近日,移动社交平台陌陌被爆有3000万条用户数据在暗网(存储在网络数据库里、但不能通过超链接访问的资源集合)上被售卖。卖家宣称,这些数据包含用户手机号、密码等敏感信息。陌陌方面回应称,网传遭泄露的数据为三年前的数据,且跟陌陌用户的匹配度极低。
11月30日,万豪国际集团通过官方微博表示,旗下喜达屋酒店的客房预订数据库被黑客入侵,多达5亿人次的详细信息可能遭到泄露,其中高达3.27亿人次的泄露信息包括名字、电话号码、护照号码、到达和离店信息等。而且,部分入住者的信用卡支付卡号、支付有效期也遭到泄露,虽然已经加密,但不能排除部分用户可能遭遇财产风险。
随着互联网的发展,许多用户的个人信息在不经意间就被获取、存储、交易、利用,与之相关的数据泄露事件也频频发生。但是,相应的用户维权过程则非常艰难。由于取证难、诉讼成本高等,大多数用户对自己的隐私信息被泄露“敢怒不敢言”,许多企业也因成本较高、监管较松,并未履行好保护用户个人信息的责任。
鉴于上述困境,业内人士呼吁,个人信息保护领域的制度安排需要进一步细化、严格化,事前督促企业及时行动,事后惩戒违法行为。
百部法律法规没有堵住数据漏洞
据不完全统计,2018年每个季度都发生了规模巨大的数据泄露事件。3月,Facebook上至少700万条用户信息被泄漏;6月,圆通快递10亿条数据(含有收寄件人的姓名、电话、地址等隐私信息)在暗网上被以1比特币的价格打包出售;8月,华住集团旗下多个连锁酒店的用户数据在暗网售卖,数据泄露总数接近5亿条……
频频发生的数据泄露事件,已经给每个网民带来真实的风险和危害。中国互联网协会发布的《中国网民权益保护调查报告》显示,仅2016年国内就有6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成经济损失,估算达915亿元。有54%的网民认为个人信息泄露情况严重,有84%的网民曾亲身感受到因个人信息泄露带来的不良影响。
数据泄露的“幽灵”如此活跃,如果保护个人信息的制度利器不能发挥作用,损失将会越来越大。
目前,我国已经陆续颁布、实施了一系列保护个人信息的法律、法规,尤其是2017年正式实施的《网络安全法》,强调了中国境内网络运营者对所收集到的个人信息应承担的保护责任和违规处罚措施。但在用户层面,据此开展的维权行为仍然面临重重困难。
首先,在“个人信息”的界定标准上,企业和用户的看法经常不一样。中国政法大学知识产权中心特约研究员赵占领表示,个人信息的关键定义是“具有身份识别性”,可分为身份证号码等直接识别信息和手机号码等间接识别信息,但有不少企业通过大数据分析,给用户做鉴证画像,这类行为是否属于间接识别用户个人信息?业内对此还有不少争议。
其次,用户即使发现个人信息已遭泄露,想要取证也非常艰难。中国社会科学院法学所研究员吕艳滨指出,在大多数情况下,用户连企业是否获取、如何获取、获取了多少自己的个人信息都很难找到证据。
中国消费者协会11月28日发布的《100款App个人信息收集与隐私政策测评报告》显示,开展测评的100款App中多达91款列出的权限涉嫌“越界”,即存在过度收集用户个人信息的问题;仅有53款App的隐私条款得分达到及格分以上;有13款App具备隐私条款,但得分低于及格分;另有超过三分之一(34款)的App隐私条款得分为0,即未对用户公布个人信息隐私条款。
“我们面对的是很隐蔽的信息处理活动,究竟在哪个环节出的问题,究竟谁掌握了我们的信息,怎么处理的,怎么泄漏的,这些都很难知道。”吕艳滨认为,关于个人信息保护中企业的责任,比如如何获取、如何处理、如何保护等问题,我国现有法律只有原则性规定,并没有具体解释和行动指南,这在客观上给用户维权带来了困难。
重庆大学网络与大数据战略研究院院长齐爱民曾统计过,我国涉及到个人信息的法律有50多部,行政法规40多部,司法解释或者文件40多部,部门规章更是多达700多部。但是众多法律法规并没有形成完整体系,如此松散的制度设计导致用户维权难、企业违法行为难以认定、监管不到位等情况。
公益诉讼是信息保护的利剑吗
就在我国的用户和法律人士为个人信息保护举证难犯愁之际,一些数据泄露事件的当事企业已经陷入一些国家的用户群体和法律人士提起的诉讼。
万豪集团宣布其5亿客户信息泄露之后的几个小时,两位来自美国俄勒冈州的万豪酒店客户提起了集体诉讼,索赔125亿美元——5亿受到影响的客户每人25美元,另有两家位于美国马里兰州的律师事务所对万豪集团提起了第二起集体诉讼。
我国并没有与美国一样的集体诉讼制度,但设立了与之类似的共同诉讼与代表人诉讼制度。若某行为人实施了侵害他人的侵权行为,被侵权人主体为2-10人,则适用共同诉讼制度,这些被侵权人可以选择一同起诉。如果当事人一方人数众多(超过10人),可由当事人推选代表人进行诉讼。
但在现实案例中,我国的共同诉讼更多地在环境保护、消费者权益保护等案件中得以应用,个人信息保护领域较少出现。除了在证券市场,规模较大的代表人诉讼也很少见,司法机关对人数众多的诉讼仍然保持谨慎态度。
北京潮阳律师事务所律师胡钢认为,在众多数据泄露事件中,用户本人可能并不知道自己的信息已经泄露,即便知晓,维权的可选项也实在有限。因此,他建议扩大此类事件中的公益诉讼比重,由消费者权益保护组织或相关行政机关、检察院代表特定消费者提起公益性诉讼,从而解决个人取证能力差、诉讼成本过高、涉及人员众多等问题。
此前,个人信息保护的公益诉讼已有全国首个案例。2017年12月,江苏省消费者权益保护委员会对北京百度网讯科技有限公司涉嫌违法获取消费者个人信息及相关问题提起消费民事公益诉讼。2018年1月2日,南京市中级人民法院正式立案。
不过,这一案例并未进入实质诉讼阶段。3月,江苏省消保委宣布,鉴于百度公司对App整改到位,其已向南京中院提交了该案的《撤诉申请书》,南京中院随后准予了这一申请。
齐爱民表示,虽然因为制度和现实原因,公益诉讼在我国个人信息保护领域运用得很少,但一旦运用,其必将产生直接作用。上述案例也表明,消协具有对该类行为提起诉讼的权力,对其他企业也起到了警示作用。
“我们应该给消费者传达最简单的声音,给予最直接有效的帮助,不应该让消费者去操心具体复杂的操作步骤,被迫成为法律专家。”胡钢表示,个人信息保护法已经列入本届全国人大常委会立法规划,下一步应优先强化个人信息保护案件中的民事责任赔偿制度。
在国外案例中,个人信息侵权的集体诉讼案件经常会达成和解。例如,2016年雅虎被曝出大规模被黑客盗取用户数据事件,随后遭到多个国家消费者的集体诉讼,后来雅虎与原告方达成和解协议,共赔偿8500万美元。
吕艳滨指出,国外的很多案例之所以达成和解,是因为诉讼后这些企业可能要付出更大代价,也可能面临主管部门开出的数倍罚单。事实上,今年5月生效、以数据隐私保护为宗旨的欧盟《通用数据保护条例》(GDPR)就规定,一旦违反该法案,企业将被处以1000万到2000万欧元,或全球年营业额2%到4%的高额行政罚款。
但很遗憾的是,我国尚缺乏此类严厉的行政处罚制度。“这样就没办法把违法企业拉到谈判桌上。”吕艳滨建议,主管部门应该从源头治理入手,通过制度细则明确哪些企业可以以何种方式掌握用户个人信息,以及这类信息可以怎么共享,应如何保障其安全,对个人信息获取、共享、利用的全过程建立透明的、统一的规则。