无处不在的信息收集与泄露
近日,有这样两则新闻赚足了眼球。一是“史上最大数据窃取案”告破,揭开了微博“被加粉”背后的秘密。据报道,几乎国内所有的核心互联网企业无一幸免,也就是说,用户在网上搜索过哪些隐秘信息、去了什么地方、何时何地开房、买过什么东西,这些信息,都被这一犯罪团伙掌握。二是有关高铁“座霸”的后续消息,视频公开后,网友对占座男子展开了地毯式的“人肉搜索”,该男子的个人信息包括姓名、身份证号、户籍所在地、工作单位等均被网友扒出来,晒到网上。看似无关的两则新闻,却指向同一问题——大数据时代,个人信息保护犹如安徒生笔下“身着新装”的皇帝,在众目睽睽之下裸奔。
为更好地保护个人信息,打击侵犯公民个人信息的违法行为,8月24日,北京市朝阳区法院召开涉个人信息保护类民事案件研讨会,对审理侵害公民个人信息案件时遇到的难题进行研讨。
朝阳区法院分析该院近十年内审理的有关侵犯公民个人信息的近100件(由于公民个人信息保护近几年才进入民法规范层面,相关案件数量有限)案件发现,对公民个人信息保护有较大影响的行为分为以下几种:
第一,因保管不当导致的与个人信息有关的档案丢失。此类案件占比为7%,实践中主要表现为医疗机构保管病案信息不当导致的信息缺损、人事机构保管人事档案不当导致的信息缺损、电子设备维修方不当删除设备记录等。
第二,因错误登记导致的个人信息公开。此类案件占比为6%,主要表现为影视作品中无意中公布的真实手机号,婚介机构错误公布招婚者信息,职员离职后公司网站仍登记其手机号、QQ号、邮箱等信息。
第三,冒用、盗用个人信息。此类案件占比10%,主要表现为不存在真实基础法律关系的冒用他人名义和盗用他人身份,如学校谎称优秀学员由其培养进而公布学员信息,公司以聘用知名设计师、学者为幌子的虚假宣传,公司利用他人身份信息虚假登记其为法定代表人或者股东,中介经纪人擅自利用客户身份及房源信息伪造固定住所进而取得北京市居住证。
第四,以使用信息为目的公开个人信息。此类案件占比11%,实践中主要表现为存在真实的基础法律关系但无权使用个人信息,如医疗机构擅自公开成功治愈的病患信息,婚介公司和摄影公司未经同意公开客户信息的宣传行为等。
第五,不以使用信息为目的的单纯公开和披露个人信息。此类案件占大多数,占比达56%,主要以隐私权纠纷出现,较为多发的是利用网络公布他人个人信息,典型的如“网络人肉行为”等。
第六,信息保管人转让、泄露个人信息。此类案件占比10%,主要表现为大型电商企业、旅游服务经营者、电信公司所保管信息的外传,从权利人的角度而言,往往体现为将信息提供给某一特定主体后,其他人亦获得相应信息并由此进行的诈骗或营销。
“当前,收集个人信息的渠道数不胜数,从电信运营商、各类网站、App到手机设备本身。特别是近年来,随着人工智能的快速发展,手机硬件厂商在设备上增加各类功能,实现跨App平台的数据收集和处理。此外,各类爬虫技术也能实现跨平台的数据抓取。同时,在外部环境下,智慧城市中各类物联网设备也在无时无刻收集个人信息,形成城市管理的‘超级大脑’。再加上在我国法律政策框架下,由于实名制要求广泛存在,被收集、处理的个人信息很容易直接和个人真实身份相关联,进一步增大了信息泄露之后的安全威胁。个人真实信息的收集、处理渠道增加,意味着泄露的渠道在增加,安全威胁同步在放大。”腾讯互联网法律研究中心专家法律顾问王融说。
而身为一名普通公民,大家或许也都有所体会,从清晨起床使用手机开始,也就开始了信息被收集的一天:手机号是实名的,其中涉及到个人基本身份信息;走在路上,打开百度地图,选择需要前往的地方,查询路线,位置信息会被搜集,因为经常使用,家庭地址和公司地址会被知晓;出门坐地铁,打开易通行,注册时需要输入身份证号,出站时个人的位置、消费金额会被搜集;网上购物时,订单信息尽在网店掌握中并被收集;无论是浏览网页还是在手机App之间的切换,这些信息也都会留有痕迹并被抓取……
哪些个人信息应该受到保护
大数据时代已经到来,人们对于个人信息应该受到保护已经达成共识,法律法规也相继出台。但是,是不是所有与公民个人有关的信息都应该受到保护?
市民小赵在接受记者采访时表示,他认为,其个人的身份证号、手机号、家庭成员和住址、银行账户以及其他第三方支付平台、社交平台的账户和密码、聊天记录等都属于其个人信息,都应该得到保护。
而在司法实践中,北京市朝阳区法院酒仙桥法庭副庭长罗曼则指出,个人信息范畴的界定是法院审理侵犯公民个人信息案件时面临的一大难点。
记者注意到,在王某诉B公司、C公司侵权纠纷一案中,王某通过其个人账户购买了乘机人为孙某的机票,该机票订单信息是否构成王某的个人信息一度成为双方争议的焦点。
“个人信息与隐私权关系密切,两者之间有一小部分重合,但是个人信息已经超越了隐私权的范畴,很多个人信息是隐私权无法涵盖的。”清华大学法学院教授程啸说。他进一步指出,关于个人信息的界定,我国现行立法采取的是识别标准,即直接或者间接可识别自然人身份的信息都属于个人信息。
“在我国,对于个人信息的认识和保护是在逐步发展完善的。”中国法学会研究部副主任彭伶指出,根据网络安全法规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。而《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》则在前述定义的基础上加入了“反映特定自然人活动的各种信息”,“账号密码、财产状况、行踪轨迹”也被列举出来,拓宽了公民个人信息范畴。此外,作为推荐性国家标准的《个人信息安全规范》对个人信息的范畴在刑事司法解释的基础上又有进一步拓展。
关于个人信息的界定,彭伶认为,欧盟的《一般数据保护条例(GDPR)》对个人信息的界定值得借鉴,其中指出,“个人数据是指与一个身份已被识别或者身份可识别的自然人(数据主体)相关的任何信息……”她认为,GDPR对个人信息的保护是最完善和最全面的,“这种普遍性保护的好处在于把确定是否侵犯个人信息的权利交到了受过专业训练的法官手中,这样就不至于还需要探讨这个信息是否属于法律上保护的个人信息。”
王融也指出,我国现在关于个人信息的界定在不断扩展,并不断向GDPR靠近,已经远远超出了识别的范畴,不仅把关联身份的信息视为个人信息,而且把反映特定人的活动的也视为个人信息。
中央财经大学法学院教授尹飞则认为,对个人信息的界定,在现有法律体制下,应该回到人格权的本质进行讨论。“个人信息作为人格权的本质,不能泛泛罗列哪些属于个人信息哪些不属于,个人信息应该与特定的自然人相联系,在个案中根据具体情形进行判断,对个人信息保护太过是否合适值得思考。在现有法律框架下,个人信息能通过隐私权进行保护的就通过隐私权予以保护。”尹飞说。
记者也发现,即便属于立法上认可的个人信息,司法实践中也不是毫无保留地予以保护。在朝阳区法院审理的邵某诉四方公司违法侵权一案中,邵某因严重违反公司的规章制度,公司决定于2015年1月9日与其解除劳动合同,在将《解除劳动通知书》送达其本人及通过邮件送达均遭拒收后,公司不得已通过报纸刊登声明,主要内容包含了邵某的身份证号及公司声明与其解除劳动合同的具体日期及邵某多次拒收通知书的说明。
法院经审理认为,四方公司为送达解除劳动合同通知而刊登公告具有事实依据且并无明显不当之处,原告亦未举证证明登载身份证号的行为给其造成实际损害后果。因此,原告的侵权主张最终未获法院支持。法院判决称,四方公司的做法属于“以合理使用排除行为的违法性”。
信息保管主体的责任
记者注意到,在朝阳区法院梳理的各类侵犯公民个人信息案件中,大量侵权案件的发生都与信息保管主体相关,这些主体不仅包括企业,还包括一些行政机关、事业单位以及医疗机构等。那么,在公民个人信息保护方面,这些主体扮演着怎样的角色,又应该承担哪些责任和义务?
对此,朝阳区法院在庞某诉东航和趣拿公司侵权纠纷一案的判决书中写道,“东航和趣拿公司作为各自行业内的知名企业,一方面其经营性质掌握了大量的个人信息,另一方面亦有相应的能力保护消费者的个人信息免受泄露,这既是其社会责任,也是其应尽的法律义务。”
与会专家均认为,信息保管主体负有妥善保管公民个人信息的义务。有专家还指出,应该确立保管个人信息的合理期限,在到期后对公民个人信息进行合理销毁。
“根据腾讯社会研究中心联合DCCI互联网数据中心发布的《2017年度网络隐私安全及网络欺诈行为分析报告》,几乎所有的App都在收集个人信息,而且越重要的信息收集的比例越高,而个人在大多数情况下对此并不知情。在个人处于绝对弱势情况下,数据控制者当然负有妥善保管个人信息的义务。”彭伶说。
而记者也发现,打开微信阅读或者进入游戏界面,系统会推送告知哪些好友也在阅读同一本书或者在玩同一款游戏;打开支付宝会发现,系统已经“贴心”地为你关注了众多公众号。而在信息收集方面,尽管法律法规一再强调,应该经过用户同意方可收集和使用个人信息,但众多的App都设置了不同意使用某些个人信息就无法安装使用App的限制,同意与否也就形同一道摆设。
对此,王融回应称,用户可以选择隐藏或者不同意公开。但实际上,记者发现,公开是默认选项,不公开的设置选项往往较为隐蔽,不容易发现。
对于企业在保护公民个人信息方面应承担相应的社会责任,王融指出,从保护个人的角度来说,信息销毁很有必要,特别是在违法处理或者在超出预定期限的情况下,确实应该合理销毁。而关于信息保管的期限,她指出,根据国内安全需要,各行各业对信息保管的期限有所差别,难以统一,所以实践中具体期限可能需要法官自由裁量。
对于信息保管的期限和保管到期后的销毁,北京市高级法院研究室副主任刘书星认为,这是一柄双刃剑,确定信息保管期限及到期后合理销毁有利于保护公民个人信息。但是,有些信息的收集在某些时候可以作为公民提起其他诉讼的证据,从这一角度而言,负有信息保管义务的机构如果无法提供相关证据,可能承担举证不能的不利后果。
如何有效保护公民个人信息
身处大数据时代,公民个人对于其信息的收集和使用往往显得无能为力,但在个人信息成为重要资源的时代背景下,保护公民个人信息是一个不可回避的问题,也是大势所趋。在这种形势下,最重要的问题是,如何才能有效地保护公民个人信息?
对此,彭伶认为,个人信息的保护寄希望于技术手段的发展和进步,而在法律层面,她认为,应该把对个人信息权益的保护上升到宪法保护的高度。“只有上升到宪法层面,才能获得更好的保护。同时,在法律上应该严格控制个人信息的流通和使用,加强企业和其他信息保管者的社会责任,要求他们履行最严格的保管义务。”彭伶说。她还指出,司法实践中,应该加大对非法使用公民个人信息行为的处罚,通过惩罚性赔偿以及精神损害赔偿的经常性适用,起到预防和威慑作用。
王融则认为,在个人信息泄露相关的侵权案件中,很难在损害后果和泄露事件中找到确定的因果关系,也很难证明到底是哪一个渠道泄露的个人信息。尽管可以探索性地适用高度盖然理论来解决一部分问题,但在外部环境收集数据渠道越来越多的情况下,此类问题将面临更大挑战,需要在侵权法上找到新的思路。
尹飞则认为,根据现行法律规定,精神损害赔偿的适用范围有限,对于侵犯公民个人信息的违法行为,不一定非要适用精神损害赔偿金这种方式,他认为,有时候让侵权人在指定的媒体上公开赔礼道歉,可能会让受害人心里觉得更舒服。
“对于一些大规模侵犯公民个人信息的行为,以后可能会出现公益诉讼,据我所知,消协一直在做这方面的努力。”程啸说。
新闻链接:
网传5亿条酒店开房数据泄露
据民间非企运营互联网安全组织网络尖刀消息,据其接到的情报,华住旗下酒店开房记录疑似泄露,涉及共计约5亿条公民个人信息。8月28日下午,华住集团发布声明称,已展开调查核实,并第一时间报警,公安机关正在开展调查。
图片来源:华住集团官微
根据网络披露信息,泄露的公民个人信息数据系华住酒店管理有限公司的用户信息,涉及酒店包括汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。上述酒店均为华住集团旗下酒店品牌。而涉嫌泄露的个人信息数据则多达140G约5亿条。
网络披露信息还称,黑客已在网上售卖这些个人信息。互联网安全厂商紫豹科技在网上披露信息显示,疑似泄露的数据共计近5亿条,其中包括:
官网注册资料,含身份证、手机号、邮箱、身份证号、登录密码等,共53G,约1.23亿条记录;
入住登记身份信息,含姓名、身份证号、家庭住址、生日、内部ID号,共22.3G,约1.3亿条;
酒店开房记录,含内部ID号、同房间关联号、姓名、卡号、手机号、邮箱、入住时间、离开时间、酒店ID号、房间号、消费金额等,共66.2G,约2.4亿条。
全部信息的打包价为8比特币,或者520门罗币,约合人民币38万元。卖家还称,以上数据信息的截止时间为2018年8月14日。
警方介入
8月28日,上海警方宣布已介入调查。警方表示,将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为,切实保护公民合法权益。掌握公民个人信息的企事业单位,应严格落实主体责任,加大信息安全的防护力度。
图片来源:警民直通车_长宁
中国旅游饭店业协会:坚决反对
图片来源:中国旅游饭店业协会微信公众号
8月29日,针对“华住旗下酒店数据,客户信息疑遭泄露”的新闻,中国旅游饭店业协会发布倡议书,倡导全体会员自觉遵守宪法、法律、法规和国家政策,加强网络安全建设,同时,坚决反对任何传播、出售或泄露旅客住宿信息的行为。
以下为倡议书全文:
2018年8月28日下午,中国旅游饭店业协会从网上看到“华住旗下酒店数据,客户信息疑遭泄露”的新闻。随后,协会及时与华住集团取得联系并了解情况,据华住集团相关负责人表示,该公司已向上海市长宁区公安分局报案,并就此事件已发表公开声明。目前,长宁区公安分局已介入此事调查,中国旅游饭店业协会将持续关注此事件。
针对此事件的发生,中国旅游饭店业协会新闻发言人成尔骏先生向全行业发出如下倡议:
1、中国旅游饭店业协会是网络安全的坚定维护者,协会倡导全体会员企业承担起网络安全的责任,确保数据信息安全;
2、会员企业积极做好等级保护,达到相关法规条例规定的网络安全水平;
3、定期进行系统的安全测试,评估系统的安全性并作出相应措施,防止消费者个人信息泄露、丢失;
4、关键业务务必做源代码的安全审计,从软件开发源程序上查找安全漏洞,安全开发;
5、建立企业安全应急响应机制,及时向公众发布事件处理进展。
6、加强员工的安全意识培训,做好管控工作。
中国旅游饭店业协会作为代表和维护中国旅游饭店行业共同利益的全国性社会组织,积极发挥对会员的行为引导、规则约束作用,倡导全体会员自觉遵守宪法、法律、法规和国家政策,加强网络安全建设,同时,坚决反对任何传播、出售或泄露旅客住宿信息的行为。
中国旅游饭店业协会愿携手全体会员饭店企业共同构建和平、安全、开放、合作的网络空间。
中国旅游饭店业协会
2018年8月29日
酒店数据外泄并非首次
网络披露信息称,这并不是华住集团旗下酒店第一次被卷入疑似信息泄露事件。
早在2013年10月,国内安全漏洞监测平台乌云就发布报告称汉庭(属于华住酒店集团旗下)、如家等大批酒店的顾客开房记录被第三方存储,并且因为漏洞而出现泄露。根据当时的报道,被指涉嫌泄露信息的酒店全部或者部分使用浙江慧达驿站网络有限公司开发的酒店Wi-Fi管理、认证管理系统,而慧达驿站在其服务器上实时存储了这些酒店客户的记录,包括客户名、身份证号、开房日期、房间号等大量敏感、隐私信息。
报告称慧达驿站公司管理机制不完善,其系统要求酒店在提交开房记录时通过慧达驿站自己的服务器进行网络认证,理所当然地就存下了客户的信息。
此消息公布后,华住方面立即发布声明,称该报告中没有任何能证明华住旗下酒店有使用该产品的证据,纯属个人臆测和虚构,存在误导行为。
当时,华住集团相关负责人还曾回复媒体称,集团旗下所有酒店的WiFi系统都是自主开发的,并且使用了公安部门制定的第三方监管系统,所以不可能存在泄露客户信息的情况。
不过,这一次曝光的疑似华住用户个人信息泄露事件显然与2013年时不同。2013年时仅为存在信息泄露的风险,而如果此次黑客交易信息事件属实,则意味着近5亿条个人信息已经泄露。
网友观点
图片来源:华住集团官微
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。