆散的制度設計導致使用者維權難、企業違法行為難以認定、監管不到位等情況。



公益訴訟是資訊保護的利劍嗎


就在我國的使用者和法律人士為個人資訊保護舉證難犯愁之際,一些資料洩露事件的當事企業已經陷入一些國家的使用者群體和法律人士提起的訴訟。


萬豪集團宣佈其5億客戶資訊洩露之後的幾個小時,兩位來自美國俄勒岡州的萬豪酒店客戶提起了集體訴訟,索賠125億美元——5億受到影響的客戶每人25美元,另有兩家位於美國馬里蘭州的律師事務所對萬豪集團提起了第二起集體訴訟。


我國並沒有與美國一樣的集體訴訟制度,但設立了與之類似的共同訴訟與代表人訴訟制度。若某行為人實施了侵害他人的侵權行為,被侵權人主體為2-10人,則適用共同訴訟制度,這些被侵權人可以選擇一同起訴。如果當事人一方人數眾多(超過10人),可由當事人推選代表人進行訴訟。


但在現實案例中,我國的共同訴訟更多地在環境保護、消費者權益保護等案件中得以應用,個人資訊保護領域較少出現。除了在證券市場,規模較大的代表人訴訟也很少見,司法機關對人數眾多的訴訟仍然保持謹慎態度。


北京潮陽律師事務所律師胡鋼認為,在眾多資料洩露事件中,使用者本人可能並不知道自己的資訊已經洩露,即便知曉,維權的可選項也實在有限。因此,他建議擴大此類事件中的公益訴訟比重,由消費者權益保護組織或相關行政機關、檢察院代表特定消費者提起公益性訴訟,從而解決個人取證能力差、訴訟成本過高、涉及人員眾多等問題。


此前,個人資訊保護的公益訴訟已有全國首個案例。2017年12月,江蘇省消費者權益保護委員會對北京百度網訊科技有限公司涉嫌違法獲取消費者個人資訊及相關問題提起消費民事公益訴訟。2018年1月2日,南京市中級人民法院正式立案。


不過,這一案例並未進入實質訴訟階段。3月,江蘇省消保委宣佈,鑑於百度公司對App整改到位,其已向南京中院提交了該案的《撤訴申請書》,南京中院隨後准予了這一申請。


齊愛民表示,雖然因為制度和現實原因,公益訴訟在我國個人資訊保護領域運用得很少,但一旦運用,其必將產生直接作用。上述案例也表明,消協具有對該類行為提起訴訟的權力,對其他企業也起到了警示作用。


“我們應該給消費者傳達最簡單的聲音,給予最直接有效的幫助,不應該讓消費者去操心具體複雜的操作步驟,被迫成為法律專家。”胡鋼表示,個人資訊保護法已經列入本屆全國人大常委會立法規劃,下一步應優先強化個人資訊保護案件中的民事責任賠償制度。


在國外案例中,個人資訊侵權的集體訴訟案件經常會達成和解。例如,2016年雅虎被曝出大規模被黑客盜取使用者資料事件,隨後遭到多個國家消費者的集體訴訟,後來雅虎與原告方達成和解協議,共賠償8500萬美元。


呂豔濱指出,國外的很多案例之所以達成和解,是因為訴訟後這些企業可能要付出更大代價,也可能面臨主管部門開出的數倍罰單。事實上,今年5月生效、以資料隱私保護為宗旨的歐盟《通用資料保護條例》(GDPR)就規定,一旦違反該法案,企業將被處以1000萬到2000萬歐元,或全球年營業額2%到4%的高額行政罰款。


但很遺憾的是,我國尚缺乏此類嚴厲的行政處罰制度。“這樣就沒辦法把違法企業拉到談判桌上。”呂豔濱建議,主管部門應該從源頭治理入手,通過制度細則明確哪些企業可以以何種方式掌握使用者個人資訊,以及這類資訊可以怎麼共享,應如何保障其安全,對個人資訊獲取、共享、利用的全過程建立透明的、統一的規則。(記者 王林)


來源:中國青年報

宣告:本網站所提供的資訊僅供參考之用,並不代表本網站贊同其觀點,也不代表本網站對其真實性負責。 




更多資訊:


1、雙重認證並非100%安全:新技術證實可成功入侵Gmail賬號


2、比特幣勒索捲土重來,罪犯敲詐了 4 個國家,入賬不到 1 美元


3、雙重認證並非100%安全:新技術證實可成功入侵Gmail賬號


4、FBI 數萬名特工資訊遭披露,英美法多國情報機構均受影響


相關文章