11 月 21 日,中国青年政治学院互联网法治研究中心与封面智库联合发布国内首份基于百万问卷调研的《中国个人信息安全和隐私保护报告》。该报告揭示了个人信息安全和隐私保护面临的严峻形势,提出了 “基础法律规范、行业通用标准、企业最佳实践” 的治理构架。
报告显示,超七成参与调研者认为个人信息泄露问题严重;26% 的人每天收到 2-3 条甚至更多的垃圾短信;20% 的人每天收到 2-3 个甚至更多的骚扰电话;多达 81% 的参与调研者经历过对方知道自己的姓名或单位等个人信息的陌生来电;53% 的人因网页搜索、浏览后泄漏个人信息,被某类广告持续骚扰;租房、购房、购车、车险、升学等信息泄漏后被营销骚扰或诈骗高达 36%……“购买机票后收到航班异常的电话或短信诈骗信息” 比例相对较低,也达 9%。
中国青年政治学院副校长、互联网法治研究中心主任,最高人民法院刑一庭副庭长林维认为,应建构统一的立法框架、加大司法打击力度、确立顺畅维权渠道。“把关注的焦点从事后的惩处转移到事前的防范上来,从非法数据产业链的源头堵住数据泄露的可能性,才有希望从根本上治愈这一顽疾,迎来个人信息保护的蓝天。”
打击黑灰产业
在震惊全国的 “徐玉玉案” 等一系列案件发生后,个人信息安全已成为全社会的重大热点。
由于个人信息获取、存储和利用的环节众多,线下和线上传播具有隐蔽性和复杂性,追本溯源成本很高,发现、查处难度大,处罚、赔偿力度小,同时获利空间巨大,也为灰色产业链提供了巨大的投机空间。
业内专家认为,个人信息保护和利用的问题,需要通过市场机制、社会共治的模式,通过产业界的自律和他律,通过包括市场手段在内的多种手段惩戒、共治违法违规者,防止劣币驱逐良币的情况出现。
对于打着 “大数据” 旗号而行个人信息侵害之实的黑色产业链,应当不遗余力予以打击,与此同时,对于获得了合法经营资格、严格守法自律的数据处理企业,应当进行充分的肯定和鼓励。“不能因为存在违法的数据黑色产业链就对数据行业 “谈虎色变”,应当建立完善的市场信息和信誉机制,避免劣币驱逐良币的恶性竞争,促进数据产业的健康、良性、有序发展。” 互联网法治研究中心执行主任刘晓春表示。
上海金融与法律研究院执行院长傅蔚冈认为,可行的举措是改变民事诉讼中的举证责任,将目前的 “谁主张谁举证” 改为 “举证责任倒置”,即不是由原告提供证据来证明被告以不恰当的方式获得了个人身份信息;而是原告只要提供了被告联系其这一事实即可以被告非法获得身份信息为由提起民事诉讼,被告需要承担提供其合法获得原告身份信息的证明。“这样一来,就会对哪些非法获得身份信息的机构和个人形成强烈的威慑效果。”
构建社会共治
业内人士认为,司法、行政部门的执法、监管,应当作为个人信息保护的最后一道屏障而存在,如若期望公权力全面彻底治理这一社会化的大问题,并不合理,亦不现实。
个人信息保护和利用的问题,需要通过市场机制、社会共治的模式,通过产业界的自律和他律,促进健康有序的市场规范的形成,通过包括市场手段在内的多种手段惩戒、共治违法违规者。
目前,市场上涉及个人信息处理的行业众多,其中征信行业是以机构和个人信息作为其主营业务内容的机构。鉴于征信行业在个人信息处理和保护方面的典型意义和借鉴价值,该报告也选取了征信机构为模板来考察个人信息保护机制。
“将心比心,己所不欲,勿施于人。” 蚂蚁金服副总裁、芝麻信用总经理胡滔对记者说,她表示,征信是和个人信息安全、隐私保护关系最为密切的行业。作为行业的一员,芝麻信用始终视个人信息安全和隐私保护为谁都不能碰的警戒线,这也是芝麻信用一直坚守的底线。芝麻信用内部也有一个关于用户信息保护的阳光公约,一向要求,每个人都要把保护用户信息当作保护自己的个人信息一样对待。信息泄露无小事,每个人都要时时处处心里都有一根保护数据安全和用户信息的弦,做阳光的人,经得起时间的考验。要有敬畏之心。
胡滔认为,和信用相关的数据信息如同淡水,和每个人息息相关,不可或缺。数据信息流将像物流、资金流一样流动起来,成为社会高效运营的基础,也将成为未来社会最重要的清洁能源。个人数据信息的广泛使用,如同治水,得让数据信息在合规的河流、渠道里流动,发挥效用;任何滥用用户个人信息的行为,都会如同洪水泛滥,会给用户、机构和社会带来严重的损害;当然,也不能因噎废食,将个人信息保护得如同一潭死水,让用户无法享受技术进步带来的社会便利。
据悉,芝麻信用已通过英国标准协会(以下简称 BSI)权威评估认证,成为国内首家获得 ISO27001:2013 国际信息安全管理体系认证证书的征信机构。
业内专家认为,以芝麻信用为代表的征信行业在个人信息保护方面的经验和模式可以推广到整个数据信息行业。“可根据芝麻信用等征信机构形成的实践样本,建立个人信息分类保护、全面落实用户授权机制、严格规范内部管控流程、完善泄露危机应急预案,让这个成为整个数据信息行业的通用标准。”
“另外,国家也需要设立准入制度,提高征信机构和数据信息行业的门槛,严厉打击以大数据之名行个人信息贩卖之实的黑灰企业,以此促进整个行业的良性发展。” 上述专家表示。
提升公众意识
问卷调研显示,由于对个人信息泄露渠道的不了解,虽然大多数人意识到个人信息泄露的严重程度,但相当高比例的人群并不知道如何防范个人信息侵害,在使用个人信息的载体时疏忽大意或不知如何采取防范行动。在日常生活中,证件复印件、快递单和手机是泄露个人信息的重要载体。高达 55% 的人将证件复印给相关机构时,从不注明用途;47% 的调研参与者经常将写有个人信息的快递单直接扔掉而不加处理。超过 27% 的人在停用、注销手机号的时候,甚至不去银行、支付宝、网站、邮箱等变更绑定的手机号。
当自身遭遇个人信息泄露并面临侵害时,相当一部分人群抱有侥幸心态,大部分人选择了较为被动的处理方式,仅有少部分人采取了积极对抗行动。在解释未能维权的原因时,半数以上的参与调研者因不知如何维权(占 60%)和没有发现经济损失(占 56%)而选择了沉默。
这一方面说明,针对个人信息安全的普法力度仍需加大,尤其是要使公民清晰掌握维权技能;另一方面也能够反映出个人信息安全维权的技术难度与不成正比的维权收益,使公民个体在维权中步履艰难。
对此,芝麻信用法务总监聂正军建议,证件复印件要注明提供给什么机构、什么用途、并注明他用无效;扔掉快递外包装,一定要涂抹、处理掉姓名、电话等个人信息;不使用的账户,及时申请注销,避免信息外泄或被非法或缺的可能,考虑到木马病毒等情况,不建议在电脑、云盘等地址存储银行账户密码等敏感或隐私信息;不要为了贪图小便宜、获赠小礼品而提供家庭住址、联系电话、工作单位等信息。