在對全國100多萬份調查問卷進行系統分析研究後,《中國個人資訊保安和隱私保護報告》(以下簡稱《報告》)近日釋出。本次調研顯示出,當前公民個人資訊遭受侵害的程度,令人觸目驚心。
《報告》披露:超過七成以上的人都認為個人資訊洩露問題嚴重;多達81%的人收到過對方知道自己姓名或單位等個人資訊的陌生來電;53%的人因網頁搜尋、瀏覽後洩露個人資訊,被某類廣告持續騷擾;在租房、購房、購車、考試和升學等個人資訊洩露後,受到營銷騷擾或詐騙的高達36%。
兩成人曾受電信詐騙恐嚇
由中國青年政治學院網際網路法治研究中心和封面智庫聯合釋出的這份《報告》顯示,有26%的人每天收到2個以上的垃圾簡訊,20%的人近一個月來每天收到兩個以上騷擾電話。
《報告》還顯示,在遭遇個人資訊侵害時,經歷郵箱、即時通訊、微博等網路賬號密碼被盜的參與調研者佔40%,因在網站留下個人電話和註冊網路金融服務而遭遇各類騷擾和詐騙的參與調研者都在30%以上,遭遇針對銀行卡、信用卡和網路交易詐騙以及被“簡訊炮”、“撥死你”電信騷擾的參與調研者比例在20%以上,被冒充公檢法、稅務機關的不法分子詐騙、恐嚇的參與調研者比例達19%,明確知道個人和家庭資訊被販賣、洩露的參與調研者比例達18%。
此外,即便最少的資料比例,即“個人隱私資訊被網站公佈”、“購買機票後收到航班異常的電話或簡訊詐騙資訊”也達9%。
60%受訪者不知如何維權
在日常生活中,證件影印件、快遞單和手機是洩露個人資訊的重要載體。《報告》顯示:有高達55%的人將證件影印給相關機構時,從不註明用途;47%的人經常將寫有個人資訊的快遞單直接扔掉而不加處理;超過27%的人在停用、登出手機號的時候,甚至不去銀行、支付寶、網站等變更繫結的手機號。
在被問到發現個人資訊洩露會採取什麼行動的問題時,71%的參與調研者選擇了掐斷電話或不予理睬,選擇拉黑及拒接的比例為63%;僅有20%左右的參與調研者選擇了舉報、投訴、報警等積極應對措施。
在解釋未能維權的原因時,半數以上的參與調研者因不知如何維權(佔60%)和沒有發現經濟損失(佔56%)而選擇了沉默。
值得關注的是,參與調研者中有高達44%的比例選擇了因維權程式太複雜、成本太高而放棄維權,另有34%的人是因缺少維權證據而無奈放棄。最為消極的是“維權成功也沒有好處”選項,也有14%的選擇比例。
量刑過輕震懾力有限
針對此次調查發現的問題,《報告》認為,儘管目前我國針對個人資訊保護存在諸多法律規定,但基本都分散在效力層次不一的各種法律法規乃至規範性檔案。因此建議,應儘快通過一部統一的個人資訊保護法規,對相應法律進行系統化梳理和整合。
《報告》指出,儘管當前針對個人資訊的非法獲取與利用的司法判決為數不少,但與個人資訊洩露的普遍狀況相比,並不成比例。特別是個人資訊洩露與電信詐騙等犯罪活動結合之後,造成了重大的損失和巨大的社會影響,亟需加大懲處力度,增加犯罪成本,以切實起到威懾作用。
“我們做了一個案例資料庫檢索,只找到相關的40多個案例的判決書。而在這其中,只有5個案例是判決侵犯個人資訊的罪犯是超過一年,超過兩年的更是僅有兩個案例。這樣的比例也說明,我們刑法的量刑規定不是很高,在實踐中震懾力還比較有限。這同樣也印證了維權困難導致受侵害人維權意願低下的觀點。”《報告》執筆人、中國青年政治學院網際網路法治研究中心執行主任劉曉春說。
中國青年政治學院副校長、網際網路法治研究中心主任,最高人民法院刑一庭副庭長林維認為,應建構統一的立法框架、加大司法打擊力度、確立順暢維權渠道。“把關注的焦點從事後的懲處轉移到事前的防範上來,從非法資料產業鏈的源頭堵住資料洩露的可能性,才有希望從根本上治癒這一頑疾,迎來個人資訊保護的藍天。”
芝麻信用成實踐樣本
《報告》同時指出,實現健康市場秩序的具體模式,其構架可以通過建設“基礎法律規範、行業通用標準、企業最佳實踐”的架構來實現。
在此方面,劉曉春介紹,經過《報告》課題組專家調查研究,建議可根據芝麻信用等徵信機構形成的實踐樣本,提高徵信機構和資料資訊行業的准入門檻,建立個人資訊分類保護、全面落實使用者授權機制、嚴格規範內部管控流程、完善洩露危機應急預案,讓這個成為整個資料資訊行業的通用標準。
例如,以手機app等軟體為例,芝麻信用等企業建立內部資訊採集規範,只採集與評估使用者信用狀況有關的資訊,而不採集使用者的聊天、通話等個人隱私資訊,不得追蹤使用者在社交媒體上的言論資訊。
同時,芝麻信用在合作伙伴的選擇上實行類似於“黑名單”制度,設立了外部輿情監測機制,一旦發現合作商戶存在資訊洩露或違法違規採集/輸出使用者資訊的情況時,會及時評估事件對使用者資訊保安造成的風險或潛在威脅,甚至決定中止或終止與合作商戶的合作。
螞蟻金服副總裁、芝麻信用總經理胡滔在會上透露,芝麻信用已通過英國標準協會權威評估認證,成為國內首家獲得ISO27001:2013國際資訊保安管理體系認證證書的徵信機構。
“在資訊保安管理方面,芝麻信用嚴格按照國際資訊保安最佳實踐要求實施,即使投入成本,改變流程,也要盡最大努力保護使用者的個人資訊和隱私安全,這也是我們對使用者的承諾。我們也希望,芝麻信用陽光公約的相關原則和做法,能成為更多同業的共識。”她說。(來源:法制日報 記者 餘瀛波)
附:《中國個人資訊保安和隱私保護報告》全文
中國個人資訊保安和隱私保護報告
中國青年政治學院網際網路法治研究中心
&封面智庫聯合釋出
2016年11月
報告摘要
我國資訊化建設的推進和網際網路應用的普及,推動了社會大發展和新變革的同時,也為個人資訊保安帶來了新挑戰。
侵犯公民個人資訊犯罪以及因此滋生的電信、網路詐騙等下游違法犯罪行為已造成社會巨大損失,嚴重影響社會安定,成為社會公害。
在執法部門投入大量社會資源進行的持續高壓打擊之下,一系列大規模侵犯個人資訊犯罪案件告破,不法分子囂張氣焰得到遏制,但仍呈現出屢打不絕的態勢。
要改變公民個人資訊頻遭洩露侵害的社會現實,需要全方位建立個人資訊保安的社會保障體系:
對於公眾,需要進一步清晰個人資訊洩露造成的危害、掌握有效防範技能並樹立維權意識;
法制建設方面,要改變現有個人資訊保護法律法規過於分散的現實,建議儘快制定統一、系統的《個人資訊保護法》,為公民維權、打擊犯罪提供便捷途徑;
從司法實踐來看,應進一步強化打擊的威懾力,重點打擊以侵害個人資訊生利的黑色產業鏈;
從資訊相關產業和市場的角度,個人資訊保護和合法使用,需要通過市場機制、社會共治的模式,充分發揮產業界技術優勢和創新能力,通過產業界的自律和他律,促進健康有序的市場規範的形成,通過包括市場手段在內的多種手段懲戒、共治違法違規者,防止劣幣驅逐良幣的情況出現,推動形成個人資訊保護方面優勝劣汰的良性篩選機制。
專家評述
個人資訊治理應當注重事前防範
勝於事後打擊
林維/中國青年政治學院副校長
網際網路法治研究中心主任、最高人民法院刑一庭副庭長
“徐玉玉案”引發了全社會對個人資訊洩露現狀的高度關注和熱議,但是個人資訊洩露和保護問題由來已久,網際網路的發展也使得個人資訊的地下交易產業鏈更加隱蔽、難以追蹤。
目前,針對個人資訊洩露及其引發的電信詐騙等犯罪活動,已經引起了公安部等部門的高度重視,也投入了大量的金額和資源進行打擊,近期開展的打擊整治網路侵犯公民個人資訊犯罪專項行動也獲得了明顯的成效。
但是,事後的打擊和懲處依然未能根除個人資訊洩露和侵害現象,民眾對於自身個人資訊洩露的感受依然普遍強烈,並對維權途徑所知甚少、維權效果信心不足。
本次《中國個人資訊保安和隱私保護報告》的撰寫,是基於100餘萬份問卷調查反饋的資訊,用大資料的方式展現了當下民眾面對個人資訊洩露現狀的焦慮和無助。
統計資料表明,個人資訊保安已成為社會普遍焦慮,個人資訊洩露引發的騷擾密度與社會經濟和資訊化發展程度成正比,公民個人資訊遭侵害程度觸目驚心。
而與這些相對應的,是民眾防範意識不強,保護意識薄弱,維權動力不足。
對此,立法、行政和司法機關的確應該當仁不讓承擔起治理亂象的重任。在梳理了立法、行政和司法實踐現狀之後,報告建議建構統一立法框架、加大司法打擊力度、確立順暢維權渠道。
法律制度上固然應當建立起一道堅實的保護壁壘,但是,鑑於個人資訊洩露的複雜性和隱匿性,把希望主要寄託在通過法律進行事後打擊和治理,恐怕並非治標之良策。
個人資訊侵害行為發現和查處難度明顯大於傳統犯罪,導致事後懲處無法產生足夠的威懾力。因此,應當把關注的焦點從事後的懲處轉移到事前的防範上來,從非法資料產業鏈的源頭堵住資料洩露的可能性,才有希望從根本上治癒這一頑疾,迎來個人資訊保護的藍天。
報告的後半部分主要關注產業界資料處理的規範構建,正是這種事前防範思路的反映。在個人資訊獲取、儲存、利用的合規化處理方面,產業界相對於政府部門,擁有更加專業化的技術能力,也具有更強的規則體系建設的驅動力。報告創新性地提出建設“基礎法律規範、行業通用標準、企業最佳實踐”的治理構架,並結合徵信機構等行業企業的實踐,在符合法律法規最基本要求的基礎上,梳理並勾勒出豐富、細緻、生動的產業實踐,呼籲設立行業標準,確立企業最佳實踐的模板,推動企業以自律的方式承擔起保護個人資訊的社會責任,在獲取、儲存、利用個人資訊的各個環節,都設立並貫徹嚴格的自律規範,通過技術手段的提高和安全規則的完善,截斷非法洩露、濫用個人資訊的源頭,從而建立起個人資訊合規利用的良性生態,進而推動資料產業的健康、有序發展。
專家評述
以舉證責任倒置破解個人資訊保護難題
傅蔚岡/上海金融與法律研究院執行院長
個人資訊保安已經成為當下中國社會最為關注的公共議題之一,尤其是自今年震驚全國的“徐玉玉案”發生後。更讓人驚訝的是公安部門在此事件之後釋出的相關資料。
2016年7月20日,公安部官網以《公安機關打擊整治網路侵犯公民個人資訊犯罪成效顯著》為題報導了公安部門打擊侵犯公民個人資訊犯罪的努力。內容顯示,自2012年起,公安部就多次部署全國各地公安機關開展集中打擊侵犯公民個人資訊犯罪行動且收穫頗豐。
最近一次是自今年4月起、為期半年的打擊整治網路侵犯公民個人資訊犯罪專項行動,截至7月,全國公安機關即累計查破刑事案件750餘起,抓獲犯罪嫌疑人1900餘名,繳獲資訊230餘億條,清理違法有害資訊35.2萬餘條,關停網站、欄目610餘個。
230餘億條的資訊固然讓人驚訝,但是也與公眾的印象相差不遠。被垃圾簡訊騷擾或者陌生電話推廣,幾乎已經成了我們生活的日常。
如何破解個人身份資訊洩露的難題?《中國個人資訊保安和隱私保護報告》系統梳理了當下中國個人資訊保安問題,並且提出了非常有針對性的建議,並且從個人、市場與社會;立法、執法和司法等多層次探討了今後該努力的方向。
毫無疑問,這些建議非常有針對性。如果能得到落實,那麼個人資訊保安將會大幅度得以改善。不過即便如此,短期內個人身份資訊洩露的狀況要大幅度改善,可能還是會有很大的難度。
難度來自於舉證責任。眾所周知,絕大多數的個人身份資訊洩露並不屬於刑事責任,因此公安部門無法派遣大量的人力和資源來查辦此類案件——事實上也並不經濟。
在民事糾紛中,要求讓洩露個人資訊的機構或這個人承擔民事責任也是難於上青天,因為它們會陷於法律上的舉證責任難題,因此到目前為止有關的訴訟大都以原告的敗訴收場。正是由於刑事上無法立案,民事上輸於舉證責任,因此才釀就了“徐玉玉”的悲劇——可以想象,這必定不是最後因為個人身份資訊洩露的受害者。
如何解決這個困境?一個可行的舉措是改變民事訴訟中的舉證責任,將目前的“誰主張誰舉證”改為“舉證責任倒置”,即不是由原告提供證據來證明被告以不恰當的方式獲得了個人身份資訊;而是原告只要提供了被告聯絡其這一事實即可以被告非法獲得身份資訊為由提起民事訴訟,被告需要承擔提供其合法獲得原告身份資訊的證明。這樣一來,就會對哪些非法獲得身份資訊的機構和個人形成強烈的威懾效果。
正如《中國個人資訊保安和隱私保護報告》所言:“由於個人資訊獲取、儲存和利用的環節眾多,線下和線上傳播具有隱蔽性和複雜性,追本溯源成本很高,發現、查處難度大,處罰、賠償力度小,同時獲利空間巨大,執法現狀為灰色產業鏈提供了巨大的投機空間。”
扭轉這個亂象的關鍵之舉就是舉證責任倒置。
因為現在個人身份資訊的儲存無處不在,個人沒有能力來約束那些獲得其身份資訊的機構和個人,就必須通過舉證責任倒置的方式,讓那些有能力獲得他人身份資訊的主體妥善保管他人資訊,也可以最大限度讓所有的機構和個人只使用來自合法渠道獲得的個人資訊。不僅非法獲取個人身份資訊要承擔責任,使用非法獲取的個人身份資訊也要承擔民事責任,這樣一來,就可以在源頭上切斷非法個人資訊。
前 言
近年來,侵犯公民個人資訊及其所滋生的侵害事件不斷髮生,擾亂了社會秩序,給群眾人身財產安全造成巨大威脅,嚴重影響社會安定。震驚全國的“徐玉玉案”等一系列案件發生後,個人資訊保安已成為全社會的重大關切。
為充分了解及評估全社會對於個人資訊保護的關注點、關注程度和自身保護的能力,中國青年政治學院網際網路法治研究中心與封面智庫於2016年10月聯合發起《你的隱私洩露了嗎?——個人資訊保護情況調研》問卷調查,共回收問卷1,048,575份。
問卷回執樣本分析顯示,個人資訊保安所遭受的威脅已經引起了公眾普遍重視,但由於個人資訊保護能力與常識、經驗的缺乏,不法之徒對公民的個人資訊侵害行為仍有機可乘,且因群眾維權意識和動力不足,維權能力有限,個人資訊保護仍處於危機時刻。
本報告將對個人資訊保護現狀進行綜合介紹,對造成個人資訊保安危機的原因和國家政策、法律法規層面的現行應對進行梳理,並通過對104萬8575份調查問卷回執樣本的詳細分析,顯示群眾對個人資訊保安的關切點和社會個體在應對資訊洩露時的意識和行為模式,並指出其將造成的結果和需要關注的重點方向。
本報告還將從立法和司法實踐角度闡述個人資訊保安的法律監管和維權現狀。由於個人資訊是大資料產業的重要核心,通過市場機制、社會共治實現個人資訊保安、提升群眾安全感也切實可行,本報告將以徵信行業和代表性企業為例,詳細說明行業和企業在個人資訊保護中的先進模式和具體實踐。
一、侵犯公民個人資訊犯罪
及隱私侵害行為已成社會公害
我國資訊化建設和大資料等資訊產業的不斷推進和發展,帶動了各項社會服務日趨高效、便捷,群眾生活水平持續提升,幸福感和獲得感不斷增強。但與此同時,資訊的廣泛應用以及人們對個人資訊保安防範意識的薄弱,也給犯罪分子實施犯罪提供了便利條件。
目前,我國刑法將出售、非法提供、非法獲取公民個人資訊的行為認定為侵犯個人資訊犯罪行為。按照公安部發布的資訊,侵害公民個人資訊犯罪引發的下游犯罪案件包括且不限於綁架拘禁、敲詐勒索、暴力追債、電信詐騙、網路詐騙、網路盜竊、非法調查等,甚至有不法分子利用非法掌握的個人資訊以脅迫手段介入婚姻糾紛、財產繼承、債務糾紛等民事訴訟。由於公民個人資訊洩露導致的騷擾電話和垃圾簡訊更是為群眾所深惡痛絕。
近年來,侵犯公民個人資訊犯罪持續高發,其中以“徐玉玉被詐騙案”為代表的由於侵犯公民個人資訊滋生的電信網路詐騙犯罪已給群眾財產造成重大損失,嚴重影響社會安定。在今年8月19日召開的打擊跨國電信網路詐騙案件通報會上,公安部刑偵局有關負責人介紹,2015年我國電信詐騙發案59.9萬起,造成經濟損失約200億元;僅2016年上半年,電信詐騙發案就達28.7萬起,造成損失80餘億元[1]。
執法機關面對侵犯公民個人資訊犯罪行為從未手軟。實際上,自2012年起,公安部就多次部署全國各地公安機關開展集中打擊侵犯公民個人資訊犯罪行動且收穫頗豐。最近一次是自今年4月起、為期半年的打擊整治網路侵犯公民個人資訊犯罪專項行動,截至7月,全國公安機即關累計查破刑事案件750餘起,抓獲犯罪嫌疑人1900餘名,繳獲資訊230餘億條,清理違法有害資訊35.2萬餘條,關停網站、欄目610餘個[2]。
但當前,侵犯公民個人資訊犯罪呈現了屢打不絕且日趨專業化、團伙化、產業化的態勢。在近日由公安部統一組織25省區市公安機關破獲的一起特大侵犯公民個人資訊案中,公安機關在一案中即抓獲犯罪嫌疑人201名,剷除資訊洩露源頭42個,摧毀9個涉案地域廣、涉案人員多、資訊數量、種類及涉案金額大的侵犯公民個人資訊犯罪團伙。
侵害個人資訊犯罪行為的猖獗,引起了中央和國家的高度重視。近日,公安部、中央綜治辦、國家發展改革委、工信部等八部門聯合釋出《關於規範居民身份證使用管理的公告》,要求國家機關或有關單位應當建立健全公民個人資訊保安管理制度,對在履行職責或者提供服務過程中獲得的居民身份證記載的公民個人資訊嚴格保密。對單位內部建立的公民個人資訊儲存系統,要嚴格設定查詢許可權,嚴格控制知悉範圍;要強化技術防護措施,嚴防資訊洩露或被竊取[3]。
2016年10月10日至11日召開的全國社會治安綜合治理創新工作會議上,更是明確要求結合制定《個人資訊保護條例》,加大資訊源頭保護力度,完善公安、教育、醫療、金融等重點行業資訊保安保護體系[4]。
為進一步加強個人資訊保安法律體系的建設,於11月1日提請全國人大常委會進行二次審議的民法總則草案中,增加規定:“自然人的個人資訊受法律保護。任何組織和個人不得非法收集、利用、加工、傳輸個人資訊,不得非法提供、公開或者出售個人資訊。”草案力圖在對個人資訊應用的源頭和上游給予公民法律保護。2016年11月7日全國人大常委會通過的《網路安全法》在個人資訊方面確立了重要的原則和規定,從法律層面為更加完善而系統化的個人資訊保護立法奠定了良好的基礎。
輿論認為,要遏制侵犯個人資訊犯罪行為,務必須要國家法律體系的日趨縝密和執法力量的持續高壓,同時,針對公民個體的普法教育和使公民切實提升個人資訊保安防範意識也不可或缺。
二、百萬資料調查:
公民個人資訊保安意識強,
但維權動力與能力有限
為充分了解及評估公民對於個人資訊保護的關注點、關注程度和自身保護的能力,中國青年政治學院網際網路法治研究中心與封面智庫於2016年10月24日聯合發起《你的隱私洩露了嗎?——個人資訊保護情況調研》問卷調查。覆蓋全國各省、區、市,共回收問卷104萬8575份。
通過對調研問卷回執的樣本資料分析,本報告認為,當前人們對個人資訊保護的社會現狀安全感不高,超七成參與調研者認為個人資訊洩露安全問題嚴重;民眾遭受個人資訊侵害程度高;個人資訊保安防範意識不強為侵害行為提供可乘之機,半數參與調研者對於因證件影印和快遞單造成的個人資訊洩露無察覺,超六成參與調研者在更換手機和手機號時存在資訊洩露隱患;個人資訊侵害維權觀念不強、常識不夠、動力不足,僅有20%的參與調研者在發現個人資訊遭受侵犯時,採取投訴、舉報和報警等積極應對措施,六成參與調研者不知如何維權,近半數參與調研者認為維權困難。
(一)個人資訊保安已成為社會普遍焦慮
在全部問卷回執中,針對“你覺得個人資訊洩露問題嚴重嗎”問題,有28%的參與調研者認為“沒有感覺”,43%的參與調研者認為“嚴重”,認為“非常嚴重”的參與調研者佔比達29%(見圖1)。
圖1:參與調查人群對個人資訊洩露問題的整體感受
圖2:不同年齡段人群對於個人資訊洩露問題的整體感受
在參與調研者的性別和年齡比例中,對於上述問題的看法沒有明顯偏差(見圖1、2),這也可以說明,對於個人資訊保安的焦慮並非特定群體的主觀性偏差,具有社會普遍性。
(二)個人資訊洩露引發的騷擾密度
與社會經濟和資訊化發展程度成正比
垃圾簡訊和騷擾電話是個人資訊洩露所引發的電信騷擾及詐騙行為。參與調研者中,26%每天收到2個以上的垃圾簡訊,20%近一個月來每天收到2個以上騷擾電話(見圖3)。
圖3:參與調查人群對電信騷擾的反饋情況
圖4:電信騷擾地區排行
在全國分佈角度,來自西藏、寧夏、新疆、青海、甘肅等省區的參與調研者收到垃圾簡訊最少,來自上海、北京、重慶、江蘇、天津等省市的參與調研者收到垃圾簡訊最多;在騷擾電話方面,最少的省區是黑龍江、新疆、西藏、吉林、寧夏,最多的省市是上海、北京、江蘇、安徽、浙江(見圖4)。總體上看,越是經濟發達、社會網路化、資訊化程度高的地區,電信騷擾密度越高。
(三)公民個人資訊遭侵害程度觸目驚心
本次調研所顯示出的公民個人資訊遭侵害程度令人觸目驚心。
問卷分析顯示,在遭遇個人資訊侵害時,多達81%的參與調研者經歷過知道自己的姓名或單位等個人資訊的陌生來電,因網頁搜尋和瀏覽時洩露個人資訊的參與調研者佔53%,經歷郵箱、即時通訊、微博等網路賬號密碼被盜的參與調研者佔40%,因房屋租買、購車、考試和升學等資訊洩露,和因在網站留下個人電話和註冊網路金融服務而遭遇各類騷擾和詐騙的參與調研者都在30%以上,遭遇針對銀行卡、信用卡和網路交易詐騙以及被“簡訊炮”、“撥死你”電信騷擾的參與調研者比例在20%以上,被冒充公檢法、稅務機關的不法分子詐騙、恐嚇的參與調研者比例達19%,明確知道個人和家庭資訊被販賣、洩露的參與調研者比例達18%,最少的資料比例即“個人隱私資訊被網站公佈”、“購買機票後收到航班異常的電話或簡訊詐騙資訊”也達9%(見圖5)。
圖5:個人資訊、隱私受侵害行為型別調查
(四)民眾防範意識不強
為侵害行為提供可乘之機
在日常生活中,證件影印件、快遞單和手機是洩露個人資訊的重要載體。問卷調研顯示,由於對個人資訊洩露渠道的不瞭解,雖然大多數人意識到個人資訊洩露的嚴重程度,但相當高比例的人群並不知道如何防範個人資訊侵害,在使用個人資訊的載體時疏忽大意或不知如何採取防範行動。
圖6:個人資訊洩露隱患之線下渠道調查
調研中,55%的參與調研者從不將證件影印件標明用途;47%的參與調研者經常將寫有個人資訊的快遞單直接扔掉而不加處理(圖6)。
圖7:個人資訊洩露隱患之移動端渠道調查
在通過手機使用Wi-Fi時,34%的參與調研者只希望確保手機線上,而不會對免費Wi-Fi鑑別使用;在收到陌生號碼發來的簡訊時,26%的參與調研者會點選簡訊中的可能產生侵害行為的網路連結(圖7)。
圖8:個人資訊洩露隱患行為調查之手機硬體方向
圖9:個人資訊洩露隱患行為調查之手機號碼方向
在更換手機時,更能確保個人資訊保安的方法是將手機恢復出廠設定或格式化後,再用無關內容將手機儲存空間佔滿後再予處理,但僅有34%的參與調研者選擇了這一選項,有17%的參與調研者選擇將手機直接送人;在手機換號時,超過27%的參與調研者選擇直接使用新號碼,而不對舊號碼採取任何措施(見圖9)。
(五)個人資訊侵害維權觀念不強,動力不足
調研顯示,在明確自身遭遇個人資訊洩露並面臨侵害時,相當一部分人群抱有僥倖心態,大部分人選擇了較為被動的處理方式,僅有少部分人採取了積極對抗行動。在解釋未能維權的原因時,半數以上的參與調研者因不知如何維權和沒有發現經濟損失而選擇了沉默。
圖10:個人資訊及隱私被侵犯時的對應手段
在被問到發現個人資訊洩露會採取什麼行動的問題時,71%的參與調研者選擇了掐斷電話或不予理睬,選擇拉黑及拒接的比例為63%;僅有20%左右的參與調研者選擇了舉報、投訴、報警等積極應對措施(圖10)。
圖11:個人資訊及隱私被侵犯後未能維權原因
被問及被侵犯時沒有維權的原因時,60%的參與調研者表示不知道怎麼維權,56%的參與調研者是因資金等個人利益未受損而放棄維權,值得重視的是,參與調研者中有高達44%的比例選擇了因維權程式太複雜、成本太高而放棄維權,另有34%的人是因缺少維權證據而無奈放棄。最為消極的是“維權成功也沒有好處”選項,也有14%的選擇比例(圖11)。
值得關注的是,當被問及是否“願意提供個人資訊以獲得更便利的服務享受”時,更多的人選擇了“願意”(圖12)。這也充分說明,資訊共享帶來的便利是客觀存在的,多數人並不贊同為保護隱私而過分限制資訊流動。
圖12:更多人選擇為獲得便利服務而提供個人資訊
問卷調研的結果已可以清楚顯示出當前公民個體對於個人資訊保護的觀念、行動及能力的基本面貌:儘管人們對於個人資訊保安普遍焦慮,遭受資訊洩露侵害程度較高,但由於對於個人資訊保護的常識不足,為不法分子留存了極大的侵害漏洞,而公民對於個人資訊維權觀念的缺乏和動力的不足,又客觀上降低了不法分子違法犯罪行為的成本,加劇了侵犯公民個人資訊犯罪的可能性。
值得關注的是,國家在政策與法規層面不斷強化、在司法層面不斷加大對侵犯公民個人資訊犯罪的打擊力度,但相當一部分社會個體在面對侵害時卻保持了漠視甚至麻木的消極對應方式,而並未操起法律的武器與涉及自身的違法犯罪行為進行抗爭。這一方面說明,針對個人資訊保安的普法力度仍需加大,尤其是要使公民清晰掌握維權技能;另一方面也能夠反映出個人資訊保安維權的技術難度與不成正比的維權收益,使公民個體在維權中步履艱難。
三、法律監管與維權現狀:
亟需統一立法,加大司法懲處
(一)立法述評
1.個人資訊保護尚無統一立法,現有規定內容分散
我國目前針對個人資訊保護尚未形成統一的綜合法律規範,而是具體地規定在法律、行政法規、部門規章、地方性法規和規章、各類規範性檔案等多層次、多領域的規範當中,形成了一個內容分散、體系龐雜的個人資訊保護模式。
2. 網路安全法關於個人資訊的規定
2016年11月7日全國人大常委會通過的《網路安全法》在個人資訊方面確立了重要的原則和規定,從法律層面為更加完善而系統化的個人資訊保護立法奠定了良好的基礎。其中第七十六條規定:“個人資訊是指以電子或者其他方式記錄的能夠單獨或者與其他資訊結合識別自然人個人身份的各種資訊,包括但不限於自然人的姓名、出生日期、身份證號碼、個人生物識別資訊、住址、電話號碼等。”這是首次在法律層面上確立了一般意義上“個人資訊”的概念,為個人資訊保護的體系化制度建設提供了起點。
《網路安全法》針對網路運營商收集、使用個人資訊,規定了應當遵循合法、正當、必要的原則,公開收集、使用規則;明示收集、使用資訊的目的、方式和範圍,並規定公民對自己的個人資訊在被使用過程中,享有知情權、刪除權、更正權。
另一方面,從促進產業發展的角度,該法明確了禁止向他人提供個人資訊的例外情形,即如果是經過處理無法識別特定個人,並且不能復原的資訊可以合理使用,這也是對國家鼓勵和推動大資料產業發展政策的回應,這一規定將進一步推動資料產業的發展。
此外,《網路安全法》規定,在我國境內運營中收集和產生的個人資訊和重要資料應當在我國境記憶體儲的原則,並首次在法律層面明確了違反個人資訊保護規則的行政責任。這些規定都體現了社會的最新訴求和行業的前沿實踐,對構建更加完整的我國個人資訊保護制度具有非常重要的意義。
3. 針對個人電子資訊保護的綜合規定
全國人大常委會於2012年12月28日通過的《關於加強網路資訊保護的決定》,針對“個人電子資訊”的保護作出了較為系統的規定,明確“個人電子資訊”為“能夠識別公民個人身份和涉及公民個人隱私的電子資訊”,並對收集、使用、儲存個人電子資訊作出了系統性規範,還規定了違反義務的主體需要承擔相應的民事、行政和刑事責任。這個法律性質的檔案為個人電子資訊的保護確立了相對全面的保護,也為其他領域的法律法規提供了可供參照的樣板,被認為是目前最為重要的個人資訊保護規範之一。
工業與資訊化部的部門規章《電信和網際網路使用者個人資訊保護規定》,專門針對電信業務經營者、網際網路資訊服務提供者規定了較為全面而系統的個人資訊收集和使用規範、安全保障措施以及相應的法律責任,也是一部重要的個人資訊保護的專門規範。
4.經營者的個人資訊保護責任
《消費者權益保護法》第29條規定了經營者收集、使用消費者個人資訊時需要遵循的原則和承擔的義務,即“應當遵循合法、正當、必要的原則,明示收集、使用資訊的目的、方式和範圍,並經消費者同意。經營者收集、使用消費者個人資訊,應當公開其收集、使用規則,不得違反法律、法規的規定和雙方的約定收集、使用資訊。”經營者違反這些義務,需要承擔民事責任和行政責任。這些規定與《關於加強網路資訊保護的決定》中確立的原則和規則保持一致,對於消費者個人資訊的保護及於線上和線下,適用範圍亦十分廣泛。
除了《消費者權益保護法》對消費者個人資訊提供一般的保護之外,特定行業的法律法規規章也對其經營者提出了保護個人資訊的要求,比如,《旅遊法》規定,旅遊經營者對其在經營活動中知悉的旅遊者個人資訊,應當予以保密;《徵信業管理條例》系統而全面地規定了徵信機構採集、整理、儲存、加工個人資訊的相應規範;《地圖管理條例》規定了網際網路地圖服務單位在收集、使用、儲存使用者個人資訊時需要承擔的義務;《人民銀行關於銀行業金融機構做好個人資訊保護工作的通知》針對金融機構的個人資訊保護責任提出了系統化的要求;在金融、大資料、電子商務、電信、交通、教育、醫療等眾多領域,都有相應的法規和規章來規定個人資訊保護的內容。
5.行政機關及其工作人員的個人資訊保護責任
除了作為經營者的商家有可能獲得消費者的個人資訊之外,個人在與政府機構打交道過程中也會涉及到大量個人資訊。因此,有多個法律法規針對行政機關及其工作人員規定了其保護個人資訊的責任。
《居民身份證法》規定,公安機關及其人民警察對因製作、發放、查驗、扣押居民身份證而知悉的公民的個人資訊,應當予以保密;國家機關的工作人員洩露在履行職責或者提供服務過程中獲得的居民身份證記載的公民個人資訊,需要承擔民事、行政乃至刑事責任。《護照法》對護照簽發機關及其工作人員、《出入境管理法》對履行出境入境管理職責的工作人員、《社會保險法》對社會保險行政部門和其他有關行政部門、社會保險經辦機構、社會保險費徵收機構及其工作人員、《統計法》對統計機構和統計人員,都規定了類似的責任。
6.民事、行政、刑事責任
根據目前的立法體系,公民對其個人資訊的保護,雖然尚未在民法基礎法律檔案中明確其私權的地位,但是已經在事實上作為“個人資訊權”得到保護了,任何人侵害個人資訊的行為,都會產生民事責任,即被侵害方可以要求停止侵害、恢復名譽、消除影響、賠禮道歉,並賠償損失。(《消費者權益保護法》第50條)
此外,任何人侵害個人資訊的行為,還會面臨行政責任。比如,對網路服務提供者違反規定的,依法給予警告、罰款、沒收違法所得、吊銷許可證或者取消備案、關閉網站、禁止有關責任人員從事網路服務業務等處罰,記入社會信用檔案並予以公佈。(《關於加強網路資訊保護的決定》第11條)
侵害個人資訊嚴重的,有可能觸犯刑法,構成“侵犯個人資訊罪”。根據刑法第253條規定,違反國家有關規定,竊取或者以其他方法非法獲取、向他人出售或者提供公民個人資訊,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。而違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人資訊,出售或者提供給他人的,從重處罰。
7.立法現狀總結與建議
儘管我國目前並沒有統一的個人資訊保護法,但是並不能認為個人資訊保護方面的法律法規有所欠缺,恰恰相反,通過一般性規範和具體規定相結合,社會生活中包括線上和線下的絕大部分領域,都已經有了個人資訊保護的法律規範,侵害個人資訊需要承擔民事、行政乃至刑事責任。只是這些規範在形式上過於分散,對於普通民眾和商家來說,都難以形成直觀的認知,儘快通過一部統一的個人資訊保護法,對其進行系統化梳理和整合,無論是從立法資源的節省、立法技術的提高、規則體系的優化,還是向民眾普及個人資訊法律保護的常識和意識來看,都存在必要性和合理性。
具體來說,通過制定個人資訊保護法,在法律層面明確線上線下及跨境資料傳輸過程中的各類個人資訊採集及使用的方式、範圍及標準,並嚴格規範各類資料採集及使用主體在資訊處理方面的細則,完善個人資訊保安方面的保障要求與資訊披露義務,以及針對個人資訊權層面的相關權益保障要求,充分保障使用者在資訊層面的知情權、選擇權、救濟權、受尊重權及資訊保安權在內的各項基礎性權利。
(二)司法懲處力度仍須加大
針對個人資訊的非法獲取與利用的司法判決為數不少,但與個人資訊洩露的普遍狀況相比,並不成比例。由於個人資訊獲取、儲存和利用的環節眾多,線下和線上傳播具有隱蔽性和複雜性,追本溯源成本很高,發現、查處難度大,處罰、賠償力度小,同時獲利空間巨大,執法現狀為灰色產業鏈提供了巨大的投機空間。特別是個人資訊洩露與電信詐騙等犯罪活動結合之後,造成了重大的損失和巨大的社會影響,亟需加大懲處力度,增加犯罪成本,以切實起到威懾作用。
1.電信詐騙:個人資訊洩露的惡果
2016年8月山東考生徐玉玉被電信詐騙導致不幸離世的新聞事件,使得社會對於電信詐騙以及相關的個人資訊洩露問題的關注達到頂峰。徐玉玉輕信電話內容並進行匯款的主要原因之一,就在於其申請助學金貸款的資訊被流入騙子之手,使其有機會進行“精準營銷”。
實際上,個人資訊販賣已成地下產業鏈,從源頭的個人資訊非法採集、黑客侵入,到非法出售、購買、轉售,再到非法利用,個人資訊獲取、儲存、利用的各個環節,都可能出現非法侵害的情況,直接或間接地成為電信詐騙等惡性犯罪的溫床,都應當成為法律關注和懲處的物件。
2.侵犯個人資訊罪案例:缺乏有效打擊
在司法實踐中,除了通過詐騙罪對電信詐騙人繩之以法之外,針對單純的非法獲取或出售個人資訊行為追究刑事責任的案例也不在少數。常見的非法獲取途徑絕大部分是通過網際網路獲取、購買,內容包括電話號碼、通話記錄、交易訂單、定位資訊、身份證戶籍資料、家庭地址等。但是,針對非法出售個人資訊的判決卻並不多見,由於刑法第253條之一規定非法出售或提供個人資訊的主體限於“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”,實踐中此類人員被定罪並不多見。有法院將出售小區業主個人資訊房地產公司的工作人員也列為犯罪主體[5]。單純的侵犯個人資訊罪的定罪量刑也較為輕微,大多為一年以下有期徒刑或拘役並處罰金,通常適用緩期執行。
值得關注的是,針對個人資訊販賣整個產業鏈展開的執法行動,通常能夠實現切實效果。例如今年五月公安部督辦的“5·26侵犯公民個人資訊案”,打擊了完整的黑色產業鏈,由“號主”團伙、“中間商”團伙、“出單渠道”團伙、“非法軟體製作團伙”四層架構組成,其中“號主”團伙源頭來自銀行內部人員。
與引起巨大社會危害性的個人資訊違法洩露和利用現狀相比,立法上看刑法針對侵犯個人資訊罪的處罰較低,執法上看,從源頭堵截個人資訊洩露的行動已有展開,但尚存不足,對於已形成產業鏈的個人資訊地下產業,缺乏全面有效的打擊和懲處措施。
3.個人維權困難
我國個人資訊保護立法體系中規定了侵害個人資訊的民事、行政和刑事責任。與刑事案件相比,民事案件的原告通常以侵害“隱私權”作為訴由,但能成功勝訴並獲得賠償者寥寥無幾。例如,在消費者起訴移動通訊公司、機票預訂平臺等洩露個人資訊的民事案件中,法院認為,被告並非掌握原告個人資訊的唯一主體,無法確認被告實施了洩露原告隱私資訊的侵權行為,亦即原告無法舉證證明被告的洩露個人資訊行為[6]。除此之外,即使在原告勝訴的案例中,由於無法證明經濟損失或僅能證明極少的經濟損失,原告可獲得的賠償金額很低。
個人維權還有一種途徑是通過向行政機關舉報,由工商行政管理部門等行政機關來進行查處。但是同樣限於證據提供困難和個案的侷限性,行政處罰對於販賣個人資訊形成的黑色產業鏈也是收效甚微。凡此種種,一方面無法對侵害人產生足夠的遏制效果,另一方面,對於被侵害的個人資訊持有者來說,也很難有動力去投入大量的精力和成本進行維權。
4.司法實踐現狀總結與建議
鑑於個人資訊非法洩露與利用的普遍狀況和嚴重危害性,目前司法實踐中,無論是刑事處罰,還是民事追責,都存在著不成比例、無法匹配的現狀。這與個人資訊洩露本身的特殊性息息相關。從刑事打擊上看,一方面立法應當加重量刑,增加威懾力;另一方面,執法行為應當向打擊整個產業鏈傾斜,從針對某些具體個人的個別獲取行為,轉向對非法出售、提供、黑客侵入、販售、軟體設計等整個產業鏈的破獲和打擊,才能起到治標治本的效果。
從民事案件來看,根據現有的舉證責任難度,對於技術複雜、環節眾多的個人資訊侵害行為,個人維權往往只能望洋興嘆。而個體案件中如果沒有造成嚴重的損害,個人也往往沒有動力去展開成本頗高的個人維權行動。因此,對於個人而言,通過事後個案維權保護個人資訊的機制,成本過高而收效極低,更為重要的是儘可能採取預防措施,實現防患於未然。產業和社會也有責任向個人提供預防性、保護性技術措施,在獲取個人資訊的源頭儘可能支援個人獲得保護自己個人資訊的能力和知識。
四、使用者資訊保安相關行業標準
和企業自律模式——以徵信行業為例
在大資料產業迅猛發展的浪潮中,個人資訊作為資料資訊的核心內容,面臨著採集、儲存、加工、使用各環節的規範化問題。這一命題是整個產業的問題,也同樣是全社會面臨的問題。司法、行政部門的執法、監管,應當作為個人資訊保護的最後一道屏障而存在,如若期望公權力全面徹底治理這一社會化的大問題,並不合理,亦不現實。個人資訊保護和利用的問題,需要通過市場機制、社會共治的模式,通過產業界的自律和他律,促進健康有序的市場規範的形成,通過包括市場手段在內的多種手段懲戒、共治違法違規者,防止劣幣驅逐良幣的情況出現,推動形成個人資訊保護方面優勝劣汰的良性篩選機制。
市場上涉及個人資訊處理的行業眾多,其中徵信行業是以機構和個人資訊作為其主營業務內容的機構。經過對於市場實踐運作的調研和考察,可以觀察到目前徵信行業在個人資訊保護方面的法規相對完善,明確規定了個人資訊採集、處理、輸出等方面的要求,並構建了比較全面的使用者權益保障措施。而規範化經營的徵信機構在個人資訊保護方面的實踐也走在各行業的前沿,具有很強的典型性和代表性。鑑於徵信行業在個人資訊處理和保護方面的典型意義和借鑑價值,本報告選取徵信機構為模板來考察個人資訊保護機制,對徵信行業的多家機構進行了調研和訪談。其中,徵信指的是“對企業、事業單位等組織的信用資訊和個人的信用資訊進行採集、整理、儲存、加工,並向資訊使用者提供的活動。”徵信機構是“依法設立的,主要經營徵信業務的機構”。
實現健康市場秩序的具體模式,其構架可以通過建設“基礎法律規範、行業通用標準、企業最佳實踐”的架構來實現。接下來選取徵信行業的實踐為例,進行具體展開。
(一)建立個人資訊分類保護
個人資訊涉及到與識別個人身份相關各個方面的資訊,採集、儲存、利用個人資訊應當符合“目的明確原則”和“合法必要原則”,即範圍應當僅及於業務所需之必要資訊。以徵信行業為例,《徵信業管理條例》對於徵信機構採集的個人資訊,設有禁止性和限制性兩類:第一類禁止採集的包括:個人的宗教信仰、基因、指紋、血型、疾病和病史資訊以及法律、行政法規規定禁止採集的其他個人資訊;第二類必須明確告知資訊主體不良後果並取得其書面同意的資訊包括:個人的收入、存款、有價證券、商業保險、不動產的資訊和納稅數額資訊。
作為基礎法律規範的規定,徵信機構都有必要嚴格執行,建立技術上和管理上可行的機制,不採集禁止性資訊,對於限制性資訊應當自覺履行相應告知和同意獲取程式。在此基礎上可以發展出相應的行業標準,約束徵信機構的行為。實踐中,芝麻信用、華道徵信等機構都遵照法律規定,對禁止性資訊和限制性資訊分別建立內部制度規範,使法律規則得以落地。
此外,在這兩類敏感資訊之外,徵信機構針對使用者其他個人資訊,亦可基於其實踐狀況發展出其他自律規範,形成企業最佳實踐。例如以手機app等軟體為例,芝麻信用等企業建立內部資訊採集規範,只採集與評估使用者信用狀況有關的資訊,而不採集使用者的聊天、通話等個人隱私資訊,不得追蹤使用者在社交媒體上的言論資訊。
(二)全面落實使用者授權機制
包括《徵信業管理條例》在內的眾多法律法規都要求採集和利用個人資訊需要經過資訊主體的授權。但實踐中由於存在個人資訊利用的眾多環節,初始採集時的授權往往不能匹配後續各種利用環節,因此法規中的原則性規定,需要有細化的行業標準和企業自律規範來加以落實。
在徵信資料利用過程中,可能涉及到資訊採集者、提供者(其中包括採集者)、整理加工者、儲存者以及查詢者、使用者。授權通常發生在資訊初始採集時,但當後續使用需求與初始授權不匹配時,需要使用者啟用相應的核實授權機制重新授權。例如,芝麻信用通過技術手段的持續開發,讓使用者直接與徵信機構發生授權互動確認,保障授權的有效性。
徵信機構在與上下游行業展開合作時,也可以通過建立相應的機制來確保授權的全面有效性。例如,芝麻信用對於上游的資訊提供者進行資質稽核,包括對其資料安全保護能力等方面進行評估,只選擇接入符合特定條件的資訊提供機構;華道徵信在各項業務中對資訊提供者進行合法性審查,與個人資訊提供者簽署的合作協議中明確約定其資訊採集、使用規則和義務,如資訊使用者必須對個人徵信授權書中的重點內容進行了加黑、加粗處理,以起到顯著性提示的作用。
對於下游的資訊使用者,徵信機構也可以對商戶在使用者資訊保安保障機制及能力等各方面情況進行盡職調查,以評估是否與其合作,從而儘可能確保使用者資訊輸出到合作商戶後的使用者資訊保安。
企業在實踐中還探索建立了各具特色的對於合作商戶的監控和篩選機制。如芝麻信用在合作伙伴的選擇上實行類似於“黑名單”制度,設立了外部輿情監測機制,一旦發現合作商戶存在資訊洩露或違法違規採集/輸出使用者資訊的情況時,會及時評估事件對使用者資訊保安造成的風險或潛在威脅,甚至決定中止或終止與合作商戶的合作。華道徵信的同業徵信服務系統建立了後臺監測系統,實時監測資訊使用客戶的查詢行為,對於疑似存在異常查詢行為的客戶及時進行重點監控,要求該客戶提交若干筆查詢所對應的資訊主體授權書,必要時會安排現場調查。
(三)嚴格規範內部管控流程
徵信機構在儲存和加工個人資訊過程中,承擔著建立嚴格內部制度保障資訊保安的法定義務。《徵信業管理條例》規定,徵信機構應當建立健全和嚴格執行保障資訊保安的規章制度,並採取有效技術措施保障資訊保安;應當對其工作人員查詢個人資訊的許可權和程式作出明確規定,對工作人員查詢個人資訊的情況進行登記,如實記載查詢工作人員的姓名,查詢的時間、內容及用途。工作人員不得違反規定的許可權和程式查詢資訊,不得洩露工作中獲取的資訊。
法律的規定同樣需要建立行業標準和企業內部管控制度,來落到實處。在實踐中,芝麻信用、華道徵信等機構建立了關於資訊採集、加工、儲存及使用等全資料生命週期的內部流程管控制度。
芝麻信用內部流程管控制度及配套的許可權管理系統包括根據資訊的敏感程度不同進行相應的分級管理等。保證資料從採集開始直至輸出,任何資料的訪問使用都有必須經過特定的審批流程並保留相關記錄資訊,避免非必要的使用者資訊接觸行為。此外,機構持續根據業務實際情況,不斷對上述制度及技術實現進行優化完善,以保證制度及流程的可執行性,避免實際操作與資訊保安保障要求相脫節的情況發生。
華道徵信成立了內部資訊保安委員會,制定了相關制度及規範,細化了安全檢查與審計管理制度、資訊系統人員安全管理規定、資訊保安培訓和考核管理規定、資訊系統安全事件報告和處置管理制度、應急預案管理流程等一系列安全管理制度等一系列資訊保安管理制度,明確了有關部門資訊保安管理工作職能,並對系統管理員、網路管理員、安全管理員、資料管理員等關鍵崗位制定了明確的職責分工、業務許可權、操作規程,對工作人員查詢個人資訊的情況進行登記,確保各項制度流程有效實施。
實踐中,將個人資訊進行匿名化處理,是保護個人資訊特定主體的重要手段。在徵信機構的實踐中,出現了避免輸出原始可識別身份資訊的策略,例如,即使在使用者授權的前提下向合作商戶輸出資訊,芝麻信用通常情況下不會直接輸出使用者的原始或明細資訊,或者傳統信用報告,而是經過加工後的信用標籤或變數資訊。這樣的資訊輸出策略,儘可能避免了輸出使用者明細或原始資訊可能給使用者造成的風險,以及合作商戶端萬一發生資訊洩露情況下,儘量降低可能對使用者資訊保安造成的影響,是值得稱道和推廣的業內重要實踐。
(四)完善洩露危機應急預案
儘管法律法規並沒有對危機應對作出具體規定,但是出於企業社會責任的需要,徵信機構在資料洩露應急處理方面亦有可為之處。實踐中,芝麻信用等機構建立了資訊洩露應急處置預案,並不定期進行應急演練,從而保證在極端情況下發生資訊洩露時,可能順序定位到資訊洩露的原因及問題所在,並在最短時間內進行處置與控制資訊保安風險,以爭取將資訊洩露風險控制在最低程度。通過資訊洩露的應急演練,徵信機構可以不斷就自己在資訊保安保障方面存在潛在風險點進行不斷識別、優化完善,從而提高自身資訊洩露風險防禦能力及水平。華道徵信通過網站綜合監控管理平臺實時監控外部攻擊和風險,定期開展漏洞掃描、掛馬掃描、篡改掃描等安全監測工作。每年都邀請第三方安全機構進行專業風險評估,對於發現的漏洞和風險問題在第一時間進行修補和解決,有效降低受到外部攻擊所導致的各種風險。
從徵信機構的行業實踐來看,在“基礎法律規範、行業通用標準、企業最佳實踐”的架構下,儘管基礎法律規範僅僅作出原則性和目標性的規定,但是在環節繁多、技術複雜的徵信行業中,要想真正將法律規範落到實處,還需要建立全面、細緻、依賴先進技術手段的行業標準和企業自律規範。通過行業主體的自律行為,建構良好的個人資訊處理規範,並建立快速、準確的資訊披露和評價機制,使得違規者無處遁形,避免劣幣驅逐良幣現象,建設個人資訊保護領域優勝劣汰的良性競爭環境。
五、結論
網際網路的發展帶來社會變革的同時,也為個人資訊保護帶來了巨大的挑戰。本報告整理並總結了一百餘萬份調查問卷反饋資料,並針對現有的立法體系、司法現狀進行了梳理和總結,探討了個人資訊保護存在的主要難點和障礙。最後,本報告把關注的焦點投向以徵信行業為代表的產業實踐,通過評估和總結具有代表性的企業自律規範,提出通過“基礎法律規範、行業通用標準、企業最佳實踐”的治理架構,來實現線上和線下的全方位、各環節共治,針對個人資訊保護問題實現既治標又治本的理想目標。
(一)個人資訊洩露嚴重、侵害程度觸目驚心
根據一百餘萬份調查問卷的反饋資料,目前個人資訊侵害體現出明顯的範圍廣、危害大的特徵,大部分受訪人群都認為存在個人資訊洩露的情況,而由個人資訊洩露導致的惡性犯罪行為亦在輿論中不絕於耳,使得個人資訊侵害成為一個普遍性的嚴重社會問題,近年來的洩漏事件,危害範圍之廣,程度之深,令人觸目驚心,而且存在愈演愈烈的發展趨勢。
(二)自我保護意識缺乏、維權能力動力不足
與個人資訊洩露和侵害範圍和危害程度恰成反比的,是普通民眾的自我保護認知、維權意識和維權能力都嚴重偏低,對於自身個人資訊的洩露途徑、方式等缺乏基本知識,在日常生活、消費中無意間為個人資訊洩露大開方便之門。在個人資訊受到侵害或者可能受到侵害時,對維權行為意識淡薄,動力不足,能力低下。其中維權渠道缺乏、成本過高、難度過大、收益過小構成主要原因。因此,一方面應當針對普通民眾進行大規模的個人資訊保護觀念、知識宣傳,幫助其提高自我保護意識和能力,從源頭上對個人資訊洩露進行防範;另一方面,對個人資訊侵害問題的治理,很難主要依靠受侵害者通過個人維權的途徑得到妥善解決,而應當進行更加行之有效的制度和規則建設。
(三)採取統一立法模式、系統確立原則規則
通過對於我國目前立法現狀和司法實踐的考察,目前的法律框架和司法打擊力度都存在改善的空間。從立法模式來看,針對個人資訊保護存在諸多法律規定,但基本都分散在效力層次不一的各種法律法規乃至規範性檔案。本報告認為,應儘快通過一部統一的個人資訊保護法規,對相應法律進行系統化梳理和整合,這無論是從立法資源的節省、立法技術的提高、規則體系的優化,還是向民眾普及個人資訊法律保護的常識和意識來看,都存在必要性和合理性。
(四)加大司法懲處力度、重點打擊黑色產業
針對個人資訊侵害的司法打擊儘管已經投入大量資源,但是現有的司法投入仍然不能對個人資訊侵害造成足夠的威懾,尤其是專門規定個人資訊侵害行為的刑法條文量刑偏輕,而單純針對區域性環節的個人資訊侵害行為進行處罰,僅能治標而無法觸及根本。從源頭堵截個人資訊洩露的行動已有展開,但尚存不足,對於打著“大資料”之名而行非法資料利用之實的個人資訊黑色產業鏈,缺乏全面有效的打擊和懲處措施。從民事訴訟來看,由於個人資訊侵害在技術上存在高度複雜性,而且環節眾多,被侵害人在實踐中極少有可能舉證證明侵害行為究竟在哪個環節發生,以及準確的侵害主體,因此通過侵權訴訟來主張權利難度極大。這也同樣印證了第一個結論中維權困難導致受侵害人維權意願低下的觀點。
本報告建議,在刑事打擊領域,一方面立法應當加重量刑,增加威懾力;另一方面,執法行為應當向打擊整個產業鏈傾斜,從針對某些具體個人的個別獲取行為,轉向對非法出售、提供、黑客侵入、販售、軟體設計等整個產業鏈的破獲和打擊,才能起到治標治本的效果。
(五)實現線上線下共治、促進合規產業發展
個人資訊侵害與保護,作為一個影響寬泛的社會問題,法律上的治理和打擊應當作為最後一道屏障,如果希望司法和行政機關來解決全部問題,並不現實。對於個人資訊侵害的治理,更加根本的方法應當是採取防禦性為主的模式,通過線上和線下各環節的規範來堵住個人資訊洩露的源頭,防患於未然。儘管網際網路成為個人資訊非法傳播的主要途徑之一,但是個人資訊洩露的某些重要環節並不一定全部在網際網路上完成。從問卷反饋和實踐調研資料看,相當比例的個人資訊採集源頭是存在於現實生活中,比如刑法條文中規制的金融、電信、交通、教育、醫療等單位,以及線下物流快遞等等渠道。因此,個人資訊侵害問題的治理,並非單純網際網路問題,而是需要線上與線下各個環節共同治理。對於採集、儲存、處理、使用個人資訊的企業而言,應當首當其衝承擔保護個人資訊的社會責任,在規範自身個人資訊使用行為的同時,也要儘可能向個人提供預防性、保護性技術措施,在獲取個人資訊的源頭儘可能支援個人獲得保護自己個人資訊的能力和知識。
對於打著“大資料”旗號而行個人資訊侵害之實的黑色產業鏈,應當不遺餘力予以打擊,但是與此同時,對於獲得了合法經營資格、嚴格守法自律的資料處理企業,應當進行充分的肯定和鼓勵,並使普通民眾和消費者對此獲得充分了解。不能因為存在違法的資料黑色產業鏈就對資料行業“談虎色變”,應當建立完善的市場資訊和信譽機制,為合法合規、嚴於自律的企業和機構確立正面聲譽,解決資訊不對稱問題,將其與黑色產業鏈明確區隔開來,從而避免劣幣驅逐良幣的惡性競爭,促進資料產業的健康、良性、有序發展。
(六)確立行業通用標準、倡導最佳企業實踐
個人資訊侵害治理面臨著技術上、操作上、制度上的眾多難題,需要通過社會共同治理方能治標治本。在理想的社會共治體系中,起到核心作用的還應當是從事個人資訊處理的行業實踐。考慮到個人資訊發生洩漏後的涉及面較廣,產生的危害具有持續性等特點,除建立相應的內外部管理規範外,相應企業還應當不斷強化技術安全防護能力,以最新的技術手段築造保護個人資訊的銅牆鐵壁。與此同時,也建議具體的行業監管部門結合企業實踐,儘快出臺相應行業部門規章,細化規範資訊採集、處理、及披露的具體標準,推動行業標準的形成,並鼓勵形成並推廣企業最佳實踐模板。只有涉及到個人資訊採集、儲存、加工、使用等行為的企業真正潔身自好,嚴格自律,建設完整而細緻的內部和外部管理規範,才能真正破除個人資訊侵害亂象,淨化個人資訊保護空間。
本報告以徵信行業為例,深入考察了徵信行業保護個人資訊的企業實踐與典範,倡導建立“基礎法律規範、行業通用標準、企業最佳實踐”的治理架構,根據芝麻信用等徵信機構形成的實踐樣本,建立個人資訊分類保護、全面落實使用者授權機制、嚴格規範內部管控流程、完善洩露危機應急預案,建議根據行業實踐推動確立行業通用標準,並推廣企業最佳實踐。
本報告期望,通過市場機制、社會共治的模式,通過產業界的自律和他律,促進健康有序的市場規範的形成,通過包括市場手段、法律手段在內的多種方式懲戒、共治違法違規者,防止劣幣驅逐良幣的情況出現,推動形成個人資訊保護方面優勝劣汰的良性篩選機制,最終實現從根本上、源頭上遏制個人資訊侵害的治理目標。Ω
本報告由中國青年政治學院網際網路法治研究中心執行主任劉曉春、封面智庫首席研究員李萌執筆,在撰寫過程中得到了中國青年政治學院副校長、網際網路法治研究中心主任林維,上海金融與法律研究院執行院長傅蔚岡等專家協助,在此一併致謝。
《中國個人資訊保安和隱私保護報告》
製作方簡介
中國青年政治學院網際網路法治研究中心(CIL)隸屬於中國青年政治學院法學院,致力於網際網路法律和政策相關的前沿問題和基礎理論研究,研究團隊涵蓋網際網路智慧財產權、平臺責任、刑法、競爭法、行政法、電子證據等專業領域,通過課題研究、產業調研、系列沙龍、開放論壇等方式與網際網路理論與實務界展開合作,為立法司法、政府決策、產業發展提供研究支撐,立足於為網際網路領域搭建溝通交流的平臺,促進產業界、理論界以及從事政策制定、執行、司法裁判的相關機構形成持續對話、良性互動和共同研究的長期機制。
封面智庫是封面傳媒成立的思想庫。封面智庫立足北京,是以“一帶一路”和長江經濟帶戰略發展為主題的綜合研究平臺,是新媒體時態下的創新經濟研究、服務平臺,集聚全球權威學者、政府官員的智庫網路。封面智庫依託封面新聞的輿論影響力和大資料資產積累,致力於通過封面系列論壇打造高階品牌和政商影響力,釋出 “一帶一路投資指數報告”、企業“走出去”輿情報告、“網際網路+”及“工業4.0”行業報告等綜合性年度報告,旗下擁有封面系列研究報告、封面系列論壇、“封面思享+”沙龍、“智庫專訪”、“封面大講堂”等品牌產品。
註釋:
[1]公安部官網,《人民日報:電信詐騙既要能打,也要能防》,2016年9月21日 http://www.mps.gov.cn/n2255079/n4876594/n5104076/n5104079/c5497482/content.html
[2]公安部官網,《公安機關打擊整治網路侵犯公民個人資訊犯罪成效顯著》,2016年7月20日http://www.mps.gov.cn/n2253534/n2253535/n2253537/c5429869/content.html
[3]《人民公安報》,2016年10月14日 http://www.mps.gov.cn/n2255079/n5137689/n5512386/n5512398/c5519635/content.html
[4]《法制日報》2016年10月14日http://www.mps.gov.cn/n2255079/n5137689/n5512386/n5512398/c5519874/content.html
[5]陳某某出賣其從業過程中掌握的公民資訊構成出售公民個人資訊罪案,案號:(2013)吳江刑初字第0670號。
[6]朱迎光等訴中國聯合網路通訊有限公司連雲港分公司隱私權糾紛案,案號:(2014)連民終字第0006號;龐某訴趣拿公司、東方航空侵犯隱私權案,案號:(2015)海民初字第10634號。
來源:資料觀