浅谈个人信息泄露
2月12日晚,Telegram各大频道突然大面积转发某隐私查询机器人链接。网传消息称该机器人泄露了国内45亿条个人信息,疑似电商或快递物流行业数据。泄露的信息包括真实姓名、电话与住址等,数据高达435GB。随着消息的发酵,“快递股”在2月15日集体出现闪崩,韵达、顺丰等均出现下跌,其中圆通速递跌幅一度近7%。圆通方面对此事回应称,“‘疑似45亿条信息泄露’与公司无关,公司生产经营一切正常。”但网友并不买账,不少网友表示,“与公司无关难道与个人有关吗?”“现在的网络这么发达,哪里还有隐私”“快递信息真的要加强管控了”。
绿盟科技数据安全专家陈怀源表示,电商和快递行业的业务经营涉及大量高价值的个人信息,包括姓名、电话、地址等,因此是黑客及黑灰产团伙的重点攻击目标。信息泄露当前有多种途径,信息的存储、流通过程中都存在泄露风险。知道创宇安全专家表示,当前在快递、电商行业个人信息泄露的方式主要有三方力量,外部网络攻击、内部员工泄露和数据流通泄露等。内部人员是电商、快递行业信息泄露的重要源头。北京数字认证股份有限公司研究院院长夏鲁宁认为,“不法分子可能通过利益诱惑,诱使内部人员违规出卖个人数据。还有可能采用技术门槛更低的方式,按照“计件”付费方式,雇佣社会人员直接从丢弃的快递外包装上收集个人信息。”“同时,电商和快递行业需要对接大量第三方合作伙伴以及最终用户,互联网出口众多,自身网络安全环境、员工安全意识、安全技术手段等方面都存在很大漏洞与不足,容易遭受黑客攻击、社工、内部员工泄密,或者合作方信息泄露等威胁。”
当信息被买卖利用后,用户的个人生活也将受到影响,甚至带来人身、经济、精神方面的威胁和损失。陈怀源认为,除了相关企业要保障信息安全之外,用户个人也要加强个人信息保护意识,不轻易泄露个人信息。同时,在遭受个人信息泄露时,及时向泄密单位提起诉讼,要求赔偿。
为此,我们可以寻求保护个人数据安全的对策:
(一)完善个人信息立法保护
针对大数据征信的特点,以征信业规制和网络个人信息保护的专门立法现有成果出发,通过立法出台统一的个人信息国家技术标准,给已有的普遍分散立法以操作的指引,制定最低标准网络个人信息保护法,明确规定个人隐私的信息、个人信息采集基本原则和使用目的,采集收集的负面清单制度,防止个人信息被滥用。通过构建完善的个人信息保护法律体系,为征信体系安全建设提供更有力的法律支撑。
(二)加强行政监督管理与行业自律
加强数据安全体系和信息监管体系建设,防范非法入侵造成信息泄露,对于信息泄露问题完善危机应急预案和补救措施。加强信息安全执法监管,严厉打击非法泄露、买卖信用数据的行为,加大对泄露个人信息企业的问责和处罚,对征信管理机构开展内部安全认证和行业自律机制建设,充分发挥征信行业协会其协调沟通征信机构与监管机构的作用,加强征信行业业务交流和制定技术标准,开展征信信息保护宣传,提高民众意识。
(三)探索多元化个人信息保护救济方法
建立征信机构内部的纠纷处理机制,完善信息异议处理解决机制,缩短错误征信数据信息的更正时限,提高征信信息录入质量。完善个人对征信机构的投诉渠道,引入征信行业调解、仲裁和第三方纠纷非诉解决的法律机制。对于公民维护个人合法权益面临取证难、诉讼难等问题,完善互联网情景中个人信息侵权赔偿制度,并在个人信息保护中引入举证责任倒置和集体诉讼机制,优化个人信息司法保护程序,提供便捷高效的法律救济渠道。
(潘青丹 宁波大学法学院2022级法律硕士研究生)
