靳英桃
(河南检察职业学院,河南 郑州 451191)
近年来,我国加大了网络信息安全保护的力度,制定了《全国人大常委会关于维护互联网安全的决定》《侵权责任法》《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《网络安全法》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《民法总则》以及即将生效的《民法典》等一系列规范性法律文件。这些规范性法律文件为网络个人信息安全的保护提供了一定依据,但也存在着诸如过分关注对个人信息保护的规定,忽视基于技术设置等网络新技术新业务而产生的网络黑色产业链;过分关注政府监管,忽视了加强企业自律,完善企业征信系统等问题,从根本上讲,产生这些问题的主要原因,是制定者没有充分意识到网络社会与传统社会治理的差别,用传统社会治理的模式来思考和治理大数据带来的个人信息泄露的治理问题。
麦肯锡全球研究所将大数据界定为:规模大、数据海量、流转速度快、类型多样以及价值密度低的超出传统数据库软件工作能力范围的数据集合。①Big Data:The Next Frontier for Innovation,Competition,and Productivity,Mc Kin Sey Global Institute Report[EB/OL].(2011-05)[2015-10-11],http://www.mckinsey.com/insights/business_technology/big_data_the_next_frontier_for_innovation.大数据是集数据海量、高增长率、充满多样性特点,需要新处理模式才能具有更强的决策力、洞察力、信息优化能力的一种信息资源。
大数据时代到来后,数据的产生与收集不再单一地从网络浏览记录中产生,移动智能设备、电子商务和搜索引擎网络服务也收集了大量的数据信息。对个人信息的保护,主要从获取权限、处理方式及数据管理方面进行。
(一)信息获取权限方面。大数据中个人信息的利用具有公开性和共享性,个人对自身信息的控制权模糊化。用户在使用网络及各种APP时,对个人信息的填写及保密协议除了点击“同意”以外别无选择,否则无法登陆相关界面,更不说用户对被采集的个人信息的流转背后的操作程序进行监管了。
(二)信息处理方式方面。在云技术的帮助下,大数据能对截取的个人信息,包括手机号码、地址甚至消费水平进行快速分析、深度整合与解析,在看似毫无关联的信息之间找出关联性,将整合后的信息精确比对到个人。
(三)信息数据管理方面。只要连上网络,个人浏览的信息就会受到运营商的监控,然后,大数据将比对后的个人信息推送给各大网购平台和广告商,成为网络黑色产业链交易的对象。
随着网络技术的飞速发展,网络黑色产业链仍有很大的生存空间,对于我国公民个人信息侵权的民事案件和刑事案件,仍然呈现逐年上升的态势。①张珏芙蓉.从《网络安全法》看我国个人信息安全法律保护的途径[J].传媒,2017.6(上).2016年,一件让人震惊的网络诈骗案的发生,引起了社会极大的关注。2016年8月19日,山东即将上大学的学生徐某某接到一个自称是教育局的电话,对方告知有一笔助学金可以发给她,于是徐某某在深信不疑的情况下,将9000多元学费打入了骗子提供的账号,后发现上当受骗。徐某某万分难过,当晚和家人去派出所报了案。在回家的路上,徐某某突然晕厥,虽经医院全力抢救,但仍没能够挽回她年轻的生命,该案给我们敲响了个人信息保护的警钟。②临沂警方成立专案组 全力侦破徐某某被骗事件[EB/OL].新浪,2017-03-02.
1.开展打击网络乱象的“净网专项行动”
随着人工智能等技术的普及,网络黑色产业链已从传统的木马病毒和电话诈骗等简单的模式,向金融类诈骗和更为先进地撞库拖库、精准诈骗等复杂模式发展。为此,公安部门组织开展打击网络乱象的“净网专项行动”,严格落实网络安全等级保护制度,注重加强企业大数据和公民个人信息安全的防护。
2.加大法律法规对网络诈骗的惩处力度
针对信息安全的保护,我国分别在民事、刑事以及网络安全等方面进行了相关的立法。《全国人民代表大会常务委员会关于维护互联网安全的决定》规定,对有非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密行为,构成犯罪的,依照刑法有关规定追究刑事责任。《侵权责任法》规定,网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。《刑法修正案(九)》规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对公民个人信息的相关内涵做了认定标准,对侵犯公民个人信息罪的量刑标准进行了明确。2017年10月,个人信息保护正式写入《民法总则》,这是我国第一次从民事角度对个人信息进行立法保护。2020年5月通过的《民法典》对个人信息保护作出了基础性和较为系统的规定。
1.现实风险。此类风险多是由于客户为了一时的自身方便,而放弃个人信息安全的保护,成为不系安全带的数据驾驶员,在个人信息被侵犯时才意识到危险。如在上网时设置用户密码单一、蹭公共网络付款导致银行卡被刷、不安装安全软件等一系列图方便的行为,都存在着不同程度的安全风险。
2.潜在风险。在“互联网+”模式下,万物互联,个人在上网浏览网页、购物,享受互联网便利的同时,可能早就被黑客盯上,成为黑客攻击的对象,造成用户信息泄露。此种情况为智能化产品的技术缺陷造成使用中个人信息可能被泄露。
3.未知风险。安全技术更新与黑客和病毒技术更新速度相比,存在明显的缺陷,这对用户的个人信息安全问题形成了严重威胁。安全保护技术的滞后性威胁着个人信息安全,是导致个人信息泄露风险的又一诱因。
1.企业隐私条款成了“霸王条款”。网络在给人们带来便利的同时,或许大多数人并没有认真阅读过网络软件中的隐私条款,更不清楚网络企业是如何处理用户个人信息的。甚至在下载安装这些应用软件时,如果对其中的隐私条款不选择“同意”,根本不能下载使用这些软件。个人信息处理者的霸王条款,成为导致一系列信息泄露事件频繁发生的主要诱因。
2.个人信息知情权、遗忘权得不到保障。互联网时代,用户的个人信息权益很难得到保障,主要涉及两方面的权益:一、知情权,用户在使用网络时,并不清楚自己的哪些信息被哪些有心的商家所收集;二、遗忘权,用户在浏览网页后,个人信息不能删除,也不能要求服务商删除,即使在软件上删除成功,后台仍留有记录。
3.个人信息泄露导致诈骗、勒索等诸多社会问题。信息买卖黑市已形成处理个人信息一条龙的黑色产业链。近年来,公安和网络监管部门开始重视黑色产业链问题,一些包含信息买卖内容的网页一出现立即被删除,一些QQ群也受到持续的监控,但是新事物层出不穷,很难完全删除扼制。前述案例表明,对个人信息的过度收集利用,已经严重的侵犯了公民的合法权益,导致诈骗、勒索等诸多社会问题,甚至让人付出了生命的代价。
对于个人信息的保护,以美国和欧盟为代表的大多数国家大致形成了行业自律与单行立法相结合模式、立法综合规制模式两种治理模式,认真总结、反思这两种模式,对于完善我国大数据下个人信息保护具有重要意义。
此种模式以美国为代表,把个人信息作为隐私权加以保护,分为公共领域和私人领域两个不同的领域。在私人领域,通过有关行业从业者的自律约束与行业协会的督促监督来保护个人信息安全。《公平信用报告法》《电子通讯隐私法》《全球电子商务政策框架》等一系列法律的出台,旨在对以隐私权为中心的个人信息进行民法保护。2018年6月28日,美国加利福尼亚州颁布了《2018年加州消费者隐私法案》,旨在加强消费者隐私权和数据安全保护,该法案被认为是美国最严格的隐私立法。①加州通过全美最严厉隐私保护法案《2018年加州消费者隐私法案》https://www.sohu.com/a/242074366_199914.
此种模式以欧盟为代表,欧盟统一立法和各成员国国内立法在个人信息立法的价值取向、框架设计及基本制度架构等方面达成高度一致,确保各国之间的信息流通。2001年通过了《反信息犯罪法》,主要目的在于惩罚黑客的信息犯罪行为,确保信息安全。2012年,针对个人敏感信息问题欧盟开启了新一轮的立法改革,对敏感信息实行差别化保护,分为基本保护和增强保护。②鞠晔,王平.云计算背景下欧盟消费者个人敏感数据的法律保护[J].法学杂志,2014(8):79-85.2018年5月生效的《数据保护通用条例》,对个人数据泄露通知、设置数据保护官等进行了严格的规范。
大数据时代下,中国个人信息的保护不应再狭隘地局限于个人利益,而应侧重规范信息资产合理开发中个人利益和社会公共利益的平衡,构建一个平衡个人、企业和社会利益三方共治的法律模式框架。
1.完善相关法律法规,增加可操作性。针对法律法规分散、不具体、可操作性亟待细化等问题,借鉴美国、欧盟等国家关于个人信息保护的立法经验,制定可统一适用的《个人信息安全法》等专门性法律,明确个人信息的相关含义和救济方式,明确个人信息保护用户的“知情权”与“遗忘权”的具体操作标准,保障用户知悉其个人信息如何被加以利用,保障用户可以拒绝浏览过的信息被跟踪,可以通过一定的程序删除个人信息浏览痕迹等。
2.加强企业自律,完善征信系统。大数据时代,更要强调信息业者自身的行业自律,强化企业的社会责任感,促进信息技术与企业间的良性互动。政府应加强行业从业人员的个人信息权利意识,强化自律示范作用。完善企业征信系统,对于有失信行为的企业,给予信用减等处罚,将对个人信息的保护落实到企业经营的细节之中。
3.介入新技术手段,强化对个人信息保护的力度。随着物联网安全、态势感知、高级威胁调查取证等新兴技术手段的发展,网络安全产业迎来了新一轮的变革,一些新科技手段的介入能更加高效的保护个人信息安全。公安部第三研究所推出了公民网络电子身份标识系统(eID),利用密码技术,以智能安全芯片为载体,对个人信息“去标识化”,使大数据无法识别个人信息。网络黑灰产业的发展要求信息业者不断发展使用新的安全技术,加强大数据安全技术及核心科技的研发工作,改变核心技术受制于人的被动局面,提升信息防控能力。
4.健全行政监管,加大违法处罚力度。设立个人信息保护的行政监管机构,政府监督部门加大对相关企业和机构的监督与管理,定期对企业的个人信息处理情况进行抽查,对相关违反个人信息保护法律法规的企业进行警告,加大违法处罚力度。
5.提高用户安全意识,减少信息泄露。用户要注重自身的信息安全问题,主动掌握信息安全知识,提高个人信息防范意识和防范能力。相关部门合力利用各种媒介,广泛宣传网络安全知识,健全和完善网络安全宣传机制,把网络个人信息立法保护的宣传工作落实到位,增强公民个人的信息安全意识。