邵海鵬

　　以8個(gè)比特幣（約人民幣37萬元）標(biāo)價(jià)，就可以輕松獲得1.3億條酒店入住登記身份信息，和2.4億條酒店開房記錄。

　　這是8月28日爆出的華住集團(tuán)旗下所有酒店用戶數(shù)據(jù)被泄露的情況。截至目前，華住集團(tuán)官方回應(yīng)，已啟動(dòng)內(nèi)部自查并報(bào)警。同時(shí)，上海警方已介入調(diào)查，表示將始終嚴(yán)厲打擊非法獲取、買賣、交換、提供公民個(gè)人信息等違法犯罪行為。

　　而這已是華住集團(tuán)第二次被卷入信息泄露事件。國內(nèi)安全漏洞監(jiān)測平臺(tái)烏云（WooYun.org）早在2013年就發(fā)布報(bào)告稱，如家、漢庭等大批酒店的開房記錄被第三方存儲(chǔ)，并且因?yàn)槁┒炊孤丁Ｃ嫦虼蟊娛袌龅臐h庭即為華住酒店集團(tuán)旗下酒店。

　　面對(duì)個(gè)人信息泄露，中國電子商務(wù)協(xié)會(huì)政策法律委員會(huì)副主任、上海段和段律師事務(wù)所合伙人劉春泉表示，目前曝光的因信息泄露而造成的重大刑事案例，都不是個(gè)人泄露的。從國家立法角度來說，約束企業(yè)的思路是對(duì)的。

　　8月29日，中國消費(fèi)者協(xié)會(huì)公布的《App個(gè)人信息泄露情況調(diào)查報(bào)告》（下稱《報(bào)告》）建議，如何保護(hù)消費(fèi)者個(gè)人信息和隱私，尊重消費(fèi)者的價(jià)值和意愿，讓消費(fèi)者個(gè)人信息和隱私數(shù)據(jù)不再“裸奔”，并受到合理的尊重和保護(hù)，離不開社會(huì)各界的廣泛參與和共同治理。

圖片來源：《App個(gè)人信息泄露情況調(diào)查報(bào)告》

　　個(gè)人信息采集及泄露呈普遍趨勢

　　當(dāng)下，消費(fèi)者在享受移動(dòng)互聯(lián)網(wǎng)快速發(fā)展帶來的各種利好時(shí)，個(gè)人隱私信息泄露、盜用、販賣事件時(shí)有發(fā)生，騷擾、詐騙電話和郵件時(shí)有發(fā)生。

　　前述《報(bào)告》稱，根據(jù)5000多份有效問卷調(diào)查結(jié)果，個(gè)人信息泄露情況相當(dāng)嚴(yán)重，信息泄露途徑和表現(xiàn)形式多樣。個(gè)人信息泄露總體情況比較嚴(yán)重，遇到過個(gè)人信息泄露情況的人數(shù)占比為85.2%。

　　由于個(gè)人信息的大范圍泄露，電信詐騙屢見不鮮。劉春泉表示，電信詐騙之所以屢屢得逞，是因?yàn)閭€(gè)人信息“裸奔”泛濫，騙子能報(bào)出準(zhǔn)確的個(gè)人信息，導(dǎo)致迷惑性強(qiáng)，稍有不慎就容易上當(dāng)。

　　不過，個(gè)人信息大范圍泄露與網(wǎng)絡(luò)實(shí)名制有很大關(guān)系。由于對(duì)個(gè)人信息的重要性認(rèn)識(shí)不到位和缺乏個(gè)人信息保護(hù)的專業(yè)技能，普遍都沒有得到很好的技術(shù)和法律保護(hù)。

　　此外，手機(jī)App過度采集個(gè)人信息呈現(xiàn)普遍趨勢?！秷?bào)告》稱，手機(jī)App需要獲取的權(quán)限種類繁多，最突出的是獲取位置信息和訪問聯(lián)系人權(quán)限；而且存在App自身功能使用非必要的情況下獲取用戶隱私權(quán)限，增加了個(gè)人信息泄露的風(fēng)險(xiǎn)；多數(shù)受訪者認(rèn)為手機(jī)App采集個(gè)人信息的原因是為了推銷廣告。

　　值得關(guān)注的是，信息泄露也呈現(xiàn)增長趨勢。數(shù)據(jù)顯示，2016年全年泄露或被盜的數(shù)據(jù)量大約是19億條。而2017年，雅虎在提交給美國金融監(jiān)管機(jī)構(gòu)的文件中，承認(rèn)30億賬戶全部泄露。一家的泄露數(shù)據(jù)量，相當(dāng)于2016年全年的1.5倍。

　　中國電子商務(wù)研究中心特約研究員、地歌網(wǎng)CEO余德接受第一財(cái)經(jīng)記者采訪時(shí)表示，信息泄露的實(shí)施主體有個(gè)體也有組織。獲取的方式也可分為兩類，一類是通過職務(wù)行為非法獲取，以及非法購買、收受、交換等方式獲取，另一類是技術(shù)泄露，如漏洞、木馬、拖庫（黑客術(shù)語，意即將數(shù)據(jù)庫里所有數(shù)據(jù)全部盜走）等。

　　對(duì)于此次華住集團(tuán)的信息泄露，也有業(yè)內(nèi)人士分析，主要是有“內(nèi)鬼”主動(dòng)泄露相關(guān)信息。

　　此外，消費(fèi)者個(gè)人信息泄露后的應(yīng)對(duì)措施不足。調(diào)查數(shù)據(jù)顯示，在個(gè)人信息泄露情況發(fā)生后，消費(fèi)者最擔(dān)心被利用從事詐騙竊取活動(dòng)或交給第三方。然而，最終有大約三分之一的受訪者選擇“自認(rèn)倒霉”，消費(fèi)者的主動(dòng)維權(quán)意識(shí)還有待加強(qiáng)。

　　余德表示，從公民個(gè)人信息的侵犯維度來看，在互聯(lián)網(wǎng)發(fā)展的歷史上，個(gè)人信息泄露的事件一直都有。如果是離職員工泄露數(shù)據(jù)或在職員工內(nèi)外合作非法“盜取”的情況，酒店需要為內(nèi)部管理存在漏洞而承擔(dān)相應(yīng)責(zé)任。如果是黑客“拖庫”入侵，要是企業(yè)沒有給予與其規(guī)模相匹配的技術(shù)保護(hù)，則也需要承擔(dān)相應(yīng)責(zé)任，像華住這樣擁有龐大體量個(gè)人信息的集團(tuán)企業(yè)，應(yīng)該配備高級(jí)別的安全防護(hù)等級(jí)。否則，企業(yè)也是受害方。

圖片來源：《App個(gè)人信息泄露情況調(diào)查報(bào)告》

　　提高立法司法機(jī)關(guān)的認(rèn)識(shí)

　　個(gè)人信息保護(hù)立法事關(guān)每個(gè)公民利益，也是大家切身感受到的各種信息騷擾、電信詐騙背后涉及的法律問題。

　　個(gè)人信息保護(hù)法的研究已經(jīng)持續(xù)多年，雖然目前還沒有列入人大的立項(xiàng)規(guī)劃，但學(xué)術(shù)界認(rèn)為繼網(wǎng)絡(luò)安全法和電子商務(wù)法之后，個(gè)人信息保護(hù)法是下一個(gè)網(wǎng)絡(luò)信息領(lǐng)域必須重點(diǎn)研究的立法課題。

　　2012年底，全國人大常委會(huì)也發(fā)布了加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定，正式推行網(wǎng)絡(luò)實(shí)名制，同時(shí)從立法層面明確了個(gè)人信息保護(hù)的法律要求。2017年6月1日，《網(wǎng)絡(luò)安全法》正式施行。

　　日前，民法典各分編草案初次提請(qǐng)十三屆全國人大常委會(huì)第五次會(huì)議審議。針對(duì)隱私權(quán)和個(gè)人信息保護(hù)領(lǐng)域存在的突出問題，人格權(quán)編草案在現(xiàn)行法律規(guī)定基礎(chǔ)上進(jìn)一步強(qiáng)化對(duì)隱私權(quán)和個(gè)人信息的保護(hù)，并為即將制定的個(gè)人信息保護(hù)法留下銜接空間。

　　中國法學(xué)會(huì)民法學(xué)研究會(huì)副秘書長孟強(qiáng)表示：“草案首次對(duì)隱私權(quán)作出了明確的界定，用單獨(dú)一章對(duì)保護(hù)隱私權(quán)和個(gè)人信息進(jìn)行了詳細(xì)的規(guī)定，有效回應(yīng)了現(xiàn)實(shí)需求。”

　　劉春泉日前撰文稱，縱觀各國個(gè)人信息保護(hù)的立法模式，個(gè)人信息單行法立法保護(hù)是比較普遍采用的做法。雖然徐玉玉案件極大提高了個(gè)人信息保護(hù)必要性的認(rèn)知程度，但全社會(huì)尤其是立法司法機(jī)關(guān)對(duì)于個(gè)人信息的價(jià)值和保護(hù)的必要性的認(rèn)識(shí)現(xiàn)狀還太低。很多人還是無法把個(gè)人信息保護(hù)與電信詐騙等個(gè)人信息濫用的惡劣后果聯(lián)系起來。

　　劉春泉表示，“這一次，華住集團(tuán)信息泄露，有可能你我的信息都在其中，但是我們很難證明，有哪些損害后果。”

　　“按照一般的侵權(quán)行為，法律上有4個(gè)要點(diǎn)，侵權(quán)行為、損害后果、因果關(guān)系、當(dāng)事人過錯(cuò)。要證明是被告把你的信息泄露了，而信息泄露這個(gè)鏈條其實(shí)是很長的，一般原告當(dāng)事人是很難證明的，這是一個(gè)很重要的原因。”劉春泉說。

　　劉春泉認(rèn)為，華住集團(tuán)等企業(yè)之所以不夠重視個(gè)人信息安全，在于法律對(duì)他們沒有威懾。不過，現(xiàn)在法律環(huán)境也變了，《網(wǎng)絡(luò)安全法》也已經(jīng)實(shí)施。要是再打官司的話，有可能也會(huì)發(fā)生變化。

　　他認(rèn)為，對(duì)于這個(gè)案件，有可能觸發(fā)主管部門對(duì)其進(jìn)行立案調(diào)查。除了刑事案件以外，還會(huì)調(diào)查華住集團(tuán)有無履行《網(wǎng)絡(luò)安全法》的義務(wù)。如果履行了可以減輕責(zé)任，現(xiàn)在信息泄露，肯定也是有合規(guī)工作沒做到位的地方。因?yàn)楸Ｗo(hù)信息安全是企業(yè)的法定義務(wù)，沒有保護(hù)好，導(dǎo)致泄露涉嫌違法。

　　中國消費(fèi)者協(xié)會(huì)也建議，從健全相關(guān)法律法規(guī)方面，進(jìn)一步明確網(wǎng)絡(luò)信息服務(wù)中交易雙方的權(quán)利義務(wù)，特別是對(duì)App服務(wù)提供商的義務(wù)與責(zé)任約束，做好個(gè)人信息和數(shù)據(jù)應(yīng)用中相關(guān)風(fēng)險(xiǎn)和問題的應(yīng)對(duì)與研判，讓網(wǎng)絡(luò)時(shí)代的數(shù)據(jù)產(chǎn)業(yè)在法治范圍內(nèi)發(fā)展。

　　此外，手機(jī)App的監(jiān)管和個(gè)人信息的保護(hù)，需要工信、市場監(jiān)管、公安、文化、網(wǎng)安等有關(guān)部門協(xié)同共治、動(dòng)態(tài)監(jiān)管。在嚴(yán)格準(zhǔn)入門檻和登記備案的同時(shí)，要嚴(yán)厲懲處各類違法違規(guī)行為，嚴(yán)厲打擊個(gè)人信息販賣的黑色產(chǎn)業(yè)鏈，對(duì)于侵犯消費(fèi)者個(gè)人隱私信息的行為，形成常態(tài)化監(jiān)管機(jī)制。

　　個(gè)人信息立法的借鑒經(jīng)驗(yàn)

　　當(dāng)前，中國個(gè)人信息保護(hù)的司法案例，主要由一些法律專業(yè)人員，例如律師、消費(fèi)者保護(hù)機(jī)構(gòu)等在推動(dòng)。

　　劉春泉稱，由于我國目前個(gè)人信息維權(quán)民事案件本來就少，除了江蘇消保委起訴百度撤訴外個(gè)人還基本都敗訴，因而企業(yè)沒有盡到合理謹(jǐn)慎的信息安全保障義務(wù)甚至是赤裸裸侵權(quán)行為，本來就舉證困難，現(xiàn)在則基本就是零風(fēng)險(xiǎn)狀態(tài)。

　　目前，我國個(gè)人信息保護(hù)在行政執(zhí)法領(lǐng)域，主要是《消費(fèi)者權(quán)益保護(hù)法》、《網(wǎng)絡(luò)安全法》。《網(wǎng)絡(luò)安全法》的執(zhí)法力度相對(duì)較大，根據(jù)公布的案例，騰訊微信、新浪微博、百度貼吧涉嫌違反《網(wǎng)絡(luò)安全法》被立案調(diào)查，BOSS直聘被網(wǎng)信辦責(zé)令整改，這算目前的重大執(zhí)法案件。

　　與此形成鮮明對(duì)比的是，雖然歐美也不乏個(gè)人信息泄露事件，但歐美企業(yè)普遍比較重視網(wǎng)絡(luò)隱私或個(gè)人信息保護(hù)，并非自覺，而是迫于實(shí)實(shí)在在的法律風(fēng)險(xiǎn)。

　　例如，2012年谷歌因?yàn)闉g覽器safari設(shè)置問題，曾被美國聯(lián)邦通信委員會(huì)（FCC）罰款2250萬美元；2014年9月Verizon公司因?yàn)闆]有給200萬電話用戶提供Optout(退出)選擇，被FCC查處，結(jié)果以740萬美元和解結(jié)束對(duì)其涉嫌侵犯隱私的調(diào)查等。

　　劉春泉稱，中國在立法時(shí)，應(yīng)該較多參考研究其他域外立法，包括印度、新加坡、日本，其個(gè)人信息保護(hù)水平也不低于我國。

　　他認(rèn)為，從中國反壟斷法的執(zhí)法來看，個(gè)人信息保護(hù)執(zhí)法不排除學(xué)習(xí)歐盟的可能性。結(jié)合歐盟對(duì)谷歌等企業(yè)反壟斷等多次巨額罰款，這一行政執(zhí)法措施監(jiān)管確實(shí)震懾力巨大，可以通過巨額罰款的行政責(zé)任引導(dǎo)企業(yè)合規(guī)。在目前，司法訴訟仍不失為中國個(gè)人信息保護(hù)立法值得考慮的主要保護(hù)途徑。從科學(xué)合理與漸進(jìn)進(jìn)程角度來說，通過民事訴訟責(zé)任引導(dǎo)企業(yè)合規(guī)，似乎更加科學(xué)合理。