「二手0.5,一手1.5。」抱著求職心態在招聘網站投出的簡歷,或許正被人暗中提取和交易;在網店的買賣交易信息,有可能在某些隱秘的角落流轉……數位化便利了我們的生活的同時,稍有不慎,信息洩露就會讓用戶變成網際網路上的「透明人」。
11月19日,經濟觀察報記者在某「數據交流群」裡發現,群中充斥著其它大量販賣個人信息的消息。「一手優質車主料,地區/購車時間均可,量大從優,閒人勿擾」、「出tb(淘寶)訂單一手二手數據……」
這似乎成為了一個「產業鏈」,在數據交流群裡,有人賣簡歷、有人賣招聘網站的企業帳號、有人幫助認證人臉信息。
對於販賣個人信息的行為,中國人民大學商法研究所所長、教授劉俊海對經濟觀察報表示,「這是一種嚴重的侵權行為,情節嚴重或構成犯罪,給消費者造成嚴重損害的依法追究刑事責任。民事責任、行政處罰和刑事責任並行不悖,並不是道歉或者賠償損失就可以免責,不構成犯罪要進行行政處罰,構成犯罪要追究刑事責任。」
那麼,誰來為信息洩露負責?個人信息保護立法正在啟動,人們該如何在數位化發展和個人信息保護之間找到平衡?
誰為信息洩露負責
記者聯繫到販賣個人簡歷的網友,對方稱,「這些數據都是我們自己公司下載的簡歷,是精準的數據,一手的沒有打過的數據。」對方自稱來自教育類公司,並極力推銷數據的可靠性。他們在幾家著名的求職網站收集簡歷,再進行數據篩選。數據用途主要用於電話銷售,他手上也有三分錢一條的人臉數據信息,但是那種「不出效果、轉化率低」。
除了簡歷,還有人在售賣網絡交易數據、車主信息、外賣APP商家信息。上述售賣車主信息的人表示,數據來源是「內部」。「價格是0.4元/條。可以測,測試按0.5/條提供50-100條。先支付,測試完畢後確定購買數量,測試的將作為免費贈送。」
經濟觀察報記者獲取的部分數據內容顯示,信息包括車系、車型、車輛型號、客戶姓名、經銷商等信息,非常具體詳細。
在個人信息中,金融信息尤其具有重要的屬性,不法分子對金融信息的倒賣也容易引發後續侵害財產等行為。從以往判決案例來看,經常有銀行員工因為販賣客戶信息而觸犯刑法,並以「侵犯公民個人信息罪」獲刑的案例。
今年9月,裁判文書網公布的湖南省永州市冷水灘區人民法院刑事判決書顯示,建行一分行的外包人員利用職務之便盜用管理人員的操作碼,偷查3678筆個人徵信報告,以10元一份拿出去倒賣給一家小額貸款公司,獲利3.6萬元,最終犯侵犯公民個人信息罪,被判3年,緩刑3年。
山東省鄒城市人民法院一份刑事判決書顯示,2018年5月份期間,浦發銀行電銷中心任業務主管楊某,利用工作便利獲取客戶個人信息20餘萬條,非法提供給某公司用於電話營銷;同時,這家電商公司員工李某在對這些信息資料進行加工整理後,又以每條0.3元的價格對外售賣給第三人李某洪,後者再將這些個人信息販賣給陳某實施電話詐騙。
值得關注的,圓通快遞員工洩露客戶信息事件再次引發關注,根據邯鄲警方消息,相關嫌疑人以每日500元的費用租用圓通公司內部員工系統帳號,後登錄系統帳號進入公司物流系統,導出快遞信息,把竊取的快遞信息進行整理通過微信、QQ等方式賣到全國及東南亞等電信詐騙高發區。
上述案件中,相關嫌疑人將收集到的信息打包賣出,每條信息單價約為1元。此次被洩露的信息中包括發件人地址、姓名、電話以及收件人電話、姓名、地址,被洩露的信息數量實際超過40萬條,涉案金額為120餘萬元。「洩露的是身份信息,裡面包括姓名電話等信息,根據2017年6月1號最高人民法院、最高人民檢察院發布的侵害公民個人信息犯罪的司法解釋,這構成了刑法中所說的敏感信息洩露,50條以上就要入刑。」中國政法大學傳播法研究中心副主任朱巍告訴記者。
對於數據洩露情況,朱巍分析稱,一般實踐中,有兩種情況,一種是有內鬼,內部員工洩露;還有一部分是通過黑客的相關技術。對於兩種情況平臺都有責任,內鬼屬於僱員,一旦造成損失,平臺有監管不力的責任;如果涉及到黑客攻擊的問題,在實踐中也出現過這種情況,平臺也要承擔責任,因為涉及到平臺有沒有升級防火牆、有沒有盡到安全保障義務。
中國銀行法學會理事肖颯對記者分析稱,在公司員工不法洩露用戶信息的事件中,最為直接的責任人自然是不法員工本身,根據我國刑法,第二百五十三條之一規定:「違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金」。洩露用戶信息的直接行為人需要承擔相應的責任,除構成刑事犯罪外,還需承擔民事賠償責任。
同時,肖颯表示,在該類事件中最引人關注的應當是公司,公司是否需要為員工的不法行為負責?以一般生活經驗判斷,責任都是個體性的,員工的違法犯罪行為不會與公司相關。但在個人信息保護領域,我們認為公司是負有妥善收集、保管、使用用戶個人信息的義務的。因此,在這一事件中,公司也應當承擔一定的責任。
個人信息保護立法在途
10月21日,備受矚目的《個人信息保護法(草案)》(以下簡稱「草案」)在中國人大網公布,開始向社會徵求意見。
「草案發布已經引起了廣泛熱議,可見社會公眾對這部法律的殷切期待。」安永團隊表示,個保法草案一方面彰顯了當今網絡時代呼聲的核心——個人對自己的信息具有控制的權利;另一方面也在繼《網絡安全法》之後,進一步規定了企業經營者在促進經濟社會信息化健康發展、維護人民群眾基本權利方面的管理責任和義務。「草案發布後,對個人信息起到引領、規範、保護和救濟的作用。很好的起到制裁違法者、補償受害者、獎勵維權者、警示行業、教育社會和對公眾心理撫慰的功能。」劉俊海認為。
劉俊海稱,同時由於行政處罰的充實、監管措施的擴充,也會激活監管部們對消費者的行政保護功能。首先網際網路企業特別是網際網路平臺的責任進一步壓實;第二,行政監管部門的監管力度和對個人信息保護的力度會進一步加大;第三,人民法院和仲裁機構對個人信息侵害產生的民事爭議案件的裁判會找到更多的法律依據。換言之,個人信息保護法的可訴性、可裁性、可執行性值得期待。這使得整個從事網際網路產業的各個鏈條和環節,包括網際網路平臺、電商、社交媒體以及其它APP軟體開發商都會全面納入個人信息保護法的調整軌道,對網際網路經濟發展和個人信息保護是好事,也是數字經濟的可持續發展重要的「加油站」。
對於草案的公布,肖颯對記者分析稱,首先是在管轄上,我們的個人信息保護擁有了長臂,也就是所謂的域外效力,在技術革命的當下,跨境侵犯個人信息的事件日益增多,個人信息保護法的跨境效力可以為個人信息提供用力武器。其次是與民法典銜接,明確個人信息的內容,明確的權利與義務內容是法律良好實施的前提。最後是在負責部門中,指明了國家網信部門負責個人信息保護工作的統籌協調、發揮統籌協調作用。這樣可以避免交叉執法中的效率低下可能。
「個人信息保護法要更加精準、更接地氣、更加堅持問題導向、目標導向和結果導向。」劉俊海對記者表示,現在有很多平臺及企業主管部門引入電子政務的技術,但是對個人信息保護仍然存在漏洞和盲區。劉俊海對記者舉例稱,其個人在辦理工商登記驗證手續的過程中,也曾遭遇過電信電話騷擾。一般電子政務辦理過程中要確保本人辦理,驗證程序一般需要與第三方驗證單位進行合作,但是第三方驗證的保護措施是否到位值得關注,要注重生物識別信息、個人身份信息的保護。
如何平衡數位化發展和個人信息保護
數位化給生活帶來便利的同時,信息洩露問題也層出不窮,從現有法律和監管層面,有哪些措施可以防止和規範此類行為?
劉俊海表示,首先,希望接觸信息的網際網路平臺、電商、社交媒體以及其他APP軟體開發商等慎獨自律、見賢思齊擇善而從,打造信息友好型企業治理體系和內控體系。要做大數據,大數據來自於消費者個人信息,必須堅持合法、正當、必要、保密、安全的原則,未經消費者同意不得隨意獲取個人信息。
第二,市場會失靈,監管者不能失靈,希望個人信息保護法強化監管措施,加重行政處罰力度,密切處理好行政處罰和行政責任的銜接機制,引進協同共治機制。
第三,要完善消費者的投訴舉報機制,要暢通消費者維權通道,降低維權成本,確保維權收益高於維權成本,確保違法成本高於違法收益,把個人信息保護的籬笆牆越扎越牢。
隨著時代的前行,數位化是不可抗拒也無法抗拒的時代趨勢。關於防範個人信息洩露,肖颯認為,可以從三個層面來說:首先是個人層面,民法典人格權編的出臺為公民個人權利意識的覺醒打下了基礎,在利用數位化便利個人生活的過程中,公民必須堅守權利意識,謹慎選擇,對自己的每一次點擊行為負責。
其次是各個市場主體,每一家企業在追求效益的同時,必須自覺承擔社會責任,明確保障公民個人信息的義務。一方面合理收集、使用公民信息,在創造經濟價值的同時便利其他社會成員,形成雙贏,另一方面制定規範合理的行為章程,防止內部出現為了利益而罔顧責任的個體。
最後是行政監管層面,執法機構需要積極行使職權,在個人信息保護領域,最為可靠的後盾便是行政機構,最後的避風港也正是行政機關。必須由多部門,多角度,多層級共同建立維護個人行為,防範信息洩露的完整體系。
朱巍認為,主要的措施包括立法和技術等方面:首先是立法,現在從「一法一決定」,到《個人信息保護法》(草案),再到《民法典》,再到刑事法律體系和國家網信辦出臺的這些年的新規,構成了一個以往「一法一決定」和個人信息保護法為核心的個人信息保護法律體系;第二從技術角度創新,比如現在很多的地方使用了區塊鏈技術,無法篡改且使用有痕跡。第三,應該加大懲罰力度,依法嚴懲,違法必究。除此之外,在侵犯個人信息方面,比如「人肉搜索」等行為,不管情節輕重,都應該依法承擔相應的責任。
來源:經濟觀察報