只要你向网站支付费用,你就可以在没有求职者同意的情况下获得简历;表面上看,它似乎是用来清理手机垃圾的App,背后不断读取用户信息;拥有数千家商店的知名商家私下用摄像头抓住顾客的脸,自动生成编号……今年的央视3·15晚会上,很多企业因为通过公民个人信息谋利而被曝光。
随着信息化与经济社会的深度融合,利用个人信息侵犯群众生活的现象屡见不鲜,电信诈骗等各种违法犯罪活动日益激烈。为什么个人信息保护领域的混乱难以禁止?数字时代如何保护我们的隐私?立法层面将如何应对社会关注?
个人信息泄露事件频发,成为医疗、 *** 、房地产、教育等领域的重灾区
在一个名叫“58智联粉”的 *** 在群里,只需支付7元,就可以在智联 *** 平台上买到求职者简历,信息全部……央视3·15晚会上,智联 *** 用户简历流入“黑市”细节逐一披露。据卖方介绍,在智联 *** 上注册账户并支付费用,就可以轻松获得大量简历,“个人账户不行,得是企业账户”。
在实践中,根据求职者的教育背景、工作经验、工资水平等条件,简历的下载价格分为40元、60元和100元三个等级。只要企业账户支付会员费,就可以不受数量限制地下载求职者的完整简历,即使是伪造的资格申请也可以顺利通过。
通过上述手段下载和购买简历后,罪犯可以了解公民的详细个人信息,从而实施准确的欺诈。在近年来警方破获的相关案件中,一名嫌疑人在硬盘上存储了700多万份求职者简历。
记者发现,在过去的一年里,类似的个人信息泄露事件经常发生,涉及大量用户信息的医疗、网上购物、房地产、教育等领域已成为重灾区。
20202007年7月,快递公司内部员工与外部犯罪分子勾结,利用员工账户和第三方非法工具窃取运单信息,泄露用户个人信息40万条,其中有效信息约为4.5这些有效信息以每条1元的价格打包销售到电信诈骗高发区。
“在这个时代,每个人的个人信息都面临着巨大的风险。”中国社会科学院法学研究所副所长周汉华表示,泄露的快递信息不仅包括发件人和收件人的地址、姓名和 *** 号码,还包括身份证号码和用户偏好。这些信息一旦应用于大数据分析,可能成为犯罪分子的盈利手段,“快递单信息一直是犯罪分子密切关注的地方。”
此外,在新冠肺炎疫情席卷全球的非常时期,大数据技术的频繁应用也激增了个人信息泄露的风险。此前,某医院出入境人员名单已发布到多个微信群,涉及6000多人的身份证号码、居住地址、医疗类型等信息。有网友反映,“有朋友因去过医院,在家隔离,却被 *** 骚扰,并被传言感染新冠肺炎。”
生物信息收集和使用的安全边界模糊,“十步一刷脸”引起技术滥用的担忧
除了 *** 、地址等物理信息外,随着数字技术的发展,人脸、指纹、虹膜等生物信息正在成为隐私泄露的另一种“高危地带”。
以央视3·15以派对曝光的科勒浴室安装人脸识别摄像头为例。该公司在全国拥有数千家商店。只要消费者进入其中一家商店,他们就会被摄像头抓住,在不知情的情况下自动生成ID编号。
科勒卫浴的一位零售销售总监说,号码生成后,消费者再次进入其他门店,系统会提示门店工作人员,“如何接待他,如何报价,都有心理准备。”
据了解,苏州万店掌 *** 科技有限公司提供科勒卫浴使用的人脸识别摄像头。在识别率方面,万店掌工作人员表示,戴口罩可达80%-85%,95%以上不戴口罩。该公司相关负责人薛经理表示,各企业收集的人脸数据可以在万店掌总账上看到,“累计到现在肯定上亿了。”。
进入数字时代,人脸、指纹等生物信息广泛应用于银行业务处理、移动支付、车站检票等领域。在获得方便体验的同时,模糊的安全边界也引起了公众的关注“十步一刷脸”这种情况的隐忧。成立于国家信息安全标准化技术委员会App根据专项治理工作组发布的《人脸识别应用公众调查报告(2020)》,60%的受访者认为人脸识别技术有滥用趋势,30%的受访者表示,他们因人脸信息泄露和滥用而遭受隐私或财产损失。
“人脸信息明文传输,每次刷脸解锁都会反复上传,容易泄露,识别可靠性差,翻拍照片容易破解。”中国电子技术标准化研究所信息安全研究中心审查部主任何延哲指出,手机App安全隐患也不容忽视,“App在隐私政策中,对人脸信息等敏感个人生物识别信息的收集和使用规则没有说明,用户无法通过注销机制删除。”
上海市信息安全行业协会会长谭建峰表示,个人生物特征数据是独一无二的、不可再生的。一旦被盗,将给个人隐私保护带来巨大不可逆转的风险。
责任主体内部监督失败,司法救济渠道不畅,个人信息安全领域多种原因混乱
过度收集、随机使用、非法盗窃、公开销售……一系列个人信息安全混乱背后的深层原因是什么?记者发现,从 *** 职能部门到私营企业,可以接触到公民个人信息的主体是多样化和广泛的,但许多关口出现了不同程度的监管失败。
就国家机关而言,公民个人信息的收集是出于公共利益和社会管理的需要。然而,一些部门在管理层面存在漏洞,相关人员履行职责不力,导致存储不规范、随机共享等问题时有发生。更重要的是,他们利用自己的职位向他人提供公民的个人信息,以寻求利益。
“如何管理好手中的个人信息,如何限制公共权力是一个不可避免的问题。”清华大学法学院国家监察委员会特别监察员、教授周光权说。
从企业层面来看,一些社会责任意识薄弱的企业将商业利益高于社会利益,不愿履行个人信息和数据的相关责任,一些企业也利用漏洞非法收集个人信息。记者从工业和信息化部获悉,截至3月12日,仍有117款涉及非法收集或使用个人信息App整改尚未完成。
“ *** 服务提供商提供的用户协议和服务条款通常不直接显示,冗长繁琐。个人信息收集的范围、保留期限、处理 *** 等重要条款难以识别和不合理。在这种情况下,用户的真实性和自愿性大大降低。”全国人大常委会委员刘修文说。
在外部打击方面,近20年来,中国法律体系对公民个人信息权益的保护长期处于碎片化状态,在一些法律法规和规范性文件中分散了相关条款,部分条款之间存在冲突,导致识别、管理、处罚标准难以统一,执法部门权力职责不明确,司法救济渠道不畅。
全面加强对个人信息的法律保护,促进解决难点问题
尽快完善相关数据标准和规范,促进相关立法工作,是进一步加强个人信息保护和法治保障的客观要求,也是维护 *** 空间良好生态的现实需要。
20212001年1月1日,《中华人民共和国民法典》正式实施。记者注意到,《民法典》独立编格权“隐私权和个人信息保护”规章制度规定了隐私权和个人信息的定义、保护原则、法律责任、主体权利、信息处理等问题。许多专家表示,《民法典》从民事基本法的角度对个人信息保护作出了详细的规定,具有创造性的意义,有助于促进从法治层面解决痛点和难点。
针对之前个人信息概念定义模糊的问题,《民法典》第1034条明确规定,个人信息可以通过电子或其他方式单独或与其他信息结合,包括自然人姓名、出生日期、身份证号码、生物识别信息、地址、 *** 号码、电子邮件、健康信息、下落信息等。
中国人民大学法学院教授刘俊海说,个人信息“精准画像”,是保护自然人权利、遏制信息侵权的基础,规范个人信息的收集和处理是保护的关键,“《民法典》之一百三十五条明确了个人信息处理应当遵循的原则:合法、合法、必要,不得过度处理,自然人或者监护人同意的四个具体条件。”
值得注意的是,虽然《民法典》概述了个人信息保护的基本框架,但它主要关注侵权后的法律救济问题。为了进一步提高法律规范的系统性和针对性,仍需要对个人信息保护进行专门的立法。
“制定专门的个人信息保护法,不仅要增加法律,还要解决当前的问题,考虑未来新技术发展带来的知情同意方式的变化。”周光权告诉记者,《个人信息保护法(草案)》最近提交全国人大常委会审议,从立法的角度规范了数字时代的突出问题,“例如,平台不能只向用户推送个性化信息和广告;收集的个人图像和个人身份特征信息只能是维护公共安全的必要条件,不得向他人披露或提供。”
同时,《个人信息保护法》(草案)规定,企业有关违法行为的,可以处以上一年度营业额500万元以下的罚款。“提高违法成本,划定严惩红线,有助于更好地保护公民个人信息安全。”周光权说。
个人信息保护任重道远,需要多方共同打通梗阻,形成协同治理局面
虽然相关工作正在稳步推进,但个人信息保护还有很长的路要走。全国人大常委会委员陈斯喜表示,《个人信息保护法(草案)》中的一些概念仍然模糊,可能给实施带来困难。“如何区分公共信息和非公共信息的收集和保护,收集信息的目的是自用或销售,是暂时保存还是长期保存,这些关系应该明确和标准化,法律是可行的。”
另一方面,如何在公民权益保护与数字经济发展之间寻求平衡,是个人信息保护面临的又一项难题。
“两者之间的关系是辩证的。企业不能因为追求大数据的核心资产而忽视公民的个人信息保护。同样,也不能片面强调个人信息保护,盲目抑制企业在大数据开发中的热情和创造力。”刘俊海说。
中国社会科学院互联网法治研究中心执行主任刘晓春认为,《个人信息保护法》的规则设计将对工业、经济和社会的发展产生深远的影响,“希望本法能在充分保护个人信息安全的同时,为具体规则的发展和应用留出一些创新空间,特别是对未来产业发展的前瞻性发展,在动态过程中实现多赢。”
就监管部门而言,仍有必要进一步加强对侵犯公民个人信息违法犯罪活动的打击,继续形成高压局面。自去年以来,全国公安机关得到了进一步的推广“净网2020”截至去年12月20日,专项行动共调查了3100多起侵犯公民个人信息的刑事案件。针对央视3·15晚会曝光的“App非法收集老年人个人信息”工业和信息化部立即组织技术检测,对违规行为进行严厉查处。类似的打击将有助于减少侵犯公民个人信息的犯罪空间,更好地维护 *** 空间秩序。
除加强立法和打击外,还要保护个人信息安全,推进预防措施,巩固国家机关、企业、 *** 主体等信息收集者的主要责任,敦促加强内部监督和自我监督法律,借助防盗密、防篡改等技术手段“防火墙”,有效解决个人信息滥用、个人信息数据管理不力等问题,促进协同治理的形成。