5月25日,全國人大常委會工作報告在下一步主要工作安排中指出,圍繞國家安全和社會治理,制定生物安全法、個人信息保護法、數據安全法,通過刑法修正案(十一),修改行政處罰法、人民武裝警察法等。
疫情期間信息收集不規範、用戶訴杭州野生動物世界「人臉識別第一案」、徐玉玉被電信詐騙案列入2017年人民法院十大刑事案件……個人信息保護問題頻現,給公眾造成了極大不安全感,有些人儼然成了「透明人」。相關話題從2018年起成為「兩會」期間熱議話題。
此次法律制定,哪些內容和你我密切相關?如何通過立法終結個人信息「裸奔」?代表委員們有何具體建議?
案例:個人信息洩露頻發,平臺責任幾何
疫情防控期間,多數人在不同地方、不止一次留下自己的手機號、身份證號、家庭地址等,在遵守防控規定同時,不少人擔心這些信息收集不規範,若不能妥善保管,一旦洩露會被不法分子利用。
這種擔憂並非空穴來風。央視報導顯示,僅北京地區法院確認的2010至2016年公民個人信息洩露就已多達1.6億條。中國消費者協會2018年9月發布的《APP個人信息洩露情況調查報告》亦顯示,八成受訪者曾遭個人信息洩露。
此前徐玉玉被電信詐騙案即事因信息洩露,事件轟動一時,一度引發了社會對個人信息洩露問題的聲討。
2016年8月,山東女孩徐玉玉,在即將踏入大學校門之際,接到一通詐騙電話,被騙走了上大學的費用9900元,得知被騙後,徐玉玉因為過度傷心回家途中身體不適,搶救無效身亡。
信息洩露的不僅是姓名、職業、通信記錄這些傳統信息,人臉、指紋、聲紋等生物特徵數據也正在被收集使用甚至進入非法用途。
2019年9月,換臉社交軟體「ZAO」迅速成為網際網路熱門應用,隨後很快因涉嫌未依法依規收集使用人臉信息、存在數據洩露風險等問題,軟體開發公司北京陌陌科技有限公司負責人被工信部約談。
無獨有偶,2019年10月,法學博士郭某因在杭州野生動物世界購買的年卡取消指紋識別、改為經註冊的人臉識別才能正常入園,他認為人臉識別屬個人敏感信息,不同意此舉並要求退卡,但協商無果,因而將杭州野生動物世界訴至杭州市富陽區人民法院,該案作為「中國人臉識別第一案」,引發社會廣泛關注。公開報導可見,法院已對該案正式立案,暫未見判決結果。
是誰在「收集」我們的信息?有電商、社交軟體等平臺「越界」,過度收集消費者個人信息、甚至非法竊用用戶信息,有黑客竊取信息、有「內鬼」售賣信息,也有網絡服務系統漏洞等導致個人信息洩露。
中消協的調查報告顯示,電商、社交軟體等平臺過度收集消費者個人信息的現象成投訴新熱點。經營者未經授權收集個人信息和故意洩露信息是個人信息洩露的主要途徑,分別佔比調查樣本的62.2%和60.6%。
2019年7月,澎湃新聞報導,哈爾濱網友王先生在使用騰訊旗下「微視」APP的過程中發現,當他使用微信帳號登錄時,微視會獲取其全部微信好友信息,並向他推送微信好友發布的視頻。同樣的情況也發生在他使用QQ帳號登錄時。他認為,他僅授權了登錄,「微視」無權收集和使用他的性別、地區和好友關係,因而他起訴深圳市騰訊計算機系統有限公司侵犯隱私權。法院裁定,騰訊立即停止在「微視」中使用王先生微信或QQ好友信息的行為,以及將他的相關信息推薦給其他用戶的行為。
2020年 5月9日,銀保監會消費者權益保護局發布通報:2020年3月,中信銀行在未經客戶本人授權的情況下,向第三方提供個人銀行帳戶交易明細。銀保監會對中信銀行啟動立案調查程序。這不是個例,中國裁判文書網信息顯示,銀行「內鬼」參與倒賣個人金融信息的情況不少見。
溯因:個人信息安全保護意識淡薄 法規不健全
信息過度洩露帶來了什麼?2018年全國「兩會」期間,多位代表委員接受採訪時談到,毫不誇張地說,幾乎每個手機或網絡用戶都遭遇過詐騙信息的侵擾。
根據中消協的調查結果,當消費者個人信息洩露後,約86.5%的受訪者曾收到推銷電話或簡訊的騷擾,約75.0%的受訪者接到詐騙電話,約63.4%的受訪者收到垃圾郵件,排名位居前三位。
公民個人信息洩露帶來的電信詐騙案件五花八門:從中獎、房租匯款,到網銀升級、郵包藏毒,再到冒充公檢法等公職人員、偽造網上通緝令、助學金領取等,有媒體分析稱,通訊信息詐騙特點從最初的「撒網式」變成如今的「精準化」。
信息緣何洩露?公開報導中,多位代表委員提及了類似的原因。
全國人大代表、江西省工業和信息化廳黨組書記楊貴平和全國政協委員、中國人民銀行杭州中心支行黨委書記、行長殷興山認為,公民個人信息安全保護意識淡薄是信息洩露的原因之一。
意識淡薄包括,隨意填寫個人信息、隨意下載和安裝軟體、亂連WiFi和亂掃二維碼、為尋求方便快捷上傳敏感個人信息、為炫耀將大量個人信息暴露在網上。
共同看法還包括,運營主體缺乏規範和約束。楊貴平同時指出,有的系統設計上存在安全隱患同樣是個問題。
此外,楊貴平和殷興山均認同個人信息保護法規制度不健全的看法。目前缺少一部專門、權威的法律,制約著個人信息的全面保護。殷興山還認為,個人信息保護缺乏主管部門。
2019年10月,全國政協提案委組織委員赴湖南、貴州專題調研。委員們在調研中發現,目前個人信息保護的司法救助機制不完善,侵犯主體、侵犯責任認定難,取證和舉證難度大。
對已經認定侵犯公民個人信息的,也存在著處罰力度不夠的問題,楊貴平稱,如工業和信息化部出臺的相關規定中,對此類非法行為僅設定了警告和3萬元以下罰款的處罰。「相對於販賣出售個人信息所獲巨額利益來說,違法成本明顯過低。」這是個人信息保護存在的困境。
不單是困境,個人信息保護亦存在爭議,包括保護個人信息是否影響數據產業的發展、數據屬於用戶還是屬於採集平臺等。
建議:需要明確數據收集、處理、使用的義務邊界
記者注意到,近年已有多名代表委員建議加快制定《個人信息保護法》。
全國政協委員、北京天達共和律師事務所主任李大進在接受採訪時說,我國目前有近40部法律、30餘部法規及近200部規章涉及個人信息保護。但由於缺乏頂層立法,現有規定散見於各類法律中,很難發揮震懾作用。
「我國雖然出臺了一些信息安全保護的法律法規,但尚未出臺針對個人隱私保護的專門立法。對於洩露個人隱私的處罰較輕,導致侵犯個人隱私的違法成本過低,個人隱私保護力度極其有限。」全國人大代表、北京市律協會長高子程說。
需要明確數據收集、處理、使用的義務邊界,是提出建議代表委員的共識。他們認為,應該明確規定哪些個人信息可以被收集,哪些不能。對於運營主體的收集行為而言,殷興山認為要有明確正當的目的,要符合「最少、必需」要求,並經過信息主體明示同意。
「應把個人信息上升為個人基本權利。」全國人大代表、世紀榮華投資控股集團有限公司董事長崔榮華呼籲,她同時提出個人信息保護的知情同意、目的明確、使用限制、信息質量、安全管理、禁止洩露、保存時限和自由流通等八項原則,嚴格企業和機構的信息保護責任,加大處罰力度。
她認為,立法應當明確侵害個人信息權利的責任。如因信息採集主體保管不善導致個人信息洩露,信息採集主體應當依法承擔相應責任;如工作人員私自洩露了個人信息,除個人應當承擔責任外,信息採集主體業應視具體情節也依法承擔責任;如信息採集主體對個人信息保管不善,同時又有第三方非法獲取並使用個人信息,則信息採集主體與第三方共同承擔賠償責任。
多年持續關注數據安全立法的全國政協委員、北京國際城市發展研究院院長連玉明則建議,《個人信息保護法》應充分考慮根據應用場景對個人信息進行分類分級保護條款,對行政機關、公共機構的信息收集、使用和處理行為也要加以規範。
行動:多項文件落地保護個人信息
雖然個人信息保護暫無頂層立法,有關部門對侵害用戶個人信息的行為,一直都是鐵腕治理、重拳嚴打。
去年,中央網信辦、工信部等四部門聯合發布公告,決定自2019年1月至12月,在全國範圍組織開展App違法違規收集使用個人信息專項治理。《APP違法違規收集使用個人信息專項治理報告(2019)》顯示,一年來,專項治理工作成效顯著。
其中,工業和信息化部開展的「APP侵害用戶權益行為專項整治行動」推動多款APP完成自查整改,對236款APP運營者下發整改通知書,公開通報56款APP、下架3款APP。
公安部也在「淨網2019」專項行動中依法嚴厲打擊侵犯公民個人信息違法犯罪行為。有媒體評價,2019年個人信息數據保護的一個鮮明特徵是刑事手段的顯著增加,一系列專項執法行動,給2019年個人信息數據保護打上了鮮明的執法烙印。
從2018年起,個人信息保護就是「兩會」期間熱議話題。而2019年全國「兩會」後,「加強大數據時代個人信息保護」成為全國政協重點系列提案之一。
個人信息保護相關法律法規在逐漸落實。近年來,我國加快了個人信息安全保護的立法和修訂進程,先後發布了《全國人大常委會關於加強網絡信息保護的決定》、《電信和網際網路用戶個人信息保護規定》《電話用戶真實身份信息登記規定》等。
2019年,《兒童個人信息網絡保護規定》、《個人信息安全規範》發布,《數據安全管理辦法(徵求意見稿)》《個人信息出境安全評估辦法(徵求意見稿)》完成向社會公開徵求意見。
如今,《個人信息保護法》將制定,終結個人信息「裸奔」或不日可期。