在对全国100多万份调查问卷进行系统分析研究后,《中国个人信息安全和隐私保护报告》(以下简称《报告》)近日发布。本次调研显示出,当前公民个人信息遭受侵害的程度,令人触目惊心。
两成人曾受电信诈骗恐吓
60%受访者不知如何维权
在解释未能维权的原因时,半数以上的参与调研者因不知如何维权(占60%)和没有发现经济损失(占56%)而选择了沉默。
量刑过轻震慑力有限
针对此次调查发现的问题,《报告》认为,尽管目前我国针对个人信息保护存在诸多法律规定,但基本都分散在效力层次不一的各种法律法规乃至规范性文件。因此建议,应尽快通过一部统一的个人信息保护法规,对相应法律进行系统化梳理和整合。
《报告》指出,尽管当前针对个人信息的非法获取与利用的司法判决为数不少,但与个人信息泄露的普遍状况相比,并不成比例。特别是个人信息泄露与电信诈骗等犯罪活动结合之后,造成了重大的损失和巨大的社会影响,亟需加大惩处力度,增加犯罪成本,以切实起到威慑作用。
芝麻信用成实践样本
《报告》同时指出,实现健康市场秩序的具体模式,其构架可以通过建设“基础法律规范、行业通用标准、企业最佳实践”的架构来实现。
例如,以手机app等软件为例,芝麻信用等企业建立内部信息采集规范,只采集与评估用户信用状况有关的信息,而不采集用户的聊天、通话等个人隐私信息,不得追踪用户在社交媒体上的言论信息。
同时,芝麻信用在合作伙伴的选择上实行类似于“黑名单”制度,设立了外部舆情监测机制,一旦发现合作商户存在信息泄露或违法违规采集/输出用户信息的情况时,会及时评估事件对用户信息安全造成的风险或潜在威胁,甚至决定中止或终止与合作商户的合作。
蚂蚁金服副总裁、芝麻信用总经理胡滔在会上透露,芝麻信用已通过英国标准协会权威评估认证,成为国内首家获得ISO27001:2013国际信息安全管理体系认证证书的征信机构。
附:《中国个人信息安全和隐私保护报告》全文
中国个人信息安全和隐私保护报告
中国青年政治学院互联网法治研究中心
&封面智库联合发布
2016年11月
报告摘要
我国信息化建设的推进和互联网应用的普及,推动了社会大发展和新变革的同时,也为个人信息安全带来了新挑战。
侵犯公民个人信息犯罪以及因此滋生的电信、网络诈骗等下游违法犯罪行为已造成社会巨大损失,严重影响社会安定,成为社会公害。
在执法部门投入大量社会资源进行的持续高压打击之下,一系列大规模侵犯个人信息犯罪案件告破,不法分子嚣张气焰得到遏制,但仍呈现出屡打不绝的态势。
要改变公民个人信息频遭泄露侵害的社会现实,需要全方位建立个人信息安全的社会保障体系:
对于公众,需要进一步清晰个人信息泄露造成的危害、掌握有效防范技能并树立维权意识;
法制建设方面,要改变现有个人信息保护法律法规过于分散的现实,建议尽快制定统一、系统的《个人信息保护法》,为公民维权、打击犯罪提供便捷途径;
从司法实践来看,应进一步强化打击的威慑力,重点打击以侵害个人信息生利的黑色产业链;
专家评述
个人信息治理应当注重事前防范
胜于事后打击
林维/中国青年政治学院副校长
互联网法治研究中心主任、最高人民法院刑一庭副庭长
目前,针对个人信息泄露及其引发的电信诈骗等犯罪活动,已经引起了公安部等部门的高度重视,也投入了大量的金额和资源进行打击,近期开展的打击整治网络侵犯公民个人信息犯罪专项行动也获得了明显的成效。
但是,事后的打击和惩处依然未能根除个人信息泄露和侵害现象,民众对于自身个人信息泄露的感受依然普遍强烈,并对维权途径所知甚少、维权效果信心不足。
本次《中国个人信息安全和隐私保护报告》的撰写,是基于100余万份问卷调查反馈的信息,用大数据的方式展现了当下民众面对个人信息泄露现状的焦虑和无助。
统计数据表明,个人信息安全已成为社会普遍焦虑,个人信息泄露引发的骚扰密度与社会经济和信息化发展程度成正比,公民个人信息遭侵害程度触目惊心。
而与这些相对应的,是民众防范意识不强,保护意识薄弱,维权动力不足。
对此,立法、行政和司法机关的确应该当仁不让承担起治理乱象的重任。在梳理了立法、行政和司法实践现状之后,报告建议建构统一立法框架、加大司法打击力度、确立顺畅维权渠道。
法律制度上固然应当建立起一道坚实的保护壁垒,但是,鉴于个人信息泄露的复杂性和隐匿性,把希望主要寄托在通过法律进行事后打击和治理,恐怕并非治标之良策。
以举证责任倒置破解个人信息保护难题
傅蔚冈/上海金融与法律研究院执行院长
2016年7月20日,公安部官网以《公安机关打击整治网络侵犯公民个人信息犯罪成效显著》为题报道了公安部门打击侵犯公民个人信息犯罪的努力。内容显示,自2012年起,公安部就多次部署全国各地公安机关开展集中打击侵犯公民个人信息犯罪行动且收获颇丰。
最近一次是自今年4月起、为期半年的打击整治网络侵犯公民个人信息犯罪专项行动,截至7月,全国公安机关即累计查破刑事案件750余起,抓获犯罪嫌疑人1900余名,缴获信息230余亿条,清理违法有害信息35.2万余条,关停网站、栏目610余个。
如何破解个人身份信息泄露的难题?《中国个人信息安全和隐私保护报告》系统梳理了当下中国个人信息安全问题,并且提出了非常有针对性的建议,并且从个人、市场与社会;立法、执法和司法等多层次探讨了今后该努力的方向。
毫无疑问,这些建议非常有针对性。如果能得到落实,那么个人信息安全将会大幅度得以改善。不过即便如此,短期内个人身份信息泄露的状况要大幅度改善,可能还是会有很大的难度。
难度来自于举证责任。众所周知,绝大多数的个人身份信息泄露并不属于刑事责任,因此公安部门无法派遣大量的人力和资源来查办此类案件——事实上也并不经济。
在民事纠纷中,要求让泄露个人信息的机构或这个人承担民事责任也是难于上青天,因为它们会陷于法律上的举证责任难题,因此到目前为止有关的诉讼大都以原告的败诉收场。正是由于刑事上无法立案,民事上输于举证责任,因此才酿就了“徐玉玉”的悲剧——可以想象,这必定不是最后因为个人身份信息泄露的受害者。
如何解决这个困境?一个可行的举措是改变民事诉讼中的举证责任,将目前的“谁主张谁举证”改为“举证责任倒置”,即不是由原告提供证据来证明被告以不恰当的方式获得了个人身份信息;而是原告只要提供了被告联系其这一事实即可以被告非法获得身份信息为由提起民事诉讼,被告需要承担提供其合法获得原告身份信息的证明。这样一来,就会对哪些非法获得身份信息的机构和个人形成强烈的威慑效果。
正如《中国个人信息安全和隐私保护报告》所言:“由于个人信息获取、存储和利用的环节众多,线下和线上传播具有隐蔽性和复杂性,追本溯源成本很高,发现、查处难度大,处罚、赔偿力度小,同时获利空间巨大,执法现状为灰色产业链提供了巨大的投机空间。”
扭转这个乱象的关键之举就是举证责任倒置。
因为现在个人身份信息的存储无处不在,个人没有能力来约束那些获得其身份信息的机构和个人,就必须通过举证责任倒置的方式,让那些有能力获得他人身份信息的主体妥善保管他人信息,也可以最大限度让所有的机构和个人只使用来自合法渠道获得的个人信息。不仅非法获取个人身份信息要承担责任,使用非法获取的个人身份信息也要承担民事责任,这样一来,就可以在源头上切断非法个人信息。
前言
近年来,侵犯公民个人信息及其所滋生的侵害事件不断发生,扰乱了社会秩序,给群众人身财产安全造成巨大威胁,严重影响社会安定。震惊全国的“徐玉玉案”等一系列案件发生后,个人信息安全已成为全社会的重大关切。
问卷回执样本分析显示,个人信息安全所遭受的威胁已经引起了公众普遍重视,但由于个人信息保护能力与常识、经验的缺乏,不法之徒对公民的个人信息侵害行为仍有机可乘,且因群众维权意识和动力不足,维权能力有限,个人信息保护仍处于危机时刻。
本报告还将从立法和司法实践角度阐述个人信息安全的法律监管和维权现状。由于个人信息是大数据产业的重要核心,通过市场机制、社会共治实现个人信息安全、提升群众安全感也切实可行,本报告将以征信行业和代表性企业为例,详细说明行业和企业在个人信息保护中的先进模式和具体实践。
一、侵犯公民个人信息犯罪
及隐私侵害行为已成社会公害
我国信息化建设和大数据等信息产业的不断推进和发展,带动了各项社会服务日趋高效、便捷,群众生活水平持续提升,幸福感和获得感不断增强。但与此同时,信息的广泛应用以及人们对个人信息安全防范意识的薄弱,也给犯罪分子实施犯罪提供了便利条件。
近年来,侵犯公民个人信息犯罪持续高发,其中以“徐玉玉被诈骗案”为代表的由于侵犯公民个人信息滋生的电信网络诈骗犯罪已给群众财产造成重大损失,严重影响社会安定。在今年8月19日召开的打击跨国电信网络诈骗案件通报会上,公安部刑侦局有关负责人介绍,2015年我国电信诈骗发案59.9万起,造成经济损失约200亿元;仅2016年上半年,电信诈骗发案就达28.7万起,造成损失80余亿元[1]。
执法机关面对侵犯公民个人信息犯罪行为从未手软。实际上,自2012年起,公安部就多次部署全国各地公安机关开展集中打击侵犯公民个人信息犯罪行动且收获颇丰。最近一次是自今年4月起、为期半年的打击整治网络侵犯公民个人信息犯罪专项行动,截至7月,全国公安机即关累计查破刑事案件750余起,抓获犯罪嫌疑人1900余名,缴获信息230余亿条,清理违法有害信息35.2万余条,关停网站、栏目610余个[2]。
但当前,侵犯公民个人信息犯罪呈现了屡打不绝且日趋专业化、团伙化、产业化的态势。在近日由公安部统一组织25省区市公安机关破获的一起特大侵犯公民个人信息案中,公安机关在一案中即抓获犯罪嫌疑人201名,铲除信息泄露源头42个,摧毁9个涉案地域广、涉案人员多、信息数量、种类及涉案金额大的侵犯公民个人信息犯罪团伙。
侵害个人信息犯罪行为的猖獗,引起了中央和国家的高度重视。近日,公安部、中央综治办、国家发展改革委、工信部等八部门联合发布《关于规范居民身份证使用管理的公告》,要求国家机关或有关单位应当建立健全公民个人信息安全管理制度,对在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息严格保密。对单位内部建立的公民个人信息存储系统,要严格设定查询权限,严格控制知悉范围;要强化技术防护措施,严防信息泄露或被窃取[3]。
2016年10月10日至11日召开的全国社会治安综合治理创新工作会议上,更是明确要求结合制定《个人信息保护条例》,加大信息源头保护力度,完善公安、教育、医疗、金融等重点行业信息安全保护体系[4]。
为进一步加强个人信息安全法律体系的建设,于11月1日提请全国人大常委会进行二次审议的民法总则草案中,增加规定:“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息。”草案力图在对个人信息应用的源头和上游给予公民法律保护。2016年11月7日全国人大常委会通过的《网络安全法》在个人信息方面确立了重要的原则和规定,从法律层面为更加完善而系统化的个人信息保护立法奠定了良好的基础。
舆论认为,要遏制侵犯个人信息犯罪行为,务必须要国家法律体系的日趋缜密和执法力量的持续高压,同时,针对公民个体的普法教育和使公民切实提升个人信息安全防范意识也不可或缺。
二、百万数据调查:
公民个人信息安全意识强,
但维权动力与能力有限
通过对调研问卷回执的样本数据分析,本报告认为,当前人们对个人信息保护的社会现状安全感不高,超七成参与调研者认为个人信息泄露安全问题严重;民众遭受个人信息侵害程度高;个人信息安全防范意识不强为侵害行为提供可乘之机,半数参与调研者对于因证件复印和快递单造成的个人信息泄露无察觉,超六成参与调研者在更换手机和手机号时存在信息泄露隐患;个人信息侵害维权观念不强、常识不够、动力不足,仅有20%的参与调研者在发现个人信息遭受侵犯时,采取投诉、举报和报警等积极应对措施,六成参与调研者不知如何维权,近半数参与调研者认为维权困难。
(一)个人信息安全已成为社会普遍焦虑
在全部问卷回执中,针对“你觉得个人信息泄露问题严重吗”问题,有28%的参与调研者认为“没有感觉”,43%的参与调研者认为“严重”,认为“非常严重”的参与调研者占比达29%(见图1)。
图1:参与调查人群对个人信息泄露问题的整体感受
图2:不同年龄段人群对于个人信息泄露问题的整体感受
在参与调研者的性别和年龄比例中,对于上述问题的看法没有明显偏差(见图1、2),这也可以说明,对于个人信息安全的焦虑并非特定群体的主观性偏差,具有社会普遍性。
(二)个人信息泄露引发的骚扰密度
与社会经济和信息化发展程度成正比
图3:参与调查人群对电信骚扰的反馈情况
图4:电信骚扰地区排行
(三)公民个人信息遭侵害程度触目惊心
本次调研所显示出的公民个人信息遭侵害程度令人触目惊心。
图5:个人信息、隐私受侵害行为类型调查
(四)民众防范意识不强
为侵害行为提供可乘之机
在日常生活中,证件复印件、快递单和手机是泄露个人信息的重要载体。问卷调研显示,由于对个人信息泄露渠道的不了解,虽然大多数人意识到个人信息泄露的严重程度,但相当高比例的人群并不知道如何防范个人信息侵害,在使用个人信息的载体时疏忽大意或不知如何采取防范行动。
图6:个人信息泄露隐患之线下渠道调查
调研中,55%的参与调研者从不将证件复印件标明用途;47%的参与调研者经常将写有个人信息的快递单直接扔掉而不加处理(图6)。
图7:个人信息泄露隐患之移动端渠道调查
在通过手机使用Wi-Fi时,34%的参与调研者只希望确保手机在线,而不会对免费Wi-Fi鉴别使用;在收到陌生号码发来的短信时,26%的参与调研者会点击短信中的可能产生侵害行为的网络链接(图7)。
图8:个人信息泄露隐患行为调查之手机硬件方向
图9:个人信息泄露隐患行为调查之手机号码方向
在更换手机时,更能确保个人信息安全的方法是将手机恢复出厂设置或格式化后,再用无关内容将手机存储空间占满后再予处理,但仅有34%的参与调研者选择了这一选项,有17%的参与调研者选择将手机直接送人;在手机换号时,超过27%的参与调研者选择直接使用新号码,而不对旧号码采取任何措施(见图9)。
(五)个人信息侵害维权观念不强,动力不足
调研显示,在明确自身遭遇个人信息泄露并面临侵害时,相当一部分人群抱有侥幸心态,大部分人选择了较为被动的处理方式,仅有少部分人采取了积极对抗行动。在解释未能维权的原因时,半数以上的参与调研者因不知如何维权和没有发现经济损失而选择了沉默。
图10:个人信息及隐私被侵犯时的对应手段
图11:个人信息及隐私被侵犯后未能维权原因
被问及被侵犯时没有维权的原因时,60%的参与调研者表示不知道怎么维权,56%的参与调研者是因资金等个人利益未受损而放弃维权,值得重视的是,参与调研者中有高达44%的比例选择了因维权程序太复杂、成本太高而放弃维权,另有34%的人是因缺少维权证据而无奈放弃。最为消极的是“维权成功也没有好处”选项,也有14%的选择比例(图11)。
图12:更多人选择为获得便利服务而提供个人信息
问卷调研的结果已可以清楚显示出当前公民个体对于个人信息保护的观念、行动及能力的基本面貌:尽管人们对于个人信息安全普遍焦虑,遭受信息泄露侵害程度较高,但由于对于个人信息保护的常识不足,为不法分子留存了极大的侵害漏洞,而公民对于个人信息维权观念的缺乏和动力的不足,又客观上降低了不法分子违法犯罪行为的成本,加剧了侵犯公民个人信息犯罪的可能性。
三、法律监管与维权现状:
亟需统一立法,加大司法惩处
(一)立法述评
1.个人信息保护尚无统一立法,现有规定内容分散
我国目前针对个人信息保护尚未形成统一的综合法律规范,而是具体地规定在法律、行政法规、部门规章、地方性法规和规章、各类规范性文件等多层次、多领域的规范当中,形成了一个内容分散、体系庞杂的个人信息保护模式。
2.网络安全法关于个人信息的规定
《网络安全法》针对网络运营商收集、使用个人信息,规定了应当遵循合法、正当、必要的原则,公开收集、使用规则;明示收集、使用信息的目的、方式和范围,并规定公民对自己的个人信息在被使用过程中,享有知情权、删除权、更正权。
另一方面,从促进产业发展的角度,该法明确了禁止向他人提供个人信息的例外情形,即如果是经过处理无法识别特定个人,并且不能复原的信息可以合理使用,这也是对国家鼓励和推动大数据产业发展政策的回应,这一规定将进一步推动数据产业的发展。
此外,《网络安全法》规定,在我国境内运营中收集和产生的个人信息和重要数据应当在我国境内存储的原则,并首次在法律层面明确了违反个人信息保护规则的行政责任。这些规定都体现了社会的最新诉求和行业的前沿实践,对构建更加完整的我国个人信息保护制度具有非常重要的意义。
3.针对个人电子信息保护的综合规定
全国人大常委会于2012年12月28日通过的《关于加强网络信息保护的决定》,针对“个人电子信息”的保护作出了较为系统的规定,明确“个人电子信息”为“能够识别公民个人身份和涉及公民个人隐私的电子信息”,并对收集、使用、保存个人电子信息作出了系统性规范,还规定了违反义务的主体需要承担相应的民事、行政和刑事责任。这个法律性质的文件为个人电子信息的保护确立了相对全面的保护,也为其他领域的法律法规提供了可供参照的样板,被认为是目前最为重要的个人信息保护规范之一。
工业与信息化部的部门规章《电信和互联网用户个人信息保护规定》,专门针对电信业务经营者、互联网信息服务提供者规定了较为全面而系统的个人信息收集和使用规范、安全保障措施以及相应的法律责任,也是一部重要的个人信息保护的专门规范。
4.经营者的个人信息保护责任
《消费者权益保护法》第29条规定了经营者收集、使用消费者个人信息时需要遵循的原则和承担的义务,即“应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。”经营者违反这些义务,需要承担民事责任和行政责任。这些规定与《关于加强网络信息保护的决定》中确立的原则和规则保持一致,对于消费者个人信息的保护及于线上和线下,适用范围亦十分广泛。
除了《消费者权益保护法》对消费者个人信息提供一般的保护之外,特定行业的法律法规规章也对其经营者提出了保护个人信息的要求,比如,《旅游法》规定,旅游经营者对其在经营活动中知悉的旅游者个人信息,应当予以保密;《征信业管理条例》系统而全面地规定了征信机构采集、整理、保存、加工个人信息的相应规范;《地图管理条例》规定了互联网地图服务单位在收集、使用、保存用户个人信息时需要承担的义务;《人民银行关于银行业金融机构做好个人信息保护工作的通知》针对金融机构的个人信息保护责任提出了系统化的要求;在金融、大数据、电子商务、电信、交通、教育、医疗等众多领域,都有相应的法规和规章来规定个人信息保护的内容。
5.行政机关及其工作人员的个人信息保护责任
除了作为经营者的商家有可能获得消费者的个人信息之外,个人在与政府机构打交道过程中也会涉及到大量个人信息。因此,有多个法律法规针对行政机关及其工作人员规定了其保护个人信息的责任。
《居民身份证法》规定,公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密;国家机关的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,需要承担民事、行政乃至刑事责任。《护照法》对护照签发机关及其工作人员、《出入境管理法》对履行出境入境管理职责的工作人员、《社会保险法》对社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构及其工作人员、《统计法》对统计机构和统计人员,都规定了类似的责任。
6.民事、行政、刑事责任
根据目前的立法体系,公民对其个人信息的保护,虽然尚未在民法基础法律文件中明确其私权的地位,但是已经在事实上作为“个人信息权”得到保护了,任何人侵害个人信息的行为,都会产生民事责任,即被侵害方可以要求停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失。(《消费者权益保护法》第50条)
此外,任何人侵害个人信息的行为,还会面临行政责任。比如,对网络服务提供者违反规定的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布。(《关于加强网络信息保护的决定》第11条)
侵害个人信息严重的,有可能触犯刑法,构成“侵犯个人信息罪”。根据刑法第253条规定,违反国家有关规定,窃取或者以其他方法非法获取、向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。而违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚。
7.立法现状总结与建议
尽管我国目前并没有统一的个人信息保护法,但是并不能认为个人信息保护方面的法律法规有所欠缺,恰恰相反,通过一般性规范和具体规定相结合,社会生活中包括线上和线下的绝大部分领域,都已经有了个人信息保护的法律规范,侵害个人信息需要承担民事、行政乃至刑事责任。只是这些规范在形式上过于分散,对于普通民众和商家来说,都难以形成直观的认知,尽快通过一部统一的个人信息保护法,对其进行系统化梳理和整合,无论是从立法资源的节省、立法技术的提高、规则体系的优化,还是向民众普及个人信息法律保护的常识和意识来看,都存在必要性和合理性。
(二)司法惩处力度仍须加大
针对个人信息的非法获取与利用的司法判决为数不少,但与个人信息泄露的普遍状况相比,并不成比例。由于个人信息获取、存储和利用的环节众多,线下和线上传播具有隐蔽性和复杂性,追本溯源成本很高,发现、查处难度大,处罚、赔偿力度小,同时获利空间巨大,执法现状为灰色产业链提供了巨大的投机空间。特别是个人信息泄露与电信诈骗等犯罪活动结合之后,造成了重大的损失和巨大的社会影响,亟需加大惩处力度,增加犯罪成本,以切实起到威慑作用。
1.电信诈骗:个人信息泄露的恶果
2.侵犯个人信息罪案例:缺乏有效打击
与引起巨大社会危害性的个人信息违法泄露和利用现状相比,立法上看刑法针对侵犯个人信息罪的处罚较低,执法上看,从源头堵截个人信息泄露的行动已有展开,但尚存不足,对于已形成产业链的个人信息地下产业,缺乏全面有效的打击和惩处措施。
3.个人维权困难
我国个人信息保护立法体系中规定了侵害个人信息的民事、行政和刑事责任。与刑事案件相比,民事案件的原告通常以侵害“隐私权”作为诉由,但能成功胜诉并获得赔偿者寥寥无几。例如,在消费者起诉移动通讯公司、机票预订平台等泄露个人信息的民事案件中,法院认为,被告并非掌握原告个人信息的唯一主体,无法确认被告实施了泄露原告隐私信息的侵权行为,亦即原告无法举证证明被告的泄露个人信息行为[6]。除此之外,即使在原告胜诉的案例中,由于无法证明经济损失或仅能证明极少的经济损失,原告可获得的赔偿金额很低。
个人维权还有一种途径是通过向行政机关举报,由工商行政管理部门等行政机关来进行查处。但是同样限于证据提供困难和个案的局限性,行政处罚对于贩卖个人信息形成的黑色产业链也是收效甚微。凡此种种,一方面无法对侵害人产生足够的遏制效果,另一方面,对于被侵害的个人信息持有者来说,也很难有动力去投入大量的精力和成本进行维权。
4.司法实践现状总结与建议
从民事案件来看,根据现有的举证责任难度,对于技术复杂、环节众多的个人信息侵害行为,个人维权往往只能望洋兴叹。而个体案件中如果没有造成严重的损害,个人也往往没有动力去展开成本颇高的个人维权行动。因此,对于个人而言,通过事后个案维权保护个人信息的机制,成本过高而收效极低,更为重要的是尽可能采取预防措施,实现防患于未然。产业和社会也有责任向个人提供预防性、保护性技术措施,在获取个人信息的源头尽可能支持个人获得保护自己个人信息的能力和知识。
和企业自律模式——以征信行业为例
在大数据产业迅猛发展的浪潮中,个人信息作为数据信息的核心内容,面临着采集、存储、加工、使用各环节的规范化问题。这一命题是整个产业的问题,也同样是全社会面临的问题。司法、行政部门的执法、监管,应当作为个人信息保护的最后一道屏障而存在,如若期望公权力全面彻底治理这一社会化的大问题,并不合理,亦不现实。个人信息保护和利用的问题,需要通过市场机制、社会共治的模式,通过产业界的自律和他律,促进健康有序的市场规范的形成,通过包括市场手段在内的多种手段惩戒、共治违法违规者,防止劣币驱逐良币的情况出现,推动形成个人信息保护方面优胜劣汰的良性筛选机制。
市场上涉及个人信息处理的行业众多,其中征信行业是以机构和个人信息作为其主营业务内容的机构。经过对于市场实践运作的调研和考察,可以观察到目前征信行业在个人信息保护方面的法规相对完善,明确规定了个人信息采集、处理、输出等方面的要求,并构建了比较全面的用户权益保障措施。而规范化经营的征信机构在个人信息保护方面的实践也走在各行业的前沿,具有很强的典型性和代表性。鉴于征信行业在个人信息处理和保护方面的典型意义和借鉴价值,本报告选取征信机构为模板来考察个人信息保护机制,对征信行业的多家机构进行了调研和访谈。其中,征信指的是“对企业、事业单位等组织的信用信息和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动。”征信机构是“依法设立的,主要经营征信业务的机构”。
实现健康市场秩序的具体模式,其构架可以通过建设“基础法律规范、行业通用标准、企业最佳实践”的架构来实现。接下来选取征信行业的实践为例,进行具体展开。
(一)建立个人信息分类保护
作为基础法律规范的规定,征信机构都有必要严格执行,建立技术上和管理上可行的机制,不采集禁止性信息,对于限制性信息应当自觉履行相应告知和同意获取程序。在此基础上可以发展出相应的行业标准,约束征信机构的行为。实践中,芝麻信用、华道征信等机构都遵照法律规定,对禁止性信息和限制性信息分别建立内部制度规范,使法律规则得以落地。
此外,在这两类敏感信息之外,征信机构针对用户其他个人信息,亦可基于其实践状况发展出其他自律规范,形成企业最佳实践。例如以手机app等软件为例,芝麻信用等企业建立内部信息采集规范,只采集与评估用户信用状况有关的信息,而不采集用户的聊天、通话等个人隐私信息,不得追踪用户在社交媒体上的言论信息。
对于下游的信息使用者,征信机构也可以对商户在用户信息安全保障机制及能力等各方面情况进行尽职调查,以评估是否与其合作,从而尽可能确保用户信息输出到合作商户后的用户信息安全。
(三)严格规范内部管控流程
法律的规定同样需要建立行业标准和企业内部管控制度,来落到实处。在实践中,芝麻信用、华道征信等机构建立了关于信息采集、加工、存储及使用等全数据生命周期的内部流程管控制度。
(四)完善泄露危机应急预案
从征信机构的行业实践来看,在“基础法律规范、行业通用标准、企业最佳实践”的架构下,尽管基础法律规范仅仅作出原则性和目标性的规定,但是在环节繁多、技术复杂的征信行业中,要想真正将法律规范落到实处,还需要建立全面、细致、依赖先进技术手段的行业标准和企业自律规范。通过行业主体的自律行为,建构良好的个人信息处理规范,并建立快速、准确的信息披露和评价机制,使得违规者无处遁形,避免劣币驱逐良币现象,建设个人信息保护领域优胜劣汰的良性竞争环境。
五、结论
(一)个人信息泄露严重、侵害程度触目惊心
根据一百余万份调查问卷的反馈数据,目前个人信息侵害体现出明显的范围广、危害大的特征,大部分受访人群都认为存在个人信息泄露的情况,而由个人信息泄露导致的恶性犯罪行为亦在舆论中不绝于耳,使得个人信息侵害成为一个普遍性的严重社会问题,近年来的泄漏事件,危害范围之广,程度之深,令人触目惊心,而且存在愈演愈烈的发展趋势。
(二)自我保护意识缺乏、维权能力动力不足
与个人信息泄露和侵害范围和危害程度恰成反比的,是普通民众的自我保护认知、维权意识和维权能力都严重偏低,对于自身个人信息的泄露途径、方式等缺乏基本知识,在日常生活、消费中无意间为个人信息泄露大开方便之门。在个人信息受到侵害或者可能受到侵害时,对维权行为意识淡薄,动力不足,能力低下。其中维权渠道缺乏、成本过高、难度过大、收益过小构成主要原因。因此,一方面应当针对普通民众进行大规模的个人信息保护观念、知识宣传,帮助其提高自我保护意识和能力,从源头上对个人信息泄露进行防范;另一方面,对个人信息侵害问题的治理,很难主要依靠受侵害者通过个人维权的途径得到妥善解决,而应当进行更加行之有效的制度和规则建设。
(三)采取统一立法模式、系统确立原则规则
通过对于我国目前立法现状和司法实践的考察,目前的法律框架和司法打击力度都存在改善的空间。从立法模式来看,针对个人信息保护存在诸多法律规定,但基本都分散在效力层次不一的各种法律法规乃至规范性文件。本报告认为,应尽快通过一部统一的个人信息保护法规,对相应法律进行系统化梳理和整合,这无论是从立法资源的节省、立法技术的提高、规则体系的优化,还是向民众普及个人信息法律保护的常识和意识来看,都存在必要性和合理性。
(四)加大司法惩处力度、重点打击黑色产业
针对个人信息侵害的司法打击尽管已经投入大量资源,但是现有的司法投入仍然不能对个人信息侵害造成足够的威慑,尤其是专门规定个人信息侵害行为的刑法条文量刑偏轻,而单纯针对局部环节的个人信息侵害行为进行处罚,仅能治标而无法触及根本。从源头堵截个人信息泄露的行动已有展开,但尚存不足,对于打着“大数据”之名而行非法数据利用之实的个人信息黑色产业链,缺乏全面有效的打击和惩处措施。从民事诉讼来看,由于个人信息侵害在技术上存在高度复杂性,而且环节众多,被侵害人在实践中极少有可能举证证明侵害行为究竟在哪个环节发生,以及准确的侵害主体,因此通过侵权诉讼来主张权利难度极大。这也同样印证了第一个结论中维权困难导致受侵害人维权意愿低下的观点。
本报告建议,在刑事打击领域,一方面立法应当加重量刑,增加威慑力;另一方面,执法行为应当向打击整个产业链倾斜,从针对某些具体个人的个别获取行为,转向对非法出售、提供、黑客侵入、贩售、软件设计等整个产业链的破获和打击,才能起到治标治本的效果。
(五)实现线上线下共治、促进合规产业发展
个人信息侵害与保护,作为一个影响宽泛的社会问题,法律上的治理和打击应当作为最后一道屏障,如果希望司法和行政机关来解决全部问题,并不现实。对于个人信息侵害的治理,更加根本的方法应当是采取防御性为主的模式,通过线上和线下各环节的规范来堵住个人信息泄露的源头,防患于未然。尽管互联网成为个人信息非法传播的主要途径之一,但是个人信息泄露的某些重要环节并不一定全部在互联网上完成。从问卷反馈和实践调研数据看,相当比例的个人信息采集源头是存在于现实生活中,比如刑法条文中规制的金融、电信、交通、教育、医疗等单位,以及线下物流快递等等渠道。因此,个人信息侵害问题的治理,并非单纯互联网问题,而是需要线上与线下各个环节共同治理。对于采集、存储、处理、使用个人信息的企业而言,应当首当其冲承担保护个人信息的社会责任,在规范自身个人信息使用行为的同时,也要尽可能向个人提供预防性、保护性技术措施,在获取个人信息的源头尽可能支持个人获得保护自己个人信息的能力和知识。
对于打着“大数据”旗号而行个人信息侵害之实的黑色产业链,应当不遗余力予以打击,但是与此同时,对于获得了合法经营资格、严格守法自律的数据处理企业,应当进行充分的肯定和鼓励,并使普通民众和消费者对此获得充分了解。不能因为存在违法的数据黑色产业链就对数据行业“谈虎色变”,应当建立完善的市场信息和信誉机制,为合法合规、严于自律的企业和机构确立正面声誉,解决信息不对称问题,将其与黑色产业链明确区隔开来,从而避免劣币驱逐良币的恶性竞争,促进数据产业的健康、良性、有序发展。
(六)确立行业通用标准、倡导最佳企业实践
个人信息侵害治理面临着技术上、操作上、制度上的众多难题,需要通过社会共同治理方能治标治本。在理想的社会共治体系中,起到核心作用的还应当是从事个人信息处理的行业实践。考虑到个人信息发生泄漏后的涉及面较广,产生的危害具有持续性等特点,除建立相应的内外部管理规范外,相应企业还应当不断强化技术安全防护能力,以最新的技术手段筑造保护个人信息的铜墙铁壁。与此同时,也建议具体的行业监管部门结合企业实践,尽快出台相应行业部门规章,细化规范信息采集、处理、及披露的具体标准,推动行业标准的形成,并鼓励形成并推广企业最佳实践模板。只有涉及到个人信息采集、存储、加工、使用等行为的企业真正洁身自好,严格自律,建设完整而细致的内部和外部管理规范,才能真正破除个人信息侵害乱象,净化个人信息保护空间。
本报告期望,通过市场机制、社会共治的模式,通过产业界的自律和他律,促进健康有序的市场规范的形成,通过包括市场手段、法律手段在内的多种方式惩戒、共治违法违规者,防止劣币驱逐良币的情况出现,推动形成个人信息保护方面优胜劣汰的良性筛选机制,最终实现从根本上、源头上遏制个人信息侵害的治理目标。Ω
本报告由中国青年政治学院互联网法治研究中心执行主任刘晓春、封面智库首席研究员李萌执笔,在撰写过程中得到了中国青年政治学院副校长、互联网法治研究中心主任林维,上海金融与法律研究院执行院长傅蔚冈等专家协助,在此一并致谢。
《中国个人信息安全和隐私保护报告》
制作方简介
封面智库是封面传媒成立的思想库。封面智库立足北京,是以“一带一路”和长江经济带战略发展为主题的综合研究平台,是新媒体时态下的创新经济研究、服务平台,集聚全球权威学者、政府官员的智库网络。封面智库依托封面新闻的舆论影响力和大数据资产积累,致力于通过封面系列论坛打造高端品牌和政商影响力,发布“一带一路投资指数报告”、企业“走出去”舆情报告、“互联网+”及“工业4.0”行业报告等综合性年度报告,旗下拥有封面系列研究报告、封面系列论坛、“封面思享+”沙龙、“智库专访”、“封面大讲堂”等品牌产品。
注释:
[1]公安部官网,《人民日报:电信诈骗既要能打,也要能防》,2016年9月21日//www.mps.gov.cn/n2255079/n4876594/n5104076/n5104079/c5497482/content.html
[2]公安部官网,《公安机关打击整治网络侵犯公民个人信息犯罪成效显著》,2016年7月20日//www.mps.gov.cn/n2253534/n2253535/n2253537/c5429869/content.html
[3]《人民公安报》,2016年10月14日//www.mps.gov.cn/n2255079/n5137689/n5512386/n5512398/c5519635/content.html
[4]《法制日报》2016年10月14日//www.mps.gov.cn/n2255079/n5137689/n5512386/n5512398/c5519874/content.html
[5]陈某某出卖其从业过程中掌握的公民信息构成出售公民个人信息罪案,案号:(2013)吴江刑初字第0670号。
[6]朱迎光等诉中国联合网络通信有限公司连云港分公司隐私权纠纷案,案号:(2014)连民终字第0006号;庞某诉趣拿公司、东方航空侵犯隐私权案,案号:(2015)海民初字第10634号。