《经济参考报》记者调研了解到,当前,我国个人信息泄露呈现出“问题频出——公安打击——安全平稳期——问题再次复现”的往复循环的态势,个人信息泄露问题日趋常态化。
几乎每个人都被信息泄露带来的问题困扰,信息泄露为何屡禁不止?接受记者采访的专家指出,根治顽疾还需跨过几座“山”,加大处罚力度的同时,亟须划定信息收集红线、强化制度震慑作用,加强重点领域立法补齐监管短板。
过度索权“套路多”信息收集要划定底线红线
“每次安装一个新的APP,都要勾选同意一整页的隐私政策,我根本就都读不下来,但是不勾选还不能使用”、“明明只是一款音乐APP,却一定要读取我的位置、相册和通讯录。”……互联网时代,人们在享受着大数据带来的便捷的同时,个人信息不可避免地被收集、使用。每一次交易、浏览、通信,都会留下痕迹。在此过程中,个人信息的超范围收集及由此带来的泄漏和滥用等问题越来越常态化。
业内人士表示,随着各类新应用、新技术层出不穷,各类机构过度索取个人信息为信息泄露埋下隐患,而整治个人信息泄露乱象必须从治理信息违规和过度收集开始。
多项调研结果显示,移动互联网平台读取和收集用户信息的边界尚不清晰,造成用户的个人信息常常被过度收集。业内指出,APP强制、频繁、过度索取权限,欺骗误导用户提供个人信息等问题受到社会广泛关注,特别是近期APP过度索取“麦克风”、“相册”、“通讯录”等权限问题,用户反映强烈。
中国电子信息产业发展研究院网络安全所所长刘权直言,“相比日新月异、快速更迭的人工智能、大数据等信息技术,我国监管制度滞后于技术及应用场景的发展。”他说,借助互联网平台和技术,各个应用程序和网站门户极易在用户无感知的状态下,采集并处理用户大量个人信息,比如肆意调取手机摄像头权限、复制剪贴板内容、读取操作相册图片、强制读取通讯录等。另外,为满足监管要求,一些APP制定的隐私政策冗长复杂,用户常因难以理解而舍弃阅读,从而导致“收集用户信息需经用户同意”成为了一项无法落实的“摆设”。
刘权表示,无论在线上应用还是线下活动,都要在收集个人信息时,做到合法、正当、必要,并且与其提供的服务有关联。
中国司法大数据研究院社会治理研究中心主任李俊慧对《经济参考报》记者表示,越是在业务开展中具有收集个人信息需要的行业,越是个人信息泄露或不当买卖最为集中的领域。因此,一方面,要明确各类企业或平台收集个人信息的边界,尤其是在何种情况下不得或不必收集个人信息,另一方面,对于收集了个人信息的企业或平台,也需要综合采取技术、管理及惩戒等措施或手段,加强对此类企业或平台个人信息保护能力的评估和动态监管。
这一问题已经开始引发相关监管部门的关注。近期,工信部持续加大对违法违规收集使用个人信息行为发现、曝光和处置力度,开展专题整治,对违规APP依法依规予以约谈、警告、下架、处罚等。3月22日,国家网信办、工信部等四部门也联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,为包括地图导航、网络约车、即时通信等39种常见APP划出了“必要个人信息范围”。
违法成本过“低廉”制度震慑作用亟待加强
中国司法大数据研究院对2016年至2020年全国各级人民法院一审审结的涉侵害个人信息犯罪案件分析发现,近几年涉侵害个人信息犯罪案件呈快速增长的趋势。2016年至2020年,全国各级人民法院一审审结涉侵害个人信息犯罪且裁判文书已公开的案件共计4443件。其中,2016年审结12件,2017年审结113件,同比上升841.67%,2018年审结388件,同比上升243.36%,2019年审结1723件,同比上升344.07%,2020年审结2207件,同比上升28.09%。
信息泄露为何屡禁不止?业内人士表示,治理个人信息泄露乱象,必须要完善顶层制度建设,加大对泄露和滥用个人信息的处罚力度,让犯罪者付出沉重代价。
“当前我国对个人信息泄露事件的处罚低,不能起到足够的震慑作用,这也让企业不愿在安全防护上做更多投入,即使出了问题,处罚金额还比不上安全防护的投入成本。”一位信息安全从业人员坦言。
法律人士指出,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
2020年7月公开征求意见的数据安全法草案提出,在开展数据活动的组织、个人不履行数据安全保护义务或者未采取必要的安全措施的,由有关主管部门责令改正,给予警告,可以并处一万元以上十万元以下罚款,对直接负责的主管人员可以处五千元以上五万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
实际上,在国际范围内,企业信息泄露的处罚金额高昂。例如,2020年,因Facebook违反用户隐私保护策略,美国对其处以50亿美元巨额罚款;爱尔兰也就个人信息非法跨境传输问题,对Facebook处以了高达28亿美元的罚款。通过提高单笔处罚金额等惩罚措施,倒逼数据控制者加强个人信息安全保护,是打击违法违规行为的有效手段。
违法成本太低可能造成企业对数据安全保障投入严重不足。“数据安全有别于传统网络安全,它是特别强调跨学科的,需要法律和技术的融合互补才能找到最佳的风险解决方案。”中国信息通信研究院安全研究所数据安全研究部主任陈湉对记者表示,数据安全工作往往涉及多个部门,但法务部门不理解技术,安全部门不了解业务,业务部门更关注业务发展,这就很难形成一套体系化的完整的内部数据合规架构。
事实上,还有部分社会责任意识薄弱的企业将商业利益凌驾于社会利益之上,不愿履行个人信息保护的相关责任,甚者还借助监管漏洞对个人信息进行违规收集。
对外经济贸易大学数字经济与法律创新研究中心执行主任许可指出,由于缺乏顶层基本法律框架,现有个人信息保护规定散见于各类法律中,并以部门规章及规范性文件居多,法律位阶低且适用效力有限,震慑作用还需加强。
新技术引发新问题重点领域亟须立法补齐监管短板
记者了解到,个人信息保护的顶层法律框架正在紧锣密鼓地推进完善中。继网络安全法与民法典这两部重要的法律文件落地之后,令人关注的个人信息保护法、数据安全法也落地在即。目前,个人信息保护法草案已提请全国人大常委会审议。3月19日,在国新办发布会上,国家互联网信息办公室副主任杨小伟也表示,数据安全法、个人信息保护法在加紧制定出台。
法律专家表示,作为个人信息保护领域基本法律框架,个人信息保护法位阶更高,综合性更强,将从保护公民隐私的角度来看待数据安全问题,该法规有望理顺各个信息主体之间的关系,并针对个人信息的收集、存储、使用、共享等多个方面做出规定。而数据安全法则有望从国家安全、公共安全的角度出发,对先前法规中一些尚不明确的部分进行限定。
不过,专家也表示,两部立法草案还缺乏配套的下位法,部分问题处于模糊地带,需进一步出台配套法律法规,针对具体问题制定相应解决措施。
此外,由人脸识别技术等新技术滥用带来的问题,也为防范信息泄露带来了新的挑战。近年来,人脸识别技术被广泛用于城市安防、支付转账等领域,伴随这一技术加速落地应用的同时,信息泄露风险大、安全漏洞难消除等问题也日益凸显。
对此,业内指出,针对医疗、生物识别等个人特殊敏感信息的专项立法也需要不断推进。刘权介绍,例如日本、美国等国家偏向于针对不同特征的个人信息采取精细化治理和保护模式,日本采用“基本法+专门法”的双重规制架构保护个人医疗信息安全;美国在各州及联邦层面均出台专项法案保护个人生物识别信息安全。他认为,我国可考虑借鉴相关做法,对医疗、生物识别、地理位置等特殊敏感信息进行分类专项保护。
许可表示,在大数据时代,信息技术的变化日新月异,个人信息泄露的新问题也会层出不穷,法律细则需要不断完善以面对个人信息保护新的场景与新的问题。金融、医疗健康、通信等专业领域也需要单独立法强化个人信息保护,国家的强制性标准、行业性的标准也需要进一步完善。
据悉,在金融领域,针对一些科技公司利用市场优势,过度采集、使用企业和个人数据,甚至盗卖数据的行为,监管部门正在研究制定金融数据安全保护条例,构建更加有效的保护机制,防止数据泄露和滥用。(记者张超文 李佳鹏 孙韶华 张莫 梁倩 郭倩)