个人信息采集及泄露呈普遍趋势 消费者隐私该如何保护
以8个比特币(约人民币37万元)标价,就可以轻松获得1.3亿条酒店入住登记身份信息,和2.4亿条酒店开房记录。
这是8月28日爆出的华住集团旗下所有酒店用户数据被泄露的情况。截至目前,华住集团官方回应,已启动内部自查并报警。同时,上海警方已介入调查,表示将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为。
而这已是华住集团第二次被卷入信息泄露事件。国内安全漏洞监测平台乌云(WooYun.org)早在2013年就发布报告称,如家、汉庭等大批酒店的开房记录被第三方存储,并且因为漏洞而泄露。面向大众市场的汉庭即为华住酒店集团旗下酒店。
面对个人信息泄露,中国电子商务协会政策法律委员会副主任、上海段和段律师事务所合伙人刘春泉表示,目前曝光的因信息泄露而造成的重大刑事案例,都不是个人泄露的。从国家立法角度来说,约束企业的思路是对的。
8月29日,中国消费者协会公布的《App个人信息泄露情况调查报告》(下称《报告》)建议,如何保护消费者个人信息和隐私,尊重消费者的价值和意愿,让消费者个人信息和隐私数据不再“裸奔”,并受到合理的尊重和保护,离不开社会各界的广泛参与和共同治理。
个人信息采集及泄露呈普遍趋势
当下,消费者在享受移动互联网快速发展带来的各种利好时,个人隐私信息泄露、盗用、贩卖事件时有发生,骚扰、诈骗电话和邮件时有发生。
前述《报告》称,根据5000多份有效问卷调查结果,个人信息泄露情况相当严重,信息泄露途径和表现形式多样。个人信息泄露总体情况比较严重,遇到过个人信息泄露情况的人数占比为85.2%。
由于个人信息的大范围泄露,电信诈骗屡见不鲜。刘春泉表示,电信诈骗之所以屡屡得逞,是因为个人信息“裸奔”泛滥,骗子能报出准确的个人信息,导致迷惑性强,稍有不慎就容易上当。
不过,个人信息大范围泄露与网络实名制有很大关系。由于对个人信息的重要性认识不到位和缺乏个人信息保护的专业技能,普遍都没有得到很好的技术和法律保护。
此外,手机App过度采集个人信息呈现普遍趋势。《报告》称,手机App需要获取的权限种类繁多,最突出的是获取位置信息和访问联系人权限;而且存在App自身功能使用非必要的情况下获取用户隐私权限,增加了个人信息泄露的风险;多数受访者认为手机App采集个人信息的原因是为了推销广告。
值得关注的是,信息泄露也呈现增长趋势。数据显示,2016年全年泄露或被盗的数据量大约是19亿条。而2017年,雅虎在提交给美国金融监管机构的文件中,承认30亿账户全部泄露。一家的泄露数据量,相当于2016年全年的1.5倍。
中国电子商务研究中心特约研究员、地歌网CEO余德接受第一财经记者采访时表示,信息泄露的实施主体有个体也有组织。获取的方式也可分为两类,一类是通过职务行为非法获取,以及非法购买、收受、交换等方式获取,另一类是技术泄露,如漏洞、木马、拖库(黑客术语,意即将数据库里所有数据全部盗走)等。
对于此次华住集团的信息泄露,也有业内人士分析,主要是有“内鬼”主动泄露相关信息。
此外,消费者个人信息泄露后的应对措施不足。调查数据显示,在个人信息泄露情况发生后,消费者最担心被利用从事诈骗窃取活动或交给第三方。然而,最终有大约三分之一的受访者选择“自认倒霉”,消费者的主动维权意识还有待加强。
余德表示,从公民个人信息的侵犯维度来看,在互联网发展的历史上,个人信息泄露的事件一直都有。如果是离职员工泄露数据或在职员工内外合作非法“盗取”的情况,酒店需要为内部管理存在漏洞而承担相应责任。如果是黑客“拖库”入侵,要是企业没有给予与其规模相匹配的技术保护,则也需要承担相应责任,像华住这样拥有庞大体量个人信息的集团企业,应该配备高级别的安全防护等级。否则,企业也是受害方。
个人信息立法的借鉴经验
当前,中国个人信息保护的司法案例,主要由一些法律专业人员,例如律师、消费者保护机构等在推动。
刘春泉称,由于我国目前个人信息维权民事案件本来就少,除了江苏消保委起诉百度撤诉外个人还基本都败诉,因而企业没有尽到合理谨慎的信息安全保障义务甚至是赤裸裸侵权行为,本来就举证困难,现在则基本就是零风险状态。
目前,我国个人信息保护在行政执法领域,主要是《消费者权益保护法》、《网络安全法》。《网络安全法》的执法力度相对较大,根据公布的案例,腾讯微信、新浪微博、百度贴吧涉嫌违反《网络安全法》被立案调查,BOSS直聘被网信办责令整改,这算目前的重大执法案件。
与此形成鲜明对比的是,虽然欧美也不乏个人信息泄露事件,但欧美企业普遍比较重视网络隐私或个人信息保护,并非自觉,而是迫于实实在在的法律风险。
例如,2012年谷歌因为浏览器safari设置问题,曾被美国联邦通信委员会(FCC)罚款2250万美元;2014年9月Verizon公司因为没有给200万电话用户提供Optout(退出)选择,被FCC查处,结果以740万美元和解结束对其涉嫌侵犯隐私的调查等。
刘春泉称,中国在立法时,应该较多参考研究其他域外立法,包括印度、新加坡、日本,其个人信息保护水平也不低于我国。
他认为,从中国反垄断法的执法来看,个人信息保护执法不排除学习欧盟的可能性。结合欧盟对谷歌等企业反垄断等多次巨额罚款,这一行政执法措施监管确实震慑力巨大,可以通过巨额罚款的行政责任引导企业合规。在目前,司法诉讼仍不失为中国个人信息保护立法值得考虑的主要保护途径。从科学合理与渐进进程角度来说,通过民事诉讼责任引导企业合规,似乎更加科学合理。
