个人隐私成公开秘密,公共机构是泄露主渠道
“请问是宝宝爸爸吗?首先恭喜您生了个龙宝宝……”最近,王先生已经对这种推销电话不胜其烦,儿子刚刚出生不到三天,就已经接到保险公司、奶粉公司、宝宝摄影、喜蛋公司等各式各样的推销电话。
然而,让他感到担心的是,不仅是电话号码,连家庭地址都被泄露出去了。家里的信箱经常收到保险公司寄来的保险计划,一些儿童摄影公司干脆直接登门拜访,兜售各种相册。王先生愤愤地说:“这真是让人感到没有安全感,就别说什么隐私了。”
重庆律师协会会长韩德云说,当前,所谓个人信息泄露,不仅仅是私人电话号码被别人获知这么简单。家庭住址、身份证号码、银行卡号码等属于隐私范畴的个人数据,都已成为兜售的商品。
曾在调查公司做过兼职工作的大学生孙铭丽告诉记者,在街头做问卷,调查者一般要求对方留姓名和联系方式,这些个人资料有时就成了调查者手中的“商品”。此外,各类商家针对消费者推出的会员卡、优惠卡、打折卡也是个人信息泄露的重要渠道。
“从国际社会的经验以及从我们国家各种渠道反映的情况来看,那些公共企事业单位,比如银行、医院、通讯公司、保险公司等,往往是个人信息泄露最主要的渠道。”中国社会科学院法学研究所宪法与行政法研究室主任周汉华分析,因为这些机构要提供公共服务,或者要履行法定职能,就自然地拥有大量的个人信息。如果管理不严,这些信息很容易被机构从业人员泄露出去。
信息诈骗防不胜防,犯罪“黑洞”令人警惕
“个人信息被泄露后,如果被非法利益集团盯上,可能导致经济损失,如谎称‘你孩子被绑架’、诈问‘猜猜我是谁’等等,先让你上当,然后要你钱。”北京启明星辰信息技术股份有限公司数据防泄密专家吴鲁加告诉记者。
据了解,信用卡领域成为个人信息泄露最为严重的领域之一,许多人都曾遭遇信用卡被盗刷事件,财产损失严重。上海市高级人民法院发布的“2011年度金融审判系列白皮书”显示:据统计,去年上海各级法院共收到信用卡诈骗犯罪案件955件,占全部金融犯罪案件的8成以上。其中,持卡人的个人信息泄露被犯罪分子利用是重要原因之一。
顾刚曾是南京一家银行信用卡推销员。他告诉记者,市民办理信用卡时都会被要求递交详细资料。按约定,银行方面应该将这些个人资料密封保管。但事实上有的银行并没有按规定做,员工可以随意查看或复印客户个人资料。一些员工在跳槽时甚至会带走或出售客户资料。
今年央视“3·15”晚会曝光,部分银行工作人员通过中介向外兜售客户个人信息将近3000份,造成损失达3000多万元,说明个人信息泄露已经不只是涉及隐私的问题,而是切切实实成为犯罪的“黑洞”。更令人担忧的是,除了侵财型犯罪,个人信息泄露也容易被特定目的犯罪分子利用,进行其他刑事犯罪活动。
虽然有关部门对信息诈骗进行了严厉打击,但利用个人信息诈骗的花样仍在不断翻新。2011年,四川音乐学院应届毕业生马丹妮先后在一些网站提交了个人简历,在“备用联系方式”一栏,马丹妮写上了父亲的联系方式。
一星期后,马丹妮父亲接到一个自称“派出所民警”打来的电话,称马丹妮在外地发生了交通意外,“等钱救命”。与此同时,马丹妮不断接到陌生来电,电话那头却听不到任何声音。父亲拨打马丹妮电话一直占线,救女心切,便赶紧将8万元现金打入对方提供的银行账号。直到马丹妮电话打通,他才意识到这是一场精心设计的骗局。(记者 闫鹃 蔡玉高 南婷 王涛)
个人信息买卖利益链形成的背后
个人信息频频被买卖、普通民众屡屡遭诈骗,究其原因,就是由于其背后存在着灰色的利益链。但是,个人信息泄露屡禁不止,除了经济利益驱使之外,公民信息保护意识缺乏、相关法律机制不健全、行业监管乏力等也是导致此类案件频发的重要原因。
利益驱使信息买卖盛行
“在信息时代,信息能够带来巨大的经济利益,正是因为这个原因,才导致一些不法分子置法律于不顾,通过滥用个人信息来谋取巨额利润。”中国社会科学院法学研究所宪法与行政法研究室主任周汉华认为。
“低成本、高收益,暴利才是信息泄露的根源。”工业和信息化部计算机与微电子发展研究中心副主任高炽扬亦有同感。正是存在恶意利用个人信息的不正当行为,才导致该产业存在一个环环相扣的利益链条,而其中的暴利诱使一些人铤而走险,从组织内部非法获取信息。
相关调查显示,黑客盗取个人信息后,可以直接侵入别人账号、邮箱而获取有用的信息,也可以打包销售。购买者主要用于网络推销、电信垃圾广告、电商垃圾邮件等。交易非常简单,在网络上有专门的地下黑客论坛或QQ聊天交易,1万个账号卖50元,而掌握这些信息的黑客,手里往往有上百万个用户信息,可以多次销售给不同的人,获利非常大。
公民信息保护意识缺乏
相关专家认为,个人信息被泄露、盗用和滥用,与许多人的个人信息保护意识不强有直接关系,他们经常会在有意无意间将个人信息泄露出去。譬如,有的人接受了陌生人的问卷调查,在对方的要求下,留下了姓名、电话、职业、工作单位等信息;还有的人在办理消费会员卡时,不假思索地填写真实详尽的个人信息,这些个人信息,有可能因为商家的管理不善或者恶意泄露而被盗用。
北京盈科律师事务所律师吴宇表示,目前我国互联网行业发展迅猛,但是我国网民在互联网使用过程中对个人信息保护的意识还很淡薄。吴宇认为,在保护个人信息的相关法律法规尚不完善的情况下,提高保护意识才是杜绝个人信息泄露更为重要的方法。
他提醒说,公众在商场、宾馆等场所消费时最好不要留下个人信息,如果确有需要留下个人资料,必要时应与对方约定保密责任。在办理一些必须提供自己个人信息的社会事务时,可以与接受信息方约定保密条款,要求对方不得将个人信息透露。一旦发现自己的个人信息被泄露且造成不良后果时,应注意及时搜集证据,为维权做好准备。
互联网安全企业“奇虎360”公司副总裁石晓虹认为,当知名网站CSDN遭遇“泄密门”之后,网民掀起了一股“今天你改密码了吗”的行动,在一定程度上也反映出用户个人平时对网络账户管理和信息安全不够重视。一些网民出于使用方便,对网络账户密码设置非常简单,或使用单一重复的数字密码、或使用自己名字的拼音等,使得不法分子可以轻易盗取。
个人信息保护机制不健全
据了解,在个人信息安全方面,目前我国并无一部专门、权威的法律。个人信息保护法自2003年起已部署起草,但这项立法建议一直未能进入正式的立法程序。
周汉华表示,就保护网站用户个人信息安全而言,刑法修正案(七)、侵权责任法乃至居民身份证法等相关内容均有涉及,但相关规定条款过于分散,可操作性差。对于如“个人信息”、“违反规定”等关键概念界定不清,在执法过程中,财大气粗的运营商往往有较强的影响力,易形成现实的执法困境。即便发生信息泄露,用户个人在追究运营商民事责任的时候,也存在举证难等问题,诉讼成本高、收益低,当事人很难依法维权。
“在个人信息保护方面,国内立法确有不足,现在的保护更多依靠的是行业自律和企业与个人之间的合同约定。个人如果因个人信息被泄露诉诸法律,按照民事诉讼法‘谁主张谁举证’的原则,很难有胜算,也很难判断损失。”上海社科院法学研究所研究员江锴告诉半月谈记者。
评论员吴秋余说,目前,我国涉及保护个人信息的法律大大小小虽有近40部、法规30多部、规章近200部,然而,这些法律规范更多是从事后救济的角度对公民个人信息提供保护,公民需要支付的维权成本非常高,难以从根本上防范个人信息被非法使用的行为。所以,个人信息领域的违法行为始终屡禁不止,甚至愈演愈烈。
工业和信息化部科学技术情报研究所副所长刘九如表示,当前涉及个人信息保护的法规中,金融、电信等领域的相关规定较为具体,而对职业中介等一些机构的个人信息保护规定则比较缺失。“一家网站往往标榜用户的信息在自己这里很安全,但说起来容易,做起来非常难。”
吴宇告诉半月谈记者,他从事律师职业已有10年,但至今还没有接到一起举报个人信息被泄露的案例。这一方面说明公众的维权意识还不够,但另一方面也反映出由于相关法律法规不明确,导致信息泄露案件取证及责任认定非常困难。
行业监管乏力存在漏洞
“机动车销售、房产中介、医院等行业及其从业人员往往有机会接触、掌握大量公民个人信息。这些行业虽然有内部系统出台的关于个人信息的查询规范、查询电子信息备案及保护工作意见等,但由于部分从业人员法律意识不强,企业管理、执行不到位等情况,存在制度漏洞。因此,这些行业成为个人信息泄露的‘重灾区’。”甘肃中立源律师事务所律师杜泓违分析。
上海泛洋律师事务所高级合伙人刘春泉认为,目前,有很多案例表明,的确存在互联网公司员工主动泄密以获得非法报酬的情形。而从事后追惩看,大多数只针对个别员工,并没有针对企业负责人进行追惩,达不到实质性的惩处效果。
周汉华表示,从其他各国情况来看,建立一个独立、统一、权威、有效的监管机构是普遍经验,它能够超出行业的局限,独立公正地执法。“在我们国家,个人信息保护目前仍然处于各自为政的状态,某种程度上说,管理者和被管理者并没有严格地区分开,管理部门和被管理对象处在同一个行业,很难完全客观、公正地进行执法。”(记者 蔡玉高 南婷 闫鹃 叶前)
捍卫个人信息安全刻不容缓
面对日益严峻的个人信息泄露问题,许多业内专家学者表示,加强个人信息保护势在必行。他们建议,需从立法、文化、技术等多个方面入手,捍卫个人信息权。半月谈记者采访了解到,目前,从中央到地方,对此问题予以高度重视,并进行了许多行之有效的积极探索。
个人信息保护立法亟待提速
“在美国和欧洲很多国家,对隐私、个人数据的保护都有专门的立法。目前,对于个人信息的立法保护,我国还缺乏这样一部专门的法律。”中国传媒大学政法学院教授王四新表示。
单独立法保护公民个人信息,已是大势所趋。周汉华告诉记者:“单凭一句笼统抽象的‘违反国家规定’,而没有具体的行政法律法规作为指引,在实践中,给如何认定出售、提供、获取公民个人信息行为的‘非法性’造成了很大困难。”
北京邮电大学亚太网络法律研究中心教授刘德良建议,法律必须承认个人信息是一种财产,属于个人所有,具备商业价值。这样,一旦侵权行为发生,受害人就可以要求商家承担财产责任。从实际操作来讲,未来的立法可以预先规定一个法定的赔偿数额,这个数额的设定要考虑到侵权行为的成本和受害人维权的成本等因素。
工业和信息化部提供的资料显示,由全国信息安全标准化技术委员会提出并归口组织的《信息安全技术、公共及商用服务信息系统个人信息保护指南》,在中国软件评测中心等30多家单位的共同努力下已经编制完成,现已作为指导性技术文件通过全国安全标准化技术委员会主任办公会审议,正按照国家标准审批程序上报国家标准化管理委员会批准。据了解,该指南旨在提高个人信息保护意识,规范个人信息的处理行为,促进个人信息的合理利用,保护个人合法权益。
周汉华认为,这是我国首次制定类似的行业标准,比较全面地规范了个人信息处理的全流程活动,将有效促进转变个人信息保护观念,提高个人信息保护意识。但同时这个指南还只是一个推荐性的标准,其实施取决于相关行业主体的自愿配合,从某种程度上说,缺乏一定的强制力。
半月谈记者采访了解到,为保护个人信息安全,我国一些地方进行了积极的探索:深圳市近期拟为互联网信息服务安全立法,发布《深圳经济特区互联网信息服务安全条例(征求意见稿)》,如果网站擅自收集用户身份信息、改变信息用途、泄露或者转让用户信息将被罚款10万元;北京市在清理整治网络黑市的“春风行动”中,不到两个月的时间内破案千余起,清理网上违法信息20.8万余条,保护了公众的信息安全。
技术手段落实保障,文化心理不容忽视
移动互联网安全公司“网秦”首席安全专家邹仕洪认为,除了加快立法之外,文化、心理、技术等多个层面都是保护个人信息权的重要着力点。通过技术手段可落实保障,如构建信息安全平台,为用户提供保护信息安全的产品。其中可能遇到的问题在于产业上下游的合作力度,以及技术信息的共享限度,因为步调不一可能会影响整个安全保障体系的平衡,并存在潜在的技术隐患。
邹仕洪认为,通过文化可以传递信心,将守护个人隐私且不窥探他人隐私作为一种社会美德。比如少数媒体为博人眼球,以可窥探别人的隐私为诱惑,通过曝光名人秘闻来骗取点击或购买其报道内容。在此种“文化”熏陶下,用户如果长期浏览该类信息,心理上便会出现扭曲,进而形成窥探他人隐私的习惯。应呼吁用户从自我做起,杜绝不良的猎奇心理。
高炽扬认为,对个人信息进行保护,除了法律的监管,还需要安全管理技术的提高。应加强网络安全防护,依据分区域、按等级、多层次的防护思路进行安全规划、安全评估、安全加固与安全维护,并且对已有的安全技术进行改进与完善。
高炽扬建议,我国应尽快筹建专门机构进行监督,并加快建立统一规范的网络认证标准体系,从技术角度降低个人信息被盗用的风险。
公众信息保护意识有待提高
专家认为,互联网企业要强化自律,加强技术和管理,普通大众也要提高个人信息安全保护的意识和能力,防范网络行为可能带来的潜在风险。中国软件评测中心常务副主任黄子河说,公众可根据个人意愿来提供信息,发现个人信息泄漏,要积极向信息管理者提出投诉。只有大家都参与进来,个人信息保护工作才能更好地推动。
中国社会科学院法学研究所课题组的调研显示,面对日益严重的个人信息滥用状况,仅有4%左右的公众进行过投诉或者提起过诉讼。其中,仅有8.1%的人通过投诉或者诉讼获得了救济或者达到了目的,其他的或者因为处理个人信息的机构推诿、搪塞而不了了之,或者因为当事人预料到无法通过投诉、诉讼得不到救济而中途放弃。
今年两会期间,全国政协委员沈奎林提交了《关于制定出台〈公民信息保护法〉,有效保护公民个人信息合法权益的建议》提案。他建议,加大保护个人信息的宣传力度,要通过多种形式和手段,大力宣传个人信息安全防范知识,增强保护个人信息的意识和能力。
周汉华告诉记者,应该设立专门的个人信息保护执法机关,通过行政执法、刑事执法、民事救济手段配合建立行业自律的机制,同时也需要进行相应的个人权利保护教育,使信息主体知道怎么来更好地保护自己的权利。
近日,半月谈网和半月谈社情民意调查中心联合推出了《公民如何保护个人信息权》调查,多数网民建议,要保障个人在信息泄露后有获得补偿和救济的权利,明确机构对公民个人信息流失所造成损失的赔偿责任。比如银行信息泄露后个人账户中的钱被盗,银行需对个人损失进行补偿。相关专家表示,网民的这些建言很有代表性,说明普通民众对个人信息的保护意识正在逐步提高。
来源:半月谈 作者:南婷 闫鹃 蔡玉高 王涛 选稿:黄骏