图片说明

个人信息一年泄露60亿条!你的安全谁来管?

搜狐警法 阅读(0) 评论()

  6月1日,《中华人民共和国网络安全法》正式实施。这是中国网络领域的基础性法律,明确加强了对个人信息的保护,打击网络诈骗。与此同时,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》也在同日施行。司法解释明确,向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法规定的“提供公民个人信息”。个人信息保护方面法律法规的完善,是我国构建系统网络空间法律体系的重要一步,也是在当下严峻的网络安全环境下,极具意义的举措。

  网络安全问题:个人信息泄露严重

  个人信息安全问题日益严峻。截至2016年12月,我国网民规模达7.31亿,比网民数量更庞大的是网民个人信息的泄露数量,以及由此造成的经济损失。360互联网安全中心发布的《2016年网站泄露个人信息形势分析报告》显示,2016年全年,遭到泄露的个人信息约为60.5亿条、同比上涨9.4%,高于6.2%的网民增长率。中国互联网协会发布的《2016年中国网民权益保护调查报告》显示,因为信息泄露造成的总体经济损失更是高达915亿元。

  从信息收集者来看,性别、电话、通讯内容、财产数据、住宿记录这些个人信息看似简单,实际上是相当宝贵的数据资源。特别是与金融信贷、儿童教育、交通出行、医疗档案等行业相关的信息,不仅具有精准投放广告等商业价值,还可以通过大数据的方式突破征信壁垒,成为黑客社会工程学、个人信息倒卖黑市的“香饽饽”。例如,皮尤研究中心和美联储的研究发现,黑人和拉丁裔使用手机访问银行账户的倾向要高得多,因此只要查看人们浏览网络的方式就能辨别其种族身份,进而加剧金融种族偏见的可能性。

  从被收集者来看,部分公民倾向于为了便利而主动泄露个人信息,在遭到泄露侵害的时候采取消极方式处理。中国青年政治学院互联网法治研究中心,在分析104.86万份调查问卷后发现,超过70%的被调查者认为个人信息泄露问题严重;但是当被问及是否“愿意提供个人信息以获得更便利的服务享受”时,更多人选择了“愿意”(53%);而明确自身遭遇个人信息泄露并面临侵害时,六成以上被调查者采取不理睬、拉黑等方式,只有12%的被调查者会主动举报投诉。这种状况不仅为不法分子留存了极大的侵害漏洞,又客观上降低了违法犯罪的成本,增加了侵犯公民个人信息犯罪的可能性。

  从收集方式来看,除了如人口普查等公开数据收集,以及如NSA(美国国家安全局)棱镜计划等情报机构窃听之外,更多的个人信息泄露发生在介于两者之间的灰色地带,而且方式多样、技术更新迅速。苏宁金融研究院研究发现,个人信息泄露主要有五大路径:一是人为因素,即掌握了信息的员工主动倒卖信息;二是木马病毒等恶意软件感染电脑窃取信息;三是黑客利用网站漏洞,入侵数据库、盗取信息;四是用户随意连接免费WIFI或者扫描二维码,诱导传输个人信息;五是用户跨平台使用同一密码,方便了黑客通过“撞库”盗号。

  他山之石:各国用户信息保护机制

  互联网时代的个人信息保护很大程度上落脚在隐私权保护上。在这一点上有着丰富司法经验的美国、欧盟分别代表两种不同的治理类型,而在互联网发展迅速的韩国,相关司法实践也同样具有借鉴意义。

  美国——权利法案指导下的行业自律。美国政府在2015年2月发布《消费者隐私权利法案(草案)》(以下简称草案)的政府讨论稿,旨在为消费者提供纲领性的隐私基本保障,同时确保数据的自由流动与开发。在法案的指导下,强调行业自律,企业根据自身情况制定信息保护政策。主要包括三种自律模式:一是建议性的行业指引,比如在互联网领域,美国在线隐私联盟(OPA)的成员公司同意采纳和执行OPA的隐私政策,该政策规定了应全面告知消费者网站的资料收集行为,包括所收集信息的种类、方式及其用途,是否向第三方披露或出售该信息等。二是网络隐私认证计划,该计划的认证标志具有商业信誉的意义,标识了遵守特定的信息收集行为规则的网站。三是技术保护模式,比如,通过某些隐私保护的软件,在消费者进入某个收集个人信息的网站之时,该软件会提醒消费者什么样的个人信息正在被收集,由消费者决定是否继续浏览该网站。

  欧盟——强化用户知情同意、增加数据控制者保护义务。欧盟在2016年4月正式颁布《数据保护通用条例》草案,通过提高“用户知情同意”的要求,新增被遗忘权、数据可携权等手段,规定强化了数据主体的权利;为数据控制者增设了诸多义务,如数据泄露告知、任命数据保护官员(DPO)、进行隐私影响评估(DPIA)等。《条例》还大幅扩展了数据保护的适用范围,加大对违法行为的惩处力度,强化对数据保护的监管及起诉机制。

  韩国——国家级个人信息保护机构和认证制度。2011年8月,韩国政府发布了《国家网络安全综合计划》,成立国家网络安全中心,由国家情报院负责运作,包括行政安全部在内的十几个政府机构参与合作,并设立了总统直辖的个人信息保护委员会和个人信息纷争调停委员会,引入了个人信息影响评价制度和个人信息泄露通知及申告制,建立关于个人信息的国家认证资格证制度,并确立了个人信息团体诉讼制度,构筑了事前预防个人信息泄露、事中保护和事后救济的完整体系。据韩联社报道,韩国的个人信息保护管理体系(PIMS)也在2017年获得多家国际通讯机构的认可,达到相关国际标准。

  个人信息保护体系构建进行时

  在我国,个人信息保护体系仍处在积极构建的过程中。

  在立法层面,国内暂时总体上形成了以《网络安全法》《消费者权益保护法》确保个人信息事前、事中安全可控,以《民法总则(2017版)》《刑法修正案(九)》为事后责任认定的个人信息保护法律体系。具体体现为:2014年3月起施行的《消费者权益保护法》,首次将“个人信息保护”作为消费者的一种消费者权益,经营者及其工作人员必须对消费者的个人信息严格保密。2015年8月通过的《刑法修正案(九)》,说明了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两项罪名的具体处罚标准。2017年3月通过的《民法总则》进一步增强了个人信息保护,明确规定“任何组织和个人应当确保依法取得的个人信息安全”。2017年6月1日起生效的《网络安全法》重点提出了要加强对公民个人信息的保护,规定了收集用户信息和向他人提供个人信息应取得被收集者同意,防止公民个人信息数据被非法获取、泄露或者非法使用。“两高”在5月8日出台的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,进一步明确了“公民个人信息”的定义,将行踪轨迹等也纳入这一范畴,同时还明确规定了侵犯公民个人信息罪的10种情形以及处罚力度。

  在组织层面,我国目前还没有专门针对个人信息保护的执行机构。工信部中国软件评测中心在2013年提出将牵头组建个人信息保护推进联盟,目前还未见公开落地。消费者协会会长兼秘书长常宇认为,个人信息泄露事件的频发对网民造成了金融资产和个人信息安全等危害,而消费者在个人信息保护上又面临“防范难、举证难、索赔难”等问题。现行监管模式是各个部门只负责监管与其行业相关领域下的个人信息安全问题,会遇到监管交叉或监管空白地带。因此,设立专门的个人信息保护行政机构,对电信行业、互联网企业、个人信息使用集中的行业重点监管,势在必行。

  在机制层面,尽管社会讨论踊跃,但暂时国内仍缺乏具体有效可行的多方合作机制。工信部在2017年1月印发《信息通信网络与信息安全规划(2016-2020)》中提出,从三个方面大力强化网络数据和用户信息保护,其中第三点即是“建立完善数据与个人信息泄露公告和报告机制”。在2017年3月全国两会期间,也有网民呼吁“构筑全方位保护机制,应由公安部门牵头,由上至下联合电信运营商、网络服务平台、银行金融、快递运输等行业,打造全国性的防护网络,联合协作,共享共治。以此为平台提升打击利用信息犯罪力度,使违法犯罪空间不断缩小”。

  总体而言,我国关于个人网络信息安全保护是以法律和政府监管为主。也正因如此,《网络安全法》的实施对于法律体系自身的完善、维护国家与社会网络安全、保护人民利益都有着极为重要的意义。然而,组织与机制层面的建设滞后,意味着我国关于个人网络信息安全体系的构建仍任重而道远。

police.news.sohu.com true 搜狐警法 http://police.news.sohu.com/20170619/n497603441.shtml report 3742 6月1日,《中华人民共和国网络安全法》正式实施。这是中国网络领域的基础性法律,明确加强了对个人信息的保护,打击网络诈骗。与此同时,《最高人民法院、最高人民检察院
搜狐警法

搜狐警法

搜狐网警法频道官方自媒体

北京110

北京110

北京市公安局勤务指挥部110报警服务台

警界

警界

警界资讯,警营风采,警花警草,酸甜苦辣。

警法小记

警法小记

专注警法事件,客观,理性地解读警法新闻。

长安剑

长安剑

长安论剑,习武修文。安邦护民,德成郅治。庙堂江湖,共梦太平。