尽管已时隔一年,今天一提起个人隐私泄露话题,很多人还是会立即想起徐玉玉——那个因电信诈骗而花季陨落的山东女孩。
就在不到一个月前,9月15日,山东省高院委托临沂市中院宣判并送达了第二审刑事裁定书,裁定驳回几名犯罪嫌疑人陈文辉、黄进春、陈宝生的上诉,维持原判。
这起因个人信息泄露最终导致的命案,也许是个极端案例。但越来越多的调查报告显示,当前公民个人信息遭受侵害的程度,已经到了令人触目惊心的程度。
为了推动互联网企业更加重视个人信息保护,形成社会引导和示范效应,带动行业个人信息保护水平的整体提升,由中央网信办、工信部、公安部、国家标准委四部门组成的专家工作组,近日对首批10款网络产品和服务的隐私条款评审。国家网络安全宣传周期间,《法制日报》记者就此次隐私条款评审相关话题对有关专家进行了采访。
2016年11月,在对全国100多万份调查问卷进行系统分析研究后,中国青年政治学院互联网法治研究中心和封面智库联合发布的《中国个人信息安全和隐私保护报告》显示:有多达81%的人收到过对方知道自己姓名或单位等个人信息的陌生来电;53%的人因网页搜索、浏览后泄露个人信息,被某类广告持续骚扰;在租房、购房、购车、考试和升学等个人信息泄露后,受到营销骚扰或诈骗的高达36%。
这些个人信息都是如何泄露出去的?除了网民自身个人信息保护意识不强外,很大程度上,与当前多数互联网企业的重视程度不高密切相关。
今年6月1日网络安全法实施前,南方都市报曾与中国政法大学传播法研究中心联合发布《用户信息保护政策透明度报告》披露:在参与测评的1000家网站与APP中,没有一个能够达到隐私政策透明度“高”的标准。其中,透明度“较低”和“低”的平台个数相加则多达806个,超过总数的80%,透明度为“低”的超过五成。
而在透明度低的548个平台中,更是有157个得零分,即不提供隐私政策。其中,教育文化行业问题最为突出,有32个平台没有隐私政策。这也许正是徐玉玉悲剧的深层次原因。
隐私条款到底是什么?为什么会引起四部委的重视?其对于互联网企业和用户的意义何在?
中国电子技术标准化研究院院长赵波认为,目前互联网企业搜集了大量的用户信息,而这些信息很可能会涉及一些商业用途的作用,这就牵扯到怎样搜集信息、搜集哪些信息等一系列问题,对此各方都十分关注。
赵波指出,近年来,我国政府部门越来越重视个人隐私保护,在网络安全法出台前,相关法律法规就有非常明确的要求,企业搜集个人信息要公开、透明、规范,要保障用户的自主权。
“其实,各家互联网企业的隐私政策里都有这些条款,只是很少有人认真看,在这种情况下,如何确保用户的主动确认权,把用户隐私控制权交给用户,这是我们希望互联网企业能够做到的,也是四部门此次开展隐私政策评估工作的原因。”赵波分析说。
根据法律规定,企业搜集哪些信息是允许的?赛迪网络空间研究所所长刘权认为,从国家政策引导上讲,企业在搜集用户个人信息时,须遵守正当且必要的原则。“比如导航,你可以搜集用户的位置信息,但不能搜集用户的通讯录信息。”他说。
刘权同时提出,除了要保障用户的知情权、不要过度搜集外,用户还应该拥有修改个人信息的权利。“也就是说,我将来有权限能够去撤销自己的信息,比如现在微信账号就是可以注销的。”
这个权利实际就是用户对信息的控制权。国家信息中心网络安全部副主任李新友介绍说,“比如你在卸载一个应用系统后,没办法要求服务商删除你的个人信息,这就跟有些互联网应用的押金很难退一样,你最多只能删除终端上的个人信息。”
“知情权和控制权,这两个权利是最基本的权利,尤其是后者,比较遗憾,这次在网络安全法中没有写进去,希望在将来的政策上能够给予支持。”李新友说。
采访中,多位专家都坦言,并不会因为有了网络安全法,互联网用户的个人信息就绝对安全了。
国家信息技术安全研究中心常务副主任李京春说,“不允许公司转卖个人数据,但是内部员工偷偷转卖,老百姓如何举证?”他指出,不是有了网络安全法就马上能立竿见影,其主要还是一个威慑作用。
除了举证难,鉴定也难。国家信息中心网络安全部副主任李新友透露,虽然目前从法律上已经许可电子数据作为证据,但电子数据的鉴定还是比较难的。
而在这样的“两难”背景下,目前此类案件的司法实践中,还存在“量刑过轻震慑力有限”的问题。
在此前由中国青年政治学院互联网法治研究中心和封面智库联合发布的《中国个人信息安全和隐私保护报告》中就披露:尽管当前针对个人信息的非法获取与利用的司法判决为数不少,但与个人信息泄露的普遍状况相比,并不成比例。特别是个人信息泄露与电信诈骗等犯罪活动结合之后,造成了重大的损失和巨大的社会影响,亟需加大惩处力度,增加犯罪成本,以切实起到威慑作用。
“我们做了一个案例数据库检索,只找到相关的40多个案例的判决书。而在这其中,只有5个案例是判决侵犯个人信息的罪犯是超过一年,超过两年的更是仅有两个案例。这样的比例也说明,目前刑法的量刑规定不是很高,在实践中震慑力还比较有限。这同样也印证了维权困难导致受侵害人维权意愿低下的观点。”该《报告》执笔人、中国青年政治学院互联网法治研究中心执行主任刘晓春说。
多位专家指出,要想真正遏制住非法倒卖个人信息行为,还需要综合治理。这其中,首先就是企业自身应切实履行起社会责任。
就在国家网络安全宣传周开幕前,由360公司承办的网络安全法治论坛在京召开。会上发布的《法律视角下的全球网安态势及对策报告》,在对今年5月爆发的勒索病毒攻击事件进行安全反思时指出,这起事件背后暴露出的一个问题,就是互联网企业重自身损失而忽略社会责任。
《报告》分析认为,用户信息泄露与网络运营者责任没有挂钩,导致修补漏洞成了企业额外的支出,而不是应尽的义务,内在动力不足是造成信息泄露这一问题的根源。因此,需要明确防止用户信息泄露是网络运营者的法律义务。为此《报告》建议,“如果出现个人信息泄露,不但应追究网络运营者的行政责任,也应赋予被泄露信息者主张民事赔偿的权利。”
“事实上,个人隐私数据的保护不仅涉及个人安全,还关系到国家安全。”中国信息安全认证中心主任魏昊指出,比如跨境电商,大量数据要出境,大量单个数据集合在一起就会形成海量数据,从而产生巨大价值,如果这些数据被泄露,就可能对国家安全造成损害。
针对目前普遍存在的企业超范围搜集信息问题,魏昊透露,“我们将来要对企业的数据保护能力进行认定。无论是提供数据服务还是数据分析,都既要有相应的技术能力又要有管理能力。”
事实上,在强化企业社会责任的同时,用户个人隐私保护意识也有待提高。甚至某种程度上说,普法比司法更重要。
对于未来,中央网信办网络安全协调局局长赵泽良提出自己的期望,“任何人任何组织都要对自己在网上的行为负责。只有政府负起责任,企业负起责任,给广大市民提供一个安全的网络环境,实现安全上网、放心上网,才能让网络真正造福每一个市民。”