圖片來源:德州新聞網
3月13日早7點,北京某雜誌社編輯葉女士出門上班。等電梯時,她在手機上點下「滴滴打車」軟體的圖標,之後,在小區門口的超市挑了一款麵包,她把手機交給收銀員用微信進行支付。走出超市,她預定的計程車正好到達。20分鐘後,用微信支付過車費,她像往常一樣推開單位對面那家麥當勞的門——要一杯奶茶,找一個臨窗的座位坐下,掏出手機,WIFI信號自動連接。
8點,葉女士坐在辦公桌前,打開電腦,她發現網頁的右下角,居然跳出前一天自己在網上搜索的馬桶水箱密封蓋圖片的窗口,而且網站同時提供了幾種樣式可對比。這一天,葉女士的手機收到5個呼入電話——你的房子要不要出售,有一份不錯的理財要不要考慮,全英文精品班招生……「現在手機鈴響,不是廣告就是推銷,我很少用手機打電話,家人、朋友甚至包括領導、同事,真有事時都用微信溝通。」葉女士一臉無奈。
就在當天,在中國消費者協會舉辦的消費者個人信息與消費者維權的座談會上,360網絡安全專家趙武指出,在網際網路高速發展的時代,大數據的綜合和運用為人們工作和生活帶來便捷的同時,管理和技術方面的原因所導致的個人信息洩漏,也影響到個人的生活,社會的穩定,應引起高度重視。
個人信息網絡安全面臨兩大風險
去年3月18日,《新華日報》報導了南京的朱女士狀告百度「精準營銷」侵犯個人隱私權事件。朱女士平時喜歡上網,經常通過搜尋引擎查詢一些感興趣的話題。有一段時間,她在用某搜尋引擎搜索「豐胸」「人工流產」等關鍵詞並瀏覽相關內容後,再登錄其他網站時就會出現這類廣告,這讓她意識到隱私被洩露和侵犯。她向法院起訴,要求某公司立即停止侵權並賠償精神撫慰金1萬元。
隨著網際網路的普及以及網絡應用特別是網絡交易的快速發展,消費者的個人信息也在以各種各樣的形式在網際網路上被採集、存儲和傳輸。網際網路在為消費者提供各種便利的同時,也為個人信息的洩漏提供了更快的傳播方式和更多可能的傳播途徑。3月13日,中國消費者協會公布的《2014年度消費者個人信息網絡安全狀況報告》顯示,利用網絡「竊取」「非法使用」消費者個人信息的黑色產業鏈呈現出低成本、高技術、高回報的爆發性增長態勢,並且已經從半公開化的純攻擊模式轉化為斂財工具和商業競爭手段,集團化、產業化趨向明顯。消費者因個人信息洩漏導致的經濟損失數目驚人。
讓我們回顧一下2014年發生的重大網絡安全事件:12306鐵路客戶服務中心網站被黑客「撞庫」,13萬條個人信息被洩露;支付寶前員工被曝販賣20G用戶資料;攜程網出現安全漏洞,導致大量用戶銀行卡信息洩露;130萬考研考生報名信息洩漏,數據被多次轉賣……據調查,約三分之二的受訪者在過去的一年內個人信息曾被洩露或竊取。
報告顯示,當前消費者個人信息在網絡安全方面面臨兩大風險點:
第一風險點是網絡服務商通過技術手段對消費者個人信息進行主動獲取與海量存儲。通過用戶的主動提交、雲服務的獲取、網絡服務商對用戶行為的跟蹤記錄、手機應用軟體等獲取消費者的個人信息,或通過其他形式在消費者不知情的情況下獲取消費者個人信息。這些信息因網際網路服務商的不當管理,給消費者帶來風險或造成損失;
第二類風險點在於不法分子通過多種方式對消費者個人信息的獲取與非法應用。主要表現為:商家盜賣,一些掌握大量消費者個人信息的商業機構,因管理不善,導致內部員工盜賣消費者個人信息事件頻發;網站數據竊取,一些存在高危漏洞的網站成了數據洩密的主要原因;木馬釣魚盜號,常常偽裝成流行的應用軟體或釣魚網站套取消費者個人信息;二手手機洩密,通過惡意恢復消費者的二手手機數據,掌握大量消費者的個人信息;新型黑客技術竊取,利用偽基站以任意號碼向消費者發送詐騙信息。
築牢「防火牆」 經營者責無旁貸
消費者的個人信息被洩露,在大多數情況下,與網際網路相關的服務企業都難脫干係。
據業內人士透露,在一些行業裡,消費者的個人信息常被當作個人謀取新職務或跳槽的見面禮。例如,保險行業的基層業務人員,他們掌握著大量客戶的個人信息,包括健康信息、經濟信息,個人帳號,他們頻繁跳槽,客戶的信息就被一次次洩露。此外,房屋中介人員、教育機構的工作人員跳槽,也會導致個人信息洩露。
然而,與一個企業甚至一個行業的失範相比,個別員工的違規行為只能算作「小巫見大巫」。在今年央視3·15消費者維權晚會上,央視調查記者曝出,令人不堪其擾的騷擾電話,其幕後推手竟是電信運營商。這些電話,一天來電好幾次甚至十幾次,有時還冒充警方、銀行等進行詐騙。據記者調查,騷擾電話之所以能大行其道,正是因為中國移動、中國鐵通等電信運營商在為他們提供運營通道。
原本應該起到「防火牆」作用的服務商,卻淪為不法分子違法犯罪的幫兇。這樣的內幕令人震驚。「企業保護消費者個人信息的安全,既是法定義務,也是合同義務。如果企業失去了老百姓的信任,如果掌握海量消費者個人信息的企業不能保護消費者的信息安全,是一定會被消費者拋棄的。」中國工商銀行消保辦主任董建軍介紹,多年來,工商銀行從機制、技術和人員管控等多方面為保護消費者個人信息作出努力,目的就是確保客戶信息不被洩露。
京東集團客戶規劃部的負責人李洪俊告訴記者,京東有一套完整的信息安全制度,用戶的所有信息是分級的:姓名、電話和身份證號碼,毋庸置疑是最敏感的核心數據,而其他數據會按重要程度逐級遞減。在內部操作過程中,每一個層級的員工所能夠接觸到的信息的級別是不同的,只有部分人在通過相關的審批之後才能夠拿核心數據去做應用,在信息系統上對數據的每一個操作都有跡可查。如果接到用戶疑似受到詐騙的投訴,或用戶反饋某些釣魚網站,都會有專門的渠道將這些信息反饋給像360這樣的專業網站。
「我做網絡反詐騙研究兩年多了,每年都會受理3萬多起用戶投訴。有時候,當我們發現一些企業信息管理有漏洞時,多次找他們,但不知道為什麼,有些企業就是不處理。我個人覺得,相對於經營者花大精力與技術力量對網絡用戶終端設備進行個人信息收集而言,他們在針對已掌握的消費者個人信息保護方面的投入明顯不夠。」360安全網絡專家裴智勇說。
2013年2月,我國首個個人信息保護國家標準《信息安全技術公共及商用服務信息系統個人信息保護指南》實施,標誌著我國告別了針對個人信息處理行為「無標可依」的歷史。「標準發布後,我們也進行了一些宣傳活動。我個人也接到了一些企業或機構的電話諮詢,但讓我很有感觸的是,頭三個電話全部是外企打過來的,他們對這個標準研究得非常細,而且反應非常迅速。之後也有國內企業來電諮詢,但還是感覺咱們國家的國家標準反倒是外企更加關注。」國家標準委工業二部劉大山處長說。
消費者不可太任性
《2014年度消費者個人信息網絡安全狀況報告》中關於消費者個人信息自我保護意識的調查顯示,54%的受訪者認為自己個人信息保護意識一般。具體表現為,在上網過程中,很多受訪者都採取了個人信息保護措施,如安裝安全軟體,定期更新殺毒軟體,不隨便點擊可疑連結,不輕易登記身份信息等,但採取「不同用途的帳號設置不同的密碼」、不輕易在公共場所連接WIFI、不隨便在行動裝置充電站充電」等保護措施的受訪者相對較少。
360的安全專家提醒廣大消費者,為保證個人信息安全,在公共場所儘量不要使用那些不需要密碼的免費WIFI,儘可能使用商家提供的帶有密碼的WIFI網絡。另外,在用手機進行支付或者發送郵件時最好關閉手機WIFI功能,使用手機的移動數據流量進行操作。「如果你連接的WIFI是黑客架設的,你的帳號密碼會被竊取,如果你的手機存在安全漏洞,黑客可以直接入侵你的手機,把你的帳號和信息全部竊取走。」
針對現在不少人熱衷的海外代購,有關專家也提醒,對相關網址,一定要上網查詢它是否在國內備案。此外,不要輕易把身份證掃描件給他人,掃描件一旦給了別人,意味著有可能你的一生別人都會拿著你的掃描件去進行非法操作。
如今,外出就餐刷卡結帳已成為很多人的一種習慣。「一些消費者付帳時,經常會把卡直接給服務員去刷,這種任性行為,很可能會帶來大麻煩。如果別人拿去複製一張,你的錢就會出問題了。所以刷卡時一定要記住卡不離身,消費不離視線。」中國銀行業協會行業服務總監周永光說。
「在今天這個時代背景下,消費者的權利保護意識亟待加強。在日常生活中,無論是你的消費行為還是其他日常生活行為,都會留下一些痕跡,而這些痕跡在不經意間有可能就被他人惡意獲取。比如,在一些大大小小的會議上,都會印發參會人員的通訊錄。我多次發現,有些與會者離開的時候,認為那些會議資料沒用了,就把它們丟在賓館或會議室,一些重要信息就在不經意間流露出去。」北京市消費者協會副秘書長屈建輝說。
調查數據顯示,絕大多數消費者對信息保護的法律法規了解較少或不了解。已實施的新消法在個人信息保護方面作出明確規定,經營者未經消費者同意或請求或消費者明確表示拒絕的,不得向其發送商業信息。而調查顯示,46.64%的受訪者在明確表示拒絕後,依然收到服務商發送的商業性信息。當受訪者的個人信息被侵害後,超過38%的人表示習以為常,選擇保持沉默。
用好已有法律 為立法積累經驗
「現在消費者個人信息受侵犯已成為社會公害,個人信息一旦提供出去,好像沒有任何力量去保護已經提供的或被洩露的信息,那麼,是不是只能任人宰割呢?」據中國政法大學教授吳景明介紹,雖然我國到目前為止還沒有專門的個人信息保護法,但在立法層面上對個人信息的保護並非空白——
2012年12月,《全國人大常委會關於加強網絡信息保護的決定》出臺,首次明確規定對網絡領域的公民個人信息安全進行保護;
2014年3月15日開始實施的《中華人民共和國消費者權益保護法》第29條規定:「經營者收集、使用消費者個人信息,應當遵循合法、正當、必要的原則,明示收集,應當公開其收集、使用規則,不得違反法律、法規的規定和雙方的約定收集、使用信息。」
2009年刑法修正案(七)增加了「非法提供公民個人信息罪」和「非法獲取公民個人信息罪」,即:「國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,違反國家規定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金。竊取或者以其他方法非法獲取上述信息,情節嚴重的,依照前款的規定處罰。」這一規定是我國首次從刑法高度對公民的個人信息予以保護,也彌補了刑法在打擊侵害個人信息犯罪方面的空白,但該條文只對嚴重侵害公民個人信息的行為予以制裁,無法調整未達到情節嚴重標準的其他侵害行為。值得注意的是,司法實踐表明,侵犯公民個人信息的主體範圍已經不局限於國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,還包括其他主體,如實施侵犯公民個人信息的房產中介及網際網路從業人員。
侵權責任法第36條規定,「網絡用戶、網絡服務提供者利用網絡侵害他人民事權益的,應當承擔侵權責任。」
「加強個人信息保護,從立法上來講,確實有必要研究是否要制定個人信息保護法。近幾年來,每年都有人大代表包括政協委員對此提出立法建議,但到目前為止,這件事還沒有正式列入全國人大常委會的立法規劃。法律的生命力在於實施,當務之急是把已有的法律實施好,為未來的立法積攢更多的實踐經驗。目前有幾個重要的問題需要釐清:一是要明確提出哪些信息應該納入法律的保護範圍;二是各部門的職責分工應如何界定;三是要處理好信息共享和信息保護之間的關係,現在各部門之間加強信息共享的工作在不斷推進,但在未來的共享過程中會不會給信息保護帶來新的問題,都需要在實踐中探索。
中國人民大學周漢華教授十幾年來致力個人信息保護法的推進,他認為,個人信息保護法立法面臨的最大困難是:如何平衡個人信息的保護和網絡時代個人信息有效利用之間的關係,對此需要加以研究。
(原標題:2014年,網際網路個人信息洩露事件頻發,給網民造成了多方面的危害。如何合理利用和有效保護消費者的個人信息,成為社會各界廣泛關注的熱點——個人信息保護 我們還缺什麼)