圓通“內(nèi)鬼”勾結(jié)不法分子,40萬(wàn)條個(gè)人信息泄露,輿論嘩然的同時(shí),也再次點(diǎn)燃了社會(huì)關(guān)于個(gè)人信息保護(hù)的焦慮。巧合的是,11月19日正是《個(gè)人信息保護(hù)法(草案)》公開(kāi)征求意見(jiàn)截止日期,而這也是首部專(zhuān)門(mén)規(guī)定個(gè)人信息保護(hù)的法律。11月18日,國(guó)家郵政局回應(yīng)稱(chēng),“一直非常重視個(gè)人信息保護(hù),對(duì)于信息泄露等問(wèn)題態(tài)度一直非常明確,一切以此前公布的政策、表態(tài)為準(zhǔn)”。

圓通“內(nèi)鬼”事件并非侵權(quán)孤例。近年來(lái),隨著互聯(lián)網(wǎng)發(fā)展,個(gè)人信息侵權(quán)案屢禁不止。業(yè)內(nèi)指出,身處大數(shù)據(jù)紅利時(shí)代,個(gè)人信息保護(hù)并非無(wú)法可依,但想要真正平衡企業(yè)和個(gè)人權(quán)益的天秤,不僅需要實(shí)操性更強(qiáng)的法律依據(jù),也需要對(duì)“個(gè)人信息”的明確界定和劃分,而企業(yè)端立行整改也不應(yīng)僅是說(shuō)說(shuō)而已。

當(dāng)事人難知情

根據(jù)圓通發(fā)布的信息顯示,今年7月底,公司總部實(shí)時(shí)運(yùn)行的風(fēng)控系統(tǒng)監(jiān)測(cè)到圓通速遞河北省區(qū)下屬加盟網(wǎng)點(diǎn)有兩個(gè)賬號(hào)存在非該網(wǎng)點(diǎn)運(yùn)單信息的異常查詢(xún),判斷為明顯的異常操作。經(jīng)多方調(diào)查發(fā)現(xiàn),疑似有加盟網(wǎng)點(diǎn)個(gè)別員工與外部不法分子勾結(jié),利用員工賬號(hào)和第三方非法工具竊取運(yùn)單信息,導(dǎo)致信息外泄。當(dāng)前,相關(guān)犯罪嫌疑人已于9月落網(wǎng)。

事實(shí)上,圓通此次泄密并非首犯。2013年10月,有媒體曝出近百萬(wàn)條圓通快遞單個(gè)人信息網(wǎng)上可購(gòu),單號(hào)數(shù)據(jù)24小時(shí)滾動(dòng)刷新;2018年7月-2019年5月間,嫌疑人利用爬蟲(chóng)軟件從圓通公司網(wǎng)站非法竊取公司快件信息并獲利100萬(wàn)元。

回顧圓通事件僅是管中窺豹。隨著互聯(lián)網(wǎng)時(shí)代大數(shù)據(jù)普及,近年來(lái)個(gè)人信息侵權(quán)案件也以幾何倍數(shù)增長(zhǎng)。2018年末,北京市朝陽(yáng)區(qū)法院曾披露數(shù)據(jù),據(jù)不完全統(tǒng)計(jì),過(guò)去15年間朝陽(yáng)法院共受理公民個(gè)人信息民事侵權(quán)案件74件,其中近五年即2013-2017年案件總量為38件,占比達(dá)到51.4%。就在10月26日,工業(yè)和信息化部向社會(huì)通報(bào)了131家存在侵害用戶(hù)權(quán)益行為App企業(yè)的名單,部分軟件違規(guī)收集和使用個(gè)人信息。

值得關(guān)注的是,多位律師指出,從當(dāng)前侵權(quán)案例來(lái)看,媒體曝光前,作為信息處理者并未及時(shí)履行信息侵權(quán)后的告知義務(wù),這也為日后埋下隱患。“試想如果圓通事件中未經(jīng)媒體披露,被侵權(quán)者又如何及時(shí)獲悉自己信息被出售或披露?”卓緯律師事務(wù)所合伙人孫志峰表示,智能時(shí)代保護(hù)個(gè)人信息安全最大的難點(diǎn)在于識(shí)別和舉證,企業(yè)具有技術(shù)優(yōu)勢(shì),個(gè)人普遍缺乏相應(yīng)的技術(shù)知識(shí)和識(shí)別能力,使得雙方處于不對(duì)稱(chēng)的情形,個(gè)人舉證和侵權(quán)論證更無(wú)從談起。

然而,不論是2017年落地的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》還是當(dāng)前公開(kāi)征求意見(jiàn)的《個(gè)人信息保護(hù)法(草案)》,均對(duì)個(gè)人信息處理者告知義務(wù)作出明確。其中,《個(gè)人信息保護(hù)法(草案)》第五十五條規(guī)定,個(gè)人信息處理者發(fā)現(xiàn)個(gè)人信息泄露的,應(yīng)當(dāng)立即采取補(bǔ)救措施,并通知履行個(gè)人信息保護(hù)職責(zé)的部門(mén)和個(gè)人。通知內(nèi)容應(yīng)當(dāng)包含泄露原因、可能造成的危害、已采取的補(bǔ)救措施、可采取的減輕危害的措施以及個(gè)人信息處理者的聯(lián)系方式。

“但從實(shí)際義務(wù)履行情況來(lái)看,當(dāng)個(gè)人信息被泄露后,信息處理者一般并不會(huì)第一時(shí)間主動(dòng)通知被侵權(quán)者和相關(guān)部門(mén)并說(shuō)明可能引起的權(quán)益損害;而在不通知的情況下,市場(chǎng)監(jiān)管部門(mén)也不會(huì)進(jìn)行處罰;此外,雖然刑法也規(guī)定,違反國(guó)家有關(guān)規(guī)定,向他人出售或者提供公民個(gè)人信息,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金。但關(guān)于如何界定被侵權(quán)者的損失也是一個(gè)問(wèn)題。”寧人律師事務(wù)所金融與科技委員會(huì)副主任馬軍表示。

提倡“先保護(hù)再利用”

“其實(shí),我們對(duì)于侵犯?jìng)€(gè)人信息的案件并非無(wú)法可依。”孫志峰指出。例如,《民法總則》第111條明確規(guī)定個(gè)人信息受法律保護(hù),任何組織和個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息,不得非法買(mǎi)賣(mài)、提供或公開(kāi)他人的個(gè)人信息;《網(wǎng)絡(luò)安全法》等法律也有保護(hù)個(gè)人信息的專(zhuān)門(mén)條款;《刑法》則將嚴(yán)重侵犯公民個(gè)人信息的行為列為刑事犯罪,予以嚴(yán)懲;而《民法典》更是將個(gè)人信息作為人格權(quán)項(xiàng)下的新型人格利益予以保護(hù)。

在這種情況下,侵權(quán)案件仍屢禁不止,問(wèn)題出在哪里?馬軍分析指出,當(dāng)前國(guó)家對(duì)于個(gè)人信息的立法基調(diào)是“保護(hù)+利用”。“歐盟對(duì)于個(gè)人信息使用的要求是非常嚴(yán)格的,而美國(guó)則相對(duì)靈活寬松,更強(qiáng)調(diào)信息的靈活使用。考慮到需要為立法保留空間,我們想要走第三條道路,既保護(hù)又利用。這就帶來(lái)另一個(gè)問(wèn)題,現(xiàn)行法規(guī)尚不完備,違法成本低但維權(quán)成本高。”

在此基礎(chǔ)上,馬軍道出當(dāng)前個(gè)人信息保護(hù)立法的現(xiàn)狀,行政法規(guī)仍待細(xì)化。“以《個(gè)人信息保護(hù)法(草案)》為例,其更多延續(xù)了《網(wǎng)絡(luò)安全法》內(nèi)容,并未有太大實(shí)質(zhì)性突破,導(dǎo)致現(xiàn)在利用給企業(yè)帶來(lái)了價(jià)值,個(gè)人信息權(quán)利主體卻要自己掏腰包去打官司,賠償還不夠訴訟費(fèi)用,所以利益保護(hù)是失衡的。因此提倡先保護(hù)再利用,而不是出現(xiàn)了問(wèn)題直接定性;同時(shí),需要制度和技術(shù)同時(shí)配備,強(qiáng)調(diào)日常維護(hù)。”

“如果圓通事件發(fā)生在歐洲,按照歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)規(guī)定,涉事公司或面臨上一年度4%營(yíng)業(yè)額的罰款。例如,此前萬(wàn)豪酒店因泄露3億多客人信息,被英國(guó)ICO處以1840萬(wàn)英鎊(約合人民幣1.6億元)罰款。我國(guó)《個(gè)人信息保護(hù)法(草案)》也提到了對(duì)類(lèi)似事件罰款可以高達(dá)5%。這也再次證明我國(guó)目前急需出臺(tái)《個(gè)人信息保護(hù)法》。”北京斐石律師事務(wù)所管理合伙人周照峰說(shuō)。

“個(gè)人信息”范圍仍待細(xì)分

11月19日是《個(gè)人信息保護(hù)法(草案)》的公開(kāi)征求意見(jiàn)截止日期,作為首部專(zhuān)門(mén)規(guī)定個(gè)人信息保護(hù)的法律,其在正式出臺(tái)后,將成為個(gè)人信息保護(hù)領(lǐng)域的“基本法”。馬軍指出,《個(gè)人信息保護(hù)法(草案)》需“粗細(xì)結(jié)合”,對(duì)于實(shí)踐中正在探索的條款可以原則一些,而對(duì)于實(shí)踐中圓通這種錯(cuò)誤,立法層面則需更加全面且具有實(shí)操性。

然而,在立法層面外,在執(zhí)法過(guò)程中,對(duì)于“個(gè)人信息”的界定也備受關(guān)注。據(jù)前述朝陽(yáng)區(qū)法院統(tǒng)計(jì),截至2018年末,在其審理的個(gè)人信息侵權(quán)案中,手機(jī)號(hào)、家庭住址是侵權(quán)重點(diǎn)。從訴求中涉及的信息內(nèi)容看,原告訴求涉及同時(shí)侵害多個(gè)信息的情況較為普遍。

這意味著,在一個(gè)案件中原告主張同時(shí)侵害了姓名、身份證號(hào)、病歷信息、工作單位及履歷等多重信息。其中,原告訴求主張涉及侵害三種及以上信息的案件數(shù)量共計(jì)45件,約占此類(lèi)案件總數(shù)量的60.8%。

“如何定義個(gè)人信息并作出分類(lèi)”也是《個(gè)人信息保護(hù)法(草案)》公開(kāi)征集意見(jiàn)后的一大關(guān)注重點(diǎn)。北京德和衡(上海)律師事務(wù)所高級(jí)聯(lián)席合伙人陳國(guó)彧及執(zhí)業(yè)律師范思佳指出,按照《個(gè)人信息保護(hù)法(草案)》第四條的規(guī)定,“個(gè)人信息是以電子或者其他方式記錄的已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息,不包括匿名化處理后的信息”?!秱€(gè)人信息保護(hù)法(草案)》中對(duì)于個(gè)人信息定義的內(nèi)涵雖明確,但對(duì)于“已識(shí)別”或者“可識(shí)別”的外延規(guī)定則相對(duì)模糊。

前述機(jī)構(gòu)認(rèn)為,個(gè)人信息作為一個(gè)相對(duì)抽象的概念,立法者有必要列舉個(gè)人信息的種類(lèi)、類(lèi)型以及表現(xiàn)形式,進(jìn)而進(jìn)一步界定和確定個(gè)人信息的具體范圍。僅從信息可能存在的路徑,即收集、儲(chǔ)存、使用、加工、傳輸、提供、公開(kāi)等活動(dòng),來(lái)確定個(gè)人信息的范圍過(guò)于寬泛,希望在正式發(fā)布的條文中有更詳細(xì)的規(guī)定。

標(biāo)簽: 個(gè)人信息保護(hù)