0 引言

華住集團(tuán)用戶數(shù)據(jù)在暗網(wǎng)售賣一事，在網(wǎng)絡(luò)上引起軒然大波。所泄露信息包含用戶的姓名、身份證號、登錄密碼等內(nèi)容。數(shù)量高達(dá)5億條，波及人數(shù)超過1.3億。規(guī)模之大、范圍之廣，在進(jìn)入網(wǎng)絡(luò)時(shí)代以來尚屬首例。借助網(wǎng)絡(luò)的高速傳播，危害已然無法挽回。而由于沒有切實(shí)證據(jù)，所以事故責(zé)任至今無法明確認(rèn)定。其實(shí)，在此之前不足三個(gè)月，大規(guī)?！拔⒉┍I號”案剛剛塵埃落定，在此之后“Githup”密碼泄露案又隨之而來。在企業(yè)廣泛應(yīng)用大數(shù)據(jù)技術(shù)為用戶畫像以實(shí)現(xiàn)精準(zhǔn)營銷的環(huán)境下，用戶信息的價(jià)值不斷被無保護(hù)的挖掘，而信息安全技術(shù)的應(yīng)用與相關(guān)法規(guī)的創(chuàng)新顯著滯后，導(dǎo)致信息泄露問題變得十分普遍。所以，關(guān)于個(gè)人信息保護(hù)問題的探討在現(xiàn)如今是一個(gè)十分重要而且迫切需要解決的議題。

1 個(gè)人信息保護(hù)面臨的嚴(yán)峻形勢

1.1 立法層面的問題

1.1.1 個(gè)人信息概念界定模糊

只有理解清楚，什么是“個(gè)人信息”，才能更好地用法律武器保護(hù)個(gè)人信息。我國《網(wǎng)絡(luò)安全法》中規(guī)定：“以數(shù)字信息技術(shù)為載體，可以獨(dú)立或結(jié)合其他信息對公民個(gè)人身份進(jìn)行識別的相關(guān)信息”屬于個(gè)人信息。然而在網(wǎng)絡(luò)時(shí)代，個(gè)人信息更加多樣化，涵蓋的內(nèi)容更多，法律無法作出有效的保障。在學(xué)者給出的建議稿中采用了《中華人民共和國網(wǎng)絡(luò)安全法》中關(guān)于個(gè)人信息的界定[1]。但是至今沒有一個(gè)明確的概念。

1.1.2 現(xiàn)有法律法規(guī)不完善

我國現(xiàn)有關(guān)于個(gè)人信息保護(hù)的法律法規(guī)尚不完善。目前，我國法律對個(gè)人信息以間接保護(hù)為主。如：《身份證法》（2003年）、《消費(fèi)者權(quán)益保護(hù)法》（2013）、《刑法修正案（九）》（2015年）等法案間接規(guī)定了不允許泄露、買賣個(gè)人信息，并增設(shè)了非法獲取信息的罪名?！毒W(wǎng)絡(luò)安全法》（2016）中也明確規(guī)定了網(wǎng)絡(luò)環(huán)境下個(gè)人保護(hù)的基本規(guī)則。從民事權(quán)利的保護(hù)來看，目前《民法總則》中僅有相關(guān)規(guī)定，卻并沒有有效的懲處措施，所以威懾力度較弱。從刑法來看，刑法條文中針對的信息泄露問題主要是“泄露”、“非法購買”等犯罪行為，而對“非法使用”則缺乏約束力。

1.2 監(jiān)管層面的問題

1.2.1 監(jiān)管機(jī)制不健全

面對大數(shù)據(jù)時(shí)代個(gè)人信息泄露的嚴(yán)峻趨勢，我國還沒有建立起一套完善的政府監(jiān)管機(jī)制[2]。2014年，我國制定并推行了《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》標(biāo)準(zhǔn)，明確規(guī)定了參與云服務(wù)的企業(yè)需要具備的信息安全管理資質(zhì)。然而，該標(biāo)準(zhǔn)尚不完善，導(dǎo)致許多管理不規(guī)范、技術(shù)水平不夠的服務(wù)商參與進(jìn)來，使得個(gè)人信息安全的事前監(jiān)管機(jī)制失效。此外，由于個(gè)人信息在大數(shù)據(jù)時(shí)代展現(xiàn)出極高的商業(yè)價(jià)值，而企業(yè)有逃避現(xiàn)有監(jiān)管部門監(jiān)管的技術(shù)能力，這為事中監(jiān)管制造了很大的困難。最后，網(wǎng)絡(luò)技術(shù)產(chǎn)業(yè)逐漸成為地方經(jīng)濟(jì)發(fā)展的支柱性產(chǎn)業(yè)，許多地方政府對大數(shù)據(jù)發(fā)展往往采取保護(hù)態(tài)度，秉持“效率凌駕公平”的理念，對信息泄露問題的處罰標(biāo)準(zhǔn)較低，事后監(jiān)管的威懾力不足。

1.2.2 單邊治理問題嚴(yán)重

目前我國個(gè)人信息安全保護(hù)和監(jiān)管工作主要由政府部門負(fù)責(zé)，然而個(gè)人信息安全問題涉及的利益主體不僅包含政府，還包括企業(yè)、個(gè)人以及行業(yè)協(xié)會等等。個(gè)人信息安全的監(jiān)管與保護(hù)工作所需面對的問題十分復(fù)雜，僅靠政府一方的力量遠(yuǎn)遠(yuǎn)不夠。從現(xiàn)如今的實(shí)踐成果來看，各方主體的作用還沒有真正發(fā)揮。企業(yè)為了維護(hù)自身短期利益，對個(gè)人信息保護(hù)懷有抵觸情緒，行業(yè)協(xié)會在保護(hù)用戶信息方面有名無實(shí)，無法促使行業(yè)自律。個(gè)人對于信息安全的保護(hù)意識不夠充分，不能通過輿論來讓企業(yè)和社會整體對個(gè)人信息保護(hù)問題加強(qiáng)重視。

1.3 企業(yè)層面的問題

逐利是資本的天性?；ヂ?lián)網(wǎng)商業(yè)模式的野蠻生長期，出于獲利的需求和競爭的壓力，使得企業(yè)內(nèi)部缺乏對用戶個(gè)人信息進(jìn)行保護(hù)的動力。以華住集團(tuán)為例，在“華住事件”爆發(fā)以前，由于粗放式的管理導(dǎo)致數(shù)據(jù)泄露屢禁不止，信息安全能力屢受質(zhì)疑。與此同時(shí)，華住集團(tuán)對于用戶信息的收集卻十分重視，通過網(wǎng)絡(luò)營銷、電話營銷等措施，不斷利用用戶信息進(jìn)行精準(zhǔn)營銷和業(yè)務(wù)拓展。市場對個(gè)人信息的大量需求催生了灰色產(chǎn)業(yè)鏈條，各類相關(guān)企業(yè)爭相竊取用戶信息。DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心2017年發(fā)布報(bào)告顯示，Android系統(tǒng)中96.6%的應(yīng)用會獲取用戶隱私權(quán)限，其中25.3%存在越界獲取信息的可能性[3]。

1.4 個(gè)人層面的問題

互聯(lián)網(wǎng)時(shí)代技術(shù)發(fā)展速度遠(yuǎn)遠(yuǎn)超過人們充分適應(yīng)的速度，信息泄露危害尚不足以喚起民眾的焦慮與恐慌。加上公民對信息安全的認(rèn)識較為模糊，對個(gè)人信息安全保護(hù)相關(guān)法律的理解較為淺顯，所以遇到信息泄露或?yàn)E用的情況，往往不以為然;面對電話騷擾、詐騙短信等問題，除造成嚴(yán)重的損失，否則不會進(jìn)行維權(quán)。另外，目前的法律環(huán)境下個(gè)人維權(quán)成本極高，維權(quán)成功難度較大[4]。

2 針對個(gè)人信息保護(hù)的相應(yīng)對策

2.1 立法層面的對策

我國《個(gè)人信息保護(hù)法》目前正在訂制之中，在利用相關(guān)技術(shù)對個(gè)人信息的概念進(jìn)行界定的基礎(chǔ)上，應(yīng)加快推進(jìn)立法進(jìn)程。明確個(gè)人權(quán)利主體所應(yīng)享有的權(quán)利范疇，界定相關(guān)義務(wù)主體的責(zé)任[5]。從立法層面完善個(gè)人信息安全的保護(hù)機(jī)制，強(qiáng)化個(gè)人信息違法犯罪行為的處罰力度。與此同時(shí)，以《個(gè)人信息保護(hù)法》為統(tǒng)籌，結(jié)合不同的行業(yè)環(huán)境，逐步完善相關(guān)法典中關(guān)于個(gè)人信息保護(hù)的相關(guān)內(nèi)容。補(bǔ)充刑法中關(guān)于個(gè)人信息使用等下游犯罪行為的法條，加強(qiáng)對個(gè)人信息非法傳播的打擊力度。進(jìn)一步完善法律法規(guī)，應(yīng)從需求端入手，有針對性的控制市場上非法倒賣個(gè)人信息的行為，從而整肅風(fēng)氣，震懾犯罪行為，突破個(gè)人信息泄露“破窗效應(yīng)”所帶來的負(fù)面影響。

2.2 監(jiān)管層面的對策

2.2.1 建立個(gè)人信息安全的全過程監(jiān)管機(jī)制

從事前監(jiān)督的角度，應(yīng)逐步完善大數(shù)據(jù)服務(wù)準(zhǔn)入制度，加強(qiáng)服務(wù)商的技術(shù)能力和信用的審核，完善技術(shù)安全標(biāo)準(zhǔn)。政府監(jiān)管部門應(yīng)積極與第三方組織合作，利用第三方組織的技術(shù)能力，實(shí)現(xiàn)對大數(shù)據(jù)服務(wù)市場的深入監(jiān)督與管制。加強(qiáng)對個(gè)人信息安全的前置性保護(hù)，避免因服務(wù)商資質(zhì)問題而埋下信息安全隱患。從事中監(jiān)督的角度，應(yīng)定期展開巡查，動態(tài)監(jiān)測服務(wù)商以及相關(guān)企業(yè)對個(gè)人信息操作的合規(guī)性。制定監(jiān)管制度，提升巡查的嚴(yán)肅性?？偨Y(jié)歸納國外經(jīng)驗(yàn)與教訓(xùn)，完善個(gè)人信息安全風(fēng)險(xiǎn)管理機(jī)制與管理能力。從事后監(jiān)督的角度，要強(qiáng)調(diào)違法必究、執(zhí)法必嚴(yán)，敦促地方關(guān)注互聯(lián)網(wǎng)產(chǎn)業(yè)的健康發(fā)展。在具體操作上，要建立個(gè)人信息泄露的溯源機(jī)制，提升執(zhí)法的及時(shí)性，降低信息泄露所造成的危害。

2.2.2 建立個(gè)人信息安全保護(hù)的多元治理機(jī)制

以政府為主導(dǎo)，通過政策鼓勵(lì)等措施，引導(dǎo)互聯(lián)網(wǎng)行業(yè)中的龍頭企業(yè)研發(fā)個(gè)人信息安全保護(hù)的新技術(shù)，邀請其參與信息安全標(biāo)準(zhǔn)的制定。從而在技術(shù)層面提升個(gè)人信息安全。其次，扶植行業(yè)協(xié)會并敦促其發(fā)揮自律、自糾的職能，不斷完善產(chǎn)業(yè)環(huán)境，推動互聯(lián)網(wǎng)產(chǎn)業(yè)健康有序發(fā)展。再次，完善舉報(bào)投訴機(jī)制，鼓勵(lì)公民對信息安全問題進(jìn)行投訴，并提供一定程度的法律援助，提升信息安全訴訟的成功率。通過調(diào)動相關(guān)利益主體充分參與到個(gè)人信息安全保護(hù)中，讓企業(yè)、社會、個(gè)人都參與到信息安全保護(hù)工作當(dāng)中。

2.3 企業(yè)層面的對策

隨著互聯(lián)網(wǎng)行業(yè)不斷發(fā)展并逐漸進(jìn)入相對穩(wěn)定的產(chǎn)業(yè)格局，具有壟斷能力的企業(yè)有資格也有動力推行行業(yè)標(biāo)準(zhǔn)，通過限制對個(gè)人信息的非法獲取和不當(dāng)利用來壓制新興企業(yè)，同時(shí)提升自身的品牌形象和美譽(yù)度。在這種情況下，需要加快推進(jìn)這一進(jìn)程。從政府角度出發(fā)，應(yīng)敦促建立行業(yè)監(jiān)督協(xié)會，完善行業(yè)自查、企業(yè)自律機(jī)制。同時(shí)，強(qiáng)制性規(guī)定企業(yè)在信息安全方面的投入占經(jīng)營收益比例，提升信息安全管理在企業(yè)管理的地位。完善行業(yè)標(biāo)準(zhǔn)，對于涉及用戶信息的產(chǎn)品和服務(wù)嚴(yán)格審查其獲取途徑和獲取權(quán)限的合理性。對于惡意搜集和不當(dāng)利用用戶信息的行為，以行業(yè)標(biāo)準(zhǔn)為依據(jù)進(jìn)行處罰。

2.4 個(gè)人層面的對策

從增強(qiáng)信息安全保護(hù)意識的角度，應(yīng)充分發(fā)揮媒體宣傳的職能，對于信息泄露所引發(fā)的問題與后果進(jìn)行深度分析與廣泛宣傳，結(jié)合近期熱點(diǎn)信息，以民眾喜聞樂見的形式進(jìn)行宣講。自下而上的提高信息安全管理意識，通過增強(qiáng)個(gè)人的信息安全意識來提高輿論聲浪，進(jìn)而通過輿論倒逼來推動企業(yè)對個(gè)人信息保護(hù)問題作出實(shí)質(zhì)性的改革。從增強(qiáng)信息安全問題維權(quán)意識的角度，應(yīng)做好普法宣傳，結(jié)合逐步完善的法律法規(guī)與日漸周密的監(jiān)管措施，為被侵權(quán)民眾增強(qiáng)訴訟信心，從而讓民眾廣泛參與到個(gè)人信息安全保護(hù)活動當(dāng)中。

3 結(jié)語

大數(shù)據(jù)時(shí)代的用戶個(gè)人信息是所有企業(yè)的富礦，在挖掘過程中如果不注意保護(hù)，肆意濫用，所侵害的將不僅是用戶群體，更是行業(yè)和企業(yè)本身。華住集團(tuán)信息泄露事件雖然影響范圍巨大，但引發(fā)的震動卻并不顯著?？梢妼τ谛畔踩珕栴}，無論是國家管理層面還是輿論層面都尚未觸底反彈，其間是幸或不幸難以定論，但越早加強(qiáng)管制、完善法規(guī)、提升信息安全保護(hù)意識，對個(gè)人、行業(yè)乃至于國家發(fā)展將越有益處。

參考文獻(xiàn)

[1] 齊愛民.中華人民共和國個(gè)人信息保護(hù)法學(xué)者建議稿[J].河北法學(xué)，2019（1）：154-157.

[2] 劉智勇.云計(jì)算服務(wù)中數(shù)據(jù)安全的若干問題研究[J].山東工業(yè)技術(shù)，2018（7）114-159.

[3] 騰訊社會研究中心，DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心.2017年度網(wǎng)絡(luò)隱私安全及網(wǎng)絡(luò)欺詐行為分析報(bào)告[R].2017.

[4] 徐槐，鞏東東.個(gè)人信息泄露的方式、隱患及預(yù)防策略研究[J].法制博覽，2016（13）：196-197.

[5] 周漢華.探索激勵(lì)相容的個(gè)人數(shù)據(jù)治理之道——中國個(gè)人信息保護(hù)法的立法方向[J].法學(xué)研究，2018（2）：3-23.