9月上旬,美國信用機構Equifax爆出涉及1.4億用戶的數據泄露事件,相當于近半美國人的網絡信息被黑客竊取,在美國引起軒然大波。在國內,近來有關個人數字數據使用的爭議也不絕于耳,例如,微博版權協議的更新引發網民對個人在網上生產內容的知識產權歸屬的爭論,高德地圖近期更新時強制用戶必須接受的隱私權政策也被網民吐槽是“霸王條款”。
看來,在大數據時代,網絡巨頭們忙著為瓜分市場左沖右殺,對于用戶的個人隱私信息保護卻未給予足夠的重視,無論該行為是出于有意還是無意,結果是導致隱私保護嚴重滯后于網絡技術的發展,中外皆然。即便在法律體系較為完備、各種法條多如牛毛的美國,普通用戶對Equifax的個人數據泄露事件也只能徒呼奈何。雖然有加拿大用戶提出了高達4500億美元的訴訟賠償,但無論是加拿大還是美國,涉及個人信息保護的法律非常分散,對于侵權行為如何量刑和處罰也缺乏具體的、可操作的標準,有關訴訟的判決可能曠日持久,結果也充滿不確定性;即便是判罰Equifax,該公司是個輕資產公司,能夠支付的罰金恐怕也不會太多。
在Equifax之前,雅虎公司2016年的數據泄密事件受害者達5億之眾,有關消費者侵權的訴訟到現在都杳無音信,公司高管所受到的影響只是放棄一些年終獎里的股權獎勵而已。目前,美國聯邦貿易委員會、美國聯邦調查局(FBI)及美國司法部等均發起了對Equifax的調查,但法律界人士卻普遍認為根據美國現行法律很難對公司高管追責。Equifax目前被調查的幾個高管是以疑似內幕交易被立案的,被追責的原因是他們在3月份發生信息泄露事件之后減持公司股票,而不是泄密事件本身。
除了證券法對“內幕交易”的限制外,另一個最有可能將Equifax高管繩之以法的法律是被稱為“RCO” 的企業高管盡責條例(responsible corporate officer doctrine)。據該條例,即使沒有明確的證據表明企業高管是出于故意或者疏忽,只要能證明高管是有能力制止數據泄露事件的發生卻沒有制止,政府就可以對該公司高管追責。不過,RCO是一個通用性法規,并非專門針對數據泄露而設,通常是適用于食品、藥物和化妝品等消費品行業,盡管法學教授們認為理論上可以將其適用范圍擴大到數據泄露對消費者造成的損害上,但是實踐如何尚未可知。
好的一方面是,在個人數據和隱私保護方面爆發的種種沖突,也終于引起了各國公眾及法律界的廣泛關注,尤其是司法部門、立法機構對如何完善相關法律有了更清晰的思路。如美國和加拿大均有議員提出設立單獨的聯邦個人信息保護法,改變各州法律對隱私保護互不相同的情況,特別是對于隱私授權許可、泄密及時告知義務、侵權賠償裁量等方面,提出了切實可行的規則。
作為大數據產業迅猛發展的國家,我國對用戶個人信息的保護也極為重視。今年3月15日,全國人大通過的《中華人民共和國民法總則》第111條明確規定,“任何組織和個人不得非法收集、利用、加工、傳輸個人信息,不得非法提供、公開或者出售個人信息”。此外,刑法、網絡安全法、電子商務法等一系列法律法規中,也對個人信息保護作出了規定,法律界對設立單獨的個人信息保護法呼聲也很高。但就現狀而言,相關法律責任在不少互聯網企業中尚未落實到位,社會各界應當加強監督,對違法行為及時發出警示,促使互聯網產業在健康的道路上發展。
京公網安備 11010502049343號