根治信息泄露頑疾還需跨過幾座“山”
根治信息泄露頑疾還需跨過幾座“山”
信息收集紅線亟須劃定 制度震懾作用亟須強化 重點領域亟須立法
《經(jīng)濟參考報》記者調(diào)研了解到,當前,我國個人信息泄露呈現(xiàn)出“問題頻出——公安打擊——安全平穩(wěn)期——問題再次復現(xiàn)”的往復循環(huán)的態(tài)勢,個人信息泄露問題日趨常態(tài)化。
幾乎每個人都被信息泄露帶來的問題困擾,信息泄露為何屢禁不止?接受記者采訪的專家指出,根治頑疾還需跨過幾座“山”,加大處罰力度的同時,亟須劃定信息收集紅線、強化制度震懾作用,加強重點領域立法補齊監(jiān)管短板。
過度索權“套路多”信息收集要劃定底線紅線
“每次安裝一個新的APP,都要勾選同意一整頁的隱私政策,我根本就都讀不下來,但是不勾選還不能使用”、“明明只是一款音樂APP,卻一定要讀取我的位置、相冊和通訊錄。”……互聯(lián)網(wǎng)時代,人們在享受著大數(shù)據(jù)帶來的便捷的同時,個人信息不可避免地被收集、使用。每一次交易、瀏覽、通信,都會留下痕跡。在此過程中,個人信息的超范圍收集及由此帶來的泄漏和濫用等問題越來越常態(tài)化。
業(yè)內(nèi)人士表示,隨著各類新應用、新技術層出不窮,各類機構過度索取個人信息為信息泄露埋下隱患,而整治個人信息泄露亂象必須從治理信息違規(guī)和過度收集開始。
多項調(diào)研結果顯示,移動互聯(lián)網(wǎng)平臺讀取和收集用戶信息的邊界尚不清晰,造成用戶的個人信息常常被過度收集。業(yè)內(nèi)指出,APP強制、頻繁、過度索取權限,欺騙誤導用戶提供個人信息等問題受到社會廣泛關注,特別是近期APP過度索取“麥克風”、“相冊”、“通訊錄”等權限問題,用戶反映強烈。
中國電子信息產(chǎn)業(yè)發(fā)展研究院網(wǎng)絡安全所所長劉權直言,“相比日新月異、快速更迭的人工智能、大數(shù)據(jù)等信息技術,我國監(jiān)管制度滯后于技術及應用場景的發(fā)展。”他說,借助互聯(lián)網(wǎng)平臺和技術,各個應用程序和網(wǎng)站門戶極易在用戶無感知的狀態(tài)下,采集并處理用戶大量個人信息,比如肆意調(diào)取手機攝像頭權限、復制剪貼板內(nèi)容、讀取操作相冊圖片、強制讀取通訊錄等。另外,為滿足監(jiān)管要求,一些APP制定的隱私政策冗長復雜,用戶常因難以理解而舍棄閱讀,從而導致“收集用戶信息需經(jīng)用戶同意”成為了一項無法落實的“擺設”。
劉權表示,無論在線上應用還是線下活動,都要在收集個人信息時,做到合法、正當、必要,并且與其提供的服務有關聯(lián)。
中國司法大數(shù)據(jù)研究院社會治理研究中心主任李俊慧對《經(jīng)濟參考報》記者表示,越是在業(yè)務開展中具有收集個人信息需要的行業(yè),越是個人信息泄露或不當買賣最為集中的領域。因此,一方面,要明確各類企業(yè)或平臺收集個人信息的邊界,尤其是在何種情況下不得或不必收集個人信息,另一方面,對于收集了個人信息的企業(yè)或平臺,也需要綜合采取技術、管理及懲戒等措施或手段,加強對此類企業(yè)或平臺個人信息保護能力的評估和動態(tài)監(jiān)管。
這一問題已經(jīng)開始引發(fā)相關監(jiān)管部門的關注。近期,工信部持續(xù)加大對違法違規(guī)收集使用個人信息行為發(fā)現(xiàn)、曝光和處置力度,開展專題整治,對違規(guī)APP依法依規(guī)予以約談、警告、下架、處罰等。3月22日,國家網(wǎng)信辦、工信部等四部門也聯(lián)合發(fā)布《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》,為包括地圖導航、網(wǎng)絡約車、即時通信等39種常見APP劃出了“必要個人信息范圍”。
違法成本過“低廉”制度震懾作用亟待加強
中國司法大數(shù)據(jù)研究院對2016年至2020年全國各級人民法院一審審結的涉侵害個人信息犯罪案件分析發(fā)現(xiàn),近幾年涉侵害個人信息犯罪案件呈快速增長的趨勢。2016年至2020年,全國各級人民法院一審審結涉侵害個人信息犯罪且裁判文書已公開的案件共計4443件。其中,2016年審結12件,2017年審結113件,同比上升841.67%,2018年審結388件,同比上升243.36%,2019年審結1723件,同比上升344.07%,2020年審結2207件,同比上升28.09%。
信息泄露為何屢禁不止?業(yè)內(nèi)人士表示,治理個人信息泄露亂象,必須要完善頂層制度建設,加大對泄露和濫用個人信息的處罰力度,讓犯罪者付出沉重代價。
“當前我國對個人信息泄露事件的處罰低,不能起到足夠的震懾作用,這也讓企業(yè)不愿在安全防護上做更多投入,即使出了問題,處罰金額還比不上安全防護的投入成本。”一位信息安全從業(yè)人員坦言。
法律人士指出,違反國家有關規(guī)定,向他人出售或者提供公民個人信息,情節(jié)嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。
2020年7月公開征求意見的數(shù)據(jù)安全法草案提出,在開展數(shù)據(jù)活動的組織、個人不履行數(shù)據(jù)安全保護義務或者未采取必要的安全措施的,由有關主管部門責令改正,給予警告,可以并處一萬元以上十萬元以下罰款,對直接負責的主管人員可以處五千元以上五萬元以下罰款;拒不改正或者造成大量數(shù)據(jù)泄露等嚴重后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
實際上,在國際范圍內(nèi),企業(yè)信息泄露的處罰金額高昂。例如,2020年,因Facebook違反用戶隱私保護策略,美國對其處以50億美元巨額罰款;愛爾蘭也就個人信息非法跨境傳輸問題,對Facebook處以了高達28億美元的罰款。通過提高單筆處罰金額等懲罰措施,倒逼數(shù)據(jù)控制者加強個人信息安全保護,是打擊違法違規(guī)行為的有效手段。
違法成本太低可能造成企業(yè)對數(shù)據(jù)安全保障投入嚴重不足。“數(shù)據(jù)安全有別于傳統(tǒng)網(wǎng)絡安全,它是特別強調(diào)跨學科的,需要法律和技術的融合互補才能找到最佳的風險解決方案。”中國信息通信研究院安全研究所數(shù)據(jù)安全研究部主任陳湉對記者表示,數(shù)據(jù)安全工作往往涉及多個部門,但法務部門不理解技術,安全部門不了解業(yè)務,業(yè)務部門更關注業(yè)務發(fā)展,這就很難形成一套體系化的完整的內(nèi)部數(shù)據(jù)合規(guī)架構。
事實上,還有部分社會責任意識薄弱的企業(yè)將商業(yè)利益凌駕于社會利益之上,不愿履行個人信息保護的相關責任,甚者還借助監(jiān)管漏洞對個人信息進行違規(guī)收集。
對外經(jīng)濟貿(mào)易大學數(shù)字經(jīng)濟與法律創(chuàng)新研究中心執(zhí)行主任許可指出,由于缺乏頂層基本法律框架,現(xiàn)有個人信息保護規(guī)定散見于各類法律中,并以部門規(guī)章及規(guī)范性文件居多,法律位階低且適用效力有限,震懾作用還需加強。
新技術引發(fā)新問題重點領域亟須立法補齊監(jiān)管短板
記者了解到,個人信息保護的頂層法律框架正在緊鑼密鼓地推進完善中。繼網(wǎng)絡安全法與民法典這兩部重要的法律文件落地之后,令人關注的個人信息保護法、數(shù)據(jù)安全法也落地在即。目前,個人信息保護法草案已提請全國人大常委會審議。3月19日,在國新辦發(fā)布會上,國家互聯(lián)網(wǎng)信息辦公室副主任楊小偉也表示,數(shù)據(jù)安全法、個人信息保護法在加緊制定出臺。
法律專家表示,作為個人信息保護領域基本法律框架,個人信息保護法位階更高,綜合性更強,將從保護公民隱私的角度來看待數(shù)據(jù)安全問題,該法規(guī)有望理順各個信息主體之間的關系,并針對個人信息的收集、存儲、使用、共享等多個方面做出規(guī)定。而數(shù)據(jù)安全法則有望從國家安全、公共安全的角度出發(fā),對先前法規(guī)中一些尚不明確的部分進行限定。
不過,專家也表示,兩部立法草案還缺乏配套的下位法,部分問題處于模糊地帶,需進一步出臺配套法律法規(guī),針對具體問題制定相應解決措施。
此外,由人臉識別技術等新技術濫用帶來的問題,也為防范信息泄露帶來了新的挑戰(zhàn)。近年來,人臉識別技術被廣泛用于城市安防、支付轉(zhuǎn)賬等領域,伴隨這一技術加速落地應用的同時,信息泄露風險大、安全漏洞難消除等問題也日益凸顯。
對此,業(yè)內(nèi)指出,針對醫(yī)療、生物識別等個人特殊敏感信息的專項立法也需要不斷推進。劉權介紹,例如日本、美國等國家偏向于針對不同特征的個人信息采取精細化治理和保護模式,日本采用“基本法+專門法”的雙重規(guī)制架構保護個人醫(yī)療信息安全;美國在各州及聯(lián)邦層面均出臺專項法案保護個人生物識別信息安全。他認為,我國可考慮借鑒相關做法,對醫(yī)療、生物識別、地理位置等特殊敏感信息進行分類專項保護。
許可表示,在大數(shù)據(jù)時代,信息技術的變化日新月異,個人信息泄露的新問題也會層出不窮,法律細則需要不斷完善以面對個人信息保護新的場景與新的問題。金融、醫(yī)療健康、通信等專業(yè)領域也需要單獨立法強化個人信息保護,國家的強制性標準、行業(yè)性的標準也需要進一步完善。
據(jù)悉,在金融領域,針對一些科技公司利用市場優(yōu)勢,過度采集、使用企業(yè)和個人數(shù)據(jù),甚至盜賣數(shù)據(jù)的行為,監(jiān)管部門正在研究制定金融數(shù)據(jù)安全保護條例,構建更加有效的保護機制,防止數(shù)據(jù)泄露和濫用。(記者張超文 李佳鵬 孫韶華 張莫 梁倩 郭倩)
根治信息泄露頑疾還需跨過幾座“山”
信息收集紅線亟須劃定 制度震懾作用亟須強化 重點領域亟須立法
《經(jīng)濟參考報》記者調(diào)研了解到,當前,我國個人信息泄露呈現(xiàn)出“問題頻出——公安打擊——安全平穩(wěn)期——問題再次復現(xiàn)”的往復循環(huán)的態(tài)勢,個人信息泄露問題日趨常態(tài)化。
幾乎每個人都被信息泄露帶來的問題困擾,信息泄露為何屢禁不止?接受記者采訪的專家指出,根治頑疾還需跨過幾座“山”,加大處罰力度的同時,亟須劃定信息收集紅線、強化制度震懾作用,加強重點領域立法補齊監(jiān)管短板。
過度索權“套路多”信息收集要劃定底線紅線
“每次安裝一個新的APP,都要勾選同意一整頁的隱私政策,我根本就都讀不下來,但是不勾選還不能使用”、“明明只是一款音樂APP,卻一定要讀取我的位置、相冊和通訊錄。”……互聯(lián)網(wǎng)時代,人們在享受著大數(shù)據(jù)帶來的便捷的同時,個人信息不可避免地被收集、使用。每一次交易、瀏覽、通信,都會留下痕跡。在此過程中,個人信息的超范圍收集及由此帶來的泄漏和濫用等問題越來越常態(tài)化。
業(yè)內(nèi)人士表示,隨著各類新應用、新技術層出不窮,各類機構過度索取個人信息為信息泄露埋下隱患,而整治個人信息泄露亂象必須從治理信息違規(guī)和過度收集開始。
多項調(diào)研結果顯示,移動互聯(lián)網(wǎng)平臺讀取和收集用戶信息的邊界尚不清晰,造成用戶的個人信息常常被過度收集。業(yè)內(nèi)指出,APP強制、頻繁、過度索取權限,欺騙誤導用戶提供個人信息等問題受到社會廣泛關注,特別是近期APP過度索取“麥克風”、“相冊”、“通訊錄”等權限問題,用戶反映強烈。
中國電子信息產(chǎn)業(yè)發(fā)展研究院網(wǎng)絡安全所所長劉權直言,“相比日新月異、快速更迭的人工智能、大數(shù)據(jù)等信息技術,我國監(jiān)管制度滯后于技術及應用場景的發(fā)展。”他說,借助互聯(lián)網(wǎng)平臺和技術,各個應用程序和網(wǎng)站門戶極易在用戶無感知的狀態(tài)下,采集并處理用戶大量個人信息,比如肆意調(diào)取手機攝像頭權限、復制剪貼板內(nèi)容、讀取操作相冊圖片、強制讀取通訊錄等。另外,為滿足監(jiān)管要求,一些APP制定的隱私政策冗長復雜,用戶常因難以理解而舍棄閱讀,從而導致“收集用戶信息需經(jīng)用戶同意”成為了一項無法落實的“擺設”。
劉權表示,無論在線上應用還是線下活動,都要在收集個人信息時,做到合法、正當、必要,并且與其提供的服務有關聯(lián)。
中國司法大數(shù)據(jù)研究院社會治理研究中心主任李俊慧對《經(jīng)濟參考報》記者表示,越是在業(yè)務開展中具有收集個人信息需要的行業(yè),越是個人信息泄露或不當買賣最為集中的領域。因此,一方面,要明確各類企業(yè)或平臺收集個人信息的邊界,尤其是在何種情況下不得或不必收集個人信息,另一方面,對于收集了個人信息的企業(yè)或平臺,也需要綜合采取技術、管理及懲戒等措施或手段,加強對此類企業(yè)或平臺個人信息保護能力的評估和動態(tài)監(jiān)管。
這一問題已經(jīng)開始引發(fā)相關監(jiān)管部門的關注。近期,工信部持續(xù)加大對違法違規(guī)收集使用個人信息行為發(fā)現(xiàn)、曝光和處置力度,開展專題整治,對違規(guī)APP依法依規(guī)予以約談、警告、下架、處罰等。3月22日,國家網(wǎng)信辦、工信部等四部門也聯(lián)合發(fā)布《常見類型移動互聯(lián)網(wǎng)應用程序必要個人信息范圍規(guī)定》,為包括地圖導航、網(wǎng)絡約車、即時通信等39種常見APP劃出了“必要個人信息范圍”。
違法成本過“低廉”制度震懾作用亟待加強
中國司法大數(shù)據(jù)研究院對2016年至2020年全國各級人民法院一審審結的涉侵害個人信息犯罪案件分析發(fā)現(xiàn),近幾年涉侵害個人信息犯罪案件呈快速增長的趨勢。2016年至2020年,全國各級人民法院一審審結涉侵害個人信息犯罪且裁判文書已公開的案件共計4443件。其中,2016年審結12件,2017年審結113件,同比上升841.67%,2018年審結388件,同比上升243.36%,2019年審結1723件,同比上升344.07%,2020年審結2207件,同比上升28.09%。
信息泄露為何屢禁不止?業(yè)內(nèi)人士表示,治理個人信息泄露亂象,必須要完善頂層制度建設,加大對泄露和濫用個人信息的處罰力度,讓犯罪者付出沉重代價。
“當前我國對個人信息泄露事件的處罰低,不能起到足夠的震懾作用,這也讓企業(yè)不愿在安全防護上做更多投入,即使出了問題,處罰金額還比不上安全防護的投入成本。”一位信息安全從業(yè)人員坦言。
法律人士指出,違反國家有關規(guī)定,向他人出售或者提供公民個人信息,情節(jié)嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴重的,處三年以上七年以下有期徒刑,并處罰金。
2020年7月公開征求意見的數(shù)據(jù)安全法草案提出,在開展數(shù)據(jù)活動的組織、個人不履行數(shù)據(jù)安全保護義務或者未采取必要的安全措施的,由有關主管部門責令改正,給予警告,可以并處一萬元以上十萬元以下罰款,對直接負責的主管人員可以處五千元以上五萬元以下罰款;拒不改正或者造成大量數(shù)據(jù)泄露等嚴重后果的,處十萬元以上一百萬元以下罰款,對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
實際上,在國際范圍內(nèi),企業(yè)信息泄露的處罰金額高昂。例如,2020年,因Facebook違反用戶隱私保護策略,美國對其處以50億美元巨額罰款;愛爾蘭也就個人信息非法跨境傳輸問題,對Facebook處以了高達28億美元的罰款。通過提高單筆處罰金額等懲罰措施,倒逼數(shù)據(jù)控制者加強個人信息安全保護,是打擊違法違規(guī)行為的有效手段。
違法成本太低可能造成企業(yè)對數(shù)據(jù)安全保障投入嚴重不足。“數(shù)據(jù)安全有別于傳統(tǒng)網(wǎng)絡安全,它是特別強調(diào)跨學科的,需要法律和技術的融合互補才能找到最佳的風險解決方案。”中國信息通信研究院安全研究所數(shù)據(jù)安全研究部主任陳湉對記者表示,數(shù)據(jù)安全工作往往涉及多個部門,但法務部門不理解技術,安全部門不了解業(yè)務,業(yè)務部門更關注業(yè)務發(fā)展,這就很難形成一套體系化的完整的內(nèi)部數(shù)據(jù)合規(guī)架構。
事實上,還有部分社會責任意識薄弱的企業(yè)將商業(yè)利益凌駕于社會利益之上,不愿履行個人信息保護的相關責任,甚者還借助監(jiān)管漏洞對個人信息進行違規(guī)收集。
對外經(jīng)濟貿(mào)易大學數(shù)字經(jīng)濟與法律創(chuàng)新研究中心執(zhí)行主任許可指出,由于缺乏頂層基本法律框架,現(xiàn)有個人信息保護規(guī)定散見于各類法律中,并以部門規(guī)章及規(guī)范性文件居多,法律位階低且適用效力有限,震懾作用還需加強。
新技術引發(fā)新問題重點領域亟須立法補齊監(jiān)管短板
記者了解到,個人信息保護的頂層法律框架正在緊鑼密鼓地推進完善中。繼網(wǎng)絡安全法與民法典這兩部重要的法律文件落地之后,令人關注的個人信息保護法、數(shù)據(jù)安全法也落地在即。目前,個人信息保護法草案已提請全國人大常委會審議。3月19日,在國新辦發(fā)布會上,國家互聯(lián)網(wǎng)信息辦公室副主任楊小偉也表示,數(shù)據(jù)安全法、個人信息保護法在加緊制定出臺。
法律專家表示,作為個人信息保護領域基本法律框架,個人信息保護法位階更高,綜合性更強,將從保護公民隱私的角度來看待數(shù)據(jù)安全問題,該法規(guī)有望理順各個信息主體之間的關系,并針對個人信息的收集、存儲、使用、共享等多個方面做出規(guī)定。而數(shù)據(jù)安全法則有望從國家安全、公共安全的角度出發(fā),對先前法規(guī)中一些尚不明確的部分進行限定。
不過,專家也表示,兩部立法草案還缺乏配套的下位法,部分問題處于模糊地帶,需進一步出臺配套法律法規(guī),針對具體問題制定相應解決措施。
此外,由人臉識別技術等新技術濫用帶來的問題,也為防范信息泄露帶來了新的挑戰(zhàn)。近年來,人臉識別技術被廣泛用于城市安防、支付轉(zhuǎn)賬等領域,伴隨這一技術加速落地應用的同時,信息泄露風險大、安全漏洞難消除等問題也日益凸顯。
對此,業(yè)內(nèi)指出,針對醫(yī)療、生物識別等個人特殊敏感信息的專項立法也需要不斷推進。劉權介紹,例如日本、美國等國家偏向于針對不同特征的個人信息采取精細化治理和保護模式,日本采用“基本法+專門法”的雙重規(guī)制架構保護個人醫(yī)療信息安全;美國在各州及聯(lián)邦層面均出臺專項法案保護個人生物識別信息安全。他認為,我國可考慮借鑒相關做法,對醫(yī)療、生物識別、地理位置等特殊敏感信息進行分類專項保護。
許可表示,在大數(shù)據(jù)時代,信息技術的變化日新月異,個人信息泄露的新問題也會層出不窮,法律細則需要不斷完善以面對個人信息保護新的場景與新的問題。金融、醫(yī)療健康、通信等專業(yè)領域也需要單獨立法強化個人信息保護,國家的強制性標準、行業(yè)性的標準也需要進一步完善。
據(jù)悉,在金融領域,針對一些科技公司利用市場優(yōu)勢,過度采集、使用企業(yè)和個人數(shù)據(jù),甚至盜賣數(shù)據(jù)的行為,監(jiān)管部門正在研究制定金融數(shù)據(jù)安全保護條例,構建更加有效的保護機制,防止數(shù)據(jù)泄露和濫用。(記者張超文 李佳鵬 孫韶華 張莫 梁倩 郭倩)
- “茅臺航班”沒茅臺 誰來兌現(xiàn)承諾(2024-08-08)
- 西雙版納曼洲酒店被判退一賠三(2024-02-23)
- 警惕“虛假投資電影”新型騙局(2024-02-07)
- 成都武侯熹亞醫(yī)美“花式營銷” 消費者質(zhì)疑欺詐三倍索賠(2023-11-23)
- 美聯(lián)教育等“跑路”企業(yè)上信用黑榜(2023-03-22)