从华住信息泄露事件浅谈个人信息的保护

0 引言

华住集团用户数据在暗网售卖一事，在网络上引起轩然大波。所泄露信息包含用户的姓名、身份证号、登录密码等内容。数量高达5亿条，波及人数超过1.3亿。规模之大、范围之广，在进入网络时代以来尚属首例。借助网络的高速传播，危害已然无法挽回。而由于没有切实证据，所以事故责任至今无法明确认定。其实，在此之前不足三个月，大规模“微博盗号”案刚刚尘埃落定，在此之后“Githup”密码泄露案又随之而来。在企业广泛应用大数据技术为用户画像以实现精准营销的环境下，用户信息的价值不断被无保护的挖掘，而信息安全技术的应用与相关法规的创新显著滞后，导致信息泄露问题变得十分普遍。所以，关于个人信息保护问题的探讨在现如今是一个十分重要而且迫切需要解决的议题。

1 个人信息保护面临的严峻形势

1.1 立法层面的问题

1.1.1 个人信息概念界定模糊

只有理解清楚，什么是“个人信息”，才能更好地用法律武器保护个人信息。我国《网络安全法》中规定：“以数字信息技术为载体，可以独立或结合其他信息对公民个人身份进行识别的相关信息”属于个人信息。然而在网络时代，个人信息更加多样化，涵盖的内容更多，法律无法作出有效的保障。在学者给出的建议稿中采用了《中华人民共和国网络安全法》中关于个人信息的界定[1]。但是至今没有一个明确的概念。

1.1.2 现有法律法规不完善

我国现有关于个人信息保护的法律法规尚不完善。目前，我国法律对个人信息以间接保护为主。如：《身份证法》（2003年）、《消费者权益保护法》（2013）、《刑法修正案（九）》（2015年）等法案间接规定了不允许泄露、买卖个人信息，并增设了非法获取信息的罪名。《网络安全法》（2016）中也明确规定了网络环境下个人保护的基本规则。从民事权利的保护来看，目前《民法总则》中仅有相关规定，却并没有有效的惩处措施，所以威慑力度较弱。从刑法来看，刑法条文中针对的信息泄露问题主要是“泄露”、“非法购买”等犯罪行为，而对“非法使用”则缺乏约束力。

1.2 监管层面的问题

1.2.1 监管机制不健全

面对大数据时代个人信息泄露的严峻趋势，我国还没有建立起一套完善的政府监管机制[2]。2014年，我国制定并推行了《信息安全技术云计算服务安全能力要求》标准，明确规定了参与云服务的企业需要具备的信息安全管理资质。然而，该标准尚不完善，导致许多管理不规范、技术水平不够的服务商参与进来，使得个人信息安全的事前监管机制失效。此外，由于个人信息在大数据时代展现出极高的商业价值，而企业有逃避现有监管部门监管的技术能力，这为事中监管制造了很大的困难。最后，网络技术产业逐渐成为地方经济发展的支柱性产业，许多地方政府对大数据发展往往采取保护态度，秉持“效率凌驾公平”的理念，对信息泄露问题的处罚标准较低，事后监管的威慑力不足。

1.2.2 单边治理问题严重

目前我国个人信息安全保护和监管工作主要由政府部门负责，然而个人信息安全问题涉及的利益主体不仅包含政府，还包括企业、个人以及行业协会等等。个人信息安全的监管与保护工作所需面对的问题十分复杂，仅靠政府一方的力量远远不够。从现如今的实践成果来看，各方主体的作用还没有真正发挥。企业为了维护自身短期利益，对个人信息保护怀有抵触情绪，行业协会在保护用户信息方面有名无实，无法促使行业自律。个人对于信息安全的保护意识不够充分，不能通过舆论来让企业和社会整体对个人信息保护问题加强重视。

1.3 企业层面的问题

逐利是资本的天性。互联网商业模式的野蛮生长期，出于获利的需求和竞争的压力，使得企业内部缺乏对用户个人信息进行保护的动力。以华住集团为例，在“华住事件”爆发以前，由于粗放式的管理导致数据泄露屡禁不止，信息安全能力屡受质疑。与此同时，华住集团对于用户信息的收集却十分重视，通过网络营销、电话营销等措施，不断利用用户信息进行精准营销和业务拓展。市场对个人信息的大量需求催生了灰色产业链条，各类相关企业争相窃取用户信息。DCCI互联网数据中心2017年发布报告显示，Android系统中96.6%的应用会获取用户隐私权限，其中25.3%存在越界获取信息的可能性[3]。

1.4 个人层面的问题

互联网时代技术发展速度远远超过人们充分适应的速度，信息泄露危害尚不足以唤起民众的焦虑与恐慌。加上公民对信息安全的认识较为模糊，对个人信息安全保护相关法律的理解较为浅显，所以遇到信息泄露或滥用的情况，往往不以为然;面对电话骚扰、诈骗短信等问题，除造成严重的损失，否则不会进行维权。另外，目前的法律环境下个人维权成本极高，维权成功难度较大[4]。

2 针对个人信息保护的相应对策

2.1 立法层面的对策

我国《个人信息保护法》目前正在订制之中，在利用相关技术对个人信息的概念进行界定的基础上，应加快推进立法进程。明确个人权利主体所应享有的权利范畴，界定相关义务主体的责任[5]。从立法层面完善个人信息安全的保护机制，强化个人信息违法犯罪行为的处罚力度。与此同时，以《个人信息保护法》为统筹，结合不同的行业环境，逐步完善相关法典中关于个人信息保护的相关内容。补充刑法中关于个人信息使用等下游犯罪行为的法条，加强对个人信息非法传播的打击力度。进一步完善法律法规，应从需求端入手，有针对性的控制市场上非法倒卖个人信息的行为，从而整肃风气，震慑犯罪行为，突破个人信息泄露“破窗效应”所带来的负面影响。

2.2 监管层面的对策

2.2.1 建立个人信息安全的全过程监管机制

从事前监督的角度，应逐步完善大数据服务准入制度，加强服务商的技术能力和信用的审核，完善技术安全标准。政府监管部门应积极与第三方组织合作，利用第三方组织的技术能力，实现对大数据服务市场的深入监督与管制。加强对个人信息安全的前置性保护，避免因服务商资质问题而埋下信息安全隐患。从事中监督的角度，应定期展开巡查，动态监测服务商以及相关企业对个人信息操作的合规性。制定监管制度，提升巡查的严肃性。总结归纳国外经验与教训，完善个人信息安全风险管理机制与管理能力。从事后监督的角度，要强调违法必究、执法必严，敦促地方关注互联网产业的健康发展。在具体操作上，要建立个人信息泄露的溯源机制，提升执法的及时性，降低信息泄露所造成的危害。

2.2.2 建立个人信息安全保护的多元治理机制

以政府为主导，通过政策鼓励等措施，引导互联网行业中的龙头企业研发个人信息安全保护的新技术，邀请其参与信息安全标准的制定。从而在技术层面提升个人信息安全。其次，扶植行业协会并敦促其发挥自律、自纠的职能，不断完善产业环境，推动互联网产业健康有序发展。再次，完善举报投诉机制，鼓励公民对信息安全问题进行投诉，并提供一定程度的法律援助，提升信息安全诉讼的成功率。通过调动相关利益主体充分参与到个人信息安全保护中，让企业、社会、个人都参与到信息安全保护工作当中。

2.3 企业层面的对策

随着互联网行业不断发展并逐渐进入相对稳定的产业格局，具有垄断能力的企业有资格也有动力推行行业标准，通过限制对个人信息的非法获取和不当利用来压制新兴企业，同时提升自身的品牌形象和美誉度。在这种情况下，需要加快推进这一进程。从政府角度出发，应敦促建立行业监督协会，完善行业自查、企业自律机制。同时，强制性规定企业在信息安全方面的投入占经营收益比例，提升信息安全管理在企业管理的地位。完善行业标准，对于涉及用户信息的产品和服务严格审查其获取途径和获取权限的合理性。对于恶意搜集和不当利用用户信息的行为，以行业标准为依据进行处罚。

2.4 个人层面的对策

从增强信息安全保护意识的角度，应充分发挥媒体宣传的职能，对于信息泄露所引发的问题与后果进行深度分析与广泛宣传，结合近期热点信息，以民众喜闻乐见的形式进行宣讲。自下而上的提高信息安全管理意识，通过增强个人的信息安全意识来提高舆论声浪，进而通过舆论倒逼来推动企业对个人信息保护问题作出实质性的改革。从增强信息安全问题维权意识的角度，应做好普法宣传，结合逐步完善的法律法规与日渐周密的监管措施，为被侵权民众增强诉讼信心，从而让民众广泛参与到个人信息安全保护活动当中。

3 结语

大数据时代的用户个人信息是所有企业的富矿，在挖掘过程中如果不注意保护，肆意滥用，所侵害的将不仅是用户群体，更是行业和企业本身。华住集团信息泄露事件虽然影响范围巨大，但引发的震动却并不显著。可见对于信息安全问题，无论是国家管理层面还是舆论层面都尚未触底反弹，其间是幸或不幸难以定论，但越早加强管制、完善法规、提升信息安全保护意识，对个人、行业乃至于国家发展将越有益处。

参考文献

[1] 齐爱民.中华人民共和国个人信息保护法学者建议稿[J].河北法学，2019（1）：154-157.

[2] 刘智勇.云计算服务中数据安全的若干问题研究[J].山东工业技术，2018（7）114-159.

[3] 腾讯社会研究中心，DCCI互联网数据中心.2017年度网络隐私安全及网络欺诈行为分析报告[R].2017.

[4] 徐槐，巩东东.个人信息泄露的方式、隐患及预防策略研究[J].法制博览，2016（13）：196-197.

[5] 周汉华.探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向[J].法学研究，2018（2）：3-23.