朱琳
一些敏感数据的所有权和使用权并没有明确界定,当信息泄露时,责任主体很难确定,这就导致不少信息泄露维权者选择不起诉,放纵了不法分子,形成一个恶性循环。
“双11”狂欢落下帷幕。就在“剁手党”们疯狂买买买的时候,有细心买家发现,一些与自己需求相关的广告信息总会“不期而至”。
除了网上购物,打开地图会跳出自己最常去的地点,推荐最佳回家路线;打开网页会弹出自己感兴趣的内容……对此,有人感到便利,“省得花时间找了”。可当人们经常接到陌生电话,对方了解自己大量信息,并推销量身定制的产品时,才发觉有些不对劲了。
“當前,个人信息频繁泄露、大数据安全顶层设计缺失、大数据交易安全第三方监督缺位。在这样的背景下,出台个人信息保护法将成为保护网络信息安全的重要措施。”北京师范大学法学院教授、亚太网络法律研究中心主任研究员刘德良呼吁。
超八成网民受信息泄露影响
“昨天我用手机APP浏览了几款商品,没想到,今天我打开台式电脑浏览网页时发现,浏览器自动推送了我昨天看的那几件商品。”宋佳妮是一名资深网购,她发现如今的电商平台越来越“智能”了,甚至比她自己更了解自己。
宋佳妮告诉记者,不仅电商平台会记住她的喜好,精准推送各类商品,她浏览的其他网站也能与其关联,共同推送她感兴趣的文章或内容。
“真是细思极恐。我感到自己成了一个透明人,且这发生的一切都是在我不知情的状态下进行的,我丝毫没有注意到‘第三只眼正时时刻刻在盯着自己。”宋佳妮有些后怕。她说,如果这些数据信息只被用来推送商业广告,虽然用户受到了打扰,可毕竟还不至于危险。可是如果这些个人隐私被用来实施犯罪,用户简直毫无招架之力。
近年来大数据风靡全球,与之相伴,个人信息安全泄露事件日益增多。据2016年中国网民权益保护调查报告显示,2016年有37%的网民因各类诈骗信息而遭受经济损失,84%的网民受到个人信息泄露带来的不良影响。
2016年的“3·15”晚会曝光了公共WiFi的安全漏洞问题。据专家分析指出,我国80%的WiFi能在15分钟内被轻易破解,平均每天有8%的WiFi会遭受各种攻击。
2016年4月,济南20万婴幼儿信息泄露,不法分子非法入侵免疫规划系统网络获取20万儿童信息并在网上公开售卖。
今年6月,湖北武汉警方侦破一起非法贩卖个人信息案,截获公民信息2600万余条。
今年9月,浙江绍兴警方公布,破获全国首例利用人工智能技术窃取公民个人信息的案件,截获10亿余组公民个人信息。
“大数据在给人们带来便利的同时,其所带来的安全威胁也将辐射到各行各业,其中个人隐私信息数据带来的威胁,尤为明显。”刘德良介绍,我们每次上网或使用网络服务都会形成一定的数据并自动被系统记录下来,这些碎片化的数据汇聚成一个巨大的“数据库”。
刘德良表示,这些汇集的数据不仅数量大,而且大多是涉及个人隐私的敏感型数据。对于消费者或者互联网用户来说,大数据可能意味着尽可能搜集跟消费相关的隐私,然后进行营销,并以此获得商业利益。“因此,大数据成为极有吸引力的目标,也成为极易被发现、被盗取的目标。”
“一些‘黑客利用新技术发起攻击,盗取更多有用信息。”中国政法大学传播法研究中心研究员朱巍说,还有一些职能部门掌握的公民个人信息被不法人员盗取、泄露、转卖,还有不少公民个人在日常购物、上网、消费等活动中,不经意泄露了自己的姓名、身份证号、电话、住址等个人信息,被不法人员掌握。
“由于个人的大意、企业的逐利、安全监管的缺失,这些都可能造成用户的个人信息安全问题。”全国人大代表、贵州大学大数据与信息工程学院院长谢泉表示。
“不仅如此,信息泄露维权者还面临举证难的问题。谁侵害了自己的个人信息安全,应该向谁起诉,这需要原告证明因果关系,正是由于被告不明,许多案件无法立案。”朱巍说,一些敏感数据的所有权和使用权并没有明确的界定,当信息泄露或被盗取时,责任主体很难确定,这就导致不少被信息泄露的维权者选择不起诉,放纵了不法分子,形成一个恶性循环。
个人信息保护法律法规内容分散
当数据越来越多,真正开始产生效益的时候,数据交易的利益分配问题、安全问题、相应的法律法规问题就凸显出来。
谢泉认为,对大数据的发展应当支持,但是个人信息安全同样不可忽视,应给其套上“法律的缰绳”,用立法规范对个人信息的使用。
“进入大数据时代,如何保护个人信息安全成为迫在眉睫的重要课题。” 中国政法大学互联网金融法律研究院院长李爱君表示,从立法现状看,我国对个人信息保护尚未出台专门立法,对于泄露个人信息的处罚缺乏统一性和系统性,尚未形成统一的关于个人信息保护方面的基本法。“相关规定只是散见于相关的法律法规中,且量刑偏轻。”
我国民法总则第一百一十一条、刑法第二百五十三条都涉及了公民的个人信息不受侵犯以及相关的处罚措施。
另外,今年6月1日起施行的网络安全法,最高人民法院和最高人民检察院5月9日联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对涉及用户个人信息的,进行了相关规定。
除此之外,消费者权益保护法、居民身份证法、商业银行法、未成年人保护法、电信条例,以及《互联网电子公告服务管理规定》《计算机信息网络国际联网安全保护管理办法》《互联网安全保护技术措施规定》等法律法规也都对涉及个人信息作出相关规定。
“从立法形式上看,我国有关信息安全的法律法规在数量上似乎形成了一定的规模,但没有构成一个完整、系统、条理清晰的体系。”刘德良说。
从内容上分析,许多条文规定的内容过于抽象,操作性差,难以有效执行,且存在重复、交叉,形成多头执法和多头管理的局面,导致执法成本和司法成本的浪费。
“我国对个人的信息、肖像权等有法律保护,但是对于在大数据时代个人数据的使用却未明确,也没有专门针对个人数据信息进行法律法规的监管,这就造成了个人信息安全的隐患。”刘德良认为,要使个人信息得到保护,就要保证数据交易平台用的是“干净”的数据,即不能侵犯个人隐私、不能泄露企业商业秘密、不能泄露国家机密、不能危害国家安全等。
应尽快出台个人信息保护法
“为了应对大数据时代个人信息安全面临的新挑战,有必要推动专门的立法工作,除了从源头上加强网络安全防护外,更关键的是要完善公民个人信息立法,尽快制定个人信息保护法。”刘德良认为,统一立法可以对个人信息给予更充分的保障,对收集、利用、买卖个人信息的价值取向保持一致。
其实早在2003年,个人信息保护法专家建议稿就开始起草,2005年完成建议稿,但始终未进入实质性阶段。在每年的全国人大会议上,都有人大代表呼吁该法的出台。
作为全国人大代表,谢泉是制定个人信息保护法的拥护者。在谢泉看来,应当通过立法规定信息数据遭泄露时及时告知等义务,并建立对个人信息泄露的预防和救济制度,对个人信息数据给予全方位保障。
“在大数据时代,由于泄露信息还可能构成其他严重犯罪的帮助行为,因此在量刑上也应当加大力度,并可以在罚金方面作出较为具体的规定。”刘德良建议。
同时,刘德良指出,由于公务机关和非公务机关对个人信息侵害的程度不同,因此在立法时,有必要对公务机关和非公务机关予以区分。基于国家利益、社会公共利益及他人利益等方面的个人信息侵权行为,则应当制定相应的免责条款。
刘德良还认为,个人信息保护法应与信息安全相关的法律法规进行有效衔接,做到相统一、相呼应,从而形成较为完善的信息安全法律系统。
对此,朱巍表示赞同。他说,比如对于尚未构成刑事犯罪的一般侵权行为,主要通过民事法律法规进行调整,那么就十分有必要修改完善相关的民事法律法规,更有效地维护公民个人民事权益。对于其他相关法律法规也要衔接好,保持法律实施的一致性。
“还应加大对敏感信息和移动设备的监管力度。大数据科研人员在研发之前,首先应考虑以保护企業和个人隐私为前提,运用信息加密技术等措施提升大数据技术信息安全水平,加强信息保护力度。”李爱君建议。