互联网时代,人们在享受网络带来便利的同时,个人信息“裸奔”已经不是什么新鲜话题。叫外卖、寄快递、办电话卡等,我们的信息无时无刻不是在“裸露”奔跑。但大众作为分散的个体,当信息被机构泄露后却处于绝对弱势,一则因为个人无法调查取证谁暴露了自己;二则因为信息泄露固定证据相对困难;再则即便费力做好了所有工作,当个人面对有备而来的“窃取者”时,时间、金钱等维权成本也是相当高。今天与大家讨论的就是该由谁来保护弱势公众的个人信息?个人如何与服务商的实现权利对等?
在讨论如上提出的问题之前,我们先来看几则发生在2016年的几起新闻事件:
12月12日,南方都市报微信题为《我们都“裸奔”了!南都记者700元买到同事航班/列车/银行卡等10项信息,开房记录精确到秒》的报道披露了花700元就能买到包括开房记录、名下资产、乘坐航班,网吧上网记录,存款记录,手机实时定位,手机通话等个人隐私信息。
12月10日,一本财经报道,一个12G数据包在黑市流通,内容包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,多达数千万条数据。后来京东就此事声明,判定信息泄露源于2013年的安全漏洞。
12月14日,国家电网APP泄露用户信息的新闻在互联网上不胫而走,后来国家电网声明此事子虚乌有,但近几日媒体曝光的几起个人信息泄露事件还是引发了公众对个人信息的关注和担忧。
信息怎么被泄露?
要肃清泄露信息的责任,我们首先就要知道信息是怎样泄露的?由谁泄露?《南都》有关“开房信息泄露”的报道提供了一些线索,个人被曝光的信息往往是个人在办理日常生活中各种业务或多或少被要求提供信息所导致。
南都记者王佳在接受《刺猬公社》采访时透露信息被泄露的两个关键点:一是各大网络服务商和平台都在收集用户个人信息,同时信息被莫名其妙非法交易盗卖;二是网络黑客通过“撞库”获得个人信息。
第一点极为普遍,譬如买房需提供户口簿、个人联系电话等信息,办理电话卡、银行卡需提供身份证,甚至登陆网站和APP也需个人上传提交手持身份证等资料讯息;网购时个人信息更是成了会走路的包装袋,任谁都可以抄写上面的邮寄地址、联系方式等信息。
相较于第一点,第二点获取的技术难度更大,需要专业的技术,获得的成本也相对较高,普通人难以操作或承受这种成本。2014年,铁道部12306官网用户信息被泄露,至少131653组数据在网上流传,经12306官方调查证实泄露的用户信息系黑客“撞库”获得。毋庸置疑,这种做法本来就是违法行为,是被明令禁止的。
信息泄露有哪些危害?
信息泄露程度远不如此,形式也多种多样,媒体曝光只是冰山一角。
据公开信息,2011年至今约有11.27亿用户隐私信息被泄露。人为倒卖信息、手机泄露、电脑中毒、技术漏洞是目前个人信息泄露的四大途径。
个人在享受服务商或商家提供便利的同时,也因被要求提交个人资料承担着更多的风险。个人信息保护稍有不慎,就将自己曝光在公众视野之中,一路“裸奔”。
隐私“裸奔”可不是小事,除倒买倒卖交易个人信息的“窃取者”属于违法行为,个人信息泄露威胁着个人生命财产安全。
2016年8月份“徐玉玉事件”就是因个人信息被倒卖泄露的典型案例。一个身体健康,无重大疾病的大学生,因为家庭贫困,被电信诈骗9900元,在本该绽放花季的美好年华里丧失了生命。
在笔者身边也常有信息泄露的案例。笔者朋友2016年上半年购入某楼盘房产,之后每日都会被至少20个装修公司电话骚扰,同在一张办公桌,能够感受到其个人深受其苦。
以往媒体报道因个人信息泄露造成个人财产损失,乃至献出生命案件已不甚枚举,屡见不鲜。因个人信息泄露而被诈骗犯盯上的徐玉玉,付出了惨重的代价。每每类似的讯息袭来,除了令人咋舌,更多的是毛骨悚然,不寒而栗。
弱势公众“谁”来保护隐私?
个人信息保护,除个人加强防范意识之外,政府和信息采集平台应该为公民个人信息提供保护。
长期以来,个人信息保护总是与捍卫个人隐私权相伴而行。隐私权来源于个人的自我决定权利,且建立在个人是最后且唯一的合法性来源,意味着每一个人都有权决定何种个人信息可以被采集、储存和发布。不过因为目前各界对个人信息的定义不同,个人信息“谁”来守护的说法不定。
目前各界对个人信息界定不尽相同,对保护个人信息的权责意见各表。各国立法对个人信息的称谓不一,“个人资料”、“个人隐私”均有采用。尽管如此,但政府职责以及企业责任要求对个人信息提供保护,基本成为一种主流意见。
在欧盟,大多数国家都将凡与特定个人有关的所有信息都归属于个人信息范畴,并认为个人信息是指具有一定使用价值和经过加工后能够利用的个人信息。这类信息既有自然属性,也是有社会属性;既能反映个人基本特征,也能反映社会属性特征,是个人在社会生活和活动中的一般特征表现。
国内学界普遍认为,个人信息和隐私具有交叉性、互异性、或相互包含的两个概念。隐私不被公众所知,具有相当私密性。个人信息却不可进行周延。
主流观点认为,只要不向不特定的社会公众公布,个人主体将自己的某种个人信息向特定个人或群体对象披露,那么对于其他未被获准只晓得的个人或群体仍享有隐私权,一旦他人未经许可非法擅自公布其个人信息的,仍然算作侵犯隐私权。
换句话说,个人信息登记在个人名下,归属于个人所有,个人向某一特定对象达成合约提交个人信息后,平台就有保护个人信息应该不被泄露的义务。如同平台向个人采集信息一样,当平台向个人索取了个人信息,那么与之对等的便是履行保护这些信息的责任。反观当下,恰恰个人处于弱势,在履行了相关义务之后,却没有换回与之对应的权利享受,这样不对等的权利关系存续至今。
近年来,我国开始注重对公民个人信息的保护,采取了一系列措施,譬如网络社交平台、移动通讯服务都需要进行实名制登记。为方便网络服务商和有关部门监督,如果要接受网络平台相关服务,个人需按照平台要求,以“后台实名”的方式提交个人信息,政府部门正积极想方设法解决公众信息泄露问题。
所谓“道高一尺,魔高一丈”,在这场“窃取”与“反窃”的信息争夺战中,盗取信息者见招拆招,促使执法部门面临诸多尴尬。
一方面为了方便管理监督,打击诈骗犯罪,部门和服务商要求个人应实名制登记,即便如此公众信息还是被泄露,且对个人造成损失后无法索取赔偿,更难以找到索赔“债主”。网络流传一则玩笑话:“以前骗子打电话,千方百计套取我的个人信息及家庭情况;现在实名制了,骗子打来电话直接对我指名道姓了”。这样的尴尬,令人哭笑不得。
如何保护公众信息?
针对如何保护个人信息,不同国家的做法不同。譬如美国、日本、欧盟都自成模式,被国内学者研究。
时至今日美国没有一部综合性法律来保护公众信息,采取的是分散立法,行业自律的模式。
1995美国公布了《个人隐私和国家信息基础设施:个人信息的使用和提供原则》为收集、加工、处理、再利用个人信息时提供了一套基本原则。
1997年美国政府发布《全球电子商务政策框架》,个人隐私部分占比较大,鼓励企业在保护网络隐私权中发挥主导作用。
1974 年美国通过了《隐私权法》(该法又被称作《私生活秘密法》),1986 年颁布了《电子通讯隐私法》用以规范获取个人信息。其后,美国还相继出台了其他补充的细则性法律法规。
与美国不同,欧盟由国家主导立法来保护公众信息。欧盟确立了一系列较为健全和完善的个人信息保护法律,其中就包括《个人数据保护指令》、《电子通讯数据保护指令》、《私有数据保密法》、《互联网上个人隐私权保护的一般原则》、《信息公路上个人数据收集、处理过程中个人权利保护指南》等数十类以此规范采集、使用个人信息的机构和服务商。
日本则吸收汲取了欧盟和美国各自特点,通过借鉴和考察本国形成了自己独特的模式,于2005年通过了《个人信息保护法》,在立法中重视政府和民间共同作用的力量。
随着网络发展以及公众信息被曝光案例不断增多,我国也在积极努力尝试治理和保护个人信息。习近平总书记执政以来率先提出网络不是法外之地,要规范网络通讯业,在网络通讯行业建立起规章制度。
2009年,时任国家主席的胡锦涛签署主席令,在刑法修正案增设出售、非法提供公民个人信息罪:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”
2013年7月16日,工业和信息化部公布了《电信和互联网用户个人信息保护规定》,进一步规范保护用户个人信息。
其实,在技术层面国家应该并重、鼓励企业履行社会职责,通过研发保护技术,加强护盾、建立数据使用公约规范等方式提供信息保护的“技防”,凡擅自泄露贩卖用户信息者应该被严肃追责,承担应有的成本代价,为公众信息保护保驾护航。
值得一提的是,有关如何健全个人信息保护的法律法规已被两会代表广泛关注,相关立法工作被提上日程,相信我国对公众信息的保护的法律法规将更加完善,我国还有很多可以借鉴学习国外模式的地方,参考过往经验教训,形成我国独有治理体系。