一些敏感數據的所有權和使用權并沒有明確界定,當信息泄露或被盜取時,責任主體很難確定,這就導致不少信息泄露維權者選擇不起訴,放縱了不法分子,形成一個惡性循環。
“雙11”狂歡已落下帷幕,就在“剁手黨”們瘋狂買買買的時候,有細心買家發現,總會收到跟自己需求相關的廣告信息,而且多數都是自己想要買的東西。
除了網上購物,打開地圖會跳出自己最常去的地點,推薦最佳回家路線,打開網頁會彈出自己感興趣的內容……對此,有人感到便利,“省得花時間找了”,可當人們經常接到陌生電話,對方了解自己大量信息,并推銷量身定制的產品時,才發覺有些不對勁了。
北京師范大學法學院教授、亞太網絡法律研究中心主任研究員劉德良近日在接受《法制日報》記者采訪時指出,大數據在給人們帶來便利的同時,其所帶來的安全威脅也將輻射到各行各業,其中個人隱私信息數據帶來的威脅,尤為受到關注。
“當前,個人信息頻繁泄露、大數據安全頂層設計缺失、大數據交易安全第三方監督缺位,在這樣的背景下,出臺個人信息保護法將成為保護網絡信息安全的重要措施。”劉德良建議,個人信息保護法要與信息安全相關的法律法規相結合,形成一個較為完善的信息安全法律系統,以應對當下個人信息安全的諸多挑戰。
超八成網民因信息泄露受到不良影響
“昨天我用手機APP瀏覽了幾款商品,沒想到,今天我一打開臺式電腦,瀏覽網頁時發現,瀏覽器自動推送了我昨天看的那幾件商品。”宋佳妮是一名資深網購愛好者,近年來,她發現現在的電商平臺越來越“智能”了,甚至比她自己更了解自己。
宋佳妮告訴記者,不僅電商平臺會記住她的喜好,精準推送各類商品,她瀏覽的其他網站也能與其關聯,共同推送她感興趣的文章或內容。
“真是細思極恐,我感到自己成了一個透明人,且這發生的一切都是在我不知情的狀態下進行的,我絲毫沒有注意到‘第三只眼’時時刻刻在盯著自己。”宋佳妮有些后怕,她說,如果這些數據信息只被用來推送商業廣告,雖然用戶受到了打擾,可畢竟還不至于危險。但是如果這些個人隱私被用來實施犯罪,用戶簡直是毫無招架之力。
近年來,大數據風靡全球,網絡中存儲著且不斷流動著龐大的用戶信息,個人信息安全泄露事件日益增多。據2016年中國網民權益保護調查報告顯示,去年有37%的網民因各類詐騙信息而遭受經濟損失,84%的網民受到個人信息泄露帶來的不良影響。
去年的“3·15”晚會曝光了公共WiFi的安全漏洞問題,據專家分析指出,我國80%的WiFi能在15分鐘內被輕易破解,平均每天有8%的WiFi會遭受各種攻擊。
2016年4月,濟南20萬嬰幼兒信息泄露,不法分子非法入侵免疫規劃系統網絡獲取20萬兒童信息并在網上公開售賣。
今年6月,湖北武漢警方偵破一起非法販賣個人信息案,截獲公民信息2600萬余條。
今年9月,浙江紹興警方公布,破獲全國首例利用人工智能技術竊取公民個人信息的案件,截獲10億余組公民個人信息。
……
中國政法大學互聯網金融法律研究院院長李愛君說,進入大數據時代,如何保護個人信息安全成為大數據今后發展需要注意的重中之重。
“我們每次上網或使用網絡服務都會形成一定的數據并自動被系統記錄下來,這些碎片化的數據被匯聚成一個巨大的‘數據庫’,成為‘大數據’。”劉德良說,對于消費者或者互聯網用戶來說,大數據可能意味著盡可能搜集跟消費相關的隱私,然后進行營銷,并以此獲得商業利益。
劉德良告訴記者,目前電子政務、電子商務以及企事業管理都進入了數據化時代,為了便于查詢及管理,最大限度地收集、整理私人信息,這些數據不僅數量大,而且大多涉及個人隱私的敏感型數據,因此,大數據成為極有吸引力的目標,也成為極易被發現、被盜取的目標。
“一些‘黑客’利用新技術發起攻擊,盜取更多有用信息。”中國政法大學傳播法研究中心研究員朱巍說,還有一些職能部門掌握的公民個人信息被不法人員盜取、泄露、轉賣,還有不少公民個人在日常購物、上網、消費等活動中,不經意泄露了自己的姓名、身份證號、電話、住址等個人信息,被不法人員掌握。
“由于個人的大意、企業的逐利、安全監管的缺失,這些都可能造成用戶的個人信息安全問題。”全國人大代表、貴州大學大數據與信息工程學院院長謝泉告訴記者。
“不僅如此,信息泄露維權者還面臨舉證難的問題,誰侵害了自己的個人信息安全,應該向誰起訴,這需要原告證明因果關系,正是由于被告不明,許多案件無法立案。”朱巍說,一些敏感數據的所有權和使用權并沒有明確的界定,當信息泄露或被盜取時,責任主體很難確定,這就導致不少信息泄露維權者選擇不起訴,放縱了不法分子,形成一個惡性循環。
個人信息保護法律法規內容分散
當數據越來越多,真正開始產生效益的時候,數據交易的利益分配問題、安全問題、相應的法律法規問題就會凸顯出來。謝泉認為,對大數據的發展應當支持,但是個人信息安全同樣不可忽視,應給其套上法律的韁繩,用立法規范對個人信息的使用。
“但是,從我國個人信息的法律保護現狀可以看出,我國對個人信息保護尚未出臺專門立法,對于泄露個人信息的處罰缺乏統一性和系統性,尚未形成統一的關于個人信息保護方面的基本法,而是散見于相關的法律法規中,且量刑偏輕。”李愛君認為。
我國民法總則第一百一十一條、刑法第二百五十三條都涉及了公民的個人信息不受侵犯以及相關的處罰措施。
另外,今年6月1日起施行的網絡安全法,最高人民法院和最高人民檢察院5月9日聯合發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,對涉及用戶個人信息的,進行了相關規定。
除此之外,消費者權益保護法、居民身份證法、商業銀行法、未成年人保護法、電信條例以及《互聯網電子公告服務管理規定》《計算機信息網絡國際聯網安全保護管理辦法》《互聯網安全保護技術措施規定》等法律法規也都對涉及個人信息作出相關規定。
“從立法形式上看,我國有關信息安全的法律法規在數量上似乎形成了一定的規模,但沒有構成一個完整、系統、條理清晰的體系。”劉德良說。
從內容上分析,李愛君指出許多條文規定的內容過于抽象,操作性差,難以有效執行,且存在重復、交叉,形成多頭執法和多頭管理的局面,導致執法成本和司法成本的浪費。
“我國對個人的信息、肖像權等有法律保護,但是對于在大數據時代個人數據的使用卻未明確,也沒有專門針對個人數據信息進行法律法規的監管,這就造成了個人信息安全的隱患。”劉德良認為,要使個人信息得到保護,就要保證數據交易平臺用的是“干凈”的數據,即不能侵犯個人隱私、不能泄露企業商業秘密、不能泄露國家機密、不能危害國家安全等。
應盡快出臺個人信息保護法
“為了應對大數據時代個人信息安全面臨的新挑戰,有必要推動專門的立法工作,除了從源頭上加強網絡安全防護外,更關鍵的是要完善公民個人信息立法,盡快制定個人信息保護法。”劉德良認為,統一立法可以對個人信息給予更充分的保障,對收集、利用、買賣個人信息的價值取向保持一致。
其實早在2003年,個人信息保護法專家建議稿就開始起草,2005年完成建議稿,但始終未進入實質性階段。在每年的全國人大會議上,都有人大代表呼吁該法的出臺。
作為全國人大代表,謝泉告訴記者,他也是制定個人信息保護法的擁護者。在謝泉看來,應當通過立法規定信息數據遭泄露時及時告知等義務,并建立對個人信息泄露的預防和救濟制度,對個人信息數據給予全方位保障。
“在大數據時代,由于泄露信息還可能構成其他嚴重犯罪的幫助行為,因此在量刑上也應當加大力度,并可以在罰金方面作出較為具體的規定。”劉德良建議。
同時,劉德良指出,由于公務機關和非公務機關對個人信息侵害的程度不同,因此在立法時,有必要對公務機關和非公務機關予以區分。同時,基于國家利益、社會公共利益及他人利益等方面的個人信息侵權行為,應當制定相應的免責條款。
另外,劉德良還認為,個人信息保護法應與信息安全相關的法律法規進行有效銜接,做到相統一、相呼應,從而形成較為完善的信息安全法律系統。
對此,朱巍表示贊同,他說,比如對于尚未構成刑事犯罪的一般侵權行為,主要通過民事法律法規進行調整,那么就十分有必要修改完善相關的民事法律法規,更有效地維護公民個人民事權益。對于其他相關法律法規也要銜接好,保持法律實施的一致性。
“還應加大對敏感信息和移動設備的監管力度,大數據科研人員在研發之前,首先應考慮以保護企業和個人隱私為前提,運用信息加密技術等措施提升大數據技術信息安全水平,加強信息保護程度。”李愛君建議。□ 本報記者 朱琳