觀察 | 個人信息保護(hù)困局如何破解

　　圖為觀眾在南京國際智慧城市、物聯(lián)網(wǎng)、大數(shù)據(jù)博覽會人臉識別終端展臺參觀。（圖片來源：視覺中國）

　　只要向網(wǎng)站支付費(fèi)用，就可以在不征得求職者同意的情況下獲取其個人簡歷；表面看起來是用于清理手機(jī)垃圾的APP，背地里卻在不斷讀取用戶信息；擁有上千家門店的知名商戶，竟私自用攝像頭抓取顧客人臉并自動生成編號……今年的央視3·15晚會上，多家企業(yè)因通過公民個人信息謀利而被曝光。

　　隨著信息化與經(jīng)濟(jì)社會的深度融合，利用個人信息侵?jǐn)_群眾生活的現(xiàn)象屢見不鮮，由此滋生的電信詐騙等各類違法犯罪活動愈演愈烈。個人信息保護(hù)領(lǐng)域亂象為何難以禁絕？數(shù)字時代該如何保護(hù)我們的隱私？立法層面又將如何回應(yīng)社會關(guān)切？

　　個人信息泄露事件頻發(fā)，醫(yī)療、網(wǎng)購、房地產(chǎn)、教育等領(lǐng)域成重災(zāi)區(qū)

　　在一個名叫“58智聯(lián)粉”的QQ群里，只需支付7元，便可買到一份智聯(lián)招聘平臺上的求職者簡歷，信息一應(yīng)俱全……央視3·15晚會上，智聯(lián)招聘用戶簡歷流入“黑市”的細(xì)節(jié)被逐一披露。據(jù)賣家透露，在智聯(lián)招聘上注冊賬戶并支付費(fèi)用，就能輕易獲取大量簡歷，“個人賬戶不行，得是企業(yè)賬戶”。

　　在實(shí)際操作中，根據(jù)求職者的學(xué)歷、工作經(jīng)驗(yàn)、薪資水平等條件，簡歷的下載價格分為三個等級，分別是40元、60元和100元。企業(yè)賬戶只要交錢辦理會員，就可以不受數(shù)量限制下載求職者的完整簡歷，而在注冊企業(yè)賬戶時，即使是偽造的資質(zhì)申請也可以順利通過。

　　憑借上述手段下載、購買簡歷后，不法分子能夠獲知公民的詳細(xì)個人信息，從而實(shí)施精準(zhǔn)詐騙。在近年來警方破獲的相關(guān)案件中，曾有一名嫌疑人在硬盤中存儲了700多萬份求職者簡歷。

　　記者梳理發(fā)現(xiàn)，過去一年內(nèi)，類似的個人信息泄露事件頻繁發(fā)生，涉及海量用戶信息的醫(yī)療、網(wǎng)購、房地產(chǎn)、教育等領(lǐng)域成為重災(zāi)區(qū)。

　　2020年7月，某快遞公司內(nèi)部員工與外部不法分子勾結(jié)，利用員工賬號和第三方非法工具竊取運(yùn)單信息，導(dǎo)致40萬條用戶個人信息外泄，其中有效信息量約為4.5萬條，這些有效信息被以每條1元的價格打包售賣至電信詐騙高發(fā)區(qū)。

　　“在這個時代，每個人的個人信息都面臨非常大的風(fēng)險。”中國社科院法學(xué)研究所副所長周漢華說，外泄的快遞信息不但包含發(fā)件人及收件人的地址、姓名、電話，還涉及身份證號、用戶偏好，這些信息一旦被應(yīng)用于大數(shù)據(jù)分析，將可能成為不法分子的牟利手段，“快遞單信息一直是違法犯罪分子盯得比較緊的地方。”

　　此外，處于新冠肺炎疫情席卷全球的非常時期，大數(shù)據(jù)技術(shù)的頻繁應(yīng)用也令個人信息外泄的風(fēng)險隨之激增。此前，某醫(yī)院出入人員名單曾被發(fā)布至多個微信群，涉及6000余人的身份證號碼、居住地址、就診類型等信息。有網(wǎng)友反映稱，“身邊有的朋友因去過醫(yī)院，在家隔離，卻受到電話騷擾，并被謠傳感染了新冠肺炎。”

　　生物信息收集使用安全邊界模糊，“十步一刷臉”引發(fā)技術(shù)濫用擔(dān)憂

　　除電話、住址等物理信息外，隨著數(shù)字技術(shù)的發(fā)展，人臉、指紋、虹膜等生物信息正成為隱私泄露的又一個“高危地帶”。

　　以央視3·15晚會曝光的科勒衛(wèi)浴安裝人臉識別攝像頭為例，該公司在全國擁有上千家門店，消費(fèi)者只要走進(jìn)其中一家門店，就會在不知情的情況下被攝像頭抓取人臉并自動生成ID編號。

　　科勒衛(wèi)浴一位零售銷售主任稱，編號生成后，消費(fèi)者再進(jìn)入其他門店，系統(tǒng)就會對門店工作人員進(jìn)行提示，“如何去接待他，如何去做報價，就有一個心理準(zhǔn)備了。”

　　據(jù)了解，科勒衛(wèi)浴使用的人臉識別攝像頭由蘇州萬店掌網(wǎng)絡(luò)科技有限公司提供。在識別率方面，萬店掌工作人員稱戴口罩可達(dá)到80%-85%，不戴口罩可達(dá)到95%以上。該公司相關(guān)負(fù)責(zé)人薛經(jīng)理表示，在萬店掌的總賬號上可以看到各個企業(yè)收集的人臉數(shù)據(jù)，“累計到現(xiàn)在肯定上億了”。

　　步入數(shù)字時代，人臉、指紋等生物信息廣泛應(yīng)用于銀行業(yè)務(wù)辦理、移動支付、車站檢票等領(lǐng)域，獲得便利體驗(yàn)的同時，模糊的安全邊界也引發(fā)了大眾對“十步一刷臉”這一現(xiàn)狀的隱憂。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會等成立的APP專項(xiàng)治理工作組發(fā)布的《人臉識別應(yīng)用公眾調(diào)研報告（2020）》顯示，在2萬多名受訪者中，有六成認(rèn)為人臉識別技術(shù)有濫用趨勢，三成受訪者表示已因人臉信息泄露、濫用而遭受隱私或財產(chǎn)損失。

　　“人臉信息明文傳輸，每次刷臉解鎖均會反復(fù)上傳，很容易發(fā)生泄露，且識別可靠性差，使用翻拍照片即可輕易破解。”中國電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心審查部總監(jiān)何延哲指出，手機(jī)APP中的安全隱患同樣不容忽視，“APP隱私政策中，對人臉信息等敏感的個人生物識別信息收集使用規(guī)則未作任何說明，而且用戶無法通過注銷機(jī)制刪除。”

　　上海市信息安全行業(yè)協(xié)會會長談劍鋒表示，個人生物特征數(shù)據(jù)具有唯一性和不可再生性，一旦被竊取，無法追回并變更，將對個人隱私保護(hù)帶來極大的、不可逆的風(fēng)險。

　　責(zé)任主體內(nèi)部監(jiān)管失守，司法救濟(jì)渠道不暢，多重原因造成個人信息安全領(lǐng)域亂象叢生

　　過度收集、隨意使用、非法竊取、公然販賣……造成一系列個人信息安全亂象背后的深層原因是什么？記者梳理發(fā)現(xiàn)，從政府職能部門到民營企業(yè)，能夠接觸到公民個人信息的主體多元而廣泛，但是許多關(guān)口都出現(xiàn)了不同程度的監(jiān)管失守。

　　就國家機(jī)關(guān)而言，收集公民個人信息是出于公共利益和社會管理的需要，然而一些部門在管理制度層面存在漏洞，加上相關(guān)工作人員履職不力，導(dǎo)致不規(guī)范存儲、隨意共享等問題時有發(fā)生。更有甚者利用職務(wù)之便將手中掌握的公民個人信息提供給他人，從中謀取利益。

　　“公權(quán)力如何管理好手中的個人信息，如何對其加以限制約束，是個繞不開的問題。”國家監(jiān)委特約監(jiān)察員、清華大學(xué)法學(xué)院教授周光權(quán)說。

　　從企業(yè)層面看，一些社會責(zé)任意識薄弱的企業(yè)將商業(yè)利益凌駕于社會利益之上，不愿履行個人信息數(shù)據(jù)相關(guān)責(zé)任，有的還借助漏洞對個人信息進(jìn)行違規(guī)收集。記者從工業(yè)和信息化部獲悉，截至3月12日，仍有117款涉及違規(guī)收集或使用個人信息的APP尚未完成整改。

　　“網(wǎng)絡(luò)服務(wù)商提供的用戶協(xié)議、服務(wù)條款通常不直接顯示且冗長繁瑣，關(guān)于個人信息收集的范圍、保留時限、處理方式等重要條款難以識別且不盡合理，用戶在這種情況下作出同意決定的真實(shí)性、自愿性大打折扣。”全國人大常委會委員劉修文說。

　　而在外部打擊方面，在過去近20年里，中國法律體系中對公民個人信息權(quán)益的保護(hù)長期處于碎片化狀態(tài)，相關(guān)條款散見于一些法律法規(guī)和規(guī)范性文件中，部分條款之間存在相互沖突的情況，導(dǎo)致出現(xiàn)認(rèn)定、管理、處罰等標(biāo)準(zhǔn)難以統(tǒng)一，執(zhí)法部門權(quán)限職責(zé)不清，司法救濟(jì)渠道不暢等問題。

　　全面加強(qiáng)個人信息法律保護(hù)，推動解決痛點(diǎn)難點(diǎn)問題

　　盡快完善相關(guān)數(shù)據(jù)標(biāo)準(zhǔn)和有關(guān)規(guī)范，推進(jìn)相關(guān)立法工作，是進(jìn)一步加強(qiáng)個人信息保護(hù)法治保障的客觀要求，也是維護(hù)網(wǎng)絡(luò)空間良好生態(tài)的現(xiàn)實(shí)需要。

　　2021年1月1日，《中華人民共和國民法典》正式實(shí)施。記者注意到，《民法典》將人格權(quán)獨(dú)立成編，以“隱私權(quán)和個人信息保護(hù)”專章方式，對隱私權(quán)和個人信息的定義、保護(hù)原則、法律責(zé)任、主體權(quán)利、信息處理等問題作出規(guī)定。多位專家表示，《民法典》從民事基本法的角度對個人信息保護(hù)作出詳細(xì)規(guī)定，具有開創(chuàng)意義，有助于從法治層面推動解決痛點(diǎn)難點(diǎn)問題。

　　針對此前個人信息概念界定模糊的問題，《民法典》第1034條明確，個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

　　中國人民大學(xué)法學(xué)院教授劉俊海表示，對個人信息進(jìn)行“精準(zhǔn)畫像”，是保護(hù)自然人權(quán)利、遏制信息侵權(quán)的基礎(chǔ)，而規(guī)范個人信息的收集和處理則是實(shí)行保護(hù)的關(guān)鍵，“《民法典》第1035條明確了處理個人信息應(yīng)當(dāng)遵循的原則：合法、正當(dāng)、必要，不得過度處理，且需符合征得該自然人或者其監(jiān)護(hù)人同意等4項(xiàng)具體條件。”

　　值得注意的是，《民法典》雖已勾勒出基礎(chǔ)的個人信息保護(hù)框架，但其主要聚焦的是遭受侵害后的法律救濟(jì)問題，若要進(jìn)一步增強(qiáng)法律規(guī)范的系統(tǒng)性、針對性，依然需要對個人信息保護(hù)進(jìn)行專門立法。

　　“制定專門的個人信息保護(hù)法，不是單純地增加一部法律，而是要解決目前面臨的難題，同時還要考慮今后新技術(shù)發(fā)展帶來的知情同意方式的變化。”周光權(quán)告訴記者，日前提請全國人大常委會審議的《個人信息保護(hù)法（草案）》從立法的角度對數(shù)字時代的突出問題進(jìn)行了規(guī)制，“譬如平臺不能向用戶僅推送個性化信息及廣告；所收集的個人圖像、個人身份特征信息只能是維護(hù)公共安全所必需，不得公開或者向他人提供，等等。”

　　與此同時，《個人信息保護(hù)法（草案）》規(guī)定，企業(yè)出現(xiàn)相關(guān)違法行為，可處以五千萬元以下或者上一年度營業(yè)額百分之五以下的罰款。“提高違法成本，劃定嚴(yán)懲紅線，將有助于更好守護(hù)公民個人信息安全。”周光權(quán)說。

　　個人信息保護(hù)之路任重道遠(yuǎn)，需多方聯(lián)手打通梗阻形成協(xié)同共治局面

　　盡管相關(guān)工作都在穩(wěn)步推進(jìn)，但個人信息保護(hù)之路依然任重道遠(yuǎn)。全國人大常委會委員陳斯喜說，目前《個人信息保護(hù)法（草案）》中的一些概念還比較模糊，可能會給實(shí)施帶來困難，“如何區(qū)分對已公開信息與未公開信息的收集、保護(hù)，采集信息的目的是自用還是出售、是暫時保存還是長期保存，這幾個關(guān)系要理清楚并分門別類作出規(guī)范，法律才具有可行性。”

　　另一方面，如何在公民權(quán)益保護(hù)與數(shù)字經(jīng)濟(jì)發(fā)展之間尋求平衡，是個人信息保護(hù)面臨的又一項(xiàng)難題。

　　“二者的關(guān)系是辯證的，企業(yè)不能因?yàn)樽非蟠髷?shù)據(jù)這一核心資產(chǎn)而忽視公民的個人信息保護(hù)，同樣，也不能片面強(qiáng)調(diào)個人信息保護(hù)，一味壓抑企業(yè)在大數(shù)據(jù)開發(fā)方面的積極性和創(chuàng)造性。”劉俊海說。

　　中國社會科學(xué)院大學(xué)互聯(lián)網(wǎng)法治研究中心執(zhí)行主任劉曉春認(rèn)為，個人信息保護(hù)法的規(guī)則設(shè)計，將會對產(chǎn)業(yè)、經(jīng)濟(jì)和社會的發(fā)展產(chǎn)生非常深刻的影響，“希望這部法律能夠在充分保護(hù)個人信息安全的同時，給具體規(guī)則的發(fā)展和應(yīng)用留出一些創(chuàng)新的空間，特別是對于未來產(chǎn)業(yè)的發(fā)展前瞻性地給出一些空間，在動態(tài)的過程中去實(shí)現(xiàn)多贏。”

　　就監(jiān)管部門而言，仍需進(jìn)一步加大對侵犯公民個人信息違法犯罪活動的打擊力度，持續(xù)形成高壓態(tài)勢。去年以來，全國公安機(jī)關(guān)深入推進(jìn)“凈網(wǎng)2020”專項(xiàng)行動，截至去年12月20日共偵辦侵犯公民個人信息刑事案件3100余起。針對央視3·15晚會曝光的“APP違規(guī)收集老年人個人信息”等違規(guī)行為，工業(yè)和信息化部第一時間組織開展技術(shù)檢測并進(jìn)行嚴(yán)厲查處。類似的打擊行動將有助于壓縮侵犯公民個人信息的犯罪空間，更好維護(hù)網(wǎng)絡(luò)空間秩序。

　　除加強(qiáng)立法、加大打擊力度外，守護(hù)個人信息安全，還需關(guān)口前移抓預(yù)防，壓實(shí)國家機(jī)關(guān)、企業(yè)、網(wǎng)絡(luò)主體等信息采集方的主體責(zé)任，敦促強(qiáng)化內(nèi)部監(jiān)管和自律，借助防竊密、防篡改等技術(shù)手段筑牢“防火墻”，切實(shí)解決濫用個人信息、對個人信息數(shù)據(jù)管理不力等問題，助推形成協(xié)同共治局面。