关键词:个人信息保护管理法律 个人信息安全 数据买卖
1个人信息安全问题日益凸显
1.1科技的进步导致个人信息安全隐患加重
随着上世纪90年代,互联网的兴起,到本世纪初,互联网朝移动端和云端转变,迅猛发展的计算机信息技术已经成几乎完全渗透到了人们生活的方方面面,并且为农业、工业、服务业的重要信息交换媒介,甚至在国防中都起到了极其重要的作用。在今年“两会”的政府工作报告上,国务院总理李克强特别强调要“维护网络安全”,信息安全已经被提到国家安全的战略高度。 但与此同时,也因为互联网的出现,人们的生活方式和工作效率发生了翻天覆地的变化。从之前的以电脑端为基础的互联网时代,到现在以手机端口为主的移动互联网时代,和现在正在兴起的以云计算为先锋的大数据时代将成为未来的发展趋势。由此可见互联网已经成为了绝大部分的信息传播的主要方式。由于信息交换日益频繁和复杂,人们对信息的可控性也越来越差;人们通过互联网处理银行事务、发送电子邮件、购物、炒股和办公。这些无疑给社会、企业乃至个人带来了前所未有的便利。然而,互联网不可避免的存在着各种各样的安全隐患,特别是最近几年个人信息泄露事件层出不穷,个人信息安全的问题越来越重要。根据美国战略与国际问题研究中心最新发布的报告显示,网络犯罪每年给全球带来大约4450亿美元的损失,其中企业知识产权被盗的损失超过了个人数据被盗的损失。该报告称,网络犯罪正处于增长之中,对贸易、竞争和创新都造成了影响。保守估计,这一损失将达到3750亿美元,最大则有可能达到5750亿美元。全球最大的经济体首当其冲,美国、中国、日本、德国每年因此遭受的经济损失达到2000亿美元。据赛迪网报道,美国来自网络犯罪的损失达到960亿美元,据全球数据安全损失之首。 全球每年与信用卡数据被盗等个人信息相关的损失也达到1500亿美元 。此外根据Zecurion提供的关于机密信息泄露的资料显示,2011年,全球共计登记信息泄露事件819起,总损失金额超过200亿美元 。中国互联网产业年会上获悉,2013年,大部分网民在信息安全损失方面权益受损比较轻微,54.8%的网民损失在100元以内,或者没有金钱损失;损失在100元以上至300元的网民比例为23.4%;约有13.4%的网民金钱损失在600元以上。以人民币计算,中国网民的损失保守估计达1789亿元4。据统计,截至2013年第三季度,中国网民数量达到6.08亿,互联网普及率为45.4%。3G网络已经覆盖了全国所有的乡镇。截至2013年11月底,电子商务交易额达9.7万亿元,同比增长34.6%。2013全年信息消费规模超过2万亿元,增长25%左右 。如此发展之快的互联网速度,个人信息安全将面临巨大的挑战。据《2013年中国网民信息安全状况研究报告》显示:2013年下半年,74.1%的国内网民遇到过信息安全问题,因信息安全事件而造成的个人经济损失达196.3亿元。目前,世界上已有50多个国家和地区制定了保护个人信息安全的法律,而我国对个人信息安全保护的法律法规比较零散,整个信息安全防护法律体系还处于起步阶段 。本文将从主要介绍移动互联网时代个人信息安全保护方面存在的问题以及解决方法。
1.2导致个人信息安全保护法搁置原因
1)立法中个人信息的定义模糊不清。
目前我国法律法规中明确提出对“个人信息”进行保护的规定相当有限,民法中也是少之又少,且多通过对“人格尊严”、“个人隐私”、“个人秘密”等与个人信息相关的范畴进行保护,进而引申出对个人信息的保护 。日本、韩国、俄罗斯等亚洲各国多使用“个人信息”这个概念 。个人信息包含个人隐私,当与公共利益无关、与自然人个体相关的个人数据资料不愿公开时,则成为隐私,而个人信息并不完全涉及个人隐私。而对于我国由于这个词在学术上尚未形成统一的定义,不同的学者对个人信息和个人数据的解释和看法不一。有的认为个人信息等于个人数据,只是因为网络时代的发展,从原本的传统数据转接到了以计算机为主的平台上了。实质上并没发生改变,只是形式上随着科技的发展而发生了变化。还有一些学者则认为个人数据和个人信息是被包含和包含的关系。因此如果要对个人信息保护立法,针对这些名词各方不一的解释将会让法律出于一个模棱两可的状态。
2)个人信息安全是一个全球各国头疼的问题。
美英德日等西方国家的信息技术相对我国较为发达,这些国家在个人信息安全方面的法律保护以及信息技术的规范方面都比我国要完善许多,其中有一个重要的原因是因为他们在信息科技发展方面比我们领先一步,几乎所有我们国家现在所面临的一些电子信息的问题,以前也发生在那些发达国家。上世纪90年代日本的个人信息买卖极其严重。美国的个人信息泄露也十分疯狂。英国人的个人银行账户信息和医院病人的信息也经常遭遇泄露;正是因为这些问题的出现,而导致了个人信息安全领域的法律法规颁布,同时如果要完善这些法规,都必须要经历一个长期的法律法规的“磨合期”,在这个时期进行不断的试错、修正、完整,才能制定出一部行之有效的,适合保障本国公民的法律法规。即便是目前的西方发达国家,同样面临着个人信息安全问题。因为科技的不断发展,各行各业会出现各种不同的问题与纠纷和争议。所以制定一部个人信息安全法规是一个长期的过程,不可能一次就能完善。
1.3国内个人信息保护现状
就目前国内的个人信息保护现状,总的来说可以从4个方面来阐述;第一,因为个人而导致的信息安全问题;第二,由于组织而导致的信息安全问题,其中包含了(公司与传媒);第三,由于政府机关而导致的信息安全问题。第四,由于科技和社会的发展而对个人信息安全产生的信息安全问题。
1.31互联网文化导致的个人主动信息泄露
无论是通过微博、微信等社交平台“晒”心情,关注、评论他人,还是享受网购带来的便利、坐等快递送上家门时兴奋的心情,现代人的网络生活时刻都存在泄露个人信息的可能性。
由于网络时代的交流方式就是对来自全球各种信息进行共享和交换。而互联网这种无边界,无法律管制的交流方式,让更多人的人可以在短时间之内传播,阅读,共享更多的个人信息。由于获取个人信息的便利性和及时性,很多个人并未经过深思熟虑就把一些个人信息发布到互联网上,公开于众。这种主动的信息泄露方式很多时候出于无知和无意识的传播了个人信息。并未带有任何的恶意性。例如在QQ上填真实的个人信息,把手机号,家庭住址等一些重要的信息公布在网上并且没有限制浏览者的权限。一些不法分子会通过网络搜索途径获得这些个人信息而展开一系列的诈骗,绑架等犯罪活动。因为互联网的局限性,很多时候犯罪分子并没有通过声音或图像来进行沟通,纯粹凭电脑打出的统一文字,让受害者无法获得更进一步的证据来判断事件的真实性。从而使众多受害者蒙受损失。
此外由于不法分子主动泄露个人信息,最近几年随着互联网和电子商务的繁荣,受害事件也激增。例如2008年由香港艺人陈冠希所引发的艳照门事件引起了公众的高度关注,也由此引发了诸多的法律争议。由网友“奇拿”在香港讨论区成人贴图区上传了所谓陈冠希和各大女明星的艳照。艺人陈冠希把自己的一台笔记本电脑送去维修,硬盘上保存了许多陈冠希和众多女艺人的照片被人打包拷贝走了,而被网友发布到互联网上造成了轰动一时的艳照门事件。 艳照门事件曝光后,陈冠希被大众口诛笔伐,纷纷谴责其逃避责任、道德低下 。从另一个角度说,如果那批隐私照片并非艳照,在被人盗取并发布网上以后,估计被谴责的会是发布照片的人,而不是照片的主角;即使谴责之声掩盖不了可耻的支持者,那些照片也只能沦为网络无数被揭私的照片之一,不会传得人尽皆知1。从这个案例也引发了大众对道德尺度和法律底线的激烈争辩。在艳照门整个事件中,大量网络服务商和网民共同实施并完成了一起侵权行为的事件,网络服务商为网名提供了信息传递的便利,例如各种网站,空间,相册,论坛,搜索引擎服务,在线传输服务等,而网民通过他们所提供的各种服务使侵权行为发生了、并且迅速扩展,使侵害事实持续扩大。因此,艳照门事件的受害者寻求权利救济,在实务操作层面的难度是极其大的,即便是受害者在道德层面上要获得谴责。
1.32木马、黑客导致的个人隐私泄露
木马,黑客等都是伴随着计算机迅猛发展的产物,特别是近几年发生的数据泄露事件与黑客,木马等密不可分。2011年发生的CSDN(中国软件开发联盟)密码库泄露事件成为了中国互联网史上最大规模的一次用户资料泄漏事件。根据互联网安全公司360发布的监控数据显示,有5000多万个网络账户密码在网上被黑客入侵攻击并公开在互联网上。同时起连锁反应的一些网站,如嘟嘟牛、7K7K、多玩网、178游戏网等多家网站用户数据库遭遇泄露。
根据CSDN总裁的观点,国内互联网公司当前存在两个普遍现状,一是对业务极其重视而忽略了安全隐患,二是缺乏安全意识,对于数据安全和系统安全认识不够。第三方数据安全审计公司对各网站的扫描结果显示,80%以上的互联网公司都存在着漏洞,有安全策略的公司60%以上还存在着漏洞,这是我们互联网的现状。安全意识漏洞比技术漏洞更可怕。
1.33个人信息管理问题(组织包含公司和传媒)
1)信息买卖:
据2006年全球领先的市场研究机构Harris Interactive受Visa委托在全球范围内开展了一项调查的结果显示:个人信息和财务信息失窃或丢失已成为全球消费者最关注的问题。被调查的12个国家中,中国位居对个人信息丢失或失窃问题最为关注的4个国家之一。有77%的中国消费者表示,他们高度关注个人或财务信息的丢失或失窃问题,高出调查平均水平13个百分点 。在这个信息社会里,个人信息就是资源和价值。根据中国的一些学者把个人信息的定义为个人姓名、住址、出生日期、身份证号、医疗记录、人事记录、照片等单独或与其他信息对照可以识别特定的个人的信息。按照这一定义,我们无法将自己的个人信息完全隐藏起来,因为在这个信息交互的时代隐藏了个人信息我们也就与世隔绝了。
而在目前迅速崛起的快递行业贩卖个人信息的现象是行业“公开的秘密”,用户在网购时填写的地址、电话、单号等信息可能会被网上被公开叫卖,网上甚至还出现了专门交易快递单号的网站 ,例如在淘宝搜索栏中输入“单号”一次就有几千件产品跳出。这些卖家大多都冠以“物流服务”“物流单号查询”等,其中有出售“圆通快递数据”的信息,快递单信息一般1元/条,量大的话0.8元/条,需求量极大0.3元/条。由于这些单号中都含有大量的用户个人信息,这些信息的贩卖导致个人信息安全隐患变得越来越严重。
2)信息收集过量
有关机构超出所办理业务的需要,收集大量非必要或完全无关的个人信息。比如,一些商家在办理积分卡时,要求客户提供身份证号码、工作机构、受教育程度、婚姻状况、子女状况等信息;一些银行要求申办信用卡的客户提供个人党派信息、配偶资料乃至联系人资料等 。例如一些公司招聘员工时,要求员工填写本公司的个人信息搜集表内容涵盖了父母的姓名,工作和电话号码,这些信息与求职本身是没有任何关系的,即便是在入职之后,这些信息都不能被公开于公司,这些属于个人的隐私。而这些问题却经常出现在各大公司的求职者信息采集的表格上。
从立法上来说,并没有具体规定哪些部门和企业有权搜集公民的个人信息,但从生活经验看,承担公共职能的企事业单位,如电信、医院、学校等从其本身具有的公益服务性和功能上说,他们需要根据顾客提供的相关信息才能提供服务,因此他们有权要求顾客提供服务所需的信息。而营利性的私人企业由于其具有的盈利性,几乎是没有权利要求顾客提供个人信息的。
3)管理不善
目前我国已有近5亿手机网民,通过微信、微博等社交平台每天发送200亿条信息。根据中国互联网协会统计,65.5%的网站存在安全漏洞,过去一年中国网民在网上的损失接近1500亿元。非法获取和买卖个人信息已经严重威胁公民财产安全乃至社会秩序 。同样由于安全漏洞的问题而导致个人信息安全受到威胁案例屡见不鲜。如2014年3月,国内知名漏洞报告平台乌云网公布了“携程安全支付日历导致用户银行卡信息泄露”的相关信息。漏洞发现者指出,携程对用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在他们的本地服务器上。虽然携程有对这些数据进行低级加密但仍可以轻易被黑客获取。而这次泄露的信息包括用户绝大部分重要的个人信息,如持卡人姓名、身份证号、所持银行卡类别、卡号、CVV码以及用于支付的密码等 。
在“携程网泄密门”事件中,最大的问题是出在于违规保存客户敏感信息如CVV码等,并且违反了央行的规定。根据央行《银行卡收单业务管理办法》第28条规定,收单机构不得以任何方式存储银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码等敏感信息。并应采取有效措施防止特约商户和外包服务机构存储银行卡敏感信息。据知情人士透露,2009年以前,携程服务器并不留存用户CVV码,用户每次购买机票,预订酒店都需要输入CVV码;但2009年,范敏为了简化操作流程,优化客户体验,拍板决定在携程服务器上留存CVV码 。由此看来当时管理不当的举动为之后的 “漏洞”埋下了隐患。
1.34相关法律法规不健全
目前我国直接对“个人信息”加以保护的法律、法规、规章及司法解释的数量相当有限,其中全国性的法律中仅有《中华人民共和国护照法》、《中华人民共和国身份证法》直接规定了“个人信息”的保护问题。 再者,随着信息技术的高速发展,搜集个人信息变得越来越容易,而信息使用不当或予以公开导致的损失已经无法估量。之前的法律仅停留在个人隐私方面的独处权的保护,但目前科技发展带来的负面影响已经不能保证个人的生活的安宁不受侵扰,并且衍生出来的个人信息的价值也远远超过了之前。就像美国女参议员戴安娜范思坦忧心忡忡地指出:人们正在对他们的身份失去控制,我们的私人生活正在成为市场上具有价值的商品。 为此“信息隐私权”的建立也是时代演变的需要。
从法律保护的角度而言,我国个人信息保护之现状主要有以下情况:3
(1)法律的适用范围有局限性,条款偏少,且适用范围相对狭窄。
(2)在个人信息的法律保护手段上,处罚力度太轻,使得一些机构不顾惩罚而屡屡就范,并且处罚不能弥补受害人在非财产方面所受的损失。
(3)法律的漏洞很多并且可操作性较差,相关机关无法明确来执行惩罚。
(4)法律体系碎片化,只依靠随机的或零散的法规来约束,缺乏一致性和条理性。
(5)法律条款的内容空洞不够具体,大部分条款描述不清问题不清且不够细致。
(6)我国大众在保护个人信息的观念上相对缺失。
1.35科技对个人信息安全的影响
1)数据挖掘
数据挖掘是指从数据库的海量数据中提取出潜在的具有价值的信息的过程。这种新兴技术在最近十几年内发展极其迅速,但相应的也带来了一些问题。利用数据挖掘可对用户的购物习惯,犯罪记录,健康记录,信用卡记录等数据进行分析,可以从中提取出有价值的数据为公司和政府部门提供决策和政策制定的参考依据。但在这些数据的挖掘过程中存在数据外泄的风险而产生的影响会给用户的个人隐私带来威胁,例如顾客的个人喜好,个人背景资料,病人的病例资料等极其隐私的信息。如何能在数据挖掘的过程中兼顾隐私保护的问题已成为这个行业急需面对的挑战。
对互联网企业来讲,从用户那里收集到的信息主要包括消费习惯、行为特征、个人数据等,企业可以通过收集这些信息去开展大数据分析,进一步挖掘用户的潜在消费能力,更多元化的价值,从而为用户提供更有针对性的服务。企业在用户不知情的情况下收集有限的数据,在一定程度上忽略了人的权利。在数据挖掘的过程中,由于挖掘会跟数据仓库的构建有关,大量的分散数据进行访问许可,使得数据被滥用的风险大大提升,因为数据挖掘为企业揭示了隐藏的商业规律和模式,给企业创造了客观的经济效益,由于利益的趋势,越来越多的公司开始日益重视用户日常数据的收集,这也使得用户在网络上的日常交易信息和浏览历史在他们毫不知情的情况下被记录下来成为了公司数据交易的资源。于是,大量的个人记录就有可能被肆意的使用,数据收集者也可能会在用户不知情的条件下出售它们,这些都对隐私信息的安全提出了挑战。 例如有的企业会利用自己的客户端等手段搜集用户的行为习惯,然后向用户强推产品或广告,这种行为就是侵犯个人隐私的行为。
2)人肉搜索
人肉搜索作为互联网的一种新兴的资料搜索方式,很多人误认为那是一种简单的“寻人”机制,而实际上内涵远不止如此。它是一个依托来自五湖四海的网民而不再依赖网络数据库的新型搜索工具,利用现代信息科技,变传统的网络信息搜索为人找人,人问人的关系型网络社区活动,变枯燥乏味的查询过程为“一人提问,八方回应”的人性化搜索体验。 像一些大型的互动搜索工具如“新浪爱问”“百度知道”“雅虎知识堂”等,都是根据网民的内在需求而设计的便民快捷获取答案方式。通过这种一问一答的互动平台使网民能更方便快捷的获取信息和知识。从本质上说这些都属于人肉搜索引擎,但互联网中的社会层面的“人肉搜索”是一种狭隘的寻人机制。通过互联网的力量来获取线索以达到寻人的目的。这种在某种程度上可以被认为是公民行使监督权和批评权的体现.对于网民将一些涉嫌违法,造假或不道德的人或事的相关信息发布到网上,供网友评判,如果行使得当,则有有利于保护公共利益和促进社会进步。例如轰动一时的“虎照门”事件。2007年10月3日陕西农民周正龙称在巴山拍到华南虎照片;同月12日,陕西省林业厅召开发布会展示华南虎照片针对虎照,网友不断从光线拍摄角度现实年画搜索等角度提出质疑 经过人肉搜索,有网友发现虎照中的虎和自家所挂年画极其相似;所谓华南虎竟然是年画虎 这一发现引起舆论一片哗然 2008年6月29日经过权威机构鉴定,所谓 华南虎照片终于被认定为假照片,拍照人周正龙因涉嫌诈骗罪被逮捕。
此外还有被称之为“人肉搜索第一案”的“死亡博客事件”,2007年北京一位女白领怀疑丈夫有外遇跳楼自杀身亡,她在网络上写下“死亡博客”,记载了她自杀前的心路历程,并提及丈夫王菲的姓名、工作单位地址等信息。某些网友通过网络信息找到其丈夫父母家地址,并在其门口写下“逼死贤妻”、“贱人”等字句。死者的朋友也在网络上披露其丈夫的工作单位、居住小区和不露面的原因。为此,法院考虑案件处理结果对于网络的健康发展与引导产生的影响,以及公民权利保护的影响。最终,两家网站被判侵权,王菲获赔精神抚慰金8000元。
“信息挖掘,人肉搜索”等高科技的产物就像一把双刃剑,积极有利的方面如能正确引导,就能给社会带来益处。如果不能控制它,或引导他往积极的方向,那么很有可能产生极其恶劣的影响。
……
全文请阅读《管理蓝皮书 中国管理发展报告2014》
(摘自《管理蓝皮书 中国管理发展报告2014》)
