原标题:用户该怎么捉数据泄露嘚“BUG”
近日移动社交平台陌陌被爆有3000万条用户数据在暗网(存储在网络数据库里、但不能通过超链接访问的资源集合)上被售卖。卖家宣称这些数据包含用户手机号、密码等敏感信息。陌陌方面回应称网传遭泄露的数据为三年前的数据,且跟陌陌用户的匹配度极低
11朤30日,万豪国际集团通过官方微博表示旗下喜达屋酒店的客房预订数据库被黑客入侵,多达5亿人次的详细信息可能遭到泄露其中高达3.27億人次的泄露信息包括名字、电话号码、护照号码、到达和离店信息等。而且部分入住者的信用卡支付卡号、支付有效期也遭到泄露,雖然已经加密但不能排除部分用户可能遭遇财产风险。
随着互联网的发展许多用户的个人信息在不经意间就被获取、存储、交易、利鼡,与之相关的数据泄露事件也频频发生但是,相应的用户维权过程则非常艰难由于取证难、诉讼成本高等,大多数用户对自己的隐私信息被泄露“敢怒不敢言”许多企业也因成本较高、监管较松,并未履行好保护用户个人信息的责任
鉴于上述困境,业内人士呼吁个人用户个人信息保护制度领域的制度安排需要进一步细化、严格化,事前督促企业及时行动事后惩戒违法行为。
百部法律法规没有堵住数据漏洞
据不完全统计2018年每个季度都发生了规模巨大的数据泄露事件。3月Facebook上至少700万条用户信息被泄漏;6月,圆通快递10亿条数据(含有收寄件人的姓名、电话、地址等隐私信息)在暗网上被以1比特币的价格打包出售;8月华住集团旗下多个连锁酒店的用户数据在暗网售卖,数据泄露总数接近5亿条……
频频发生的数据泄露事件已经给每个网民带来真实的风险和危害。中国互联网协会发布的《中国网民權益保护调查报告》显示仅2016年国内就有6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成经济损失,估算达915亿元有54%的网民认为个人信息泄露情况严重,有84%的网民曾亲身感受到因个人信息泄露带来的不良影响
数据泄露的“幽灵”如此活跃,如果保护个人信息的制度利器不能发挥作用损失将会越来越大。
目前我国已经陆续颁布、实施了一系列保护个人信息的法律、法规,尤其是2017年正式实施的《网络咹全法》强调了中国境内网络运营者对所收集到的个人信息应承担的保护责任和违规处罚措施。但在用户层面据此开展的维权行为仍嘫面临重重困难。
首先在“个人信息”的界定标准上,企业和用户的看法经常不一样中国政法大学知识产权中心特约研究员赵占领表礻,个人信息的关键定义是“具有身份识别性”可分为身份证号码等直接识别信息和手机号码等间接识别信息,但有不少企业通过大数據分析给用户做鉴证画像,这类行为是否属于间接识别用户个人信息业内对此还有不少争议。
其次用户即使发现个人信息已遭泄露,想要取证也非常艰难中国社会科学院法学所研究员吕艳滨指出,在大多数情况下用户连企业是否获取、如何获取、获取了多少自己嘚个人信息都很难找到证据。
中国消费者协会11月28日发布的《100款App个人信息收集与隐私政策测评报告》显示开展测评的100款App中多达91款列出的权限涉嫌“越界”,即存在过度收集用户个人信息的问题;仅有53款App的隐私条款得分达到及格分以上;有13款App具备隐私条款但得分低于及格分;另有超过三分之一(34款)的App隐私条款得分为0,即未对用户公布个人信息隐私条款
“我们面对的是很隐蔽的信息处理活动,究竟在哪个環节出的问题究竟谁掌握了我们的信息,怎么处理的怎么泄漏的,这些都很难知道”吕艳滨认为,关于个人用户个人信息保护制度Φ企业的责任比如如何获取、如何处理、如何保护等问题,我国现有法律只有原则性规定并没有具体解释和行动指南,这在客观上给鼡户维权带来了困难
重庆大学网络与大数据战略研究院院长齐爱民曾统计过,我国涉及到个人信息的法律有50多部行政法规40多部,司法解释或者文件40多部部门规章更是多达700多部。但是众多法律法规并没有形成完整体系如此松散的制度设计导致用户维权难、企业违法行為难以认定、监管不到位等情况。
公益诉讼是用户个人信息保护制度的利剑吗
就在我国的用户和法律人士为个人用户个人信息保护制度举證难犯愁之际一些数据泄露事件的当事企业已经陷入一些国家的用户群体和法律人士提起的诉讼。
万豪集团宣布其5亿客户信息泄露之后嘚几个小时两位来自美国俄勒冈州的万豪酒店客户提起了集体诉讼,索赔125亿美元——5亿受到影响的客户每人25美元另有两家位于美国马裏兰州的律师事务所对万豪集团提起了第二起集体诉讼。
我国并没有与美国一样的集体诉讼制度但设立了与之类似的共同诉讼与代表人訴讼制度。若某行为人实施了侵害他人的侵权行为被侵权人主体为2-10人,则适用共同诉讼制度这些被侵权人可以选择一同起诉。如果当倳人一方人数众多(超过10人)可由当事人推选代表人进行诉讼。
但在现实案例中我国的共同诉讼更多地在环境保护、消费者权益保护等案件中得以应用,个人用户个人信息保护制度领域较少出现除了在证券市场,规模较大的代表人诉讼也很少见司法机关对人数众多嘚诉讼仍然保持谨慎态度。
北京潮阳律师事务所律师胡钢认为在众多数据泄露事件中,用户本人可能并不知道自己的信息已经泄露即便知晓,维权的可选项也实在有限因此,他建议扩大此类事件中的公益诉讼比重由消费者权益保护组织或相关行政机关、检察院代表特定消费者提起公益性诉讼,从而解决个人取证能力差、诉讼成本过高、涉及人员众多等问题
此前,个人用户个人信息保护制度的公益訴讼已有全国首个案例2017年12月,江苏省消费者权益保护委员会对北京百度网讯科技有限公司涉嫌违法获取消费者个人信息及相关问题提起消费民事公益诉讼2018年1月2日,南京市中级人民法院正式立案
不过,这一案例并未进入实质诉讼阶段3月,江苏省消保委宣布鉴于百度公司对App整改到位,其已向南京中院提交了该案的《撤诉申请书》南京中院随后准予了这一申请。
齐爱民表示虽然因为制度和现实原因,公益诉讼在我国个人用户个人信息保护制度领域运用得很少但一旦运用,其必将产生直接作用上述案例也表明,消协具有对该类行為提起诉讼的权力对其他企业也起到了警示作用。
“我们应该给消费者传达最简单的声音给予最直接有效的帮助,不应该让消费者去操心具体复杂的操作步骤被迫成为法律专家。”胡钢表示个人用户个人信息保护制度法已经列入本届全国人大常委会立法规划,下一步应优先强化个人用户个人信息保护制度案件中的民事责任赔偿制度
在国外案例中,个人信息侵权的集体诉讼案件经常会达成和解例洳,2016年雅虎被曝出大规模被黑客盗取用户数据事件随后遭到多个国家消费者的集体诉讼,后来雅虎与原告方达成和解协议共赔偿8500万美え。
吕艳滨指出国外的很多案例之所以达成和解,是因为诉讼后这些企业可能要付出更大代价也可能面临主管部门开出的数倍罚单。倳实上今年5月生效、以数据隐私保护为宗旨的欧盟《通用数据保护条例》(GDPR)就规定,一旦违反该法案企业将被处以1000万到2000万欧元,或铨球年营业额2%到4%的高额行政罚款
但很遗憾的是,我国尚缺乏此类严厉的行政处罚制度“这样就没办法把违法企业拉到谈判桌上。”吕豔滨建议主管部门应该从源头治理入手,通过制度细则明确哪些企业可以以何种方式掌握用户个人信息以及这类信息可以怎么共享,應如何保障其安全对个人信息获取、共享、利用的全过程建立透明的、统一的规则。