|
2月1日,求职者在上海一家职介所内登记个人信息。 (新华社发)
|
|
封面上印有“全国老板手机号码”的光盘在网络上公开叫卖(4月18日摄)。(新华社发) |
|
核心提示
近日,国内首个保护个人信息的国家标准编制完成,出台在即,引发社会关注。
因为某次消费、就医、看房、报名,你的个人信息就可能“不胫而走”,导致你广告短信、诈骗电话不断,甚至电脑被传染病毒、网上账号被盗取。在网络时代,究竟该如何扎紧个人信息监管“法网”?
1 揭开个人信息泄露“利益链”
记者15日加入一个名为“信息通道9”的QQ群发现,一名自称有“最新最全数据”的网客,每隔半小时在群里发布一次卖信息的广告,内容显示他的数据能细分到街道,并有全国最新注册企业老板和车主信息。
一些不法分子盯上这些个人信息,借之进行违法犯罪活动。2011年8月以来,福建一个诈骗团伙通过网络等渠道购买学生、家长、车主等个人信息资料,以“9年义务教育可退费”、“上大学可获补助”、“购车可退税”等为诱饵,实施诈骗犯罪数千起,被骗者上万人,分布全国20多个省份,涉案金额2300多万元。
泉州市惠安县公安局刑侦大队民警王慧说,诈骗分子能够屡屡得手,很大程度上是因为掌握了大量个人真实信息,有针对性地设计骗局。
这一团伙成员刘才丁表示,大部分信息他们在网上购买,“我们3个月购买了3万多条信息”。这种网上购得的信息价格会因为身份不同而各异:学生信息一般是每条1元至1.5元,包括姓名、电话号码、家庭住址、就读学校等;车主信息每条6.5元至7元,包括姓名、身份证号码、购车时间、车型、车牌号等。
在上海警方近期披露的一个案例中,广东某公司承接快递公司的客户数据录入工作,结果该公司员工王某利用工作之便窃取了800余条“货到付款”的快递信息,以每条20元的价格出售给朱某,朱某再将这些信息提供给诈骗团伙头目车某,诈骗成功后获得30%的赃款。
记者追踪发现,目前网络个人信息泄露主要存在三种情形:一是黑客攻击网站盗取用户个人信息;二是互联网企业在用户信息数据安全方面意识淡薄,甚至利用用户信息牟取商业利益;三是用户个人保密意识不强,导致信息遭泄露。
2 上百个规章为何“管不住”个人信息
工业和信息化部信息安全协调司副司长欧阳武介绍说,国务院相关部门2003年开始对个人信息保护立法的研究、制定工作。我国个人信息保护的制度建设已走过近10年历程,目前已有200多个规章、法规和法律涉及个人信息保护。
“应当说,这些法规发挥了一定作用。”上海泛洋律师事务所高级合伙人刘春泉说,但由于大多数法规都是孤立、零散的,多数规定散见于各种行政法规、部门规章和司法解释中,保护个人信息的效果并不明显。
中国电子商务协会政策法律委员会主任杨坚争表示,目前的个人信息保护法规对于个人信息、个人隐私权等概念还缺乏明确定义,也对使用、处理、保存个人信息的行为缺乏法律规定。
取证难、维权成本高也导致个人信息频频泄露。王慧说,一方面,在新媒体、新技术条件下,信息泄露渠道越来越多,很难求证谁泄露了市民的身份信息;另一方面,贩卖信息大都通过互联网进行,账户也是用他人身份开设,查处贩卖个人信息行为难度较大。
记者调查发现,在个人信息侵权案件中,受害者常常无可奈何。由于维权成本高等原因,大多数受害者只是抱怨,鲜有采取维权行动者。
3 如何斩断觊觎个人信息的“黑手”
作为我国首个保护个人信息的国家标准,《信息安全技术、公共及商用服务信息系统个人信息保护指南》将个人信息分为个人一般信息和个人敏感信息,并提出了默许同意和明示同意的概念,阐明了对两种个人信息的使用要求。
“这是一个进步,对于个人信息保护将起到很好的指导作用。”中国政法大学法学院副院长何兵说,但不可否认,这个国家标准还不具有强制性,如果网站、商家违反标准,仍难以处罚。
何兵认为,在此基础上,“应出台一些强制性法规和相应处罚条款,加强对掌握网民个人信息的商业机构或者网站的约束,不然这些网站和商家还会肆无忌惮地泄露用户信息”。
“应该改变个人信息保护的赔偿制度,加大对民事索赔的立法支持。”刘春泉说,如果允许民事诉讼索赔令其倾家荡产,将有效倒逼企业自律。
“通过舆论层面‘唤醒’个人维权意识,也十分重要。”北京天元律师事务所上海分所律师方有明说,“应采取措施降低公众个人信息保护成本,遇到个人信息被非法使用时,公众要敢于并善于通过各种途径维权。”
相关链接
“最少够用原则”
《信息安全技术、公共及商用服务信息系统个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则。
据指南起草人、中国软件测评中心副主任高炽扬介绍,指南一项关键原则就是“最少信息收集”或“最少够用原则”,即获取一个人的信息时,只要能满足使用目的就行。例如在论坛注册,如果只看帖、发帖,就不需要留下家庭住址和手机号码,降低用户信息泄露的风险。
“安全保障”则是要求个人信息管理者一旦收集了个人信息,就必须建立一套个人信息保护制度,明确责任人和内部管理流程以及应对个人信息泄露的风险。据称,个人信息泄露中70%至80%属内部作案,这是“安全保障”原则没能落实好所致。
依照指南,在收集个人信息阶段告知的“使用目的”达到后应立即删除个人信息。不过,目前普遍的状况是,信息一旦被采集,即被采集者保存至数据库,极少有“用后即删”的。