近来,移动社交平台陌陌被爆有3000万条用户数据在暗网(存储在网络数据库里、但不能经过超链接拜访的资源集合)上被售卖。卖家声称,这些数据包含用户手机号、暗码等敏感信息。陌陌方面回应称,网传遭走漏的数据为三年前的数据,且跟陌陌用户的匹配度极低。
11月30日,万豪国际集团经过官方微博表明,旗下喜达屋酒店的客房预定数据库被黑客侵略,多达5亿人次的详细信息或许遭到走漏,其间高达3.27亿人次的走漏信息包括名字、电话号码、护照号码、到达和离店信息等。而且,部分入住者的信用卡付出卡号、付出有用期也遭到走漏,尽管现已加密,但不能扫除部分用户或许遭受产业危险。
跟着互联网的展开,许多用户的个人信息在不经意间就被获取、存储、买卖、利用,与之相关的数据走漏事情也频频发生。可是,相应的用户维权过程则十分困难。由于取证难、诉讼本钱高等,大多数用户对自己的隐私信息被走漏“敢怒不敢言”,许多企业也因本钱较高、监管较松,并未履行好维护用户个人信息的职责。
鉴于上述窘境,业内人士呼吁,个人信息维护范畴的准则组织需求进一步细化、严格化,事前催促企业及时行动,过后惩戒违法行为。
百部法令法规没有堵住数据漏洞
据不完全统计,2018年每个季度都发生了规划巨大的数据走漏事情。3月,Facebook上至少700万条用户信息被走漏;6月,圆通快递10亿条数据(含有收寄件人的名字、电话、地址等隐私信息)在暗网上被以1比特币的价格打包出售;8月,华住集团旗下多个连锁酒店的用户数据在暗网售卖,数据走漏总数接近5亿条……
频频发生的数据走漏事情,现已给每个网民带来真实的危险和危害。我国互联网协会发布的《我国网民权益维护调查报告》显现,仅2016年国内就有6.88亿网民因垃圾短信、诈骗信息、个人信息走漏等造成经济丢失,预算达915亿元。有54%的网民以为个人信息走漏状况严重,有84%的网民曾亲身感受到因个人信息走漏带来的不良影响。
数据走漏的“幽灵”如此活泼,如果维护个人信息的准则利器不能发挥效果,丢失将会越来越大。
现在,我国现已连续颁布、施行了一系列维护个人信息的法令、法规,尤其是2017年正式施行的《网络安全法》,强调了我国境内网络运营者对所收集到的个人信息应承当的维护职责和违规处分办法。但在用户层面,据此展开的维权行为仍然面对重重困难。
首要,在“个人信息”的界定标准上,企业和用户的观点经常不一样。我国政法大学知识产权中心特约研究员赵占据表明,个人信息的要害界说是“具有身份辨认性”,可分为身份证号码等直接辨认信息和手机号码等直接辨认信息,但有不少企业经过大数据分析,给用户做鉴证画像,这类行为是否归于直接辨认用户个人信息?业内对此还有不少争议。
其次,用户即便发现个人信息已遭走漏,想要取证也十分困难。我国社会科学院法学所研究员吕艳滨指出,在大多数状况下,用户连企业是否获取、如何获取、获取了多少自己的个人信息都很难找到依据。
我国顾客协会11月28日发布的《100款App个人信息收集与隐私政策测评报告》显现,展开测评的100款App中多达91款列出的权限涉嫌“越界”,即存在过度收集用户个人信息的问题;仅有53款App的隐私条款得分达到及格分以上;有13款App具备隐私条款,但得分低于及格分;还有超越三分之一(34款)的App隐私条款得分为0,即未对用户发布个人信息隐私条款。
“咱们面对的是很荫蔽的信息处理活动,终究在哪个环节出的问题,终究谁掌握了咱们的信息,怎么处理的,怎么走漏的,这些都很难知道。”吕艳滨以为,关于个人信息维护中企业的职责,比如如何获取、如何处理、如何维护等问题,我国现有法令只有原则性规定,并没有详细解释和行动指南,这在客观上给用户维权带来了困难。
重庆大学网络与大数据战略研究院院长齐爱民曾统计过,我国涉及到个人信息的法令有50多部,行政法规40多部,司法解释或许文件40多部,部门规章更是多达700多部。可是许多法令法规并没有构成完好系统,如此松懈的准则设计导致用户维权难、企业违法行为难以认定、监管不到位等状况。
公益诉讼是信息维护的利剑吗
就在我国的用户和法令人士为个人信息维护举证难犯愁之际,一些数据走漏事情的当事企业现已堕入一些国家的用户群体和法令人士提起的诉讼。
万豪集团宣告其5亿客户信息走漏之后的几个小时,两位来自美国俄勒冈州的万豪酒店客户提起了团体诉讼,索赔125亿美元——5亿受到影响的客户每人25美元,还有两家位于美国马里兰州的律师事务所对万豪集团提起了第二起团体诉讼。
我国并没有与美国一样的团体诉讼准则,但设立了与之类似的一起诉讼与代表人诉讼准则。若某行为人施行了侵害别人的侵权行为,被侵权人主体为2-10人,则适用一起诉讼准则,这些被侵权人能够选择一起起诉。如果当事人一方人数许多(超越10人),可由当事人推选代表人进行诉讼。
但在实际事例中,我国的一起诉讼更多地在环境维护、顾客权益维护等案子中得以使用,个人信息维护范畴较少出现。除了在证券市场,规划较大的代表人诉讼也很少见,司法机关对人数许多的诉讼仍然坚持慎重态度。
北京潮阳律师事务所律师胡钢以为,在许多数据走漏事情中,用户自己或许并不知道自己的信息现已走漏,即便知晓,维权的可选项也真实有限。因而,他建议扩大此类事情中的公益诉讼比重,由顾客权益维护组织或相关行政机关、检察院代表特定顾客提起公益性诉讼,然后处理个人取证能力差、诉讼本钱过高、涉及人员许多等问题。
此前,个人信息维护的公益诉讼已有全国首个事例。2017年12月,江苏省顾客权益维护委员会对北京百度网讯科技有限公司涉嫌违法获取顾客个人信息及相关问题提起消费民事公益诉讼。2018年1月2日,南京市中级人民法院正式立案。
不过,这一事例并未进入本质诉讼阶段。3月,江苏省消保委宣告,鉴于百度公司对App整改到位,其已向南京中院提交了该案的《撤诉请求书》,南京中院随后准予了这一请求。
齐爱民表明,尽管由于准则和实际原因,公益诉讼在我国个人信息维护范畴运用得很少,但一旦运用,其必将发生直接效果。上述事例也表明,消协具有对该类行为提起诉讼的权利,对其他企业也起到了警示效果。
“咱们应该给顾客传达最简略的声响,给予最直接有用的协助,不应该让顾客去操心详细杂乱的操作步骤,被逼成为法令专家。”胡钢表明,个人信息维护法现已列入本届全国人大常委会立法规划,下一步应优先强化个人信息维护案子中的民事职责补偿准则。
在国外事例中,个人信息侵权的团体诉讼案子经常会达到宽和。例如,2016年雅虎被曝出大规划被黑客盗取用户数据事情,随后遭到多个国家顾客的团体诉讼,后来雅虎与原告方达到宽和协议,共补偿8500万美元。
吕艳滨指出,国外的许多事例之所以达到宽和,是由于诉讼后这些企业或许要付出更大价值,也或许面对主管部门开出的数倍罚单。事实上,今年5月收效、以数据隐私维护为宗旨的欧盟《通用数据维护条例》(GDPR)就规定,一旦违背该法案,企业将被处以1000万到2000万欧元,或全球年营业额2%到4%的高额行政罚款。
但很遗憾的是,我国尚缺少此类严厉的行政处分准则。“这样就没办法把违法企业拉到谈判桌上。”吕艳滨建议,主管部门应该从源头管理下手,经过准则细则明确哪些企业能够以何种方式掌握用户个人信息,以及这类信息能够怎么同享,应如何保障其安全,对个人信息获取、同享、利用的全过程建立通明的、统一的规矩。