引言
随着新一轮互联网信息技术革命的到来,公民个人信息真正做到有效保护迫在眉睫。国家对于数据安全以及个人信息保护制度建设初步完成,相关法律的出台无疑对个人信息保护具有重大意义,但对于个人信息是否真正做到有效保护仍有很长的一段路要走。
01
现时困境
(一)公民个人信息泄露问题层出不穷
01
淘宝信息泄露:可获取用户真实姓名?
五一前夕,在微博、小红书等社交平台上,大量网友反映当天在淘宝平台上收到陌生的聊天招呼,内容均为骚扰广告,而对方的旺旺ID显示的竟然是消费者本人的真实姓名。
这些陌生账户发来的内容统一为招聘彩票代玩,一经曝光就引起了社交媒体的热议。许多网友表示不可思议,“用自己的名字给自己发消息,太吓人”,更有人称自己的真名从未在任何购物软件或快递平台上使用过,因此涉事的淘宝平台也遭受民众谴责。对此,淘宝平台回复称,“目前正在处理中。”
不过,目前仍未有处理结果。
那么问题来了,这些垃圾广告发送者们究竟是如何获取到淘宝用户的真实姓名?有网友怀疑是平台系统 BUG 或用户信息批量泄露。在社交网络上,关于淘宝用户信息泄露的讨论还在继续,不少网友纷纷发表关于自己的遭遇。
对此,淘宝消费者热线表示,的确有多名用户已向淘宝反馈了此问题,已在积极排查处理中。
02
手表变偷窥器,儿童隐私遭泄露
无独有偶,不久前,一起涉及盗取儿童隐私的案件被曝光。据报道,中国的儿童手表被发现存在安全漏洞,黑客可以利用这些漏洞追踪儿童的位置,并访问他们的照片、音频和视频录制文件,甚至可以监听他们的电话。
据报道,部分儿童手表存在的漏洞允许攻击者通过下载恶意固件的方式控制手表,这意味着攻击者可以看到儿童的活动轨迹,包括去向、居住地点和日常交流。此外,攻击者还可以随时监视和录制使用手表时的情况,包括孩子与朋友、老师和家人的互动。这些情况不仅是隐私泄露的问题,也可能威胁到孩子的安全和健康。
由此可见,公民个人信息权益仍然被不断侵犯,究其原因在于互联网时代下获取公民信息较为方便、快捷,收集公民信息的成本随着科技的发达也正逐步降低,信息存储的能力也越来越强。
(二)公民个人难以有效维权
针对现在以计算机、现代科技以及与此相结合的互联网科技巨头所拥有的类“权力”对公民个体权利的威胁现状,如果仅靠企业自身以有限的道德约束从而保证公民权利不受侵害非常困难。在企业试图盈利的同时只要做到不违反法律法规的强制性规定,不少企业也会选择在“灰色地带”不断试探,直到受到严厉管制才会停止侵害行为。
(1)
B站涉嫌“隐私换会员”引起关注
深受当下年轻人喜爱的App哔哩哔哩(以下简称“B站”)于2022年3月被曝其在“答题领卡兑换大会员”活动中,试图让用户通过披露关于个人隐私的信息从而获取所谓“B站大会员”并享受相应会员制度福利。具体来说,披露信息涵盖了用户真实姓名、联系电话,且上述两项是必填内容,此外还包括身份证号码、生活住址等信息。
不难发现,以上所有的信息结合在一起时可以精准对一个B站使用昵称的匿名用户突破其在网络世界的虚拟形象从而进行精准的人格画像及识别。尤其是作为公民个体来说,身份证号码是具有单一可识别公民真实身份的信息,其对每一个生活在大陆的公民重要性不言而喻,除了在涉及公共利益情况下(如疫情防控)的披露具有合法性与合理性,实在无法解释一个娱乐网站有何必要性收集如此之多的公民信息。
(2)
其他生活类app涉及侵犯个人隐私
除此之外,不仅仅是B站,大众点评、小红书、百度等多类与公民经常使用的App都存在违规收集个人信息的情况,除非被监管部门发现,这些网站或平台并不会主动对自身行为进行有效规范,毕竟“法无禁止即自由”。
而与上述诸多App合作的其他数据收集方却又以有偿的方式收集公民个人信息,再进一步进行二手甚至多少的贩卖,导致当公民发现自己的个人信息早被泄露并对日常生活产生严重影响时,却难以拿起法律武器真正保护自身合法权益,囿于信息的多重转手买卖链条,公民一是无从得知自己的信息是在什么环节被泄露出去的,二是也无法确定哪个环节是真正的权利侵害人,“告无可告”的情况也就此出现。
无疑,公民个人面对互联网科技巨头出于绝对弱势地位,除了2019年“微信读书案”、2021年“人脸识别第一案”这两个典型案件,再难找到民事案件的领域中公民个人对抗大企业保护自身权益的案件。
但显然,我们日常生活中感受到的权益被侵害或个人信息被过度收集的情况屡见不鲜。
02
个人信息保护困境之出路
个人信息保护立法
2002年10月1日
《深圳经济特区人才市场条例》是大陆最早提及“个人信息”的规范性法律文件
2009年起个人信息保护立法进程不断推进
2010年1月1日起施行的《统计法》
2013年10月25日第二次修订《消费者权益保护法》
2015年8月29日审议通过的《刑法修正案(九)》
2017年10月1日起施行的《民法总则》都分别明确了细化了个人信息保护
2021年至今
2021年1月1日生效的《中华人民共和国民法典》(以下简称《民法典》)也于人格权编第六章新增了个人信息保护的相关规定,并将个人信息保护与隐私权规定在同一章节。
《中华人民共和国数据安全法》与《中华人民共和国个人信息保护法》(以下简称 《个人信息保护法》)于2021年下半年相继施行。
2022年7月7日,国家互联网信息办公室发布《数据出境安全评估办法》,对于数据跨境活动也进一步加以规范,明确了数据出境的安全评估及审查,旨在保护公民的个人信息权益、商业数据以及国家秘密。
(一)
加强法律适用及政府监管制约
个人信息须进行双重保护才得以让商家违规收集个人信息的行为得到有效遏制。虽然大陆已有诸多法律规定对于公民个人信息加以保护,但由于个人信息保护毕竟是基于现代互联网社会伴随的新问题,相关制度建设仍不健全。
(1)进一步明确《个人信息保护法》的相关原则
2021年11月1日正式实施《个人信息保护法》,该法的具体条文仍然有笼统、模糊的特征,学界及社会大众公认的保护原则虽在法律中有所规定,但在司法实践过程中是否追责、追责程度等仍有较大弹性。
收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”也体现了这一原则,该法第九条“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动”也限制了过度收集个人信息。
然而,“正当目的”、“合理收集”等措辞本身具有一定的原则性规定的涵义,判断起来也有一定难度。如何在公民个人信息保护与商业发展之间取得平衡也一直是立法者、司法者应当仔细斟酌的议题。
(2)建议将“权益”保护上升至“权利”保护
诚然,大陆的《民法典》将个人信息作为一种民事权益纳入到人格权编的范畴中,结合其他相关法律法规,通过大陆法律体系对个人信息的保护模式可知,目前大陆对于公民个人信息仍然采取的是权益保护模式。
然而,随着公民社会的不断发展,个人信息及数据在现代社会起着愈发重要作用,为了确保保护力度充分、法律体系衔接顺畅,对个人信息保护模式应当也应当采取权利模式的保护进而回应现实生活的迫切需求,社会环境的变迁一直与法律体系的构建形成良性的动态发展关系,而以现代生活的发展来说,个人信息本身自然而然可以成为一种独立的权利客体,“个人信息权”的设定更加强化了用户对个人信息的自主决定权,而“个人信息权”具体应当纳入到人格权、财产权、宪法性权利或是综合性权利的保护范畴,也需要立法者后续加以明确。
(二)
公民自身应提高防范意识
(1)警惕所有“以隐私换优惠”的活动
如果说制度建设是进行外部保护,公民自我保护则是内部保护,更为重要。《民法典》第一千零三十四条第二款“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”表明自然人的个人信息受法律保护,公民应当对于类似B站通过“隐私换取好处”并美名其曰“优惠活动”等相关行为提高警惕。茨威格说“所有命运馈赠的礼物,都已在暗中标好了价格”。可见,商家利用普通公民寻求优惠或者是“占便宜”的心理,进一步层层加码侵犯公民个人信息权益。在用户还觉得自己获得了优惠时,殊不知我们的个人信息远比换取所谓“超清1080P观看体验”等权益更有价值,眼前的优惠与个人信息泄露所导致的风险相比不值一提。大平台尚且存在引诱用户提供个人信息的行为,更别提数据黑产中(如电信诈骗)的行为更是令人防不胜防。
(2)警惕不合理的个人信息收集形式
对于扫码点单的过程中餐饮公司收集公民的电话号码乃至身份证件号码都属于餐厅对于客人的点菜的形式作出限制,这并非是订立合同的必须形式,餐厅也没有权利做出这样的限制。2022年2月22日,上海市徐汇区市场监督管理局发布了《餐饮行业扫码点餐规范指引》,作为上海首个“扫码点单”规范指引,该指引明确指出经营者应当规范相关商业行为,餐饮服务经营者收集消费者信息应当遵循合法、正当、必要的原则,在提供扫码点餐服务时,应当限于实现处理目的的最小范围,不得强制要求消费者对手机号、微信号等个人信息进行注册或授权,不得过度收集消费者信息。虽然《指引》不具有强制约束力,但集成了《消费者权益保护法》《个人信息保护法》等相关法律法规的规定,经营者如违反相关规定,将承担法律责任。
公民寻求一定的优惠也没有任何可指摘之处,但凡事都有界限,如果我们自己都把个人信息当作是可以换取经济利益的途径之一,那么当发生令我们无法承担的恶劣后果发生时,承担后果的还是我们自己。因此,再有类似的“以隐私换优惠”的活动,公民应尽量做到识别其中风险,勿把希望寄托在他人身上,也莫要“贪了小便宜”却“吃了大亏”。
结语
人们已经生活在到处充斥着多种多样数据的时代,在线购物、电子支付、信息数据化已经成为了每一个公民生活的常态。公民的个人信息对于公民正常社会生活的运转维持至关重要,一旦个人信息遭到泄漏,除了存在隐私权被侵犯的情况,更会涉及财产性利益的损害甚至包括精神伤害,进而严重影响日常生活的开展,同时也会导致公民生活在社会中的各项权利难以得到实现。大陆目前对于个人信息已经形成了初步的体系保护,相信未来也会不断完善,真正做到既能促进现代商业社会信息的合理利用,推动数字经济及网络信息科技的发展,又能保护个体权利,维护公民的“个人信息权”