來源:新京報網
原標題:深度|信息洩露疑雲籠罩,透明人該如何自我保護?
「你好,透明人。」
你知道嗎?在黑市40元可以買4G的簡歷數據,你的快遞信息、家庭住址、電話姓名可能只值一塊錢。
新京報貝殼財經獨家報導,有不法分子與圓通快遞的多位內鬼勾結,通過有償租用原圓通員工系統帳號,盜取公民的個人信息,再層層倒賣公民的個人信息。相關事件受到了關注,並衝上熱搜。
後續新京報貝殼財經又持續報導了相比於快遞數據更為全面和敏感的簡歷數據也正在黑市被兜售。
那麼究竟誰該為40萬條被洩露的快遞信息負責?公司在其中是「無辜者」的角色嗎?信息被洩露會造成多嚴重的後果?我們該如何拿起法律武器保護自己?新京報貝殼財經記者針對相關問題專訪了中國人民大學未來法制研究院副院長丁曉東,中國政法大學智慧財產權研究中心特約研究員、北京雲嘉律師事務所律師趙佔領,貫鑠企業CEO、快遞行業專家趙小敏。
專家表示,一般個人信息被洩露之後,會被賣給或者是分享給一些其他的機構,這些機構做精準分析,分析用戶的消費習慣、消費偏好,然後進行精準推薦營銷。比如說發一些郵件廣告或者是營銷簡訊、營銷電話等。還有一種是把個人信息倒賣給其他的倒賣公司,倒賣本身就獲利,中間可能有若干個環節去倒賣,還有進行一些違法犯罪活動,造成財產安全的隱患等。
多位專家建議,公司應主動承擔責任,監管機構也應該嚴格執法,用戶要從信息收集端開始,提高信息保護意識,同時也應該告知身邊的朋友,尤其是父母親、爺爺奶奶等,可能老年人恰恰容易接詐騙電話從而被騙。
普通員工掌握大量信息存風險,企業安全保障義務履行有瑕疵
新京報:新京報貝殼財經獨家調查發現,相關嫌疑人以每日500元的費用租用圓通公司內部員工系統帳號竊取的快遞信息出賣,涉案金額120餘萬元,相關人員涉嫌違反哪些法律法規?可能遭受怎樣的處罰?
趙佔領:圓通公司的內部員工將他的內部帳號,租用給外部人員,外部人員再利用帳號獲取用戶的個人信息,是這樣的一個過程。這樣來看,外部人員是一個主體,還有圓通公司的內部員工,他們的行為都涉嫌侵犯公民的個人信息,屬刑事犯罪。
另外,上述行為同時也是一種民事侵權,按照現有的侵權責任法,它是構成侵權的。 同時,明年的1月1日實施的民法典,也將個人信息作為一項單獨的人格權予以保護,這樣來看上述行為也是一種侵權行為。
新京報:記者在調查過程中發現,申通E物流、順豐速運、韻達快運、百世匯通、圓通等公司來源的用戶個人信息幾乎都在黑市被賣,包括帶有「前程無憂」和「智聯招聘」logo的簡歷,那麼,以此次案件圓通公司為例,作為洩露源頭需要在其中承擔怎樣的責任?
丁曉東:從個人信息保護的角度來說,目前個人信息保護法草案正在進行公開徵求意見當中。民法典的第4編第6章第1034條到1039條,也規定了關於信息處理者對個人信息保護的義務。從該角度上來看,圓通公司顯然是一個非常典型的信息處理者。用歐盟的概念來講,就是信息的收集者和控制者、處理者。從我國法律法規處罰來看,圓通無疑要負擔起數據安全的問題,以及針對數據一系列的安全保障。從這個角度上來講,無論是行政執法也好,還是通過司法途徑來救濟也好,圓通可能都會面臨著一個非常大的被處罰的可能性。
趙佔領:首先用戶通過圓通來寄送快遞,那麼用戶跟圓通公司之間是有一個合同關係的,寄送快遞本身是需要提供個人信息的,包括收件人信息還有發件人信息等,這些個人信息是圓通公司依法收集的,最關鍵就在於它在收集這些個人信息之後,有沒有妥善去保管,有沒有盡到一個基本的安全保障的義務。
那麼從目前披露出來的案件事實可以看出,內部員工把帳號租出去,導致用戶的信息洩露,實際上就涉及內部員工帳號的相關的權限,以及數據的記錄,數據的管理是怎樣的,有沒有漏洞。
如果一個普通的員工內部帳號可以掌握那麼多用戶的信息,而且可以借出,顯然這裡面的信息安全風險是非常大的。因此圓通公司在這起事件中,我個人認為它在管理方面存在一定的漏洞,安全保障義務的履行是有瑕疵的,需要因此承擔對於用戶的民事責任以及相關的行政責任。
趙小敏:我們要考慮企業的邊界責任在哪裡。例如在整個信息洩露案件過程當中,企業究竟是扮演什麼樣的角色,至於是不是企業主動報案或是被動報案,我們認為對事實結果不會造成很大的影響,最終還是要依據法律規定。
因為對企業來講,需要考慮的問題是,防控級別有沒有達到,安全授權是不是分類管理,在相關安全設施上,安全登記劃分上,保密措施條例有沒有到位,包括有沒有和我們國家的安全部門有信息共享,確保有報警機制可以連通。這些都是公司該考慮的事情。
新京報:相比於快遞數據,被洩露的更為全面、敏感的簡歷數據也正在被兜售。信息販子稱,40元可買超過4G的簡歷數據。被洩露的信息包括工作經驗、出生日期、居住地、手機號、郵箱、學歷信息、自我評價、求職意向、工作經驗、語言能力、技能信息等,相關人員涉嫌違反哪些法律法規?可能遭受怎樣的處罰?相比快遞信息洩露程度是不是更嚴重了?
丁曉東:從法律上來說可以做這樣的理解(洩露更嚴重了),這裡的區分非常複雜,涉及隱私保護和個人信息保護的區分。隱私保護一般是針對民事侵權領域,比如說有人洩露了你的個人信息,轉賣給了其他人,這個時候涉及隱私侵權。那麼在這種情況下的話,適用民法典的第4篇第6章的第1032條到1033條的規定。
當然隱私信息裡也會有分類,現在還在爭論當中,比如說一般信息和私密信息的一個區分。個人信息保護裡也會區分兩種情形,所謂的個人信息和個人敏感信息。家庭住址、簡歷信息等,都會被放入個人敏感信息的框架。
從法律適用上來講,公民的信息安全受到雙重保護,傳統的隱私侵權保護,再加上個人信息的保護,那麼在簡歷倒賣和和圓通公司內鬼洩露快遞信息這兩件事中,上述兩種情形都存在。當然還有刑法上的保護。
信息洩露多源自內外勾結,事後監管應出重拳
新京報:能否請你梳理近年有關快遞信息洩露等相關案件的發生,一般是如何造成的?目前,在產業鏈上還存在哪些漏洞值得注意?
趙小敏:我對最近這10多年以來快遞物流行業有關洩露信息的情況分類,其中最核心的部分或者說發生最多的就是跟本次案例非常相似的,而且都有一個共同的特點,就是內外共同作案,或者說內外勾結洩露信息的牟利的結果。
第二種就是過去在信息化或者在電子面單沒有完全普及的情況下,單純來售賣客戶信息,包括像過往的收集快遞面單,甚至是收集一些部分的家庭住址或者你的商品購買的成交的訂單等。
第三種就是有商業平臺刷單。其中第一種目前來講是最為普遍的,但第一種反而是最容易解決的。我們認為結合我們國家最近兩三年以來出臺的相關個人信息保護法律,包括各地方的安全部門,國家郵政局對這一塊都是非常重視的,但是我認為在處罰力度方面有待加強。
新京報:快遞公司洩露信息問題頻現,你認為從產品設計、公司經營、相關規定等方面著手能否杜絕此類問題的發生?你認為,監管部門、公司等產業鏈上的具體各方該怎麼做來保護公民的信息安全?
丁曉東:個人信息洩露是信息保護裡最關鍵的問題,或者說是大家都最不想看到的情況。個人信息保護喊了很久,結果個人信息依然在黑市流通,那麼公民個人承受的風險其實是非常大的,可能要從多個角度來去預防。
從事前的角度來看,在信息的收集端以及信息的使用情況下,由企業開始就要做一些合規準備。執法部門方面,比如說郵政監管部門、網信辦都應該開始行動。在隱私保護裡有一個理念叫做通過設計的隱私(privacy by design )。
即我們的很多的商業模式、產品,其實是可以更好地保護我們的個人信息的,只要公司願意做,公司願意設計。大數據時代的話,一定要對信息進行模糊化處理,那麼從產品的設計和商業模式的設計角度來說,有可能會減低信息被洩露的風險。
同樣,事中的過程也非常重要。這個信息進入系統之後,公司的埠怎麼管理,公司的員工權限怎麼管理,不是說隨隨便便一個員工就能隨意收集到、可以洩露多少條信息,而是每一個員工的層級,他們的信息洩露應當是有一個權限收集,而且企業應當要花一些成本,一定是要捨得花這些成本去做很多的內部的隱私設計。
那麼還有一個事後的監管,對於敏感信息洩露可能是要有一個相對嚴重的處罰來以儆效尤。處罰的額度和力度,應當結合信息洩露或者信息安全的風險,以及企業所採取的措施等各種的情形來進行綜合性判斷。
趙小敏:目前來講,國家郵政局每個月會發布服務質量排名上面顯示的企業,大部分都是像中國郵政、京東物流、順豐、通達系等企業,現在的數據安全從內控上以及技術上來講,大部分已經達到了應該說是符合現在的行業標準,甚至有些企業是超過標準的。
問題還是回到快遞公司的常態化管理上,快遞公司是不是能按照自己設計的手冊來做是關鍵。比如過去的面單上,信息非常豐富,現在很多地址隱藏了,電話號碼也隱藏了,但當客戶下單的時候,實名制的信息還是存在的,有一個埠匯總。現在最關鍵是快遞公司有一個數據收集平臺,收集平臺收集完以後是不是跟安全管理平臺這兩個是合二為一的,這是問題所在,我認為要實行差別化管理。
前臺運行的是一個體系,安全級別的又是另一個體系,然後審計監管的是另外的體系。整個快遞的安全保護應該至少是一個3至5級的差異化分類管理。現在有些企業是不夠的,有些企業只有兩級,甚至有些企業是一級。收集的、給權限的、管理的、安全授權的整個是一條線的話,一旦這個線上出任何問題,它的數據洩密概率就非常高了。
第二,是如何來進行你的安全技術的提升。現在我了解到有些企業這兩年這一塊的投入是具有很大的空間的。比如說有些上市公司,它的技術研發在信息安全領域的投入是非常小的。那麼就能說,這些企業對安全是非常重視嗎?這個就是有待商榷的一個事情。
第三,我認為還是要合作,除了企業自身的合作以外,還是要與政府包括相關的公安、安全管理部門等合作。
被盜信息多被用來精準營銷,專家:提高隱私保護意識,提醒老年人
新京報:一般上述個人信息會流向哪裡?用作哪些用途?以上信息的洩露會導致被洩露人遭受怎樣的後果?一旦信息被洩露公民該如何保障自己的合法權益?
趙佔領:一般個人信息被洩露之後,可能有幾種途徑,一種是賣給或者是分享給一些其他的機構,這些機構做精準分析,分析用戶的消費習慣、消費偏好,然後進行精準營銷。比如說發一些郵件廣告或者是營銷簡訊、營銷電話等。還有一種是把個人信息倒賣給其他的倒賣公司,倒賣本身就獲利,中間可能有若干個環節去倒賣。
還有做一些違法犯罪活動的,比如說根據這些信息去盜取你其他更多的信息,比如說像銀行帳戶信息,支付工具帳戶信息等。我們以往看到很多案例,只要掌握你的姓名、身份證號,手機號碼,就有可能把你其他一系列的信息盜取。這個確實可能會給用戶帶來很大的一個安全隱患,特別是財產安全的隱患。
當然還有一些利用這些個人信息會從事一些其他不法的一些生意,比如說利用這種信息做一些私家偵探類似業務的,進行一些個人調查,然後為某些機構或者個人提供背景調查的資料,用於一些非法的目的,這都是可能發生的。
趙小敏:不要讓用戶覺得你不安全,企業要消除這樣的隱患,比如這一次某公司發生了安全事故,下一次我作為用戶,作為客戶,我感覺不到整改,或者說有立即行動扭轉的措施,這對企業來講損傷是非常大的,最大損傷就是品牌損傷,如果是上市公司,就會失去投資者的信任,可能就會面臨重大的一些客戶的流失。所以最終其實受傷害的不僅是用戶,多方都會受傷害,其中企業自身也會變成最大的受害者之一。
新京報:一旦信息被洩露公民該如何拿起法律武器保障自己的合法權益?
趙佔領:作為用戶來講,有幾種常見的辦法,一種是你發現信息被非法獲取和轉讓,有相關證據或者有線索可以向公安機關去進行報案,這是最常用的一種方法。
第二種方法是走民事訴訟途徑。如果因為個人信息被洩露,造成一些直接的財產損失。這樣的案例非常多。比如說某個人給你打了電話,以所謂的官方客服的電話,比如某個電商平臺的客服電話打過來,實際上這個電話號碼是經過改號軟體修改了,並不是真正的客服電話,還有包括一些以機票退訂名義,所實施的詐騙都是類似的行為,這些案例是屢見不鮮的。那麼像這些情況下,作為用戶來講,通常首先應該報案,但是如果說有造成損失的話,尤其是損失比較大的情況下,可能要通過民事訴訟途徑,來追回自己的損失。
但是我目前了解的情況是,在個人信息保護領域,個人提起這種民事訴訟的案例極其少,我在幾年前也曾經代理過類似的案件,我也體會到其中非常艱難。最大的難點在於大多數情況下,用戶很難證明兩點,第一很難證明你的信息洩露的途逕到底是不是被告來洩露的。因為有可能掌握你個人信息的渠道主體是很多的;第二個難點是證明損失,有些情況下可能沒有直接的財產損失,或者有些間接損失也不好證明。
所以作為普通用戶在多數情況下,儘管有兩種選擇途徑,但是一般的選擇還是通過公安去報案,通過刑事立案這種方式來查詢具體的犯罪嫌疑人以及犯罪的手法和路徑,然後再去提起相應的民事訴訟,才有可能來實現自己的救濟目的來挽回自己的損失。
新京報:日常生活中,我們應該如何保護個人信息不被洩露,有什麼建議嗎?
丁曉東:我想個人信息的洩露涉及數據生命周期的一個問題,從數據的收集端,到流通端,再到使用端、儲存端都會存在著個人信息被洩露的可能。
解決這個問題的關鍵在於,從用戶個人的角度,先從收集端開始,一定要提高我們的隱私保護意識,比如在寄件過程當中,尤其要謹慎,又或者在接觸房產中介時,都要注意自我保護。
第二個是在信息出現洩露和可能會存在一些風險的情況下,要積極向監管機構舉報,那麼在涉及刑事的時候,向公安部門舉報,在沒有涉及刑事的時候,向市場監管總局、網信辦,積極去進行投訴,當然也包括向媒體去反映,通過一種社會的力量來對信息的整個過程進行監管。
最後,對於救濟的渠道,就是存在信息洩露的情況下,怎麼樣進行救濟,或者是怎麼樣去保護自身權利,一旦出現了個人信息被洩露的情況,那麼也應該向政府機關投訴。另外要告知身邊的朋友,尤其是父母親、爺爺奶奶等。這些人群的個人信息一旦出現洩漏產生的風險是最大的,可能老年人恰恰容易接詐騙電話從而被騙。
趙小敏:首先從收件和派件這個角度來談,其實最快速的方法是拿一個紙巾蘸一點水,最快的速度就能塗改掉面單上的信息,或者直接使用風油精。
對於一般用戶來講,物品和包裝袋分離之前,一定要把個人信息全部抹掉。如果從發快遞的角度來講的話,由於我們國家快遞要求實名制,公眾可以在不違反國家郵寄規定的下儘可能提供給快遞公司足夠少的信息,還可以選擇不往家庭寄送,改往單位寄送或放快遞櫃、代收點。
還有一個建議是在電商平臺或者其他地方購物時,大眾的信息密碼要經常性更換的。但最終我認為關鍵還是要回到用戶和企業之間,大眾選擇的服務公司是不是可信,可能是用戶自我保護的關鍵,剛才說的一系列方法,其實很多程度上也是一個無奈的選擇。
趙佔領:在很多情況下,關於個人信息保護,用戶所能做的實際上是有限的,是被動的。在很多情況下信息的洩露並不在他掌控的範圍之內,比如說我在很多情況下,要獲得某種服務或者產品,就需要提供我的個人信息,也可能是法律規定的,也可能因為所需要獲得服務本身所必須要提供的,因此我沒有辦法不提供個人信息,而且結合我們實際的案例來看,因為用戶個人原因導致的信息被洩露的情況其實是有的,但是這個比例還是比較低的。
其實大多數情況下還是因為個人信息的收集處理的主體,沒有盡到法律義務,或者其他的第三方通過一些非法的途徑獲取用戶的個人信息,所以我覺得個人信息的保護一方面是需要我們用戶高度的重視,在力所能及的範圍之內,採取一些必要的措施,有個人信息保護的意識。另外一方面更重要的是要通過監管的方式,強化對於收集、使用、保管、存儲這方面行為的一個監管,對於違法的行為應當及時給予相應的處罰,加大處罰的力度。
新京報貝殼財經記者 程子姣 實習生 林夢雪