大数据时代个人信息谁来保护?
“我叫×××,我是第×××位为灾区祈福的人”——最近,你的微信朋友圈有被这条信息“刷屏”吗?
云南鲁甸地震发生后,这条信息迅速在微信朋友圈中多次转发,短短几天数以千万计。然而随后情况急转直下:包括一些地区政府部门在内的机构和个人纷纷辟谣,称当接收者转发该信息,输入个人情况后,就会被网络以抓取数据包的形式套取身份、手机、微信和居住位置等个人信息。
可随后这一“辟谣”消息再次“被辟谣”,腾讯及部分专业人士称,该链接和页面并不存在恶意收集用户信息的行为,仅凭这样一个网页也无法获取那么多个人信息。但因该链接诱导用户分享,微信已对其作出相关处理。
“辟谣”与“被辟谣”之间,足见人们对个人信息流失的恐慌。然而一些信息技术人员表示,在人们生活离不开手机、网络的今天,个人信息早已暴露在光天化日之下:“大数据[注]时代,人人都在‘裸奔’。”
我们的个人信息究竟去了哪儿?既然大数据时代个人信息无法避免被他人获悉,那个人信息的法律保护,就亟待提上日程。
信息泄露,公司机构是“大头”
拿到快递后,你怎么处理签过名的快递单?
不少人会说,撕掉单据,尤其是让姓名、住址、个人电话等信息无法被重新拼出。
虽然这一举动不失为对个人信息的自我保护,但一些业内人士表示,通常个人信息早已在此之前就已经泄露。
今年5月29日,一家快递公司来到青浦公安分局徐泾派出所报案,称该公司大量快递面单信息数据泄露,并被人在一个叫“发单啦”的网站上出售。经过侦查,青浦公安分局于7月4日破获该案,赴河南等地抓获犯罪嫌疑人周某等四人。
“发单啦”是网购行业一个较有知名度的网站,专门出售真实的快递单据信息。因网购信用评价生效必须要有真实有效的快递单号,不少为“刷钻”提高信用等级的网上卖家会来此购买快递单据信息。截至案发,涉案金额高达500余万元。
高达500余万元的快递单据交易信息,显然不是一张一张收集或小批量从快递员处购得。据犯罪嫌疑人交代,他们从2013年8月起,就通过直接入侵快递公司电脑系统的方式大批量获取数据。
就在“发单啦”网站被关闭后,记者仍在多个网站、论坛、QQ群里看到有人兜售当天的快递单据信息。一些业内人士称,快递企业网站因漏洞遭黑客入侵的情况绝非个案,系统安全门槛不高。
记者走访发现,各家快递公司和网点对信息安全的管理方式宽严不同。日前记者走访浦东新区云台路上一家快递网点,电脑由专人使用,查询单号等须输入个人编码等信息。但在新浦路上一家快递公司网点,记者随意叫了一名快递员便打开系统。
不光是快递公司,近年来,酒店业、电商网站、网络论坛都相继爆发过大规模的个人信息泄露事件。
“大规模的个人信息事件不可能是一个人一个人去查,肯定是通过公司、机构直接弄来的。”案发后,一些嫌疑人坦陈不少市民个人信息自我保护之举近乎徒劳。
建议:变事后报案为事前监管
目前对于个人信息的保护,散见于多部法规和部门规章之中,虽然明确了相关单位和机构的义务,但对于这些企业、单位在个人信息安全保护方面所建立的制度、执行的情况,仍缺少事前监管。
国家邮政局最新颁布的《寄递服务用户个人信息安全管理规定》规定,邮政企业、快递企业应当建立健全寄递用户信息安全保障制度和措施保障消费者个人信息安全。建议相关行业出台规章制度的同时,要督促这些措施真正落实,防患未然。
内鬼频现谁该担责
报名考试,必须填写个人信息;生儿养女,必须登记个人信息,购车上牌,还是必须报备个人信息……在享受公共服务或参与公共事务时,市民都必须按规定如实填写个人信息,这些信息显然无法由市民自己来保护。
去年8月,闸北公安分局网安支队发现,有人在网上发送大量直接针对2013年9月某国家级统考报考者的招生培训信息。信息对象如此精确,有非法获取公民个人信息的重大嫌疑。
随后,警方在浦东抓获在网上发布这些招生信息的某教育信息咨询公司法人代表徐某。据徐某交代,他的大量考生信息都是从本市另一名无业人员徐某某处获得,凭借这些信息,他已招收到400余名考生。
徐某某到案后供称,他提供的考生信息之所以最新最全,准确率极高,来源是一个从事某国家级统考网络报名平台及全国统考网络考试平台建设与维护的杨某处。
随后,上海警方在北京警方的配合下,成功抓获北京某教育科技有限公司行政主管杨某。杨某承认,公司承担全国统考网络报名平台及全国统考网络考试平台建设与维护工作,他便趁机非法获取部分全国统考报考人员个人信息,牟利20万元。最终警方查获涉及公民个人信息近100万条。
在许多信息泄露事件中,常常闪现“内鬼”的身影。上海破获的另一起新生儿信息泄露案件中,犯罪嫌疑人张某正是负责开发、维护市卫生局出生系统数据库的专业人员。利用职务便利,他在2011年初至2012年4月,每月两次非法登录数据库,下载新生儿出生信息累计达数十万条,出售获利3万余元。
据了解,这一数据库由卫生局外包给一家数据公司,但该公司管理松懈,张某甚至可以在家中进入数据库(+本站微信networkworldweixin),无人监管。事后市卫生系统已采取措施,规定外包服务方必须在指定的卫生系统地点进行数据维护,并有专人全程陪同。
“我们之所以敢把最真实最全面的信息填写下来,既是办理相关事务的必要,也是出于对采集信息单位的信任。”一些市民介绍,他们在办理电信、银行、医疗卫生等事务时,往往相信这些信息能得到妥善保管,一旦出现“内鬼”,会令他们特别不安。
建议:“内鬼”犯罪单位也应担责
虽然多起此类案件当事人都被依法惩罚,但相关单位、企业的公信力也受到影响。这些单位、企业在聘用人员、外包服务时,应该明确可能存在的信息泄露风险,明确保护信息安全的法律义务,一旦出现信息泄露问题,除对当事人追究法律责任之外,企业、单位自身也应受到相应的处罚。
此外,还应从法律法规上明确对个人信息被侵犯者的民事赔偿、救济程序、救济措施,否则维权成本高昂,不利于通过市场化手段惩戒相关单位和企业。
创新商业模式应有边界
此前曾创下火爆转发的“我叫×××,我是第×××位为灾区祈福的人”微信链接,事后被证明是一场网络营销行为。
这也让不少市民担心:“虽然这一次不是专为套取个人信息,可难保下一次不会让我们输入更详细的信息,继而造成个人信息泄露。”
虽然目前没有证据证明这一网络营销能够套取转发者的个人信息,但记者从一些专业人士处获悉:大数据时代,要获取个人信息并非难事,并且已成为商业分析的重要基础。
比如你走进一家商场,享受免费wifi、“刷一刷”就能打折的同时,商场也许就能获取你到访逗留的时间、消费偏好习惯等;又比如你用网络搜索引擎找过某一关键字,电脑中一些软件会提交云系统,你会发现今后不少网页上镶嵌着你曾经搜索过的相关商品……不经意间,个人信息就已经泄露了。
“现在的商业模式有很多是建立在个人信息基础上进行的更精细化、更创新式的营销。”据业内人士介绍,无论是朋友圈里的热门转发,还是商场进行的打折促销,今后的创新商业模式都与个人信息相关。
既然信息“裸奔”时代防不胜防,专业人士认为应尽早为不断推陈出新的商业营销模式立规矩。
建议:确立个人信息运用边界
2009年通过的《中华人民共和国刑法修正案(七)》在刑法第253条中增加了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两项新罪名。但在现实生活中,还有很多无法构成犯罪却仍在进行的与个人信息相关的活动,特别是对不断创新的商业模式,要明确个人信息如何合法使用,个人信息侵权如何界定,如何追究侵权责任。要有预防措施防止个人信息被滥用。