leyu·乐鱼(中国)体育官方网站在对全国100多万份调查问卷进行系统分析研究后,《中国个人信息安全和隐私保护报告》(以下简称《报告》)近日发布。本次调研显示出,当前公民个人信息遭受侵害的程度,令人触目惊心。
《报告》披露:超过七成以上的人都认为个人信息泄露问题严重;多达81%的人收到过对方知道自己姓名或单位等个人信息的陌生来电;53%的人因网页搜索、浏览后泄露个人信息,被某类广告持续骚扰;在租房、购房、购车、考试和升学等个人信息泄露后,受到营销骚扰或诈骗的高达36%。
由中国青年政治学院互联网法治研究中心和封面智库联合发布的这份《报告》显示,有26%的人每天收到2个以上的垃圾短信,20%的人近一个月来每天收到两个以上骚扰电话。
《报告》还显示,在遭遇个人信息侵害时,经历邮箱、即时通讯、微博等网络账号密码被盗的参与调研者占40%,因在网站留下个人电话和注册网络金融服务而遭遇各类骚扰和诈骗的参与调研者都在30%以上,遭遇针对银行卡、信用卡和网络交易诈骗以及被“短信炮”、“拨死你”电信骚扰的参与调研者比例在20%以上,被冒充公检法、税务机关的不法分子诈骗、恐吓的参与调研者比例达19%,明确知道个人和家庭信息被贩卖、泄露的参与调研者比例达18%。
此外,即便最少的数据比例,即“个人隐私信息被网站公布”、“购买机票后收到航班异常的电线%受访者不知如何维权
在日常生活中,证件复印件、快递单和手机是泄露个人信息的重要载体。《报告》显示:有高达55%的人将证件复印给相关机构时,从不注明用途;47%的人经常将写有个人信息的快递单直接扔掉而不加处理;超过27%的人在停用、注销手机号的时候,甚至不去银行、支付宝、网站等变更绑定的手机号。
针对此次调查发现的问题,《报告》认为,尽管目前我国针对个人信息保护存在诸多法律规定,但基本都分散在效力层次不一的各种法律法规乃至规范性文件。因此建议,应尽快通过一部统一的个人信息保护法规,对相应法律进行系统化梳理和整合。
“我们做了一个案例数据库检索,只找到相关的40多个案例的判决书。而在这其中,只有5个案例是判决侵犯个人信息的罪犯是超过一年,超过两年的更是仅有两个案例。这样的比例也说明,我们刑法的量刑规定不是很高,在实践中震慑力还比较有限。这同样也印证了维权困难导致受侵害人维权意愿低下的观点。”《报告》执笔人、中国青年政治学院互联网法治研究中心执行主任刘晓春说。
中国青年政治学院副校长、互联网法治研究中心主任,最高人民法院刑一庭副庭长林维认为,应建构统一的立法框架、加大司法打击力度、确立顺畅维权渠道。“把关注的焦点从事后的惩处转移到事前的防范上来,从非法数据产业链的源头堵住数据泄露的可能性,才有希望从根本上治愈这一顽疾,迎来个人信息保护的蓝天。”
《报告》同时指出,实现健康市场秩序的具体模式,其构架可以通过建设“基础法律规范、行业通用标准、企业最佳实践”的架构来实现。
我国信息化建设的推进和互联网应用的普及,推动了社会大发展和新变革的同时,也为个人信息安全带来了新挑战。
对于公众,需要进一步清晰个人信息泄露造成的危害、掌握有效防范技能并树立维权意识;
法制建设方面,要改变现有个人信息保护法律法规过于分散的现实,建议尽快制定统一、系统的《个人信息保护法》,为公民维权、打击犯罪提供便捷途径;
从司法实践来看,应进一步强化打击的威慑力,重点打击以侵害个人信息生利的黑色产业链;
从信息相关产业和市场的角度,个人信息保护和合法使用,需要通过市场机制、社会共治的模式,充分发挥产业界技术优势和创新能力,通过产业界的自律和他律,促进健康有序的市场规范的形成,通过包括市场手段在内的多种手段惩戒、共治违法违规者,防止劣币驱逐良币的情况出现,推动形成个人信息保护方面优胜劣汰的良性筛选机制。
最高人民法院刑一庭副庭长“徐玉玉案”引发了全社会对个人信息泄露现状的高度关注和热议,但是个人信息泄露和保护问题由来已久,互联网的发展也使得个人信息的地下交易产业链更加隐蔽、难以追踪。
报告的后半部分主要关注产业界数据处理的规范构建,正是这种事前防范思路的反映。在个人信息获取、存储、利用的合规化处理方面,产业界相对于政府部门,拥有更加专业化的技术能力,也具有更强的规则体系建设的驱动力。报告创新性地提出建设“基础法律规范、行业通用标准、企业最佳实践”的治理构架,并结合征信机构等行业企业的实践,在符合法律法规最基本要求的基础上,梳理并勾勒出丰富、细致、生动的产业实践,呼吁设立行业标准,确立企业最佳实践的模板,推动企业以自律的方式承担起保护个人信息的社会责任,在获取、存储、利用个人信息的各个环节,都设立并贯彻严格的自律规范,通过技术手段的提高和安全规则的完善,截断非法泄露、滥用个人信息的源头,从而建立起个人信息合规利用的良性生态,进而推动数据产业的健康、有序发展。
个人信息安全已经成为当下中国社会最为关注的公共议题之一,尤其是自今年震惊全国的“徐玉玉案”发生后。更让人惊讶的是公安部门在此事件之后发布的相关数据。
如何解决这个困境?一个可行的举措是改变民事诉讼中的举证责任,将目前的“谁主张谁举证”改为“举证责任倒置”,即不是由原告提供证据来证明被告以不恰当的方式获得了个人身份信息;而是原告只要提供了被告联系其这一事实即可以被告非法获得身份信息为由提起民事诉讼,被告需要承担提供其合法获得原告身份信息的证明。这样一来,就会对哪些非法获得身份信息的机构和个人形成强烈的威慑效果。
因为现在个人身份信息的存储无处不在,个人没有能力来约束那些获得其身份信息的机构和个人,就必须通过举证责任倒置的方式,让那些有能力获得他人身份信息的主体妥善保管他人信息,也可以最大限度让所有的机构和个人只使用来自合法渠道获得的个人信息。不仅非法获取个人身份信息要承担责任,使用非法获取的个人身份信息也要承担民事责任,这样一来,就可以在源头上切断非法个人信息。
近年来,侵犯公民个人信息及其所滋生的侵害事件不断发生,扰乱了社会秩序,给群众人身财产安全造成巨大威胁,严重影响社会安定。震惊全国的“徐玉玉案”等一系列案件发生后,个人信息安全已成为全社会的重大关切。
我国信息化建设和大数据等信息产业的不断推进和发展,带动了各项社会服务日趋高效、便捷,群众生活水平持续提升,幸福感和获得感不断增强。但与此同时,信息的广泛应用以及人们对个人信息安全防范意识的薄弱,也给犯罪分子实施犯罪提供了便利条件。
目前,我国刑法将出售、非法提供、非法获取公民个人信息的行为认定为侵犯个人信息犯罪行为。按照公安部发布的信息,侵害公民个人信息犯罪引发的下游犯罪案件包括且不限于绑架拘禁、敲诈勒索、暴力追债、电信诈骗、网络诈骗、网络盗窃、非法调查等,甚至有不法分子利用非法掌握的个人信息以胁迫手段介入婚姻纠纷、财产继承、债务纠纷等民事诉讼。由于公民个人信息泄露导致的骚扰电话和垃圾短信更是为群众所深恶痛绝。
近年来,侵犯公民个人信息犯罪持续高发,其中以“徐玉玉被诈骗案”为代表的由于侵犯公民个人信息滋生的电信网络诈骗犯罪已给群众财产造成重大损失,严重影响社会安定。在今年8月19日召开的打击跨国电信网络诈骗案件通报会上,公安部刑侦局有关负责人介绍,2015年我国电信诈骗发案59.9万起,造成经济损失约200亿元;仅2016年上半年,电信诈骗发案就达28.7万起,造成损失80余亿元[1]。
执法机关面对侵犯公民个人信息犯罪行为从未手软。实际上,自2012年起,公安部就多次部署全国各地公安机关开展集中打击侵犯公民个人信息犯罪行动且收获颇丰。最近一次是自今年4月起、为期半年的打击整治网络侵犯公民个人信息犯罪专项行动,截至7月,全国公安机即关累计查破刑事案件750余起,抓获犯罪嫌疑人1900余名,缴获信息230余亿条,清理违法有害信息35.2万余条,关停网站、栏目610余个[2]。
但当前,侵犯公民个人信息犯罪呈现了屡打不绝且日趋专业化、团伙化、产业化的态势。在近日由公安部统一组织25省区市公安机关破获的一起特大侵犯公民个人信息案中,公安机关在一案中即抓获犯罪嫌疑人201名,铲除信息泄露源头42个,摧毁9个涉案地域广、涉案人员多、信息数量、种类及涉案金额大的侵犯公民个人信息犯罪团伙。
侵害个人信息犯罪行为的猖獗,引起了中央和国家的高度重视。近日,公安部、中央综治办、国家发展改革委、工信部等八部门联合发布《关于规范居民身份证使用管理的公告》,要求国家机关或有关单位应当建立健全公民个人信息安全管理制度,对在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息严格保密。对单位内部建立的公民个人信息存储系统,要严格设定查询权限,严格控制知悉范围;要强化技术防护措施,严防信息泄露或被窃取[3]。
为进一步加强个人信息安全法律体系的建设,于11月1日提请全国人大常委会进行二次审议的民法总则草案中,增加规定:“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息。”草案力图在对个人信息应用的源头和上游给予公民法律保护。2016年11月7日全国人大常委会通过的《网络安全法》在个人信息方面确立了重要的原则和规定,从法律层面为更加完善而系统化的个人信息保护立法奠定了良好的基础。
为充分了解及评估公民对于个人信息保护的关注点、关注程度和自身保护的能力,中国青年政治学院互联网法治研究中心与封面智库于2016年10月24日联合发起《你的隐私泄露了吗?——个人信息保护情况调研》问卷调查。覆盖全国各省、区、市,共回收问卷104万8575份。
通过对调研问卷回执的样本数据分析,本报告认为,当前人们对个人信息保护的社会现状安全感不高,超七成参与调研者认为个人信息泄露安全问题严重;民众遭受个人信息侵害程度高;个人信息安全防范意识不强为侵害行为提供可乘之机,半数参与调研者对于因证件复印和快递单造成的个人信息泄露无察觉,超六成参与调研者在更换手机和手机号时存在信息泄露隐患;个人信息侵害维权观念不强、常识不够、动力不足,仅有20%的参与调研者在发现个人信息遭受侵犯时,采取投诉、举报和报警等积极应对措施,六成参与调研者不知如何维权,近半数参与调研者认为维权困难。
在全部问卷回执中,针对“你觉得个人信息泄露问题严重吗”问题,有28%的参与调研者认为“没有感觉”,43%的参与调研者认为“严重”,认为“非常严重”的参与调研者占比达29%(见图1)。
在参与调研者的性别和年龄比例中,对于上述问题的看法没有明显偏差(见图1、2),这也可以说明,对于个人信息安全的焦虑并非特定群体的主观性偏差,具有社会普遍性。
垃圾短信和骚扰电话是个人信息泄露所引发的电信骚扰及诈骗行为。参与调研者中,26%每天收到2个以上的垃圾短信,20%近一个月来每天收到2个以上骚扰电线:参与调查人群对电信骚扰的反馈情况
在全国分布角度,来自西藏、宁夏、新疆、青海、甘肃等省区的参与调研者收到垃圾短信最少,来自上海、北京、重庆、江苏、天津等省市的参与调研者收到垃圾短信最多;在骚扰电话方面,最少的省区是黑龙江、新疆、西藏、吉林、宁夏,最多的省市是上海、北京、江苏、安徽、浙江(见图4)。总体上看,越是经济发达、社会网络化、信息化程度高的地区,电信骚扰密度越高。
问卷分析显示,在遭遇个人信息侵害时,多达81%的参与调研者经历过知道自己的姓名或单位等个人信息的陌生来电,因网页搜索和浏览时泄露个人信息的参与调研者占53%,经历邮箱、即时通讯、微博等网络账号密码被盗的参与调研者占40%,因房屋租买、购车、考试和升学等信息泄露,和因在网站留下个人电话和注册网络金融服务而遭遇各类骚扰和诈骗的参与调研者都在30%以上,遭遇针对银行卡、信用卡和网络交易诈骗以及被“短信炮”、“拨死你”电信骚扰的参与调研者比例在20%以上,被冒充公检法、税务机关的不法分子诈骗、恐吓的参与调研者比例达19%,明确知道个人和家庭信息被贩卖、泄露的参与调研者比例达18%,最少的数据比例即“个人隐私信息被网站公布”、“购买机票后收到航班异常的电线:个人信息、隐私受侵害行为类型调查
被问及被侵犯时没有维权的原因时,60%的参与调研者表示不知道怎么维权,56%的参与调研者是因资金等个人利益未受损而放弃维权,值得重视的是,参与调研者中有高达44%的比例选择了因维权程序太复杂、成本太高而放弃维权,另有34%的人是因缺少维权证据而无奈放弃。最为消极的是“维权成功也没有好处”选项,也有14%的选择比例(图11)。
值得关注的是,当被问及是否“愿意提供个人信息以获得更便利的服务享受”时,更多的人选择了“愿意”(图12)。这也充分说明,信息共享带来的便利是客观存在的,多数人并不赞同为保护隐私而过分限制信息流动。
问卷调研的结果已可以清楚显示出当前公民个体对于个人信息保护的观念、行动及能力的基本面貌:尽管人们对于个人信息安全普遍焦虑,遭受信息泄露侵害程度较高,但由于对于个人信息保护的常识不足,为不法分子留存了极大的侵害漏洞,而公民对于个人信息维权观念的缺乏和动力的不足,又客观上降低了不法分子违法犯罪行为的成本,加剧了侵犯公民个人信息犯罪的可能性。
值得关注的是,国家在政策与法规层面不断强化、在司法层面不断加大对侵犯公民个人信息犯罪的打击力度,但相当一部分社会个体在面对侵害时却保持了漠视甚至麻木的消极对应方式,而并未操起法律的武器与涉及自身的违法犯罪行为进行抗争。这一方面说明,针对个人信息安全的普法力度仍需加大,尤其是要使公民清晰掌握维权技能;另一方面也能够反映出个人信息安全维权的技术难度与不成正比的维权收益,使公民个体在维权中步履艰难。
2016年11月7日全国人大常委会通过的《网络安全法》在个人信息方面确立了重要的原则和规定,从法律层面为更加完善而系统化的个人信息保护立法奠定了良好的基础。其中第七十六条规定:“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。”这是首次在法律层面上确立了一般意义上“个人信息”的概念,为个人信息保护的体系化制度建设提供了起点。
另一方面,从促进产业发展的角度,该法明确了禁止向他人提供个人信息的例外情形,即如果是经过处理无法识别特定个人,并且不能复原的信息可以合理使用,这也是对国家鼓励和推动大数据产业发展政策的回应,这一规定将进一步推动数据产业的发展。
全国人大常委会于2012年12月28日通过的《关于加强网络信息保护的决定》,针对“个人电子信息”的保护作出了较为系统的规定,明确“个人电子信息”为“能够识别公民个人身份和涉及公民个人隐私的电子信息”,并对收集、使用、保存个人电子信息作出了系统性规范,还规定了违反义务的主体需要承担相应的民事、行政和刑事责任。这个法律性质的文件为个人电子信息的保护确立了相对全面的保护,也为其他领域的法律法规提供了可供参照的样板,被认为是目前最为重要的个人信息保护规范之一。
《消费者权益保护法》第29条规定了经营者收集、使用消费者个人信息时需要遵循的原则和承担的义务,即“应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。”经营者违反这些义务,需要承担民事责任和行政责任。这些规定与《关于加强网络信息保护的决定》中确立的原则和规则保持一致,对于消费者个人信息的保护及于线上和线下,适用范围亦十分广泛。
除了《消费者权益保护法》对消费者个人信息提供一般的保护之外,特定行业的法律法规规章也对其经营者提出了保护个人信息的要求,比如,《旅游法》规定,旅游经营者对其在经营活动中知悉的旅游者个人信息,应当予以保密;《征信业管理条例》系统而全面地规定了征信机构采集、整理、保存、加工个人信息的相应规范;《地图管理条例》规定了互联网地图服务单位在收集、使用、保存用户个人信息时需要承担的义务;《人民银行关于银行业金融机构做好个人信息保护工作的通知》针对金融机构的个人信息保护责任提出了系统化的要求;在金融、大数据、电子商务、电信、交通、教育、医疗等众多领域,都有相应的法规和规章来规定个人信息保护的内容。
《居民身份证法》规定,公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密;国家机关的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,需要承担民事、行政乃至刑事责任。《护照法》对护照签发机关及其工作人员、《出入境管理法》对履行出境入境管理职责的工作人员、《社会保险法》对社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构及其工作人员、《统计法》对统计机构和统计人员,都规定了类似的责任。
此外,任何人侵害个人信息的行为,还会面临行政责任。比如,对网络服务提供者违反规定的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布。(《关于加强网络信息保护的决定》第11条)
侵害个人信息严重的,有可能触犯刑法,构成“侵犯个人信息罪”。根据刑法第253条规定,违反国家有关规定,窃取或者以其他方法非法获取、向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。而违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚。
尽管我国目前并没有统一的个人信息保护法,但是并不能认为个人信息保护方面的法律法规有所欠缺,恰恰相反,通过一般性规范和具体规定相结合,社会生活中包括线上和线下的绝大部分领域,都已经有了个人信息保护的法律规范,侵害个人信息需要承担民事、行政乃至刑事责任。只是这些规范在形式上过于分散,对于普通民众和商家来说,都难以形成直观的认知,尽快通过一部统一的个人信息保护法,对其进行系统化梳理和整合,无论是从立法资源的节省、立法技术的提高、规则体系的优化,还是向民众普及个人信息法律保护的常识和意识来看,都存在必要性和合理性。
具体来说,通过制定个人信息保护法,在法律层面明确线上线下及跨境数据传输过程中的各类个人信息采集及使用的方式、范围及标准,并严格规范各类数据采集及使用主体在信息处理方面的细则,完善个人信息安全方面的保障要求与信息披露义务,以及针对个人信息权层面的相关权益保障要求,充分保障用户在信息层面的知情权、选择权、救济权、受尊重权及信息安全权在内的各项基础性权利。
针对个人信息的非法获取与利用的司法判决为数不少,但与个人信息泄露的普遍状况相比,并不成比例。由于个人信息获取、存储和利用的环节众多,线下和线上传播具有隐蔽性和复杂性,追本溯源成本很高,发现、查处难度大,处罚、赔偿力度小,同时获利空间巨大,执法现状为灰色产业链提供了巨大的投机空间。特别是个人信息泄露与电信诈骗等犯罪活动结合之后,造成了重大的损失和巨大的社会影响,亟需加大惩处力度,增加犯罪成本,以切实起到威慑作用。
在司法实践中,除了通过诈骗罪对电信诈骗人绳之以法之外,针对单纯的非法获取或出售个人信息行为追究刑事责任的案例也不在少数。常见的非法获取途径绝大部分是通过互联网获取、购买,内容包括电话号码、通话记录、交易订单、定位信息、身份证户籍资料、家庭地址等。但是,针对非法出售个人信息的判决却并不多见,由于刑法第253条之一规定非法出售或提供个人信息的主体限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,实践中此类人员被定罪并不多见。有法院将出售小区业主个人信息房地产公司的工作人员也列为犯罪主体[5]。单纯的侵犯个人信息罪的定罪量刑也较为轻微,大多为一年以下有期徒刑或拘役并处罚金,通常适用缓期执行。
值得关注的是,针对个人信息贩卖整个产业链展开的执法行动,通常能够实现切实效果。例如今年五月公安部督办的“5·26侵犯公民个人信息案”,打击了完整的黑色产业链,由“号主”团伙、“中间商”团伙、“出单渠道”团伙、“非法软件制作团伙”四层架构组成,其中“号主”团伙源头来自银行内部人员。
我国个人信息保护立法体系中规定了侵害个人信息的民事、行政和刑事责任。与刑事案件相比,民事案件的原告通常以侵害“隐私权”作为诉由,但能成功胜诉并获得赔偿者寥寥无几。例如,在消费者起诉移动通讯公司、机票预订平台等泄露个人信息的民事案件中,法院认为,被告并非掌握原告个人信息的唯一主体,无法确认被告实施了泄露原告隐私信息的侵权行为,亦即原告无法举证证明被告的泄露个人信息行为[6]。除此之外,即使在原告胜诉的案例中,由于无法证明经济损失或仅能证明极少的经济损失,原告可获得的赔偿金额很低。
个人维权还有一种途径是通过向行政机关举报,由工商行政管理部门等行政机关来进行查处。但是同样限于证据提供困难和个案的局限性,行政处罚对于贩卖个人信息形成的黑色产业链也是收效甚微。凡此种种,一方面无法对侵害人产生足够的遏制效果,另一方面,对于被侵害的个人信息持有者来说,也很难有动力去投入大量的精力和成本进行维权。
鉴于个人信息非法泄露与利用的普遍状况和严重危害性,目前司法实践中,无论是刑事处罚,还是民事追责,都存在着不成比例、无法匹配的现状。这与个人信息泄露本身的特殊息相关。从刑事打击上看,一方面立法应当加重量刑,增加威慑力;另一方面,执法行为应当向打击整个产业链倾斜,从针对某些具体个人的个别获取行为,转向对非法出售、提供、黑客侵入、贩售、软件设计等整个产业链的破获和打击,才能起到治标治本的效果。
从民事案件来看,根据现有的举证责任难度,对于技术复杂、环节众多的个人信息侵害行为,个人维权往往只能望洋兴叹。而个体案件中如果没有造成严重的损害,个人也往往没有动力去展开成本颇高的个人维权行动。因此,对于个人而言,通过事后个案维权保护个人信息的机制,成本过高而收效极低,更为重要的是尽可能采取预防措施,实现防患于未然。产业和社会也有责任向个人提供预防性、保护性技术措施,在获取个人信息的源头尽可能支持个人获得保护自己个人信息的能力和知识。
在大数据产业迅猛发展的浪潮中,个人信息作为数据信息的核心内容,面临着采集、存储、加工、使用各环节的规范化问题。这一命题是整个产业的问题,也同样是全社会面临的问题。司法、行政部门的执法、监管,应当作为个人信息保护的最后一道屏障而存在,如若期望公权力全面彻底治理这一社会化的大问题,并不合理,亦不现实。个人信息保护和利用的问题,需要通过市场机制、社会共治的模式,通过产业界的自律和他律,促进健康有序的市场规范的形成,通过包括市场手段在内的多种手段惩戒、共治违法违规者,防止劣币驱逐良币的情况出现,推动形成个人信息保护方面优胜劣汰的良性筛选机制。
市场上涉及个人信息处理的行业众多,其中征信行业是以机构和个人信息作为其主营业务内容的机构。经过对于市场实践运作的调研和考察,可以观察到目前征信行业在个人信息保护方面的法规相对完善,明确规定了个人信息采集、处理、输出等方面的要求,并构建了比较全面的用户权益保障措施。而规范化经营的征信机构在个人信息保护方面的实践也走在各行业的前沿,具有很强的典型性和代表性。鉴于征信行业在个人信息处理和保护方面的典型意义和借鉴价值,本报告选取征信机构为模板来考察个人信息保护机制,对征信行业的多家机构进行了调研和访谈。其中,征信指的是“对企业、事业单位等组织的信用信息和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。”征信机构是“依法设立的,主要经营征信业务的机构”。
个人信息涉及到与识别个人身份相关各个方面的信息,采集、存储、利用个人信息应当符合“目的明确原则”和“合法必要原则”,即范围应当仅及于业务所需之必要信息。以征信行业为例,《征信业管理条例》对于征信机构采集的个人信息,设有禁止性和限制性两类:第一类禁止采集的包括:个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息;第二类必须明确告知信息主体不良后果并取得其书面同意的信息包括:个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。
作为基础法律规范的规定,征信机构都有必要严格执行,建立技术上和管理上可行的机制,不采集禁止性信息,对于限制性信息应当自觉履行相应告知和同意获取程序。在此基础上可以发展出相应的行业标准,约束征信机构的行为。实践中,芝麻信用、华道征信等机构都遵照法律规定,对禁止性信息和限制性信息分别建立内部制度规范,使法律规则得以落地。
此外,在这两类敏感信息之外,征信机构针对用户其他个人信息,亦可基于其实践状况发展出其他自律规范,形成企业最佳实践。例如以手机app等软件为例,芝麻信用等企业建立内部信息采集规范,只采集与评估用户信用状况有关的信息,而不采集用户的聊天、通话等个人隐私信息,不得追踪用户在社交媒体上的言论信息。
包括《征信业管理条例》在内的众多法律法规都要求采集和利用个人信息需要经过信息主体的授权。但实践中由于存在个人信息利用的众多环节,初始采集时的授权往往不能匹配后续各种利用环节,因此法规中的原则性规定,需要有细化的行业标准和企业自律规范来加以落实。
在征信数据利用过程中,可能涉及到信息采集者、提供者(其中包括采集者)、整理加工者、存储者以及查询者、使用者。授权通常发生在信息初始采集时,但当后续使用需求与初始授权不匹配时,需要使用者启用相应的核实授权机制重新授权。例如,芝麻信用通过技术手段的持续开发,让用户直接与征信机构发生授权交互确认,保障授权的有效性。
征信机构在与上下业展开合作时,也可以通过建立相应的机制来确保授权的全面有效性。例如,芝麻信用对于上游的信息提供者进行资质审核,包括对其数据安全保护能力等方面进行评估,只选择接入符合特定条件的信息提供机构;华道征信在各项业务中对信息提供者进行合法性审查,与个人信息提供者签署的合作协议中明确约定其信息采集、使用规则和义务,如信息使用者必须对个人征信授权书中的重点内容进行了加黑、加粗处理,以起到显著性提示的作用。
企业在实践中还探索建立了各具特色的对于合作商户的监控和筛选机制。如芝麻信用在合作伙伴的选择上实行类似于“黑名单”制度,设立了外部舆情监测机制,一旦发现合作商户存在信息泄露或违法违规采集/输出用户信息的情况时,会及时评估事件对用户信息安全造成的风险或潜在威胁,甚至决定中止或终止与合作商户的合作。华道征信的同业征信服务系统建立了后台监测系统,实时监测信息使用客户的查询行为,对于疑似存在异常查询行为的客户及时进行重点监控,要求该客户提交若干笔查询所对应的信息主体授权书,必要时会安排现场调查。
征信机构在存储和加工个人信息过程中,承担着建立严格内部制度保障信息安全的法定义务。《征信业管理条例》规定,征信机构应当建立健全和严格执行保障信息安全的规章制度,并采取有效技术措施保障信息安全;应当对其工作人员查询个人信息的权限和程序作出明确规定,对工作人员查询个人信息的情况进行登记,如实记载查询工作人员的姓名,查询的时间、内容及用途。工作人员不得违反规定的权限和程序查询信息,不得泄露工作中获取的信息。
芝麻信用内部流程管控制度及配套的权限管理系统包括根据信息的敏感程度不同进行相应的分级管理等。保证数据从采集开始直至输出,任何数据的访问使用都有必须经过特定的审批流程并保留相关记录信息,避免非必要的用户信息接触行为。此外,机构持续根据业务实际情况,不断对上述制度及技术实现进行优化完善,以保证制度及流程的可执行性,避免实际操作与信息安全保障要求相脱节的情况发生。
华道征信成立了内部信息安全委员会,制定了相关制度及规范,细化了安全检查与审计管理制度、信息系统人员安全管理规定、信息安全培训和考核管理规定、信息系统安全事件报告和处置管理制度、应急预案管理流程等一系列安全管理制度等一系列信息安全管理制度,明确了有关部门信息安全管理工作职能,并对系统管理员、网络管理员、安全管理员、数据管理员等关键岗位制定了明确的职责分工、业务权限、操作规程,对工作人员查询个人信息的情况进行登记,确保各项制度流程有效实施。
实践中,将个人信息进行匿名化处理,是保护个人信息特定主体的重要手段。在征信机构的实践中,出现了避免输出原始可识别身份信息的策略,例如,即使在用户授权的前提下向合作商户输出信息,芝麻信用通常情况下不会直接输出用户的原始或明细信息,或者传统信用报告,而是经过加工后的信用标签或变量信息。这样的信息输出策略,尽可能避免了输出用户明细或原始信息可能给用户造成的风险,以及合作商户端万一发生信息泄露情况下,尽量降低可能对用户信息安全造成的影响,是值得称道和推广的业内重要实践。
尽管法律法规并没有对危机应对作出具体规定,但是出于企业社会责任的需要,征信机构在数据泄露应急处理方面亦有可为之处。实践中,芝麻信用等机构建立了信息泄露应急处置预案,并不定期进行应急演练,从而保证在极端情况下发生信息泄露时,可能顺序定位到信息泄露的原因及问题所在,并在最短时间内进行处置与控制信息安全风险,以争取将信息泄露风险控制在最低程度。通过信息泄露的应急演练,征信机构可以不断就自己在信息安全保障方面存在潜在风险点进行不断识别、优化完善,从而提高自身信息泄露风险防御能力及水平。华道征信通过网站综合监控管理平台实时监控外部攻击和风险,定期开展漏洞扫描、挂马扫描、篡改扫描等安全监测工作。每年都邀请第三方安全机构进行专业风险评估,对于发现的漏洞和风险问题在第一时间进行修补和解决,有效降低受到外部攻击所导致的各种风险。
从征信机构的行业实践来看,在“基础法律规范、行业通用标准、企业最佳实践”的架构下,尽管基础法律规范仅仅作出原则性和目标性的规定,但是在环节繁多、技术复杂的征信行业中,要想真正将法律规范落到实处,还需要建立全面、细致、依赖先进技术手段的行业标准和企业自律规范。通过行业主体的自律行为,建构良好的个人信息处理规范,并建立快速、准确的信息披露和评价机制,使得违规者无处遁形,避免劣币驱逐良币现象,建设个人信息保护领域优胜劣汰的良性竞争环境。
互联网的发展带来社会变革的同时,也为个人信息保护带来了巨大的挑战。本报告整理并总结了一百余万份调查问卷反馈数据,并针对现有的立法体系、司法现状进行了梳理和总结,探讨了个人信息保护存在的主要难点和障碍。最后,本报告把关注的焦点投向以征信行业为代表的产业实践,通过评估和总结具有代表性的企业自律规范,提出通过“基础法律规范、行业通用标准、企业最佳实践”的治理架构,来实现线上和线下的全方位、各环节共治,针对个人信息保护问题实现既治标又治本的理想目标。
根据一百余万份调查问卷的反馈数据,目前个人信息侵害体现出明显的范围广、危害大的特征,大部分受访人群都认为存在个人信息泄露的情况,而由个人信息泄露导致的恶性犯罪行为亦在舆论中不绝于耳,使得个人信息侵害成为一个普遍性的严重社会问题,近年来的泄漏事件,危害范围之广,程度之深,令人触目惊心,而且存在愈演愈烈的发展趋势。
与个人信息泄露和侵害范围和危害程度恰成反比的,是普通民众的自我保护认知、维权意识和维权能力都严重偏低,对于自身个人信息的泄露途径、方式等缺乏基本知识,在日常生活、消费中无意间为个人信息泄露大开方便之门。在个人信息受到侵害或者可能受到侵害时,对维权行为意识淡薄,动力不足,能力低下。其中维权渠道缺乏、成本过高、难度过大、收益过小构成主要原因。因此,一方面应当针对普通民众进行大规模的个人信息保护观念、知识宣传,帮助其提高自我保护意识和能力,从源头上对个人信息泄露进行防范;另一方面,对个人信息侵害问题的治理,很难主要依靠受侵害者通过个人维权的途径得到妥善解决,而应当进行更加行之有效的制度和规则建设。
通过对于我国目前立法现状和司法实践的考察,目前的法律框架和司法打击力度都存在改善的空间。从立法模式来看,针对个人信息保护存在诸多法律规定,但基本都分散在效力层次不一的各种法律法规乃至规范性文件。本报告认为,应尽快通过一部统一的个人信息保护法规,对相应法律进行系统化梳理和整合,这无论是从立法资源的节省、立法技术的提高、规则体系的优化,还是向民众普及个人信息法律保护的常识和意识来看,都存在必要性和合理性。
针对个人信息侵害的司法打击尽管已经投入大量资源,但是现有的司法投入仍然不能对个人信息侵害造成足够的威慑,尤其是专门规定个人信息侵害行为的刑法条文量刑偏轻,而单纯针对局部环节的个人信息侵害行为进行处罚,仅能治标而无法触及根本。从源头堵截个人信息泄露的行动已有展开,但尚存不足,对于打着“大数据”之名而行非法数据利用之实的个人信息黑色产业链,缺乏全面有效的打击和惩处措施。从民事诉讼来看,由于个人信息侵害在技术上存在高度复杂性,而且环节众多,被侵害人在实践中极少有可能举证证明侵害行为究竟在哪个环节发生,以及准确的侵害主体,因此通过侵权诉讼来主张权利难度极大。这也同样印证了第一个结论中维权困难导致受侵害人维权意愿低下的观点。
个人信息侵害与保护,作为一个影响宽泛的社会问题,法律上的治理和打击应当作为最后一道屏障,如果希望司法和行政机关来解决全部问题,并不现实。对于个人信息侵害的治理,更加根本的方法应当是采取防御性为主的模式,通过线上和线下各环节的规范来堵住个人信息泄露的源头,防患于未然。尽管互联网成为个人信息非法传播的主要途径之一,但是个人信息泄露的某些重要环节并不一定全部在互联网上完成。从问卷反馈和实践调研数据看,相当比例的个人信息采集源头是存在于现实生活中,比如刑法条文中规制的金融、电信、交通、教育、医疗等单位,以及线下物流快递等等渠道。因此,个人信息侵害问题的治理,并非单纯互联网问题,而是需要线上与线下各个环节共同治理。对于采集、存储、处理、使用个人信息的企业而言,应当首当其冲承担保护个人信息的社会责任,在规范自身个人信息使用行为的同时,也要尽可能向个人提供预防性、保护性技术措施,在获取个人信息的源头尽可能支持个人获得保护自己个人信息的能力和知识。
对于打着“大数据”旗号而行个人信息侵害之实的黑色产业链,应当不遗余力予以打击,但是与此同时,对于获得了合法经营资格、严格守法自律的数据处理企业,应当进行充分的肯定和鼓励,并使普通民众和消费者对此获得充分了解。不能因为存在违法的数据黑色产业链就对数据行业“谈虎色变”,应当建立完善的市场信息和信誉机制,为合法合规、严于自律的企业和机构确立正面声誉,解决信息不对称问题,将其与黑色产业链明确区隔开来,从而避免劣币驱逐良币的恶性竞争,促进数据产业的健康、良性、有序发展。
个人信息侵害治理面临着技术上、操作上、制度上的众多难题,需要通过社会共同治理方能治标治本。在理想的社会共治体系中,起到核心作用的还应当是从事个人信息处理的行业实践。考虑到个人信息发生泄漏后的涉及面较广,产生的危害具有持续性等特点,除建立相应的内外部管理规范外,相应企业还应当不断强化技术安全防护能力,以最新的技术手段筑造保护个人信息的铜墙铁壁。与此同时,也建议具体的行业监管部门结合企业实践,尽快出台相应行业部门规章,细化规范信息采集、处理、及披露的具体标准,推动行业标准的形成,并鼓励形成并推广企业最佳实践模板。只有涉及到个人信息采集、存储、加工、使用等行为的企业真正洁身自好,严格自律,建设完整而细致的内部和外部管理规范,才能真正破除个人信息侵害乱象,净化个人信息保护空间。
本报告以征信行业为例,深入考察了征信行业保护个人信息的企业实践与典范,倡导建立“基础法律规范、行业通用标准、企业最佳实践”的治理架构,根据芝麻信用等征信机构形成的实践样本,建立个人信息分类保护、全面落实用户授权机制、严格规范内部管控流程、完善泄露危机应急预案,建议根据行业实践推动确立行业通用标准,并推广企业最佳实践。
本报告期望,通过市场机制、社会共治的模式,通过产业界的自律和他律,促进健康有序的市场规范的形成,通过包括市场手段、法律手段在内的多种方式惩戒、共治违法违规者,防止劣币驱逐良币的情况出现,推动形成个人信息保护方面优胜劣汰的良性筛选机制,最终实现从根本上、源头上遏制个人信息侵害的治理目标。Ω
中国青年政治学院互联网法治研究中心(CIL)隶属于中国青年政治学院法学院,致力于互联网法律和政策相关的前沿问题和基础理论研究,研究团队涵盖互联网知识产权、平台责任、刑法、竞争法、行政法、电子证据等专业领域,通过课题研究、产业调研、系列沙龙、开放论坛等方式与互联网理论与实务界展开合作,为立法司法、政府决策、产业发展提供研究支撑,立足于为互联网领域搭建沟通交流的平台,促进产业界、理论界以及从事政策制定、执行、司法裁判的相关机构形成持续对话、良性互动和共同研究的长期机制。
封面智库是封面传媒成立的思想库。封面智库立足北京,是以“一带一路”和长江经济带战略发展为主题的综合研究平台,是新媒体时态下的创新经济研究、服务平台,集聚全球权威学者、政府官员的智库网络。封面智库依托封面新闻的舆论影响力和大数据资产积累,致力于通过封面系列论坛打造高端品牌和政商影响力,发布 “一带一路投资指数报告”、企业“走出去”舆情报告、“互联网+”及“工业4.0”行业报告等综合性年度报告,旗下拥有封面系列研究报告、封面系列论坛、“封面思享+”沙龙、“智库专访”、“封面大讲堂”等品牌产品。
[1]公安部官网,《人民日报:电信诈骗既要能打,也要能防》,2016年9月21日 //
JD Power:汽油车的平均PP100指数为187 混合动力车为191
Canalys:2023年全球畅销机型出炉 iPhone14 Pro Max销量达3400万部位列第一
吸烟致癌添新证!science子刊最新研究:超1.2万人数据表明吸烟导致癌症相关DNA突变,破坏了抗癌防护机制
我们致力为中国互联网研究和咨询及IT行业数据专业人员和决策者提供一个数据共享平台。