中国个人信息泄露现状:人和技术双双失守
在谈个人信息泄露之前,不妨说说有哪些东西可以是个人信息。各国法律对个人信息的界定各有不同,综合各国个人信息保护法的情况,以下几类内容的个人信息多受到保护。第1类,个人基本状况如姓名、住址、电话、电子邮箱、出生日期、国籍等。第2类,敏感性数据,如种族、民族、宗教、出生地、政治思想、参加工会、思想信条、病历、性生活、犯罪经历。第3类,其他有关生活和工作的数据,如个人收入、资产、债务、消费行为、住宅保有情况、体能测定记录、健康状况、家庭构成、朋友、经历等。这其中很多信息你可能不会在意,但对犯罪分子却很有用。
中国是个人信息泄露大国,2012年,社科院发布的《法治蓝皮书》把中国个人信息泄露情况大致归纳为如下三大类型:一是过度收集个人信息; 二是擅自披露个人信息;三是擅自提供个人信息。而泄露途径一般分两种,一种是掌握个人信息的单位和个人有意和无意的泄露。比如网络上经常能看到的明星身份信息,多是警务人员私自通过公安信息网络查询后放到网上,也就是人们通常所说的“内鬼”,公安、卫生、教育、房管、车管等公职部门和银行、通信、航空、保险等商业服务机构是“内鬼”多发地。另一种是相关数据库存在漏洞,尤其是学校、教育部门、医院等机构经常中招。事实上,在数据倒卖产业链中,儿童信息、医疗档案以及金融数据是具有高价值的数据类型。
民众对隐私的自觉保护,应该成为个人信息的第一道屏障
个人信息保护的前提是隐私权保护。对中国人来说,现代意义上的隐私概念是个舶来品, 而《中华人民共和国民法通则》至今也没有将隐私权规定为公民的人格权。可以说,不少中国人对隐私的理解是浅薄的,也未有过如何保护隐私的训练。
对隐私从未有深刻的理解和实践,又迎头撞上互联网时代,结果就是每个人都在主动泄露自己的信息而不自知。在微博上签到,晒行程,晒照片已是必选动作。对近几年出生的一代人来说,他们的人生就如电影《楚门的世界》描述的那样,由父母放在社交网络上直播。
“信息共享”式的主动泄密,后果是显而易见的。2011年8月初,一则名为《我是如何推理出王珞丹住址的》的帖子蹿红网络,清华大学水利水电工程系学生罗霄宇通过照片背景分析、地图分区、微博语境分析以及google earth卫星图片,在短短40分钟之内,就推断出王珞丹以前的家庭住址。
无论在现实空间还是虚拟空间,每个人都要提高自己的信息安全素养,包括个人信息安全意识和个人信息安全能力,在法制健全国家,个人信息的保护,很大程度上也要依靠公民的个人维权。而重视个人信息和隐私,既是保护自己,也是造福他人。《今日话题》以前提过,在日本,图书馆工作人员不泄露借阅者借阅书目,医生不透露患者的身体状况,餐厅服务员不能透露顾客喜爱的菜谱。他们对隐私权的保护已不仅仅是法律的要求,长期的耳濡目染让保护隐私成为他们的一种本能。
成熟的商业社会里,行业自律、商业诚信也是信息守门人
信息时代,准确掌握消费者个人信息、及时了解消费者的消费偏好成为企业新的赢利点,但也让企业滥用个人信息成为常态。
举个简单的例子,每个人恐怕都遭遇过“经营者过度收集个人信息”的情形。比如不少手机app都会要求使用者电话、定位、读取联系人信息或短信的授权,他们收集信息的范围往往会超过自己经营所需要的,不会遵循必要原则。
针对商业领域里的个人信息保护,欧洲和美国代表两种不同的思路。欧盟是统一立法模式,对企业可以收集用户何种信息,对收集的信息应该怎样管理都有限制,甚至不允许企业向未达到欧盟标准的国家或地区传输客户的个人数据。美国则倡导以行业自律为中心,注重企业自身制定的信息保护政策,尽量减少政府采用立法方式进行强制干预。
根据谢守分《网络个人隐私保护的行业自律模式》的介绍,美国行业的自律模式包括:1.建议性的行业指引,比如在互联网领域,美国在线隐私联盟(OPA)于1998年公布了一份指导网络和其他电子行业隐私保护的指南。根据该指南,OPA的成员公司同意采纳和执行张贴OPA的隐私政策,该政策规定了应全面告知消费者网站的资料收集行为,包括所收集信息的种类、方式及其用途,是否向第三方披露或出售该信息等; 2.网络隐私认证计划,该计划的认证标志具有商业信誉的意义,它使得消费者便于识别那些遵守了特定的信息收集行为规则的网站,同时也便于网络服务商显示自身的遵守规则的情况;3. 技术保护模式,比如通过某些隐私保护的软件,在消费者进入某个收集个人信息的网站之时,该软件会提醒消费者什么样的个人信息正在被收集,由消费者决定是否继续浏览该网站。
还有一些企业为了保护用户数据安全而常采用的措施,比如对搜集到的信息进行匿名化处理。比如韩国就要求经营者在数据搜集阶段就要通过删除、匿名、聚合、归类、屏蔽等方式,删除或者替换全部或者部分个人信息,从而使相关数据无法指向具体的个人。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,企业应当履行泄露通知义务,立即采取补救措施,告知可能受到影响的用户,以便个人及时采取措施,并按照规定向有关主管部门报告。美国的《数据泄漏事件通报法案》(草案)要求,联邦政府机构以及业务范围跨州的企业在发生数据泄漏事件时必须通知信息可能或已经被访问、获取的所有当事人。
也许会有人疑惑,企业乃至整个行业有何动力自觉自律?首先行业自律最大的优势是可以区分不同领域,由行业充分结合自身特点制定有针对性的行为规范,而且可以根据技术进步的要求及时调整,企业有遵从的内在动力。其次充分的市场竞争,会倒逼商业机构重视对客户个人信息的保护,因为在有选择的情况下,消费者会用脚投票,那些靠牺牲用户利益而赚钱的公司,一定会在竞争中被淘汰。
政府管理,是保护个人信息安全的最后一道防线
在任何国家,政府都是最大、最强势的个人信息收集和处理者,政府网站承载着各种公民隐私数据。而基于中国的现实环境,要遏制个人信息泄露,政府必须承担更多的责任。
政府要防止个人信息泄露,首先要对政府的个人信息收集和处理行为予以规范。一直以来,技术安全似乎一直是政府各种机构网站、官方网站的短板。2014年12月,12306被曝出超过13万条的用户数据在互联网上被传播和售卖,这其中包括注册公民的用户账号、明文密码、真实姓名、邮箱、身份证号等。事后调查虽然排除“内鬼”,但不能否认的是12306网站账号安全体系存缺陷。各国对政府网站都试图加强基础安全防护,英国政府曾发布官方声明,从2016年10月1日起,英国所有政府网站强制使用HTTPS加密连接,而美国政府也曾发布HTTPS-Only标准,要求所有政府网站在2016年底强制使用HTTPS。
此外,泄露个人信息的源头很多是政府机关或部门的“内鬼”,约束好自己人更重要。以美国为例,1974年通过并于次年实施的《隐私法》为美国个人信息立法保护的典范,该法广泛适用于政府所储存的个人信息,是规范行政机关对个人信息进行收集、储存、使用与传播行为的规则,以保证政府正确处理个人信息,避免政府滥用个人信息以及侵犯个人隐私。
政府的另一个职责则是为市场竞争制定好规则。复旦大学计算机科学技术学院院长王晓阳教授认为:“政府相关机构可在制定上述标准的基础上,出台相应的法律法规与管理办法,明确告知开发者和运营商,能做什么和不能做什么,比如要求应用程序显示声明对用户隐私数据的收集行为,并要求收集者承担对这些数据的保护和不扩散的责任。”
前面提到,个人信息的保护,很大程度上也要依靠公民的个人维权。但当个人因身份信息泄露而造成人身或财产损失维权时,都会面临调查取证困难、诉讼成本高、没有统一的执法机构等难题。政府创造一个良好的维权环境,对泄露信息的机构进行追责,也是遏制信息泄露的有效手段。
完善法律,出台专门的《个人信息保护法》是必要的
个人信息保护的缺失,其实反映了公民权利的不足。很多学者把问题的根本聚焦在立法工作中,关于出台专门的《个人信息保护法》的呼吁从未间断。过去《今日话题》也多次提到过,从域外经验来看,一部专门的个人信息保护法律是很有必要的。日本的个人信息保护法律体系,最重要的就是于2005年4月1日实施的《个人信息保护法》。这项法律的基本原则是“个人信息,应在尊重个人人格的理念下慎重处理,正确对待”,取得了良好的效果。2003年-2008之间,中国学界与官方之间曾就推动个人信息保护法出台有过互动,2008年个人信息保护法草案呈交给了国务院,但时至今日,并未有专门法出炉。
除了立法,法律的实施也需要政府和民间的共同智慧。日本政府在2003年《个人信息保护法》出台后正式实施之前仍然留出了两年时间,在这段时间里新闻媒体进行了大量的法律宣传,既为企业消化法律条文、结合行业特点进行企业制度建设留出了缓冲余地,同时也极大地增强了公民的维权意识。这是值得我们学习的。