新法征求意见期满 个人信息保护如何防“内鬼”
圆通“内鬼”勾结不法分子,40万条个人信息泄露,舆论哗然的同时,也再次点燃了社会关于个人信息保护的焦虑。巧合的是,11月19日正是《个人信息保护法(草案)》公开征求意见截止日期,而这也是首部专门规定个人信息保护的法律。11月18日,国家邮政局回应称,“一直非常重视个人信息保护,对于信息泄露等问题态度一直非常明确,一切以此前公布的政策、表态为准”。
圆通“内鬼”事件并非侵权孤例。近年来,随着互联网发展,个人信息侵权案屡禁不止。业内指出,身处大数据红利时代,个人信息保护并非无法可依,但想要真正平衡企业和个人权益的天秤,不仅需要实操性更强的法律依据,也需要对“个人信息”的明确界定和划分,而企业端立行整改也不应仅是说说而已。
当事人难知情
根据圆通发布的信息显示,今年7月底,公司总部实时运行的风控系统监测到圆通速递河北省区下属加盟网点有两个账号存在非该网点运单信息的异常查询,判断为明显的异常操作。经多方调查发现,疑似有加盟网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄。当前,相关犯罪嫌疑人已于9月落网。
事实上,圆通此次泄密并非首犯。2013年10月,有媒体曝出近百万条圆通快递单个人信息网上可购,单号数据24小时滚动刷新;2018年7月-2019年5月间,嫌疑人利用爬虫软件从圆通公司网站非法窃取公司快件信息并获利100万元。
回顾圆通事件仅是管中窥豹。随着互联网时代大数据普及,近年来个人信息侵权案件也以几何倍数增长。2018年末,北京市朝阳区法院曾披露数据,据不完全统计,过去15年间朝阳法院共受理公民个人信息民事侵权案件74件,其中近五年即2013-2017年案件总量为38件,占比达到51.4%。就在10月26日,工业和信息化部向社会通报了131家存在侵害用户权益行为App企业的名单,部分软件违规收集和使用个人信息。
值得关注的是,多位律师指出,从当前侵权案例来看,媒体曝光前,作为信息处理者并未及时履行信息侵权后的告知义务,这也为日后埋下隐患。“试想如果圆通事件中未经媒体披露,被侵权者又如何及时获悉自己信息被出售或披露?”卓纬律师事务所合伙人孙志峰表示,智能时代保护个人信息安全最大的难点在于识别和举证,企业具有技术优势,个人普遍缺乏相应的技术知识和识别能力,使得双方处于不对称的情形,个人举证和侵权论证更无从谈起。
然而,不论是2017年落地的《中华人民共和国网络安全法》还是当前公开征求意见的《个人信息保护法(草案)》,均对个人信息处理者告知义务作出明确。其中,《个人信息保护法(草案)》第五十五条规定,个人信息处理者发现个人信息泄露的,应当立即采取补救措施,并通知履行个人信息保护职责的部门和个人。通知内容应当包含泄露原因、可能造成的危害、已采取的补救措施、可采取的减轻危害的措施以及个人信息处理者的联系方式。
“但从实际义务履行情况来看,当个人信息被泄露后,信息处理者一般并不会第一时间主动通知被侵权者和相关部门并说明可能引起的权益损害;而在不通知的情况下,市场监管部门也不会进行处罚;此外,虽然刑法也规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。但关于如何界定被侵权者的损失也是一个问题。”宁人律师事务所金融与科技委员会副主任马军表示。
提倡“先保护再利用”
“其实,我们对于侵犯个人信息的案件并非无法可依。”孙志峰指出。例如,《民法总则》第111条明确规定个人信息受法律保护,任何组织和个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或公开他人的个人信息;《网络安全法》等法律也有保护个人信息的专门条款;《刑法》则将严重侵犯公民个人信息的行为列为刑事犯罪,予以严惩;而《民法典》更是将个人信息作为人格权项下的新型人格利益予以保护。
在这种情况下,侵权案件仍屡禁不止,问题出在哪里?马军分析指出,当前国家对于个人信息的立法基调是“保护+利用”。“欧盟对于个人信息使用的要求是非常严格的,而美国则相对灵活宽松,更强调信息的灵活使用。考虑到需要为立法保留空间,我们想要走第三条道路,既保护又利用。这就带来另一个问题,现行法规尚不完备,违法成本低但维权成本高。”
在此基础上,马军道出当前个人信息保护立法的现状,行政法规仍待细化。“以《个人信息保护法(草案)》为例,其更多延续了《网络安全法》内容,并未有太大实质性突破,导致现在利用给企业带来了价值,个人信息权利主体却要自己掏腰包去打官司,赔偿还不够诉讼费用,所以利益保护是失衡的。因此提倡先保护再利用,而不是出现了问题直接定性;同时,需要制度和技术同时配备,强调日常维护。”
“如果圆通事件发生在欧洲,按照欧盟《通用数据保护条例》(GDPR)规定,涉事公司或面临上一年度4%营业额的罚款。例如,此前万豪酒店因泄露3亿多客人信息,被英国ICO处以1840万英镑(约合人民币1.6亿元)罚款。我国《个人信息保护法(草案)》也提到了对类似事件罚款可以高达5%。这也再次证明我国目前急需出台《个人信息保护法》。”北京斐石律师事务所管理合伙人周照峰说。
“个人信息”范围仍待细分
11月19日是《个人信息保护法(草案)》的公开征求意见截止日期,作为首部专门规定个人信息保护的法律,其在正式出台后,将成为个人信息保护领域的“基本法”。马军指出,《个人信息保护法(草案)》需“粗细结合”,对于实践中正在探索的条款可以原则一些,而对于实践中圆通这种错误,立法层面则需更加全面且具有实操性。
然而,在立法层面外,在执法过程中,对于“个人信息”的界定也备受关注。据前述朝阳区法院统计,截至2018年末,在其审理的个人信息侵权案中,手机号、家庭住址是侵权重点。从诉求中涉及的信息内容看,原告诉求涉及同时侵害多个信息的情况较为普遍。
这意味着,在一个案件中原告主张同时侵害了姓名、身份证号、病历信息、工作单位及履历等多重信息。其中,原告诉求主张涉及侵害三种及以上信息的案件数量共计45件,约占此类案件总数量的60.8%。
“如何定义个人信息并作出分类”也是《个人信息保护法(草案)》公开征集意见后的一大关注重点。北京德和衡(上海)律师事务所高级联席合伙人陈国��及执业律师范思佳指出,按照《个人信息保护法(草案)》第四条的规定,“个人信息是以电子或者其他方式记录的已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。《个人信息保护法(草案)》中对于个人信息定义的内涵虽明确,但对于“已识别”或者“可识别”的外延规定则相对模糊。
前述机构认为,个人信息作为一个相对抽象的概念,立法者有必要列举个人信息的种类、类型以及表现形式,进而进一步界定和确定个人信息的具体范围。仅从信息可能存在的路径,即收集、储存、使用、加工、传输、提供、公开等活动,来确定个人信息的范围过于宽泛,希望在正式发布的条文中有更详细的规定。