剛剛過去的數天,接二連三暴露個人數據泄露事件:知名互聯網企業數據泄露、國企APP數據泄露、700元買到同事個人數據信息等,凸顯在大數據時代個人信息的“裸奔”危機。
尤其是在互聯網普遍運用的當下,個人一方面不可能脫離時代,但另一方面又缺乏保護自身的手段。而面對已經形成巨大利益的數據泄露產業鏈,個人的力量也顯得極為有限。
因此,解決數據泄露問題的一個關鍵問題,在于如何通過立法和執法保護個人信息上。
21世紀經濟報道記者采訪美國、歐洲以及中國相關領域專家,解讀國內外數據安全立法進程。有學界人士呼吁,我國目前沒有專門個人信息保護的立法,應加快數據隱私安全方面的立法。
也有部分業界人士認為,涉及到個人隱私安全的法律一直都有,問題主要出在執法層面。有辦理個人信息泄露案件的律師表示,司法機關不重視,不認為“個人信息泄露是個大事”,加上個人取證難,個人數據保護在當下很困難。
事實上,關于數據安全立法和執法問題,企業、個人以及政府的利益博弈一直存在。如何在保護個人信息安全和信息自由流動之間獲得平衡,是一個必須面對的問題。
個人數據缺乏保護
12月10日晚,網絡曝出疑似大量京東用戶數據外泄。網上曝光稱,有12G的數據包外泄,包括用戶名、密碼、郵箱、QQ號、電話號碼、身份證等多個維度數據,數量多達數千萬條。
12月11日凌晨2點,京東集團發布聲明,稱初步判斷該數據源于2013年Struts2的安全漏洞問題,當時已迅速完成修復。京東方面稱,當時國內幾乎所有互聯網公司及大量銀行、政府機構都受到了此問題的影響,導致大量數據泄露。
21世紀經濟報道記者跟另一家大互聯網企業核實,2013年確實出現了上述事故,一些互聯網企業在一定程度上受到影響。
事實上,國內外企業泄露用戶數據案例頻發。2014年,大麥網出現了泄露用戶數據的情況。2015年,國內多家酒店泄露大量房客開房信息。同年,美國一家婚外情網站被不明身份的黑客攻擊,黑客在網絡上公布了這些會員的詳細資料。
騰訊研究院研究員曹建峰告訴21世紀經濟報道記者,在數據泄露方面,企業一般需要采取技術措施,確保個人信息的安全、完整,一旦發生數據泄露事件,需要及時報告主管部門及相關用戶,否則可能承擔法律責任。
上海的劉春泉律師曾申訴一家銀行,認為銀行侵犯了其個人隱私信息。劉春泉把法院的回復展示給21世紀經濟報道記者。回復稱,某銀行給劉發送的短信文字簡短,占用移動設備內存小,并不構成對其移動設備存儲空間上的財產貶損。
劉春泉說,目前,國內并沒有處罰力度較大的關于企業泄露個人信息的判決案例,因為一些掌握大量數據的企業,多是國有壟斷企業以及大的互聯網企業。在立法和執法方面,各界都存在利益博弈。
他指出,企業保護個人信息的法律其實一直都有,包括消費者權益保護法等。
比如,最新發布的《網絡安全法》第21條,規定了網絡安全等級保護制度,而網絡運營者則應根據網絡安全等級保護制度的要求,履行安全保護義務,保障網絡免受干擾、破壞或入侵,防止數據被竊取或篡改。
但是,受侵害人一般很難把握切實證據,尤其是案件證據鏈很長,個人很難取證;另外法院對數據泄露不夠重視,部分人認為“個人信息泄露不算大事”。
騰訊研究院副秘書長張欽坤也表示,涉及個人數據隱私安全方面的法律規定并不缺乏,但涉及到具體執法層面,各方面重視程度普遍不高。今年最典型的“受重視案例”,就是山東女大學生受騙案,這一案件在引發輿論關注后,很快就破案了。
立法趨勢:靈活還是嚴格?
關于數據隱私立法,各方面的爭議也一直存在。
2016年9月份的國務院常務會議指出,要加強系統和信息安全防護能力,加大對涉及商業秘密、個人隱私等重要數據保護力度。
12月10日到11日,在北大-牛津-斯坦福互聯網法律與公共政策研討會上,有學者建議,有必要制定一部《個人信息保護法》,賦予主體自由支配并排除他人侵害的權利,同時通過系統的制度設計來防止他人侵權。
而21世紀經濟報道記者采訪相關企業和學界人士、律師等,發現中國、歐盟、美國在數據立法方面,在力度和開放程度上都有較大的差異。
廣州一家大數據公司的英籍創始人告訴21世紀經濟報道記者,歐盟國家是最典型的嚴格保護個人信息安全的地區。但歐洲互聯網企業發展也是活力最不足的,相反美國立法更靈活一些。中國還處在野蠻生長階段,一方面個人隱私安全的不確定性一直存在,同時互聯網產業也發展較快。
對很多中國企業來說,他們希望中國在信息安全立法方面,更多參考美國的制度。
比如,安客誠亞洲區首席隱私官潘兆娟表示,中國的相關法律規定已經很多,包括民法、網絡安全法,這已經需要初創企業花很多的精力(來應對)了。如果再進一步設定特殊的規定和法律,或許違反了自由創新的精神。
來自美國霍金路偉律師事務所律師Julie Brill則認為,數據隱私立法會導致不同企業有不同的擔心。初創企業對新的法規適應起來比較容易,像BAT這種大企業,其數據量更大,適應和使用起來會更難。她認為,在美國,這些法規是會給初創企業保護,而不是為了懲罰他們。
曹建峰則表示,個人信息保護立法應在個人信息保護以及信息自由流動、公眾知情權之間做好平衡工作,防止顧此失彼;另外,國內立法可立足本土,制定符合我國國情的法律制度,并積極參與國際規則的制定。在相關的立法中,應當避免盲從所謂的域外先進法律制度。
京公網安備 11010502049343號