人脸照片三分钱一张应聘简历五毛一份谁来为个人信息泄露负责?
“二手0.5,一手1.5。”抱着求职心态在招聘网站投出的简历,或许正被人暗中提取和交易;在网店的买卖交易信息,有可能在某些隐秘的角落流转……数字化便利了我们的生活的同时,稍有不慎,信息泄露就会让用户变成互联网上的“透明人”。
11月19日,经济观察报记者在某“数据交流群”里发现,群中充斥着其它大量贩卖个人信息的消息。“一手优质车主料,地区/购车时间均可,量大从优,闲人勿扰”、“出tb订单一手二手数据……”
这似乎成为了一个“产业链”,在数据交流群里,有人卖简历、有人卖招聘网站的企业账号、有人帮助认证人脸信息。
对于贩卖个人信息的行为,中国人民大学商法研究所所长、教授刘俊海对经济观察报表示,“这是一种严重的侵权行为,情节严重或构成犯罪,给消费者造成严重损害的依法追究刑事责任。民事责任、行政处罚和刑事责任并行不悖,并不是道歉或者赔偿损失就可以免责,不构成犯罪要进行行政处罚,构成犯罪要追究刑事责任。”
那么,谁来为信息泄露负责?个人信息保护立法正在启动,人们该如何在数字化发展和个人信息保护之间找到平衡?
谁为信息泄露负责
记者联系到贩卖个人简历的网友,对方称,“这些数据都是我们自己公司下载的简历,是精准的数据,一手的没有打过的数据。”对方自称来自教育类公司,并极力推销数据的可靠性。他们在几家著名的求职网站收集简历,再进行数据筛选。数据用途主要用于电话销售,他手上也有三分钱一条的人脸数据信息,但是那种“不出效果、转化率低”。
除了简历,还有人在售卖网络交易数据、车主信息、外卖APP商家信息。上述售卖车主信息的人表示,数据来源是“内部”。“价格是0.4元/条。可以测,测试按0.5/条提供50-100条。先支付,测试完毕后确定购买数量,测试的将作为免费赠送。”
经济观察报记者获取的部分数据内容显示,信息包括车系、车型、车辆型号、客户姓名、经销商等信息,非常具体详细。
在个人信息中,金融信息尤其具有重要的属性,不法分子对金融信息的倒卖也容易引发后续侵害财产等行为。从以往判决案例来看,经常有银行员工因为贩卖客户信息而触犯刑法,并以“侵犯公民个人信息罪”获刑的案例。
今年9月,裁判文书网公布的湖南省永州市冷水滩区人民法院刑事判决书显示,建行一分行的外包人员利用职务之便盗用管理人员的操作码,偷查3678笔个人征信报告,以10元一份拿出去倒卖给一家小额贷款公司,获利3.6万元,最终犯侵犯公民个人信息罪,被判3年,缓刑3年。
山东省邹城市人民法院一份刑事判决书显示,2018年5月份期间,浦发银行电销中心任业务主管杨某,利用工作便利获取客户个人信息20余万条,非法提供给某公司用于电话营销;同时,这家电商公司员工李某在对这些信息资料进行加工整理后,又以每条0.3元的价格对外售卖给第三人李某洪,后者再将这些个人信息贩卖给陈某实施电话诈骗。
值得关注的,圆通快递员工泄露客户信息事件再次引发关注,根据邯郸警方消息,相关嫌疑人以每日500元的费用租用圆通公司内部员工系统账号,后登录系统账号进入公司物流系统,导出快递信息,把窃取的快递信息进行整理通过微信、QQ等方式卖到全国及东南亚等电信诈骗高发区。
上述案件中,相关嫌疑人将收集到的信息打包卖出,每条信息单价约为1元。此次被泄露的信息中包括发件人地址、姓名、电话以及收件人电话、姓名、地址,被泄露的信息数量实际超过40万条,涉案金额为120余万元。“泄露的是身份信息,里面包括姓名电话等信息,根据2017年6月1号最高人民法院、最高人民检察院发布的侵害公民个人信息犯罪的司法解释,这构成了刑法中所说的敏感信息泄露,50条以上就要入刑。”中国政法大学传播法研究中心副主任朱巍告诉记者。
对于数据泄露情况,朱巍分析称,一般实践中,有两种情况,一种是有内鬼,内部员工泄露;还有一部分是通过黑客的相关技术。对于两种情况平台都有责任,内鬼属于雇员,一旦造成损失,平台有监管不力的责任;如果涉及到黑客攻击的问题,在实践中也出现过这种情况,平台也要承担责任,因为涉及到平台有没有升级防火墙、有没有尽到安全保障义务。
中国银行法学会理事肖飒对记者分析称,在公司员工不法泄露用户信息的事件中,最为直接的责任人自然是不法员工本身,根据我国刑法,第二百五十三条之一规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。泄露用户信息的直接行为人需要承担相应的责任,除构成刑事犯罪外,还需承担民事赔偿责任。
同时,肖飒表示,在该类事件中最引人关注的应当是公司,公司是否需要为员工的不法行为负责?以一般生活经验判断,责任都是个体性的,员工的违法犯罪行为不会与公司相关。但在个人信息保护领域,我们认为公司是负有妥善收集、保管、使用用户个人信息的义务的。因此,在这一事件中,公司也应当承担一定的责任。
个人信息保护立法在途
10月21日,备受瞩目的《个人信息保护法》在中国人大网公布,开始向社会征求意见。
“草案发布已经引起了广泛热议,可见社会公众对这部法律的殷切期待。”安永团队表示,个保法草案一方面彰显了当今网络时代呼声的核心――个人对自己的信息具有控制的权利;另一方面也在继《网络安全法》之后,进一步规定了企业经营者在促进经济社会信息化健康发展、维护人民群众基本权利方面的管理责任和义务。“草案发布后,对个人信息起到引领、规范、保护和救济的作用。很好的起到制裁违法者、补偿受害者、奖励维权者、警示行业、教育社会和对公众心理抚慰的功能。”刘俊海认为。
刘俊海称,同时由于行政处罚的充实、监管措施的扩充,也会激活监管部们对消费者的行政保护功能。首先互联网企业特别是互联网平台的责任进一步压实;第二,行政监管部门的监管力度和对个人信息保护的力度会进一步加大;第三,人民法院和仲裁机构对个人信息侵害产生的民事争议案件的裁判会找到更多的法律依据。换言之,个人信息保护法的可诉性、可裁性、可执行性值得期待。这使得整个从事互联网产业的各个链条和环节,包括互联网平台、电商、社交媒体以及其它APP软件开发商都会全面纳入个人信息保护法的调整轨道,对互联网经济发展和个人信息保护是好事,也是数字经济的可持续发展重要的“加油站”。
对于草案的公布,肖飒对记者分析称,首先是在管辖上,我们的个人信息保护拥有了长臂,也就是所谓的域外效力,在技术革命的当下,跨境侵犯个人信息的事件日益增多,个人信息保护法的跨境效力可以为个人信息提供用力武器。其次是与民法典衔接,明确个人信息的内容,明确的权利与义务内容是法律良好实施的前提。最后是在负责部门中,指明了国家网信部门负责个人信息保护工作的统筹协调、发挥统筹协调作用。这样可以避免交叉执法中的效率低下可能。
“个人信息保护法要更加精准、更接地气、更加坚持问题导向、目标导向和结果导向。”刘俊海对记者表示,现在有很多平台及企业主管部门引入电子政务的技术,但是对个人信息保护仍然存在漏洞和盲区。刘俊海对记者举例称,其个人在办理工商登记验证手续的过程中,也曾遭遇过电信电话骚扰。一般电子政务办理过程中要确保本人办理,验证程序一般需要与第三方验证单位进行合作,但是第三方验证的保护措施是否到位值得关注,要注重生物识别信息、个人身份信息的保护。
如何平衡数字化发展和个人信息保护
数字化给生活带来便利的同时,信息泄露问题也层出不穷,从现有法律和监管层面,有哪些措施可以防止和规范此类行为?
刘俊海表示,首先,希望接触信息的互联网平台、电商、社交媒体以及其他APP软件开发商等慎独自律、见贤思齐择善而从,打造信息友好型企业治理体系和内控体系。要做大数据,大数据来自于消费者个人信息,必须坚持合法、正当、必要、保密、安全的原则,未经消费者同意不得随意获取个人信息。
第二,市场会失灵,监管者不能失灵,希望个人信息保护法强化监管措施,加重行政处罚力度,密切处理好行政处罚和行政责任的衔接机制,引进协同共治机制。
第三,要完善消费者的投诉举报机制,要畅通消费者维权通道,降低维权成本,确保维权收益高于维权成本,确保违法成本高于违法收益,把个人信息保护的篱笆墙越扎越牢。
随着时代的前行,数字化是不可抗拒也无法抗拒的时代趋势。关于防范个人信息泄露,肖飒认为,可以从三个层面来说:首先是个人层面,民法典人格权编的出台为公民个人权利意识的觉醒打下了基础,在利用数字化便利个人生活的过程中,公民必须坚守权利意识,谨慎选择,对自己的每一次点击行为负责。
其次是各个市场主体,每一家企业在追求效益的同时,必须自觉承担社会责任,明确保障公民个人信息的义务。一方面合理收集、使用公民信息,在创造经济价值的同时便利其他社会成员,形成双赢,另一方面制定规范合理的行为章程,防止内部出现为了利益而罔顾责任的个体。
最后是行政监管层面,执法机构需要积极行使职权,在个人信息保护领域,最为可靠的后盾便是行政机构,最后的避风港也正是行政机关。必须由多部门,多角度,多层级共同建立维护个人行为,防范信息泄露的完整体系。
朱巍认为,主要的措施包括立法和技术等方面:首先是立法,现在从“一法一决定”,到《个人信息保护法》,再到《民法典》,再到刑事法律体系和国家网信办出台的这些年的新规,构成了一个以往“一法一决定”和个人信息保护法为核心的个人信息保护法律体系;第二从技术角度创新,比如现在很多的地方使用了区块链技术,无法篡改且使用有痕迹。第三,应该加大惩罚力度,依法严惩,违法必究。除此之外,在侵犯个人信息方面,比如“人肉搜索”等行为,不管情节轻重,都应该依法承担相应的责任。