人臉照片三分錢一張 誰來爲個人信息泄露負責?

(原標題:【金融頭條】人臉照片三分錢一張 應聘簡歷五毛一份 誰來爲個人信息泄露負責)

經濟觀察報 記者 胡豔明   “二手0.5,一手1.5。”抱着求職心態在招聘網站投出的簡歷,或許正被人暗中提取和交易;在網店的買賣交易信息,有可能在某些隱祕的角落流轉……數字化便利了我們的生活的同時,稍有不慎,信息泄露就會讓用戶變成互聯網上的“透明人”。

11月19日,經濟觀察報記者在某“數據交流羣”裏發現,羣中充斥着其它大量販賣個人信息的消息。“一手優質車主料,地區/購車時間均可,量大從優,閒人勿擾”、“出tb(淘寶)訂單一手二手數據……”

這似乎成爲了一個“產業鏈”,在數據交流羣裏,有人賣簡歷、有人賣招聘網站的企業賬號、有人幫助認證人臉信息。

對於販賣個人信息的行爲,中國人民大學商法研究所所長、教授劉俊海對經濟觀察報表示,“這是一種嚴重的侵權行爲,情節嚴重或構成犯罪,給消費者造成嚴重損害的依法追究刑事責任。民事責任、行政處罰和刑事責任並行不悖,並不是道歉或者賠償損失就可以免責,不構成犯罪要進行行政處罰,構成犯罪要追究刑事責任。”

那麼,誰來爲信息泄露負責?個人信息保護立法正在啓動,人們該如何在數字化發展和個人信息保護之間找到平衡?

誰爲信息泄露負責

記者聯繫到販賣個人簡歷的網友,對方稱,“這些數據都是我們自己公司下載的簡歷,是精準的數據,一手的沒有打過的數據。”對方自稱來自教育類公司,並極力推銷數據的可靠性。他們在幾家著名的求職網站收集簡歷,再進行數據篩選。數據用途主要用於電話銷售,他手上也有三分錢一條的人臉數據信息,但是那種“不出效果、轉化率低”。

除了簡歷,還有人在售賣網絡交易數據、車主信息、外賣APP商家信息。上述售賣車主信息的人表示,數據來源是“內部”。“價格是0.4元/條。可以測,測試按0.5/條提供50-100條。先支付,測試完畢後確定購買數量,測試的將作爲免費贈送。”

經濟觀察報記者獲取的部分數據內容顯示,信息包括車系、車型、車輛型號、客戶姓名、經銷商等信息,非常具體詳細。

在個人信息中,金融信息尤其具有重要的屬性,不法分子對金融信息的倒賣也容易引發後續侵害財產等行爲。從以往判決案例來看,經常有銀行員工因爲販賣客戶信息而觸犯刑法,並以“侵犯公民個人信息罪”獲刑的案例。

今年9月,裁判文書網公佈的湖南省永州市冷水灘區人民法院刑事判決書顯示,建行一分行的外包人員利用職務之便盜用管理人員的操作碼,偷查3678筆個人徵信報告,以10元一份拿出去倒賣給一家小額貸款公司,獲利3.6萬元,最終犯侵犯公民個人信息罪,被判3年,緩刑3年。

山東省鄒城市人民法院一份刑事判決書顯示,2018年5月份期間,浦發銀行電銷中心任業務主管楊某,利用工作便利獲取客戶個人信息20餘萬條,非法提供給某公司用於電話營銷;同時,這家電商公司員工李某在對這些信息資料進行加工整理後,又以每條0.3元的價格對外售賣給第三人李某洪,後者再將這些個人信息販賣給陳某實施電話詐騙。

值得關注的,圓通快遞員工泄露客戶信息事件再次引發關注,根據邯鄲警方消息,相關嫌疑人以每日500元的費用租用圓通公司內部員工系統賬號,後登錄系統賬號進入公司物流系統,導出快遞信息,把竊取的快遞信息進行整理通過微信、QQ等方式賣到全國及東南亞等電信詐騙高發區。

上述案件中,相關嫌疑人將收集到的信息打包賣出,每條信息單價約爲1元。此次被泄露的信息中包括髮件人地址、姓名、電話以及收件人電話、姓名、地址,被泄露的信息數量實際超過40萬條,涉案金額爲120餘萬元。“泄露的是身份信息,裏面包括姓名電話等信息,根據2017年6月1號最高人民法院、最高人民檢察院發佈的侵害公民個人信息犯罪的司法解釋,這構成了刑法中所說的敏感信息泄露,50條以上就要入刑。”中國政法大學傳播法研究中心副主任朱巍告訴記者。

對於數據泄露情況,朱巍分析稱,一般實踐中,有兩種情況,一種是有內鬼,內部員工泄露;還有一部分是通過黑客的相關技術。對於兩種情況平臺都有責任,內鬼屬於僱員,一旦造成損失,平臺有監管不力的責任;如果涉及到黑客攻擊的問題,在實踐中也出現過這種情況,平臺也要承擔責任,因爲涉及到平臺有沒有升級防火牆、有沒有盡到安全保障義務。

中國銀行法學會理事肖颯對記者分析稱,在公司員工不法泄露用戶信息的事件中,最爲直接的責任人自然是不法員工本身,根據我國刑法,第二百五十三條之一規定:“違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金”。泄露用戶信息的直接行爲人需要承擔相應的責任,除構成刑事犯罪外,還需承擔民事賠償責任。

同時,肖颯表示,在該類事件中最引人關注的應當是公司,公司是否需要爲員工的不法行爲負責?以一般生活經驗判斷,責任都是個體性的,員工的違法犯罪行爲不會與公司相關。但在個人信息保護領域,我們認爲公司是負有妥善收集、保管、使用用戶個人信息的義務的。因此,在這一事件中,公司也應當承擔一定的責任。

個人信息保護立法在途

10月21日,備受矚目的《個人信息保護法(草案)》(以下簡稱“草案”)在中國人大網公佈,開始向社會徵求意見。

“草案發布已經引起了廣泛熱議,可見社會公衆對這部法律的殷切期待。”安永團隊表示,個保法草案一方面彰顯了當今網絡時代呼聲的核心——個人對自己的信息具有控制的權利;另一方面也在繼《網絡安全法》之後,進一步規定了企業經營者在促進經濟社會信息化健康發展、維護人民羣衆基本權利方面的管理責任和義務。“草案發布後,對個人信息起到引領、規範、保護和救濟的作用。很好的起到制裁違法者、補償受害者、獎勵維權者、警示行業、教育社會和對公衆心理撫慰的功能。”劉俊海認爲。

劉俊海稱,同時由於行政處罰的充實、監管措施的擴充,也會激活監管部們對消費者的行政保護功能。首先互聯網企業特別是互聯網平臺的責任進一步壓實;第二,行政監管部門的監管力度和對個人信息保護的力度會進一步加大;第三,人民法院和仲裁機構對個人信息侵害產生的民事爭議案件的裁判會找到更多的法律依據。換言之,個人信息保護法的可訴性、可裁性、可執行性值得期待。這使得整個從事互聯網產業的各個鏈條和環節,包括互聯網平臺、電商、社交媒體以及其它APP軟件開發商都會全面納入個人信息保護法的調整軌道,對互聯網經濟發展和個人信息保護是好事,也是數字經濟的可持續發展重要的“加油站”。

對於草案的公佈,肖颯對記者分析稱,首先是在管轄上,我們的個人信息保護擁有了長臂,也就是所謂的域外效力,在技術革命的當下,跨境侵犯個人信息的事件日益增多,個人信息保護法的跨境效力可以爲個人信息提供用力武器。其次是與民法典銜接,明確個人信息的內容,明確的權利與義務內容是法律良好實施的前提。最後是在負責部門中,指明瞭國家網信部門負責個人信息保護工作的統籌協調、發揮統籌協調作用。這樣可以避免交叉執法中的效率低下可能。

“個人信息保護法要更加精準、更接地氣、更加堅持問題導向、目標導向和結果導向。”劉俊海對記者表示,現在有很多平臺及企業主管部門引入電子政務的技術,但是對個人信息保護仍然存在漏洞和盲區。劉俊海對記者舉例稱,其個人在辦理工商登記驗證手續的過程中,也曾遭遇過電信電話騷擾。一般電子政務辦理過程中要確保本人辦理,驗證程序一般需要與第三方驗證單位進行合作,但是第三方驗證的保護措施是否到位值得關注,要注重生物識別信息、個人身份信息的保護。

如何平衡數字化發展和個人信息保護

數字化給生活帶來便利的同時,信息泄露問題也層出不窮,從現有法律和監管層面,有哪些措施可以防止和規範此類行爲?

劉俊海表示,首先,希望接觸信息的互聯網平臺、電商、社交媒體以及其他APP軟件開發商等慎獨自律、見賢思齊擇善而從,打造信息友好型企業治理體系和內控體系。要做大數據,大數據來自於消費者個人信息,必須堅持合法、正當、必要、保密、安全的原則,未經消費者同意不得隨意獲取個人信息。

第二,市場會失靈,監管者不能失靈,希望個人信息保護法強化監管措施,加重行政處罰力度,密切處理好行政處罰和行政責任的銜接機制,引進協同共治機制。

第三,要完善消費者的投訴舉報機制,要暢通消費者維權通道,降低維權成本,確保維權收益高於維權成本,確保違法成本高於違法收益,把個人信息保護的籬笆牆越扎越牢。

隨着時代的前行,數字化是不可抗拒也無法抗拒的時代趨勢。關於防範個人信息泄露,肖颯認爲,可以從三個層面來說:首先是個人層面,民法典人格權編的出臺爲公民個人權利意識的覺醒打下了基礎,在利用數字化便利個人生活的過程中,公民必須堅守權利意識,謹慎選擇,對自己的每一次點擊行爲負責。

其次是各個市場主體,每一家企業在追求效益的同時,必須自覺承擔社會責任,明確保障公民個人信息的義務。一方面合理收集、使用公民信息,在創造經濟價值的同時便利其他社會成員,形成雙贏,另一方面制定規範合理的行爲章程,防止內部出現爲了利益而罔顧責任的個體。

最後是行政監管層面,執法機構需要積極行使職權,在個人信息保護領域,最爲可靠的後盾便是行政機構,最後的避風港也正是行政機關。必須由多部門,多角度,多層級共同建立維護個人行爲,防範信息泄露的完整體系。

朱巍認爲,主要的措施包括立法和技術等方面:首先是立法,現在從“一法一決定”,到《個人信息保護法》(草案),再到《民法典》,再到刑事法律體系和國家網信辦出臺的這些年的新規,構成了一個以往“一法一決定”和個人信息保護法爲核心的個人信息保護法律體系;第二從技術角度創新,比如現在很多的地方使用了區塊鏈技術,無法篡改且使用有痕跡。第三,應該加大懲罰力度,依法嚴懲,違法必究。除此之外,在侵犯個人信息方面,比如“人肉搜索”等行爲,不管情節輕重,都應該依法承擔相應的責任。