你免费趁了一次网,人家卖了你的隐私赚80块!(附:《中国个人信息安全和隐私保护报告》)
21世纪什么最贵?答案是——免费的东西最贵。那些打着免费旗号,却没安什么好心的骗局已经司空见惯。你以为在“薅”免费的“羊毛”,却不料别人“薅”的是你的肉身,这其中付出的代价,令人吃惊。
喜欢到处蹭网的小梨最近觉得很诡异,似乎自己在网络上成了“透明人”。无论是短信还是微信总有大量不明来源的推销信息骚扰她,而且这些信息大多还能知道她近期的消费需求,“尤其是双11前,想买什么都能知道,我一开始以为蹭网中毒了,但手机怎么查杀并不都没有效果,短信依旧发个不停,微信也频繁有人加我推销产品。”
无奈之下,小梨换了新的手机,但这些看似精准的推销信息依旧没有消停,让她感到十分不解。她将上述经历发到朋友圈,没想到有不少好友也在下面纷纷留言,觉得手机似乎“中毒”了,不论是广告还是推销都相当精准,好比懂读心术,但又不知道哪里出了问题。
“其实不是病毒,是因为‘蹭网’导致的。”某公共Wi-Fi设备推销业务员吴悦(化名)告诉小编,小梨之所以会被大量推销信息骚扰,是因为蹭网蹭太多了,个人资料被多个WIFI的运营机构反复“倒卖”才造成这样的麻烦,但这个“麻烦”却是吴悦以及运营机构们赖以生存的基础。
那么通过公共Wi-Fi“蹭网”,真的会把个人信息“蹭”得满大街都是吗?提供免费Wi-Fi的商业公司如何挣钱?或许在吴悦忙碌的日程里,我们能够得到确切的答案。
“老板,你家有免费Wi-Fi吗?”
相信这样的对话不论是餐厅、商场、咖啡厅甚至小吃店每天都会重复无数次。在4G高度普及的今天,Wi-Fi仍然是主流的上网方式。《2017年上半年中国公共WiFi安全报告》显示,2017年上半年国内用户平均有61%的时间使用WiFi上网,并有超过50%的用户使用WiFi的时间占比超过70%。
有用户需求就有商机。“我每天都要跑十几二十个地方(谈合作)。”吴悦告诉小编,他负责的是罗湖和龙岗两个片区内公共Wi-Fi系统的产品推广,公司每个月只给4000底薪,但他每个月收入能高达2到3万元。
“只要按照公司给出的推销话术,比如告诉他我们的设备只需要借用你原来的网络,不用商家付任何费用,还能根据用户流量给商家返利,这样的商业模式大受商家欢迎,根本无需我们多费口舌。”据吴悦介绍,无论是办公楼、综合体还是酒店,都希望通过这套公共Wi-Fi系统把宽带钱给赚回来,甚至还能额外的收益,所以很多客户他只推销了一次就拍板要了。
据吴悦介绍,从安装系统的次月开始,公司就会根据该区域连接Wi-Fi的数量给客户返回一定金额,“有些客流量大的综合体,甚至一个月可以拿到几万块钱返利。”
有了“赚钱”的案例,吴悦渐渐觉得产品越来越好卖了。他向小编展示了一部分客户清单,单单是一个区就有上千家办公楼和综合体在使用这一套公共Wi-Fi产品。加上部分友商的产品,安装数量更是极为庞大。
可能许多人都会觉得,如此庞大的数量硬件支出,加上每个月还要返给客户的费用。这些运营公共Wi-Fi的企业岂不亏死?他们到底图什么?
“当然是图财,而且利润相当丰厚。”吴悦表示,与那些通过植入病毒来窃取密码和个人信息的违法方式不同的是,公共Wi-Fi是通过正儿八经的方式挣钱,由于商业模式清晰,并不违法,如今已经有越来越多的企业加入到这一灰色产业链中。
本想蹭网“薅”商家免费“羊毛”的用户们,却在不知不觉中成了商家和机构“薅”羊毛的对象。我们不禁要问,这些看似“便民”的公共Wi-Fi是通过什么方式在用户身上大量变现的呢?
第一阶段:加粉、推广,获取海量用户数据
公共Wi-Fi很容易通过免费热点聚集大量用户,而这些用户数据就成为公共Wi-Fi运营企业变现的第一大途径。
“翻一翻,许多人的微信里总有几个不认识的公众号。”吴悦告诉熊出墨请注意,许多公共Wi-Fi的连接验证方式都是通过电话号码或者微信授权进行的。但许多时候除了手机验证以外,还需要关注某个微信公众号才可以顺利上网。因此,不少网络营销推广公司成为公共WiFi运营公司的头号客户。
这些公众号有些内容很少,有些甚至是空白的,对于用户来说这样一个公众号留在微信里根本是没有价值的,然而却有许多用户在上网之后忘了取消关注,而放在日后除非用户自行清理公众号的订阅列表,不然就会被彻底遗忘,成了其“永久”的粉丝。
“因为关注公众号成了上网关键的一步,所以很多用户都勉为其难。”吴悦表示,经过公司技术团队的一番测试之后,他们发现,有超过85%的用户在上网之后并没有取消关注公众号,有些是忘了取消,也有些是懒得取消。
而这些拿来“被关注”的公众账号里,有一部分是来自客户的订单,许多营销号需要大量的粉丝集数作为内容推广的受众群体,而恰好吴悦的团队能够提供给他们大量的真实粉丝。
“所以公共Wi-Fi上推荐的关注账号很多是来自营销号的订单。”他告诉熊出墨请注意,这些营销团队会以20~30元一个粉丝的价格,向运营公司购买,而且因为大量用户都会忘记取消关注,所以这些粉丝很少出现“掉粉”的现象,相比传统“烧”红包所获的粉丝质量更高。而当公众号达到一定数量之后,营销团队就会开始拿来做推广了,“有些用户会发现长时间被遗忘的一个无名公众号突然就弹出了一条消息,我们都调侃这是‘诈尸’。”
除了帮营销号们“加粉”之外,许多运营公司还通过公共Wi-Fi养许多自有的公众账号。吴悦透露,他所属的公司就有专门的团队在“养”这种公众账号,当账号养到数万粉时,就会通过一些网上交易平台或者社交圈子买卖(转让)账号,就以三万粉丝的地区公众号为例,价格在五千到三万元不等,而且需求巨大,几乎每天都有账号被买走。
网络社交高度发达的时代,谁要是能够掌握用户群体,谁就能够斩获营销与推广的红利。而随着营销号的推陈出新,激烈的竞争也大大加重了它们获取粉丝的成本。掌握着“加粉”技能的公共Wi-Fi运营机构却在大肆利用着用户的使用习惯与忘性,大量赚着营销号和营销机构的钱。
第二阶段:对用户数据进行分类,让营销和骗子更懂用户
但这些Wi-Fi运营机构的盈利手段并没有停留在“推荐关注”那么简单。手握如此庞大的用户数据,如何进一步挖掘用户行为和分类,让营销和推广变得更为精准,才是他们希望能够实现的更高阶段目标。
吴悦告诉小编,海量的用户数据中如果只有用户微信名和手机号码,这些原始数据的意义并不大,但通过公共Wi-Fi的连接节点,公司能够清晰的知道用户是在何时何地使用公共Wi-Fi,根据场所分类再给用户贴上相应的标签,这样加工过的数据才有商业价值。
“比如在一些星级的高档酒店里使用公共Wi-Fi的用户,将被贴上‘有钱’的标签,办公楼里用户一般会被标记为‘上班族’或‘白领’,而那些经常出现在购物中心的电话号码,就会被视为‘剁手族’。“据吴悦介绍,公司会根据不同的标签定价,这样以来海量的用户资料就成了运营公司的“金矿”,“能卖上高价钱。”
据吴悦透露,许多“剁手族”的资料被卖给了电商企业做推广,“白领”的资料一般卖给小贷机构,部分经常出差的商旅人士标价最贵,最高能卖到50元一条,内容包括手机号码,最近所到的消费场所等,颇受奢侈品、豪车、房地产等商家青睐。
“这些商家或者业务经理,能够根据这些信息估算用户的购买力,从而进行有针对性的推销。”吴悦告诉熊出墨请注意,有商家反馈这些资料比较精准,所以推销产品的成交率也比较高。
尤其是现在个人用户信息本身就已经“满天飞”,所以许多用户接到推销电话或者短信已经习以为常,抗拒心理并不是那么强,更懒得追寻信息泄露的来源,“甚至有些诈骗团队也在我们这里买资料,(有了这些信息)他们能把用户的行程说得很准确,这就很恐怖,但老板是生意人肯定不管这些了。”
第三阶段:记录用户行为 “玩法”更高阶
电商平台正在通过大数据来分析和记录用户浏览习惯,给用户做标签,并且作出更为精准的推送。这样的方式也为越来越多广告主所青睐,于是公共WiFi行业也通过引入新的技术,比如记录用户使用WiFi时候的浏览行为等来抢占市场。
吴悦所属公司的技术团队也开始在Wi-Fi的系统升级上“做手脚”。他告诉熊出墨请注意,最新一个版本的公共Wi-Fi系统,可以在用户连接上网之后,拦截并破译部分用户的上网信息,通过后台可以清晰的看到该用户登陆了什么网站,停留了多久时长,甚至在电商网站上浏览了什么商品。
“通过这些痕迹细节,将用户再一次进行分类,信息的精准性就大大提升了,价格也就更高了。”吴悦说,类似这种详细的用户信息一条均在80元以上,更有很多营销顾问机构找上门希望从事信息代理的业务,构成了一条完整的用户信息产业链条。
看到这里,许多用户会恍然大悟。那些能够“猜测”和“预知”用户心理和需求的推销电话,大多是通过这样的方式得知用户个人的行为与动作。而部分诈骗行为,更是通过购买这些详细的行为资料,取得受害人的信任,进而骗取钱财。
“还有(一些不正规的运营机构)尝试通过功公共Wi-Fi给安卓用户植入程序,模拟用户操作动作,这样其实已经威胁了移动支付的安全。”吴悦表示,许多无下限的机构已经开始盯上了用户的“钱包”,正在尝试利用新的技术破解相关的安全壁垒,令人不寒而栗。
最后,商业Wi-Fi市场一直被视为是“入口”级的市场,前景广阔。
根据艾瑞咨询此前发布的《中国商业WiFi行业研究报告》显示,2018年中国商业WiFi的市场规模约为32.6亿元,为2013年的21.7倍。同时,第40次《中国互联网络发展状况统计报告》显示,截至2017年6月,中国移动网民规模达7.51亿,网民对无线网络的需求也在持续走高。
正因如此,不少互联网、运营商玩家都先后入局,但如果按照投入产出比来算,整个行业始终是赔钱赚吆喝。比如由于“高额成本的巨大压力、后向运营模式受阻、没有政府资金的支持”,曾两轮获得4.38亿元融资的16Wi-Fi在今年无奈“瘦身”,暂停广州、上海、深圳等11座城市的运营,仅保留北京和昆明作为样板城市。
更多的企业希望能够从提供服务的用户身上挣钱,“倒卖用户数据”业务成为了不少公共Wi-Fi机构“不能说的秘密”。
实际上,本文的主人公所在的公司在这一领域相当出名,再比如,深圳友宝就将其微信加粉推广业务明码标价公开叫卖,熊出墨请注意的后台就曾收到过报价单。
显然,从保护个人信息安全的角度出发,手机用户应该谨慎的对公共WiFi热点加以识别,尽量不要使用部分利用手机号码和微信授权登录的热点,以确保个人账号与信息安全。
在交流的最后,吴悦打趣的告诉我们,“虽然我是推广公共Wi-Fi的,但我在外面从来不蹭网,就怕不安全。”
《中国个人信息安全和隐私保护报告》
中国青年政治学院互联网法治研究中心&封面智库联合发布
2016年11月
前 言
近年来,侵犯公民个人信息及其所滋生的侵害事件不断发生,扰乱了社会秩序,给群众人身财产安全造成巨大威胁,严重影响社会安定。震惊全国的“徐玉玉案”等一系列案件发生后,个人信息安全已成为全社会的重大关切。
为充分了解及评估全社会对于个人信息保护的关注点、关注程度和自身保护的能力,中国青年政治学院互联网法治研究中心与封面智库于2016年10月联合发起《你的隐私泄露了吗?——个人信息保护情况调研》问卷调查,共回收问卷1,048,575份。
问卷回执样本分析显示,个人信息安全所遭受的威胁已经引起了公众普遍重视,但由于个人信息保护能力与常识、经验的缺乏,不法之徒对公民的个人信息侵害行为仍有机可乘,且因群众维权意识和动力不足,维权能力有限,个人信息保护仍处于危机时刻。
本报告将对个人信息保护现状进行综合介绍,对造成个人信息安全危机的原因和国家政策、法律法规层面的现行应对进行梳理,并通过对104万8575份调查问卷回执样本的详细分析,显示群众对个人信息安全的关切点和社会个体在应对信息泄露时的意识和行为模式,并指出其将造成的结果和需要关注的重点方向。
本报告还将从立法和司法实践角度阐述个人信息安全的法律监管和维权现状。由于个人信息是大数据产业的重要核心,通过市场机制、社会共治实现个人信息安全、提升群众安全感也切实可行,本报告将以征信行业和代表性企业为例,详细说明行业和企业在个人信息保护中的先进模式和具体实践。
一、侵犯公民个人信息犯罪及隐私侵害行为已成社会公害
我国信息化建设和大数据等信息产业的不断推进和发展,带动了各项社会服务日趋高效、便捷,群众生活水平持续提升,幸福感和获得感不断增强。但与此同时,信息的广泛应用以及人们对个人信息安全防范意识的薄弱,也给犯罪分子实施犯罪提供了便利条件。
目前,我国刑法将出售、非法提供、非法获取公民个人信息的行为认定为侵犯个人信息犯罪行为。按照公安部发布的信息,侵害公民个人信息犯罪引发的下游犯罪案件包括且不限于绑架拘禁、敲诈勒索、暴力追债、电信诈骗、网络诈骗、网络盗窃、非法调查等,甚至有不法分子利用非法掌握的个人信息以胁迫手段介入婚姻纠纷、财产继承、债务纠纷等民事诉讼。由于公民个人信息泄露导致的骚扰电话和垃圾短信更是为群众所深恶痛绝。
近年来,侵犯公民个人信息犯罪持续高发,其中以“徐玉玉被诈骗案”为代表的由于侵犯公民个人信息滋生的电信网络诈骗犯罪已给群众财产造成重大损失,严重影响社会安定。在今年8月19日召开的打击跨国电信网络诈骗案件通报会上,公安部刑侦局有关负责人介绍,2015年我国电信诈骗发案59.9万起,造成经济损失约200亿元;仅2016年上半年,电信诈骗发案就达28.7万起,造成损失80余亿元[1]。
执法机关面对侵犯公民个人信息犯罪行为从未手软。实际上,自2012年起,公安部就多次部署全国各地公安机关开展集中打击侵犯公民个人信息犯罪行动且收获颇丰。最近一次是自今年4月起、为期半年的打击整治网络侵犯公民个人信息犯罪专项行动,截至7月,全国公安机即关累计查破刑事案件750余起,抓获犯罪嫌疑人1900余名,缴获信息230余亿条,清理违法有害信息35.2万余条,关停网站、栏目610余个[2]。
但当前,侵犯公民个人信息犯罪呈现了屡打不绝且日趋专业化、团伙化、产业化的态势。在近日由公安部统一组织25省区市公安机关破获的一起特大侵犯公民个人信息案中,公安机关在一案中即抓获犯罪嫌疑人201名,铲除信息泄露源头42个,摧毁9个涉案地域广、涉案人员多、信息数量、种类及涉案金额大的侵犯公民个人信息犯罪团伙。
侵害个人信息犯罪行为的猖獗,引起了中央和国家的高度重视。近日,公安部、中央综治办、国家发展改革委、工信部等八部门联合发布《关于规范居民身份证使用管理的公告》,要求国家机关或有关单位应当建立健全公民个人信息安全管理制度,对在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息严格保密。对单位内部建立的公民个人信息存储系统,要严格设定查询权限,严格控制知悉范围;要强化技术防护措施,严防信息泄露或被窃取[3]。
2016年10月10日至11日召开的全国社会治安综合治理创新工作会议上,更是明确要求结合制定《个人信息保护条例》,加大信息源头保护力度,完善公安、教育、医疗、金融等重点行业信息安全保护体系[4]。
为进一步加强个人信息安全法律体系的建设,于11月1日提请全国人大常委会进行二次审议的民法总则草案中,增加规定:“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息。”草案力图在对个人信息应用的源头和上游给予公民法律保护。2016年11月7日全国人大常委会通过的《网络安全法》在个人信息方面确立了重要的原则和规定,从法律层面为更加完善而系统化的个人信息保护立法奠定了良好的基础。
舆论认为,要遏制侵犯个人信息犯罪行为,务必须要国家法律体系的日趋缜密和执法力量的持续高压,同时,针对公民个体的普法教育和使公民切实提升个人信息安全防范意识也不可或缺。
二、百万数据调查:公民个人信息安全意识强,但维权动力与能力有限
为充分了解及评估公民对于个人信息保护的关注点、关注程度和自身保护的能力,中国青年政治学院互联网法治研究中心与封面智库于2016年10月24日联合发起《你的隐私泄露了吗?——个人信息保护情况调研》问卷调查。覆盖全国各省、区、市,共回收问卷104万8575份。
通过对调研问卷回执的样本数据分析,本报告认为,当前人们对个人信息保护的社会现状安全感不高,超七成参与调研者认为个人信息泄露安全问题严重;民众遭受个人信息侵害程度高;个人信息安全防范意识不强为侵害行为提供可乘之机,半数参与调研者对于因证件复印和快递单造成的个人信息泄露无察觉,超六成参与调研者在更换手机和手机号时存在信息泄露隐患;个人信息侵害维权观念不强、常识不够、动力不足,仅有20%的参与调研者在发现个人信息遭受侵犯时,采取投诉、举报和报警等积极应对措施,六成参与调研者不知如何维权,近半数参与调研者认为维权困难。
(一)个人信息安全已成为社会普遍焦虑
在全部问卷回执中,针对“你觉得个人信息泄露问题严重吗”问题,有28%的参与调研者认为“没有感觉”,43%的参与调研者认为“严重”,认为“非常严重”的参与调研者占比达29%(见图1)。
图1:参与调查人群对个人信息泄露问题的整体感受
图2:不同年龄段人群对于个人信息泄露问题的整体感受
在参与调研者的性别和年龄比例中,对于上述问题的看法没有明显偏差(见图1、2),这也可以说明,对于个人信息安全的焦虑并非特定群体的主观性偏差,具有社会普遍性。
(二)个人信息泄露引发的骚扰密度与社会经济和信息化发展程度成正比
垃圾短信和骚扰电话是个人信息泄露所引发的电信骚扰及诈骗行为。参与调研者中,26%每天收到2个以上的垃圾短信,20%近一个月来每天收到2个以上骚扰电话(见图3)。
图3:参与调查人群对电信骚扰的反馈情况
图4:电信骚扰地区排行
在全国分布角度,来自西藏、宁夏、新疆、青海、甘肃等省区的参与调研者收到垃圾短信最少,来自上海、北京、重庆、江苏、天津等省市的参与调研者收到垃圾短信最多;在骚扰电话方面,最少的省区是黑龙江、新疆、西藏、吉林、宁夏,最多的省市是上海、北京、江苏、安徽、浙江(见图4)。总体上看,越是经济发达、社会网络化、信息化程度高的地区,电信骚扰密度越高。
(三)公民个人信息遭侵害程度触目惊心
本次调研所显示出的公民个人信息遭侵害程度令人触目惊心。
问卷分析显示,在遭遇个人信息侵害时,多达81%的参与调研者经历过知道自己的姓名或单位等个人信息的陌生来电,因网页搜索和浏览时泄露个人信息的参与调研者占53%,经历邮箱、即时通讯、微博等网络账号密码被盗的参与调研者占40%,因房屋租买、购车、考试和升学等信息泄露,和因在网站留下个人电话和注册网络金融服务而遭遇各类骚扰和诈骗的参与调研者都在30%以上,遭遇针对银行卡、信用卡和网络交易诈骗以及被“短信炮”、“拨死你”电信骚扰的参与调研者比例在20%以上,被冒充公检法、税务机关的不法分子诈骗、恐吓的参与调研者比例达19%,明确知道个人和家庭信息被贩卖、泄露的参与调研者比例达18%,最少的数据比例即“个人隐私信息被网站公布”、“购买机票后收到航班异常的电话或短信诈骗信息”也达9%(见图5)。
图5:个人信息、隐私受侵害行为类型调查
(四)民众防范意识不强为侵害行为提供可乘之机
在日常生活中,证件复印件、快递单和手机是泄露个人信息的重要载体。问卷调研显示,由于对个人信息泄露渠道的不了解,虽然大多数人意识到个人信息泄露的严重程度,但相当高比例的人群并不知道如何防范个人信息侵害,在使用个人信息的载体时疏忽大意或不知如何采取防范行动。
图6:个人信息泄露隐患之线下渠道调查
调研中,55%的参与调研者从不将证件复印件标明用途;47%的参与调研者经常将写有个人信息的快递单直接扔掉而不加处理(图6)。
图7:个人信息泄露隐患之移动端渠道调查
在通过手机使用Wi-Fi时,34%的参与调研者只希望确保手机在线,而不会对免费Wi-Fi鉴别使用;在收到陌生号码发来的短信时,26%的参与调研者会点击短信中的可能产生侵害行为的网络链接(图7)。
图8:个人信息泄露隐患行为调查之手机硬件方向
在更换手机时,更能确保个人信息安全的方法是将手机恢复出厂设置或格式化后,再用无关内容将手机存储空间占满后再予处理,但仅有34%的参与调研者选择了这一选项,有17%的参与调研者选择将手机直接送人;在手机换号时,超过27%的参与调研者选择直接使用新号码,而不对旧号码采取任何措施(见图9)。
(五)个人信息侵害维权观念不强,动力不足
调研显示,在明确自身遭遇个人信息泄露并面临侵害时,相当一部分人群抱有侥幸心态,大部分人选择了较为被动的处理方式,仅有少部分人采取了积极对抗行动。在解释未能维权的原因时,半数以上的参与调研者因不知如何维权和没有发现经济损失而选择了沉默。
图10:个人信息及隐私被侵犯时的对应手段
在被问到发现个人信息泄露会采取什么行动的问题时,71%的参与调研者选择了掐断电话或不予理睬,选择拉黑及拒接的比例为63%;仅有20%左右的参与调研者选择了举报、投诉、报警等积极应对措施(图10)。
图11:个人信息及隐私被侵犯后未能维权原因
被问及被侵犯时没有维权的原因时,60%的参与调研者表示不知道怎么维权,56%的参与调研者是因资金等个人利益未受损而放弃维权,值得重视的是,参与调研者中有高达44%的比例选择了因维权程序太复杂、成本太高而放弃维权,另有34%的人是因缺少维权证据而无奈放弃。最为消极的是“维权成功也没有好处”选项,也有14%的选择比例(图11)。
值得关注的是,当被问及是否“愿意提供个人信息以获得更便利的服务享受”时,更多的人选择了“愿意”(图12)。这也充分说明,信息共享带来的便利是客观存在的,多数人并不赞同为保护隐私而过分限制信息流动。
图12:更多人选择为获得便利服务而提供个人信息
问卷调研的结果已可以清楚显示出当前公民个体对于个人信息保护的观念、行动及能力的基本面貌:尽管人们对于个人信息安全普遍焦虑,遭受信息泄露侵害程度较高,但由于对于个人信息保护的常识不足,为不法分子留存了极大的侵害漏洞,而公民对于个人信息维权观念的缺乏和动力的不足,又客观上降低了不法分子违法犯罪行为的成本,加剧了侵犯公民个人信息犯罪的可能性。
值得关注的是,国家在政策与法规层面不断强化、在司法层面不断加大对侵犯公民个人信息犯罪的打击力度,但相当一部分社会个体在面对侵害时却保持了漠视甚至麻木的消极对应方式,而并未操起法律的武器与涉及自身的违法犯罪行为进行抗争。这一方面说明,针对个人信息安全的普法力度仍需加大,尤其是要使公民清晰掌握维权技能;另一方面也能够反映出个人信息安全维权的技术难度与不成正比的维权收益,使公民个体在维权中步履艰难。
三、法律监管与维权现状:亟需统一立法,加大司法惩处
(一)立法述评
1.个人信息保护尚无统一立法,现有规定内容分散
我国目前针对个人信息保护尚未形成统一的综合法律规范,而是具体地规定在法律、行政法规、部门规章、地方性法规和规章、各类规范性文件等多层次、多领域的规范当中,形成了一个内容分散、体系庞杂的个人信息保护模式。
2. 网络安全法关于个人信息的规定
2016年11月7日全国人大常委会通过的《网络安全法》在个人信息方面确立了重要的原则和规定,从法律层面为更加完善而系统化的个人信息保护立法奠定了良好的基础。其中第七十六条规定:“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。”这是首次在法律层面上确立了一般意义上“个人信息”的概念,为个人信息保护的体系化制度建设提供了起点。
《网络安全法》针对网络运营商收集、使用个人信息,规定了应当遵循合法、正当、必要的原则,公开收集、使用规则;明示收集、使用信息的目的、方式和范围,并规定公民对自己的个人信息在被使用过程中,享有知情权、删除权、更正权。
另一方面,从促进产业发展的角度,该法明确了禁止向他人提供个人信息的例外情形,即如果是经过处理无法识别特定个人,并且不能复原的信息可以合理使用,这也是对国家鼓励和推动大数据产业发展政策的回应,这一规定将进一步推动数据产业的发展。
此外,《网络安全法》规定,在我国境内运营中收集和产生的个人信息和重要数据应当在我国境内存储的原则,并首次在法律层面明确了违反个人信息保护规则的行政责任。这些规定都体现了社会的最新诉求和行业的前沿实践,对构建更加完整的我国个人信息保护制度具有非常重要的意义。
3. 针对个人电子信息保护的综合规定
全国人大常委会于2012年12月28日通过的《关于加强网络信息保护的决定》,针对“个人电子信息”的保护作出了较为系统的规定,明确“个人电子信息”为“能够识别公民个人身份和涉及公民个人隐私的电子信息”,并对收集、使用、保存个人电子信息作出了系统性规范,还规定了违反义务的主体需要承担相应的民事、行政和刑事责任。这个法律性质的文件为个人电子信息的保护确立了相对全面的保护,也为其他领域的法律法规提供了可供参照的样板,被认为是目前最为重要的个人信息保护规范之一。
工业与信息化部的部门规章《电信和互联网用户个人信息保护规定》,专门针对电信业务经营者、互联网信息服务提供者规定了较为全面而系统的个人信息收集和使用规范、安全保障措施以及相应的法律责任,也是一部重要的个人信息保护的专门规范。
4.经营者的个人信息保护责任
《消费者权益保护法》第29条规定了经营者收集、使用消费者个人信息时需要遵循的原则和承担的义务,即“应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。”经营者违反这些义务,需要承担民事责任和行政责任。这些规定与《关于加强网络信息保护的决定》中确立的原则和规则保持一致,对于消费者个人信息的保护及于线上和线下,适用范围亦十分广泛。
除了《消费者权益保护法》对消费者个人信息提供一般的保护之外,特定行业的法律法规规章也对其经营者提出了保护个人信息的要求,比如,《旅游法》规定,旅游经营者对其在经营活动中知悉的旅游者个人信息,应当予以保密;《征信业管理条例》系统而全面地规定了征信机构采集、整理、保存、加工个人信息的相应规范;《地图管理条例》规定了互联网地图服务单位在收集、使用、保存用户个人信息时需要承担的义务;《人民银行关于银行业金融机构做好个人信息保护工作的通知》针对金融机构的个人信息保护责任提出了系统化的要求;在金融、大数据、电子商务、电信、交通、教育、医疗等众多领域,都有相应的法规和规章来规定个人信息保护的内容。
5.行政机关及其工作人员的个人信息保护责任
除了作为经营者的商家有可能获得消费者的个人信息之外,个人在与政府机构打交道过程中也会涉及到大量个人信息。因此,有多个法律法规针对行政机关及其工作人员规定了其保护个人信息的责任。
《居民身份证法》规定,公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密;国家机关的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,需要承担民事、行政乃至刑事责任。《护照法》对护照签发机关及其工作人员、《出入境管理法》对履行出境入境管理职责的工作人员、《社会保险法》对社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构及其工作人员、《统计法》对统计机构和统计人员,都规定了类似的责任。
6.民事、行政、刑事责任
根据目前的立法体系,公民对其个人信息的保护,虽然尚未在民法基础法律文件中明确其私权的地位,但是已经在事实上作为“个人信息权”得到保护了,任何人侵害个人信息的行为,都会产生民事责任,即被侵害方可以要求停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失。(《消费者权益保护法》第50条)
此外,任何人侵害个人信息的行为,还会面临行政责任。比如,对网络服务提供者违反规定的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布。(《关于加强网络信息保护的决定》第11条)
侵害个人信息严重的,有可能触犯刑法,构成“侵犯个人信息罪”。根据刑法第253条规定,违反国家有关规定,窃取或者以其他方法非法获取、向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。而违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚。
7.立法现状总结与建议
尽管我国目前并没有统一的个人信息保护法,但是并不能认为个人信息保护方面的法律法规有所欠缺,恰恰相反,通过一般性规范和具体规定相结合,社会生活中包括线上和线下的绝大部分领域,都已经有了个人信息保护的法律规范,侵害个人信息需要承担民事、行政乃至刑事责任。只是这些规范在形式上过于分散,对于普通民众和商家来说,都难以形成直观的认知,尽快通过一部统一的个人信息保护法,对其进行系统化梳理和整合,无论是从立法资源的节省、立法技术的提高、规则体系的优化,还是向民众普及个人信息法律保护的常识和意识来看,都存在必要性和合理性。
具体来说,通过制定个人信息保护法,在法律层面明确线上线下及跨境数据传输过程中的各类个人信息采集及使用的方式、范围及标准,并严格规范各类数据采集及使用主体在信息处理方面的细则,完善个人信息安全方面的保障要求与信息披露义务,以及针对个人信息权层面的相关权益保障要求,充分保障用户在信息层面的知情权、选择权、救济权、受尊重权及信息安全权在内的各项基础性权利。
(二)司法惩处力度仍须加大
针对个人信息的非法获取与利用的司法判决为数不少,但与个人信息泄露的普遍状况相比,并不成比例。由于个人信息获取、存储和利用的环节众多,线下和线上传播具有隐蔽性和复杂性,追本溯源成本很高,发现、查处难度大,处罚、赔偿力度小,同时获利空间巨大,执法现状为灰色产业链提供了巨大的投机空间。特别是个人信息泄露与电信诈骗等犯罪活动结合之后,造成了重大的损失和巨大的社会影响,亟需加大惩处力度,增加犯罪成本,以切实起到威慑作用。
1.电信诈骗:个人信息泄露的恶果
2016年8月山东考生徐玉玉被电信诈骗导致不幸离世的新闻事件,使得社会对于电信诈骗以及相关的个人信息泄露问题的关注达到顶峰。徐玉玉轻信电 54 57948 54 31649 0 0 4847 0 0:00:11 0:00:06 0:00:05 6254内容并进行汇款的主要原因之一,就在于其申请助学金贷款的信息被流入骗子之手,使其有机会进行“精准营销”。
实际上,个人信息贩卖已成地下产业链,从源头的个人信息非法采集、黑客侵入,到非法出售、购买、转售,再到非法利用,个人信息获取、存储、利用的各个环节,都可能出现非法侵害的情况,直接或间接地成为电信诈骗等恶性犯罪的温床,都应当成为法律关注和惩处的对象。
2.侵犯个人信息罪案例:缺乏有效打击
在司法实践中,除了通过诈骗罪对电信诈骗人绳之以法之外,针对单纯的非法获取或出售个人信息行为追究刑事责任的案例也不在少数。常见的非法获取途径绝大部分是通过互联网获取、购买,内容包括电话号码、通话记录、交易订单、定位信息、身份证户籍资料、家庭地址等。但是,针对非法出售个人信息的判决却并不多见,由于刑法第253条之一规定非法出售或提供个人信息的主体限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,实践中此类人员被定罪并不多见。有法院将出售小区业主个人信息房地产公司的工作人员也列为犯罪主体[5]。单纯的侵犯个人信息罪的定罪量刑也较为轻微,大多为一年以下有期徒刑或拘役并处罚金,通常适用缓期执行。
值得关注的是,针对个人信息贩卖整个产业链展开的执法行动,通常能够实现切实效果。例如今年五月公安部督办的“5·26侵犯公民个人信息案”,打击了完整的黑色产业链,由“号主”团伙、“中间商”团伙、“出单渠道”团伙、“非法软件制作团伙”四层架构组成,其中“号主”团伙源头来自银行内部人员。
与引起巨大社会危害性的个人信息违法泄露和利用现状相比,立法上看刑法针对侵犯个人信息罪的处罚较低,执法上看,从源头堵截个人信息泄露的行动已有展开,但尚存不足,对于已形成产业链的个人信息地下产业,缺乏全面有效的打击和惩处措施。
3.个人维权困难
我国个人信息保护立法体系中规定了侵害个人信息的民事、行政和刑事责任。与刑事案件相比,民事案件的原告通常以侵害“隐私权”作为诉由,但能成功胜诉并获得赔偿者寥寥无几。例如,在消费者起诉移动通讯公司、机票预订平台等泄露个人信息的民事案件中,法院认为,被告并非掌握原告个人信息的唯一主体,无法确认被告实施了泄露原告隐私信息的侵权行为,亦即原告无法举证证明被告的泄露个人信息行为[6]。除此之外,即使在原告胜诉的案例中,由于无法证明经济损失或仅能证明极少的经济损失,原告可获得的赔偿金额很低。
个人维权还有一种途径是通过向行政机关举报,由工商行政管理部门等行政机关来进行查处。但是同样限于证据提供困难和个案的局限性,行政处罚对于贩卖个人信息形成的黑色产业链也是收效甚微。凡此种种,一方面无法对侵害人产生足够的遏制效果,另一方面,对于被侵害的个人信息持有者来说,也很难有动力去投入大量的精力和成本进行维权。
4.司法实践现状总结与建议
鉴于个人信息非法泄露与利用的普遍状况和严重危害性,目前司法实践中,无论是刑事处罚,还是民事追责,都存在着不成比例、无法匹配的现状。这与个人信息泄露本身的特殊性息息相关。从刑事打击上看,一方面立法应当加重量刑,增加威慑力;另一方面,执法行为应当向打击整个产业链倾斜,从针对某些具体个人的个别获取行为,转向对非法出售、提供、黑客侵入、贩售、软件设计等整个产业链的破获和打击,才能起到治标治本的效果。
从民事案件来看,根据现有的举证责任难度,对于技术复杂、环节众多的个人信息侵害行为,个人维权往往只能望洋兴叹。而个体案件中如果没有造成严重的损害,个人也往往没有动力去展开成本颇高的个人维权行动。因此,对于个人而言,通过事后个案维权保护个人信息的机制,成本过高而收效极低,更为重要的是尽可能采取预防措施,实现防患于未然。产业和社会也有责任向个人提供预防性、保护性技术措施,在获取个人信息的源头尽可能支持个人获得保护自己个人信息的能力和知识。
四、用户信息安全相关行业标准和企业自律模式——以征信行业为例
在大数据产业迅猛发展的浪潮中,个人信息作为数据信息的核心内容,面临着采集、存储、加工、使用各环节的规范化问题。这一命题是整个产业的问题,也同样是全社会面临的问题。司法、行政部门的执法、监管,应当作为个人信息保护的最后一道屏障而存在,如若期望公权力全面彻底治理这一社会化的大问题,并不合理,亦不现实。个人信息保护和利用的问题,需要通过市场机制、社会共治的模式,通过产业界的自律和他律,促进健康有序的市场规范的形成,通过包括市场手段在内的多种手段惩戒、共治违法违规者,防止劣币驱逐良币的情况出现,推动形成个人信息保护方面优胜劣汰的良性筛选机制。
市场上涉及个人信息处理的行业众多,其中征信行业是以机构和个人信息作为其主营业务内容的机构。经过对于市场实践运作的调研和考察,可以观察到目前征信行业在个人信息保护方面的法规相对完善,明确规定了个人信息采集、处理、输出等方面的要求,并构建了比较全面的用户权益保障措施。而规范化经营的征信机构在个人信息保护方面的实践也走在各行业的前沿,具有很强的典型性和代表性。鉴于征信行业在个人信息处理和保护方面的典型意义和借鉴价值,本报告选取征信机构为模板来考察个人信息保护机制,对征信行业的多家机构进行了调研和访谈。其中,征信指的是“对企业、事业单位等组织的信用信息和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。”征信机构是“依法设立的,主要经营征信业务的机构”。
实现健康市场秩序的具体模式,其构架可以通过建设“基础法律规范、行业通用标准、企业最佳实践”的架构来实现。接下来选取征信行业的实践为例,进行具体展开。
(一)建立个人信息分类保护
个人信息涉及到与识别个人身份相关各个方面的信息,采集、存储、利用个人信息应当符合“目的明确原则”和“合法必要原则”,即范围应当仅及于业务所需之必要信息。以征信行业为例,《征信业管理条例》对于征信机构采集的个人信息,设有禁止性和限制性两类:第一类禁止采集的包括:个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息;第二类必须明确告知信息主体不良后果并取得其书面同意的信息包括:个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。
作为基础法律规范的规定,征信机构都有必要严格执行,建立技术上和管理上可行的机制,不采集禁止性信息,对于限制性信息应当自觉履行相应告知和同意获取程序。在此基础上可以发展出相应的行业标准,约束征信机构的行为。实践中,芝麻信用、华道征信等机构都遵照法律规定,对禁止性信息和限制性信息分别建立内部制度规范,使法律规则得以落地。
此外,在这两类敏感信息之外,征信机构针对用户其他个人信息,亦可基于其实践状况发展出其他自律规范,形成企业最佳实践。例如以手机app等软件为例,芝麻信用等企业建立内部信息采集规范,只采集与评估用户信用状况有关的信息,而不采集用户的聊天、通话等个人隐私信息,不得追踪用户在社交媒体上的言论信息。
(二)全面落实用户授权机制
包括《征信业管理条例》在内的众多法律法规都要求采集和利用个人信息需要经过信息主体的授权。但实践中由于存在个人信息利用的众多环节,初始采集时的授权往往不能匹配后续各种利用环节,因此法规中的原则性规定,需要有细化的行业标准和企业自律规范来加以落实。
在征信数据利用过程中,可能涉及到信息采集者、提供者(其中包括采集者)、整理加工者、存储者以及查询者、使用者。授权通常发生在信息初始采集时,但当后续使用需求与初始授权不匹配时,需要使用者启用相应的核实授权机制重新授权。例如,芝麻信用通过技术手段的持续开发,让用户直接与征信机构发生授权交互确认,保障授权的有效性。
征信机构在与上下游行业展开合作时,也可以通过建立相应的机制来确保授权的全面有效性。例如,芝麻信用对于上游的信息提供者进行资质审核,包括对其数据安全保护能力等方面进行评估,只选择接入符合特定条件的信息提供机构;华道征信在各项业务中对信息提供者进行合法性审查,与个人信息提供者签署的合作协议中明确约定其信息采集、使用规则和义务,如信息使用者必须对个人征信授权书中的重点内容进行了加黑、加粗处理,以起到显著性提示的作用。
对于下游的信息使用者,征信机构也可以对商户在用户信息安全保障机制及能力等各方面情况进行尽职调查,以评估是否与其合作,从而尽可能确保用户信息输出到合作商户后的用户信息安全。
企业在实践中还探索建立了各具特色的对于合作商户的监控和筛选机制。如芝麻信用在合作伙伴的选择上实行类似于“黑名单”制度,设立了外部舆情监测机制,一旦发现合作商户存在信息泄露或违法违规采集/输出用户信息的情况时,会及时评估事件对用户信息安全造成的风险或潜在威胁,甚至决定中止或终止与合作商户的合作。华道征信的同业征信服务系统建立了后台监测系统,实时监测信息使用客户的查询行为,对于疑似存在异常查询行为的客户及时进行重点监控,要求该客户提交若干笔查询所对应的信息主体授权书,必要时会安排现场调查。
(三)严格规范内部管控流程
征信机构在存储和加工个人信息过程中,承担着建立严格内部制度保障信息安全的法定义务。《征信业管理条例》规定,征信机构应当建立健全和严格执行保障信息安全的规章制度,并采取有效技术措施保障信息安全;应当对其工作人员查询个人信息的权限和程序作出明确规定,对工作人员查询个人信息的情况进行登记,如实记载查询工作人员的姓名,查询的时间、内容及用途。工作人员不得违反规定的权限和程序查询信息,不得泄露工作中获取的信息。
法律的规定同样需要建立行业标准和企业内部管控制度,来落到实处。在实践中,芝麻信用、华道征信等机构建立了关于信息采集、加工、存储及使用等全数据生命周期的内部流程管控制度。
芝麻信用内部流程管控制度及配套的权限管理系统包括根据信息的敏感程度不同进行相应的分级管理等。保证数据从采集开始直至输出,任何数据的访问使用都有必须经过特定的审批流程并保留相关记录信息,避免非必要的用户信息接触行为。此外,机构持续根据业务实际情况,不断对上述制度及技术实现进行优化完善,以保证制度及流程的可执行性,避免实际操作与信息安全保障要求相脱节的情况发生。
华道征信成立了内部信息安全委员会,制定了相关制度及规范,细化了安全检查与审计管理制度、信息系统人员安全管理规定、信息安全培训和考核管理规定、信息系统安全事件报告和处置管理制度、应急预案管理流程等一系列安全管理制度等一系列信息安全管理制度,明确了有关部门信息安全管理工作职能,并对系统管理员、网络管理员、安全管理员、数据管理员等关键岗位制定了明确的职责分工、业务权限、操作规程,对工作人员查询个人信息的情况进行登记,确保各项制度流程有效实施。
实践中,将个人信息进行匿名化处理,是保护个人信息特定主体的重要手段。在征信机构的实践中,出现了避免输出原始可识别身份信息的策略,例如,即使在用户授权的前提下向合作商户输出信息,芝麻信用通常情况下不会直接输出用户的原始或明细信息,或者传统信用报告,而是经过加工后的信用标签或变量信息。这样的信息输出策略,尽可能避免了输出用户明细或原始信息可能给用户造成的风险,以及合作商户端万一发生信息泄露情况下,尽量降低可能对用户信息安全造成的影响,是值得称道和推广的业内重要实践。
(四)完善泄露危机应急预案
尽管法律法规并没有对危机应对作出具体规定,但是出于企业社会责任的需要,征信机构在数据泄露应急处理方面亦有可为之处。实践中,芝麻信用等机构建立了信息泄露应急处置预案,并不定期进行应急演练,从而保证在极端情况下发生信息泄露时,可能顺序定位到信息泄露的原因及问题所在,并在最短时间内进行处置与控制信息安全风险,以争取将信息泄露风险控制在最低程度。通过信息泄露的应急演练,征信机构可以不断就自己在信息安全保障方面存在潜在风险点进行不断识别、优化完善,从而提高自身信息泄露风险防御能力及水平。华道征信通过网站综合监控管理平台实时监控外部攻击和风险,定期开展漏洞扫描、挂马扫描、篡改扫描等安全监测工作。每年都邀请第三方安全机构进行专业风险评估,对于发现的漏洞和风险问题在第一时间进行修补和解决,有效降低受到外部攻击所导致的各种风险。
从征信机构的行业实践来看,在“基础法律规范、行业通用标准、企业最佳实践”的架构下,尽管基础法律规范仅仅作出原则性和目标性的规定,但是在环节繁多、技术复杂的征信行业中,要想真正将法律规范落到实处,还需要建立全面、细致、依赖先进技术手段的行业标准和企业自律规范。通过行业主体的自律行为,建构良好的个人信息处理规范,并建立快速、准确的信息披露和评价机制,使得违规者无处遁形,避免劣币驱逐良币现象,建设个人信息保护领域优胜劣汰的良性竞争环境。
五、结论
互联网的发展带来社会变革的同时,也为个人信息保护带来了巨大的挑战。本报告整理并总结了一百余万份调查问卷反馈数据,并针对现有的立法体系、司法现状进行了梳理和总结,探讨了个人信息保护存在的主要难点和障碍。最后,本报告把关注的焦点投向以征信行业为代表的产业实践,通过评估和总结具有代表性的企业自律规范,提出通过“基础法律规范、行业通用标准、企业最佳实践”的治理架构,来实现线上和线下的全方位、各环节共治,针对个人信息保护问题实现既治标又治本的理想目标。
(一)个人信息泄露严重、侵害程度触目惊心
根据一百余万份调查问卷的反馈数据,目前个人信息侵害体现出明显的范围广、危害大的特征,大部分受访人群都认为存在个人信息泄露的情况,而由个人信息泄露导致的恶性犯罪行为亦在舆论中不绝于耳,使得个人信息侵害成为一个普遍性的严重社会问题,近年来的泄漏事件,危害范围之广,程度之深,令人触目惊心,而且存在愈演愈烈的发展趋势。
(二)自我保护意识缺乏、维权能力动力不足
与个人信息泄露和侵害范围和危害程度恰成反比的,是普通民众的自我保护认知、维权意识和维权能力都严重偏低,对于自身个人信息的泄露途径、方式等缺乏基本知识,在日常生活、消费中无意间为个人信息泄露大开方便之门。在个人信息受到侵害或者可能受到侵害时,对维权行为意识淡薄,动力不足,能力低下。其中维权渠道缺乏、成本过高、难度过大、收益过小构成主要原因。因此,一方面应当针对普通民众进行大规模的个人信息保护观念、知识宣传,帮助其提高自我保护意识和能力,从源头上对个人信息泄露进行防范;另一方面,对个人信息侵害问题的治理,很难主要依靠受侵害者通过个人维权的途径得到妥善解决,而应当进行更加行之有效的制度和规则建设。
(三)采取统一立法模式、系统确立原则规则
通过对于我国目前立法现状和司法实践的考察,目前的法律框架和司法打击力度都存在改善的空间。从立法模式来看,针对个人信息保护存在诸多法律规定,但基本都分散在效力层次不一的各种法律法规乃至规范性文件。本报告认为,应尽快通过一部统一的个人信息保护法规,对相应法律进行系统化梳理和整合,这无论是从立法资源的节省、立法技术的提高、规则体系的优化,还是向民众普及个人信息法律保护的常识和意识来看,都存在必要性和合理性。
(四)加大司法惩处力度、重点打击黑色产业
针对个人信息侵害的司法打击尽管已经投入大量资源,但是现有的司法投入仍然不能对个人信息侵害造成足够的威慑,尤其是专门规定个人信息侵害行为的刑法条文量刑偏轻,而单纯针对局部环节的个人信息侵害行为进行处罚,仅能治标而无法触及根本。从源头堵截个人信息泄露的行动已有展开,但尚存不足,对于打着“大数据”之名而行非法数据利用之实的个人信息黑色产业链,缺乏全面有效的打击和惩处措施。从民事诉讼来看,由于个人信息侵害在技术上存在高度复杂性,而且环节众多,被侵害人在实践中极少有可能举证证明侵害行为究竟在哪个环节发生,以及准确的侵害主体,因此通过侵权诉讼来主张权利难度极大。这也同样印证了第一个结论中维权困难导致受侵害人维权意愿低下的观点。
本报告建议,在刑事打击领域,一方面立法应当加重量刑,增加威慑力;另一方面,执法行为应当向打击整个产业链倾斜,从针对某些具体个人的个别获取行为,转向对非法出售、提供、黑客侵入、贩售、软件设计等整个产业链的破获和打击,才能起到治标治本的效果。
(五)实现线上线下共治、促进合规产业发展
个人信息侵害与保护,作为一个影响宽泛的社会问题,法律上的治理和打击应当作为最后一道屏障,如果希望司法和行政机关来解决全部问题,并不现实。对于个人信息侵害的治理,更加根本的方法应当是采取防御性为主的模式,通过线上和线下各环节的规范来堵住个人信息泄露的源头,防患于未然。尽管互联网成为个人信息非法传播的主要途径之一,但是个人信息泄露的某些重要环节并不一定全部在互联网上完成。从问卷反馈和实践调研数据看,相当比例的个人信息采集源头是存在于现实生活中,比如刑法条文中规制的金融、电信、交通、教育、医疗等单位,以及线下物流快递等等渠道。因此,个人信息侵害问题的治理,并非单纯互联网问题,而是需要线上与线下各个环节共同治理。对于采集、存储、处理、使用个人信息的企业而言,应当首当其冲承担保护个人信息的社会责任,在规范自身个人信息使用行为的同时,也要尽可能向个人提供预防性、保护性技术措施,在获取个人信息的源头尽可能支持个人获得保护自己个人信息的能力和知识。
对于打着“大数据”旗号而行个人信息侵害之实的黑色产业链,应当不遗余力予以打击,但是与此同时,对于获得了合法经营资格、严格守法自律的数据处理企业,应当进行充分的肯定和鼓励,并使普通民众和消费者对此获得充分了解。不能因为存在违法的数据黑色产业链就对数据行业“谈虎色变”,应当建立完善的市场信息和信誉机制,为合法合规、严于自律的企业和机构确立正面声誉,解决信息不对称问题,将其与黑色产业链明确区隔开来,从而避免劣币驱逐良币的恶性竞争,促进数据产业的健康、良性、有序发展。
(六)确立行业通用标准、倡导最佳企业实践
个人信息侵害治理面临着技术上、操作上、制度上的众多难题,需要通过社会共同治理方能治标治本。在理想的社会共治体系中,起到核心作用的还应当是从事个人信息处理的行业实践。考虑到个人信息发生泄漏后的涉及面较广,产生的危害具有持续性等特点,除建立相应的内外部管理规范外,相应企业还应当不断强化技术安全防护能力,以最新的技术手段筑造保护个人信息的铜墙铁壁。与此同时,也建议具体的行业监管部门结合企业实践,尽快出台相应行业部门规章,细化规范信息采集、处理、及披露的具体标准,推动行业标准的形成,并鼓励形成并推广企业最佳实践模板。只有涉及到个人信息采集、存储、加工、使用等行为的企业真正洁身自好,严格自律,建设完整而细致的内部和外部管理规范,才能真正破除个人信息侵害乱象,净化个人信息保护空间。
本报告以征信行业为例,深入考察了征信行业保护个人信息的企业实践与典范,倡导建立“基础法律规范、行业通用标准、企业最佳实践”的治理架构,根据芝麻信用等征信机构形成的实践样本,建立个人信息分类保护、全面落实用户授权机制、严格规范内部管控流程、完善泄露危机应急预案,建议根据行业实践推动确立行业通用标准,并推广企业最佳实践。
本报告期望,通过市场机制、社会共治的模式,通过产业界的自律和他律,促进健康有序的市场规范的形成,通过包括市场手段、法律手段在内的多种方式惩戒、共治违法违规者,防止劣币驱逐良币的情况出现,推动形成个人信息保护方面优胜劣汰的良性筛选机制,最终实现从根本上、源头上遏制个人信息侵害的治理目标。
作者: 熊出墨请注意(ID:xiongxiongbiji)文化产业新闻综合。转载请注明。
美编:康璐玮
中国第一本文化产业日历
用匠心汇聚点滴,将文化融入时间!如果你没有时间阅读一本文化产业专业书,那不妨利用碎片时间,每天花两分钟看看日历,用365天了解文化产业。
扫描下图二维码,马上拥有!
粉丝福利请向公号后台回复以下文字获得
回复:产业政策。获得2017文化产业政策全套电子版,总计十个类别,130多个政策文档。
回复:扶持资金。获得文化产业扶持资金电子版,总计40多个申报信息,不用担心错过申报信息啦!
中国第一本文化产业日历,点击阅读原文,马上拥有!
↓↓↓↓↓