5月25日,逃出康培房间全国人大常委会工作报告在下一步主要工作安排中指出,围绕国家安全和社会治理,制定生物安全法、个人信息保护法、数据安全法,通过刑法修正案(十一),修改行政处罚法、人民武装警察法等。
疫情期间信息收集不规范、用户诉杭州野生动物世界“人脸识别第一案”、徐玉玉被电信诈骗案列入2017年人民法院十大刑事案件……个人信息保护问题频现,给公众造成了极大不安全感,有些人俨然成了“透明人”。相关话题从2018年起成为“两会”期间热议话题。
此次法律制定,哪些内容和你我密切相关?如何通过立法终结个人信息“裸奔”?代表委员们有何具体建议?
案例:个人信息泄露频发,平台责任几何
疫情防控期间,多数人在不同地方、不止一次留下自己的手机号、身份证号、家庭地址等,在遵守防控规定同时,不少人担心这些信息收集不规范,若不能妥善保管,一旦泄露会被不法分子利用。
这种担忧并非空穴来风。央视报道显示,提里奥的尝试仅北京地区法院确认的2010至2016年公民个人信息泄露就已多达1.6亿条。中国消费者协会2018年9月发布的《APP个人信息泄露情况调查报告》亦显示,八成受访者曾遭个人信息泄露。
此前徐玉玉被电信诈骗案即事因信息泄露,事件轰动一时,一度引发了社会对个人信息泄露问题的声讨。
2016年8月,山东女孩徐玉玉,在即将踏入大学校门之际,接到一通诈骗电话,被骗走了上大学的费用9900元,得知被骗后,徐玉玉因为过度伤心回家途中身体不适,抢救无效身亡。
信息泄露的不仅是姓名、职业、通信记录这些传统信息,人脸、指纹、声纹等生物特征数据也正在被收集使用甚至进入非法用途。
2019年9月,换脸社交软件“ZAO”迅速成为互联网热门应用,随后很快因涉嫌未依法依规收集使用人脸信息、存在数据泄露风险等问题,朱瑞峰最新消息软件开发公司北京陌陌科技有限公司负责人被工信部约谈。
无独有偶,2019年10月,法学博士郭某因在杭州野生动物世界购买的年卡取消指纹识别、改为经注册的人脸识别才能正常入园,他认为人脸识别属个人敏感信息,不同意此举并要求退卡,但协商无果,因而将杭州野生动物世界诉至杭州市富阳区人民法院,该案作为“中国人脸识别第一案”,引发社会广泛关注。公开报道可见,法院已对该案正式立案,暂未见判决结果。
是谁在“收集”我们的信息?有电商、社交软件等平台“越界”,过度收集消费者个人信息、甚至非法窃用用户信息,有黑客窃取信息、有“内鬼”售卖信息,也有网络服务系统漏洞等导致个人信息泄露。
中消协的调查报告显示,baiud.com电商、社交软件等平台过度收集消费者个人信息的现象成投诉新热点。经营者未经授权收集个人信息和故意泄露信息是个人信息泄露的主要途径,分别占比调查样本的62.2%和60.6%。
2019年7月,澎湃新闻报道,哈尔滨网友王先生在使用腾讯旗下“微视”APP的过程中发现,当他使用微信账号登录时,微视会获取其全部微信好友信息,并向他推送微信好友发布的视频。同样的情况也发生在他使用QQ账号登录时。他认为,他仅授权了登录,“微视”无权收集和使用他的性别、地区和好友关系,因而他起诉深圳市腾讯计算机系统有限公司侵犯隐私权。法院裁定,腾讯立即停止在“微视”中使用王先生微信或QQ好友信息的行为,以及将他的相关信息推荐给其他用户的行为。
2020年 5月9日,银保监会消费者权益保护局发布通报:2020年3月,中信银行在未经客户本人授权的情况下,纽约企鹅餐厅向第三方提供个人银行账户交易明细。银保监会对中信银行启动立案调查程序。这不是个例,中国裁判文书网信息显示,银行“内鬼”参与倒卖个人金融信息的情况不少见。
溯因:个人信息安全保护意识淡薄 法规不健全
信息过度泄露带来了什么?2018年全国“两会”期间,多位代表委员接受采访时谈到,毫不夸张地说,几乎每个手机或网络用户都遭遇过诈骗信息的侵扰。
根据中消协的调查结果,当消费者个人信息泄露后,约86.5%的受访者曾收到推销电话或短信的骚扰,约75.0%的受访者接到诈骗电话,约63.4%的受访者收到垃圾邮件,排名位居前三位。
公民个人信息泄露带来的电信诈骗案件五花八门:从中奖、房租汇款,到网银升级、邮包藏毒,再到冒充公检法等公职人员、伪造网上通缉令、助学金领取等,有媒体分析称,通讯信息诈骗特点从最初的“撒网式”变成如今的“精准化”。
信息缘何泄露?公开报道中,多位代表委员提及了类似的原因。
全国人大代表、江西省工业和信息化厅党组大大杨贵平和全国政协委员、中国人民银行杭州中心支行党委大大、行长殷兴山认为,公民个人信息安全保护意识淡薄是信息泄露的原因之一。
意识淡薄包括,随意填写个人信息、随意下载和安装软件、乱连WiFi和乱扫二维码、为寻求方便快捷上传敏感个人信息、为炫耀将大量个人信息暴露在网上。
共同看法还包括,运营主体缺乏规范和约束。杨贵平同时指出,有的系统设计上存在安全隐患同样是个问题。
此外,杨贵平和殷兴山均认同个人信息保护法规制度不健全的看法。目前缺少一部专门、权威的法律,制约着个人信息的全面保护。殷兴山还认为,个人信息保护缺乏主管部门。
2019年10月,全国政协提案委组织委员赴湖南、贵州专题调研。委员们在调研中发现,目前个人信息保护的司法救助机制不完善,侵犯主体、侵犯责任认定难,取证和举证难度大。
对已经认定侵犯公民个人信息的,也存在着处罚力度不够的问题,杨贵平称,如工业和信息化部出台的相关规定中,对此类非法行为仅设定了警告和3万元以下罚款的处罚。“相对于贩卖出售个人信息所获巨额利益来说,违法成本明显过低。”这是个人信息保护存在的困境。
不单是困境,个人信息保护亦存在争议,包括保护个人信息是否影响数据产业的发展、数据属于用户还是属于采集平台等。
建议:需要明确数据收集、处理、使用的义务边界
记者注意到,近年已有多名代表委员建议加快制定《个人信息保护法》。
全国政协委员、北京天达共和律师事务所主任李大进在接受采访时说,我国目前有近40部法律、30余部法规及近200部规章涉及个人信息保护。但由于缺乏顶层立法,现有规定散见于各类法律中,很难发挥震慑作用。
“我国虽然出台了一些信息安全保护的法律法规,但尚未出台针对个人隐私保护的专门立法。对于泄露个人隐私的处罚较轻,导致侵犯个人隐私的违法成本过低,个人隐私保护力度极其有限。”全国人大代表、北京市律协会长高子程说。
需要明确数据收集、处理、使用的义务边界,是提出建议代表委员的共识。他们认为,应该明确规定哪些个人信息可以被收集,哪些不能。对于运营主体的收集行为而言,殷兴山认为要有明确正当的目的,要符合“最少、必需”要求,并经过信息主体明示同意。
“应把个人信息上升为个人基本权利。”全国人大代表、世纪荣华投资控股集团有限公司董事长崔荣华呼吁,她同时提出个人信息保护的知情同意、目的明确、使用限制、信息质量、安全管理、禁止泄露、保存时限和自由流通等八项原则,严格企业和机构的信息保护责任,加大处罚力度。
她认为,立法应当明确侵害个人信息权利的责任。如因信息采集主体保管不善导致个人信息泄露,信息采集主体应当依法承担相应责任;如工作人员私自泄露了个人信息,除个人应当承担责任外,信息采集主体业应视具体情节也依法承担责任;如信息采集主体对个人信息保管不善,同时又有第三方非法获取并使用个人信息,则信息采集主体与第三方共同承担赔偿责任。
多年持续关注数据安全立法的全国政协委员、北京国际城市发展研究院院长连玉明则建议,《个人信息保护法》应充分考虑根据应用场景对个人信息进行分类分级保护条款,对行政机关、公共机构的信息收集、使用和处理行为也要加以规范。
行动:多项文件落地保护个人信息
虽然个人信息保护暂无顶层立法,有关部门对侵害用户个人信息的行为,一直都是铁腕治理、重拳严打。
去年,中央网信办、工信部等四部门联合发布公告,决定自2019年1月至12月,在全国范围组织开展App违法违规收集使用个人信息专项治理。《APP违法违规收集使用个人信息专项治理报告(2019)》显示,一年来,专项治理工作成效显著。
其中,工业和信息化部开展的“APP侵害用户权益行为专项整治行动”推动多款APP完成自查整改,对236款APP运营者下发整改通知书,公开通报56款APP、下架3款APP。
公安部也在“净网2019”专项行动中依法严厉打击侵犯公民个人信息违法犯罪行为。有媒体评价,2019年个人信息数据保护的一个鲜明特征是刑事手段的显著增加,一系列专项执法行动,给2019年个人信息数据保护打上了鲜明的执法烙印。
从2018年起,个人信息保护就是“两会”期间热议话题。而2019年全国“两会”后,“加强大数据时代个人信息保护”成为全国政协重点系列提案之一。
个人信息保护相关法律法规在逐渐落实。近年来,我国加快了个人信息安全保护的立法和修订进程,先后发布了《全国人大常委会关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》《电话用户真实身份信息登记规定》等。
2019年,《儿童个人信息网络保护规定》、《个人信息安全规范》发布,《数据安全管理办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》完成向社会公开征求意见。
如今,《个人信息保护法》将制定,终结个人信息“裸奔”或不日可期。
(责编:周世玲、陈远丁)