盡管已時隔一年,今天一提起個人隱私泄露話題,很多人還是會立即想起徐玉玉——那個因電信詐騙而花季隕落的山東女孩。

就在不到一個月前,9月15日,山東省高院委托臨沂市中院宣判並送達了第二審刑事裁定書,裁定駁回幾名犯罪嫌疑人陳文輝、黃進春、陳寶生的上訴,維持原判。

這起因個人信息泄露最終導致的命案,也許是個極端案例。但越來越多的調查報告顯示,當前公民個人信息遭受侵害的程度,已經到了令人觸目驚心的程度。

為了推動互聯網企業更加重視個人信息保護,形成社會引導和示范效應,帶動行業個人信息保護水平的整體提升,由中央網信辦、工信部、公安部、國家標准委四部門組成的專家工作組,近日對首批10款網絡產品和服務的隱私條款評審。國家網絡安全宣傳周期間,《法制日報》記者就此次隱私條款評審相關話題對有關專家進行了採訪。

企業隱私政策透明度多數偏低

2016年11月,在對全國100多萬份調查問卷進行系統分析研究后,中國青年政治學院互聯網法治研究中心和封面智庫聯合發布的《中國個人信息安全和隱私保護報告》顯示:有多達81%的人收到過對方知道自己姓名或單位等個人信息的陌生來電﹔53%的人因網頁搜索、瀏覽后泄露個人信息,被某類廣告持續騷擾﹔在租房、購房、購車、考試和升學等個人信息泄露后,受到營銷騷擾或詐騙的高達36%。

這些個人信息都是如何泄露出去的?除了網民自身個人信息保護意識不強外,很大程度上,與當前多數互聯網企業的重視程度不高密切相關。

今年6月1日網絡安全法實施前,南方都市報曾與中國政法大學傳播法研究中心聯合發布《用戶信息保護政策透明度報告》披露:在參與測評的1000家網站與APP中,沒有一個能夠達到隱私政策透明度“高”的標准。其中,透明度“較低”和“低”的平台個數相加則多達806個,超過總數的80%,透明度為“低”的超過五成。

而在透明度低的548個平台中,更是有157個得零分,即不提供隱私政策。其中,教育文化行業問題最為突出,有32個平台沒有隱私政策。這也許正是徐玉玉悲劇的深層次原因。

用戶知情權控制權應獲保障

隱私條款到底是什麼?為什麼會引起四部委的重視?其對於互聯網企業和用戶的意義何在?

中國電子技術標准化研究院院長趙波認為,目前互聯網企業搜集了大量的用戶信息,而這些信息很可能會涉及一些商業用途的作用,這就牽扯到怎樣搜集信息、搜集哪些信息等一系列問題,對此各方都十分關注。

趙波指出,近年來,我國政府部門越來越重視個人隱私保護,在網絡安全法出台前,相關法律法規就有非常明確的要求,企業搜集個人信息要公開、透明、規范,要保障用戶的自主權。

“其實,各家互聯網企業的隱私政策裡都有這些條款,只是很少有人認真看,在這種情況下,如何確保用戶的主動確認權,把用戶隱私控制權交給用戶,這是我們希望互聯網企業能夠做到的,也是四部門此次開展隱私政策評估工作的原因。”趙波分析說。

根據法律規定,企業搜集哪些信息是允許的?賽迪網絡空間研究所所長劉權認為,從國家政策引導上講,企業在搜集用戶個人信息時,須遵守正當且必要的原則。“比如導航,你可以搜集用戶的位置信息,但不能搜集用戶的通訊錄信息。”他說。

劉權同時提出,除了要保障用戶的知情權、不要過度搜集外,用戶還應該擁有修改個人信息的權利。“也就是說,我將來有權限能夠去撤銷自己的信息,比如現在微信賬號就是可以注銷的。”

這個權利實際就是用戶對信息的控制權。國家信息中心網絡安全部副主任李新友介紹說,“比如你在卸載一個應用系統后,沒辦法要求服務商刪除你的個人信息,這就跟有些互聯網應用的押金很難退一樣,你最多隻能刪除終端上的個人信息。”

“知情權和控制權,這兩個權利是最基本的權利,尤其是后者,比較遺憾,這次在網絡安全法中沒有寫進去,希望在將來的政策上能夠給予支持。”李新友說。

舉証難量刑輕震懾力要加強

採訪中,多位專家都坦言,並不會因為有了網絡安全法,互聯網用戶的個人信息就絕對安全了。

國家信息技術安全研究中心常務副主任李京春說,“不允許公司轉賣個人數據,但是內部員工偷偷轉賣,老百姓如何舉証?”他指出,不是有了網絡安全法就馬上能立竿見影,其主要還是一個威懾作用。

除了舉証難,鑒定也難。國家信息中心網絡安全部副主任李新友透露,雖然目前從法律上已經許可電子數據作為証據,但電子數據的鑒定還是比較難的。

而在這樣的“兩難”背景下,目前此類案件的司法實踐中,還存在“量刑過輕震懾力有限”的問題。

在此前由中國青年政治學院互聯網法治研究中心和封面智庫聯合發布的《中國個人信息安全和隱私保護報告》中就披露:盡管當前針對個人信息的非法獲取與利用的司法判決為數不少,但與個人信息泄露的普遍狀況相比,並不成比例。特別是個人信息泄露與電信詐騙等犯罪活動結合之后,造成了重大的損失和巨大的社會影響,亟需加大懲處力度,增加犯罪成本,以切實起到威懾作用。

“我們做了一個案例數據庫檢索,隻找到相關的40多個案例的判決書。而在這其中,隻有5個案例是判決侵犯個人信息的罪犯是超過一年,超過兩年的更是僅有兩個案例。這樣的比例也說明,目前刑法的量刑規定不是很高,在實踐中震懾力還比較有限。這同樣也印証了維權困難導致受侵害人維權意願低下的觀點。”該《報告》執筆人、中國青年政治學院互聯網法治研究中心執行主任劉曉春說。

確保網絡安全需多方綜合治理

多位專家指出,要想真正遏制住非法倒賣個人信息行為,還需要綜合治理。這其中,首先就是企業自身應切實履行起社會責任。

就在國家網絡安全宣傳周開幕前,由360公司承辦的網絡安全法治論壇在京召開。會上發布的《法律視角下的全球網安態勢及對策報告》,在對今年5月爆發的勒索病毒攻擊事件進行安全反思時指出,這起事件背后暴露出的一個問題,就是互聯網企業重自身損失而忽略社會責任。

《報告》分析認為,用戶信息泄露與網絡運營者責任沒有挂鉤,導致修補漏洞成了企業額外的支出,而不是應盡的義務,內在動力不足是造成信息泄露這一問題的根源。因此,需要明確防止用戶信息泄露是網絡運營者的法律義務。為此《報告》建議,“如果出現個人信息泄露,不但應追究網絡運營者的行政責任,也應賦予被泄露信息者主張民事賠償的權利。”

“事實上,個人隱私數據的保護不僅涉及個人安全,還關系到國家安全。”中國信息安全認証中心主任魏昊指出,比如跨境電商,大量數據要出境,大量單個數據集合在一起就會形成海量數據,從而產生巨大價值,如果這些數據被泄露,就可能對國家安全造成損害。

針對目前普遍存在的企業超范圍搜集信息問題,魏昊透露,“我們將來要對企業的數據保護能力進行認定。無論是提供數據服務還是數據分析,都既要有相應的技術能力又要有管理能力。”

事實上,在強化企業社會責任的同時,用戶個人隱私保護意識也有待提高。甚至某種程度上說,普法比司法更重要。

對於未來,中央網信辦網絡安全協調局局長趙澤良提出自己的期望,“任何人任何組織都要對自己在網上的行為負責。隻有政府負起責任,企業負起責任,給廣大市民提供一個安全的網絡環境,實現安全上網、放心上網,才能讓網絡真正造福每一個市民。”

分享讓更多人看到