三問“資訊洩露”之三：如何根治？｜根治資訊洩露頑疾還需跨過幾座“山”

網上個人資訊洩露怎樣處理

影片載入中。。。

新華社北京4月21日電（記者 張超文 李佳鵬 孫韶華 張莫 梁倩 郭倩）《經濟參考報》記者調研瞭解到，當前，我國個人資訊洩露呈現出“問題頻出——公安打擊——安全平穩期——問題再次復現”的往復迴圈的態勢，個人資訊洩露問題日趨常態化。

幾乎每個人都被資訊洩露帶來的問題困擾，資訊洩露為何屢禁不止？接受記者採訪的專家指出，根治頑疾還需跨過幾座“山”，加大處罰力度的同時，亟須劃定資訊收集紅線、強化制度震懾作用，加強重點領域立法補齊監管短板。

過度索權“套路多” 資訊收集要劃定底線紅線

“每次安裝一個新的App，都要勾選同意一整頁的隱私政策，我根本就都讀不下來，但是不勾選還不能使用”“明明只是一款音樂App，卻一定要讀取我的位置、相簿和通訊錄。”……網際網路時代，人們在享受著大資料帶來的便捷的同時，個人資訊不可避免地被收集、使用。每一次交易、瀏覽、通訊，都會留下痕跡。在此過程中，個人資訊的超範圍收集及由此帶來的洩漏和濫用等問題越來越常態化。

業內人士表示，隨著各類新應用、新技術層出不窮，各類機構過度索取個人資訊為資訊洩露埋下隱患，而整治個人資訊洩露亂象必須從治理資訊違規和過度收集開始。

趙乃育 繪

多項調研結果顯示，移動網際網路平臺讀取和收集使用者資訊的邊界尚不清晰，造成使用者的個人資訊常常被過度收集。業內指出，App強制、頻繁、過度索取許可權，欺騙誤導使用者提供個人資訊等問題受到社會廣泛關注，特別是近期App過度索取“麥克風”“相簿”“通訊錄”等許可權問題，使用者反映強烈。

中國電子資訊產業發展研究院網路安全所所長劉權直言：“相比日新月異、快速更迭的人工智慧、大資料等資訊科技，我國監管制度滯後於技術及應用場景的發展。”他說，藉助網際網路平臺和技術，各個應用程式和網站門戶極易在使用者無感知的狀態下，採集並處理使用者大量個人資訊，比如肆意調取手機攝像頭許可權、複製剪貼簿內容、讀取操作相簿圖片、強制讀取通訊錄等。另外，為滿足監管要求，一些App制定的隱私政策冗長複雜，使用者常因難以理解而捨棄閱讀，從而導致“收集使用者資訊需經使用者同意”成為一項無法落實的“擺設”。

劉權表示，無論在線上應用還是線下活動，都要在收集個人資訊時，做到合法、正當、必要，並且與其提供的服務有關聯。

中國司法大資料研究院社會治理研究中心主任李俊慧對《經濟參考報》記者表示，越是在業務開展中具有收集個人資訊需要的行業，越是個人資訊洩露或不當買賣最為集中的領域。因此，一方面，要明確各類企業或平臺收集個人資訊的邊界，尤其是在何種情況下不得或不必收集個人資訊，另一方面，對於收集了個人資訊的企業或平臺，也需要綜合採取技術、管理及懲戒等措施或手段，加強對此類企業或平臺個人資訊保護能力的評估和動態監管。

這一問題已經開始引發相關監管部門的關注。近期，工信部持續加大對違法違規收集使用個人資訊行為發現、曝光和處置力度，開展專題整治，對違規App依法依規予以約談、警告、下架、處罰等。3月22日，國家網信辦、工信部等四部門也聯合釋出《常見型別移動網際網路應用程式必要個人資訊範圍規定》，為包括地圖導航、網路約車、即時通訊等39種常見App劃出了“必要個人資訊範圍”。

違法成本過“低廉” 制度震懾作用亟待加強

中國司法大資料研究院對2016年至2020年全國各級人民法院一審審結的涉侵害個人資訊犯罪案件分析發現，近幾年涉侵害個人資訊犯罪案件呈快速增長的趨勢。2016年至2020年，全國各級人民法院一審審結涉侵害個人資訊犯罪且裁判文書已公開的案件共計4443件。其中，2016年審結12件，2017年審結113件，同比上升841。67%，2018年審結388件，同比上升243。36%，2019年審結1723件，同比上升344。07%，2020年審結2207件，同比上升28。09%。

資訊洩露為何屢禁不止？業內人士表示，治理個人資訊洩露亂象，必須要完善頂層制度建設，加大對洩露和濫用個人資訊的處罰力度，讓犯罪者付出沉重代價。

“當前我國對個人資訊洩露事件的處罰低，不能起到足夠的震懾作用，這也讓企業不願在安全防護上做更多投入，即使出了問題，處罰金額還比不上安全防護的投入成本。”一位資訊保安從業人員坦言。

法律人士指出，違反國家有關規定，向他人出售或者提供公民個人資訊，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，並處罰金。

2020年7月公開徵求意見的資料安全法草案提出，在開展資料活動的組織、個人不履行資料安全保護義務或者未採取必要的安全措施的，由有關主管部門責令改正，給予警告，可以並處一萬元以上十萬元以下罰款，對直接負責的主管人員可以處五千元以上五萬元以下罰款；拒不改正或者造成大量資料洩露等嚴重後果的，處十萬元以上一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

實際上，在國際範圍內，企業資訊洩露的處罰金額高昂。例如，2020年，因Facebook違反使用者隱私保護策略，美國對其處以50億美元鉅額罰款；愛爾蘭也就個人資訊非法跨境傳輸問題，對Facebook處以了高達28億美元的罰款。透過提高單筆處罰金額等懲罰措施，倒逼資料控制者加強個人資訊保安保護，是打擊違法違規行為的有效手段。

違法成本太低可能造成企業對資料安全保障投入嚴重不足。“資料安全有別於傳統網路安全，它是特別強調跨學科的，需要法律和技術的融合互補才能找到最佳的風險解決方案。”中國資訊通訊研究院安全研究所資料安全研究部主任陳湉對記者表示，資料安全工作往往涉及多個部門，但法務部門不理解技術，安全部門不瞭解業務，業務部門更關注業務發展，這就很難形成一套體系化的完整的內部資料合規架構。

事實上，還有部分社會責任意識薄弱的企業將商業利益凌駕於社會利益之上，不願履行個人資訊保護的相關責任，甚者還藉助監管漏洞對個人資訊進行違規收集。

對外經濟貿易大學數字經濟與法律創新研究中心執行主任許可指出，由於缺乏頂層基本法律框架，現有個人資訊保護規定散見於各類法律中，並以部門規章及規範性檔案居多，法律位階低且適用效力有限，震懾作用還需加強。

新技術引發新問題 重點領域亟須立法補齊監管短板

記者瞭解到，個人資訊保護的頂層法律框架正在緊鑼密鼓地推進完善中。繼網路安全法與民法典這兩部重要的法律檔案落地之後，令人關注的個人資訊保護法、資料安全法也落地在即。目前，個人資訊保護法草案已提請全國人大常委會審議。3月19日，在國新辦釋出會上，國家網際網路資訊辦公室副主任楊小偉也表示，資料安全法、個人資訊保護法在加緊制定出臺。

法律專家表示，作為個人資訊保護領域基本法律框架，個人資訊保護法位階更高，綜合性更強，將從保護公民隱私的角度來看待資料安全問題，該法規有望理順各個資訊主體之間的關係，並針對個人資訊的收集、儲存、使用、共享等多個方面做出規定。而資料安全法則有望從國家安全、公共安全的角度出發，對先前法規中一些尚不明確的部分進行限定。

不過，專家也表示，兩部立法草案還缺乏配套的下位法，部分問題處於模糊地帶，需進一步出臺配套法律法規，針對具體問題制定相應解決措施。

此外，由人臉識別技術等新技術濫用帶來的問題，也為防範資訊洩露帶來了新的挑戰。近年來，人臉識別技術被廣泛用於城市安防、支付轉賬等領域，伴隨這一技術加速落地應用的同時，資訊洩露風險大、安全漏洞難消除等問題也日益凸顯。

對此，業內指出，針對醫療、生物識別等個人特殊敏感資訊的專項立法也需要不斷推進。劉權介紹，例如日本、美國等國家偏向於針對不同特徵的個人資訊採取精細化治理和保護模式，日本採用“基本法+專門法”的雙重規制架構保護個人醫療資訊保安；美國在各州及聯邦層面均出臺專項法案保護個人生物識別資訊保安。他認為，我國可考慮借鑑相關做法，對醫療、生物識別、地理位置等特殊敏感資訊進行分類專項保護。

許可表示，在大資料時代，資訊科技的變化日新月異，個人資訊洩露的新問題也會層出不窮，法律細則需要不斷完善以面對個人資訊保護新的場景與新的問題。金融、醫療健康、通訊等專業領域也需要單獨立法強化個人資訊保護，國家的強制性標準、行業性的標準也需要進一步完善。

據悉，在金融領域，針對一些科技公司利用市場優勢，過度採集、使用企業和個人資料，甚至盜賣資料的行為，監管部門正在研究制定金融資料安全保護條例，構建更加有效的保護機制，防止資料洩露和濫用。（完）

影片拍攝：潘悅

影片解說：李安然

影片剪輯：王毅卉

終審：周寧

監製：陳東

編輯：申楠