【思客】你和朱一龙的个人信息都被泄露了!该怎么办?
尽管在个人信息数据滥用和泄露如此肆虐的语境下,保护隐私的吁求十分迫切,但另一种趋势同样值得警惕,即全盘否定数据利用和数据共享的价值。
正文:3235字
预计阅读时间:10分钟
文 | 岳文童
来源 | 周公观娱微信公众号
明星信息倒卖产业链又一次引发关注。
近日,德云社官微发布声明称旗下多位艺人的住址、行程等信息多次被泄露、传播、售卖。刚刚通过电影《流浪地球》被大众熟知的演员屈楚萧也怒怼私生饭,称自己航班号、手机号等信息被泄露,遭到机场跟拍和短信骚扰。
媒体调侃:只要150你对朱一龙行踪比他妈还了解。
明星的一举一动受万人瞩目,但聚光灯外的普通人在信息泄露的危局中也未能置身事外。
纵观过去的2018年,数据泄露事件频频发生:Facebook超一亿用户数据泄露,华住酒店集团1.3亿消费者的个人信息在暗网售卖,阿里飞猪、滴滴、携程接连被质疑滥用大数据杀熟。
当个人信息滥用的产业链变成脱缰的野马,没有人是一座孤岛。
一、警钟!信息泄露风险无处不在
信息泄露的风险往往起始于个人信息被过度采集,作为普通用户的我们,实际上在生活的每时每刻可能都在被过度收集信息。
比如我们常常下载越界获取权限的APP:
在下载安装APP时稍加留意便会发现,几乎每一个APP都会要求获得多项隐私权限,甚至不加询问就在后台默默开启了信息获取。不过,最让人匪夷所思的是,一个日历、手电筒APP可能会要求获取通讯录、短信、位置等多项权限。
而这样的“流氓”APP并不少见。
2017年腾讯与DCCI互联网数据中心联合发布的报告显示,96.6%的安卓应用获取用户手机隐私权限,同时,有超过两成的安卓应用存在着越界获取用户手机隐私权限的情况。即使在以封闭安全著称的iOS系统中,也有七成手机APP可以轻易获得手机用户的个人信息。
比如我们常常分享的别有目的的各种小测试:
那些在微信朋友圈刷屏的“新年抽签”,“性格测试”“星座测试”背后,也隐藏着信息泄露风险。
每每在朋友圈看到有趣的心理测试想点开玩一玩,用户就可能被要求向心理测试的开发商授权提供用户的微信头像及昵称,更有甚者可能还要求提供用户的姓名、出生日期等。
就是在开始测试前在“同意授权”上的这轻轻一点,用户的个人信息就已经被收集并进一步利用。虽然微信平台对此类发布签类测试信息的公众号视情节进行封号处理,但据专家估计,几个小时的传播个人信息泄露也可达千万人级别。
可见,普通用户几乎日日夜夜时时刻刻面临着个人信息被过度收集和滥用的“陷阱”。
实际上,别有用心的信息收集者们可能使用形形色色的形式,想要换取用户的“同意授权”。而一旦用户掉以轻心,轻易授权同意被收集个人信息,普通用户就很难再控制自己信息的流向了。
无奈,是普通用户在个人信息泄露面前的常见姿态。
中消协发布的《App个人信息泄露情况调查报告》显示,当个人信息泄露后,大约三分之一的受访者可能基于无力应对,接受现状,选择了“自认倒霉”。
当然,要减少个人信息被泄露的风险,一方面我们可以要求用户在向第三方授权其收集个人信息时更加审慎,但另一方面,用户始终是个人信息产业链条中的弱势群体,是被消费、被收集的群体,相较而言,用户可能是最不应该被苛求注意保护个人信息的群体。
二、困局:谁来为个人信息泄露买单?
实际上,普通用户甚至往往只能是在收到莫名其妙的垃圾短信后才知道自己的个人信息被泄露了,他们很难确定信息的滥用和泄露发生在哪一环节,如果普通用户想要依照一般侵权的规则提起民事诉讼,往往会在三大拦路虎面前败下阵来:
其一是该以谁作为被告?其二是如何证明被告存在信息泄露的行为?其三是如何证明泄露行为与损害间具有因果关系?
显然,相较于用户,实际收集和利用信息的企业才拥有相当的资源和能力追踪用户的信息流向,也更应该承担用户个人信息的保护的责任。
在庞理鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案中,法院就考虑了用户与企业在技术力量和信息掌握程度的不对等,缓和了普通用户的证明困境。
在该案中,原告庞理鹏通过趣拿公司下辖的去哪儿网订购了东航的机票,之后收到诈骗短信,疑似姓名、号码、行程安排等个人信息被泄露,庞理鹏遂将趣拿公司和东航诉至法院。
法院认为:”从收集证据的资金、技术等成本上看,作为普通人的庞理鹏根本不具备对东航、趣拿公司内部数据信息管理是否存在漏洞等情况进行举证证明的能力。因此,客观上,法律不能也不应要求庞理鹏确凿地证明必定是东航或趣拿公司泄露了其隐私信息。”
结合全案证据,趣拿公司和东航都掌握着庞理鹏的姓名、身份证号、手机号、行程信息;且其他人整体上全部获取以上信息的可能性非常低,且2014年间,趣拿公司和东航都被媒体多次质疑存在泄露乘客隐私的情况。因而法院认定东航和趣拿公司存在泄露庞理鹏个人隐私信息的高度可能。
在已经确认东航、趣拿公司存在泄露庞理鹏隐私信息的高度可能的情况下,东航和趣拿公司并未举证证明本案中庞理鹏的信息泄露的确是归因于其自身或者他人或者难以预料的黑客攻击,因此这种高度可能未被推翻。
(法院关于被告存在泄露原告隐私信息的高度可能的部分论述)
该案作为2018年最高院发布的第一批涉互联网典型案例,引发了广泛讨论。
我们认为,让享受数据处理挖掘带来的商业价值的企业来承担保护用户数据的部分责任,确实能在一定程度上降低用户数据被泄露的风险,这也是享受数据福利的企业所应付出的基本对价。
三、聚焦:个人信息保护立法仍有待完善
早在70年代,欧美国家就兴起了大规模制定个人信息保护法的热潮。
美国在1974年制定了《隐私法》,在此基础上以单行法对个人信息保护进行了详细的补充。联邦贸易委员会(FTC)大量的隐私和个人数据保护执法案例则通过具体执法推动着个人信息保护抽象原则落实到企业具体运营中。
欧盟方面,1995年出台的《个人数据保护指令》为个人信息保护提供了全方位的保护。2018年《欧盟一般数据保护条例》(GDPR)铁拳出击,在1995年《指令》的基础上进一步加强了个人数据权利保护、强化了企业维护数据安全的责任。
2017年以前,我国保护个人信息安全的规定散见于《宪法》、《刑法》、《消费者权益保护法》以及一系列行政法规规章和规范性法律文件中。
但总的来说,相关条款缺乏体系化的个人信息保护顶层设计,且较为模糊宽泛,个人数据信息的不当采集和滥用并未得到有效遏制。
近几年来数据泄露事件的频发一次次触痛着公众的神经,随着舆论对出台个人信息保护立法的呼声越来越大,我国相关立法也出现了标志性的突破。
2017年,《民法总则》通过,首次从民事基本法的层面提出了个人信息权。6月起正式实施的《网络安全法》则以网络领域基础性法律的地位规定了法人、组织和个人在网络空间的行为规范,确立了规范互联网企业利用个人信息的制度框架和“合法、正当、必要”的原则。
自2005年专家建议稿的提交正式启动立法程序,十余年过去,关于个人信息安全保护的专门法千呼万唤快出来,对个人信息的保护无疑具有突破性意义。
不过,相较于域外较为成熟的个人信息保护制度,我国在细节性制度安排上仍有很长的路要走。
值得注意的是,尽管在个人信息数据滥用和泄露如此肆虐的语境下,保护隐私的吁求十分迫切,但另一种趋势同样值得警惕,即全盘否定数据利用和数据共享的价值。
个人数据信息与传统隐私不同,其诞生之时就带有共享的基因。尤其在信息技术时代,数据已成为同人力、资产同样重要的生产要素,实现数据利用和流通是推动产品服务升级、科技创新的必然选择。
“利益博弈中零和游戏的结局是‘你死我活’,而立法上的利益衡量要达到的目的是‘多赢’和‘共和’。”因此,当个人信息利用与个人信息保护之间的摩擦与冲突日趋激烈,如何在保障个人隐私利益的基础上最大限度利用数据分析和挖掘带来的红利,也是不容忽视的问题。