“数据裸奔”时代:业界呼吁加强立法、执法

刚刚过去的数天,接二连三暴露个人数据泄露事件:知名互联网企业数据泄露、国企APP数据泄露、700元买到同事个人数据信息等,凸显在大数据时代个人信息的“裸奔”危机。尤其是在互联网普遍运用的当下,个人一方面不可能脱离时代,但另一方面又缺乏保护自身的手段。而面对已经形成巨大利益的数据泄露产业链,个人的力量也显得极为有限。

因此,解决数据泄露问题的一个关键问题,在于如何通过立法和执法保护个人信息上。

记者采访美国、欧洲以及中国相关领域专家,解读国内外数据安全立法进程。有学界人士呼吁,我国目前没有专门个人信息保护的立法,应加快数据隐私安全方面的立法。

也有部分业界人士认为,涉及到个人隐私安全的法律一直都有,问题主要出在执法层面。有办理个人信息泄露案件的律师表示,司法机关不重视,不认为“个人信息泄露是个大事”,加上个人取证难,个人数据保护在当下很困难。

事实上,关于数据安全立法和执法问题,企业、个人以及政府的利益博弈一直存在。如何在保护个人信息安全和信息自由流动之间获得平衡,是一个必须面对的问题。

个人数据缺乏保护

12月10日晚,网络曝出疑似大量京东用户数据外泄。网上曝光称,有12G的数据包外泄,包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度数据,数量多达数千万条。

12月11日凌晨2点,京东集团发布声明,称初步判断该数据源于2013年Struts2的安全漏洞问题,当时已迅速完成修复。京东方面称,当时国内几乎所有互联网公司及大量银行、政府机构都受到了此问题的影响,导致大量数据泄露。

记者跟另一家大互联网企业核实,2013年确实出现了上述事故,一些互联网企业在一定程度上受到影响。

事实上,国内外企业泄露用户数据案例频发。2014年,大麦网出现了泄露用户数据的情况。2015年,国内多家酒店泄露大量房客开房信息。同年,美国一家婚外情网站被不明身份的黑客攻击,黑客在网络上公布了这些会员的详细资料。

腾讯研究院研究员曹建峰告诉记者,在数据泄露方面,企业一般需要采取技术措施,确保个人信息的安全、完整,一旦发生数据泄露事件,需要及时报告主管部门及相关用户,否则可能承担法律责任。

上海的刘春泉律师曾申诉一家银行,认为银行侵犯了其个人隐私信息。刘春泉把法院的回复展示给记者。回复称,某银行给刘发送的短信文字简短,占用移动设备内存小,并不构成对其移动设备存储空间上的财产贬损。

刘春泉说,目前,国内并没有处罚力度较大的关于企业泄露个人信息的判决案例,因为一些掌握大量数据的企业,多是国有垄断企业以及大的互联网企业。在立法和执法方面,各界都存在利益博弈。

他指出,企业保护个人信息的法律其实一直都有,包括消费者权益保护法等。

比如,最新发布的《网络安全法》第21条,规定了网络安全等级保护制度,而网络运营者则应根据网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或入侵,防止数据被窃取或篡改。

但是,受侵害人一般很难把握切实证据,尤其是案件证据链很长,个人很难取证;另外法院对数据泄露不够重视,部分人认为“个人信息泄露不算大事”。

腾讯研究院副秘书长张钦坤也表示,涉及个人数据隐私安全方面的法律规定并不缺乏,但涉及到具体执法层面,各方面重视程度普遍不高。今年最典型的“受重视案例”,就是山东女大学生受骗案,这一案件在引发舆论关注后,很快就破案了。

立法趋势:灵活还是严格?

关于数据隐私立法,各方面的争议也一直存在。

2016年9月份的国务院常务会议指出,要加强系统和信息安全防护能力,加大对涉及商业秘密、个人隐私等重要数据保护力度。

12月10日到11日,在北大-牛津-斯坦福互联网法律与公共政策研讨会上,有学者建议,有必要制定一部《个人信息保护法》,赋予主体自由支配并排除他人侵害的权利,同时通过系统的制度设计来防止他人侵权。

而记者采访相关企业和学界人士、律师等,发现中国、欧盟、美国在数据立法方面,在力度和开放程度上都有较大的差异。

广州一家大数据公司的英籍创始人告诉记者,欧盟国家是最典型的严格保护个人信息安全的地区。但欧洲互联网企业发展也是活力最不足的,相反美国立法更灵活一些。中国还处在野蛮生长阶段,一方面个人隐私安全的不确定性一直存在,同时互联网产业也发展较快。

对很多中国企业来说,他们希望中国在信息安全立法方面,更多参考美国的制度。

比如,安客诚亚洲区首席隐私官潘兆娟表示,中国的相关法律规定已经很多,包括民法、网络安全法,这已经需要初创企业花很多的精力(来应对)了。如果再进一步设定特殊的规定和法律,或许违反了自由创新的精神。

来自美国霍金路伟律师事务所律师Julie Brill则认为,数据隐私立法会导致不同企业有不同的担心。初创企业对新的法规适应起来比较容易,像BAT这种大企业,其数据量更大,适应和使用起来会更难。她认为,在美国,这些法规是会给初创企业保护,而不是为了惩罚他们。

曹建峰则表示,个人信息保护立法应在个人信息保护以及信息自由流动、公众知情权之间做好平衡工作,防止顾此失彼;另外,国内立法可立足本土,制定符合我国国情的法律制度,并积极参与国际规则的制定。在相关的立法中,应当避免盲从所谓的域外先进法律制度。

来源:21世纪经济报道

上一篇:澳大利亚税务机关丢失PB级数据

下一篇:欧洲刑警组织发起全球打击DDoS专项行动