钦州

华住5亿用户信息疑似泄露 专家建议尽快制定个人信息保护法

2018年09月12日来源:法制日报其他资讯责任编辑:qzlpw003

建立数据信息分类分级保护制度

华住5亿条个人信息疑似泄露专家建议尽快制定个人信息保护法

不应对所有的商业数据以及个人信息都进行“一刀切”式的允许或者禁止使用,而是要区分可使用、可交易的商业数据信息和不可使用、不可交易的数据信息,划清个人一般信息和个人隐私或敏感信息的边界。

8月28日,一张“华住旗下酒店开房数据”的截图在网上疯转。信息显示,此次数据泄露几乎涉及华住旗下所有酒店的用户数据,共计约5亿条公民个人信息。当天下午,华住集团发表声明称,已在第一时间报警,公安机关正在开展调查,且已聘请专业技术公司对网上兜售的“相关个人信息”是否来源于华住集团进行核实。与此同时,华住也在内部迅速开展核查,确保客人信息安全。

华住酒店集团的“疑似信息泄露”事件,再次刺痛了社会公众“个人信息保护”这根神经。

在互联网时代,由于信息的可复制性,个人信息在泄露后几乎没有可能再被全部追回。现实中,人们往往不知道自己的信息在何时以怎样的方式被泄露,也无法预知信息泄露会导致怎样的伤害,正因如此,每次个人信息泄露的大事件,都让人们有一种危及自身的危机感和不知所措的无力感。

北京华讯律师事务所主任张韬近日在接受《法制日报》记者采访时指出,个人信息被窃取、泄露以及滥用等问题造成了很多行业乱象从生。目前,我国涉及个人隐私和数据信息保护的法律规定仍较为分散,建议尽快开展个人信息保护法的制定工作,建立数据信息分类分级保护制度,完善对个人隐私和数据信息的保护。

个人信息成“唐僧肉”

8月29日下午,针对“华住旗下酒店数据信息疑遭泄露”事件,中国旅游饭店业协会发布倡议书,在倡导全体会员自觉遵守宪法、法律、法规和国家政策的同时,呼吁加强网络安全建设,坚决反对任何传播、出售或泄露旅客住宿信息的行为。

除了企业泄露个人信息,一些APP也不安全。据中国消费者协会于8月29日发布的《APP个人信息泄露情况调查报告》中的数据显示,遇到过个人信息泄露情况的人数占比为85.2%,没有遇到过的仅占14.8%。

更加让人忧虑的是,个人信息已经成为一些黑色产业眼中的“唐僧肉”,并以此为中心形成了一条产业链。

在2017年全国人大常委会开展的网络安全法执法检查中,就发现了不少个人信息保护中存在的问题。执法检查报告提到,有的互联网公司和公共服务部门存储了大量公民个人信息,但数据库的安防技术严重滞后,容易被不法分子窃取和盗用;一些单位内控制度不完善或不落实,少数“内鬼”为牟取不法利益铤而走险,致使用户信息大批量泄露;有些地区甚至形成了利用网络非法采集、窃取、贩卖和利用用户信息的黑色产业链。

在8月21日开幕的2018网络安全生态峰会上,阿里巴巴集团首席风险官郑俊芳提到一个案例:阿里安全刚用技术手段协助浙江绍兴越城区警方破获“史上最大规模数据盗窃案”。

北京一家新三板上市公司,利用向全国十余省市多家运营商提供正常软件服务的机会,在运营商服务器内放置恶意程序清洗流量,导致30亿条用户数据被窃取。而仅靠这一黑色产业,该公司一年营收就超过3000万元。

依靠盗窃个人信息获利的黑灰色产业公司已不容忽视。2018网络安全生态峰会上发布的《2018网络黑灰产治理研究报告》显示,据不完全统计,从2015年开始,互联网黑灰产业从业人员就已经超过40万。

同时,公开数据显示,2017年中国网络安全产业规模仅为450多亿元,而黑灰产业早已达千亿元规模。

伤害永久且不可逆

中国政法大学传播法研究中心副主任朱巍注意到,在《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》中,以列举方式规定了个人隐私信息包括基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息。

张韬认为,这些精准的信息在被买卖后,经常被用于精准营销和精准诈骗。可以说,个人信息的盗取、泄露和滥用是很多违法犯罪的根源。

“虽然我在手机上安装了识别诈骗、广告推销等号码的软件,但平均每天还是会接到3至5个推销电话,而且其中部分推销者甚至能够准确地说出我的姓名、职业及其他个人信息,其目的就是精准营销,而这些信息很显然是从非法渠道获取的。”张韬有些无奈。

2016年8月,山东女生徐玉玉因电信诈骗不幸离世的新闻,令不少人扼腕唏嘘。诈骗分子精准获取了徐玉玉将有一笔助学金的信息,也准确知道徐玉玉家人的状况,骗取了徐玉玉的信任,最终造成了惨剧。

即使侥幸躲开了这些“精准诈骗”,信息泄露的危害仍然在暗中潜伏,等待时机。

“个人信息泄露往往会给用户造成永久且不可逆的损害。例如,人们无法也不可能因为身份证号码被泄露而去变更号码,不法分子利用获取的信息进行违法犯罪活动对当事人造成二次伤害等。”张韬举例道。

张韬提到,个人信息泄露或被窃取对互联网行业,特别是大数据产业具有非常大的破坏力和杀伤力,容易造成“劣币驱逐良币”的现象,让不诚实守信的经营者反而能够获取巨大利润,对合法经营行为造成巨大的冲击,严重扰乱社会、经济秩序,极大地破坏了网络经济的可持续发展。

法律法规分散难管控

“近年来,信息数据泄露的重大事件屡次发生,数据信息领域的违法犯罪活动呈现出危害性大、影响面广、涉及人数众多的特点,已经到了必须重视的地步。”张韬说。

目前,我国的网络安全法、刑法、民法总则等均对个人信息的收集、使用、保护规则以及侵害个人信息的处罚作出了规定。

网络安全法第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

刑法第二百三十五条也对侵犯公民个人信息的行为作出了具体处罚规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

然而,个人信息泄露事件依然层出不穷,难以从根本上进行遏制。

张韬指出,尽管我国涉及到个人隐私和数据信息的法律法规、部门规章等超过300部,但是这些规定都是分散在各部法律法规中,没有一部专门的法律保护个人信息。并且,随着公民个人信息被泄露、恶意使用的问题越来越多,这些分散的法律法规很难进行管控。

全国人大代表、华南农业大学教授陈瑞爱在接受记者采访时指出,目前,我国保护个人信息资料的立法规定分散、不全面,没有形成独立、统一的原则、目标和措施,难以为个人信息保护提供切实有效的法律保障。

立法解决信息权属

朱巍认为,虽然当前我国法律对个人信息保护的规定越来越严格,公民对个人信息保护意识在不断加强,但个人信息泄露仍然属于高发案件,大部分人依然没有意识到对个人信息进行保护的重要性,因此对个人信息进行立法保护应是大势所趋。

就如何对个人信息保护进行立法,张韬提出了建立数据信息分类分级保护制度的建议。

现阶段,人类正在从信息技术时代走向数据信息时代,数据信息作为一项重要的生产要素,能够为企业带来巨大的经济利益,更是被诸多企业视为未开采的“金矿”。

但是,由于数据和信息并不是同种概念,两者极易被混淆,应当根据其中是否涉及商业秘密和个人隐私信息等方面的内容以及其类型而有针对性地建立分级保护制度。

张韬指出,立法要解决的首要问题是数据信息的权属——通过权属确定哪些信息属于个人信息,哪些属于可交易的商业数据。

反观此次“华住酒店数据信息疑遭泄露”事件,涉及的数据均属于个人信息,而非可交易的商业数据。

张韬认为,不应对所有的商业数据以及个人信息都进行“一刀切”式的允许或者禁止使用,而是要区分可使用、可交易的商业数据信息和不可使用、不可交易的数据信息,划清个人一般信息和个人隐私或敏感信息的边界。

根据相关数据信息的属性,包括商业属性和人身属性等所属领域和类别,可对数据信息权利人造成的影响等多方面对其分类,再根据具体类别给予相应级别的保护。

“我们通常所说的个人隐私信息,是指不为公众所知悉的、公民个人生活中不愿为他人所知悉的私密信息,这些信息往往是一定范围以外的;而商业秘密是指不为公众所知悉的、且能为权利人带来经济利益,并经权利人采取相应保密措施的技术信息和经营信息。”张韬说。

通过建立数据信息分类分级制度,对相关信息数据的类型和性质进行划分考虑,对属于商业秘密和个人隐私的数据要进行严格保护。除非经过数据信息权利人的许可,应禁止任何企业、其他组织和个人使用、交易或者披露他人的商业秘密和个人隐私。对于商业秘密、个人隐私信息的泄露、盗取和非法使用应当采取零容忍的态度,对违法行为给予严厉打击。

  • 意向区域
  • 价格