個 人 信 息 保 衛(wèi) 戰(zhàn)

　   ——數(shù)字經(jīng)濟時代個人信息泄露與安全保護掃描

　　《2019年中國網(wǎng)民信息安全狀況研究報告》顯示，77.7%的被調(diào)查網(wǎng)民都遭遇過信息安全事件，并且不同程度地遭受了一定損失，總額大約為194億元，平均每人受損失約553元。

　　在互聯(lián)網(wǎng)技術(shù)蓬勃發(fā)展的時代，海量的個人信息理應(yīng)成為我們更好生產(chǎn)生活的“推進器”，而不應(yīng)成為違法分子快速生財?shù)摹靶麻T路”。保護個人信息不受侵犯，需要政府加強監(jiān)管，嚴(yán)懲違法違規(guī)分子；也需要企業(yè)補齊短板，規(guī)范個人信息收集、儲存、使用等過程；更需要不斷提高全民的法律素養(yǎng)，強化用“法律武器”維權(quán)的能力。相信隨著法治建設(shè)的不斷進步，個人信息防護的堤壩一定會越筑越牢，大數(shù)據(jù)等新科技也將更好地造福社會。

　　——題記

　　日前，江蘇省江陰市市場監(jiān)管局在執(zhí)法過程中發(fā)現(xiàn)，江陰一培訓(xùn)機構(gòu)非法收集14萬余條中小學(xué)生個人信息，涉及“學(xué)校、學(xué)生姓名、性別、年級、班級、學(xué)生家庭地址、家長姓名及電話……”

　　伴隨互聯(lián)網(wǎng)技術(shù)手段的進步，個人信息的泄露、交易和濫用，已經(jīng)給人民群眾生產(chǎn)生活帶來極大困擾?！?/span>2019年中國網(wǎng)民信息安全狀況研究報告》顯示，77.7%的被調(diào)查網(wǎng)民都遭遇過信息安全事件，并且不同程度地遭受了一定損失，總額大約為194億元，平均每人受損失約553元。

　　通過立法加強個人信息保護已成為保護公民隱私和生命財產(chǎn)安全、規(guī)范網(wǎng)絡(luò)健康有序發(fā)展的必然要求。5月28日，十三屆全國人大三次會議表決通過了《中華人民共和國民法典》，專設(shè)第六章對隱私權(quán)和個人信息保護進行規(guī)定，被視為是一大進步。6月20日，調(diào)整后的全國人大常委會2020年度立法工作計劃明確，個人信息保護法納入工作計劃，成為社會關(guān)切。

　　多位專家表示，“雖然我國已經(jīng)有多部法律、法規(guī)、規(guī)章涉及個人信息保護。比如刑法、民法總則、消費者權(quán)益保護法、網(wǎng)絡(luò)安全法、電子商務(wù)法等，都作出了相關(guān)的規(guī)定。但是從總體上看，呈現(xiàn)分散立法狀態(tài)，所以需要根據(jù)形勢的發(fā)展，制定有針對性的專門法律來加以規(guī)范，形成合力。”

　　信息成為“生意”

　　瘋狂逐利是重要推手

　　據(jù)不完全統(tǒng)計，目前中國網(wǎng)絡(luò)黑產(chǎn)從業(yè)者已經(jīng)超過40萬人，依托其進行網(wǎng)絡(luò)詐騙產(chǎn)業(yè)的從業(yè)人數(shù)至少有160萬人，“年產(chǎn)值”在1000億元以上

　　天津市一社區(qū)大力開展防電信詐騙宣傳系列活動，工作人員向居民介紹48種常見電信網(wǎng)絡(luò)詐騙手法，倡導(dǎo)大家做反詐騙行動派

　　“您好，XX同學(xué)家長，我們有適合您的孩子這個年齡段的英語學(xué)習(xí)課程……”“您好，我們現(xiàn)在有一個優(yōu)惠的奧數(shù)網(wǎng)課，您考慮嗎？”在江陰一培訓(xùn)機構(gòu)非法收集14萬余條中小學(xué)生個人信息被曝光后，市民李女士猜測，自己及孩子的信息應(yīng)該就是上述某家教育培訓(xùn)機構(gòu)“掌控范圍之內(nèi)”，因為李女士此前就收到多個小學(xué)課外培訓(xùn)的推銷電話和短信。

　　據(jù)江陰市市場監(jiān)管局執(zhí)法人員介紹，這家教育培訓(xùn)機構(gòu)主要面向小學(xué)初中學(xué)生提供非學(xué)歷文化教育培訓(xùn)，當(dāng)事人通過不明渠道獲得涉及全市97所各類學(xué)校學(xué)生即家長的詳細(xì)信息，數(shù)據(jù)全面規(guī)整，覆蓋整班整級。

　　從信息的覆蓋范圍來看，14萬余條信息顯然超出了一家教育培訓(xùn)機構(gòu)業(yè)務(wù)覆蓋范圍之外。為何要如此精準(zhǔn)地收集這么多個人信息呢？“個人信息收集是為了更好地推銷商業(yè)性教育培訓(xùn)服務(wù)業(yè)務(wù)。他們收集完這些信息后，就開始‘廣散網(wǎng)’。在未取得學(xué)生家長同意的情況下，以撥打電話的方式推銷商業(yè)性教育培訓(xùn)服務(wù)業(yè)務(wù)，在部分學(xué)生家長明確答復(fù)不需要表示拒絕后，后續(xù)仍多次撥打電話推銷商業(yè)性教育培訓(xùn)服務(wù)業(yè)務(wù)，撥打后，以代號的方式在電腦打印資料上記錄了撥打?qū)W生家長電話推銷教育培訓(xùn)業(yè)務(wù)的結(jié)果以及撥打的次數(shù)。”江陰市市場監(jiān)管局執(zhí)法人員說。

　　根據(jù)《消費者權(quán)益保護法》第二十九條、《江蘇省消保條例》第十六條和十八條規(guī)定，《江蘇省消保條例》第六十二條的規(guī)定，江陰市市場監(jiān)管局對某教育培訓(xùn)機構(gòu)當(dāng)事人處以罰款30萬元。此外，因涉案公民個人信息數(shù)量巨大，江陰市市場監(jiān)管局依法將此案件線索移交當(dāng)?shù)毓簿帧?/span>

　　記者注意到，因涉及個人信息泄露，網(wǎng)友對此事件的關(guān)注度頗高。一些網(wǎng)友認(rèn)為，“教育機構(gòu)收集學(xué)生信息，既為自己招生服務(wù)，又可將這些信息賣給其他機構(gòu)，這或許是這個行業(yè)‘潛規(guī)則’！”

　　作為一家教育機構(gòu)，合理地登記自己業(yè)務(wù)范圍內(nèi)學(xué)生及家長的信息，原本是為了暢通學(xué)校與家長的溝通，更好地促進學(xué)生學(xué)習(xí)。但是這樣的“初衷”已經(jīng)因為商業(yè)機構(gòu)的資本逐利屬性而變了“味”——成為他們的“生意”。

　　業(yè)內(nèi)人士認(rèn)為，隨著互聯(lián)網(wǎng)的飛速發(fā)展，消費者個人信息逐漸成為一種重要資源，由此產(chǎn)生行業(yè)中的惡性競爭，“得信息者得客戶”成為不少商家不良競爭手段。所有收集個人信息的部門和機構(gòu)，從情理和法理上都負(fù)有保護公民個人信息的職責(zé)。包括中小學(xué)生在內(nèi)的公民，在向有關(guān)部門和機構(gòu)提供個人信息的時候，都不會同意自己的個人信息可以作為商業(yè)資源提供給其他部門和機構(gòu)，如果公民的個人信息從這里被泄露出去，收集個人信息的部門和機構(gòu)難辭其咎。

　　從信息收集到信息售賣再到信息利用，每一個交易環(huán)節(jié)環(huán)環(huán)相扣，而由此產(chǎn)生的“灰色產(chǎn)業(yè)鏈”讓人難以估量。在近日廣東省珠海市公安局高新分局網(wǎng)安大隊破獲的案件中，有一個數(shù)字足以體現(xiàn)。

　　“經(jīng)審訊，犯罪嫌疑人鄭某通過倒賣、交換公民個人信息，違法置換、出售公民個人房產(chǎn)、車輛等個人信息，已違法獲利近27萬元。陳某借助中山、江門某房產(chǎn)公司的任職便利，違法獲取公民個人信息，并向鄭某、姚某出售，僅進行查車查房違法行為獲利近1萬元。姚某通過違法查詢車牌信息出售車主公民個人信息近3000次，獲利3000余元。”這是珠海市公安局高新分局網(wǎng)安大隊的偵查記錄。

　　“倒賣、交換公民個人信息，一犯人獲利近27萬元”，不禁讓人毛骨悚然。這種害怕的背后，一方面是對個人信息的“失控”，不知道信息已經(jīng)被轉(zhuǎn)手了多少次；另一方面是對個人信息產(chǎn)業(yè)鏈的“未知”，在巨大的利潤面前，又有多少人會因此鋌而走險。據(jù)不完全統(tǒng)計，目前中國網(wǎng)絡(luò)黑產(chǎn)從業(yè)者已經(jīng)超過40萬人，依托其進行網(wǎng)絡(luò)詐騙產(chǎn)業(yè)的從業(yè)人數(shù)至少有160萬人，“年產(chǎn)值”在1000億元以上。

　　暨南大學(xué)法學(xué)院教授、廣東省法學(xué)會網(wǎng)絡(luò)與電子商務(wù)法學(xué)研究會會長劉穎表示，大多不法分子都是利用受害人趨利避害和輕信麻痹的心理，誘使受害人上當(dāng)。對于個人來說，最需要的是提高自己保護個人信息安全的防范意識，在日常生活中處理涉及個人信息的問題時多留個心。比如，要謹(jǐn)防網(wǎng)絡(luò)安全陷阱，如釣魚網(wǎng)站、木馬病毒、網(wǎng)絡(luò)社交圈套等，不要隨意參加注冊信息即可獲得贈品等網(wǎng)絡(luò)活動，全面保護個人信息安全等，遠(yuǎn)離網(wǎng)絡(luò)詐騙。

　　“內(nèi)鬼”+“黑客”

　　個人信息保護“內(nèi)憂外患”

　　非法獲取公民個人信息主要有兩個來源，分別是各行各業(yè)內(nèi)幕人員泄露信息和黑客入侵網(wǎng)站非法獲取。從非法收集、提供竊取、交易、交換等各個環(huán)節(jié)，侵犯公民個人信息的犯罪已經(jīng)形成了完整的利益鏈

　　2019年9月14日，網(wǎng)絡(luò)安全博覽會在天津梅江會展中心舉辦，100余家網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)企業(yè)參展，共設(shè)置網(wǎng)絡(luò)安全核心技術(shù)展區(qū)、智能生活網(wǎng)絡(luò)安全展區(qū)、互動體驗專區(qū)等6大展區(qū)。圖為參展人員在進行科普講座

　　珠海市公安局高新分局網(wǎng)安大隊之所以能成功偵破特大侵犯公民個人信息的案件，源于一名綽號為‘螞蟻’的男子浮出水面。5月8日，高新網(wǎng)安聯(lián)合巡警所在廣東省中山市某金融中心抓獲犯罪嫌疑人鄭某（男，32歲，貴州人），當(dāng)場查獲2臺作案手機，其云盤存儲公民個人信息數(shù)據(jù)近120G。

　　高新分局網(wǎng)安大隊抓獲鄭某后，繼續(xù)對電子數(shù)據(jù)和人員關(guān)系進行梳理和調(diào)查，利用智慧新警務(wù)的大數(shù)據(jù)分析能力，終于順藤摸瓜找到了個人信息非法倒賣的源頭——陳某借助中山、江門某房產(chǎn)公司的任職便利，違法獲取公民個人信息，并向鄭某等多人出售，僅進行查車查房違法行為獲利近1萬元。

　　無獨有偶。近日，在浙江省諸暨市公安局破獲的一起非法出售個人信息的案件中，被告人也是行業(yè)“內(nèi)鬼”。

　　5月下旬的一天，經(jīng)營著一家財務(wù)公司的老陳行色匆匆地走進了浙江省諸暨市公安局，向網(wǎng)安大隊舉報一個讓他寢食難安的騷擾電話。

　　老陳說，他的財務(wù)公司開業(yè)不久，主要對外承接其他公司的財務(wù)管理業(yè)務(wù)，打開業(yè)起，一個“133100”開頭的手機號碼就沒完沒了給他打電話，向他售賣企業(yè)法人信息，嚴(yán)重影響了他的正常生活。

　　網(wǎng)安大隊民警湯鑫華經(jīng)過與老陳的深入交談，發(fā)現(xiàn)這個“133100”電話的背后，可能隱藏著一群販賣公民個人信息的不法分子。

　　根據(jù)老陳提供的線索，民警最終找到了本案幕后的真正“黑手”。令人唏噓的是，犯罪嫌疑人泮某竟是稅務(wù)機關(guān)工作人員。據(jù)湯鑫華介紹，由于股票投資失利，為了填補七八十萬元的虧空，擅長電腦的泮某動起了歪腦筋，他設(shè)計了爬蟲軟件，自動爬取單位系統(tǒng)內(nèi)的企業(yè)法人信息后傳輸至自己設(shè)計的網(wǎng)頁上售賣。由于信息多、更新快，他的“生意”很不錯，并迅速發(fā)展了好幾條售賣個人信息的渠道，這些買者有90后的“倒賣者”，也有無業(yè)游民。

　　除了房地產(chǎn)公司職員、稅務(wù)機關(guān)工作人員，記者在中國裁判文書網(wǎng)搜索發(fā)現(xiàn)近年來審判的違規(guī)出售個人信息的案件中，被告人不乏銀行、通信、物流等領(lǐng)域人員，這些人在金錢的誘惑下，利用職務(wù)、工作便利違法向他人出售或提供公民個人信息。

　　究竟什么人可以成為偷信息的“內(nèi)鬼”？“在金融領(lǐng)域，肯拿著大批客戶資料自用、送人或出售的，基本都是中層人員。高層不屑于做這些，底層又把資料當(dāng)寶貝捂在手里，不舍得掏給別人?！币幻鹑趶臉I(yè)人員表示，在銀行，基本只有風(fēng)險政策領(lǐng)域的一小部分人可以大規(guī)模接觸公民個人信息。

　　數(shù)據(jù)顯示，2016年以來，公安部部署全國公安機關(guān)，開展打擊整治網(wǎng)絡(luò)侵犯公民個人信息犯罪專項行動、打擊整治黑客攻擊破壞犯罪和網(wǎng)絡(luò)侵犯公民個人信息犯罪專項行動、“凈網(wǎng)2018”“凈網(wǎng)2019”“凈網(wǎng)2020”專項行動。偵破侵犯公民個人信息案件1.7萬余起，抓獲各行業(yè)內(nèi)部人員3000余名。

　　公安部網(wǎng)絡(luò)技術(shù)研發(fā)中心主任許劍卓曾公開表示，從打擊情況看，目前危害最大的，主要是銀行、教育、工商、電信、快遞、證券、電商等行業(yè)的內(nèi)部人員把數(shù)據(jù)泄露出來，成為侵犯公民個人信息的主體。

　　淮安市公安局清江浦分局情報技術(shù)中心副主任沙俊長期從事個人信息犯罪案件的偵查工作，他表示：“這些行業(yè)數(shù)據(jù)很鮮活，信息往往包含公民的姓名、手機號、家庭地址，甚至買賣快遞的時間，這種信息對于后期詐騙也好，或者推銷商務(wù)產(chǎn)品也好，都可以更準(zhǔn)確地對人群進行定位、分類?！?/span>

　　據(jù)了解，非法獲取公民個人信息主要有兩個來源：一類各行各業(yè)的內(nèi)幕人員泄露信息，另一類就是黑客入侵網(wǎng)站非法獲取。

　　2018年11月，湖北武漢公安機關(guān)接到報案，某汽車金融服務(wù)平臺服務(wù)器被黑客入侵，包括身份證、手機號、家庭住址、貸款情況在內(nèi)的30余萬條客戶信息被盜取，被人以1比特幣（時值3.5萬元人民幣）的價格在“暗網(wǎng)”上出售。武漢市公安局網(wǎng)安部門經(jīng)過深入偵查，于2019年1月22日在四川成都抓獲犯罪嫌疑人吳某。

　　經(jīng)審查，吳某交代其曾在成都市某軟件技術(shù)專修學(xué)院學(xué)習(xí)，畢業(yè)后從事互聯(lián)網(wǎng)技術(shù)工作。2018年，吳某利用暴力破解手段非法獲取涉案網(wǎng)站后臺管理權(quán)限，盜取大量公民個人信息在“暗網(wǎng)”叫賣。

　　這起案例是今年4月公安部公布的十起侵犯公民個人信息違法犯罪典型案件之一。從案例可以看出，吳某就是案例中所指的“黑客”。近年來，由于防護不到位，眾多平臺被黑客等攻破，大面積信息泄露事件頻頻發(fā)生。而這種泄露，給個人的生命和財產(chǎn)安全，帶來極大隱患。2016年，剛參加完高考的山東考生徐玉玉，正是因為山東教育部門系統(tǒng)被黑客攻破，導(dǎo)致個人信息泄露，遭遇精準(zhǔn)的電信詐騙，不幸去世。這一案件在社會公眾和政府部門中引起廣泛關(guān)注。

　　阿里巴巴資深安全技術(shù)專家玄泰認(rèn)為，這些黑客往往通過木馬程序和攻占網(wǎng)站兩種手段盜取數(shù)據(jù)，協(xié)作能力強、創(chuàng)新能力強，平臺化趨勢越來越明顯。“有專門做釣魚軟件的供應(yīng)商，有擔(dān)保數(shù)據(jù)買賣的交易平臺，有洗錢的平臺等等?！?/span>

　　記者注意到，近年來因個人信息泄露而衍生出了一系列“套路貸”“電信詐騙”等案件呈現(xiàn)頻發(fā)趨勢。截至發(fā)稿日，記者以“侵犯公民個人信息罪”“詐騙罪”為關(guān)鍵詞，在中國裁判文書網(wǎng)搜索出相關(guān)裁判文書204份。多份判決文書顯示，被竊取的公民個人信息經(jīng)過加工、轉(zhuǎn)賣，被大量用于虛假銷售、電信詐騙等違法犯罪活動。其中，與銀行相關(guān)個人信息違法犯罪案件高達82%。

　　經(jīng)過整理和分析近年來侵犯公民個人信息的犯罪案件，許劍卓總結(jié)該類案件主要有以下三個犯罪特點，第一，從危害角度講，侵犯公民個人信息的犯罪已經(jīng)成為其他各類犯罪的上游犯罪；第二，行業(yè)內(nèi)部人員已經(jīng)成為實施侵犯公民個人信息犯罪的重要主體；第三，侵犯公民個人信息的犯罪已經(jīng)形成了完整的利益鏈，從非法收集、提供竊取、交易、交換等各個環(huán)節(jié)，由于這些人員之間分工合作，利益共享，所以使這類犯罪進一步擴散蔓延。

　　平臺暴露管理漏洞

　　全流程信息保護機制亟待建立

　　公司在監(jiān)管方面的疏漏是造成數(shù)據(jù)泄露以及后果擴散的最主要原因，諸多中小公司為了削減預(yù)算等，可能會對數(shù)據(jù)保護問題投放非常少的精力

　　無論是“內(nèi)鬼”，還是“黑客”，都在一定程度上反映出行業(yè)監(jiān)管的缺失。

　　近日，市民申女士在攜程網(wǎng)絡(luò)平臺替同事購買機票，當(dāng)天，申女士手機就收到署名某航空的手機短信，告知申女士航班取消，要求申女士聯(lián)系客服辦理改簽或者退票，但需要先轉(zhuǎn)賬再辦理退款手續(xù)。

　　“因為詐騙分子能準(zhǔn)確說出我的身份證號碼、航班等具體信息，我就以為是航空公司人員，結(jié)果在騙子的誘導(dǎo)下，一步步操作，先后被轉(zhuǎn)走了12萬余元。當(dāng)一直未收到退款時，我才知道自己被詐騙了，于是報案?！鄙昱空f。

　　因刑事追贓無望，申女士便將攜程網(wǎng)絡(luò)平臺起訴到人民法院，要求攜程網(wǎng)絡(luò)平臺承擔(dān)全部賠償責(zé)任，理由是攜程網(wǎng)絡(luò)平臺未盡到相應(yīng)的用戶信息安全保障義務(wù)。

　　值得欣慰的是，法院最終判決基于過錯程度及公平正義，由攜程網(wǎng)絡(luò)平臺承擔(dān)部分責(zé)任。理由是雖然申女士無法證明其個人信息是被攜程網(wǎng)絡(luò)平臺泄漏，但從民事訴訟法高度蓋然性的證明標(biāo)準(zhǔn)來分析看，因攜程網(wǎng)絡(luò)平臺未盡到安全保障義務(wù)而泄漏申女士個人信息的可能性較大，故可以認(rèn)定攜程網(wǎng)絡(luò)平臺存在過錯并承擔(dān)相應(yīng)的責(zé)任。

　　“公司在監(jiān)管方面的疏漏一般是造成數(shù)據(jù)泄露以及后果擴散的最主要的原因，諸多中小公司為了削減預(yù)算等，可能會對數(shù)據(jù)保護問題投放非常少的精力?！北本煼洞髮W(xué)副教授、聯(lián)合國網(wǎng)絡(luò)安全與網(wǎng)絡(luò)犯罪問題高級顧問吳沈括教授說，在個人信息監(jiān)管方面，公司作為數(shù)據(jù)收集者、數(shù)據(jù)存儲者，應(yīng)當(dāng)設(shè)立數(shù)據(jù)保存的安全規(guī)范以及安全措施，“更為重要的是在數(shù)據(jù)泄露事故發(fā)生后的緊急應(yīng)對措施也應(yīng)當(dāng)予以完善”。

　　在平臺企業(yè)、實體公司、機關(guān)單位等現(xiàn)有的管理體制中，除了要不斷完善對個人信息收集后的保護機制，還需要明確個人信息收集的邊界。因為，相對于信息收集后泄露的風(fēng)險，網(wǎng)站、app等平臺過度索權(quán)對個人信息保護存在的潛在威脅，更為讓人“煩惱”。

　　中國消費者協(xié)會2018年發(fā)布的《APP個人信息泄露情況調(diào)查報告》顯示，有85.2%的被訪者個人信息曾經(jīng)被泄露。據(jù)調(diào)查，手機APP在自身功能不必要的情況下獲取用戶隱私權(quán)限的情況比較嚴(yán)重，67.2%的受訪者稱曾遇到這種情況。

　　北京市民孟女士向記者反映，“一些手機APP存在明顯過度索權(quán)行為，如聊天APP必須要開放位置信息，或者讀取用戶通訊錄等。在給用戶提供便利的同時，APP也在大肆索取一些‘并不必要’的用戶信息。”

　　據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測分析發(fā)現(xiàn)，在目前下載量較大的千余款移動APP中，每款應(yīng)用平均申請25項權(quán)限，平均收集20項個人信息和設(shè)備信息。通常與主業(yè)無關(guān)的通話權(quán)限，就有30%以上的APP申請。

　　東南大學(xué)網(wǎng)絡(luò)空間安全學(xué)院副教授宋宇波表示，APP收集個人信息，主要原因是商業(yè)利益。他們的商業(yè)模式，就是通過采集用戶信息銷售給第三方公司。大多數(shù)APP都會要求獲取訪問用戶應(yīng)用程序列表的權(quán)限，他們就可以在用戶不知情的情況下，分析用戶對應(yīng)用程序的使用習(xí)慣，來推測用戶的愛好。

　　“個人信息被泄露后實在令人煩惱，比如紛擾不息但很精準(zhǔn)的推銷電話，有時候一天都能接到近10個，這些‘無名’的電話接起來煩躁，不接又擔(dān)心錯過重要工作電話，著實讓人無奈?！泵吓俊巴虏邸闭f。

　　值得注意的是，為保障個人信息安全，2019年1月~12月，中央網(wǎng)信辦等四部門在全國范圍組織開展APP違法違規(guī)收集使用個人信息專項治理。全年共檢測App多達460萬個，下架處置了違法違規(guī)App3.1萬個，集中核查了相關(guān)App線索3000余條，抓獲814人。

　　中國并購公會信用管理專業(yè)委員會常務(wù)副主任劉新海告訴記者：“從政府角度來說，做好個人信息保護的立法和監(jiān)管，需要有一個專門的部門統(tǒng)一協(xié)調(diào)，同時要對個人信息保護進行細(xì)化，因為不同行業(yè)、領(lǐng)域差異比較大，并積極開展個人信息保護的教育和宣傳。從企業(yè)角度來說，需要尊重消費者的個人隱私，開展個人信息保護的合規(guī)工作，這樣才能取得消費者和社會的信任，不能為了商業(yè)利益而罔顧消費者權(quán)益。值得欣慰的是，目前市場上也開始出現(xiàn)專門提供個人信息保護服務(wù)的創(chuàng)新型科技企業(yè)，這是不錯的科技向善的趨勢。

　　泄露源頭難以界定

　　個人信息維權(quán)遭遇困境

　　現(xiàn)實中確實很難界定“平臺存在漏洞導(dǎo)致信息泄露”的責(zé)任，若消費者向法院投訴平臺，平臺只要舉證證明其盡到了安全責(zé)任保護義務(wù)，就很難對平臺進行追責(zé)

　　對于侵犯個人信息的案件，有一小部分人選擇維權(quán)“死磕”。

　　2019年7月，工業(yè)和信息化部發(fā)布了2019年第一季度電信服務(wù)質(zhì)量通告，對100家互聯(lián)網(wǎng)企業(yè)106項互聯(lián)網(wǎng)服務(wù)進行抽查，發(fā)現(xiàn)18家互聯(lián)網(wǎng)企業(yè)存在未公示用戶個人信息收集使用規(guī)則、未告知查詢更正信息的渠道、未提供賬號注銷服務(wù)等問題。其中，貝貝網(wǎng)所屬公司杭州貝購科技有限公司因未經(jīng)用戶同意收集個人信息被通報。這是貝貝網(wǎng)因泄漏用戶信息，第二次被公眾廣泛關(guān)注。

　　“我是做跨境電商的，如果這個詐騙電話打給我就不會被騙了！”2019年3月，在面對警察的訊問時，深圳的范先生氣憤地說道。

　　范先生是母嬰領(lǐng)域電商平臺貝貝網(wǎng)信息泄露的維權(quán)者之一。據(jù)他介紹，2018年12月10日中午，范先生的妻子接到自稱是貝貝網(wǎng)商家的電話，稱她購買的嬰兒內(nèi)衣存在甲醛超標(biāo)的問題，要對范太太進行退款?！捌鸪跷姨]有相信他們就是貝貝網(wǎng)的賣家，但是對方準(zhǔn)確無誤地說出了我們買的東西、什么時候買的、花了多少錢，收貨地址、姓名、電話全都對的上，就打消了我太太的顧慮。說得這么詳細(xì)準(zhǔn)確，誰會相信這是假的呢?！?/span>

　　范先生表示，“點擊對方發(fā)來的鏈接之后，支付寶里的錢轉(zhuǎn)眼就被盜了，我們倆的支付寶是綁定在一塊的，我太太的支付寶里面沒有錢，接著我的支付寶也被破解了，短信顯示我的支付寶被自動扣款，一毛錢沒剩下來?！?/span>

　　不僅如此，對方通過親密支付功能成功把范先生賬戶剩下的925.59元全部購買Q幣等虛擬貨幣。發(fā)現(xiàn)上當(dāng)后，范先生聯(lián)系了貝貝網(wǎng)官網(wǎng)客服，對方建議范文到當(dāng)?shù)毓膊块T報案，貝貝網(wǎng)將全力協(xié)助。

　　范先生也多次聯(lián)系貝貝網(wǎng)相關(guān)負(fù)責(zé)人，但未得到對方的正面回應(yīng)。“兩邊都在踢皮球，找不到真正泄露信息的源頭，這樣根本就解決不了問題”。范先生說。

　　因貝貝網(wǎng)購物信息泄露導(dǎo)致用戶受到詐騙的人不只范先生一個。有用戶通過社交平臺透露，其在接到貝貝網(wǎng)所謂的“客服”電話后，受騙金額達到14.4萬元，向貝貝網(wǎng)索賠無果。

　　據(jù)范先生了解，在貝貝網(wǎng)購物后被騙的人有數(shù)十人，涉及總金額或已達上百萬元。這些受騙者在百度貼吧、微博、博客以及天涯論壇等平臺控訴貝貝網(wǎng)，試圖從多個渠道維護自己的合法權(quán)益。

　　范先生以及其他維權(quán)者的窘境在于信息泄露的源頭難以查明和取證。《中國電子商務(wù)報告2019》顯示，網(wǎng)購消費者個人信息泄露成為網(wǎng)絡(luò)安全領(lǐng)域的重要隱患。由于平臺掌握了買家和買家與交易有關(guān)的詳細(xì)信息，一旦平臺可以搜索或者無意間泄露信息，信息主體都會受到傷害。

　　對此，北京盈科(杭州)律師事務(wù)所方超強律師認(rèn)為，現(xiàn)實中確實很難界定“平臺存在漏洞導(dǎo)致信息泄露”的問題，若消費者向法院投訴平臺，平臺只要舉證證明其盡到了安全責(zé)任保護義務(wù)，就很難對平臺進行追責(zé)。

　　方超強解釋稱，電商平臺在獲取用戶個人信息的同時，就有保護個人信息的義務(wù)。但信息泄露存在不同的情況，如果電商平臺提供了符合其規(guī)模的保護措施卻還是被黑客入侵了系統(tǒng)，這種情況屬于不可抗力，電商平臺不用承擔(dān)責(zé)任；但如果最終發(fā)現(xiàn)因平臺存在漏洞而導(dǎo)致用戶信息泄露，那么平臺就要負(fù)責(zé)。

　　在山東濰坊，劉女士同樣因為信息泄露源頭不明而導(dǎo)致維權(quán)艱難。

　　自2019年10月劉女士在濰坊高新區(qū)上城浞府購買了一套商品房后，就頻繁接到裝修公司電話，裝修公司不僅能準(zhǔn)確說出她所購買的小區(qū)，甚至連面積、戶型都準(zhǔn)確無誤?！皠傎I了房子，還沒交房，裝修電話就接連不斷，肯定有人泄露了我的個人信息！”劉女士堅定地說。

　　為了進一步查明信息泄露的源頭，劉女士詢問了多家裝修公司的工作人員，但工作人員都表示，客戶信息主要是來自于自第三方合作平臺的推送，除此之外還通過家博會、抄錄小區(qū)附近車輛的挪車電話等方式獲取信息，并無違法行為。

　　就劉女士的遭遇，濰坊市市場監(jiān)管局表示，近年來消費者個人信息泄露愈演愈烈，已嚴(yán)重影響到消費者的正常生活，根據(jù)2020年1月1日起實施的《市場監(jiān)管部門投訴舉報暫行辦法》規(guī)定，投訴舉報由縣級主管部門進行屬地管理，消費者可向縣級主管部門進行投訴舉報，維護自身的合法權(quán)益。

　　從事房產(chǎn)行業(yè)多年的高先生表示，在行業(yè)內(nèi)購房信息泄露，已成為明目張膽的“明”規(guī)則，準(zhǔn)業(yè)主信息已然成為了裝修公司、家具經(jīng)銷商眼中必爭的精準(zhǔn)“信息源”，然而，往往因為信息泄露源頭不明，導(dǎo)致個人維權(quán)時艱難，“有些買家利用完后會再轉(zhuǎn)手賣出，流向同行業(yè)或者金融行業(yè)，這是一條完整的灰色信息產(chǎn)業(yè)鏈條?！?/span>

　　山東豪德律師事務(wù)所王增金律師表示，《消費者權(quán)益保護法》從法律層面確定了消費者個人信息受保護，個人信息屬于個人隱私，商家未經(jīng)客戶同意私自泄露或出賣，不僅違反了《消費者權(quán)益保護法》、《侵權(quán)責(zé)任法》，同時違反了《民法總則》的相關(guān)規(guī)定，向他人出售或者提供公民個人信息者需要承擔(dān)相應(yīng)的民事責(zé)任。

　　現(xiàn)實中，諸如劉女士的境遇可能已經(jīng)成為大部分人正常生活中的一部分。這一部分人可能因為個人信息保護意識的不強，又或者因為繁瑣的維權(quán)程序而選擇“沉默”。根據(jù)《2019年中國網(wǎng)民信息安全狀況研究報告》顯示，網(wǎng)民嚴(yán)重缺乏對信息安全事件的維權(quán)意識。調(diào)查報告顯示，77.7%的被調(diào)查網(wǎng)民都遭遇過信息安全事件，盡管他們遭受了損失，但是47.50%的被調(diào)查網(wǎng)民未曾對其做過相應(yīng)的維權(quán)處理。

　　新技術(shù)帶來新挑戰(zhàn)

　　生物特征信息采集謹(jǐn)防過度

　　在AI技術(shù)應(yīng)用與肖像權(quán)保護方面，民法典回應(yīng)了社會熱點問題，未經(jīng)肖像權(quán)人同意的“換臉”行為涉嫌侵權(quán)

　　刷臉成為當(dāng)下一個“時髦”而便捷的通行方式。但浙江市民郭兵對這種人臉信息應(yīng)用的選擇更為謹(jǐn)慎。

　　6月15日，浙江省杭州市富陽區(qū)人民法院公開開庭審理杭州野生動物世界有限公司服務(wù)合同糾紛一案，本案原告郭兵因不愿意使用人臉識別，以侵犯隱私權(quán)將杭州野生動物世界告上法庭。郭兵訴稱，2019年4月他在杭州野生動物世界辦理了一張年卡，通過驗證年卡和指紋，可在一年內(nèi)不限次數(shù)入園游玩。2019年10月，被告杭州野生動物世界通過短信告知郭兵，“園區(qū)年卡系統(tǒng)已升級為人臉識別入園，原指紋識別已取消，即日起，未注冊人臉識別的用戶將無法正常入園”。

　　對此，郭兵認(rèn)為面部特征等個人生物識別信息屬于個人敏感信息，一旦泄露、非法提供或者濫用，將極易危害包括原告在內(nèi)消費者人身和財產(chǎn)安全。他表示，僅憑一條短信通知就要求更改入園方式，按照合同來說是一種“單方變更”。

　　因上述案件涉及是否過度采集公民生物特征信息等話題，被輿論稱為“刷臉第一案”。

　　如今，人臉識別等個人信息大數(shù)據(jù)應(yīng)用場景遍布日常生活，機場安檢、刷臉支付、小區(qū)進出等不少應(yīng)用場景都逐漸嘗試。尤其在疫控特殊時期，大數(shù)據(jù)的應(yīng)用優(yōu)勢更加突出。比如，傳統(tǒng)的接觸式線下核驗方式存在一定風(fēng)險，“健康寶”采用線上人臉識別、線下現(xiàn)場核驗相結(jié)合的方式，既保證了非接觸式核驗安全性，也確保了信息的唯一性和真實性。

　　全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會牽頭成立的APP專項治理工作組副組長洪延青表示，相較于傳統(tǒng)的走訪、摸排、登記，信息技術(shù)和大數(shù)據(jù)分析更加及時、準(zhǔn)確、有效，成為疫情防控和監(jiān)測的重要手段。此外，大數(shù)據(jù)不斷學(xué)習(xí)、更迭、完善的特點，也有利于更好分析掌握疾病傳播規(guī)律，消除防疫“盲區(qū)”和不確定性。

　　因為新技術(shù)應(yīng)用越來越廣泛，社會的關(guān)注度也越來越高，相關(guān)話題也被置于公眾討論：人臉識別技術(shù)是否存在濫用？誰能收集、使用我們的生物信息？誰又來保護我們的信息安全？

　　劉新海告訴記者，個人信息保護的難點在于數(shù)字經(jīng)濟時代，消費者有越來越多的數(shù)據(jù)產(chǎn)生信息并以極快的速度傳播。在信息傳輸?shù)耐瑫r，由于對數(shù)據(jù)信息的監(jiān)管薄弱，缺乏大數(shù)據(jù)個人信息保護技術(shù)支撐，所以個人信息保護在大數(shù)據(jù)時代受到了空前的挑戰(zhàn)。

　　近日，一份在京發(fā)布的《人臉識別與公共衛(wèi)生調(diào)研報告》，對疫情期間公眾對人臉識別的接受度進行了研究。報告顯示，疫情中大規(guī)模使用的人臉識別及其增強形式，讓很多受訪者擔(dān)憂其自身信息安全。受訪的1100多人中，60.3%的受訪者不知道哪些實體擁有自己的面部數(shù)據(jù)，93.8%的受訪者認(rèn)為自己有權(quán)知道，僅有33.5%認(rèn)為自己的面部數(shù)據(jù)是安全的。

　　人們對個人生物信息技術(shù)應(yīng)用的擔(dān)心不無道理。據(jù)了解，人臉信息泄露或被非法采集，不法分子可以通過軟件合成，將照片制作成動圖，按照相應(yīng)登錄軟件規(guī)定程序，圖片可以完成點頭、眨眼等認(rèn)證動作，就能順利通過部分軟件的人臉認(rèn)證，這已成為灰色數(shù)據(jù)交易的“過臉產(chǎn)業(yè)”。

　　事實上，早在今年2月，中央網(wǎng)信辦就發(fā)布《關(guān)于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》，對疫情防控期間的個人信息安全保障作出規(guī)定?！锻ㄖ访鞔_規(guī)定，為疫情防控、疾病防治收集的個人信息，不得用于其他用途，任何單位和個人未經(jīng)被收集者同意，不得公開其姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息。

　　“疫情防控與個人信息保護，需要統(tǒng)籌兼顧、做好平衡?！痹诤檠忧嗫磥?，涉及個人信息的采集、匯總、共享、披露等各個環(huán)節(jié)都應(yīng)當(dāng)注意做好個人信息保護工作，以防出現(xiàn)數(shù)據(jù)泄露、丟失、濫用等情形。比如，以電子方式記錄或匯總相關(guān)信息，則需要責(zé)任落實到人，并將數(shù)據(jù)保存在特定終端并加密存儲。

　　值得注意的是，《民法典》人格權(quán)編對個人生物識別信息的保護做了明確規(guī)定。北京大學(xué)法學(xué)院副院長薛軍認(rèn)為，在AI技術(shù)應(yīng)用與肖像權(quán)保護方面，民法典回應(yīng)了社會熱點問題，未經(jīng)肖像權(quán)人同意的“換臉”行為涉嫌侵權(quán)。針對平臺侵權(quán)責(zé)任的設(shè)定，民法典在《電子商務(wù)法》的基礎(chǔ)上將平臺等待權(quán)利人針對反通知（涉嫌侵權(quán)者聲稱自己未侵權(quán)的證明）做出回應(yīng)，終止已采取措施的期限，由15天修改為“合理期限”。

　　業(yè)內(nèi)人士認(rèn)為，目前，我國公民的個人信息自我保護意識落后于現(xiàn)代社會迅猛發(fā)展的速度，導(dǎo)致民眾在日常生活中缺乏自我保護的法律意識。建議加快個人信息保護法的立法進程，一方面為公民維權(quán)提供明確的法律武器，另一方面為公民增強信息保護意識提供輿論氛圍。

　　呼應(yīng)群眾訴求與期盼

　　個人信息保護亟需形成合力

　　我國關(guān)于個人信息保護在法律法規(guī)層面已有相關(guān)規(guī)定，但這種分散式的立法不利于形成保護合力

　　7月3日，數(shù)據(jù)安全法（草案）全文在中國人大網(wǎng)公開征求意見。據(jù)全國人大常委會法工委發(fā)言人臧鐵偉介紹稱，數(shù)據(jù)安全法草案主要內(nèi)容包括四方面：“一是，確立數(shù)據(jù)分級分類管理以及風(fēng)險評估、監(jiān)測預(yù)警和應(yīng)急處置等數(shù)據(jù)安全管理各項基本制度。二是，明確開展數(shù)據(jù)活動的組織、個人的數(shù)據(jù)安全保護義務(wù)，落實數(shù)據(jù)安全保護責(zé)任。三是，堅持安全與發(fā)展并重，規(guī)定支持促進數(shù)據(jù)安全與發(fā)展的措施。四是，建立保障政務(wù)數(shù)據(jù)安全和推動政務(wù)數(shù)據(jù)開放的制度措施?！?/span>

　　這意味著，數(shù)據(jù)安全法實施后，對相關(guān)企業(yè)處罰時將有法可依，個人信息保護又多了一道法律“屏障”。

　　據(jù)了解，目前，我國關(guān)于個人信息保護在法律規(guī)定層面已有相關(guān)規(guī)定，如兩高關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋中已經(jīng)明確了“情節(jié)嚴(yán)重”的認(rèn)定標(biāo)準(zhǔn)：非法獲取、出售通信信息、財產(chǎn)信息50條以上的，或者非法獲取、出售或提供通信信息、交易信息等公民個人信息500條以上的，或違法所得5000元以上的，都可入罪。即將施行的《民法典》第六章獨立設(shè)置了隱私權(quán)和個人信息保護，從個人信息的定義、個人信息處理的原則和條件以及個人信息處理者的安全保障義務(wù)等整體角度分別作出規(guī)定。

　　與此同時，在部門規(guī)章層面，《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》明確電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者在個人信息保護方面的職責(zé)；《互聯(lián)網(wǎng)個人信息安全保護指南》引導(dǎo)個人信息持有者采取有效的信息安全保護措施等。

　　目前，我國個人信息保護主要內(nèi)容有哪些？中國信息通信研究院互聯(lián)網(wǎng)法律研究中心主任方禹表示，根據(jù)現(xiàn)有立法來看，大致可以分為四點：一是明確個人信息的概念。如網(wǎng)絡(luò)安全法將個人信息界定為，以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

　　二是規(guī)定個人收集使用要求。如網(wǎng)絡(luò)安全法規(guī)定，網(wǎng)絡(luò)運營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。

　　三是賦予個人享有的部分?jǐn)?shù)據(jù)權(quán)利。民法總則第111條確立了對個人信息的保護，其規(guī)定：“自然人的個人信息受法律保護”。

　　四是設(shè)計跨境數(shù)據(jù)流動制度。我國在網(wǎng)絡(luò)安全法等立法中確立了跨境數(shù)據(jù)流動管理制度，規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的運營者收集、產(chǎn)生的個人數(shù)據(jù)和重要數(shù)據(jù)向境外提供進行安全評估。

　　在中國社會科學(xué)院法學(xué)所副所長周漢華看來，這種分散式的立法并不利于形成保護合力。“關(guān)于個人信息保護的規(guī)定，散見于各種規(guī)范性文件里，這就產(chǎn)生了不確定性，行業(yè)主體不知道應(yīng)該遵守什么樣的規(guī)則。”

　　此外，也有專家認(rèn)為，當(dāng)前個人信息保護的法律體系還存在一定的局限性：一方面，現(xiàn)行的法律法規(guī)對于違法分子的懲處力度有限，例如，《網(wǎng)絡(luò)安全法》將罰款數(shù)額設(shè)定在違法所得的一倍以上十倍以下，沒有違法所得的，罰款上限為一百萬元，而互聯(lián)網(wǎng)企業(yè)利用個人信息所獲利益遠(yuǎn)遠(yuǎn)大于罰款。2018年，某知名互聯(lián)網(wǎng)平臺曾被行政機關(guān)通報在個人信息保護方面存在違法行為，管理部門根據(jù)《消費者權(quán)益保護法》，對該平臺予以警告，并處罰款５萬元。與之形成鮮明對比的是，2019年，Facebook因個人信息保護問題被美國聯(lián)邦貿(mào)易委員會處以50億美元的巨額罰款。另一方面，部分規(guī)范效力等級較低，已經(jīng)無法滿足社會公眾對個人信息保護的需求。

　　現(xiàn)實的需要，民眾的期盼，讓立法對個人信息進行保護顯得更為迫切。方禹認(rèn)為《個人信息保護法》需要解決好三個問題：保護哪些信息？誰來保護？如何保護？

　　首先，應(yīng)進一步明確個人信息保護調(diào)整范圍。立法必須平衡數(shù)據(jù)自由流動和個人權(quán)利保護。過度強調(diào)權(quán)利保護的個人信息保護法規(guī)，雖然能在一定程度上提升個人信息保護水平，用戶對自身數(shù)據(jù)的控制權(quán)將大為提高，但在整體數(shù)字經(jīng)濟發(fā)展環(huán)境下，未必會形成良好的長期效果。個人信息保護的制度設(shè)計應(yīng)當(dāng)同時符合產(chǎn)業(yè)發(fā)展和權(quán)利保護的需要，個人信息范圍可寬可窄，具體保護規(guī)則可松可嚴(yán)。如果要兼顧數(shù)據(jù)自由流動和個人權(quán)利保護，邏輯上就應(yīng)當(dāng)對兩個關(guān)鍵因素進行合理匹配，較寬的個人信息范圍適用寬松的保護規(guī)則，較窄的個人信息范圍適用嚴(yán)格的保護規(guī)則。

　　其次，要明確個人信息保護專門機構(gòu)。當(dāng)前，互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)的不斷融合，跨行業(yè)、跨領(lǐng)域的個人信息保護情況越來越多。但現(xiàn)有立法并未明確規(guī)定各行業(yè)主管部門在個人信息保護領(lǐng)域的管理邊界，大量重復(fù)監(jiān)管和監(jiān)管真空的現(xiàn)象凸顯。同時，分散的個人信息保護管理體制，使得公民在個人信息受到侵害后投訴舉報常難以被受理或解決，救濟難度大大增加。因此，建立完善保護層級更高、統(tǒng)籌和協(xié)調(diào)性更強的個人信息保護體制顯得越來越迫切。

　　再次，應(yīng)細(xì)化有關(guān)個人信息保護規(guī)則。一要進一步細(xì)化知情同意規(guī)則，明確規(guī)定向用戶告知的信息應(yīng)當(dāng)準(zhǔn)確、易于理解、易于獲取，清晰說明各項業(yè)務(wù)功能及所收集個人信息類型、個人信息處理規(guī)則；明確同意的具體要求，即自愿的、具體的、明確的意思表示，不得通過默認(rèn)勾選、概況同意方式獲得用戶授權(quán)。二要規(guī)定敏感個人信息的特殊保護規(guī)則。建議立法中對不同的個人信息進行分級分類保護，對敏感個人信息進行更嚴(yán)格的保護。三要規(guī)定公開個人信息保護的具體規(guī)則。公開披露個人信息的主體可以是網(wǎng)絡(luò)運營者公開公民的個人信息，也可以是國家機關(guān)出于國家安全或公共利益的考慮，將特定公民的個人信息向公眾予以公開。

　　與時代同行，與民眾呼應(yīng)。在互聯(lián)網(wǎng)技術(shù)蓬勃發(fā)展的時代，海量的個人信息理應(yīng)成為我們更好生產(chǎn)生活的“推進器”，而不應(yīng)成為違法分子快速生財?shù)摹靶麻T路”。保護個人信息不受侵犯，需要政府加強監(jiān)管，嚴(yán)懲違法違規(guī)分子；也需要企業(yè)補齊短板，規(guī)范個人信息收集、儲存、使用等過程；更需要提高全民的法律素養(yǎng)，強化用“法律武器”維權(quán)的能力。相信隨著法治建設(shè)的不斷進步，個人信息防護的堤壩一定會越筑越牢，大數(shù)據(jù)等新科技也將更好地造福社會。