日前,携程网因安全支付漏洞导致部分用户银行卡信息外泄引发外界担忧。事实上,此次暴露出的“隐私泄露”问题并非携程一个企业存在,“7天”等连锁酒店去年就被爆出存在系统安全漏洞,导致2000万用户身份证、手机、住址及开房时间等信息被泄露。连续的一系列信息外泄事件,再次将我国互联网个人信息隐私权的保护推向前台。
近年来,泄露和侵害公民个人信息包括隐私的事件频频发生,个人信息成了随意买卖的“商品”,非法买卖公民个人信息违法犯罪活动日益泛滥,个人信息权作为重要的公民权利内容日益受到社会各界的重视。“今年全国两会期间,个人信息保护立法成为一大热点,随着大数据时代的到来,个人信息保护已经成为社会发展的当务之急。”近日,在中国科学技术法学会、北京大学互联网法律中心主办的《互联网企业个人信息保护测评标准》发布会上,中国科学技术法学会会长段瑞春表示,随着互联网大数据时代的到来,保护个人信息已经成为国际“大势”,对于互联网企业而言,更是“顺势昌,逆势亡”。
信息安全保护刻不容缓
据中国电子商务研究中心最新监测数据显示,65.5%的网站存在安全漏洞,74.1%的网民在过去半年时间内遇到过信息安全问题,总人数达4.38亿,全国因信息安全事件而造成的个人经济损失达到了196.3亿元。
“互联网作为20世纪最伟大的发明,是催生信息社会的革命性力量,目前已发展成为一个全球性公共基础设施,它使贸易、医疗、教育以及人们的通信和交流等生活方式的各个方面发生了革命性变化。但近年来,互联网发展过快也带来了一些负面问题,引发公众对个人信息保护的担忧。” 段瑞春表示,人们在使用互联网的过程中,无论是主动提供还是被动享受服务,都会不知不觉被互联网企业获取数量庞大且繁杂的个人信息。信息收集行为可能涉及用户的姓名、家庭住址,甚至宗教信仰、个人感情倾向等敏感信息,只要用户还使用着互联网作为虚拟世界的延伸,就足以令用户在网络环境中成为无法隐匿的“透明人”。
随着互联网金融、在线支付的深入渗透,用户重要信息在线被使用、银行卡在线付款过程中的信息保护问题将会进一步被关注。“因此,作为信息化社会重要的经济性资源,无论是政府有关部门,抑或是企业,谁掌握了信息数据,谁就抢得了先机。而在这场‘数据大战’中,互联网企业发挥着关键性作用。为了互联网产业的合理有序发展,促进企业正当竞争、开创新型商业模式,保障互联网企业合理合法使用个人信息资源,避免不必要的社会成本,我们需要完善个人信息保护的规范与准则。” 段瑞春说。
首部测评标准出台
“网络时代保护个人信息已经成为社会发展的当务之急,此次《互联网企业个人信息保护测评标准》(以下简称《标准》)的发布便是我们对时代要求的回应。”段瑞春强调,个人信息保护是一项需要长期推进的工作,希望互联网企业能在测评标准的指导下加强自律、促进创新、实现可持续发展。
“3月15日,我国新修订的《消费者权益保护法》正式实施。此次修订中的一大亮点就是法律条款中明确增加了关于个人信息保护的内容。新消法规定,互联网企业在利用其所收集的个人信息的同时,也负有对个人信息进行保护的义务。”北京大学法学院院长张守义表示,我国较长时间内缺少个人信息保护的专门规定,个人信息保护相关的公众事件频出,而这些问题在法律中却找不到相应的依据。
随着全国人大常务委员会《关于加强网络信息保护的决定》、工业和信息化部《电信和互联网用户个人信息保护规定》、新的《消费者权益保护法》的相继出台,保护个人信息上升为法律明确规定的一项任务。然而,这些法律法规还缺乏可操作性,在实际操作中引发了诸多争议。
北京大学互联网法律中心主任张平表示,《标准》是在现有法律法规的基础上,推动个人信息保护实践,让企业拥有一个参照物,对其个人信息保护政策及实践做法进行比照,及时调整政策和实践;也让消费者能够据此对互联网企业的个人信息保护工作进行评估,判断企业的优劣,保护好消费者的个人信息。他指出,该《标准》在知情同意原则、合法必要原则、目的明确原则、个人参与原则、信息质量原则、安全责任原则六大基本原则的基础上制定了包括知情同意、收集、加工、使用、转移、个人参与、政策修改、安全责任、特殊领域的个人信息在内的测评互联网企业的指标体系。
据悉,《标准》的发布机构将组建测评机构,以《标准》为依据,主动对互联网企业设置的个人信息保护政策以及个人信息保护相关的实践做法进行测评。测评机构将以定期或不定期报告的方式发布测评结果。
出路还在法治
“信息安全无小事,忽视必然付出惨重代价。”中国电子商务研究中心法律与权益部助理分析师姚建芳认为,广大互联网企业要重视用户信息安全问题,加强相关的数据安全保护、技术监管以及内部管理,防止任何形式的信息泄露。一旦出现信息安全问题,尽早补救,以防事态严重,一发不可收拾。同时,一旦有可能威胁用户信息安全,应第一时间告知用户,并且主动承担责任,给以相应的赔偿。对于监管部门而言,要加强对互联网、电商、快递行业的监管,细化个人信息保护相关法律法规,做到完善立法、严格执法。对于用户而言,应增强信息保护意识,网络支付需谨慎。
多方人士亦表示,除了应用相关标准推动企业自律,加强信息安全保护外,立法也是关键。
“建议国家有关部门尽快出台个人信息安全保护法,打击侵害个人信息的违法行为,规范相关企业的运营行为。”南京邮电大学校长杨震认为,信息社会已经成为一个虚拟社会,跟实体社会一样,需要一个完善的个人信息保护法。“将来个人信息谁有权采集、谁有权查看、谁有权使用,是监管部门要考虑的一个重大课题。”杨震说。
在苏宁控股集团董事长张近东看来,随着互联网与移动互联网的迅速发展,个人信息日趋呈现出网络化与公开化的特点,但保护机制的短缺,使得恶意获取、非法倒卖、失职外泄个人信息的事件频频发生,直接威胁到了公民经济安全与人身安全。他表示,一定要“抓紧制定立法规划,完善互联网信息内容管理、关键信息基础设施保护等法律法规,依法治理网络空间,维护公民合法权益”。
张近东认为,进行个人信息安全保护,首先是要“做好顶层设计,制定统一的《互联网个人信息保护法》”,用以明确信息保护范围与内容,提高违法违规成本;其次是要“明确责任主体,完善自律机制”,从职责权限、审核监察层面严格要求涉事企事业单位与个人;第三是“建立统一的执法机制,确保法律贯彻执行”,以独立、专业的个人信息安全保护部门推动个人信息保护长期化、日常化的实现。