📖 ZKIZ Archives

立法要跟上：如何保護消費者個人信息和隱私

以8個比特幣（約人民幣37萬元）標價，就可以輕松獲得1.3億條酒店入住登記身份信息，和2.4億條酒店開房記錄。

這是8月28日爆出的華住集團旗下所有酒店用戶數據被泄露的情況。截至目前，華住集團官方回應，已啟動內部自查並報警。同時，上海警方已介入調查，表示將始終嚴厲打擊非法獲取、買賣、交換、提供公民個人信息等違法犯罪行為。

而這已是華住集團第二次被卷入信息泄露事件。國內安全漏洞監測平臺烏雲（WooYun.org）早在2013年就發布報告稱，如家、漢庭等大批酒店的開房記錄被第三方存儲，並且因為漏洞而泄露。面向大眾市場的漢庭即為華住酒店集團旗下酒店。

面對個人信息泄露，中國電子商務協會政策法律委員會副主任、上海段和段律師事務所合夥人劉春泉表示，目前曝光的因信息泄露而造成的重大刑事案例，都不是個人泄露的。從國家立法角度來說，約束企業的思路是對的。

8月29日，中國消費者協會公布的《App個人信息泄露情況調查報告》（下稱《報告》）建議，如何保護消費者個人信息和隱私，尊重消費者的價值和意願，讓消費者個人信息和隱私數據不再“裸奔”，並受到合理的尊重和保護，離不開社會各界的廣泛參與和共同治理。

圖片來源：《App個人信息泄露情況調查報告》

個人信息采集及泄露呈普遍趨勢

當下，消費者在享受移動互聯網快速發展帶來的各種利好時，個人隱私信息泄露、盜用、販賣事件時有發生，騷擾、詐騙電話和郵件時有發生。

前述《報告》稱，根據5000多份有效問卷調查結果，個人信息泄露情況相當嚴重，信息泄露途徑和表現形式多樣。個人信息泄露總體情況比較嚴重，遇到過個人信息泄露情況的人數占比為85.2%。

由於個人信息的大範圍泄露，電信詐騙屢見不鮮。劉春泉表示，電信詐騙之所以屢屢得逞，是因為個人信息“裸奔”泛濫，騙子能報出準確的個人信息，導致迷惑性強，稍有不慎就容易上當。

不過，個人信息大範圍泄露與網絡實名制有很大關系。由於對個人信息的重要性認識不到位和缺乏個人信息保護的專業技能，普遍都沒有得到很好的技術和法律保護。

此外，手機App過度采集個人信息呈現普遍趨勢。《報告》稱，手機App需要獲取的權限種類繁多，最突出的是獲取位置信息和訪問聯系人權限；而且存在App自身功能使用非必要的情況下獲取用戶隱私權限，增加了個人信息泄露的風險；多數受訪者認為手機App采集個人信息的原因是為了推銷廣告。

值得關註的是，信息泄露也呈現增長趨勢。數據顯示，2016年全年泄露或被盜的數據量大約是19億條。而2017年，雅虎在提交給美國金融監管機構的文件中，承認30億賬戶全部泄露。一家的泄露數據量，相當於2016年全年的1.5倍。

中國電子商務研究中心特約研究員、地歌網CEO余德接受第一財經記者采訪時表示，信息泄露的實施主體有個體也有組織。獲取的方式也可分為兩類，一類是通過職務行為非法獲取，以及非法購買、收受、交換等方式獲取，另一類是技術泄露，如漏洞、木馬、拖庫（黑客術語，意即將數據庫里所有數據全部盜走）等。

對於此次華住集團的信息泄露，也有業內人士分析，主要是有“內鬼”主動泄露相關信息。

此外，消費者個人信息泄露後的應對措施不足。調查數據顯示，在個人信息泄露情況發生後，消費者最擔心被利用從事詐騙竊取活動或交給第三方。然而，最終有大約三分之一的受訪者選擇“自認倒黴”，消費者的主動維權意識還有待加強。

余德表示，從公民個人信息的侵犯維度來看，在互聯網發展的歷史上，個人信息泄露的事件一直都有。如果是離職員工泄露數據或在職員工內外合作非法“盜取”的情況，酒店需要為內部管理存在漏洞而承擔相應責任。如果是黑客“拖庫”入侵，要是企業沒有給予與其規模相匹配的技術保護，則也需要承擔相應責任，像華住這樣擁有龐大體量個人信息的集團企業，應該配備高級別的安全防護等級。否則，企業也是受害方。

圖片來源：《App個人信息泄露情況調查報告》

提高立法司法機關的認識

個人信息保護立法事關每個公民利益，也是大家切身感受到的各種信息騷擾、電信詐騙背後涉及的法律問題。

個人信息保護法的研究已經持續多年，雖然目前還沒有列入人大的立項規劃，但學術界認為繼網絡安全法和電子商務法之後，個人信息保護法是下一個網絡信息領域必須重點研究的立法課題。

2012年底，全國人大常委會也發布了加強網絡信息保護的決定，正式推行網絡實名制，同時從立法層面明確了個人信息保護的法律要求。2017年6月1日，《網絡安全法》正式施行。

日前，民法典各分編草案初次提請十三屆全國人大常委會第五次會議審議。針對隱私權和個人信息保護領域存在的突出問題，人格權編草案在現行法律規定基礎上進一步強化對隱私權和個人信息的保護，並為即將制定的個人信息保護法留下銜接空間。

中國法學會民法學研究會副秘書長孟強表示：“草案首次對隱私權作出了明確的界定，用單獨一章對保護隱私權和個人信息進行了詳細的規定，有效回應了現實需求。”

劉春泉日前撰文稱，縱觀各國個人信息保護的立法模式，個人信息單行法立法保護是比較普遍采用的做法。雖然徐玉玉案件極大提高了個人信息保護必要性的認知程度，但全社會尤其是立法司法機關對於個人信息的價值和保護的必要性的認識現狀還太低。很多人還是無法把個人信息保護與電信詐騙等個人信息濫用的惡劣後果聯系起來。

劉春泉表示，“這一次，華住集團信息泄露，有可能你我的信息都在其中，但是我們很難證明，有哪些損害後果。”

“按照一般的侵權行為，法律上有4個要點，侵權行為、損害後果、因果關系、當事人過錯。要證明是被告把你的信息泄露了，而信息泄露這個鏈條其實是很長的，一般原告當事人是很難證明的，這是一個很重要的原因。”劉春泉說。

劉春泉認為，華住集團等企業之所以不夠重視個人信息安全，在於法律對他們沒有威懾。不過，現在法律環境也變了，《網絡安全法》也已經實施。要是再打官司的話，有可能也會發生變化。

他認為，對於這個案件，有可能觸發主管部門對其進行立案調查。除了刑事案件以外，還會調查華住集團有無履行《網絡安全法》的義務。如果履行了可以減輕責任，現在信息泄露，肯定也是有合規工作沒做到位的地方。因為保護信息安全是企業的法定義務，沒有保護好，導致泄露涉嫌違法。

中國消費者協會也建議，從健全相關法律法規方面，進一步明確網絡信息服務中交易雙方的權利義務，特別是對App服務提供商的義務與責任約束，做好個人信息和數據應用中相關風險和問題的應對與研判，讓網絡時代的數據產業在法治範圍內發展。

此外，手機App的監管和個人信息的保護，需要工信、市場監管、公安、文化、網安等有關部門協同共治、動態監管。在嚴格準入門檻和登記備案的同時，要嚴厲懲處各類違法違規行為，嚴厲打擊個人信息販賣的黑色產業鏈，對於侵犯消費者個人隱私信息的行為，形成常態化監管機制。

個人信息立法的借鑒經驗

當前，中國個人信息保護的司法案例，主要由一些法律專業人員，例如律師、消費者保護機構等在推動。

劉春泉稱，由於我國目前個人信息維權民事案件本來就少，除了江蘇消保委起訴百度撤訴外個人還基本都敗訴，因而企業沒有盡到合理謹慎的信息安全保障義務甚至是赤裸裸侵權行為，本來就舉證困難，現在則基本就是零風險狀態。

目前，我國個人信息保護在行政執法領域，主要是《消費者權益保護法》、《網絡安全法》。《網絡安全法》的執法力度相對較大，根據公布的案例，騰訊微信、新浪微博、百度貼吧涉嫌違反《網絡安全法》被立案調查，BOSS直聘被網信辦責令整改，這算目前的重大執法案件。

與此形成鮮明對比的是，雖然歐美也不乏個人信息泄露事件，但歐美企業普遍比較重視網絡隱私或個人信息保護，並非自覺，而是迫於實實在在的法律風險。

例如，2012年谷歌因為瀏覽器safari設置問題，曾被美國聯邦通信委員會（FCC）罰款2250萬美元；2014年9月Verizon公司因為沒有給200萬電話用戶提供Optout(退出)選擇，被FCC查處，結果以740萬美元和解結束對其涉嫌侵犯隱私的調查等。

劉春泉稱，中國在立法時，應該較多參考研究其他域外立法，包括印度、新加坡、日本，其個人信息保護水平也不低於我國。

他認為，從中國反壟斷法的執法來看，個人信息保護執法不排除學習歐盟的可能性。結合歐盟對谷歌等企業反壟斷等多次巨額罰款，這一行政執法措施監管確實震懾力巨大，可以通過巨額罰款的行政責任引導企業合規。在目前，司法訴訟仍不失為中國個人信息保護立法值得考慮的主要保護途徑。從科學合理與漸進進程角度來說，通過民事訴訟責任引導企業合規，似乎更加科學合理。

責編：黃賓