以8个比特币(约人民币37万元)标价,就可以轻松获得1.3亿条酒店入住登记身份信息,和2.4亿条酒店开房记录。
这是8月28日爆出的华住集团旗下所有酒店用户数据被泄露的情况。截至目前,华住集团官方回应,已启动内部自查并报警。同时,上海警方已介入调查,表示将始终严厉打击非法获取、买卖、交换、提供公民个人信息等违法犯罪行为。
而这已是华住集团第二次被卷入信息泄露事件。国内安全漏洞监测平台乌云(wooyun.org)早在2013年就发布报告称,如家、汉庭等大批酒店的开房记录被第三方存储,并且因为漏洞而泄露。面向大众市场的汉庭即为华住酒店集团旗下酒店。
面对个人信息泄露,中国电子商务协会政策法律委员会副主任、上海段和段律师事务所合伙人刘春泉表示,目前曝光的因信息泄露而造成的重大刑事案例,都不是个人泄露的。从国家立法角度来说,约束企业的思路是对的。
8月29日,中国消费者协会公布的《app个人信息泄露情况调查报告》(下称《报告》)建议,如何保护消费者个人信息和隐私,尊重消费者的价值和意愿,让消费者个人信息和隐私数据不再“裸奔”,并受到合理的尊重和保护,离不开社会各界的广泛参与和共同治理。
图片来源:《app个人信息泄露情况调查报告》
个人信息采集及泄露呈普遍趋势
当下,消费者在享受移动互联网快速发展带来的各种利好时,个人隐私信息泄露、盗用、贩卖事件时有发生,骚扰、诈骗电话和邮件时有发生。
前述《报告》称,根据5000多份有效问卷调查结果,个人信息泄露情况相当严重,信息泄露途径和表现形式多样。个人信息泄露总体情况比较严重,遇到过个人信息泄露情况的人数占比为85.2%。
由于个人信息的大范围泄露,电信诈骗屡见不鲜。刘春泉表示,电信诈骗之所以屡屡得逞,是因为个人信息“裸奔”泛滥,骗子能报出准确的个人信息,导致迷惑性强,稍有不慎就容易上当。
不过,个人信息大范围泄露与网络实名制有很大关系。由于对个人信息的重要性认识不到位和缺乏个人信息保护的专业技能,普遍都没有得到很好的技术和法律保护。
此外,手机app过度采集个人信息呈现普遍趋势。《报告》称,手机app需要获取的权限种类繁多,最突出的是获取位置信息和访问联系人权限;而且存在app自身功能使用非必要的情况下获取用户隐私权限,增加了个人信息泄露的风险;多数受访者认为手机app采集个人信息的原因是为了推销广告。
值得关注的是,信息泄露也呈现增长趋势。数据显示,2016年全年泄露或被盗的数据量大约是19亿条。而2017年,雅虎在提交给美国金融监管机构的文件中,承认30亿账户全部泄露。一家的泄露数据量,相当于2016年全年的1.5倍。
中国电子商务研究中心特约研究员、地歌网ceo余德接受第一财经记者采访时表示,信息泄露的实施主体有个体也有组织。获取的方式也可分为两类,一类是通过职务行为非法获取,以及非法购买、收受、交换等方式获取,另一类是技术泄露,如漏洞、木马、拖库(黑客术语,意即将数据库里所有数据全部盗走)等。
对于此次华住集团的信息泄露,也有业内人士分析,主要是有“内鬼”主动泄露相关信息。
此外,消费者个人信息泄露后的应对措施不足。调查数据显示,在个人信息泄露情况发生后,消费者最担心被利用从事诈骗窃取活动或交给第三方。然而,最终有大约三分之一的受访者选择“自认倒霉”,消费者的主动维权意识还有待加强。
余德表示,从公民个人信息的侵犯维度来看,在互联网发展的历史上,个人信息泄露的事件一直都有。如果是离职员工泄露数据或在职员工内外合作非法“盗取”的情况,酒店需要为内部管理存在漏洞而承担相应责任。如果是黑客“拖库”入侵,要是企业没有给予与其规模相匹配的技术保护,则也需要承担相应责任,像华住这样拥有庞大体量个人信息的集团企业,应该配备高级别的安全防护等级。否则,企业也是受害方。
图片来源:《app个人信息泄露情况调查报告》
提高立法司法机关的认识
个人信息保护立法事关每个公民利益,也是大家切身感受到的各种信息骚扰、电信诈骗背后涉及的法律问题。
个人信息保护法的研究已经持续多年,虽然目前还没有列入人大的立项规划,但学术界认为继网络安全法和电子商务法之后,个人信息保护法是下一个网络信息领域必须重点研究的立法课题。
2012年底,全国人大常委会也发布了加强网络信息保护的决定,正式推行网络实名制,同时从立法层面明确了个人信息保护的法律要求。2017年6月1日,《网络安全法》正式施行。
日前,民法典各分编草案初次提请十三届全国人大常委会第五次会议审议。针对隐私权和个人信息保护领域存在的突出问题,人格权编草案在现行法律规定基础上进一步强化对隐私权和个人信息的保护,并为即将制定的个人信息保护法留下衔接空间。
中国法学会民法学研究会副秘书长孟强表示:“草案首次对隐私权作出了明确的界定,用单独一章对保护隐私权和个人信息进行了详细的规定,有效回应了现实需求。”
刘春泉日前撰文称,纵观各国个人信息保护的立法模式,个人信息单行法立法保护是比较普遍采用的做法。虽然徐玉玉案件极大提高了个人信息保护必要性的认知程度,但全社会尤其是立法司法机关对于个人信息的价值和保护的必要性的认识现状还太低。很多人还是无法把个人信息保护与电信诈骗等个人信息滥用的恶劣后果联系起来。
刘春泉表示,“这一次,华住集团信息泄露,有可能你我的信息都在其中,但是我们很难证明,有哪些损害后果。”
“按照一般的侵权行为,法律上有4个要点,侵权行为、损害后果、因果关系、当事人过错。要证明是被告把你的信息泄露了,而信息泄露这个链条其实是很长的,一般原告当事人是很难证明的,这是一个很重要的原因。”刘春泉说。
刘春泉认为,华住集团等企业之所以不够重视个人信息安全,在于法律对他们没有威慑。不过,现在法律环境也变了,《网络安全法》也已经实施。要是再打官司的话,有可能也会发生变化。
他认为,对于这个案件,有可能触发主管部门对其进行立案调查。除了刑事案件以外,还会调查华住集团有无履行《网络安全法》的义务。如果履行了可以减轻责任,现在信息泄露,肯定也是有合规工作没做到位的地方。因为保护信息安全是企业的法定义务,没有保护好,导致泄露涉嫌违法。
中国消费者协会也建议,从健全相关法律法规方面,进一步明确网络信息服务中交易双方的权利义务,特别是对app服务提供商的义务与责任约束,做好个人信息和数据应用中相关风险和问题的应对与研判,让网络时代的数据产业在法治范围内发展。
此外,手机app的监管和个人信息的保护,需要工信、市场监管、公安、文化、网安等有关部门协同共治、动态监管。在严格准入门槛和登记备案的同时,要严厉惩处各类违法违规行为,严厉打击个人信息贩卖的黑色产业链,对于侵犯消费者个人隐私信息的行为,形成常态化监管机制。
个人信息立法的借鉴经验
当前,中国个人信息保护的司法案例,主要由一些法律专业人员,例如律师、消费者保护机构等在推动。
刘春泉称,由于我国目前个人信息维权民事案件本来就少,除了江苏消保委起诉百度撤诉外个人还基本都败诉,因而企业没有尽到合理谨慎的信息安全保障义务甚至是赤裸裸侵权行为,本来就举证困难,现在则基本就是零风险状态。
目前,我国个人信息保护在行政执法领域,主要是《消费者权益保护法》、《网络安全法》。《网络安全法》的执法力度相对较大,根据公布的案例,腾讯微信、新浪微博、百度贴吧涉嫌违反《网络安全法》被立案调查,boss直聘被网信办责令整改,这算目前的重大执法案件。
与此形成鲜明对比的是,虽然欧美也不乏个人信息泄露事件,但欧美企业普遍比较重视网络隐私或个人信息保护,并非自觉,而是迫于实实在在的法律风险。
例如,2012年谷歌因为浏览器safari设置问题,曾被美国联邦通信委员会(fcc)罚款2250万美元;2014年9月verizon公司因为没有给200万电话用户提供optout(退出)选择,被fcc查处,结果以740万美元和解结束对其涉嫌侵犯隐私的调查等。
刘春泉称,中国在立法时,应该较多参考研究其他域外立法,包括印度、新加坡、日本,其个人信息保护水平也不低于我国。
他认为,从中国反垄断法的执法来看,个人信息保护执法不排除学习欧盟的可能性。结合欧盟对谷歌等企业反垄断等多次巨额罚款,这一行政执法措施监管确实震慑力巨大,可以通过巨额罚款的行政责任引导企业合规。在目前,司法诉讼仍不失为中国个人信息保护立法值得考虑的主要保护途径。从科学合理与渐进进程角度来说,通过民事诉讼责任引导企业合规,似乎更加科学合理。