观察 | 个人信息保护困局如何破解
中央纪委国家监委网站 左翰嫡 黄秋霞
只要向网站支付费用,就可以在不征得求职者同意的情况下获取其个人简历;表面看起来是用于清理手机垃圾的APP,背地里却在不断读取用户信息;拥有上千家门店的知名商户,竟私自用摄像头抓取顾客人脸并自动生成编号……今年的央视3·15晚会上,多家企业因通过公民个人信息谋利而被曝光。
随着信息化与经济社会的深度融合,利用个人信息侵扰群众生活的现象屡见不鲜,由此滋生的电信诈骗等各类违法犯罪活动愈演愈烈。个人信息保护领域乱象为何难以禁绝?数字时代该如何保护我们的隐私?立法层面又将如何回应社会关切?
个人信息泄露事件频发,医疗、网购、房地产、教育等领域成重灾区
在一个名叫“58智联粉”的QQ群里,只需支付7元,便可买到一份智联招聘平台上的求职者简历,信息一应俱全……央视3·15晚会上,智联招聘用户简历流入“黑市”的细节被逐一披露。据卖家透露,在智联招聘上注册账户并支付费用,就能轻易获取大量简历,“个人账户不行,得是企业账户”。
在实际操作中,根据求职者的学历、工作经验、薪资水平等条件,简历的下载价格分为三个等级,分别是40元、60元和100元。企业账户只要交钱办理会员,就可以不受数量限制下载求职者的完整简历,而在注册企业账户时,即使是伪造的资质申请也可以顺利通过。
凭借上述手段下载、购买简历后,不法分子能够获知公民的详细个人信息,从而实施精准诈骗。在近年来警方破获的相关案件中,曾有一名嫌疑人在硬盘中存储了700多万份求职者简历。
记者梳理发现,过去一年内,类似的个人信息泄露事件频繁发生,涉及海量用户信息的医疗、网购、房地产、教育等领域成为重灾区。
2020年7月,某快递公司内部员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致40万条用户个人信息外泄,其中有效信息量约为4.5万条,这些有效信息被以每条1元的价格打包售卖至电信诈骗高发区。
“在这个时代,每个人的个人信息都面临非常大的风险。”中国社科院法学研究所副所长周汉华说,外泄的快递信息不但包含发件人及收件人的地址、姓名、电话,还涉及身份证号、用户偏好,这些信息一旦被应用于大数据分析,将可能成为不法分子的牟利手段,“快递单信息一直是违法犯罪分子盯得比较紧的地方。”
此外,处于新冠肺炎疫情席卷全球的非常时期,大数据技术的频繁应用也令个人信息外泄的风险随之激增。此前,某医院出入人员名单曾被发布至多个微信群,涉及6000余人的身份证号码、居住地址、就诊类型等信息。有网友反映称,“身边有的朋友因去过医院,在家隔离,却受到电话骚扰,并被谣传感染了新冠肺炎。”
生物信息收集使用安全边界模糊,“十步一刷脸”引发技术滥用担忧
除电话、住址等物理信息外,随着数字技术的发展,人脸、指纹、虹膜等生物信息正成为隐私泄露的又一个“高危地带”。
以央视3·15晚会曝光的科勒卫浴安装人脸识别摄像头为例,该公司在全国拥有上千家门店,消费者只要走进其中一家门店,就会在不知情的情况下被摄像头抓取人脸并自动生成ID编号。
科勒卫浴一位零售销售主任称,编号生成后,消费者再进入其他门店,系统就会对门店工作人员进行提示,“如何去接待他,如何去做报价,就有一个心理准备了。”
据了解,科勒卫浴使用的人脸识别摄像头由苏州万店掌网络科技有限公司提供。在识别率方面,万店掌工作人员称戴口罩可达到80%-85%,不戴口罩可达到95%以上。该公司相关负责人薛经理表示,在万店掌的总账号上可以看到各个企业收集的人脸数据,“累计到现在肯定上亿了”。
步入数字时代,人脸、指纹等生物信息广泛应用于银行业务办理、移动支付、车站检票等领域,获得便利体验的同时,模糊的安全边界也引发了大众对“十步一刷脸”这一现状的隐忧。全国信息安全标准化技术委员会等成立的APP专项治理工作组发布的《人脸识别应用公众调研报告(2020)》显示,在2万多名受访者中,有六成认为人脸识别技术有滥用趋势,三成受访者表示已因人脸信息泄露、滥用而遭受隐私或财产损失。
“人脸信息明文传输,每次刷脸解锁均会反复上传,很容易发生泄露,且识别可靠性差,使用翻拍照片即可轻易破解。”中国电子技术标准化研究院信息安全研究中心审查部总监何延哲指出,手机APP中的安全隐患同样不容忽视,“APP隐私政策中,对人脸信息等敏感的个人生物识别信息收集使用规则未作任何说明,而且用户无法通过注销机制删除。”
上海市信息安全行业协会会长谈剑锋表示,个人生物特征数据具有唯一性和不可再生性,一旦被窃取,无法追回并变更,将对个人隐私保护带来极大的、不可逆的风险。
责任主体内部监管失守,司法救济渠道不畅,多重原因造成个人信息安全领域乱象丛生
过度收集、随意使用、非法窃取、公然贩卖……造成一系列个人信息安全乱象背后的深层原因是什么?记者梳理发现,从政府职能部门到民营企业,能够接触到公民个人信息的主体多元而广泛,但是许多关口都出现了不同程度的监管失守。
就国家机关而言,收集公民个人信息是出于公共利益和社会管理的需要,然而一些部门在管理制度层面存在漏洞,加上相关工作人员履职不力,导致不规范存储、随意共享等问题时有发生。更有甚者利用职务之便将手中掌握的公民个人信息提供给他人,从中谋取利益。
“公权力如何管理好手中的个人信息,如何对其加以限制约束,是个绕不开的问题。”国家监委特约监察员、清华大学法学院教授周光权说。
从企业层面看,一些社会责任意识薄弱的企业将商业利益凌驾于社会利益之上,不愿履行个人信息数据相关责任,有的还借助漏洞对个人信息进行违规收集。记者从工业和信息化部获悉,截至3月12日,仍有117款涉及违规收集或使用个人信息的APP尚未完成整改。
“网络服务商提供的用户协议、服务条款通常不直接显示且冗长繁琐,关于个人信息收集的范围、保留时限、处理方式等重要条款难以识别且不尽合理,用户在这种情况下作出同意决定的真实性、自愿性大打折扣。”全国人大常委会委员刘修文说。
而在外部打击方面,在过去近20年里,中国法律体系中对公民个人信息权益的保护长期处于碎片化状态,相关条款散见于一些法律法规和规范性文件中,部分条款之间存在相互冲突的情况,导致出现认定、管理、处罚等标准难以统一,执法部门权限职责不清,司法救济渠道不畅等问题。
全面加强个人信息法律保护,推动解决痛点难点问题
尽快完善相关数据标准和有关规范,推进相关立法工作,是进一步加强个人信息保护法治保障的客观要求,也是维护网络空间良好生态的现实需要。
2021年1月1日,《中华人民共和国民法典》正式实施。记者注意到,《民法典》将人格权独立成编,以“隐私权和个人信息保护”专章方式,对隐私权和个人信息的定义、保护原则、法律责任、主体权利、信息处理等问题作出规定。多位专家表示,《民法典》从民事基本法的角度对个人信息保护作出详细规定,具有开创意义,有助于从法治层面推动解决痛点难点问题。
针对此前个人信息概念界定模糊的问题,《民法典》第1034条明确,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。
中国人民大学法学院教授刘俊海表示,对个人信息进行“精准画像”,是保护自然人权利、遏制信息侵权的基础,而规范个人信息的收集和处理则是实行保护的关键,“《民法典》第1035条明确了处理个人信息应当遵循的原则:合法、正当、必要,不得过度处理,且需符合征得该自然人或者其监护人同意等4项具体条件。”
值得注意的是,《民法典》虽已勾勒出基础的个人信息保护框架,但其主要聚焦的是遭受侵害后的法律救济问题,若要进一步增强法律规范的系统性、针对性,依然需要对个人信息保护进行专门立法。
“制定专门的个人信息保护法,不是单纯地增加一部法律,而是要解决目前面临的难题,同时还要考虑今后新技术发展带来的知情同意方式的变化。”周光权告诉记者,日前提请全国人大常委会审议的《个人信息保护法(草案)》从立法的角度对数字时代的突出问题进行了规制,“譬如平台不能向用户仅推送个性化信息及广告;所收集的个人图像、个人身份特征信息只能是维护公共安全所必需,不得公开或者向他人提供,等等。”
与此同时,《个人信息保护法(草案)》规定,企业出现相关违法行为,可处以五千万元以下或者上一年度营业额百分之五以下的罚款。“提高违法成本,划定严惩红线,将有助于更好守护公民个人信息安全。”周光权说。
个人信息保护之路任重道远,需多方联手打通梗阻形成协同共治局面
尽管相关工作都在稳步推进,但个人信息保护之路依然任重道远。全国人大常委会委员陈斯喜说,目前《个人信息保护法(草案)》中的一些概念还比较模糊,可能会给实施带来困难,“如何区分对已公开信息与未公开信息的收集、保护,采集信息的目的是自用还是出售、是暂时保存还是长期保存,这几个关系要理清楚并分门别类作出规范,法律才具有可行性。”
另一方面,如何在公民权益保护与数字经济发展之间寻求平衡,是个人信息保护面临的又一项难题。
“二者的关系是辩证的,企业不能因为追求大数据这一核心资产而忽视公民的个人信息保护,同样,也不能片面强调个人信息保护,一味压抑企业在大数据开发方面的积极性和创造性。”刘俊海说。
中国社会科学院大学互联网法治研究中心执行主任刘晓春认为,个人信息保护法的规则设计,将会对产业、经济和社会的发展产生非常深刻的影响,“希望这部法律能够在充分保护个人信息安全的同时,给具体规则的发展和应用留出一些创新的空间,特别是对于未来产业的发展前瞻性地给出一些空间,在动态的过程中去实现多赢。”
就监管部门而言,仍需进一步加大对侵犯公民个人信息违法犯罪活动的打击力度,持续形成高压态势。去年以来,全国公安机关深入推进“净网2020”专项行动,截至去年12月20日共侦办侵犯公民个人信息刑事案件3100余起。针对央视3·15晚会曝光的“APP违规收集老年人个人信息”等违规行为,工业和信息化部第一时间组织开展技术检测并进行严厉查处。类似的打击行动将有助于压缩侵犯公民个人信息的犯罪空间,更好维护网络空间秩序。
除加强立法、加大打击力度外,守护个人信息安全,还需关口前移抓预防,压实国家机关、企业、网络主体等信息采集方的主体责任,敦促强化内部监管和自律,借助防窃密、防篡改等技术手段筑牢“防火墙”,切实解决滥用个人信息、对个人信息数据管理不力等问题,助推形成协同共治局面。 张燕玲
