社会问题

01
520万名酒店客人资料泄露,我们如何守护个人信息安全

2020年3月31日,据CNET报道,全球首屈一指的某国际酒店集团再次被曝出信息泄露问题。酒店方表示,公司有近520万房客的个人资料被泄露,泄露的信息有姓名、地址、邮件、生日,甚至包括一些忠实用户的账号详细信息。除此之外,“某银行因泄露客户个人流水被罚450万元”“App过度收集用户个人信息”的报道也屡见不鲜。甚至有网友爆料,他们手机上的照片曾被App自行删除。

不知道你平时有没有这样的经历:总有一些陌生电话,问你要不要贷款、要不要买房、要不要报培训班,甚至连你叫什么、住哪里、最近办了什么业务都说得出来。这些人有那么神通广大吗?

其实,不是对方有神通,而是个人信息“满天飞”已经成了公开的秘密。有时候,我们甚至会产生一种错觉,谁的信息要是没被出卖过,反而还觉得不正常了。

侵害个人信息的现象如此猖獗,难道我们国家没有关于个人信息保护的法律规定吗?

当然不是。2021年11月1日,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式施行,这是我们国家第一部专门的、系统性的个人信息保护法律。在此之前,个人信息保护主要散见于《中华人民共和国民法典》(以下简称《民法典》)、《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国刑法》(以下简称《刑法》)等法律中。

《个人信息保护法》对个人信息的定义是“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。比如,我们的姓名、出生日期、身份证号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。同时,《个人信息保护法》进一步将生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息定义为敏感个人信息,制定了更为严格的处理规则。

而即便如此,有个现实情况是,目前个人信息保护的困境不是无法可依,而是个人信息保护落实难,法律层面的规制乏力。几乎任何人、任何单位都可以一定程度地收集公民个人信息,但是信息收集后的管理制度却相对宽泛。再者,信息泄露溯源也难,仅凭技术手段或者管理制度很难查到泄露的源头。

我们以大家平常使用的手机App为例,在个人信息保护上至少存在以下问题:

第一,法律规定,App收集个人信息要经过用户同意。在实际使用中,如果你不同意App收集某些个人信息,就没法使用那个App,并没有第三种选项。更有意思的是,这类App的用户协议大都篇幅极长且字体极小,99.9%的人也许看都不看,即便看也不会逐条细看,而很多猫腻就藏在这里面。

第二,法律规定,App不得收集与所提供服务无关的个人信息。但是,哪些信息与服务有关,并不是由用户说了算。以前,相关法律的规定较为原则,只要求“合法、正当、必要”。使用以后发现自己的信息被App过度收集了,用户可以投诉举报,也可以向法院起诉,但是维权成本很高。

第三,法律规定,App要对收集的用户个人信息严格保密,并建立保护制度。且不论这些App有没有建立保护制度,谁来监督和怎样监督这些App,出现信息泄露后怎么确认信息是哪个App泄露的就是个棘手的问题。因为你的个人信息早已经满天飞了,要想查出来是谁泄露的太难了。

这些问题和矛盾该如何解决,不仅考验人性的底线,更考验法治的能力。随着《个人信息保护法》的实施,行政主管部门也不断完善管理制度。比如,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局颁布的《常见类型移动互联网应用程序必要个人信息范围规定》,明确39类常见App必要个人信息范围,进一步解决个人信息过度收集问题;比如,建立健全个人信息保护合规制度体系,对处理个人信息达到一定数量的单位,强制要求建立个人信息保护负责人制度;等等。

此外,除了行政管理和民事权利,个人信息保护还涉及到刑事追责的问题。《刑法》中规定了侵犯公民个人信息罪,但是量刑标准较高,追责难度大,需要达到“情节严重”才能够追究刑事责任。“情节严重”具体指:出售或者提供行踪轨迹信息,被他人用于犯罪;非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上;非法获取、出售或者提供除上述信息以外的公民个人信息5000条以上的;违法所得5000元以上等。满足以上任一条,才属于情节严重的刑事犯罪,最高可判处7年有期徒刑。

由于我们国家以前在个人信息保护层面的法律基础相对较弱,伴随着互联网和信息技术的飞速发展,个人信息保护必然面临很大的挑战和困境。除了法律法规的完善,也希望每个人都能够增强个人信息保护意识,注意个人信息的保护,必要的时候,积极采取法律手段维权。