下载掌阅APP,畅读海量书库
立即打开
在大数据时代背景下,个人信息安全问题尤为突出。下文主要对危害个人信息安全的行为以及个人信息安全危机产生的原因进行深入分析,以便更深层次地探讨大数据时代个人信息相关问题与应对策略。
个人信息的价值之一在于通过信息处理技术可以带来经济利益,同时也能够以数据为载体在个人信息主体以及不同信息控制者之间流转。因此,大量的不法分子为谋求不法利益而非法获取、提供或者违规使用公民个人信息。在大数据时代背景下,信息数据数量呈现爆炸式的增长趋势,个人信息内容更为多元,个人信息主体对个人信息的管控力降低,危害个人信息安全的行为更加多样化,个人信息泄露风险更大,个人信息盗窃损害后果更严重。
这意味着,公民个人信息随时随地可能受到个人信息盗窃等行为的不法侵害,对个人信息主体乃至社会公众造成严重危害。在大数据时代背景下,危害个人信息安全的行为主要包括如下类型:
非法获取公民个人信息是指未经个人信息主体明确同意而私自开展的个人信息采集活动。其常见的形式包括非法窃取、非法收买和超范围搜集公民个人信息。下文将对三种非法获取公民个人信息的方式及其行为对象、行为主体、行为手段、行为目的和行为后果等特征进行深入剖析。
1.窃取个人信息
窃取个人信息是指个人或团伙以非法获利为目的,在未经信息主体明确同意或授权的情况下,通过黑客攻击或社会工程学攻击等技术非法盗取公民个人信息的行为。不法分子为了商业目的、非法交易目的、实行其他非法犯罪行为需要而通过各种方式窃取公民个人信息,在互联网环境下,该行为呈现出窃取主体模糊化、窃取行为隐匿化、窃取手段多样化、利益损失严重化的特征。
在大数据时代背景下,个人信息所涵盖的商业价值得到商业机构的充分挖掘,成为商家实施精准营销的“利器”,也吸引众多不法分子对其进行窃取,并通过个人信息盗窃灰色产业链获取利益。比如,2016年9月,雅虎公司向社会公众公开披露其于2014年因遭受黑客入侵而使5亿多用户的账户信息遭到窃取。
又如,2018年8月,上海华住酒店集团信息被窃案进入公众视线,引起社会各界广泛关注:一网民在线销售上海华住酒店集团旗下5亿条酒店会员数据,引发广大社会公众的担忧,在历时12个昼夜的侦查后,警方打掉了窃取上海华住酒店集团酒店会员数据并以此对该集团实施敲诈行为的职业黑客犯罪团伙,抓捕了三名涉案犯罪嫌疑人。
窃取个人信息行为具有以下特点:第一,在行为对象方面,个人信息窃取针对的客体是随着大数据产业的发展而变化的。在大数据时代之前,个人信息窃取的客体主要为交易服务或其他服务中的鉴权类信息,不法分子并非看重此类信息本身的价值,而是看重通过此类信息可以获得的财产,如游戏账号密码、银行卡账号密码、社交软件账号密码等。而在大数据时代,数据分析技术更为发达,信息本身蕴含的价值得以被充分挖掘,个人信息窃取的主要客体则转变为用户身份标识信息、用户数据和服务内容信息、用户服务相关信息等,如身份证号码、网购订单、物流信息、位置信息、交易记录等。此类信息经过分析处理后,可以获取比鉴权类信息更大的价值。此外,大数据带来的行为对象的变化,还体现在被窃取的个人信息的数量增多。第二,在行为主体方面,既包含国内的个人、单位、群体组织等,也包含国外的个人、单位和群体组织等。相对而言,群体组织和单位等主体的专业化程度更高,组成成员之间有明确的分工,其中单位往往能利用提供服务和进行商业经营的便利对个人信息进行窃取。但是,随着互联网的发展,获取个人信息盗窃技术手段的渠道越来越广泛,加之黑客培训产业兴起,个人主体掌握信息窃取技术的门槛逐渐降低,越来越多的个人主体也参与到个人信息窃取活动中。第三,在行为手段方面,目前个人信息窃取手段包括但不限于利用恶意捆绑、WIFI钓鱼、路由器入侵、木马病毒等黑客攻击技术,各种社会工程学攻击技术,以及通过IP地址收集用户的一些使用记录等,同时还包括通过具有跟踪功能的Cookies软件测定并跟踪用户在网站上所进行的操作等手段。第四,在行为目的方面,不法分子窃取个人信息的目的包括自身商业目的使用以及非法交易、数据互换等。第五,在行为后果方面,以个人信息窃取为基础,衍生出了信息交易黑市,并且形成了一条庞大的灰色产业链,对个人信息主体造成的危害更大,对社会造成的影响也更为深远。例如,个人信息窃取者通过黑客技术与社会工程学技术结合的方式,通过角色分工建立个人信息的流通机制,甚至建立了个人信息黑市交易平台,并制定了交易流程。更为严重的是,个人信息盗窃灰色产业链的发展呈活跃趋势,一旦被窃取的个人信息进入数据黑市,则有可能最终落入全球犯罪分子手中,成为实施各种犯罪活动的工具,给信息主体、信息持有人造成不可估量的人身、财产损失。
2.非法购买、收受、交换个人信息
在大数据时代,不法分子除了通过窃取的方式获得公民个人信息之外,还会通过其他非法方式,如购买、收受和交换等方式获取公民个人信息。2017年5月8日,最高人民法院、最高人民检察院(以下简称“两高”)公布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,该解释对侵犯公民个人信息犯罪适用法律问题作了规定。其中,第4条明确将非法购买、收受、交换个人信息的行为归入非法获取公民个人信息的范畴。
具体来说,此类行为是指通过有经济利益、无经济利益或者自由交换等方式非法获取公民个人信息,与非法窃取公民个人信息这类直接获取公民个人信息的方式不同,此类行为属于间接地非法获取公民个人信息。
在三种间接获取公民个人信息行为中,非法购买是指支付一定数目的金钱获得公民个人信息的方式,是一种较为常见、发案率相对较高、危害较为严重的个人信息非法获取方式。
比如,在章某某等诈骗、侵犯公民个人信息案(此案是2017年最高人民检察院发布的六起侵犯公民个人信息犯罪典型案例之一)中,被告人章某某于2016年年初通过互联网非法购买公民个人信息12555条,并于2016年3月至4月期间雇用被告人汪某某等利用先前获取的学生家长联系电话等个人信息,冒充学校教务处、教育局工作人员,以为学生发放国家教育补贴款为由,诱骗家长持卡转账以获取非法利益。至被查获时,章某某等人共拨打4392通诈骗电话,非法获利11.62万元。
非法收受个人信息是指在没有支付相应对价的情况下,无偿接受他人提供的个人信息的行为。在司法实践中,非法收受公民个人信息的行为通常发生在犯罪团伙中,其中负责利用个人信息谋取不正当利益的成员往往也是实施非法收受行为的主体。例如,在刘某某、郑某某侵犯公民个人信息案
中,刘某某非法获取公民个人信息后,无偿提供给郑某某,郑某某则将非法收受的公民个人信息用于非法经营,并将非法获利与刘某某瓜分。
非法交换个人信息的行为是指持有他人个人信息的主体相互交换彼此所持有个人信息,尽管双方均是无偿交换自己所持有的个人信息,但双方在获取更多的个人信息后均可能进一步实施出售、非法提供、冒用身份诈骗等非法行为,从而给公民的人身、财产安全造成巨大的损失。例如,在梁某某、冯某侵犯公民个人信息案
中,为了扩大生源,冯某购买梁某某出售的学生个人信息之后,与教育培训机构旧同事黄某某互相交换公民个人信息近2万条,对有关学生的生活安宁造成了较大损害。
以上三种间接非法获取他人个人信息的行为是当下非法获取公民个人信息行为较为典型的一大类,由此给公民所带来的经济损失乃至人身伤害是难以估算的。此类行为的特点为:第一,在行为对象方面,此类行为所针对的个人信息主要是电话、姓名、网购信息、物流信息等用户数据和服务内容信息以及用户服务相关信息。第二,在行为主体方面,此类行为的实施者通常是利用个人信息进行违法犯罪活动、利用个人信息经营或者继续将个人信息进行流通以赚取差价或获取更多个人信息的个体、单位或群体组织。此类主体在个人信息盗窃灰色产业链中常处于中游位置。第三,在行为手段方面,此类行为主体通常经过组织内部的专用信息传输渠道或者专门的个人信息交易渠道,非法获取公民个人信息。例如,在前述刘某某、郑某某侵犯公民个人信息案中,犯罪嫌疑人即通过企业微信传递个人信息;在曲某某侵犯公民个人信息案
中,曲某某通过个人信息黑色交易渠道,通过与其他违法犯罪主体的QQ号交流而获取公民个人信息。第四,在行为目的方面,此类行为主体与实施窃取个人信息行为主体的目的大致相同,均为自身商业目的而使用、非法交易、互换个人信息;不同之处在于,此类行为主体将非法获取的个人信息用于商业目的使用的情况更为常见。第五,在行为后果方面,此类行为常发生在个人信息盗窃灰色产业链的中下游,违法犯罪分子可能直接利用以上述方式获取的个人信息进行违法犯罪活动,给个人信息主体带来更为直接的损害。
3.利用履行职责或提供服务的便利非法获取个人信息
部分非法获取个人信息的行为发生在行为主体履行职责或者为个人信息主体提供服务的过程中,该行为形式上合法但实质上却违反了有关法律规定。在大数据时代背景下,此类行为主要有两种表现形式:
第一种是超范围收集公民个人信息。主要包括两类行为:(1)一些公职人员在履职过程中出于单位利益或个人利益而违反国家的相关规定,强行要求或采取欺骗的手段收集单位规定或法定范围之外的个人信息。
由于上述公职人员的职务身份带来的强制力,公民往往不得不提供相关信息,从而可能因后续非法交易、非法泄露、出售等行为而遭受经济损失或精神损害。(2)一些应用程序、商业机构未经用户同意且未向用户明示申请的情况下超范围收集用户个人信息。2020年1月,国家计算机病毒应急处理中心通过互联网监测发现,包括《12306买票》(版本2.3.11)、《搜狗浏览器》(版本5.25.9)、《航旅纵横》(版本5.1.3)等在内的多款移动应用程序存在隐私政策不合规,违反《网络安全法》相关规定,涉嫌超范围采集个人隐私信息的行为。
超范围收集行为本身不会直接给用户造成经济损失,但如果该行为与买卖个人信息等危害个人信息安全的后续行为相结合,则存在危害个人信息安全的可能性。
第二种是网络经营主体强制或欺骗用户签订不正当的用户协议或隐私政策,并在后续的产品或服务供应过程中非法获取用户的个人信息。
网络应用程序、电子商务平台、搜索引擎等网络经营主体往往会制定用户协议与隐私政策,对用户个人信息的披露、采集、使用等内容作出规定,用户如若要购买其产品或享受其服务,首先必须同意其用户协议与隐私政策等格式合同。然而,通常情况下,这些格式合同中的某些格式条款往往有利于网络经营者且存在危害用户个人信息安全的可能。网络经营主体通过后台操作自动获取用户个人信息,利用大数据技术对上述信息进行分析,从而推断出用户的行为偏好、消费模式以定向推送或精准营销。该行为一般不会对个人信息主体的人身、财产利益带来直接损失,但是部分网络经营主体通过上述技术了解到消费者的购买能力、消费意向之后,会就同一商品以不同的价格向不同消费者推送商品列表,也就是通常所说的“大数据杀熟”,除了可能违反《反垄断法》的规定,还侵犯了消费者的合法权益。此外,如果网络经营主体直接将收集来的个人信息进行出售、非法交易等,则导致用户面临个人信息泄露、接受垃圾广告、收到骚扰电话等风险。例如,在阮某某、薛某某、宋某某等侵犯公民个人信息案
中,被告人就通过开发“借来花”“掌上花”等贷款应用程序可移植性配置文件(Application Protability Profile, APP),假借提供贷款服务而欺骗用户填写个人信息,并将用户个人信息出售以谋取不正当利益。
此类非法获取公民个人信息的行为具有以下特点:第一,在行为对象方面,此类非法获取公民个人信息的行为所针对的信息类型不限,用户身份和鉴权信息、用户数据和服务内容信息、用户服务相关信息都可能成为其非法收集的目标。第二,在行为主体方面,包括公职人员和非公职人员。其中,非公职人员通常会成立法人组织,以法人组织为依托提供互联网服务,并借机非法获取个人信息。第三,在行为手段方面,公职人员通常是利用履行职务的便利非法获取政府机关收集的个人信息;非公职人员及其成立的法人组织通常是利用用户对网络服务协议不重视的心理,欺骗用户同意个人信息的过度收集,或者利用用户对网络免费服务的依赖性,强制用户以个人信息换取便利,也可能利用提供网络服务的便利,采取技术措施超协议范围收集用户个人信息。第四,在行为目的方面,不法分子收集个人信息之后,通常以出售、交换等方式提供给其他主体,供其他主体经营活动所需或者实施其他违法行为。部分APP超范围以及非必要地收集个人信息,是为了生成用户画像,从而做到对用户精准推送广告,以此谋取商业利益。第五,在行为后果方面,此类行为虽然通常不会给个人信息主体带来直接的危害,但是若个人信息流入个人信息盗窃灰色产业链的中下游,从而被世界各地的违法犯罪分子非法使用,则会使其人身、财产遭受损害。此外,此类行为会破坏消费者对互联网服务的信任,让消费者不再放心提供个人信息,对大数据产业的发展造成不利影响。
大数据技术促进了个人信息盗窃灰色产业链分工的细化,而出售、非法提供公民个人信息是连接灰色产业链上中下游的纽带,通过此类行为,公民个人信息在灰色市场中不断流通,最终落入位于世界各地的违法犯罪分子手中。出售公民个人信息,是指为了牟利而将自身掌握的公民个人信息出卖给他人的行为。非法提供公民个人信息,是指故意违反国家有关规定,将自身掌握的公民个人信息转移、传递至其他主体的行为。
值得注意的是,无论行为主体所掌握的公民个人信息来源是否正当,出售、非法提供个人信息都属于危害公民个人信息安全的行为。
此类行为的特点为:第一,在行为对象方面,此类行为对用户身份和鉴权信息、用户数据和服务内容信息、用户服务相关信息等所有类型的公民个人信息均可能产生危害。第二,在行为主体方面,实施此类行为的主体通常为个人信息盗窃产业链的上中游违法犯罪分子。第三,在行为手段方面,不法分子往往通过专门的渠道、交易平台、暗网、联系人等出售和非法提供个人信息。第四,在行为目的方面,行为主体主要是为了通过倒卖个人信息牟利,或者通过提供个人信息而换取其他利益,以及为组织中的其他成员实施其他违法犯罪行为提供相关信息。第五,在行为后果方面,出售、非法提供个人信息等行为造成个人信息在不同的信息持有者之间流转交易,使用户的个人信息安全受到严重的威胁,可能给权利人造成精神、财产上的损失甚至危害个人生命安全。
例如,在郭某某侵犯公民个人信息案中(此案是2017年最高人民检察院发布的六起侵犯公民个人信息犯罪典型案例之一),2015年3月至2016年9月1日期间,被告人郭某某利用其职务便利,非法获取楼盘业主、公司企业法定代表人及股民等的电话、工作单位、家庭住址等多类公民个人信息,后又将利用职务便利获得的个人信息与其他不法分子相互交换,非法获取更多个人信息。郭某某总共获得185203条个人信息,后通过QQ群发布并出售相关个人信息,非法获利人民币4000元。法院认定被告人将其在提供服务过程中获得的公民个人信息出售、提供给他人的行为构成侵犯公民个人信息罪,判处被告人有期徒刑七个月,并处罚金人民币2000元。
又如,2017年3月,涉全国数个省市的特大侵犯公民个人信息案被移送司法机关,在武某某等人非法出售公民个人信息案中,被告人通过QQ群出售公民个人信息共计1.25亿条,涉案金额高达10万余元。
类似案例并不鲜见,不法分子为获取利益而实施个人信息交换或出售、非法提供等行为,通过多次数据互换、交易积累大量个人信息并进行二次售卖以获取巨额利益,对公民的个人信息安全造成极大威胁。再如,快递公司将用户订单信息出售或非法提供给其他公司或个人。此外,一些公务人员违规提供其所掌握的公民个人信息资料、医务人员违反规章制度出卖他人个人信息等也时有发生,使个人信息成为一种交易产品,无形中给公众的人身、财产安全造成巨大的隐患。
非法利用公民个人信息的行为是个人信息盗窃灰色产业链运转的核心动力,正是因为有非法利用个人信息的需求,才导致上中游的非法获取和非法提供等转移个人信息的行为屡禁不止。非法利用公民个人信息,是指违反法律规定滥用公民个人信息的行为。非法利用公民个人信息的方式十分多样,给个人信息主体带来的损害最为直接,并对社会秩序造成严重影响。通常而言,非法利用个人信息的行为可以分为两类:第一,在完全没有征得个人信息主体同意的情况下非法利用个人信息。第二,虽然征得个人信息主体的同意,但是却违反与信息主体的约定而使用个人信息。
2019年11月28日,国家互联网信息办公室(以下简称“网信办”)秘书局、工业和信息化部(以下简称“工信部”)办公厅等联合制定了《APP违法违规收集使用个人信息行为认定方法》,落实了《网络安全法》中“未公开收集使用规则”“未明示收集使用个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”等非法利用个人信息行为认定标准的操作细节。
但是,该认定方法并未对非法利用个人信息行为的定义和特点进行更为具体的阐释。笔者认为,非法利用个人信息行为的特点为:
第一,在行为对象方面,由于非法利用个人信息行为的方式多种多样、涵盖范围十分广泛,因此,所有类型的个人信息皆可能成为被非法利用的对象。然而,不同的非法利用个人信息行为所针对的个人信息类型往往也存在区别。例如,通过人工智能换脸技术制作违法视频行为,主要针对信息主体的脸谱等生物标识信息进行非法利用;而2016年发生在山东的篡改他人高考志愿案,行为主体陈某某则主要针对其同学的鉴权信息和身份信息进行非法利用。
又如,该案中的不法分子,主要针对徐某某等高考考生的电话号码、高考录取信息等身份信息实施电信诈骗行为。
第二,在行为主体方面,非法利用公民个人信息的主体通常为个人信息盗窃灰色产业链下游的不法分子,是直接利用个人信息进行违法犯罪活动或者谋取不正当商业利益的行为人。
第三,在行为手段方面,通常需要借助其他技术对个人信息进行利用。例如,借助虚拟化技术大量注册虚假电商店铺和用户、借助人工智能技术制作违法视频、借助大数据技术定点推送广告等。
第四,在行为目的方面,非法利用个人信息主体通常以获取不正当利益为主要目的,如利用个人信息实施电信诈骗、“大数据杀熟”、拨打推销电话等。其中,不正当利益还包括除经济利益之外的其他利益,如身份、地位乃至教育机会等。例如,对于利用他人身份证号码、准考证号码、学籍信息等顶替他人进入大学的行为人,主要目的在于非法利用个人信息不正当谋取接受高等教育的机会。
同时,也有部分行为主体是出于恶意而对个人信息主体进行打击报复、侮辱等,如前述篡改高考志愿案以及利用人工智能换脸技术制作不雅视频等行为。
第五,在行为后果方面,非法利用个人信息的行为一般通过两种途径对个人信息主体造成危害。
一是直接将个人信息主体作为目标而利用该主体个人信息实施不法行为,如实施诈骗、拨打骚扰电话、发送垃圾邮件、制作换脸视频等,对个人信息主体的人身、财产权益造成严重危害。二是为达成其他目的而利用有关信息主体的个人信息,间接地对个人信息主体造成危害。例如,在前述冒名顶替上大学案例中,被冒名顶替者的受教育权便遭受了侵害。此外,在大数据时代,处理个人信息的技术更为发达和便捷,非法利用个人信息的行为还可能给社会稳定和国家安全造成危害。例如,美国政治咨询公司剑桥分析(Cambridge Analytica)就曾被曝光非法利用Facebook上巨量用户个人信息,试图参与操纵多国领导人选举等重大政治活动。
上文分析了危害个人信息安全的行为和法律后果,下文将进一步分析大数据时代个人信息安全危机频发的原因,以及相关行为主体实施侵害他人个人信息权的行为的动机,以更加深入地理解大数据时代背景下个人信息安全危机频发的核心问题和关键缘由。
个人信息的价值在大数据时代得到了深入挖掘,而不法分子则看到了其“潜在价值”。在大数据时代,个人信息是非常有价值的资源,蕴含着巨大的商业价值与公共管理价值,不但可以为政府决策提供依据,提高公共管理的效率,还可以作为生产资料,为企业制造商业利润。在公共管理方面,典型的例子便是2020年新冠肺炎疫情期间全国各地政府推出的健康码,其基本原理是收集公民的位置信息、行程信息、门诊信息等个人信息,利用大数据技术推算出个人信息主体感染病毒的概率,健康码的推行为我国平衡疫情控制与经营生产做出了很大贡献。
在商业价值方面,个人信息的常见用途之一是作为电商企业制作用户画像的基本资料,帮助电商企业实现精准营销,获得更多利润。
然而,个人信息的巨大价值也诱使不法分子不顾法律规定,利用公民个人信息牟取不正当利益。正如前文所述,不法分子利用他人个人信息,既可以实施其他下游违法犯罪活动或者超范围使用个人信息获取经济利益,也可以通过身份顶替、冒用等行为不正当获取受教育机会等非经济利益,还可以利用个人信息实施打击报复行为发泄自身的负面情绪。而利用个人信息的需求,使非法获取、非法提供个人信息等行为变得有利可图,推动这两种行为日益猖獗,导致公民个人信息安全面临严重危机。例如,为满足多家下游公司利用个人信息实现精准化营销等商业目的的需求,柴某某等人专门成立了数据堂(北京)科技股份有限公司,负责购进个人信息,对个人信息进行处理加工后向下游公司分销,在成立的8个月时间内,累计传输公民个人信息达数百亿条。
可以说,不法分子对不正当利益的追求是导致个人信息安全危机产生的根本原因。
个人信息保护相关立法不完善,将导致国家对个人信息盗窃灰色产业链的治理体系不健全,导致非法获取、非法提供和非法利用个人信息等危害个人信息安全的行为难以得到有效规制,进而导致威胁个人信息安全的行为不断发生。2021年11月1日起实施的《个人信息保护法》为我国个人信息保护提供了一个整体架构,从国家机关、个人信息所有者、个人信息处理者、履职部门等多方主体入手,对个人信息的保护进行了较为全面、系统、详细的规定。但是,该法仍存在可操作性不强、权利义务体系不够全面、法律责任不够明确等问题,有待日后逐步解决。
1.法律法规的协同性有待加强
当前,我国个人信息保护相关立法协同性的缺失主要体现为具体细则、规则的缺失和协调性的不足。《民法典》规定了个人信息保护的相关原则,《个人信息保护法》将大量细则、标准制定、评估体系的建立等任务授权给监管部门,但具体操作规则等均未明确,这可能导致在实际的立法、司法、执法实践中出现法律之间相互冲突、立法存在空白等问题。这样,针对个人信息的违法犯罪行为就难以得到有效规制,公民个人信息安全受到威胁的问题也难以根治。此外,法律法规协同性的缺失还可能导致不同法律价值之间的冲突无法被有效调和,引发更为严重的后果。例如,在个人信息保护与信息自由存在冲突的情况下,如果法律法规之间的基本价值取向也存在冲突,将可能激化个人信息主体与信息控制者之间的矛盾,甚至转化为社会矛盾。
2.法律规范的可操作性有待提高
当前,我国的《民法典》《网络安全法》《个人信息保护法》等已经对个人信息的保护进行了较为系统、全面的规定。但是,一些规定的可操作性仍然存疑。例如,《个人信息保护法》规定了“告知—同意”规则,但该规则给企业的落地实施提出了新的难题,特别是那些日常需收集处理大量个人信息的互联网企业以及需与第三方共享大量个人信息的企业,既要有效实施该规则(尤其是需单独同意的情形),又不能因此导致企业成本过高、行业发展受损或给用户带来不佳使用体验等问题。同时,危害个人信息安全的行为会随着技术的进步和时代的发展而不断出现新情况和新问题。因此,高位阶的法律在践行过程中必然会面临过于抽象而难以适用的问题,难以应对实践中的具体问题,也会导致部分危害个人信息安全的行为无法得到有效规制。
3.权利义务体系全面性有待提升
与美国、欧盟等个人信息保护立法较为先进的国家和地区相比,我国个人信息保护相关立法的另一重要不足,体现在权利义务体系设置的不完善上。例如,被遗忘权已得到欧盟《通用数据保护条例》明文规定,但我国《个人信息保护法》虽确立了信息删除权,被遗忘权的规定仍然处于空白状态。2015年任某某诉百度案二审判决
表明,在权利义务体系不完善的情况下,公民个人信息安全受到的威胁难以被消除,在个人信息受到侵害时难以获得有效救济,而不法分子却能逃避法律的制裁,引发危害个人信息安全的事件不断发生。
4.法律责任设置合理性有待提高
法律责任是对实行危害公民个人信息行为的不法分子实施制裁的重要武器。法律责任过轻,违法成本过低,对不法分子的威慑力就会大打折扣,进而导致危害个人信息安全的行为屡禁不止。而法律责任不全面将导致部分危害个人信息安全的行为得不到法律制裁,使个人信息安全面临持续威胁。例如,刑法未将非法利用个人信息行为列入侵犯公民个人信息罪的范畴,无法有效打击危害公民个人信息的利益源头,无法真正化解大数据时代下公民个人信息安全危机。
近些年,政府工作人员、网络服务提供商、电信运营商、网络平台运营商等个人信息控制者,因技术、意识、管理方面对个人信息采取的保护措施存在问题,或对企事业单位内部人员管理失职,致使公民个人信息被非法获取、非法提供给他人、非法利用等案件不胜枚举。比如,在河南开封市公安机关侦破的赵某等人侵犯公民个人信息案中(该案为公安部2020年4月16日公布的十起侵犯公民个人信息违法犯罪典型案件之一),电信运营商、社区干部、物流行业等多个主体内部人员与外部人员串通勾结,层层倒卖导致公民个人信息落入下游信息处理不法分子手中,不法分子利用此类个人信息实施网络诈骗、暴力催债等行为,侵害公民人身财产安全。该案共涉及公民个人信息1亿余条,最终冻结的涉案资金共计1000余万元。
该案是因个人信息控制者对内部员工管理不当导致公民个人信息被非法提供给他人,致使公民遭受电信诈骗、暴力催债从而遭受财产、精神损失的典型案例。除了对内部员工管理不当可能导致公民个人信息安全危机之外,企业采取的防范个人信息泄露的技术措施不当、对存储个人信息的数据库的操作规程设计和执行不当,也可能导致个人信息泄露。例如,在华住集团用户信息泄露案中,就流传有华住集团员工可能不慎将个人信息数据库连接方式上传至github(一个面向开源及私有软件项目的托管平台)而导致数据泄露的说法。