新法徵求意見期滿 個人信息保護如何防“內鬼”
圓通“內鬼”勾結不法分子,40萬條個人信息泄露,輿論譁然的同時,也再次點燃了社會關於個人信息保護的焦慮。巧合的是,11月19日正是《個人信息保護法(草案)》公開徵求意見截止日期,而這也是首部專門規定個人信息保護的法律。11月18日,國家郵政局迴應稱,“一直非常重視個人信息保護,對於信息泄露等問題態度一直非常明確,一切以此前公佈的政策、表態爲準”。
圓通“內鬼”事件並非侵權孤例。近年來,隨着互聯網發展,個人信息侵權案屢禁不止。業內指出,身處大數據紅利時代,個人信息保護並非無法可依,但想要真正平衡企業和個人權益的天秤,不僅需要實操性更強的法律依據,也需要對“個人信息”的明確界定和劃分,而企業端立行整改也不應僅是說說而已。
當事人難知情
根據圓通發佈的信息顯示,今年7月底,公司總部實時運行的風控系統監測到圓通速遞河北省區下屬加盟網點有兩個賬號存在非該網點運單信息的異常查詢,判斷爲明顯的異常操作。經多方調查發現,疑似有加盟網點個別員工與外部不法分子勾結,利用員工賬號和第三方非法工具竊取運單信息,導致信息外泄。當前,相關犯罪嫌疑人已於9月落網。
事實上,圓通此次泄密並非首犯。2013年10月,有媒體曝出近百萬條圓通快遞單個人信息網上可購,單號數據24小時滾動刷新;2018年7月-2019年5月間,嫌疑人利用爬蟲軟件從圓通公司網站非法竊取公司快件信息並獲利100萬元。
回顧圓通事件僅是管中窺豹。隨着互聯網時代大數據普及,近年來個人信息侵權案件也以幾何倍數增長。2018年末,北京市朝陽區法院曾披露數據,據不完全統計,過去15年間朝陽法院共受理公民個人信息民事侵權案件74件,其中近五年即2013-2017年案件總量爲38件,佔比達到51.4%。就在10月26日,工業和信息化部向社會通報了131家存在侵害用戶權益行爲App企業的名單,部分軟件違規收集和使用個人信息。
值得關注的是,多位律師指出,從當前侵權案例來看,媒體曝光前,作爲信息處理者並未及時履行信息侵權後的告知義務,這也爲日後埋下隱患。“試想如果圓通事件中未經媒體披露,被侵權者又如何及時獲悉自己信息被出售或披露?”卓緯律師事務所合夥人孫志峰表示,智能時代保護個人信息安全最大的難點在於識別和舉證,企業具有技術優勢,個人普遍缺乏相應的技術知識和識別能力,使得雙方處於不對稱的情形,個人舉證和侵權論證更無從談起。
然而,不論是2017年落地的《中華人民共和國網絡安全法》還是當前公開徵求意見的《個人信息保護法(草案)》,均對個人信息處理者告知義務作出明確。其中,《個人信息保護法(草案)》第五十五條規定,個人信息處理者發現個人信息泄露的,應當立即採取補救措施,並通知履行個人信息保護職責的部門和個人。通知內容應當包含泄露原因、可能造成的危害、已採取的補救措施、可採取的減輕危害的措施以及個人信息處理者的聯繫方式。
“但從實際義務履行情況來看,當個人信息被泄露後,信息處理者一般並不會第一時間主動通知被侵權者和相關部門並說明可能引起的權益損害;而在不通知的情況下,市場監管部門也不會進行處罰;此外,雖然刑法也規定,違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金。但關於如何界定被侵權者的損失也是一個問題。”寧人律師事務所金融與科技委員會副主任馬軍表示。
提倡“先保護再利用”
“其實,我們對於侵犯個人信息的案件並非無法可依。”孫志峰指出。例如,《民法總則》第111條明確規定個人信息受法律保護,任何組織和個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或公開他人的個人信息;《網絡安全法》等法律也有保護個人信息的專門條款;《刑法》則將嚴重侵犯公民個人信息的行爲列爲刑事犯罪,予以嚴懲;而《民法典》更是將個人信息作爲人格權項下的新型人格利益予以保護。
在這種情況下,侵權案件仍屢禁不止,問題出在哪裡?馬軍分析指出,當前國家對於個人信息的立法基調是“保護+利用”。“歐盟對於個人信息使用的要求是非常嚴格的,而美國則相對靈活寬鬆,更強調信息的靈活使用。考慮到需要爲立法保留空間,我們想要走第三條道路,既保護又利用。這就帶來另一個問題,現行法規尚不完備,違法成本低但維權成本高。”
在此基礎上,馬軍道出當前個人信息保護立法的現狀,行政法規仍待細化。“以《個人信息保護法(草案)》爲例,其更多延續了《網絡安全法》內容,並未有太大實質性突破,導致現在利用給企業帶來了價值,個人信息權利主體卻要自己掏腰包去打官司,賠償還不夠訴訟費用,所以利益保護是失衡的。因此提倡先保護再利用,而不是出現了問題直接定性;同時,需要制度和技術同時配備,強調日常維護。”
“如果圓通事件發生在歐洲,按照歐盟《通用數據保護條例》(GDPR)規定,涉事公司或面臨上一年度4%營業額的罰款。例如,此前萬豪酒店因泄露3億多客人信息,被英國ICO處以1840萬英鎊(約合人民幣1.6億元)罰款。我國《個人信息保護法(草案)》也提到了對類似事件罰款可以高達5%。這也再次證明我國目前急需出臺《個人信息保護法》。”北京斐石律師事務所管理合夥人周照峰說。
“個人信息”範圍仍待細分
11月19日是《個人信息保護法(草案)》的公開徵求意見截止日期,作爲首部專門規定個人信息保護的法律,其在正式出臺後,將成爲個人信息保護領域的“基本法”。馬軍指出,《個人信息保護法(草案)》需“粗細結合”,對於實踐中正在探索的條款可以原則一些,而對於實踐中圓通這種錯誤,立法層面則需更加全面且具有實操性。
然而,在立法層面外,在執法過程中,對於“個人信息”的界定也備受關注。據前述朝陽區法院統計,截至2018年末,在其審理的個人信息侵權案中,手機號、家庭住址是侵權重點。從訴求中涉及的信息內容看,原告訴求涉及同時侵害多個信息的情況較爲普遍。
這意味着,在一個案件中原告主張同時侵害了姓名、身份證號、病歷信息、工作單位及履歷等多重信息。其中,原告訴求主張涉及侵害三種及以上信息的案件數量共計45件,約佔此類案件總數量的60.8%。
“如何定義個人信息並作出分類”也是《個人信息保護法(草案)》公開徵集意見後的一大關注重點。北京德和衡(上海)律師事務所高級聯席合夥人陳國��及執業律師範思佳指出,按照《個人信息保護法(草案)》第四條的規定,“個人信息是以電子或者其他方式記錄的已識別或者可識別的自然人有關的各種信息,不包括匿名化處理後的信息”。《個人信息保護法(草案)》中對於個人信息定義的內涵雖明確,但對於“已識別”或者“可識別”的外延規定則相對模糊。
前述機構認爲,個人信息作爲一個相對抽象的概念,立法者有必要列舉個人信息的種類、類型以及表現形式,進而進一步界定和確定個人信息的具體範圍。僅從信息可能存在的路徑,即收集、儲存、使用、加工、傳輸、提供、公開等活動,來確定個人信息的範圍過於寬泛,希望在正式發佈的條文中有更詳細的規定。