聚焦网络个人信息泄露:经营者责无旁贷 消费者不可任性

18.03.2015  12:30

  【原标题:个人信息保护 我们还缺什么】

      3月13日早7点,北京某杂志社编辑叶女士出门上班。等电梯时,她在手机上点下“滴滴打车”软件的图标,之后,在小区门口的超市挑了一款面包,她把手机交给收银员用微信进行支付。走出超市,她预定的出租车正好到达。20分钟后,用微信支付过车费,她像往常一样推开单位对面那家麦当劳的门——要一杯奶茶,找一个临窗的座位坐下,掏出手机,WIFI信号自动连接。

  8点,叶女士坐在办公桌前,打开电脑,她发现网页的右下角,居然跳出前一天自己在网上搜索的马桶水箱密封盖图片的窗口,而且网站同时提供了几种样式可对比。这一天,叶女士的手机收到5个呼入电话——你的房子要不要出售,有一份不错的理财要不要考虑,全英文精品班招生……“现在手机铃响,不是广告就是推销,我很少用手机打电话,家人、朋友甚至包括领导、同事,真有事时都用微信沟通。”叶女士一脸无奈。

  就在当天,在中国消费者协会举办的消费者个人信息与消费者维权的座谈会上,360网络安全专家赵武指出,在互联网高速发展的时代,大数据的综合和运用为人们工作和生活带来便捷的同时,管理和技术方面的原因所导致的个人信息泄漏,也影响到个人的生活,社会的稳定,应引起高度重视。

   个人信息网络安全面临两大风险

  去年3月18日,《新华日报》报道了南京的朱女士状告百度“精准营销”侵犯个人隐私权事件。朱女士平时喜欢上网,经常通过搜索引擎查询一些感兴趣的话题。有一段时间,她在用某搜索引擎搜索“丰胸”“人工流产”等关键词并浏览相关内容后,再登录其他网站时就会出现这类广告,这让她意识到隐私被泄露和侵犯。她向法院起诉,要求某公司立即停止侵权并赔偿精神抚慰金1万元。

  随着互联网的普及以及网络应用特别是网络交易的快速发展,消费者的个人信息也在以各种各样的形式在互联网上被采集、存储和传输。互联网在为消费者提供各种便利的同时,也为个人信息的泄漏提供了更快的传播方式和更多可能的传播途径。3月13日,中国消费者协会公布的《2014年度消费者个人信息网络安全状况报告》显示,利用网络“窃取”“非法使用”消费者个人信息的黑色产业链呈现出低成本、高技术、高回报的爆发性增长态势,并且已经从半公开化的纯攻击模式转化为敛财工具和商业竞争手段,集团化、产业化趋向明显。消费者因个人信息泄漏导致的经济损失数目惊人。

  让我们回顾一下2014年发生的重大网络安全事件:12306铁路客户服务中心网站被黑客“撞库”,13万条个人信息被泄露;支付宝前员工被曝贩卖20G用户资料;携程网出现安全漏洞,导致大量用户银行卡信息泄露;130万考研考生报名信息泄漏,数据被多次转卖……据调查,约三分之二的受访者在过去的一年内个人信息曾被泄露或窃取。

  报告显示,当前消费者个人信息在网络安全方面面临两大风险点:

  第一风险点是网络服务商通过技术手段对消费者个人信息进行主动获取与海量存储。通过用户的主动提交、云服务的获取、网络服务商对用户行为的跟踪记录、手机应用软件等获取消费者的个人信息,或通过其他形式在消费者不知情的情况下获取消费者个人信息。这些信息因互联网服务商的不当管理,给消费者带来风险或造成损失;

  第二类风险点在于不法分子通过多种方式对消费者个人信息的获取与非法应用。主要表现为:商家盗卖,一些掌握大量消费者个人信息的商业机构,因管理不善,导致内部员工盗卖消费者个人信息事件频发;网站数据窃取,一些存在高危漏洞的网站成了数据泄密的主要原因;木马钓鱼盗号,常常伪装成流行的应用软件或钓鱼网站套取消费者个人信息;二手手机泄密,通过恶意恢复消费者的二手手机数据,掌握大量消费者的个人信息;新型黑客技术窃取,利用伪基站以任意号码向消费者发送诈骗信息。

  筑牢“防火墙” 经营者责无旁贷

  消费者的个人信息被泄露,在大多数情况下,与互联网相关的服务企业都难脱干系。

  据业内人士透露,在一些行业里,消费者的个人信息常被当作个人谋取新职务或跳槽的见面礼。例如,保险行业的基层业务人员,他们掌握着大量客户的个人信息,包括健康信息、经济信息,个人账号,他们频繁跳槽,客户的信息就被一次次泄露。此外,房屋中介人员、教育机构的工作人员跳槽,也会导致个人信息泄露。

  然而,与一个企业甚至一个行业的失范相比,个别员工的违规行为只能算作“小巫见大巫”。在今年央视3·15消费者维权晚会上,央视调查记者曝出,令人不堪其扰的骚扰电话,其幕后推手竟是电信运营商。这些电话,一天来电好几次甚至十几次,有时还冒充警方、银行等进行诈骗。据记者调查,骚扰电话之所以能大行其道,正是因为中国移动、中国铁通等电信运营商在为他们提供运营通道。

  原本应该起到“防火墙”作用的服务商,却沦为不法分子违法犯罪的帮凶。这样的内幕令人震惊。“企业保护消费者个人信息的安全,既是法定义务,也是合同义务。如果企业失去了老百姓的信任,如果掌握海量消费者个人信息的企业不能保护消费者的信息安全,是一定会被消费者抛弃的。”中国工商银行消保办主任董建军介绍,多年来,工商银行从机制、技术和人员管控等多方面为保护消费者个人信息作出努力,目的就是确保客户信息不被泄露。

  京东集团客户规划部的负责人李洪俊告诉记者,京东有一套完整的信息安全制度,用户的所有信息是分级的:姓名、电话和身份证号码,毋庸置疑是最敏感的核心数据,而其他数据会按重要程度逐级递减。在内部操作过程中,每一个层级的员工所能够接触到的信息的级别是不同的,只有部分人在通过相关的审批之后才能够拿核心数据去做应用,在信息系统上对数据的每一个操作都有迹可查。如果接到用户疑似受到诈骗的投诉,或用户反馈某些钓鱼网站,都会有专门的渠道将这些信息反馈给像360这样的专业网站。

  “我做网络反诈骗研究两年多了,每年都会受理3万多起用户投诉。有时候,当我们发现一些企业信息管理有漏洞时,多次找他们,但不知道为什么,有些企业就是不处理。我个人觉得,相对于经营者花大精力与技术力量对网络用户终端设备进行个人信息收集而言,他们在针对已掌握的消费者个人信息保护方面的投入明显不够。”360安全网络专家裴智勇说。

  2013年2月,我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》实施,标志着我国告别了针对个人信息处理行为“无标可依”的历史。“标准发布后,我们也进行了一些宣传活动。我个人也接到了一些企业或机构的电话咨询,但让我很有感触的是,头三个电话全部是外企打过来的,他们对这个标准研究得非常细,而且反应非常迅速。之后也有国内企业来电咨询,但还是感觉咱们国家的国家标准反倒是外企更加关注。”国家标准委工业二部刘大山处长说。

  消费者不可太任性

  《2014年度消费者个人信息网络安全状况报告》中关于消费者个人信息自我保护意识的调查显示,54%的受访者认为自己个人信息保护意识一般。具体表现为,在上网过程中,很多受访者都采取了个人信息保护措施,如安装安全软件,定期更新杀毒软件,不随便点击可疑链接,不轻易登记身份信息等,但采取“不同用途的账号设置不同的密码”、不轻易在公共场所连接WIFI、不随便在移动设备充电站充电”等保护措施的受访者相对较少。

  360的安全专家提醒广大消费者,为保证个人信息安全,在公共场所尽量不要使用那些不需要密码的免费WIFI,尽可能使用商家提供的带有密码的WIFI网络。另外,在用手机进行支付或者发送邮件时最好关闭手机WIFI功能,使用手机的移动数据流量进行操作。“如果你连接的WIFI是黑客架设的,你的账号密码会被窃取,如果你的手机存在安全漏洞,黑客可以直接入侵你的手机,把你的账号和信息全部窃取走。

  针对现在不少人热衷的海外代购,有关专家也提醒,对相关网址,一定要上网查询它是否在国内备案。此外,不要轻易把身份证扫描件给他人,扫描件一旦给了别人,意味着有可能你的一生别人都会拿着你的扫描件去进行非法操作。

  如今,外出就餐刷卡结账已成为很多人的一种习惯。“一些消费者付账时,经常会把卡直接给服务员去刷,这种任性行为,很可能会带来大麻烦。如果别人拿去复制一张,你的钱就会出问题了。所以刷卡时一定要记住卡不离身,消费不离视线。”中国银行业协会行业服务总监周永光说。

  “在今天这个时代背景下,消费者的权利保护意识亟待加强。在日常生活中,无论是你的消费行为还是其他日常生活行为,都会留下一些痕迹,而这些痕迹在不经意间有可能就被他人恶意获取。比如,在一些大大小小的会议上,都会印发参会人员的通讯录。我多次发现,有些与会者离开的时候,认为那些会议资料没用了,就把它们丢在宾馆或会议室,一些重要信息就在不经意间流露出去。”北京市消费者协会副秘书长屈建辉说。

  调查数据显示,绝大多数消费者对信息保护的法律法规了解较少或不了解。已实施的新消法在个人信息保护方面作出明确规定,经营者未经消费者同意或请求或消费者明确表示拒绝的,不得向其发送商业信息。而调查显示,46.64%的受访者在明确表示拒绝后,依然收到服务商发送的商业性信息。当受访者的个人信息被侵害后,超过38%的人表示习以为常,选择保持沉默。

  用好已有法律 为立法积累经验

  “现在消费者个人信息受侵犯已成为社会公害,个人信息一旦提供出去,好像没有任何力量去保护已经提供的或被泄露的信息,那么,是不是只能任人宰割呢?”据中国政法大学教授吴景明介绍,虽然我国到目前为止还没有专门的个人信息保护法,但在立法层面上对个人信息的保护并非空白——

  2012年12月,《全国人大常委会关于加强网络信息保护的决定》出台,首次明确规定对网络领域的公民个人信息安全进行保护;

  2014年3月15日开始实施的《中华人民共和国消费者权益保护法》第29条规定:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。

  2009年刑法修正案(七)增加了“非法提供公民个人信息罪”和“非法获取公民个人信息罪”,即:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”这一规定是我国首次从刑法高度对公民的个人信息予以保护,也弥补了刑法在打击侵害个人信息犯罪方面的空白,但该条文只对严重侵害公民个人信息的行为予以制裁,无法调整未达到情节严重标准的其他侵害行为。值得注意的是,司法实践表明,侵犯公民个人信息的主体范围已经不局限于国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,还包括其他主体,如实施侵犯公民个人信息的房产中介及互联网从业人员。

  侵权责任法第36条规定,“网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。

  “加强个人信息保护,从立法上来讲,确实有必要研究是否要制定个人信息保护法。近几年来,每年都有人大代表包括政协委员对此提出立法建议,但到目前为止,这件事还没有正式列入全国人大常委会的立法规划。法律的生命力在于实施,当务之急是把已有的法律实施好,为未来的立法积攒更多的实践经验。目前有几个重要的问题需要厘清:一是要明确提出哪些信息应该纳入法律的保护范围;二是各部门的职责分工应如何界定;三是要处理好信息共享和信息保护之间的关系,现在各部门之间加强信息共享的工作在不断推进,但在未来的共享过程中会不会给信息保护带来新的问题,都需要在实践中探索。

  中国人民大学周汉华教授十几年来致力个人信息保护法的推进,他认为,个人信息保护法立法面临的最大困难是:如何平衡个人信息的保护和网络时代个人信息有效利用之间的关系,对此需要加以研究。

白河:通过“省AAA级档案室”认证
近日,安康市档案局局长魏顺奇等一行8人,检察
紫阳:“三个强化”夯实工作责任
近日,紫阳县人民检察院召开党组会议,检察
老龄事业发展难题待解:用法治思维成共识
    2016年元旦前夕,全国人大常委会听取并审检察
产妇北医三院亡 家属否认医闹和“千万索赔”
    一名产妇在北医三院抢救无效不幸离世的消息引检察