圓通“內(nèi)鬼”勾結(jié)不法分子,40萬條個人信息泄露,輿論嘩然的同時,也再次點燃了社會關(guān)于個人信息保護的焦慮。巧合的是,11月19日正是《個人信息保護法(草案)》公開征求意見截止日期,而這也是首部專門規(guī)定個人信息保護的法律。11月18日,國家郵政局回應(yīng)稱,“一直非常重視個人信息保護,對于信息泄露等問題態(tài)度一直非常明確,一切以此前公布的政策、表態(tài)為準”。
圓通“內(nèi)鬼”事件并非侵權(quán)孤例。近年來,隨著互聯(lián)網(wǎng)發(fā)展,個人信息侵權(quán)案屢禁不止。業(yè)內(nèi)指出,身處大數(shù)據(jù)紅利時代,個人信息保護并非無法可依,但想要真正平衡企業(yè)和個人權(quán)益的天秤,不僅需要實操性更強的法律依據(jù),也需要對“個人信息”的明確界定和劃分,而企業(yè)端立行整改也不應(yīng)僅是說說而已。
當事人難知情
根據(jù)圓通發(fā)布的信息顯示,今年7月底,公司總部實時運行的風(fēng)控系統(tǒng)監(jiān)測到圓通速遞河北省區(qū)下屬加盟網(wǎng)點有兩個賬號存在非該網(wǎng)點運單信息的異常查詢,判斷為明顯的異常操作。經(jīng)多方調(diào)查發(fā)現(xiàn),疑似有加盟網(wǎng)點個別員工與外部不法分子勾結(jié),利用員工賬號和第三方非法工具竊取運單信息,導(dǎo)致信息外泄。當前,相關(guān)犯罪嫌疑人已于9月落網(wǎng)。
事實上,圓通此次泄密并非首犯。2013年10月,有媒體曝出近百萬條圓通快遞單個人信息網(wǎng)上可購,單號數(shù)據(jù)24小時滾動刷新;2018年7月-2019年5月間,嫌疑人利用爬蟲軟件從圓通公司網(wǎng)站非法竊取公司快件信息并獲利100萬元。
回顧圓通事件僅是管中窺豹。隨著互聯(lián)網(wǎng)時代大數(shù)據(jù)普及,近年來個人信息侵權(quán)案件也以幾何倍數(shù)增長。2018年末,北京市朝陽區(qū)法院曾披露數(shù)據(jù),據(jù)不完全統(tǒng)計,過去15年間朝陽法院共受理公民個人信息民事侵權(quán)案件74件,其中近五年即2013-2017年案件總量為38件,占比達到51.4%。就在10月26日,工業(yè)和信息化部向社會通報了131家存在侵害用戶權(quán)益行為App企業(yè)的名單,部分軟件違規(guī)收集和使用個人信息。
值得關(guān)注的是,多位律師指出,從當前侵權(quán)案例來看,媒體曝光前,作為信息處理者并未及時履行信息侵權(quán)后的告知義務(wù),這也為日后埋下隱患。“試想如果圓通事件中未經(jīng)媒體披露,被侵權(quán)者又如何及時獲悉自己信息被出售或披露?”卓緯律師事務(wù)所合伙人孫志峰表示,智能時代保護個人信息安全最大的難點在于識別和舉證,企業(yè)具有技術(shù)優(yōu)勢,個人普遍缺乏相應(yīng)的技術(shù)知識和識別能力,使得雙方處于不對稱的情形,個人舉證和侵權(quán)論證更無從談起。
然而,不論是2017年落地的《中華人民共和國網(wǎng)絡(luò)安全法》還是當前公開征求意見的《個人信息保護法(草案)》,均對個人信息處理者告知義務(wù)作出明確。其中,《個人信息保護法(草案)》第五十五條規(guī)定,個人信息處理者發(fā)現(xiàn)個人信息泄露的,應(yīng)當立即采取補救措施,并通知履行個人信息保護職責(zé)的部門和個人。通知內(nèi)容應(yīng)當包含泄露原因、可能造成的危害、已采取的補救措施、可采取的減輕危害的措施以及個人信息處理者的聯(lián)系方式。
“但從實際義務(wù)履行情況來看,當個人信息被泄露后,信息處理者一般并不會第一時間主動通知被侵權(quán)者和相關(guān)部門并說明可能引起的權(quán)益損害;而在不通知的情況下,市場監(jiān)管部門也不會進行處罰;此外,雖然刑法也規(guī)定,違反國家有關(guān)規(guī)定,向他人出售或者提供公民個人信息,情節(jié)嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金。但關(guān)于如何界定被侵權(quán)者的損失也是一個問題。”寧人律師事務(wù)所金融與科技委員會副主任馬軍表示。
提倡“先保護再利用”
“其實,我們對于侵犯個人信息的案件并非無法可依。”孫志峰指出。例如,《民法總則》第111條明確規(guī)定個人信息受法律保護,任何組織和個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或公開他人的個人信息;《網(wǎng)絡(luò)安全法》等法律也有保護個人信息的專門條款;《刑法》則將嚴重侵犯公民個人信息的行為列為刑事犯罪,予以嚴懲;而《民法典》更是將個人信息作為人格權(quán)項下的新型人格利益予以保護。
在這種情況下,侵權(quán)案件仍屢禁不止,問題出在哪里?馬軍分析指出,當前國家對于個人信息的立法基調(diào)是“保護+利用”。“歐盟對于個人信息使用的要求是非常嚴格的,而美國則相對靈活寬松,更強調(diào)信息的靈活使用。考慮到需要為立法保留空間,我們想要走第三條道路,既保護又利用。這就帶來另一個問題,現(xiàn)行法規(guī)尚不完備,違法成本低但維權(quán)成本高。”
在此基礎(chǔ)上,馬軍道出當前個人信息保護立法的現(xiàn)狀,行政法規(guī)仍待細化。“以《個人信息保護法(草案)》為例,其更多延續(xù)了《網(wǎng)絡(luò)安全法》內(nèi)容,并未有太大實質(zhì)性突破,導(dǎo)致現(xiàn)在利用給企業(yè)帶來了價值,個人信息權(quán)利主體卻要自己掏腰包去打官司,賠償還不夠訴訟費用,所以利益保護是失衡的。因此提倡先保護再利用,而不是出現(xiàn)了問題直接定性;同時,需要制度和技術(shù)同時配備,強調(diào)日常維護。”
“如果圓通事件發(fā)生在歐洲,按照歐盟《通用數(shù)據(jù)保護條例》(GDPR)規(guī)定,涉事公司或面臨上一年度4%營業(yè)額的罰款。例如,此前萬豪酒店因泄露3億多客人信息,被英國ICO處以1840萬英鎊(約合人民幣1.6億元)罰款。我國《個人信息保護法(草案)》也提到了對類似事件罰款可以高達5%。這也再次證明我國目前急需出臺《個人信息保護法》。”北京斐石律師事務(wù)所管理合伙人周照峰說。
“個人信息”范圍仍待細分
11月19日是《個人信息保護法(草案)》的公開征求意見截止日期,作為首部專門規(guī)定個人信息保護的法律,其在正式出臺后,將成為個人信息保護領(lǐng)域的“基本法”。馬軍指出,《個人信息保護法(草案)》需“粗細結(jié)合”,對于實踐中正在探索的條款可以原則一些,而對于實踐中圓通這種錯誤,立法層面則需更加全面且具有實操性。
然而,在立法層面外,在執(zhí)法過程中,對于“個人信息”的界定也備受關(guān)注。據(jù)前述朝陽區(qū)法院統(tǒng)計,截至2018年末,在其審理的個人信息侵權(quán)案中,手機號、家庭住址是侵權(quán)重點。從訴求中涉及的信息內(nèi)容看,原告訴求涉及同時侵害多個信息的情況較為普遍。
這意味著,在一個案件中原告主張同時侵害了姓名、身份證號、病歷信息、工作單位及履歷等多重信息。其中,原告訴求主張涉及侵害三種及以上信息的案件數(shù)量共計45件,約占此類案件總數(shù)量的60.8%。
“如何定義個人信息并作出分類”也是《個人信息保護法(草案)》公開征集意見后的一大關(guān)注重點。北京德和衡(上海)律師事務(wù)所高級聯(lián)席合伙人陳國彧及執(zhí)業(yè)律師范思佳指出,按照《個人信息保護法(草案)》第四條的規(guī)定,“個人信息是以電子或者其他方式記錄的已識別或者可識別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息”。《個人信息保護法(草案)》中對于個人信息定義的內(nèi)涵雖明確,但對于“已識別”或者“可識別”的外延規(guī)定則相對模糊。
前述機構(gòu)認為,個人信息作為一個相對抽象的概念,立法者有必要列舉個人信息的種類、類型以及表現(xiàn)形式,進而進一步界定和確定個人信息的具體范圍。僅從信息可能存在的路徑,即收集、儲存、使用、加工、傳輸、提供、公開等活動,來確定個人信息的范圍過于寬泛,希望在正式發(fā)布的條文中有更詳細的規(guī)定。
猜你喜歡
廣東省推出第二批5項青年民 
德國物價創(chuàng)近三十年新高 通 
網(wǎng)聯(lián)平臺:春節(jié)假期前5天處 
個人養(yǎng)老金制度加速崛起 金 
安徽省新增上市公司數(shù)創(chuàng)歷史 
爭產(chǎn)大戲頻頻上演,財富傳承 
啟博微分銷社群團購系統(tǒng),整 
女車主通過"團團車行"賣車遇 
