只要向网站支付费用,就可以在不征得求职者同意的情况下获取其个人简历;表面看起来是用于清理手机垃圾的APP,背地里却在不断读取用户信息;拥有上千家门店的知名商户,竟私自用摄像头抓取顾客人脸并自动生成编号……今年的央视3·15晚会上,多家企业因通过公民个人信息谋利而被曝光。
随着信息化与经济社会的深度融合,利用个人信息侵扰群众生活的现象屡见不鲜,由此滋生的电信诈骗等各类违法犯罪活动愈演愈烈。个人信息保护领域乱象为何难以禁绝?数字时代该如何保护我们的隐私?立法层面又将如何回应社会关切? ■ 据《中国纪检监察报》
个人信息泄露事件频发,
医疗、网购、房地产、教育等领域成重灾区
在一个名叫“58智联粉”的QQ群里,只需支付7元,便可买到一份智联招聘平台上的求职者简历,信息一应俱全……央视3·15晚会上,智联招聘用户简历流入“黑市”的细节被逐一披露。据卖家透露,在智联招聘上注册账户并支付费用,就能轻易获取大量简历,“个人账户不行,得是企业账户”。
在实际操作中,根据求职者的学历、工作经验、薪资水平等条件,简历的下载价格分为三个等级,分别是40元、60元和100元。企业账户只要交钱办理会员,就可以不受数量限制下载求职者的完整简历,而在注册企业账户时,即使是伪造的资质申请也可以顺利通过。
凭借上述手段下载、购买简历后,不法分子能够获知公民的详细个人信息,从而实施精准诈骗。在近年来警方破获的相关案件中,曾有一名嫌疑人在硬盘中存储了700多万份求职者简历。
记者梳理发现,过去一年内,类似的个人信息泄露事件频繁发生,涉及海量用户信息的医疗、网购、房地产、教育等领域成为重灾区。
“在这个时代,每个人的个人信息都面临非常大的风险。”中国社科院法学研究所副所长周汉华说,外泄的快递信息不但包含发件人及收件人的地址、姓名、电话,还涉及身份证号、用户偏好,这些信息一旦被应用于大数据分析,将可能成为不法分子的牟利手段,“快递单信息一直是违法犯罪分子盯得比较紧的地方。”
生物信息收集使用安全边界模糊,
“十步一刷脸”引发技术滥用担忧
除电话、住址等物理信息外,随着数字技术的发展,人脸、指纹、虹膜等生物信息正成为隐私泄露的又一个“高危地带”。
以央视3·15晚会曝光的科勒卫浴安装人脸识别摄像头为例,该公司在全国拥有上千家门店,消费者只要走进其中一家门店,就会在不知情的情况下被摄像头抓取人脸并自动生成ID编号。
科勒卫浴一位零售销售主任称,编号生成后,消费者再进入其他门店,系统就会对门店工作人员进行提示,“如何去接待他,如何去做报价,就有一个心理准备了。”
步入数字时代,人脸、指纹等生物信息广泛应用于银行业务办理、移动支付、车站检票等领域,获得便利体验的同时,模糊的安全边界也引发了大众对“十步一刷脸”这一现状的隐忧。全国信息安全标准化技术委员会等成立的APP专项治理工作组发布的《人脸识别应用公众调研报告(2020)》显示,在2万多名受访者中,有六成认为人脸识别技术有滥用趋势,三成受访者表示已因人脸信息泄露、滥用而遭受隐私或财产损失。
“人脸信息明文传输,每次刷脸解锁均会反复上传,很容易发生泄露,且识别可靠性差,使用翻拍照片即可轻易破解。”中国电子技术标准化研究院信息安全研究中心审查部总监何延哲说。
责任主体内部监管失守,司法救济渠道不畅,
多重原因造成个人信息安全领域乱象丛生
过度收集、随意使用、非法窃取、公然贩卖……造成一系列个人信息安全乱象背后的深层原因是什么?记者梳理发现,从政府职能部门到民营企业,能够接触到公民个人信息的主体多元而广泛,但是许多关口都出现了不同程度的监管失守。
就国家机关而言,收集公民个人信息是出于公共利益和社会管理的需要,然而一些部门在管理制度层面存在漏洞,加上相关工作人员履职不力,导致不规范存储、随意共享等问题时有发生。更有甚者利用职务之便将手中掌握的公民个人信息提供给他人,从中谋取利益。
“公权力如何管理好手中的个人信息,如何对其加以限制约束,是个绕不开的问题。”国家监委特约监察员、清华大学法学院教授周光权说。
从企业层面看,一些社会责任意识薄弱的企业将商业利益凌驾于社会利益之上,不愿履行个人信息数据相关责任,有的还借助漏洞对个人信息进行违规收集。记者从工业和信息化部获悉,截至3月12日,仍有117款涉及违规收集或使用个人信息的APP尚未完成整改。
而在外部打击方面,在过去近20年里,中国法律体系中对公民个人信息权益的保护长期处于碎片化状态,相关条款散见于一些法律法规和规范性文件中,部分条款之间存在相互冲突的情况,导致出现认定、管理、处罚等标准难以统一,执法部门权限职责不清,司法救济渠道不畅等问题。
全面加强个人信息法律保护,推动解决痛点难点问题
尽快完善相关数据标准和有关规范,推进相关立法工作,是进一步加强个人信息保护法治保障的客观要求,也是维护网络空间良好生态的现实需要。
2021年1月1日,《中华人民共和国民法典》正式实施。记者注意到,《民法典》将人格权独立成编,以“隐私权和个人信息保护”专章方式,对隐私权和个人信息的定义、保护原则、法律责任、主体权利、信息处理等问题作出规定。多位专家表示,《民法典》从民事基本法的角度对个人信息保护作出详细规定,具有开创意义,有助于从法治层面推动解决痛点难点问题。
中国人民大学法学院教授刘俊海表示,对个人信息进行“精准画像”,是保护自然人权利、遏制信息侵权的基础,而规范个人信息的收集和处理则是实行保护的关键,“《民法典》第1035条明确了处理个人信息应当遵循的原则:合法、正当、必要,不得过度处理,且需符合征得该自然人或者其监护人同意等4项具体条件。”
值得注意的是,《民法典》虽已勾勒出基础的个人信息保护框架,但其主要聚焦的是遭受侵害后的法律救济问题,若要进一步增强法律规范的系统性、针对性,依然需要对个人信息保护进行专门立法。