穿上法律“铠甲”的个人信息离“安全”还有多远
明确侵犯公民个人信息罪的定罪量刑标准,严打出售贩卖个人信息行为,确立用户信息“谁收集,谁负责”的责任主体……《中华人民共和国网络安全法》“携手”《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)6月1日起正式实施,它们将怎样影响你我的网络生活?又将如何为个人信息安全护航?个人信息足够安全了吗?
“裸奔”的个人信息穿上法律“铠甲”
“刚签完购房合同,卖家具,搞装修的电话突然就多了,而且没完没了,让人‘细思恐极’。”作为一名律师,个人信息泄露带来的一系列麻烦,曾让北京市尚公(昆明)律师事务所的李承蔚律师也束手无策。
“此前,由于法律打击这类犯罪行为还没有明确的定量定性标准,自由裁量太宽,监管部门无力,侵权者违法成本低,受害人则往往投诉无门。”李承蔚的遭遇并非个案,而他律师的身份更突显此前个人信息保护的尴尬。
个人信息安全已是全社会高度关注的问题,但个人信息泄露的困扰每天还在发生着——明明只向一家地产公司透露过个人信息,但随后不同地产中介都在找你卖房子;明明通过规范网站购买的机票,航班起飞前突然接到非航空公司发来的“航班取消”诈骗短信;小孩上学了,补课班、外语培训班能准确地说出你的名字和住址进行精准推销……
李承蔚说,互联网时代,个人信息的泄露和贩卖成为其他各类犯罪的上游犯罪,敲诈勒索、电信诈骗等,多以非法获取个人信息为前提。
中国互联网协会发布的《中国网民权益保护调查报告2016》显示,55%的受访网民收到过“冒充公安、卫生局、社保局等机构进行电话诈骗”的诈骗信息;37%的受访网民因收到各类网络诈骗而遭受过经济损失。
在法律界人士看来,此次正式实施的网络安全法和两高《解释》为网络安全勾画出了基本的监管框架,为“裸奔”的个人信息穿上了法律的“铠甲”。
“其中对公民个人信息的范围、非法提供、获取公民个人信息的认定标准、侵犯公民个人信息罪的定罪量刑标准等进行明确界定。量化了具体标准,让全社会高度关注的打击侵犯个人信息犯罪有了可操作性依据,让执法者、受害人有了可以判断的具体依据。”李承蔚说,这将帮助更好地打击、预防各种侵犯公民个人信息的行为,监管部门和企业都将承担起更多的责任。
“谁收集,谁负责”撑起个人信息“保护伞”
除了明确公民个人信息范围,划定“情节严重”标准等,网络安全法还明确了企业在网络信息安全的责任:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。”
同时,两高《解释》也规定,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照拒不履行信息网络安全管理义务罪,追究其刑事责任。
在福建元一律师事务所律师郭承恩看来,确立“谁收集、谁负责”的基本原则,这将有效约束公民个人信息采集主体审慎使用公民个人信息,进而在信息采集源头建立“防护栏”。
公开报道显示,2016年,全国公安机关共侦破网络侵犯公民个人信息案件数量2100多起,查获被侵害的公民个人信息500多亿条,抓获犯罪嫌疑人5000多人,其中属于各行业内部人员的达450多人。
业界人士指出,侵犯公民个人信息犯罪中,直接贩卖者只是链条的重要一环,却不是问题的全部,其背后是一些手机应用暗藏风险隐患,一些企业个别“内鬼”兴风作浪,一些互联网公司安全防范不足、信息管理粗放等“业内”问题。
华东地区一家互联网公司网络安全负责人宋宏宇说,企业的安全“缺口”是信息安全的重点,过去企业安全意识薄弱,精力更多投到产品上,导致企业安全“生态”不好。明确了企业的责任后,如果企业在安全防范上没有按照法律规定去做,过去用户数据泄露就只是发个声明了事的,现在要承担明确的法律责任。
为切实加大对行业“内鬼”参与公民个人信息泄露案件的惩治力度,《解释》还明确在认定“情节严重”时,对行业“内鬼”泄露信息的数量、数额标准都要减半计算,入罪门槛更加严格。
个人信息的系统化保护还待构建
随着信息化建设的推进,信息资源成为重要的生产要素和社会财富。宋宏宇等人认为,网络安全法和两高《解释》向公众传递一个信号:信息很重要,法律已经开始保护了。
不过,李承蔚也表示,有法可依只是促进个人信息保护的第一步,是否落实到位,还需要相关部门相互联动,做到有法必依,执法必严。
此外,个人信息保护硬件和软件整体环境的改变也还需要一个连锁的递进过程。李承蔚表示,侵犯个人信息已成社会公害,还需市场和社会共治:一方面,提高行业的透明度,防止个人信息被过度采集、不当加工和非法使用,防范对个人隐私和商业秘密的侵害;另一方面,依靠行业的自律,通过建立全面、细致、先进技术手段的行业标准和企业自律规范,构建一个良性竞争环境,避免劣币驱逐良币现象。
宋宏宇等专家强调,信息的安全保障需要合作,法律法规出台了,随后的沟通和管理也要跟上,需建立一个更好的协同联络平台,帮助有关部门、企业间协调沟通,避免过去出问题了企业自己闭门造车处理的情况。
还有业内人士指出,发挥个人信息保护立法的基础性作用,管理部门也要跟上技术发展的脚步,及时出台标准规范引导企业合法合规的数据需求,既要斩断非法利益链条,也要依托行业发展不断提升信息数据的保障能力。