“大数据时代,公民个人信息泄露的节点增加,需要一部专门的法律规定各个节点公民个人信息保护的义务。在这方面,目前的立法是缺位的,我们有很多个人信息保护的规定散见在各种制度中,却不成体系。”3月1日,施杰告诉记者。
半数以上电信诈骗涉及个人信息泄漏
2月27日,新华经参研究院和360互联网安全中心发布《关键企业保障网络安全的形势与挑战》报告。报告显示,有半数以上的电信网络诈骗案件与个人信息泄漏有关。
另据360补天平台的统计数据显示,仅在该平台2015年收录的漏洞中,就有1400余个漏洞可造成个人信息泄漏,可泄漏信息规模达55.3亿条。
中国互联网协会发布的《中国网民权益保护调查报告2016》也显示,网民在网购过程中,遭遇“个人信息泄漏”的占51%,84%因信息泄漏受到骚扰、金钱损失等不良影响,一年因个人信息泄漏等遭受的经济损失高达915亿元。
腾讯安全管理部总经理朱劲松介绍,公民个人隐私信息的案件高发,为产业链下游的犯罪提供了便利。他们经黑产渠道拿到各种各样的库,通过做一些清洗和关联,能够对具体的受害人进行精准的画像,然后再为你量身定做一份诈骗的剧本,成功率非常高。
在今年初举行的中央政法工作会议上,中央政治局委员、中央政法委书记孟建柱要求,针对窃取泄露买卖公民个人信息新动向,要深化专项行动,重点打击灰色产业群,强化重点行业信息安全防护措施。
相关法律未成体系
江苏省高级法院近日一份调研报告显示,近3年来,涉及个人信息安全进入诉讼程序的案件有近80件,其中2013年5件、2014年41件、2015年23件。然而,这些案件以刑事案件居多,民事案件在个人信息保护中仅仅以隐私权的角度加以保护,无法应对互联网金融个人信息保护的复杂性。
事实上,刑事打击也存在漏洞。九三学社成员、国家发改委气候中心综合部副主任邹晶说,《刑法》规定了“向他人出售公民个人信息”的,轻则处以三年以下有期徒刑,重则处以三年以上、七年以下有期徒刑,并处罚金,但并未规定罚金的数量。
目前,对个人信息保护作出规定的法律较多但分散,包括《全国人大常委会关于加强网络信息保护的决定》《刑法》《居民身份证法》《消费者权益保护法》和《网络安全法》等,正在制定中的《电子商务法》《民法总则》也重点强调了公民个人信息保护。
邹晶介绍,《消费者权益保护法》规定“消费者享有个人信息依法得到保护的权利”,但没有详细定义和规定。《邮政法》中虽然有明确规定,泄露用户信息会被处以1万元以上5万元以下的罚款,但这项条例也几乎从未被真正执行过。
个人信息分类保护
如何在未来的个人信息保护法中界定个人信息的范围至关重要。施杰认为,在大数据时代,在一些普通信息的基础上就能分析出事关个人隐私、信息安全的“敏感信息”,进而侵害当事人的合法权益。
“个人信息权应被个人数据权取代。个人数据的范围大于个人信息,比如利用cookies收集的网络用户的行为轨迹、浏览记录、打字频率信息等大数据,通过直接间接手段做到可识别化后,就成了个人信息。”中国政法大学传播法研究中心副主任朱巍告诉记者。
施杰认为,需要法律对个人信息进行分类,然后根据类别的不同规定不同的保护力度。
“有些公民个人信息直接关乎公民个人的人格尊严,个人隐私等核心利益,需要法律重点保护。但有的公民个人信息并不直接关系公民的切身利益,但经过数字化分析也能构成对公民的侵权,这类型的公民个人信息需要保护的程度无需如‘个人敏感隐私信息’那么强,一般保护即可。”他说。
法律还被认为应加强各方义务。邹晶介绍,在这方面,国外的案例值得借鉴,例如欧盟在2015年底通过了一项新法案,规定违反“个人信息保护法案”的企业,最高可罚企业全年营业额的4%。