不久前發(fā)生的一系列事件讓個人資訊安全再成輿論熱點：華住旗下多家酒店品牌疑似發(fā)生大規(guī)模資訊洩露事件，數(shù)據(jù)涉及約1.23億條官網(wǎng)註冊資料、1.3億條入住登記身份資訊；有“暗網(wǎng)”用戶聲稱手握3億條順豐快遞客戶數(shù)據(jù)，包括寄收件人姓名、地址、電話等個人資訊，並積極叫賣……

　　網(wǎng)路時代，我們的個人資訊安全狀況如何？誰是個人資訊洩露的幕後“黑手”？護航個人資訊安全，政府和企業(yè)需要再做些什麼？

　　個人身份資訊最容易被侵犯

　　全國消協(xié)組織受理的消費者投訴數(shù)據(jù)顯示，今年上半年，電商平臺、社交平臺軟體等非法採集消費者個人資訊現(xiàn)象成消費投訴新熱點，位居十大投訴榜榜首。不久前，中消協(xié)發(fā)佈的《APP個人資訊洩露情況調(diào)查報告》（以下簡稱《報告》）也反映，遇到過個人資訊洩露情況的人數(shù)佔比為85.2%。

　　“網(wǎng)路具有即時性與虛擬性，加上個人資訊被廣泛採集卻未受到良好保護，公民個人資訊一旦洩露，普遍存在舉證難、損失認定難的情況，因此，個人資訊洩露問題沒得到有效治理。”中國法學(xué)會消費者權(quán)益保護法研究會副秘書長陳音江説。

　　“個人資訊主要有三種形式：第一種叫個人隱私資訊，這是隱私權(quán)保護的範(fàn)圍；第二種叫個人身份資訊，如身份證號碼、電話號碼、個人賬戶資訊等，用個人資訊權(quán)予以保護；第三種是衍生數(shù)據(jù)，是對網(wǎng)路上留存的海量的個人數(shù)據(jù)進行加工處理形成的新數(shù)據(jù)，已經(jīng)與個人的身份資訊脫敏。”中國人民大學(xué)法學(xué)院教授楊立新認為，個人隱私資訊和個人身份資訊都要依照法律的規(guī)定進行支配，只有衍生數(shù)據(jù)才可以在大數(shù)據(jù)時代中進行商業(yè)處理。

　　楊立新認為，最容易被侵犯的個人資訊是身份資訊，各類商業(yè)推銷、電信詐騙等大多是基於個人身份資訊洩露而出現(xiàn)的。《報告》顯示，約86.5%的受訪者曾收到推銷電話或短信的騷擾，約75.0%的受訪者接到詐騙電話，約63.4%的受訪者收到垃圾郵件，這是最常見的三大問題。此外，消費者還面臨著收到非法連結(jié)、個人賬戶密碼被盜等風(fēng)險。

　　據(jù)介紹，去年3月，公安部開展了打擊整治駭客攻擊破壞和網(wǎng)路侵犯公民個人資訊犯罪專項行動，僅4個月就偵破相關(guān)案件1800余起，查獲各類被非法倒賣公民個人資訊500余億條。

　　手機應(yīng)用軟體過度採集個人資訊

　　《報告》發(fā)現(xiàn)，個人資訊洩露的兩條最主要途徑，一是經(jīng)營者未經(jīng)本人同意暗自收集個人資訊，二是經(jīng)營者或不法分子故意洩露、出售或者非法向他人提供個人資訊，這兩者均超過調(diào)查總樣本的60%。

　　據(jù)了解，部分APP會“私自竊密”。例如，部分記賬理財APP會通過留存消費者的個人網(wǎng)銀登錄賬號、密碼等資訊，並模倣消費者網(wǎng)銀登錄的方式，獲取賬戶交易明細等資訊。有的APP在提供服務(wù)時，採取特殊方式來獲得用戶授權(quán)，這本質(zhì)上仍屬“未經(jīng)同意”。例如，在用戶協(xié)議中，將“同意”之選項設(shè)置為較小字體，且已經(jīng)預(yù)先勾選，導(dǎo)致部分消費者在未知情況下進行授權(quán)。

　　另外，手機APP過度採集個人資訊呈現(xiàn)普遍趨勢。“最突出的是在非必要的情況下獲取位置資訊和訪問聯(lián)繫人許可權(quán)。”中消協(xié)秘書長朱劍雄説，“比如，像天氣預(yù)報、手電筒這類功能單一的手機APP，在安裝協(xié)議中也提出要讀取通訊錄，這與《全國人民代表大會常務(wù)委員會關(guān)於加強網(wǎng)路資訊保護的決定》明確規(guī)定的手機軟體在獲取用戶資訊時要堅持‘必要’原則相悖。”

　　《報告》還發(fā)現(xiàn)，在安裝和使用手機APP時，很少有用戶仔細閱讀應(yīng)用許可權(quán)和用戶協(xié)議或隱私政策。“不授權(quán)就沒法用，只能被迫接受。”不少消費者在接受採訪時表示。

　　“雙方當(dāng)事人無法進行面對面協(xié)商，這決定了消費者只能先接受平臺提出的交易規(guī)則，否則就無法進行交易。”楊立新説，問題的關(guān)鍵在於，網(wǎng)路交易平臺提供的交易規(guī)則是否合法，“對此，商務(wù)、市場監(jiān)管等有關(guān)部門在實體和程式上都做了規(guī)定。若交易規(guī)則內(nèi)容違法，消費者可以主張廢除該規(guī)則，也可以行使撤銷權(quán)撤銷該交易，造成損害的還可以請求損害賠償。”

　　與此同時，個人資訊買賣已形成一條規(guī)模大、鏈條長、利益大的産業(yè)鏈。“這條産業(yè)鏈結(jié)構(gòu)完整、分工細化，個人資訊被明碼標(biāo)價，流通變現(xiàn)環(huán)節(jié)主要包含三個方面。”據(jù)中國人民大學(xué)法學(xué)院博士後劉笑岑介紹，上游環(huán)節(jié)負責(zé)“源頭供貨”，非法獲取或向他人提供個人資訊，主要來自於駭客攻擊和“內(nèi)鬼”外泄；中游環(huán)節(jié)負責(zé)對從上游處獲取的個人資訊進行處理與再加工，通過買賣、交換等形式形成規(guī)模化市場；下游環(huán)節(jié)負責(zé)“應(yīng)用變現(xiàn)”，將所獲個人資訊應(yīng)用於電信詐騙、惡意行銷等不法渠道以牟取高額利潤。

　　在公安部今年的“凈網(wǎng)2018”專項行動中，公安機關(guān)對侵犯公民個人資訊犯罪、駭客攻擊破壞犯罪和非法銷售“黑卡”犯罪進行嚴厲打擊，半年內(nèi)抓獲犯罪嫌疑人8000余名，其中涉電信服務(wù)商、網(wǎng)際網(wǎng)路企業(yè)、銀行等行業(yè)內(nèi)部人員300余名，駭客1200余名，繳獲“黑卡”270余萬張。

　　引導(dǎo)行業(yè)建立個人資訊分級分類保護體系

　　據(jù)統(tǒng)計，目前有近40部法律、30余部法規(guī)涉及個人資訊保護，包括民法總則、刑法、消費者權(quán)益保護法、網(wǎng)路安全法以及新近通過的電子商務(wù)法。

　　楊立新認為，現(xiàn)有的法律法規(guī)已經(jīng)足以保護個人資訊，問題在於，侵害個人資訊構(gòu)成犯罪的，能夠追究其刑事責(zé)任，但對於侵權(quán)行為，仍然制裁不力。“重點是加強司法上的民法保護，在懲戒手段、賠償問題上落實落細，加強對侵害個人資訊權(quán)行為的打擊力度，承擔(dān)賠償責(zé)任。”“個人資訊保護的主管機關(guān)還未確定，目前公安、工信、網(wǎng)信、司法等多家部門都在管，需擰成監(jiān)管合力。”劉笑岑認為，還處於立法計劃當(dāng)中的個人資訊保護法，將來應(yīng)致力於解決這些問題。

　　個人資訊洩露的源頭是什麼？“問題出在過度採集上。”陳音江説，“合法、正當(dāng)、必要”六字是目前相關(guān)法律對個人資訊採集和使用的規(guī)定，必須貫徹落實，同時要儘快明確，哪些事項必須通過實名制註冊或辦理，哪些事項無需實名，避免資訊採集主體過多、實名登記事項過度。

　　“如何引導(dǎo)行業(yè)對於個人資訊進行分類，構(gòu)建分級分類保護體系，這是當(dāng)前個人資訊防洩露問題要著重考慮的一項。”騰訊守護者計劃安全專家馬瑞凱説。

　　受訪專家表示，個人資訊獲取、存儲和利用的環(huán)節(jié)眾多，許多資訊的傳播又具有隱蔽性和複雜性，做到切實保障公民個人資訊安全，需要公民、資訊採集機構(gòu)、技術(shù)人員和有關(guān)部門協(xié)同共治。就企業(yè)管理層面而言，要推動數(shù)據(jù)防竊密、防篡改、防洩露等安全技術(shù)的研發(fā)和部署，有效降低不法分子竊密風(fēng)險；就監(jiān)管部門而言，要進一步加大對電信詐騙、網(wǎng)路詐騙等違法犯罪活動的打擊力度，持續(xù)形成高壓態(tài)勢，保護消費者的合法權(quán)益。