原標題：

　　【三問(wèn)“信息泄露”之三：如何根治？】

　　根治信息泄露頑疾還需跨過(guò)幾座“山”

　　信息收集紅線(xiàn)亟須劃定　制度震懾作用亟須強化　重點(diǎn)領(lǐng)域亟須立法

　　《經(jīng)濟參考報》記者調研了解到，當前，我國個(gè)人信息泄露呈現出“問(wèn)題頻出——公安打擊——安全平穩期——問(wèn)題再次復現”的往復循環(huán)的態(tài)勢，個(gè)人信息泄露問(wèn)題日趨常態(tài)化。

　　幾乎每個(gè)人都被信息泄露帶來(lái)的問(wèn)題困擾，信息泄露為何屢禁不止？接受記者采訪(fǎng)的專(zhuān)家指出，根治頑疾還需跨過(guò)幾座“山”，加大處罰力度的同時(shí)，亟須劃定信息收集紅線(xiàn)、強化制度震懾作用，加強重點(diǎn)領(lǐng)域立法補齊監管短板。

趙乃育　繪

　　過(guò)度索權“套路多”　信息收集要劃定底線(xiàn)紅線(xiàn)

　　“每次安裝一個(gè)新的APP，都要勾選同意一整頁(yè)的隱私政策，我根本就都讀不下來(lái)，但是不勾選還不能使用?！薄懊髅髦皇且豢钜魳?lè )APP，卻一定要讀取我的位置、相冊和通訊錄?！薄ヂ?lián)網(wǎng)時(shí)代，人們在享受著(zhù)大數據帶來(lái)的便捷的同時(shí)，個(gè)人信息不可避免地被收集、使用。每一次交易、瀏覽、通信，都會(huì )留下痕跡。在此過(guò)程中，個(gè)人信息的超范圍收集及由此帶來(lái)的泄漏和濫用等問(wèn)題越來(lái)越常態(tài)化。

　　業(yè)內人士表示，隨著(zhù)各類(lèi)新應用、新技術(shù)層出不窮，各類(lèi)機構過(guò)度索取個(gè)人信息為信息泄露埋下隱患，而整治個(gè)人信息泄露亂象必須從治理信息違規和過(guò)度收集開(kāi)始。

　　多項調研結果顯示，移動(dòng)互聯(lián)網(wǎng)平臺讀取和收集用戶(hù)信息的邊界尚不清晰，造成用戶(hù)的個(gè)人信息常常被過(guò)度收集。業(yè)內指出，APP強制、頻繁、過(guò)度索取權限，欺騙誤導用戶(hù)提供個(gè)人信息等問(wèn)題受到社會(huì )廣泛關(guān)注，特別是近期A(yíng)PP過(guò)度索取“麥克風(fēng)”“相冊”“通訊錄”等權限問(wèn)題，用戶(hù)反映強烈。

　　中國電子信息產(chǎn)業(yè)發(fā)展研究院網(wǎng)絡(luò )安全所所長(cháng)劉權直言，“相比日新月異、快速更迭的人工智能、大數據等信息技術(shù)，我國監管制度滯后于技術(shù)及應用場(chǎng)景的發(fā)展?！彼f(shuō)，借助互聯(lián)網(wǎng)平臺和技術(shù)，各個(gè)應用程序和網(wǎng)站門(mén)戶(hù)極易在用戶(hù)無(wú)感知的狀態(tài)下，采集并處理用戶(hù)大量個(gè)人信息，比如肆意調取手機攝像頭權限、復制剪貼板內容、讀取操作相冊圖片、強制讀取通訊錄等。另外，為滿(mǎn)足監管要求，一些APP制定的隱私政策冗長(cháng)復雜，用戶(hù)常因難以理解而舍棄閱讀，從而導致“收集用戶(hù)信息需經(jīng)用戶(hù)同意”成為了一項無(wú)法落實(shí)的“擺設”。

　　劉權表示，無(wú)論在線(xiàn)上應用還是線(xiàn)下活動(dòng)，都要在收集個(gè)人信息時(shí)，做到合法、正當、必要，并且與其提供的服務(wù)有關(guān)聯(lián)。

　　中國司法大數據研究院社會(huì )治理研究中心主任李俊慧對《經(jīng)濟參考報》記者表示，越是在業(yè)務(wù)開(kāi)展中具有收集個(gè)人信息需要的行業(yè)，越是個(gè)人信息泄露或不當買(mǎi)賣(mài)最為集中的領(lǐng)域。因此，一方面，要明確各類(lèi)企業(yè)或平臺收集個(gè)人信息的邊界，尤其是在何種情況下不得或不必收集個(gè)人信息，另一方面，對于收集了個(gè)人信息的企業(yè)或平臺，也需要綜合采取技術(shù)、管理及懲戒等措施或手段，加強對此類(lèi)企業(yè)或平臺個(gè)人信息保護能力的評估和動(dòng)態(tài)監管。

　　這一問(wèn)題已經(jīng)開(kāi)始引發(fā)相關(guān)監管部門(mén)的關(guān)注。近期，工信部持續加大對違法違規收集使用個(gè)人信息行為發(fā)現、曝光和處置力度，開(kāi)展專(zhuān)題整治，對違規APP依法依規予以約談、警告、下架、處罰等。3月22日，國家網(wǎng)信辦、工信部等四部門(mén)也聯(lián)合發(fā)布《常見(jiàn)類(lèi)型移動(dòng)互聯(lián)網(wǎng)應用程序必要個(gè)人信息范圍規定》，為包括地圖導航、網(wǎng)絡(luò )約車(chē)、即時(shí)通信等39種常見(jiàn)APP劃出了“必要個(gè)人信息范圍”。

　　違法成本過(guò)“低廉”　制度震懾作用亟待加強

　　中國司法大數據研究院對2016年至2020年全國各級人民法院一審審結的涉侵害個(gè)人信息犯罪案件分析發(fā)現，近幾年涉侵害個(gè)人信息犯罪案件呈快速增長(cháng)的趨勢。2016年至2020年，全國各級人民法院一審審結涉侵害個(gè)人信息犯罪且裁判文書(shū)已公開(kāi)的案件共計4443件。其中，2016年審結12件，2017年審結113件，同比上升841.67%，2018年審結388件，同比上升243.36%，2019年審結1723件，同比上升344.07%，2020年審結2207件，同比上升28.09%。

　　信息泄露為何屢禁不止？業(yè)內人士表示，治理個(gè)人信息泄露亂象，必須要完善頂層制度建設，加大對泄露和濫用個(gè)人信息的處罰力度，讓犯罪者付出沉重代價(jià)。

　　“當前我國對個(gè)人信息泄露事件的處罰低，不能起到足夠的震懾作用，這也讓企業(yè)不愿在安全防護上做更多投入，即使出了問(wèn)題，處罰金額還比不上安全防護的投入成本?！币晃恍畔踩珡臉I(yè)人員坦言。

　　法律人士指出，違反國家有關(guān)規定，向他人出售或者提供公民個(gè)人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。

　　2020年7月公開(kāi)征求意見(jiàn)的數據安全法草案提出，在開(kāi)展數據活動(dòng)的組織、個(gè)人不履行數據安全保護義務(wù)或者未采取必要的安全措施的，由有關(guān)主管部門(mén)責令改正，給予警告，可以并處一萬(wàn)元以上十萬(wàn)元以下罰款，對直接負責的主管人員可以處五千元以上五萬(wàn)元以下罰款；拒不改正或者造成大量數據泄露等嚴重后果的，處十萬(wàn)元以上一百萬(wàn)元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬(wàn)元以上十萬(wàn)元以下罰款。

　　實(shí)際上，在國際范圍內，企業(yè)信息泄露的處罰金額高昂。例如，2020年，因Facebook違反用戶(hù)隱私保護策略，美國對其處以50億美元巨額罰款；愛(ài)爾蘭也就個(gè)人信息非法跨境傳輸問(wèn)題，對Facebook處以了高達28億美元的罰款。通過(guò)提高單筆處罰金額等懲罰措施，倒逼數據控制者加強個(gè)人信息安全保護，是打擊違法違規行為的有效手段。

　　違法成本太低可能造成企業(yè)對數據安全保障投入嚴重不足?！皵祿踩袆e于傳統網(wǎng)絡(luò )安全，它是特別強調跨學(xué)科的，需要法律和技術(shù)的融合互補才能找到最佳的風(fēng)險解決方案?！敝袊畔⑼ㄐ叛芯吭喊踩芯克鶖祿踩芯坎恐魅侮悳弻τ浾弑硎?，數據安全工作往往涉及多個(gè)部門(mén)，但法務(wù)部門(mén)不理解技術(shù)，安全部門(mén)不了解業(yè)務(wù)，業(yè)務(wù)部門(mén)更關(guān)注業(yè)務(wù)發(fā)展，這就很難形成一套體系化的完整的內部數據合規架構。

　　事實(shí)上，還有部分社會(huì )責任意識薄弱的企業(yè)將商業(yè)利益凌駕于社會(huì )利益之上，不愿履行個(gè)人信息保護的相關(guān)責任，甚者還借助監管漏洞對個(gè)人信息進(jìn)行違規收集。

　　對外經(jīng)濟貿易大學(xué)數字經(jīng)濟與法律創(chuàng )新研究中心執行主任許可指出，由于缺乏頂層基本法律框架，現有個(gè)人信息保護規定散見(jiàn)于各類(lèi)法律中，并以部門(mén)規章及規范性文件居多，法律位階低且適用效力有限，震懾作用還需加強。

　　新技術(shù)引發(fā)新問(wèn)題　重點(diǎn)領(lǐng)域亟須立法補齊監管短板

　　記者了解到，個(gè)人信息保護的頂層法律框架正在緊鑼密鼓地推進(jìn)完善中。繼網(wǎng)絡(luò )安全法與民法典這兩部重要的法律文件落地之后，令人關(guān)注的個(gè)人信息保護法、數據安全法也落地在即。目前，個(gè)人信息保護法草案已提請全國人大常委會(huì )審議。3月19日，在國新辦發(fā)布會(huì )上，國家互聯(lián)網(wǎng)信息辦公室副主任楊小偉也表示，數據安全法、個(gè)人信息保護法在加緊制定出臺。

　　法律專(zhuān)家表示，作為個(gè)人信息保護領(lǐng)域基本法律框架，個(gè)人信息保護法位階更高，綜合性更強，將從保護公民隱私的角度來(lái)看待數據安全問(wèn)題，該法規有望理順各個(gè)信息主體之間的關(guān)系，并針對個(gè)人信息的收集、存儲、使用、共享等多個(gè)方面做出規定。而數據安全法則有望從國家安全、公共安全的角度出發(fā)，對先前法規中一些尚不明確的部分進(jìn)行限定。

　　不過(guò)，專(zhuān)家也表示，兩部立法草案還缺乏配套的下位法，部分問(wèn)題處于模糊地帶，需進(jìn)一步出臺配套法律法規，針對具體問(wèn)題制定相應解決措施。

　　此外，由人臉識別技術(shù)等新技術(shù)濫用帶來(lái)的問(wèn)題，也為防范信息泄露帶來(lái)了新的挑戰。近年來(lái)，人臉識別技術(shù)被廣泛用于城市安防、支付轉賬等領(lǐng)域，伴隨這一技術(shù)加速落地應用的同時(shí)，信息泄露風(fēng)險大、安全漏洞難消除等問(wèn)題也日益凸顯。

　　對此，業(yè)內指出，針對醫療、生物識別等個(gè)人特殊敏感信息的專(zhuān)項立法也需要不斷推進(jìn)。劉權介紹，例如日本、美國等國家偏向于針對不同特征的個(gè)人信息采取精細化治理和保護模式，日本采用“基本法+專(zhuān)門(mén)法”的雙重規制架構保護個(gè)人醫療信息安全；美國在各州及聯(lián)邦層面均出臺專(zhuān)項法案保護個(gè)人生物識別信息安全。他認為，我國可考慮借鑒相關(guān)做法，對醫療、生物識別、地理位置等特殊敏感信息進(jìn)行分類(lèi)專(zhuān)項保護。

　　許可表示，在大數據時(shí)代，信息技術(shù)的變化日新月異，個(gè)人信息泄露的新問(wèn)題也會(huì )層出不窮，法律細則需要不斷完善以面對個(gè)人信息保護新的場(chǎng)景與新的問(wèn)題。金融、醫療健康、通信等專(zhuān)業(yè)領(lǐng)域也需要單獨立法強化個(gè)人信息保護，國家的強制性標準、行業(yè)性的標準也需要進(jìn)一步完善。

　　據悉，在金融領(lǐng)域，針對一些科技公司利用市場(chǎng)優(yōu)勢，過(guò)度采集、使用企業(yè)和個(gè)人數據，甚至盜賣(mài)數據的行為，監管部門(mén)正在研究制定金融數據安全保護條例，構建更加有效的保護機制，防止數據泄露和濫用。

　　相關(guān)報道：

　　【三問(wèn)“信息泄露”之一：緣何泄露?】數十億條個(gè)人信息明碼標價(jià)　“潛規則”盛行售賣(mài)泛濫成災

　　【三問(wèn)“信息泄露”之二：為何猖獗？】信息泄露黑灰產(chǎn)業(yè)鏈滋生巨大非法獲利空間

?

?