上海园区招商办公室
联系人:梁经理
联系电话:15000456391
欢迎来电咨询,竭诚为你服务!
摘要
在大数据时代,随着信息技术的进步和移动智能终端的普及,人类社会产生和捕获的数据量急剧膨胀。本文研究了我国个人隐私及其他数据泄露的现状、产生原因以及可能的法律规制路径。长期以来,我国个人隐私等数据泄露问题引发了人们的诸多争议和思考。一方面,海量数据和信息资源已经成为引领人类生产生活方式转变、推动时代进步的重要动力。另一方面,互联网的虚拟性和开放性也削弱了对公民个人信息的控制,个人信息泄露的风险持续加大。其中侵权行为发生率较高,危害程度也较大,然而依靠单一主体或单一措施来控制信息泄露几乎是不可能的。同时,当前所处的现实环境中,影响网民个人信息安全的因素是多方面的。在这些问题的背后,本文尝试从企业、政府、第三方平台三个方面描述现状,并分析其根源及其他直接原因。针对这些原因,本文提出加大对企业的监管力度和加大对数据入侵等违法行为的处罚力度两个措施,使我国个人信息的安全得到保障。
关键词:数据保护;数据泄露;企业
一.引言
大数据深刻地影响了这个时代,它正在改变着人们的生活、工作和思维[1]。针对中国和世界的数据泄露问题,有学者认为,在大数据时代,信息已经成为推动国民经济发展的重要战略资源,因此,数据成为各国争相发挥的新领域[2],并且越来越多、负载重的企业希望争夺新时代的‘石油’[3]。关于我国信息泄露现状的原因,有学者认为,互联网新技术、新应用层出不穷,网络空间更加开放,信息的流动和使用频率加快,提高了信息资源利用效率,但同时也削弱了公民对个人信息安全的控制能力。[4]的确,在网络空间,大量个人信息被恶意窃取、出售和使用,信息泄露已成为阻碍互联网健康发展的重要因素。因此,如何在公民个人信息安全保障与互联网资源开放共享之间建立均衡的秩序状态,成为当前我国信息化进程推进中的关键问题。
二.我国个人数据泄露的现状
在大数据环境下,个人数据应用的隐私保护是一个复杂的社会问题,不仅涉及伦理、法律、行业、技术等诸多领域,而且涉及大量的个人、团体、公司、机构等。[5]目前,个人资料收集、处理、交易活动空前活跃,各种创新层出不穷,伴随的是个人资料隐私泄露风险加大。[6]“3·15”消费者权益日,一家大型金融机构被曝泄露客户信息;保险公司接到客户的几次投诉,称自己的保险信息每天由其他保险公司获得;电话诈骗案屡见不鲜,其原因无非是用户的详细信息被转卖给了不法分子。[7]近年来,频繁爆发的个人资料隐私泄露事件,在给个人造成不同类型和程度损害的同时,也动摇了互联网乃至整个社会的信用体系。尤其是2020年,全球新冠疫情爆发。在这种环境下,大量互联网新产品和新服务应运而生,在帮助防控疫情的同时,也进一步推动了社会的数字化转型。与此同时,安全漏洞、数据泄露、网络欺诈等安全网络威胁日益突出。[8]毫不夸张地说,当前国内外的数据违规行为正在“制造头条”。[9]数据泄露等网络安全事件的频繁发生已经成为任何使用计算机和互联网的单位或个人无法回避的问题。面对当前的严峻形势,下文将从除个人自身之外的其他相关方进行分析。
(一)企业
就目前的立法方向而言,企业是数据违约的第一责任人。企业数据泄露主要包括过失泄露和恶意泄露两种类型。过失泄露主要是指经营单位及其工作人员在收集、使用、存储客户信息的业务流程中,不经意泄露客户信息,但由于信息安全意识淡薄,客户信息丢失的情况。主要包括以下三类情况:( 1 )采集过程中可发生信息泄露。运营单位在收集客户信息的过程中并不十分有目的。它一般收集个人信息,没有妥善处理与业务无关的信息,造成客户信息的泄露。( 2 )使用过程中也可发生信息泄露。在信息使用过程中,操作单位忽视了对客户信息的保护,导致客户信息的滥用和泄露。( 3 )数据存储过程中也可能发生信息泄露。操作单元在信息存储过程中丢失存储设备或系统维护过程中系统信息被复制,导致客户信息外流。
恶意披露是指某数据和信息运营单位收集到的客户信息,为获取巨额利润,被内部人恶意贩卖给中间商。这种恶意泄露客户信息的违法行为,对个人信息安全和行业发展产生了非常恶劣的社会影响。滴滴公司作为一个迅速发展的新兴企业,就是一个典型的例子。2021年6月29日,滴滴应用迅速更新了将于7月7日生效的隐私协议版本。其中明确写道,“我们将收集到的您的个人信息将在中国大陆存储和使用”。用户需要约定应用程序收集自己的个人信息(包括姓名、手机号码、身份证号码、面部识别特征、职业信息、音视频录音、出行信息、通话录音、设置信息、IP地址,甚至手机充值记录、整体店交换记录)。2021年11月1日起施行的《个人信息保护法》第6条明确规定:"个人信息的处理应当有明确合理的目的,与处理目的直接相关,采取对个人权益影响最小的方法。"个人信息的收集应限制在最小范围内,以达到处理目的,不得过度收集个人信息。"但是,与市场上其他出租车软件相比,滴滴公司已经严重超出了个人信息收集范围,对用户隐私的保护非常不足。
更为严重的是,滴滴公司被指出,为了能在美国成功上市,其主动向美国披露国内数据。有媒体预测,作为掌握了大量敏感公民个人资料的企业,滴滴公司的数据泄露将给国家造成不可挽回的损失。
(二)政府
政府是数据泄露的监督者。面对这种情况,政府部门存在以下不足:
1.政府监管措施相对滞后。
目前负责网络监管的主要政府部门包括工业信息产业部门、工商部门、公安部门、安全部门。政府部门对网络信息安全的监管措施包括市场准入许可、网络实名登记、技术监管和事后问责。但与传统违法行为相比,网络侵权具有隐蔽性强、违法成本低、利润率大等特点。此外,网络侵权一般涉及人数众多、涉及面广、损害评估复杂、调查取证困难。这使得政府现有的监管措施在面对网络侵权时往往不足,监管责任难以落实。不法分子正是利用政府监管的不足,窃取、出售个人信息,甚至利用其所掌握的数据进行犯罪活动。
2.政府自律监管体系有待完善。
由于政府内部缺乏规范的公民个人信息使用制度,极少数政府人员受利益诱惑,通过非法渠道向商业机构出售大量有关公民的私人信息。这种监督者"监督盗窃"的不良行为,使政府成为信息泄露的源头,不仅带来了恶劣的社会影响,也使得网络空间信息侵权现象更加普遍。
(三)第三方
同时,一些网络黑客仍然可以通过解码攻击、代码植入、包含漏洞攻击的远程文件等技术对一些网站或个人终端进行渗透,获取部分或全部的控制权,进而复制网站内部数据库信息和个人终端私有信息。因此,技术入侵也是威胁网络信息安全的主要形式之一。Facebook是全球领先的照片分享网站,也是全球最大的社交应用,同时也是一个触目惊心的例子,表明企业的数据安全受到的挑战。2018年,Facebook被曝大规模用户信息披露。英国剑桥分析公司在未经允许的情况下收集了高达8700万Facebook用户的隐私信息,分析用户的行为模式、个性特征、价值取向和成长经历,从而为特定用户推送竞选广告。2019年,Facebook被曝存在没有密码保护的服务器,导致41.9亿用户信息被泄露,其中包括用户的Facebook ID和与其账户关联的手机号码。2021年4月,有消息披露Facebook遭到黑客入侵,3天内曝光用户个人资料5.33亿条,涉及106个国家和地区。泄露的信息包括用户的账号、地点、生日和Facebook上的电子邮件地址,内容非常详细。2021年10月,有媒体报道称超过15亿的Facebook用户数据在黑客论坛上被出售。
人们认为,Facebook在安全保护方面表现不佳,不仅侵犯了个人的合法权利,而且对国家民主产生了负面影响,同时,从Facebook连续几年发生的大量数据泄露事件可以看出,尽管Facebook继续采取措施提高应用的安全性,但数据泄露问题并不能很好地解决,这直接反映了当今时代数据安全问题给企业带来的挑战。
值得注意的是,黑客之外的第三方也存在数据泄露的风险,但中国目前并没有直接的惩罚性措施。近年来,微信小程序(以下简称"小程序" )发展迅速,但也暴露出较为突出的安全隐患,尤其是用户个人信息泄露风险。CNCERT从程序代码安全、服务交互安全、本地数据安全、网络传输安全和安全漏洞五个方面对50家国内银行发布的微型程序进行了安全测试。结果表明,小程序存在8种安全隐患。当程序源代码暴露关键信息并进入敏感信息时,90 %以上的微型程序没有采取保护措施;80 %以上未提供个人信息收集协议;个人信息在本地存储,在网络传输过程中超过60 %没有加密;少数小程序存在严重的超病毒风险。因此,在这一点上,立法需要加紧完善。[10]
三.分析关于个人信息泄露的原因
(一)根本原因
根据贝克的“风险社会理论”,在全球发展的背景下,人类实践引发的全球风险主导着社会发展的阶段。在这样的社会中,各种全球性风险对人类的生存和发展产生影响。个人信息泄露的严峻形势实际上是由于信息时代不可避免的困境,这是人类实践的结果,而不是制度缺陷。从上文提到的企业、政府、第三方平台的现状可以看出,深层次的原因在于企业监管和风险机制存在深层次的问题。即便是政府也只能发挥监督作用,第三方也是一种外部威胁,更何况攻击是一种低概率事件。企业作为数据传输、存储和利用的主体,对数据泄露负有主观责任。数据监管的重点是对企业的行为和法律责任进行认定,而目前的处罚还无法起到很好的效果,尤其是监管理念也是一大难题。因此,在防止数据泄露方面,应重点对企业进行监管和改革。
(二)直接原因
至于分析表面现象的直接原因,应结合数据安全主体的多样性,从法律规范、操作单位责任、个人因素等多个维度进行分析。首先,我国法律在信息保护方面起步较晚。虽然现有的《数据安全法》和《网络安全法》早已实施。但是,与我国以国家和行业标准等必要措施为基础的安全保护义务不同,欧美国家以“合理性”、“适当性”[11]等概念作为安全保护义务的主要评价标准。这样的立法模式,不采取国家强制划定统一的安全模式,而是给各个企事业单位根据各自的商业模式制定不同的网络安全策略提供了充分的空间,是有可能在我国的立法中借鉴。
其次,公司数据泄露的治理在法律层面存在多重困境:公司数据泄露责任界定不明确。网络服务商、数据存储服务提供商、内部员工、外部第三方之间的职责分工不明确,刑事责任、行政责任、民事责任如何具体适用于法律法规也不明确。不同国家对企业数据泄露有不同的法律制度,界定企业数据泄露的标准、责任假设和域外适用也不尽相同。[11]此外,泄露企业数据的违法成本和犯罪成本相对较低,远远低于企业预防成本,相关责任实体的威慑力不足。而且,企业通过诉讼或仲裁方式处理企业数据违约的期限较长,不利于及时制止损失。最后,个人层面的现状是中国公民个人信息安全意识淡薄。即使遭受了信息泄露的困扰,大多数人还是因为没有造成重大损失而选择保持沉默。正是这种受害者的被动和纵容态度,使得信息泄露在网络空间愈演愈烈。同时,网络社会本身也是一个基于现代信息技术的虚拟空间。因此,作为网络社会成员,掌握必要的信息安全技术是保证自我安全的前提条件。个人由于技术能力薄弱,成为网络信息安全中的弱势群体。即使发现网络信息被窃取,也不能及时利用技术手段制止网络侵权行为,造成信息泄露。
四.个人数据保护的法律规制路径
解决企业数据泄露问题,首先要从源头抓起。而源头是企业本身。以Facebook为例,我们可以得出结论。数据泄露频繁发生的原因一方面是企业自身监管不力,另一方面是法律对数据入侵行为不够重视。
(一)对企业的监管要求
通过法律加强数据安全保护能力是企业首先要解决的问题。如前所述,大数据时代数据的价值决定了一旦缺乏适当的法律监管,国内和跨国公司将继续扩大其数据和信息收集的范围,以实现大数据时代的业务竞争。有效避免这种情况最直接的办法就是加强对数据违法行为的监督执法,加大罚款力度。2021年以前,我国还没有相关法律对企业数据泄露进行处罚。虽然入侵企业数据的黑客在某些情况下受到处罚,但企业几乎没有因为数据泄露而受到处罚。在我国最新法律中,数据泄露将被处以高达1000万元的罚款,但显然,这样的努力是相当不足的。对于一些大型企业来说,这样的罚款甚至不足以引起恐慌。中国还需要从法律上体现政府进一步正视数据价值的决心,事实上,数据的重要性和数据能够输出的价值很难设定上限,1000万元的上限远远低于世界许多国家的处罚力度。与罚款的机械化设置相比,我国的法律治理应探索如何将罚款数量与泄露数据的价值相匹配。
虽然我国正在加快数据保护立法,如《数据安全法》、《个人信息保护法》等。但是,除了一次性要求企业在处理数据时要建立数据安全管理系统外,没有规定明确要求企业加强其数据安全保护能力,也没有详细的处罚措施,这将导致一些企业采集的数据超出其保护能力,容易被入侵和泄露到世界各地。因此,应在新颁布的几部法律的基础上,继续细化相关企业数据安全管理体系,将企业能够收集的数据限定在企业能够绝对保护的范围内。如果没有匹配的数据保护能力,企业就不允许收集相关数据。而且如果企业收集的数据超出规定的限度,无论数据是否泄露,企业都要受到处罚。此外,还应建立相关评估机构,定期评估企业的数据保护能力,取消其对不合格企业收集相关数据的权利。
(二)对数据入侵的惩罚
随着互联网的发展和大数据时代的到来,个人信息和数据的价值在过去达到了难以想象的水平。黑客的行为已经从好奇、炫耀技术转变为寻求利益。但在包括中国在内的许多国家,有关黑客的法律却没能跟上时代的要求。
我们当然可以在网上发现一些案例,比如在土耳其共和国,一名被定罪的黑客因数据盗窃罪被判334年徒刑。但这些更容易曝光的案件很可能掩盖了一个事实:在许多国家,数据盗窃罪最常遇到的是轻判或缓刑以及罚金——而非硬监禁时间。而这些案例忽略了全球企业网络上发生的大量小规模泄露和数据窃取事件。其中许多都是未经举报的,罪犯从未面临刑事指控。这值得所有国家注意。
以中国为例,尽管互联网技术和时代已经不是过去的样子,但中国网络犯罪的法律依据仍然是1997年刑法和2009年刑法修正案(七)。虽然在2015年《中华人民共和国刑法修正案(九)》关于信息网络犯罪的规定中,这种情况得到了一定程度的改变,但在具体案件中,对于盗取大量个人资料但不赚取太多利润的黑客,法官的判决仍然从轻。要真正促进数据安全的保护,立法应尽量以数据作为判断犯罪程度的依据,而不仅仅是这些数据给犯罪分子带来了多少好处。因为数据泄露的危害程度应该引起足够的重视。更为重要的是,虽然我国最近出台了《中华人民共和国数据安全法》和《个人信息保护法》,但并没有配套的法律法规针对具体问题制定相应的解决方案,这将使得此类法律无法发挥应有的作用。我国在数据保护上的重中之重是确立制度的刚性,落实《中华人民共和国数据安全法》和《个人信息保护法》的要求。如果能解决无配套法律、建立制度刚性等问题,将极大地促进对数据入侵的惩罚机制,从而促进企业的数据保护。
结论
企业数据保护问题仍然是一个世界性的普遍问题,还有许多问题亟待解决。同时,由于我国在数据保护方面的法律起步较晚,企业监管薄弱,法律对数据入侵的重视不够,我国在数据保护方面一直处于合格线的边缘。通过对Facebook和滴滴公司两个案例的研究,要解决企业数据安全保护问题,必须加强企业在数据安全保护方面的法律监管,加大对数据入侵行为的法律惩处力度。与此同时,中国个人信息保护法和数据安全法相继出台并逐步实施。中国现在迫切需要做的是加强制度的配套执行衔接,建立制度的刚性。只有这样,中国才能更好地摆脱数据保护中的法律困境,进入数据保护的新时代。本文研究中国公司如何对数据泄露进行监管,采用什么样的监管方式来保护相应主体的数据或信息权利。至于数据泄露罪、行政处罚责任等问题,还有待于相关学者的进一步研究。
参考文献
[1] Viktor Mayer-Schonberger, Kenneth Cukier.大数据时代.浙江人民出版社:pp.1-3
[2] 马忠法,胡玲.论我国数据安全保护法律制度的完善[J].科技与法律(中英文),2021(02):1-7+75.DOI:10.19685/j.cnki.cn11-2922/n.2021.02.001.
[3] Xue Yisa, The Construction of the Multi-tier Outbound Data System and the Realization of Free Data Flowing:Starting with the Reform of the Substantive Review System. Journal of Northwest University for Nationalities (Philosophy and Social Sciences Edition), vol.06, pp.64-74.
[4]肖成俊,许玉镇.大数据时代个人信息泄露及其多中心治理[J].内蒙古社会科学(汉文版),2017,38(02):185-192.DOI:10.14137/j.cnki.issn1003-5281.2017.02.029.
[5] Yuan Wenxiu, Yu Hengxin, Thinking about Information Ecology in Network Space. Information Science, vol.01, pp.144-147.
[6] Wang Zhong, Yin Jianli, Traceability Mechanism Design against Personal Data Privacy Disclosure under the Context of Big Data. China Circulation Economy, vol.08, pp. 117-121.
[7]李铁军,宋昱石.浅谈如何做好企业数据保护建设[J].信息安全与通信保密,2015(09):117-120.
[8]刘阳.2020年全球信息安全态势综述[J].保密科学技术,2020(12):8-15.
[9]Hong Yanqing, Regulation Based on Management:the Reconstruction of the Security Protection Obligations of Network Operators.Global Legal Review, vol.04, pp. 20-40.
[10]Ulrich Beck, Riskogesellschaft:Auf dem Weg in Eine Andere Moderne. Yilin Press, pp. 38-44.
[11]陶乾,宋春雨.企业数据泄露的法律治理困境与规范适用[J].中国信息安全,2021(05):34-36.
作者:泡面法师
如若转载,请注明出处:https://www.qiked.com/11319.html