穿上法律“鎧甲”的個人信息離“安全”還有多遠
明確侵犯公民個人信息罪的定罪量刑標準,嚴打出售販賣個人信息行為,確立用戶信息“誰收集,誰負責”的責任主體……《中華人民共和國網絡安全法》“攜手”《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)6月1日起正式實施,它們將怎樣影響你我的網絡生活?又將如何為個人信息安全護航?個人信息足夠安全了嗎?
“裸奔”的個人信息穿上法律“鎧甲”
“剛簽完購房合同,賣傢具,搞裝修的電話突然就多了,而且沒完沒了,讓人‘細思恐極’。”作為一名律師,個人信息洩露帶來的一系列麻煩,曾讓北京市尚公(昆明)律師事務所的李承蔚律師也束手無策。
“此前,由於法律打擊這類犯罪行為還沒有明確的定量定性標準,自由裁量太寬,監管部門無力,侵權者違法成本低,受害人則往往投訴無門。”李承蔚的遭遇並非個案,而他律師的身份更突顯此前個人信息保護的尷尬。
個人信息安全已是全社會高度關注的問題,但個人信息洩露的困擾每天還在發生著——明明只向一家地産公司透露過個人信息,但隨後不同地産仲介都在找你賣房子;明明通過規範網站購買的機票,航班起飛前突然接到非航空公司發來的“航班取消”詐騙短信;小孩上學了,補課班、外語培訓班能準確地説出你的名字和住址進行精準推銷……
李承蔚説,互聯網時代,個人信息的洩露和販賣成為其他各類犯罪的上游犯罪,敲詐勒索、電信詐騙等,多以非法獲取個人信息為前提。
中國互聯網協會發佈的《中國網民權益保護調查報告2016》顯示,55%的受訪網民收到過“冒充公安、衛生局、社保局等機構進行電話詐騙”的詐騙信息;37%的受訪網民因收到各類網絡詐騙而遭受過經濟損失。
在法律界人士看來,此次正式實施的網絡安全法和兩高《解釋》為網絡安全勾畫出了基本的監管框架,為“裸奔”的個人信息穿上了法律的“鎧甲”。
“其中對公民個人信息的範圍、非法提供、獲取公民個人信息的認定標準、侵犯公民個人信息罪的定罪量刑標準等進行明確界定。量化了具體標準,讓全社會高度關注的打擊侵犯個人信息犯罪有了可操作性依據,讓執法者、受害人有了可以判斷的具體依據。”李承蔚説,這將幫助更好地打擊、預防各種侵犯公民個人信息的行為,監管部門和企業都將承擔起更多的責任。
“誰收集,誰負責”撐起個人信息“保護傘”
除了明確公民個人信息範圍,劃定“情節嚴重”標準等,網絡安全法還明確了企業在網絡信息安全的責任:“網絡運營者應當對其收集的用戶信息嚴格保密,並建立健全用戶信息保護制度。”
同時,兩高《解釋》也規定,網絡服務提供者拒不履行法律、行政法規規定的信息網絡安全管理義務,經監管部門責令採取改正措施而拒不改正,致使用戶的公民個人信息洩露,造成嚴重後果的,應當依照拒不履行信息網絡安全管理義務罪,追究其刑事責任。
在福建元一律師事務所律師郭承恩看來,確立“誰收集、誰負責”的基本原則,這將有效約束公民個人信息採集主體審慎使用公民個人信息,進而在信息採集源頭建立“防護欄”。
公開報道顯示,2016年,全國公安機關共偵破網絡侵犯公民個人信息案件數量2100多起,查獲被侵害的公民個人信息500多億條,抓獲犯罪嫌疑人5000多人,其中屬於各行業內部人員的達450多人。
業界人士指出,侵犯公民個人信息犯罪中,直接販賣者只是鏈條的重要一環,卻不是問題的全部,其背後是一些手機應用暗藏風險隱患,一些企業個別“內鬼”興風作浪,一些互聯網公司安全防範不足、信息管理粗放等“業內”問題。
華東地區一家互聯網公司網絡安全負責人宋宏宇説,企業的安全“缺口”是信息安全的重點,過去企業安全意識薄弱,精力更多投到産品上,導致企業安全“生態”不好。明確了企業的責任後,如果企業在安全防範上沒有按照法律規定去做,過去用戶數據洩露就只是發個聲明瞭事的,現在要承擔明確的法律責任。
為切實加大對行業“內鬼”參與公民個人信息洩露案件的懲治力度,《解釋》還明確在認定“情節嚴重”時,對行業“內鬼”洩露信息的數量、數額標準都要減半計算,入罪門檻更加嚴格。
個人信息的系統化保護還待構建
隨著信息化建設的推進,信息資源成為重要的生産要素和社會財富。宋宏宇等人認為,網絡安全法和兩高《解釋》向公眾傳遞一個信號:信息很重要,法律已經開始保護了。
不過,李承蔚也表示,有法可依只是促進個人信息保護的第一步,是否落實到位,還需要相關部門相互聯動,做到有法必依,執法必嚴。
此外,個人信息保護硬體和軟體整體環境的改變也還需要一個連鎖的遞進過程。李承蔚表示,侵犯個人信息已成社會公害,還需市場和社會共治:一方面,提高行業的透明度,防止個人信息被過度採集、不當加工和非法使用,防範對個人隱私和商業秘密的侵害;另一方面,依靠行業的自律,通過建立全面、細緻、先進技術手段的行業標準和企業自律規範,構建一個良性競爭環境,避免劣幣驅逐良幣現象。
宋宏宇等專家強調,信息的安全保障需要合作,法律法規出臺了,隨後的溝通和管理也要跟上,需建立一個更好的協同聯絡平臺,幫助有關部門、企業間協調溝通,避免過去出問題了企業自己閉門造車處理的情況。
還有業內人士指出,發揮個人信息保護立法的基礎性作用,管理部門也要跟上技術發展的腳步,及時出臺標準規範引導企業合法合規的數據需求,既要斬斷非法利益鏈條,也要依託行業發展不斷提升信息數據的保障能力。