個人信息泄露頻發 醫療、網購、房地產等領域成重災區
本文轉自【中央紀委國家監委網站】;
中央紀委國家監委網站 左翰嫡 黃秋霞
圖為觀眾在南京國際智慧城市、物聯網、大數據博覽會人臉識別終端展台參觀。(圖片來源:視覺中國)
只要向網站支付費用,就可以在不徵得求職者同意的情況下獲取其個人簡歷;表面看起來是用於清理手機垃圾的APP,背地裏卻在不斷讀取用户信息;擁有上千家門店的知名商户,竟私自用攝像頭抓取顧客人臉並自動生成編號……今年的央視3·15晚會上,多家企業因通過公民個人信息謀利而被曝光。
隨着信息化與經濟社會的深度融合,利用個人信息侵擾羣眾生活的現象屢見不鮮,由此滋生的電信詐騙等各類違法犯罪活動愈演愈烈。個人信息保護領域亂象為何難以禁絕?數字時代該如何保護我們的隱私?立法層面又將如何回應社會關切?
個人信息泄露事件頻發,醫療、網購、房地產、教育等領域成重災區
在一個名叫“58智聯粉”的QQ羣裏,只需支付7元,便可買到一份智聯招聘平台上的求職者簡歷,信息一應俱全……央視3·15晚會上,智聯招聘用户簡歷流入“黑市”的細節被逐一披露。據賣家透露,在智聯招聘上註冊賬户並支付費用,就能輕易獲取大量簡歷,“個人賬户不行,得是企業賬户”。
在實際操作中,根據求職者的學歷、工作經驗、薪資水平等條件,簡歷的下載價格分為三個等級,分別是40元、60元和100元。企業賬户只要交錢辦理會員,就可以不受數量限制下載求職者的完整簡歷,而在註冊企業賬户時,即使是偽造的資質申請也可以順利通過。
憑藉上述手段下載、購買簡歷後,不法分子能夠獲知公民的詳細個人信息,從而實施精準詐騙。在近年來警方破獲的相關案件中,曾有一名嫌疑人在硬盤中存儲了700多萬份求職者簡歷。
記者梳理發現,過去一年內,類似的個人信息泄露事件頻繁發生,涉及海量用户信息的醫療、網購、房地產、教育等領域成為重災區。
2020年7月,某快遞公司內部員工與外部不法分子勾結,利用員工賬號和第三方非法工具竊取運單信息,導致40萬條用户個人信息外泄,其中有效信息量約為4.5萬條,這些有效信息被以每條1元的價格打包售賣至電信詐騙高發區。
“在這個時代,每個人的個人信息都面臨非常大的風險。”中國社科院法學研究所副所長周漢華説,外泄的快遞信息不但包含發件人及收件人的地址、姓名、電話,還涉及身份證號、用户偏好,這些信息一旦被應用於大數據分析,將可能成為不法分子的牟利手段,“快遞單信息一直是違法犯罪分子盯得比較緊的地方。”
此外,處於新冠肺炎疫情席捲全球的非常時期,大數據技術的頻繁應用也令個人信息外泄的風險隨之激增。此前,某醫院出入人員名單曾被髮布至多個微信羣,涉及6000餘人的身份證號碼、居住地址、就診類型等信息。有網友反映稱,“身邊有的朋友因去過醫院,在家隔離,卻受到電話騷擾,並被謠傳感染了新冠肺炎。”
生物信息收集使用安全邊界模糊,“十步一刷臉”引發技術濫用擔憂
除電話、住址等物理信息外,隨着數字技術的發展,人臉、指紋、虹膜等生物信息正成為隱私泄露的又一個“高危地帶”。
以央視3·15晚會曝光的科勒衞浴安裝人臉識別攝像頭為例,該公司在全國擁有上千家門店,消費者只要走進其中一家門店,就會在不知情的情況下被攝像頭抓取人臉並自動生成ID編號。
科勒衞浴一位零售銷售主任稱,編號生成後,消費者再進入其他門店,系統就會對門店工作人員進行提示,“如何去接待他,如何去做報價,就有一個心理準備了。”
據瞭解,科勒衞浴使用的人臉識別攝像頭由蘇州萬店掌網絡科技有限公司提供。在識別率方面,萬店掌工作人員稱戴口罩可達到80%-85%,不戴口罩可達到95%以上。該公司相關負責人薛經理表示,在萬店掌的總賬號上可以看到各個企業收集的人臉數據,“累計到現在肯定上億了”。
步入數字時代,人臉、指紋等生物信息廣泛應用於銀行業務辦理、移動支付、車站檢票等領域,獲得便利體驗的同時,模糊的安全邊界也引發了大眾對“十步一刷臉”這一現狀的隱憂。全國信息安全標準化技術委員會等成立的APP專項治理工作組發佈的《人臉識別應用公眾調研報告(2020)》顯示,在2萬多名受訪者中,有六成認為人臉識別技術有濫用趨勢,三成受訪者表示已因人臉信息泄露、濫用而遭受隱私或財產損失。
“人臉信息明文傳輸,每次刷臉解鎖均會反覆上傳,很容易發生泄露,且識別可靠性差,使用翻拍照片即可輕易破解。”中國電子技術標準化研究院信息安全研究中心審查部總監何延哲指出,手機APP中的安全隱患同樣不容忽視,“APP隱私政策中,對人臉信息等敏感的個人生物識別信息收集使用規則未作任何説明,而且用户無法通過註銷機制刪除。”
上海市信息安全行業協會會長談劍鋒表示,個人生物特徵數據具有唯一性和不可再生性,一旦被竊取,無法追回並變更,將對個人隱私保護帶來極大的、不可逆的風險。
責任主體內部監管失守,司法救濟渠道不暢,多重原因造成個人信息安全領域亂象叢生
過度收集、隨意使用、非法竊取、公然販賣……造成一系列個人信息安全亂象背後的深層原因是什麼?記者梳理發現,從政府職能部門到民營企業,能夠接觸到公民個人信息的主體多元而廣泛,但是許多關口都出現了不同程度的監管失守。
就國家機關而言,收集公民個人信息是出於公共利益和社會管理的需要,然而一些部門在管理制度層面存在漏洞,加上相關工作人員履職不力,導致不規範存儲、隨意共享等問題時有發生。更有甚者利用職務之便將手中掌握的公民個人信息提供給他人,從中謀取利益。
“公權力如何管理好手中的個人信息,如何對其加以限制約束,是個繞不開的問題。”國家監委特約監察員、清華大學法學院教授周光權説。
從企業層面看,一些社會責任意識薄弱的企業將商業利益凌駕於社會利益之上,不願履行個人信息數據相關責任,有的還藉助漏洞對個人信息進行違規收集。記者從工業和信息化部獲悉,截至3月12日,仍有117款涉及違規收集或使用個人信息的APP尚未完成整改。
“網絡服務商提供的用户協議、服務條款通常不直接顯示且冗長繁瑣,關於個人信息收集的範圍、保留時限、處理方式等重要條款難以識別且不盡合理,用户在這種情況下作出同意決定的真實性、自願性大打折扣。”全國人大常委會委員劉修文説。
而在外部打擊方面,在過去近20年裏,中國法律體系中對公民個人信息權益的保護長期處於碎片化狀態,相關條款散見於一些法律法規和規範性文件中,部分條款之間存在相互衝突的情況,導致出現認定、管理、處罰等標準難以統一,執法部門權限職責不清,司法救濟渠道不暢等問題。
全面加強個人信息法律保護,推動解決痛點難點問題
儘快完善相關數據標準和有關規範,推進相關立法工作,是進一步加強個人信息保護法治保障的客觀要求,也是維護網絡空間良好生態的現實需要。
2021年1月1日,《中華人民共和國民法典》正式實施。記者注意到,《民法典》將人格權獨立成編,以“隱私權和個人信息保護”專章方式,對隱私權和個人信息的定義、保護原則、法律責任、主體權利、信息處理等問題作出規定。多位專家表示,《民法典》從民事基本法的角度對個人信息保護作出詳細規定,具有開創意義,有助於從法治層面推動解決痛點難點問題。
針對此前個人信息概念界定模糊的問題,《民法典》第1034條明確,個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息,包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。
中國人民大學法學院教授劉俊海表示,對個人信息進行“精準畫像”,是保護自然人權利、遏制信息侵權的基礎,而規範個人信息的收集和處理則是實行保護的關鍵,“《民法典》第1035條明確了處理個人信息應當遵循的原則:合法、正當、必要,不得過度處理,且需符合徵得該自然人或者其監護人同意等4項具體條件。”
值得注意的是,《民法典》雖已勾勒出基礎的個人信息保護框架,但其主要聚焦的是遭受侵害後的法律救濟問題,若要進一步增強法律規範的系統性、針對性,依然需要對個人信息保護進行專門立法。
“制定專門的個人信息保護法,不是單純地增加一部法律,而是要解決目前面臨的難題,同時還要考慮今後新技術發展帶來的知情同意方式的變化。”周光權告訴記者,日前提請全國人大常委會審議的《個人信息保護法(草案)》從立法的角度對數字時代的突出問題進行了規制,“譬如平台不能向用户僅推送個性化信息及廣告;所收集的個人圖像、個人身份特徵信息只能是維護公共安全所必需,不得公開或者向他人提供,等等。”
與此同時,《個人信息保護法(草案)》規定,企業出現相關違法行為,可處以五千萬元以下或者上一年度營業額百分之五以下的罰款。“提高違法成本,劃定嚴懲紅線,將有助於更好守護公民個人信息安全。”周光權説。
個人信息保護之路任重道遠,需多方聯手打通梗阻形成協同共治局面
儘管相關工作都在穩步推進,但個人信息保護之路依然任重道遠。全國人大常委會委員陳斯喜説,目前《個人信息保護法(草案)》中的一些概念還比較模糊,可能會給實施帶來困難,“如何區分對已公開信息與未公開信息的收集、保護,採集信息的目的是自用還是出售、是暫時保存還是長期保存,這幾個關係要理清楚並分門別類作出規範,法律才具有可行性。”
另一方面,如何在公民權益保護與數字經濟發展之間尋求平衡,是個人信息保護面臨的又一項難題。
“二者的關係是辯證的,企業不能因為追求大數據這一核心資產而忽視公民的個人信息保護,同樣,也不能片面強調個人信息保護,一味壓抑企業在大數據開發方面的積極性和創造性。”劉俊海説。
中國社會科學院大學互聯網法治研究中心執行主任劉曉春認為,個人信息保護法的規則設計,將會對產業、經濟和社會的發展產生非常深刻的影響,“希望這部法律能夠在充分保護個人信息安全的同時,給具體規則的發展和應用留出一些創新的空間,特別是對於未來產業的發展前瞻性地給出一些空間,在動態的過程中去實現多贏。”
就監管部門而言,仍需進一步加大對侵犯公民個人信息違法犯罪活動的打擊力度,持續形成高壓態勢。去年以來,全國公安機關深入推進“淨網2020”專項行動,截至去年12月20日共偵辦侵犯公民個人信息刑事案件3100餘起。針對央視3·15晚會曝光的“APP違規收集老年人個人信息”等違規行為,工業和信息化部第一時間組織開展技術檢測並進行嚴厲查處。類似的打擊行動將有助於壓縮侵犯公民個人信息的犯罪空間,更好維護網絡空間秩序。
除加強立法、加大打擊力度外,守護個人信息安全,還需關口前移抓預防,壓實國家機關、企業、網絡主體等信息採集方的主體責任,敦促強化內部監管和自律,藉助防竊密、防篡改等技術手段築牢“防火牆”,切實解決濫用個人信息、對個人信息數據管理不力等問題,助推形成協同共治局面。