本文轉自【法治日報】;
人臉資訊灰色產業鏈引發關注資訊洩露或導致財產重大損失
隱私資訊頻遭洩露該如何預防
□ 本報記者 韓丹東
□ 本報實習生 林銀婷
近日,媒體報道的批次倒賣非法獲取人臉等身份資訊和“照片活化”網路工具及教程的黑產引起廣泛關注。據報道,這些資訊在淘寶、閒魚等網路交易平臺上大肆售賣,而且售賣的人臉資訊並非單純的人臉照片,還包含身份證號、銀行卡號、手機號等公民個人身份資訊。
對於出售公民資訊等隱私資料應該承擔怎樣的法律責任?公民如何才能更好地保護自己的隱私?《法治日報》記者對此進行了採訪。
網上售賣個人資訊
肆意侵犯公民隱私
人臉特徵資訊作為高敏感性資訊,與個人身份、金融、行為、位置、偏好等資訊相關聯。該資訊被洩露時,或將導致人們個人財產等造成重大損失。
採訪中,中國傳媒大學文化產業管理學院法律系主任鄭寧認為,出售公民隱私資訊對公民日常生活產生的威脅主要有以下三個方面:一是垃圾資訊源源不斷,當人臉資訊被某些刷單類App非法利用時,可能會收到垃圾郵件、垃圾簡訊、騷擾電話,甚至可能導致被迫網貸、金融賬戶被用於非法的用途;二是個人財產受到損失,非法中介常利用人臉資訊和銀行卡、身份證等證件進行貸款、借債或者冒名辦卡透支消費;三是公民可能會遭遇裸聊、裸貸、私密資訊洩露的危害。
出售公民隱私資訊的行為為何屢禁不止?鄭寧認為,這是因為售賣者的逐利心理,購買人臉資訊的成本極低,但是被售賣的人臉資料可以用來“撞庫”,也就是在不同網站嘗試使用相同的帳號、密碼獲取該使用者其他的賬戶資訊,從而達到精準投放廣告、精準營銷或精準詐騙的目的,以此獲得高昂利潤。此外,犯罪成本低也是導致公民隱私資訊一再被倒賣的原因。
在中國政法大學傳播法研究中心副主任朱巍看來,售賣隱私資訊是因為有市場需求。從技術角度來講,這種需求來源於以下幾方面:第一是為了“撞庫”,撞庫是指憑藉使用者的身份資訊、人臉識別資訊和其他相關資訊破解使用者賬號;第二是為了精準營銷,瞭解個人的運動軌跡,透過人臉比對可以掌握到此人上過什麼網站,用過哪些類似的服務,拿到此人的相關資訊後可以透過大資料等技術與此人真實身份相結合,實行精準營銷;第三是為了精準詐騙,詐騙者透過蒐集個人相關資訊,瞭解個人購買的物品,以退票、退錢、更換貨物為由,使公民上當,點選詐騙者所提供的二維碼,從而進行精準詐騙。此外,還有一些個人目的,比如窺探個人隱私等。
法律助力資訊保護
售賣平臺難辭其責
關於倒賣公民隱私資訊的行為將會受到何種處罰,朱巍說,對於倒賣公民隱私資訊,刑法規定了侵犯公民個人資訊罪,即將施行的民法典在人格權編中圍繞“隱私權和個人資訊保護”單獨設了一章進行規範,可見國家對個人資訊保護非常重視。
鄭寧介紹,倒賣個人資訊涉嫌構成非法獲取公民個人資訊罪。刑法第二百五十三條之一規定,違反國家有關規定,向他人出售或者提供公民個人資訊,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。同時,網路安全法第四十一條規定了收集、使用個人資訊的基本原則:網路運營者收集、使用個人資訊,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用資訊的目的、方式和範圍,並經被收集者同意。網路運營者不得收集與其提供的服務無關的個人資訊,不得違反法律、行政法規的規定和雙方的約定收集、使用個人資訊,並應當依照法律、行政法規的規定和與使用者的約定,處理其儲存的個人資訊。民法典第一千零三十五條規定,處理個人資訊的,應當遵循合法、正當、必要原則,不得過度處理,並符合下列條件:(一)徵得該自然人或者其監護人同意,但是法律、行政法規另有規定的除外;(二)公開處理資訊的規則;(三)明示處理資訊的目的、方式和範圍;(四)不違反法律、行政法規的規定和雙方的約定。消費者權益保護法第五十條規定,經營者侵害消費者的人格尊嚴、侵犯消費者人身自由或者侵害消費者個人資訊依法得到保護的權利的,應當停止侵害、恢復名譽、消除影響、賠禮道歉,並賠償損失。
倒賣公民隱私資訊的平臺是否需要承擔相關法律責任?對此,朱巍表示,這涉嫌違法違規銷售,按照電子商務法的規定,平臺對應知和明知平臺內經營者從事非法業務,平臺方有制止的義務,如果不履行此義務,平臺方將會承擔責任。同時,平臺要設立舉報渠道,售賣個人隱私涉及刑事犯罪,平臺應移交由公安機關處理,若沒有舉報渠道,平臺方也要承擔連帶責任。
此外,還要看售賣主體是誰,若售賣主體為平臺方,則毫無疑問,平臺方為違法者,如果平臺內經營者是售賣主體,則主要看平臺對經營者的行為是否知情,除此之外,還要看經營者是否留下真實的身份資訊,如果沒有,則按照電子商務法的規定,平臺方也要承擔連帶責任。平臺承擔的責任一方面是基於電子商務法中規定的電子商務平臺經營者責任,包括對平臺內經營者進行資質稽核、身份資訊的留存、違法違規情況的上報、對應知明知情況的負責等。基於網路安全法,平臺方有網路安全保障的責任,若平臺沒有履行網路安全義務,明知道經營者在售賣個人資訊而放任不管,則在一定程度上可認定為幫助犯罪。
鄭寧說,侵權責任法第三十六條第二款規定,網路使用者利用網路服務實施侵權行為的,被侵權人有權通知網路服務提供者採取刪除、遮蔽、斷開連結等必要措施。網路服務提供者接到通知後未及時採取必要措施的,對損害的擴大部分與該網路使用者承擔連帶責任。第三款規定,網路服務提供者知道網路使用者利用其網路服務侵害他人民事權益,未採取必要措施的,與該網路使用者承擔連帶責任。民法典也規定,網路服務提供者知道或者應當知道網路使用者利用其網路服務侵害他人民事權益,未採取必要措施的,與該網路使用者承擔連帶責任。電子商務法規定,電子商務平臺經營者發現平臺內銷售或者提供法律、行政法規禁止交易的商品或者服務,應當依法採取必要的處置措施,並向有關主管部門報告。各電商平臺應認真履行監督義務,運用大資料技術進行監控,及時發現和下架不合規商品,斬斷出賣人臉資訊的利益鏈條。
健全資訊保護制度
樹立資訊保護意識
對於隱私洩露售賣的問題如何根除,鄭寧認為,應從國家政府、企業、個人三方面抓起,國家應儘快完善公民生物資訊保護的法律體系,加快個人資訊保護法的立法程序,構建健全的個人資訊權利救濟和保護制度,明確收集、利用個人資訊的範圍;在執法方面,加大對企業非法收集和使用公民個人資訊的行政處罰力度,提高侵犯公民個人資訊的違法成本;在政府自身成為人臉資訊蒐集主體時,政府要有明確的法律依據並遵循合理必要原則,並限制公權力的過度擴張,儘可能較少對公民個人資訊權益的侵犯。企業在採集和使用人臉資料時,應該遵守以下幾個原則:使用者同意、資料合規使用、透明性、資料安全保護措施、隱私設計、準確性和使用者權利、問責制度。公民個人應樹立強烈的個人資訊保護意識,不隨便掃碼、註冊等。
在朱巍看來,想要解決隱私資訊售賣問題,首先要加大處罰力度,其次要將精準詐騙拔出蘿蔔帶出泥,即除了詐騙罪之外,還要看詐騙者是從哪裡獲取的公民個人資訊,要順藤摸瓜,考慮詐騙背後的問題。除此之外,還要引入新的技術,比如區塊鏈技術,區塊鏈技術可以相互驗證,每個資訊誰閱讀了,誰拿走了都是可以留痕的,最好用技術手段解決技術問題。另外,個人資訊,網際網路實名制等可以構建統一的網站去儲存,而不應該把個人資訊放在各個商業網站上,透過統一的網站儲存,變成EID,由國家統一管理則更好一些。
隱私資訊保護對公民自己來說至關重要,對於公民如何更好地保護自己的隱私資訊,鄭寧給出了以下幾條具體建議:第一,樹立強烈的個人資訊保護意識。在個人資訊有可能要被採集的時候,要儘可能詢問採的原因和用途,是否有合法依據,以及資料蒐集方對資料安全的保護措施。第二,不要隨便掃描二維碼,不要隨便把自己的驗證碼發給別人。第三,不要隨便加微信和點連結,不要在非正規的網站上註冊。
朱巍認為,一方面,公民不要隨便在“三無”網站上註冊資訊,不要隨便掃描二維碼,不要輕易點開他人給的連結。另一方面,一旦發現自己的個人資訊出現錯誤、受到更改、發生遺漏、或者超出了網站平臺使用個人資訊的範圍等情況,公民可按照法律規定舉報或向平臺提起訴訟。
朱巍提醒,對於個人來說,公民要學會行使登出權和安寧權。登出權是指公民不再使用某App時,不僅要解除安裝還要登出,以此消除App中的個人資訊;安寧權則指拒收廣告等權利。