個 人 信 息 保 衛(wèi) 戰(zhàn)

　   ——數(shù)字經濟時代個人信息泄露與安全保護掃描

　　《2019年中國網(wǎng)民信息安全狀況研究報告》顯示，77.7%的被調查網(wǎng)民都遭遇過信息安全事件，并且不同程度地遭受了一定損失，總額大約為194億元，平均每人受損失約553元。

　　在互聯(lián)網(wǎng)技術蓬勃發(fā)展的時代，海量的個人信息理應成為我們更好生產生活的“推進器”，而不應成為違法分子快速生財?shù)摹靶麻T路”。保護個人信息不受侵犯，需要政府加強監(jiān)管，嚴懲違法違規(guī)分子；也需要企業(yè)補齊短板，規(guī)范個人信息收集、儲存、使用等過程；更需要不斷提高全民的法律素養(yǎng)，強化用“法律武器”維權的能力。相信隨著法治建設的不斷進步，個人信息防護的堤壩一定會越筑越牢，大數(shù)據(jù)等新科技也將更好地造福社會。

　　——題記

　　日前，江蘇省江陰市市場監(jiān)管局在執(zhí)法過程中發(fā)現(xiàn)，江陰一培訓機構非法收集14萬余條中小學生個人信息，涉及“學校、學生姓名、性別、年級、班級、學生家庭地址、家長姓名及電話……”

　　伴隨互聯(lián)網(wǎng)技術手段的進步，個人信息的泄露、交易和濫用，已經給人民群眾生產生活帶來極大困擾?！?/span>2019年中國網(wǎng)民信息安全狀況研究報告》顯示，77.7%的被調查網(wǎng)民都遭遇過信息安全事件，并且不同程度地遭受了一定損失，總額大約為194億元，平均每人受損失約553元。

　　通過立法加強個人信息保護已成為保護公民隱私和生命財產安全、規(guī)范網(wǎng)絡健康有序發(fā)展的必然要求。5月28日，十三屆全國人大三次會議表決通過了《中華人民共和國民法典》，專設第六章對隱私權和個人信息保護進行規(guī)定，被視為是一大進步。6月20日，調整后的全國人大常委會2020年度立法工作計劃明確，個人信息保護法納入工作計劃，成為社會關切。

　　多位專家表示，“雖然我國已經有多部法律、法規(guī)、規(guī)章涉及個人信息保護。比如刑法、民法總則、消費者權益保護法、網(wǎng)絡安全法、電子商務法等，都作出了相關的規(guī)定。但是從總體上看，呈現(xiàn)分散立法狀態(tài)，所以需要根據(jù)形勢的發(fā)展，制定有針對性的專門法律來加以規(guī)范，形成合力?！?/span>

　　信息成為“生意”

　　瘋狂逐利是重要推手

　　據(jù)不完全統(tǒng)計，目前中國網(wǎng)絡黑產從業(yè)者已經超過40萬人，依托其進行網(wǎng)絡詐騙產業(yè)的從業(yè)人數(shù)至少有160萬人，“年產值”在1000億元以上

　　天津市一社區(qū)大力開展防電信詐騙宣傳系列活動，工作人員向居民介紹48種常見電信網(wǎng)絡詐騙手法，倡導大家做反詐騙行動派

　　“您好，XX同學家長，我們有適合您的孩子這個年齡段的英語學習課程……”“您好，我們現(xiàn)在有一個優(yōu)惠的奧數(shù)網(wǎng)課，您考慮嗎？”在江陰一培訓機構非法收集14萬余條中小學生個人信息被曝光后，市民李女士猜測，自己及孩子的信息應該就是上述某家教育培訓機構“掌控范圍之內”，因為李女士此前就收到多個小學課外培訓的推銷電話和短信。

　　據(jù)江陰市市場監(jiān)管局執(zhí)法人員介紹，這家教育培訓機構主要面向小學初中學生提供非學歷文化教育培訓，當事人通過不明渠道獲得涉及全市97所各類學校學生即家長的詳細信息，數(shù)據(jù)全面規(guī)整，覆蓋整班整級。

　　從信息的覆蓋范圍來看，14萬余條信息顯然超出了一家教育培訓機構業(yè)務覆蓋范圍之外。為何要如此精準地收集這么多個人信息呢？“個人信息收集是為了更好地推銷商業(yè)性教育培訓服務業(yè)務。他們收集完這些信息后，就開始‘廣散網(wǎng)’。在未取得學生家長同意的情況下，以撥打電話的方式推銷商業(yè)性教育培訓服務業(yè)務，在部分學生家長明確答復不需要表示拒絕后，后續(xù)仍多次撥打電話推銷商業(yè)性教育培訓服務業(yè)務，撥打后，以代號的方式在電腦打印資料上記錄了撥打學生家長電話推銷教育培訓業(yè)務的結果以及撥打的次數(shù)?！苯幨惺袌霰O(jiān)管局執(zhí)法人員說。

　　根據(jù)《消費者權益保護法》第二十九條、《江蘇省消保條例》第十六條和十八條規(guī)定，《江蘇省消保條例》第六十二條的規(guī)定，江陰市市場監(jiān)管局對某教育培訓機構當事人處以罰款30萬元。此外，因涉案公民個人信息數(shù)量巨大，江陰市市場監(jiān)管局依法將此案件線索移交當?shù)毓簿帧?/span>

　　記者注意到，因涉及個人信息泄露，網(wǎng)友對此事件的關注度頗高。一些網(wǎng)友認為，“教育機構收集學生信息，既為自己招生服務，又可將這些信息賣給其他機構，這或許是這個行業(yè)‘潛規(guī)則’！”

　　作為一家教育機構，合理地登記自己業(yè)務范圍內學生及家長的信息，原本是為了暢通學校與家長的溝通，更好地促進學生學習。但是這樣的“初衷”已經因為商業(yè)機構的資本逐利屬性而變了“味”——成為他們的“生意”。

　　業(yè)內人士認為，隨著互聯(lián)網(wǎng)的飛速發(fā)展，消費者個人信息逐漸成為一種重要資源，由此產生行業(yè)中的惡性競爭，“得信息者得客戶”成為不少商家不良競爭手段。所有收集個人信息的部門和機構，從情理和法理上都負有保護公民個人信息的職責。包括中小學生在內的公民，在向有關部門和機構提供個人信息的時候，都不會同意自己的個人信息可以作為商業(yè)資源提供給其他部門和機構，如果公民的個人信息從這里被泄露出去，收集個人信息的部門和機構難辭其咎。

　　從信息收集到信息售賣再到信息利用，每一個交易環(huán)節(jié)環(huán)環(huán)相扣，而由此產生的“灰色產業(yè)鏈”讓人難以估量。在近日廣東省珠海市公安局高新分局網(wǎng)安大隊破獲的案件中，有一個數(shù)字足以體現(xiàn)。

　　“經審訊，犯罪嫌疑人鄭某通過倒賣、交換公民個人信息，違法置換、出售公民個人房產、車輛等個人信息，已違法獲利近27萬元。陳某借助中山、江門某房產公司的任職便利，違法獲取公民個人信息，并向鄭某、姚某出售，僅進行查車查房違法行為獲利近1萬元。姚某通過違法查詢車牌信息出售車主公民個人信息近3000次，獲利3000余元?！边@是珠海市公安局高新分局網(wǎng)安大隊的偵查記錄。

　　“倒賣、交換公民個人信息，一犯人獲利近27萬元”，不禁讓人毛骨悚然。這種害怕的背后，一方面是對個人信息的“失控”，不知道信息已經被轉手了多少次；另一方面是對個人信息產業(yè)鏈的“未知”，在巨大的利潤面前，又有多少人會因此鋌而走險。據(jù)不完全統(tǒng)計，目前中國網(wǎng)絡黑產從業(yè)者已經超過40萬人，依托其進行網(wǎng)絡詐騙產業(yè)的從業(yè)人數(shù)至少有160萬人，“年產值”在1000億元以上。

　　暨南大學法學院教授、廣東省法學會網(wǎng)絡與電子商務法學研究會會長劉穎表示，大多不法分子都是利用受害人趨利避害和輕信麻痹的心理，誘使受害人上當。對于個人來說，最需要的是提高自己保護個人信息安全的防范意識，在日常生活中處理涉及個人信息的問題時多留個心。比如，要謹防網(wǎng)絡安全陷阱，如釣魚網(wǎng)站、木馬病毒、網(wǎng)絡社交圈套等，不要隨意參加注冊信息即可獲得贈品等網(wǎng)絡活動，全面保護個人信息安全等，遠離網(wǎng)絡詐騙。

　　“內鬼”+“黑客”

　　個人信息保護“內憂外患”

　　非法獲取公民個人信息主要有兩個來源，分別是各行各業(yè)內幕人員泄露信息和黑客入侵網(wǎng)站非法獲取。從非法收集、提供竊取、交易、交換等各個環(huán)節(jié)，侵犯公民個人信息的犯罪已經形成了完整的利益鏈

　　2019年9月14日，網(wǎng)絡安全博覽會在天津梅江會展中心舉辦，100余家網(wǎng)絡安全和互聯(lián)網(wǎng)企業(yè)參展，共設置網(wǎng)絡安全核心技術展區(qū)、智能生活網(wǎng)絡安全展區(qū)、互動體驗專區(qū)等6大展區(qū)。圖為參展人員在進行科普講座

　　珠海市公安局高新分局網(wǎng)安大隊之所以能成功偵破特大侵犯公民個人信息的案件，源于一名綽號為‘螞蟻’的男子浮出水面。5月8日，高新網(wǎng)安聯(lián)合巡警所在廣東省中山市某金融中心抓獲犯罪嫌疑人鄭某（男，32歲，貴州人），當場查獲2臺作案手機，其云盤存儲公民個人信息數(shù)據(jù)近120G。

　　高新分局網(wǎng)安大隊抓獲鄭某后，繼續(xù)對電子數(shù)據(jù)和人員關系進行梳理和調查，利用智慧新警務的大數(shù)據(jù)分析能力，終于順藤摸瓜找到了個人信息非法倒賣的源頭——陳某借助中山、江門某房產公司的任職便利，違法獲取公民個人信息，并向鄭某等多人出售，僅進行查車查房違法行為獲利近1萬元。

　　無獨有偶。近日，在浙江省諸暨市公安局破獲的一起非法出售個人信息的案件中，被告人也是行業(yè)“內鬼”。

　　5月下旬的一天，經營著一家財務公司的老陳行色匆匆地走進了浙江省諸暨市公安局，向網(wǎng)安大隊舉報一個讓他寢食難安的騷擾電話。

　　老陳說，他的財務公司開業(yè)不久，主要對外承接其他公司的財務管理業(yè)務，打開業(yè)起，一個“133100”開頭的手機號碼就沒完沒了給他打電話，向他售賣企業(yè)法人信息，嚴重影響了他的正常生活。

　　網(wǎng)安大隊民警湯鑫華經過與老陳的深入交談，發(fā)現(xiàn)這個“133100”電話的背后，可能隱藏著一群販賣公民個人信息的不法分子。

　　根據(jù)老陳提供的線索，民警最終找到了本案幕后的真正“黑手”。令人唏噓的是，犯罪嫌疑人泮某竟是稅務機關工作人員。據(jù)湯鑫華介紹，由于股票投資失利，為了填補七八十萬元的虧空，擅長電腦的泮某動起了歪腦筋，他設計了爬蟲軟件，自動爬取單位系統(tǒng)內的企業(yè)法人信息后傳輸至自己設計的網(wǎng)頁上售賣。由于信息多、更新快，他的“生意”很不錯，并迅速發(fā)展了好幾條售賣個人信息的渠道，這些買者有90后的“倒賣者”，也有無業(yè)游民。

　　除了房地產公司職員、稅務機關工作人員，記者在中國裁判文書網(wǎng)搜索發(fā)現(xiàn)近年來審判的違規(guī)出售個人信息的案件中，被告人不乏銀行、通信、物流等領域人員，這些人在金錢的誘惑下，利用職務、工作便利違法向他人出售或提供公民個人信息。

　　究竟什么人可以成為偷信息的“內鬼”？“在金融領域，肯拿著大批客戶資料自用、送人或出售的，基本都是中層人員。高層不屑于做這些，底層又把資料當寶貝捂在手里，不舍得掏給別人?！币幻鹑趶臉I(yè)人員表示，在銀行，基本只有風險政策領域的一小部分人可以大規(guī)模接觸公民個人信息。

　　數(shù)據(jù)顯示，2016年以來，公安部部署全國公安機關，開展打擊整治網(wǎng)絡侵犯公民個人信息犯罪專項行動、打擊整治黑客攻擊破壞犯罪和網(wǎng)絡侵犯公民個人信息犯罪專項行動、“凈網(wǎng)2018”“凈網(wǎng)2019”“凈網(wǎng)2020”專項行動。偵破侵犯公民個人信息案件1.7萬余起，抓獲各行業(yè)內部人員3000余名。

　　公安部網(wǎng)絡技術研發(fā)中心主任許劍卓曾公開表示，從打擊情況看，目前危害最大的，主要是銀行、教育、工商、電信、快遞、證券、電商等行業(yè)的內部人員把數(shù)據(jù)泄露出來，成為侵犯公民個人信息的主體。

　　淮安市公安局清江浦分局情報技術中心副主任沙俊長期從事個人信息犯罪案件的偵查工作，他表示：“這些行業(yè)數(shù)據(jù)很鮮活，信息往往包含公民的姓名、手機號、家庭地址，甚至買賣快遞的時間，這種信息對于后期詐騙也好，或者推銷商務產品也好，都可以更準確地對人群進行定位、分類?！?/span>

　　據(jù)了解，非法獲取公民個人信息主要有兩個來源：一類各行各業(yè)的內幕人員泄露信息，另一類就是黑客入侵網(wǎng)站非法獲取。

　　2018年11月，湖北武漢公安機關接到報案，某汽車金融服務平臺服務器被黑客入侵，包括身份證、手機號、家庭住址、貸款情況在內的30余萬條客戶信息被盜取，被人以1比特幣（時值3.5萬元人民幣）的價格在“暗網(wǎng)”上出售。武漢市公安局網(wǎng)安部門經過深入偵查，于2019年1月22日在四川成都抓獲犯罪嫌疑人吳某。

　　經審查，吳某交代其曾在成都市某軟件技術專修學院學習，畢業(yè)后從事互聯(lián)網(wǎng)技術工作。2018年，吳某利用暴力破解手段非法獲取涉案網(wǎng)站后臺管理權限，盜取大量公民個人信息在“暗網(wǎng)”叫賣。

　　這起案例是今年4月公安部公布的十起侵犯公民個人信息違法犯罪典型案件之一。從案例可以看出，吳某就是案例中所指的“黑客”。近年來，由于防護不到位，眾多平臺被黑客等攻破，大面積信息泄露事件頻頻發(fā)生。而這種泄露，給個人的生命和財產安全，帶來極大隱患。2016年，剛參加完高考的山東考生徐玉玉，正是因為山東教育部門系統(tǒng)被黑客攻破，導致個人信息泄露，遭遇精準的電信詐騙，不幸去世。這一案件在社會公眾和政府部門中引起廣泛關注。

　　阿里巴巴資深安全技術專家玄泰認為，這些黑客往往通過木馬程序和攻占網(wǎng)站兩種手段盜取數(shù)據(jù)，協(xié)作能力強、創(chuàng)新能力強，平臺化趨勢越來越明顯。“有專門做釣魚軟件的供應商，有擔保數(shù)據(jù)買賣的交易平臺，有洗錢的平臺等等。”

　　記者注意到，近年來因個人信息泄露而衍生出了一系列“套路貸”“電信詐騙”等案件呈現(xiàn)頻發(fā)趨勢。截至發(fā)稿日，記者以“侵犯公民個人信息罪”“詐騙罪”為關鍵詞，在中國裁判文書網(wǎng)搜索出相關裁判文書204份。多份判決文書顯示，被竊取的公民個人信息經過加工、轉賣，被大量用于虛假銷售、電信詐騙等違法犯罪活動。其中，與銀行相關個人信息違法犯罪案件高達82%。

　　經過整理和分析近年來侵犯公民個人信息的犯罪案件，許劍卓總結該類案件主要有以下三個犯罪特點，第一，從危害角度講，侵犯公民個人信息的犯罪已經成為其他各類犯罪的上游犯罪；第二，行業(yè)內部人員已經成為實施侵犯公民個人信息犯罪的重要主體；第三，侵犯公民個人信息的犯罪已經形成了完整的利益鏈，從非法收集、提供竊取、交易、交換等各個環(huán)節(jié)，由于這些人員之間分工合作，利益共享，所以使這類犯罪進一步擴散蔓延。

　　平臺暴露管理漏洞

　　全流程信息保護機制亟待建立

　　公司在監(jiān)管方面的疏漏是造成數(shù)據(jù)泄露以及后果擴散的最主要原因，諸多中小公司為了削減預算等，可能會對數(shù)據(jù)保護問題投放非常少的精力

　　無論是“內鬼”，還是“黑客”，都在一定程度上反映出行業(yè)監(jiān)管的缺失。

　　近日，市民申女士在攜程網(wǎng)絡平臺替同事購買機票，當天，申女士手機就收到署名某航空的手機短信，告知申女士航班取消，要求申女士聯(lián)系客服辦理改簽或者退票，但需要先轉賬再辦理退款手續(xù)。

　　“因為詐騙分子能準確說出我的身份證號碼、航班等具體信息，我就以為是航空公司人員，結果在騙子的誘導下，一步步操作，先后被轉走了12萬余元。當一直未收到退款時，我才知道自己被詐騙了，于是報案?！鄙昱空f。

　　因刑事追贓無望，申女士便將攜程網(wǎng)絡平臺起訴到人民法院，要求攜程網(wǎng)絡平臺承擔全部賠償責任，理由是攜程網(wǎng)絡平臺未盡到相應的用戶信息安全保障義務。

　　值得欣慰的是，法院最終判決基于過錯程度及公平正義，由攜程網(wǎng)絡平臺承擔部分責任。理由是雖然申女士無法證明其個人信息是被攜程網(wǎng)絡平臺泄漏，但從民事訴訟法高度蓋然性的證明標準來分析看，因攜程網(wǎng)絡平臺未盡到安全保障義務而泄漏申女士個人信息的可能性較大，故可以認定攜程網(wǎng)絡平臺存在過錯并承擔相應的責任。

　　“公司在監(jiān)管方面的疏漏一般是造成數(shù)據(jù)泄露以及后果擴散的最主要的原因，諸多中小公司為了削減預算等，可能會對數(shù)據(jù)保護問題投放非常少的精力。”北京師范大學副教授、聯(lián)合國網(wǎng)絡安全與網(wǎng)絡犯罪問題高級顧問吳沈括教授說，在個人信息監(jiān)管方面，公司作為數(shù)據(jù)收集者、數(shù)據(jù)存儲者，應當設立數(shù)據(jù)保存的安全規(guī)范以及安全措施，“更為重要的是在數(shù)據(jù)泄露事故發(fā)生后的緊急應對措施也應當予以完善”。

　　在平臺企業(yè)、實體公司、機關單位等現(xiàn)有的管理體制中，除了要不斷完善對個人信息收集后的保護機制，還需要明確個人信息收集的邊界。因為，相對于信息收集后泄露的風險，網(wǎng)站、app等平臺過度索權對個人信息保護存在的潛在威脅，更為讓人“煩惱”。

　　中國消費者協(xié)會2018年發(fā)布的《APP個人信息泄露情況調查報告》顯示，有85.2%的被訪者個人信息曾經被泄露。據(jù)調查，手機APP在自身功能不必要的情況下獲取用戶隱私權限的情況比較嚴重，67.2%的受訪者稱曾遇到這種情況。

　　北京市民孟女士向記者反映，“一些手機APP存在明顯過度索權行為，如聊天APP必須要開放位置信息，或者讀取用戶通訊錄等。在給用戶提供便利的同時，APP也在大肆索取一些‘并不必要’的用戶信息。”

　　據(jù)國家互聯(lián)網(wǎng)應急中心監(jiān)測分析發(fā)現(xiàn)，在目前下載量較大的千余款移動APP中，每款應用平均申請25項權限，平均收集20項個人信息和設備信息。通常與主業(yè)無關的通話權限，就有30%以上的APP申請。

　　東南大學網(wǎng)絡空間安全學院副教授宋宇波表示，APP收集個人信息，主要原因是商業(yè)利益。他們的商業(yè)模式，就是通過采集用戶信息銷售給第三方公司。大多數(shù)APP都會要求獲取訪問用戶應用程序列表的權限，他們就可以在用戶不知情的情況下，分析用戶對應用程序的使用習慣，來推測用戶的愛好。

　　“個人信息被泄露后實在令人煩惱，比如紛擾不息但很精準的推銷電話，有時候一天都能接到近10個，這些‘無名’的電話接起來煩躁，不接又擔心錯過重要工作電話，著實讓人無奈?！泵吓俊巴虏邸闭f。

　　值得注意的是，為保障個人信息安全，2019年1月~12月，中央網(wǎng)信辦等四部門在全國范圍組織開展APP違法違規(guī)收集使用個人信息專項治理。全年共檢測App多達460萬個，下架處置了違法違規(guī)App3.1萬個，集中核查了相關App線索3000余條，抓獲814人。

　　中國并購公會信用管理專業(yè)委員會常務副主任劉新海告訴記者：“從政府角度來說，做好個人信息保護的立法和監(jiān)管，需要有一個專門的部門統(tǒng)一協(xié)調，同時要對個人信息保護進行細化，因為不同行業(yè)、領域差異比較大，并積極開展個人信息保護的教育和宣傳。從企業(yè)角度來說，需要尊重消費者的個人隱私，開展個人信息保護的合規(guī)工作，這樣才能取得消費者和社會的信任，不能為了商業(yè)利益而罔顧消費者權益。值得欣慰的是，目前市場上也開始出現(xiàn)專門提供個人信息保護服務的創(chuàng)新型科技企業(yè)，這是不錯的科技向善的趨勢。

　　泄露源頭難以界定

　　個人信息維權遭遇困境

　　現(xiàn)實中確實很難界定“平臺存在漏洞導致信息泄露”的責任，若消費者向法院投訴平臺，平臺只要舉證證明其盡到了安全責任保護義務，就很難對平臺進行追責

　　對于侵犯個人信息的案件，有一小部分人選擇維權“死磕”。

　　2019年7月，工業(yè)和信息化部發(fā)布了2019年第一季度電信服務質量通告，對100家互聯(lián)網(wǎng)企業(yè)106項互聯(lián)網(wǎng)服務進行抽查，發(fā)現(xiàn)18家互聯(lián)網(wǎng)企業(yè)存在未公示用戶個人信息收集使用規(guī)則、未告知查詢更正信息的渠道、未提供賬號注銷服務等問題。其中，貝貝網(wǎng)所屬公司杭州貝購科技有限公司因未經用戶同意收集個人信息被通報。這是貝貝網(wǎng)因泄漏用戶信息，第二次被公眾廣泛關注。

　　“我是做跨境電商的，如果這個詐騙電話打給我就不會被騙了！”2019年3月，在面對警察的訊問時，深圳的范先生氣憤地說道。

　　范先生是母嬰領域電商平臺貝貝網(wǎng)信息泄露的維權者之一。據(jù)他介紹，2018年12月10日中午，范先生的妻子接到自稱是貝貝網(wǎng)商家的電話，稱她購買的嬰兒內衣存在甲醛超標的問題，要對范太太進行退款。“起初我太太并沒有相信他們就是貝貝網(wǎng)的賣家，但是對方準確無誤地說出了我們買的東西、什么時候買的、花了多少錢，收貨地址、姓名、電話全都對的上，就打消了我太太的顧慮。說得這么詳細準確，誰會相信這是假的呢?！?/span>

　　范先生表示，“點擊對方發(fā)來的鏈接之后，支付寶里的錢轉眼就被盜了，我們倆的支付寶是綁定在一塊的，我太太的支付寶里面沒有錢，接著我的支付寶也被破解了，短信顯示我的支付寶被自動扣款，一毛錢沒剩下來?！?/span>

　　不僅如此，對方通過親密支付功能成功把范先生賬戶剩下的925.59元全部購買Q幣等虛擬貨幣。發(fā)現(xiàn)上當后，范先生聯(lián)系了貝貝網(wǎng)官網(wǎng)客服，對方建議范文到當?shù)毓膊块T報案，貝貝網(wǎng)將全力協(xié)助。

　　范先生也多次聯(lián)系貝貝網(wǎng)相關負責人，但未得到對方的正面回應。“兩邊都在踢皮球，找不到真正泄露信息的源頭，這樣根本就解決不了問題”。范先生說。

　　因貝貝網(wǎng)購物信息泄露導致用戶受到詐騙的人不只范先生一個。有用戶通過社交平臺透露，其在接到貝貝網(wǎng)所謂的“客服”電話后，受騙金額達到14.4萬元，向貝貝網(wǎng)索賠無果。

　　據(jù)范先生了解，在貝貝網(wǎng)購物后被騙的人有數(shù)十人，涉及總金額或已達上百萬元。這些受騙者在百度貼吧、微博、博客以及天涯論壇等平臺控訴貝貝網(wǎng)，試圖從多個渠道維護自己的合法權益。

　　范先生以及其他維權者的窘境在于信息泄露的源頭難以查明和取證?！吨袊娮由虅請蟾?/span>2019》顯示，網(wǎng)購消費者個人信息泄露成為網(wǎng)絡安全領域的重要隱患。由于平臺掌握了買家和買家與交易有關的詳細信息，一旦平臺可以搜索或者無意間泄露信息，信息主體都會受到傷害。

　　對此，北京盈科(杭州)律師事務所方超強律師認為，現(xiàn)實中確實很難界定“平臺存在漏洞導致信息泄露”的問題，若消費者向法院投訴平臺，平臺只要舉證證明其盡到了安全責任保護義務，就很難對平臺進行追責。

　　方超強解釋稱，電商平臺在獲取用戶個人信息的同時，就有保護個人信息的義務。但信息泄露存在不同的情況，如果電商平臺提供了符合其規(guī)模的保護措施卻還是被黑客入侵了系統(tǒng)，這種情況屬于不可抗力，電商平臺不用承擔責任；但如果最終發(fā)現(xiàn)因平臺存在漏洞而導致用戶信息泄露，那么平臺就要負責。

　　在山東濰坊，劉女士同樣因為信息泄露源頭不明而導致維權艱難。

　　自2019年10月劉女士在濰坊高新區(qū)上城浞府購買了一套商品房后，就頻繁接到裝修公司電話，裝修公司不僅能準確說出她所購買的小區(qū)，甚至連面積、戶型都準確無誤?！皠傎I了房子，還沒交房，裝修電話就接連不斷，肯定有人泄露了我的個人信息！”劉女士堅定地說。

　　為了進一步查明信息泄露的源頭，劉女士詢問了多家裝修公司的工作人員，但工作人員都表示，客戶信息主要是來自于自第三方合作平臺的推送，除此之外還通過家博會、抄錄小區(qū)附近車輛的挪車電話等方式獲取信息，并無違法行為。

　　就劉女士的遭遇，濰坊市市場監(jiān)管局表示，近年來消費者個人信息泄露愈演愈烈，已嚴重影響到消費者的正常生活，根據(jù)2020年1月1日起實施的《市場監(jiān)管部門投訴舉報暫行辦法》規(guī)定，投訴舉報由縣級主管部門進行屬地管理，消費者可向縣級主管部門進行投訴舉報，維護自身的合法權益。

　　從事房產行業(yè)多年的高先生表示，在行業(yè)內購房信息泄露，已成為明目張膽的“明”規(guī)則，準業(yè)主信息已然成為了裝修公司、家具經銷商眼中必爭的精準“信息源”，然而，往往因為信息泄露源頭不明，導致個人維權時艱難，“有些買家利用完后會再轉手賣出，流向同行業(yè)或者金融行業(yè)，這是一條完整的灰色信息產業(yè)鏈條?！?/span>

　　山東豪德律師事務所王增金律師表示，《消費者權益保護法》從法律層面確定了消費者個人信息受保護，個人信息屬于個人隱私，商家未經客戶同意私自泄露或出賣，不僅違反了《消費者權益保護法》、《侵權責任法》，同時違反了《民法總則》的相關規(guī)定，向他人出售或者提供公民個人信息者需要承擔相應的民事責任。

　　現(xiàn)實中，諸如劉女士的境遇可能已經成為大部分人正常生活中的一部分。這一部分人可能因為個人信息保護意識的不強，又或者因為繁瑣的維權程序而選擇“沉默”。根據(jù)《2019年中國網(wǎng)民信息安全狀況研究報告》顯示，網(wǎng)民嚴重缺乏對信息安全事件的維權意識。調查報告顯示，77.7%的被調查網(wǎng)民都遭遇過信息安全事件，盡管他們遭受了損失，但是47.50%的被調查網(wǎng)民未曾對其做過相應的維權處理。

　　新技術帶來新挑戰(zhàn)

　　生物特征信息采集謹防過度

　　在AI技術應用與肖像權保護方面，民法典回應了社會熱點問題，未經肖像權人同意的“換臉”行為涉嫌侵權

　　刷臉成為當下一個“時髦”而便捷的通行方式。但浙江市民郭兵對這種人臉信息應用的選擇更為謹慎。

　　6月15日，浙江省杭州市富陽區(qū)人民法院公開開庭審理杭州野生動物世界有限公司服務合同糾紛一案，本案原告郭兵因不愿意使用人臉識別，以侵犯隱私權將杭州野生動物世界告上法庭。郭兵訴稱，2019年4月他在杭州野生動物世界辦理了一張年卡，通過驗證年卡和指紋，可在一年內不限次數(shù)入園游玩。2019年10月，被告杭州野生動物世界通過短信告知郭兵，“園區(qū)年卡系統(tǒng)已升級為人臉識別入園，原指紋識別已取消，即日起，未注冊人臉識別的用戶將無法正常入園”。

　　對此，郭兵認為面部特征等個人生物識別信息屬于個人敏感信息，一旦泄露、非法提供或者濫用，將極易危害包括原告在內消費者人身和財產安全。他表示，僅憑一條短信通知就要求更改入園方式，按照合同來說是一種“單方變更”。

　　因上述案件涉及是否過度采集公民生物特征信息等話題，被輿論稱為“刷臉第一案”。

　　如今，人臉識別等個人信息大數(shù)據(jù)應用場景遍布日常生活，機場安檢、刷臉支付、小區(qū)進出等不少應用場景都逐漸嘗試。尤其在疫控特殊時期，大數(shù)據(jù)的應用優(yōu)勢更加突出。比如，傳統(tǒng)的接觸式線下核驗方式存在一定風險，“健康寶”采用線上人臉識別、線下現(xiàn)場核驗相結合的方式，既保證了非接觸式核驗安全性，也確保了信息的唯一性和真實性。

　　全國信息安全標準化技術委員會牽頭成立的APP專項治理工作組副組長洪延青表示，相較于傳統(tǒng)的走訪、摸排、登記，信息技術和大數(shù)據(jù)分析更加及時、準確、有效，成為疫情防控和監(jiān)測的重要手段。此外，大數(shù)據(jù)不斷學習、更迭、完善的特點，也有利于更好分析掌握疾病傳播規(guī)律，消除防疫“盲區(qū)”和不確定性。

　　因為新技術應用越來越廣泛，社會的關注度也越來越高，相關話題也被置于公眾討論：人臉識別技術是否存在濫用？誰能收集、使用我們的生物信息？誰又來保護我們的信息安全？

　　劉新海告訴記者，個人信息保護的難點在于數(shù)字經濟時代，消費者有越來越多的數(shù)據(jù)產生信息并以極快的速度傳播。在信息傳輸?shù)耐瑫r，由于對數(shù)據(jù)信息的監(jiān)管薄弱，缺乏大數(shù)據(jù)個人信息保護技術支撐，所以個人信息保護在大數(shù)據(jù)時代受到了空前的挑戰(zhàn)。

　　近日，一份在京發(fā)布的《人臉識別與公共衛(wèi)生調研報告》，對疫情期間公眾對人臉識別的接受度進行了研究。報告顯示，疫情中大規(guī)模使用的人臉識別及其增強形式，讓很多受訪者擔憂其自身信息安全。受訪的1100多人中，60.3%的受訪者不知道哪些實體擁有自己的面部數(shù)據(jù)，93.8%的受訪者認為自己有權知道，僅有33.5%認為自己的面部數(shù)據(jù)是安全的。

　　人們對個人生物信息技術應用的擔心不無道理。據(jù)了解，人臉信息泄露或被非法采集，不法分子可以通過軟件合成，將照片制作成動圖，按照相應登錄軟件規(guī)定程序，圖片可以完成點頭、眨眼等認證動作，就能順利通過部分軟件的人臉認證，這已成為灰色數(shù)據(jù)交易的“過臉產業(yè)”。

　　事實上，早在今年2月，中央網(wǎng)信辦就發(fā)布《關于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》，對疫情防控期間的個人信息安全保障作出規(guī)定?！锻ㄖ访鞔_規(guī)定，為疫情防控、疾病防治收集的個人信息，不得用于其他用途，任何單位和個人未經被收集者同意，不得公開其姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息。

　　“疫情防控與個人信息保護，需要統(tǒng)籌兼顧、做好平衡?！痹诤檠忧嗫磥?，涉及個人信息的采集、匯總、共享、披露等各個環(huán)節(jié)都應當注意做好個人信息保護工作，以防出現(xiàn)數(shù)據(jù)泄露、丟失、濫用等情形。比如，以電子方式記錄或匯總相關信息，則需要責任落實到人，并將數(shù)據(jù)保存在特定終端并加密存儲。

　　值得注意的是，《民法典》人格權編對個人生物識別信息的保護做了明確規(guī)定。北京大學法學院副院長薛軍認為，在AI技術應用與肖像權保護方面，民法典回應了社會熱點問題，未經肖像權人同意的“換臉”行為涉嫌侵權。針對平臺侵權責任的設定，民法典在《電子商務法》的基礎上將平臺等待權利人針對反通知（涉嫌侵權者聲稱自己未侵權的證明）做出回應，終止已采取措施的期限，由15天修改為“合理期限”。

　　業(yè)內人士認為，目前，我國公民的個人信息自我保護意識落后于現(xiàn)代社會迅猛發(fā)展的速度，導致民眾在日常生活中缺乏自我保護的法律意識。建議加快個人信息保護法的立法進程，一方面為公民維權提供明確的法律武器，另一方面為公民增強信息保護意識提供輿論氛圍。

　　呼應群眾訴求與期盼

　　個人信息保護亟需形成合力

　　我國關于個人信息保護在法律法規(guī)層面已有相關規(guī)定，但這種分散式的立法不利于形成保護合力

　　7月3日，數(shù)據(jù)安全法（草案）全文在中國人大網(wǎng)公開征求意見。據(jù)全國人大常委會法工委發(fā)言人臧鐵偉介紹稱，數(shù)據(jù)安全法草案主要內容包括四方面：“一是，確立數(shù)據(jù)分級分類管理以及風險評估、監(jiān)測預警和應急處置等數(shù)據(jù)安全管理各項基本制度。二是，明確開展數(shù)據(jù)活動的組織、個人的數(shù)據(jù)安全保護義務，落實數(shù)據(jù)安全保護責任。三是，堅持安全與發(fā)展并重，規(guī)定支持促進數(shù)據(jù)安全與發(fā)展的措施。四是，建立保障政務數(shù)據(jù)安全和推動政務數(shù)據(jù)開放的制度措施?！?/span>

　　這意味著，數(shù)據(jù)安全法實施后，對相關企業(yè)處罰時將有法可依，個人信息保護又多了一道法律“屏障”。

　　據(jù)了解，目前，我國關于個人信息保護在法律規(guī)定層面已有相關規(guī)定，如兩高關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋中已經明確了“情節(jié)嚴重”的認定標準：非法獲取、出售通信信息、財產信息50條以上的，或者非法獲取、出售或提供通信信息、交易信息等公民個人信息500條以上的，或違法所得5000元以上的，都可入罪。即將施行的《民法典》第六章獨立設置了隱私權和個人信息保護，從個人信息的定義、個人信息處理的原則和條件以及個人信息處理者的安全保障義務等整體角度分別作出規(guī)定。

　　與此同時，在部門規(guī)章層面，《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》明確電信業(yè)務經營者和互聯(lián)網(wǎng)信息服務提供者在個人信息保護方面的職責；《互聯(lián)網(wǎng)個人信息安全保護指南》引導個人信息持有者采取有效的信息安全保護措施等。

　　目前，我國個人信息保護主要內容有哪些？中國信息通信研究院互聯(lián)網(wǎng)法律研究中心主任方禹表示，根據(jù)現(xiàn)有立法來看，大致可以分為四點：一是明確個人信息的概念。如網(wǎng)絡安全法將個人信息界定為，以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。

　　二是規(guī)定個人收集使用要求。如網(wǎng)絡安全法規(guī)定，網(wǎng)絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。

　　三是賦予個人享有的部分數(shù)據(jù)權利。民法總則第111條確立了對個人信息的保護，其規(guī)定：“自然人的個人信息受法律保護”。

　　四是設計跨境數(shù)據(jù)流動制度。我國在網(wǎng)絡安全法等立法中確立了跨境數(shù)據(jù)流動管理制度，規(guī)定關鍵信息基礎設施的運營者收集、產生的個人數(shù)據(jù)和重要數(shù)據(jù)向境外提供進行安全評估。

　　在中國社會科學院法學所副所長周漢華看來，這種分散式的立法并不利于形成保護合力。“關于個人信息保護的規(guī)定，散見于各種規(guī)范性文件里，這就產生了不確定性，行業(yè)主體不知道應該遵守什么樣的規(guī)則。”

　　此外，也有專家認為，當前個人信息保護的法律體系還存在一定的局限性：一方面，現(xiàn)行的法律法規(guī)對于違法分子的懲處力度有限，例如，《網(wǎng)絡安全法》將罰款數(shù)額設定在違法所得的一倍以上十倍以下，沒有違法所得的，罰款上限為一百萬元，而互聯(lián)網(wǎng)企業(yè)利用個人信息所獲利益遠遠大于罰款。2018年，某知名互聯(lián)網(wǎng)平臺曾被行政機關通報在個人信息保護方面存在違法行為，管理部門根據(jù)《消費者權益保護法》，對該平臺予以警告，并處罰款５萬元。與之形成鮮明對比的是，2019年，Facebook因個人信息保護問題被美國聯(lián)邦貿易委員會處以50億美元的巨額罰款。另一方面，部分規(guī)范效力等級較低，已經無法滿足社會公眾對個人信息保護的需求。

　　現(xiàn)實的需要，民眾的期盼，讓立法對個人信息進行保護顯得更為迫切。方禹認為《個人信息保護法》需要解決好三個問題：保護哪些信息？誰來保護？如何保護？

　　首先，應進一步明確個人信息保護調整范圍。立法必須平衡數(shù)據(jù)自由流動和個人權利保護。過度強調權利保護的個人信息保護法規(guī)，雖然能在一定程度上提升個人信息保護水平，用戶對自身數(shù)據(jù)的控制權將大為提高，但在整體數(shù)字經濟發(fā)展環(huán)境下，未必會形成良好的長期效果。個人信息保護的制度設計應當同時符合產業(yè)發(fā)展和權利保護的需要，個人信息范圍可寬可窄，具體保護規(guī)則可松可嚴。如果要兼顧數(shù)據(jù)自由流動和個人權利保護，邏輯上就應當對兩個關鍵因素進行合理匹配，較寬的個人信息范圍適用寬松的保護規(guī)則，較窄的個人信息范圍適用嚴格的保護規(guī)則。

　　其次，要明確個人信息保護專門機構。當前，互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)的不斷融合，跨行業(yè)、跨領域的個人信息保護情況越來越多。但現(xiàn)有立法并未明確規(guī)定各行業(yè)主管部門在個人信息保護領域的管理邊界，大量重復監(jiān)管和監(jiān)管真空的現(xiàn)象凸顯。同時，分散的個人信息保護管理體制，使得公民在個人信息受到侵害后投訴舉報常難以被受理或解決，救濟難度大大增加。因此，建立完善保護層級更高、統(tǒng)籌和協(xié)調性更強的個人信息保護體制顯得越來越迫切。

　　再次，應細化有關個人信息保護規(guī)則。一要進一步細化知情同意規(guī)則，明確規(guī)定向用戶告知的信息應當準確、易于理解、易于獲取，清晰說明各項業(yè)務功能及所收集個人信息類型、個人信息處理規(guī)則；明確同意的具體要求，即自愿的、具體的、明確的意思表示，不得通過默認勾選、概況同意方式獲得用戶授權。二要規(guī)定敏感個人信息的特殊保護規(guī)則。建議立法中對不同的個人信息進行分級分類保護，對敏感個人信息進行更嚴格的保護。三要規(guī)定公開個人信息保護的具體規(guī)則。公開披露個人信息的主體可以是網(wǎng)絡運營者公開公民的個人信息，也可以是國家機關出于國家安全或公共利益的考慮，將特定公民的個人信息向公眾予以公開。

　　與時代同行，與民眾呼應。在互聯(lián)網(wǎng)技術蓬勃發(fā)展的時代，海量的個人信息理應成為我們更好生產生活的“推進器”，而不應成為違法分子快速生財?shù)摹靶麻T路”。保護個人信息不受侵犯，需要政府加強監(jiān)管，嚴懲違法違規(guī)分子；也需要企業(yè)補齊短板，規(guī)范個人信息收集、儲存、使用等過程；更需要提高全民的法律素養(yǎng)，強化用“法律武器”維權的能力。相信隨著法治建設的不斷進步，個人信息防護的堤壩一定會越筑越牢，大數(shù)據(jù)等新科技也將更好地造福社會。