特别策划:个人信息保卫战

发布时间:2020-07-27  来源:中国信用  浏览次数:297

个 人 信 息 保 卫 战

  ——数字经济时代个人信息泄露与安全保护扫描

 

  《2019年中国网民信息安全状况研究报告》显示,77.7%的被调查网民都遭遇过信息安全事件,并且不同程度地遭受了一定损失,总额大约为194亿元,平均每人受损失约553元。

  在互联网技术蓬勃发展的时代,海量的个人信息理应成为我们更好生产生活的“推进器”,而不应成为违法分子快速生财的“新门路”。保护个人信息不受侵犯,需要政府加强监管,严惩违法违规分子;也需要企业补齐短板,规范个人信息收集、储存、使用等过程;更需要不断提高全民的法律素养,强化用“法律武器”维权的能力。相信随着法治建设的不断进步,个人信息防护的堤坝一定会越筑越牢,大数据等新科技也将更好地造福社会。

  ——题记

 

  日前,江苏省江阴市市场监管局在执法过程中发现,江阴一培训机构非法收集14万余条中小学生个人信息,涉及“学校、学生姓名、性别、年级、班级、学生家庭地址、家长姓名及电话……”

  伴随互联网技术手段的进步,个人信息的泄露、交易和滥用,已经给人民群众生产生活带来极大困扰。《2019年中国网民信息安全状况研究报告》显示,77.7%的被调查网民都遭遇过信息安全事件,并且不同程度地遭受了一定损失,总额大约为194亿元,平均每人受损失约553元。

  通过立法加强个人信息保护已成为保护公民隐私和生命财产安全、规范网络健康有序发展的必然要求。5月28日,十三届全国人大三次会议表决通过了《中华人民共和国民法典》,专设第六章对隐私权和个人信息保护进行规定,被视为是一大进步。6月20日,调整后的全国人大常委会2020年度立法工作计划明确,个人信息保护法纳入工作计划,成为社会关切。

  多位专家表示,“虽然我国已经有多部法律、法规、规章涉及个人信息保护。比如刑法、民法总则、消费者权益保护法、网络安全法、电子商务法等,都作出了相关的规定。但是从总体上看,呈现分散立法状态,所以需要根据形势的发展,制定有针对性的专门法律来加以规范,形成合力。”

  信息成为“生意”

  疯狂逐利是重要推手

  据不完全统计,目前中国网络黑产从业者已经超过40万人,依托其进行网络诈骗产业的从业人数至少有160万人,“年产值”在1000亿元以上

  天津市一社区大力开展防电信诈骗宣传系列活动,工作人员向居民介绍48种常见电信网络诈骗手法,倡导大家做反诈骗行动派

  “您好,XX同学家长,我们有适合您的孩子这个年龄段的英语学习课程……”“您好,我们现在有一个优惠的奥数网课,您考虑吗?”在江阴一培训机构非法收集14万余条中小学生个人信息被曝光后,市民李女士猜测,自己及孩子的信息应该就是上述某家教育培训机构“掌控范围之内”,因为李女士此前就收到多个小学课外培训的推销电话和短信。

  据江阴市市场监管局执法人员介绍,这家教育培训机构主要面向小学初中学生提供非学历文化教育培训,当事人通过不明渠道获得涉及全市97所各类学校学生即家长的详细信息,数据全面规整,覆盖整班整级。

  从信息的覆盖范围来看,14万余条信息显然超出了一家教育培训机构业务覆盖范围之外。为何要如此精准地收集这么多个人信息呢?“个人信息收集是为了更好地推销商业性教育培训服务业务。他们收集完这些信息后,就开始‘广散网’。在未取得学生家长同意的情况下,以拨打电话的方式推销商业性教育培训服务业务,在部分学生家长明确答复不需要表示拒绝后,后续仍多次拨打电话推销商业性教育培训服务业务,拨打后,以代号的方式在电脑打印资料上记录了拨打学生家长电话推销教育培训业务的结果以及拨打的次数。”江阴市市场监管局执法人员说。

  根据《消费者权益保护法》第二十九条、《江苏省消保条例》第十六条和十八条规定,《江苏省消保条例》第六十二条的规定,江阴市市场监管局对某教育培训机构当事人处以罚款30万元。此外,因涉案公民个人信息数量巨大,江阴市市场监管局依法将此案件线索移交当地公安局。

  记者注意到,因涉及个人信息泄露,网友对此事件的关注度颇高。一些网友认为,“教育机构收集学生信息,既为自己招生服务,又可将这些信息卖给其他机构,这或许是这个行业‘潜规则’!”

  作为一家教育机构,合理地登记自己业务范围内学生及家长的信息,原本是为了畅通学校与家长的沟通,更好地促进学生学习。但是这样的“初衷”已经因为商业机构的资本逐利属性而变了“味”——成为他们的“生意”。

  业内人士认为,随着互联网的飞速发展,消费者个人信息逐渐成为一种重要资源,由此产生行业中的恶性竞争,“得信息者得客户”成为不少商家不良竞争手段。所有收集个人信息的部门和机构,从情理和法理上都负有保护公民个人信息的职责。包括中小学生在内的公民,在向有关部门和机构提供个人信息的时候,都不会同意自己的个人信息可以作为商业资源提供给其他部门和机构,如果公民的个人信息从这里被泄露出去,收集个人信息的部门和机构难辞其咎。

  从信息收集到信息售卖再到信息利用,每一个交易环节环环相扣,而由此产生的“灰色产业链”让人难以估量。在近日广东省珠海市公安局高新分局网安大队破获的案件中,有一个数字足以体现。

  “经审讯,犯罪嫌疑人郑某通过倒卖、交换公民个人信息,违法置换、出售公民个人房产、车辆等个人信息,已违法获利近27万元。陈某借助中山、江门某房产公司的任职便利,违法获取公民个人信息,并向郑某、姚某出售,仅进行查车查房违法行为获利近1万元。姚某通过违法查询车牌信息出售车主公民个人信息近3000次,获利3000余元。”这是珠海市公安局高新分局网安大队的侦查记录。

  “倒卖、交换公民个人信息,一犯人获利近27万元”,不禁让人毛骨悚然。这种害怕的背后,一方面是对个人信息的“失控”,不知道信息已经被转手了多少次;另一方面是对个人信息产业链的“未知”,在巨大的利润面前,又有多少人会因此铤而走险。据不完全统计,目前中国网络黑产从业者已经超过40万人,依托其进行网络诈骗产业的从业人数至少有160万人,“年产值”在1000亿元以上。

  暨南大学法学院教授、广东省法学会网络与电子商务法学研究会会长刘颖表示,大多不法分子都是利用受害人趋利避害和轻信麻痹的心理,诱使受害人上当。对于个人来说,最需要的是提高自己保护个人信息安全的防范意识,在日常生活中处理涉及个人信息的问题时多留个心。比如,要谨防网络安全陷阱,如钓鱼网站、木马病毒、网络社交圈套等,不要随意参加注册信息即可获得赠品等网络活动,全面保护个人信息安全等,远离网络诈骗。

  “内鬼”+“黑客”

  个人信息保护“内忧外患”

  非法获取公民个人信息主要有两个来源,分别是各行各业内幕人员泄露信息和黑客入侵网站非法获取。从非法收集、提供窃取、交易、交换等各个环节,侵犯公民个人信息的犯罪已经形成了完整的利益链

  2019年9月14日,网络安全博览会在天津梅江会展中心举办,100余家网络安全和互联网企业参展,共设置网络安全核心技术展区、智能生活网络安全展区、互动体验专区等6大展区。图为参展人员在进行科普讲座

  珠海市公安局高新分局网安大队之所以能成功侦破特大侵犯公民个人信息的案件,源于一名绰号为‘蚂蚁’的男子浮出水面。5月8日,高新网安联合巡警所在广东省中山市某金融中心抓获犯罪嫌疑人郑某(男,32岁,贵州人),当场查获2台作案手机,其云盘存储公民个人信息数据近120G。

  高新分局网安大队抓获郑某后,继续对电子数据和人员关系进行梳理和调查,利用智慧新警务的大数据分析能力,终于顺藤摸瓜找到了个人信息非法倒卖的源头——陈某借助中山、江门某房产公司的任职便利,违法获取公民个人信息,并向郑某等多人出售,仅进行查车查房违法行为获利近1万元。

  无独有偶。近日,在浙江省诸暨市公安局破获的一起非法出售个人信息的案件中,被告人也是行业“内鬼”。

  5月下旬的一天,经营着一家财务公司的老陈行色匆匆地走进了浙江省诸暨市公安局,向网安大队举报一个让他寝食难安的骚扰电话。

  老陈说,他的财务公司开业不久,主要对外承接其他公司的财务管理业务,打开业起,一个“133100”开头的手机号码就没完没了给他打电话,向他售卖企业法人信息,严重影响了他的正常生活。

  网安大队民警汤鑫华经过与老陈的深入交谈,发现这个“133100”电话的背后,可能隐藏着一群贩卖公民个人信息的不法分子。

  根据老陈提供的线索,民警最终找到了本案幕后的真正“黑手”。令人唏嘘的是,犯罪嫌疑人泮某竟是税务机关工作人员。据汤鑫华介绍,由于股票投资失利,为了填补七八十万元的亏空,擅长电脑的泮某动起了歪脑筋,他设计了爬虫软件,自动爬取单位系统内的企业法人信息后传输至自己设计的网页上售卖。由于信息多、更新快,他的“生意”很不错,并迅速发展了好几条售卖个人信息的渠道,这些买者有90后的“倒卖者”,也有无业游民。

  除了房地产公司职员、税务机关工作人员,记者在中国裁判文书网搜索发现近年来审判的违规出售个人信息的案件中,被告人不乏银行、通信、物流等领域人员,这些人在金钱的诱惑下,利用职务、工作便利违法向他人出售或提供公民个人信息。

  究竟什么人可以成为偷信息的“内鬼”?“在金融领域,肯拿着大批客户资料自用、送人或出售的,基本都是中层人员。高层不屑于做这些,底层又把资料当宝贝捂在手里,不舍得掏给别人。”一名金融从业人员表示,在银行,基本只有风险政策领域的一小部分人可以大规模接触公民个人信息。

  数据显示,2016年以来,公安部部署全国公安机关,开展打击整治网络侵犯公民个人信息犯罪专项行动、打击整治黑客攻击破坏犯罪和网络侵犯公民个人信息犯罪专项行动、“净网2018”“净网2019”“净网2020”专项行动。侦破侵犯公民个人信息案件1.7万余起,抓获各行业内部人员3000余名。

  公安部网络技术研发中心主任许剑卓曾公开表示,从打击情况看,目前危害最大的,主要是银行、教育、工商、电信、快递、证券、电商等行业的内部人员把数据泄露出来,成为侵犯公民个人信息的主体。

  淮安市公安局清江浦分局情报技术中心副主任沙俊长期从事个人信息犯罪案件的侦查工作,他表示:“这些行业数据很鲜活,信息往往包含公民的姓名、手机号、家庭地址,甚至买卖快递的时间,这种信息对于后期诈骗也好,或者推销商务产品也好,都可以更准确地对人群进行定位、分类。”

  据了解,非法获取公民个人信息主要有两个来源:一类各行各业的内幕人员泄露信息,另一类就是黑客入侵网站非法获取。

  2018年11月,湖北武汉公安机关接到报案,某汽车金融服务平台服务器被黑客入侵,包括身份证、手机号、家庭住址、贷款情况在内的30余万条客户信息被盗取,被人以1比特币(时值3.5万元人民币)的价格在“暗网”上出售。武汉市公安局网安部门经过深入侦查,于2019年1月22日在四川成都抓获犯罪嫌疑人吴某。

  经审查,吴某交代其曾在成都市某软件技术专修学院学习,毕业后从事互联网技术工作。2018年,吴某利用暴力破解手段非法获取涉案网站后台管理权限,盗取大量公民个人信息在“暗网”叫卖。

  这起案例是今年4月公安部公布的十起侵犯公民个人信息违法犯罪典型案件之一。从案例可以看出,吴某就是案例中所指的“黑客”。近年来,由于防护不到位,众多平台被黑客等攻破,大面积信息泄露事件频频发生。而这种泄露,给个人的生命和财产安全,带来极大隐患。2016年,刚参加完高考的山东考生徐玉玉,正是因为山东教育部门系统被黑客攻破,导致个人信息泄露,遭遇精准的电信诈骗,不幸去世。这一案件在社会公众和政府部门中引起广泛关注。

  阿里巴巴资深安全技术专家玄泰认为,这些黑客往往通过木马程序和攻占网站两种手段盗取数据,协作能力强、创新能力强,平台化趋势越来越明显。“有专门做钓鱼软件的供应商,有担保数据买卖的交易平台,有洗钱的平台等等。”

  记者注意到,近年来因个人信息泄露而衍生出了一系列“套路贷”“电信诈骗”等案件呈现频发趋势。截至发稿日,记者以“侵犯公民个人信息罪”“诈骗罪”为关键词,在中国裁判文书网搜索出相关裁判文书204份。多份判决文书显示,被窃取的公民个人信息经过加工、转卖,被大量用于虚假销售、电信诈骗等违法犯罪活动。其中,与银行相关个人信息违法犯罪案件高达82%。

  经过整理和分析近年来侵犯公民个人信息的犯罪案件,许剑卓总结该类案件主要有以下三个犯罪特点,第一,从危害角度讲,侵犯公民个人信息的犯罪已经成为其他各类犯罪的上游犯罪;第二,行业内部人员已经成为实施侵犯公民个人信息犯罪的重要主体;第三,侵犯公民个人信息的犯罪已经形成了完整的利益链,从非法收集、提供窃取、交易、交换等各个环节,由于这些人员之间分工合作,利益共享,所以使这类犯罪进一步扩散蔓延。

  平台暴露管理漏洞

  全流程信息保护机制亟待建立

  公司在监管方面的疏漏是造成数据泄露以及后果扩散的最主要原因,诸多中小公司为了削减预算等,可能会对数据保护问题投放非常少的精力

  无论是“内鬼”,还是“黑客”,都在一定程度上反映出行业监管的缺失。

  近日,市民申女士在携程网络平台替同事购买机票,当天,申女士手机就收到署名某航空的手机短信,告知申女士航班取消,要求申女士联系客服办理改签或者退票,但需要先转账再办理退款手续。

  “因为诈骗分子能准确说出我的身份证号码、航班等具体信息,我就以为是航空公司人员,结果在骗子的诱导下,一步步操作,先后被转走了12万余元。当一直未收到退款时,我才知道自己被诈骗了,于是报案。”申女士说。

  因刑事追赃无望,申女士便将携程网络平台起诉到人民法院,要求携程网络平台承担全部赔偿责任,理由是携程网络平台未尽到相应的用户信息安全保障义务。

  值得欣慰的是,法院最终判决基于过错程度及公平正义,由携程网络平台承担部分责任。理由是虽然申女士无法证明其个人信息是被携程网络平台泄漏,但从民事诉讼法高度盖然性的证明标准来分析看,因携程网络平台未尽到安全保障义务而泄漏申女士个人信息的可能性较大,故可以认定携程网络平台存在过错并承担相应的责任。

  “公司在监管方面的疏漏一般是造成数据泄露以及后果扩散的最主要的原因,诸多中小公司为了削减预算等,可能会对数据保护问题投放非常少的精力。”北京师范大学副教授、联合国网络安全与网络犯罪问题高级顾问吴沈括教授说,在个人信息监管方面,公司作为数据收集者、数据存储者,应当设立数据保存的安全规范以及安全措施,“更为重要的是在数据泄露事故发生后的紧急应对措施也应当予以完善”。

  在平台企业、实体公司、机关单位等现有的管理体制中,除了要不断完善对个人信息收集后的保护机制,还需要明确个人信息收集的边界。因为,相对于信息收集后泄露的风险,网站、app等平台过度索权对个人信息保护存在的潜在威胁,更为让人“烦恼”。

  中国消费者协会2018年发布的《APP个人信息泄露情况调查报告》显示,有85.2%的被访者个人信息曾经被泄露。据调查,手机APP在自身功能不必要的情况下获取用户隐私权限的情况比较严重,67.2%的受访者称曾遇到这种情况。

  北京市民孟女士向记者反映,“一些手机APP存在明显过度索权行为,如聊天APP必须要开放位置信息,或者读取用户通讯录等。在给用户提供便利的同时,APP也在大肆索取一些‘并不必要’的用户信息。”

  据国家互联网应急中心监测分析发现,在目前下载量较大的千余款移动APP中,每款应用平均申请25项权限,平均收集20项个人信息和设备信息。通常与主业无关的通话权限,就有30%以上的APP申请。

  东南大学网络空间安全学院副教授宋宇波表示,APP收集个人信息,主要原因是商业利益。他们的商业模式,就是通过采集用户信息销售给第三方公司。大多数APP都会要求获取访问用户应用程序列表的权限,他们就可以在用户不知情的情况下,分析用户对应用程序的使用习惯,来推测用户的爱好。

  “个人信息被泄露后实在令人烦恼,比如纷扰不息但很精准的推销电话,有时候一天都能接到近10个,这些‘无名’的电话接起来烦躁,不接又担心错过重要工作电话,着实让人无奈。”孟女士“吐槽”说。

  值得注意的是,为保障个人信息安全,2019年1月~12月,中央网信办等四部门在全国范围组织开展APP违法违规收集使用个人信息专项治理。全年共检测App多达460万个,下架处置了违法违规App3.1万个,集中核查了相关App线索3000余条,抓获814人。

  中国并购公会信用管理专业委员会常务副主任刘新海告诉记者:“从政府角度来说,做好个人信息保护的立法和监管,需要有一个专门的部门统一协调,同时要对个人信息保护进行细化,因为不同行业、领域差异比较大,并积极开展个人信息保护的教育和宣传。从企业角度来说,需要尊重消费者的个人隐私,开展个人信息保护的合规工作,这样才能取得消费者和社会的信任,不能为了商业利益而罔顾消费者权益。值得欣慰的是,目前市场上也开始出现专门提供个人信息保护服务的创新型科技企业,这是不错的科技向善的趋势。

  泄露源头难以界定

  个人信息维权遭遇困境

  现实中确实很难界定“平台存在漏洞导致信息泄露”的责任,若消费者向法院投诉平台,平台只要举证证明其尽到了安全责任保护义务,就很难对平台进行追责

  对于侵犯个人信息的案件,有一小部分人选择维权“死磕”。

  2019年7月,工业和信息化部发布了2019年第一季度电信服务质量通告,对100家互联网企业106项互联网服务进行抽查,发现18家互联网企业存在未公示用户个人信息收集使用规则、未告知查询更正信息的渠道、未提供账号注销服务等问题。其中,贝贝网所属公司杭州贝购科技有限公司因未经用户同意收集个人信息被通报。这是贝贝网因泄漏用户信息,第二次被公众广泛关注。

  “我是做跨境电商的,如果这个诈骗电话打给我就不会被骗了!”2019年3月,在面对警察的讯问时,深圳的范先生气愤地说道。

  范先生是母婴领域电商平台贝贝网信息泄露的维权者之一。据他介绍,2018年12月10日中午,范先生的妻子接到自称是贝贝网商家的电话,称她购买的婴儿内衣存在甲醛超标的问题,要对范太太进行退款。“起初我太太并没有相信他们就是贝贝网的卖家,但是对方准确无误地说出了我们买的东西、什么时候买的、花了多少钱,收货地址、姓名、电话全都对的上,就打消了我太太的顾虑。说得这么详细准确,谁会相信这是假的呢。”

  范先生表示,“点击对方发来的链接之后,支付宝里的钱转眼就被盗了,我们俩的支付宝是绑定在一块的,我太太的支付宝里面没有钱,接着我的支付宝也被破解了,短信显示我的支付宝被自动扣款,一毛钱没剩下来。”

  不仅如此,对方通过亲密支付功能成功把范先生账户剩下的925.59元全部购买Q币等虚拟货币。发现上当后,范先生联系了贝贝网官网客服,对方建议范文到当地公安部门报案,贝贝网将全力协助。

  范先生也多次联系贝贝网相关负责人,但未得到对方的正面回应。“两边都在踢皮球,找不到真正泄露信息的源头,这样根本就解决不了问题”。范先生说。

  因贝贝网购物信息泄露导致用户受到诈骗的人不只范先生一个。有用户通过社交平台透露,其在接到贝贝网所谓的“客服”电话后,受骗金额达到14.4万元,向贝贝网索赔无果。

  据范先生了解,在贝贝网购物后被骗的人有数十人,涉及总金额或已达上百万元。这些受骗者在百度贴吧、微博、博客以及天涯论坛等平台控诉贝贝网,试图从多个渠道维护自己的合法权益。

  范先生以及其他维权者的窘境在于信息泄露的源头难以查明和取证。《中国电子商务报告2019》显示,网购消费者个人信息泄露成为网络安全领域的重要隐患。由于平台掌握了买家和买家与交易有关的详细信息,一旦平台可以搜索或者无意间泄露信息,信息主体都会受到伤害。

  对此,北京盈科(杭州)律师事务所方超强律师认为,现实中确实很难界定“平台存在漏洞导致信息泄露”的问题,若消费者向法院投诉平台,平台只要举证证明其尽到了安全责任保护义务,就很难对平台进行追责。

  方超强解释称,电商平台在获取用户个人信息的同时,就有保护个人信息的义务。但信息泄露存在不同的情况,如果电商平台提供了符合其规模的保护措施却还是被黑客入侵了系统,这种情况属于不可抗力,电商平台不用承担责任;但如果最终发现因平台存在漏洞而导致用户信息泄露,那么平台就要负责。

  在山东潍坊,刘女士同样因为信息泄露源头不明而导致维权艰难。

  自2019年10月刘女士在潍坊高新区上城浞府购买了一套商品房后,就频繁接到装修公司电话,装修公司不仅能准确说出她所购买的小区,甚至连面积、户型都准确无误。“刚买了房子,还没交房,装修电话就接连不断,肯定有人泄露了我的个人信息!”刘女士坚定地说。

  为了进一步查明信息泄露的源头,刘女士询问了多家装修公司的工作人员,但工作人员都表示,客户信息主要是来自于自第三方合作平台的推送,除此之外还通过家博会、抄录小区附近车辆的挪车电话等方式获取信息,并无违法行为。

  就刘女士的遭遇,潍坊市市场监管局表示,近年来消费者个人信息泄露愈演愈烈,已严重影响到消费者的正常生活,根据2020年1月1日起实施的《市场监管部门投诉举报暂行办法》规定,投诉举报由县级主管部门进行属地管理,消费者可向县级主管部门进行投诉举报,维护自身的合法权益。

  从事房产行业多年的高先生表示,在行业内购房信息泄露,已成为明目张胆的“明”规则,准业主信息已然成为了装修公司、家具经销商眼中必争的精准“信息源”,然而,往往因为信息泄露源头不明,导致个人维权时艰难,“有些买家利用完后会再转手卖出,流向同行业或者金融行业,这是一条完整的灰色信息产业链条。”

  山东豪德律师事务所王增金律师表示,《消费者权益保护法》从法律层面确定了消费者个人信息受保护,个人信息属于个人隐私,商家未经客户同意私自泄露或出卖,不仅违反了《消费者权益保护法》、《侵权责任法》,同时违反了《民法总则》的相关规定,向他人出售或者提供公民个人信息者需要承担相应的民事责任。

  现实中,诸如刘女士的境遇可能已经成为大部分人正常生活中的一部分。这一部分人可能因为个人信息保护意识的不强,又或者因为繁琐的维权程序而选择“沉默”。根据《2019年中国网民信息安全状况研究报告》显示,网民严重缺乏对信息安全事件的维权意识。调查报告显示,77.7%的被调查网民都遭遇过信息安全事件,尽管他们遭受了损失,但是47.50%的被调查网民未曾对其做过相应的维权处理。

  新技术带来新挑战

  生物特征信息采集谨防过度

  在AI技术应用与肖像权保护方面,民法典回应了社会热点问题,未经肖像权人同意的“换脸”行为涉嫌侵权

  刷脸成为当下一个“时髦”而便捷的通行方式。但浙江市民郭兵对这种人脸信息应用的选择更为谨慎。

  6月15日,浙江省杭州市富阳区人民法院公开开庭审理杭州野生动物世界有限公司服务合同纠纷一案,本案原告郭兵因不愿意使用人脸识别,以侵犯隐私权将杭州野生动物世界告上法庭。郭兵诉称,2019年4月他在杭州野生动物世界办理了一张年卡,通过验证年卡和指纹,可在一年内不限次数入园游玩。2019年10月,被告杭州野生动物世界通过短信告知郭兵,“园区年卡系统已升级为人脸识别入园,原指纹识别已取消,即日起,未注册人脸识别的用户将无法正常入园”。

  对此,郭兵认为面部特征等个人生物识别信息属于个人敏感信息,一旦泄露、非法提供或者滥用,将极易危害包括原告在内消费者人身和财产安全。他表示,仅凭一条短信通知就要求更改入园方式,按照合同来说是一种“单方变更”。

  因上述案件涉及是否过度采集公民生物特征信息等话题,被舆论称为“刷脸第一案”。

  如今,人脸识别等个人信息大数据应用场景遍布日常生活,机场安检、刷脸支付、小区进出等不少应用场景都逐渐尝试。尤其在疫控特殊时期,大数据的应用优势更加突出。比如,传统的接触式线下核验方式存在一定风险,“健康宝”采用线上人脸识别、线下现场核验相结合的方式,既保证了非接触式核验安全性,也确保了信息的唯一性和真实性。

  全国信息安全标准化技术委员会牵头成立的APP专项治理工作组副组长洪延青表示,相较于传统的走访、摸排、登记,信息技术和大数据分析更加及时、准确、有效,成为疫情防控和监测的重要手段。此外,大数据不断学习、更迭、完善的特点,也有利于更好分析掌握疾病传播规律,消除防疫“盲区”和不确定性。

  因为新技术应用越来越广泛,社会的关注度也越来越高,相关话题也被置于公众讨论:人脸识别技术是否存在滥用?谁能收集、使用我们的生物信息?谁又来保护我们的信息安全?

  刘新海告诉记者,个人信息保护的难点在于数字经济时代,消费者有越来越多的数据产生信息并以极快的速度传播。在信息传输的同时,由于对数据信息的监管薄弱,缺乏大数据个人信息保护技术支撑,所以个人信息保护在大数据时代受到了空前的挑战。

  近日,一份在京发布的《人脸识别与公共卫生调研报告》,对疫情期间公众对人脸识别的接受度进行了研究。报告显示,疫情中大规模使用的人脸识别及其增强形式,让很多受访者担忧其自身信息安全。受访的1100多人中,60.3%的受访者不知道哪些实体拥有自己的面部数据,93.8%的受访者认为自己有权知道,仅有33.5%认为自己的面部数据是安全的。

  人们对个人生物信息技术应用的担心不无道理。据了解,人脸信息泄露或被非法采集,不法分子可以通过软件合成,将照片制作成动图,按照相应登录软件规定程序,图片可以完成点头、眨眼等认证动作,就能顺利通过部分软件的人脸认证,这已成为灰色数据交易的“过脸产业”。

  事实上,早在今年2月,中央网信办就发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,对疫情防控期间的个人信息安全保障作出规定。《通知》明确规定,为疫情防控、疾病防治收集的个人信息,不得用于其他用途,任何单位和个人未经被收集者同意,不得公开其姓名、年龄、身份证号码、电话号码、家庭住址等个人信息。

  “疫情防控与个人信息保护,需要统筹兼顾、做好平衡。”在洪延青看来,涉及个人信息的采集、汇总、共享、披露等各个环节都应当注意做好个人信息保护工作,以防出现数据泄露、丢失、滥用等情形。比如,以电子方式记录或汇总相关信息,则需要责任落实到人,并将数据保存在特定终端并加密存储。

  值得注意的是,《民法典》人格权编对个人生物识别信息的保护做了明确规定。北京大学法学院副院长薛军认为,在AI技术应用与肖像权保护方面,民法典回应了社会热点问题,未经肖像权人同意的“换脸”行为涉嫌侵权。针对平台侵权责任的设定,民法典在《电子商务法》的基础上将平台等待权利人针对反通知(涉嫌侵权者声称自己未侵权的证明)做出回应,终止已采取措施的期限,由15天修改为“合理期限”。

  业内人士认为,目前,我国公民的个人信息自我保护意识落后于现代社会迅猛发展的速度,导致民众在日常生活中缺乏自我保护的法律意识。建议加快个人信息保护法的立法进程,一方面为公民维权提供明确的法律武器,另一方面为公民增强信息保护意识提供舆论氛围。

  呼应群众诉求与期盼

  个人信息保护亟需形成合力

  我国关于个人信息保护在法律法规层面已有相关规定,但这种分散式的立法不利于形成保护合力

  7月3日,数据安全法(草案)全文在中国人大网公开征求意见。据全国人大常委会法工委发言人臧铁伟介绍称,数据安全法草案主要内容包括四方面:“一是,确立数据分级分类管理以及风险评估、监测预警和应急处置等数据安全管理各项基本制度。二是,明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任。三是,坚持安全与发展并重,规定支持促进数据安全与发展的措施。四是,建立保障政务数据安全和推动政务数据开放的制度措施。”

  这意味着,数据安全法实施后,对相关企业处罚时将有法可依,个人信息保护又多了一道法律“屏障”。

  据了解,目前,我国关于个人信息保护在法律规定层面已有相关规定,如两高关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释中已经明确了“情节严重”的认定标准:非法获取、出售通信信息、财产信息50条以上的,或者非法获取、出售或提供通信信息、交易信息等公民个人信息500条以上的,或违法所得5000元以上的,都可入罪。即将施行的《民法典》第六章独立设置了隐私权和个人信息保护,从个人信息的定义、个人信息处理的原则和条件以及个人信息处理者的安全保障义务等整体角度分别作出规定。

  与此同时,在部门规章层面,《电信和互联网用户个人信息保护规定》明确电信业务经营者和互联网信息服务提供者在个人信息保护方面的职责;《互联网个人信息安全保护指南》引导个人信息持有者采取有效的信息安全保护措施等。

  目前,我国个人信息保护主要内容有哪些?中国信息通信研究院互联网法律研究中心主任方禹表示,根据现有立法来看,大致可以分为四点:一是明确个人信息的概念。如网络安全法将个人信息界定为,以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

  二是规定个人收集使用要求。如网络安全法规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

  三是赋予个人享有的部分数据权利。民法总则第111条确立了对个人信息的保护,其规定:“自然人的个人信息受法律保护”。

  四是设计跨境数据流动制度。我国在网络安全法等立法中确立了跨境数据流动管理制度,规定关键信息基础设施的运营者收集、产生的个人数据和重要数据向境外提供进行安全评估。

  在中国社会科学院法学所副所长周汉华看来,这种分散式的立法并不利于形成保护合力。“关于个人信息保护的规定,散见于各种规范性文件里,这就产生了不确定性,行业主体不知道应该遵守什么样的规则。”

  此外,也有专家认为,当前个人信息保护的法律体系还存在一定的局限性:一方面,现行的法律法规对于违法分子的惩处力度有限,例如,《网络安全法》将罚款数额设定在违法所得的一倍以上十倍以下,没有违法所得的,罚款上限为一百万元,而互联网企业利用个人信息所获利益远远大于罚款。2018年,某知名互联网平台曾被行政机关通报在个人信息保护方面存在违法行为,管理部门根据《消费者权益保护法》,对该平台予以警告,并处罚款5万元。与之形成鲜明对比的是,2019年,Facebook因个人信息保护问题被美国联邦贸易委员会处以50亿美元的巨额罚款。另一方面,部分规范效力等级较低,已经无法满足社会公众对个人信息保护的需求。

  现实的需要,民众的期盼,让立法对个人信息进行保护显得更为迫切。方禹认为《个人信息保护法》需要解决好三个问题:保护哪些信息?谁来保护?如何保护?

  首先,应进一步明确个人信息保护调整范围。立法必须平衡数据自由流动和个人权利保护。过度强调权利保护的个人信息保护法规,虽然能在一定程度上提升个人信息保护水平,用户对自身数据的控制权将大为提高,但在整体数字经济发展环境下,未必会形成良好的长期效果。个人信息保护的制度设计应当同时符合产业发展和权利保护的需要,个人信息范围可宽可窄,具体保护规则可松可严。如果要兼顾数据自由流动和个人权利保护,逻辑上就应当对两个关键因素进行合理匹配,较宽的个人信息范围适用宽松的保护规则,较窄的个人信息范围适用严格的保护规则。

  其次,要明确个人信息保护专门机构。当前,互联网与传统行业的不断融合,跨行业、跨领域的个人信息保护情况越来越多。但现有立法并未明确规定各行业主管部门在个人信息保护领域的管理边界,大量重复监管和监管真空的现象凸显。同时,分散的个人信息保护管理体制,使得公民在个人信息受到侵害后投诉举报常难以被受理或解决,救济难度大大增加。因此,建立完善保护层级更高、统筹和协调性更强的个人信息保护体制显得越来越迫切。

  再次,应细化有关个人信息保护规则。一要进一步细化知情同意规则,明确规定向用户告知的信息应当准确、易于理解、易于获取,清晰说明各项业务功能及所收集个人信息类型、个人信息处理规则;明确同意的具体要求,即自愿的、具体的、明确的意思表示,不得通过默认勾选、概况同意方式获得用户授权。二要规定敏感个人信息的特殊保护规则。建议立法中对不同的个人信息进行分级分类保护,对敏感个人信息进行更严格的保护。三要规定公开个人信息保护的具体规则。公开披露个人信息的主体可以是网络运营者公开公民的个人信息,也可以是国家机关出于国家安全或公共利益的考虑,将特定公民的个人信息向公众予以公开。

  与时代同行,与民众呼应。在互联网技术蓬勃发展的时代,海量的个人信息理应成为我们更好生产生活的“推进器”,而不应成为违法分子快速生财的“新门路”。保护个人信息不受侵犯,需要政府加强监管,严惩违法违规分子;也需要企业补齐短板,规范个人信息收集、储存、使用等过程;更需要提高全民的法律素养,强化用“法律武器”维权的能力。相信随着法治建设的不断进步,个人信息防护的堤坝一定会越筑越牢,大数据等新科技也将更好地造福社会。