前言
2017年,随着人工智能、大数据、云计算的蓬勃发展,网络环境中的个人信息保护问题成为重中之重。腾讯集团数据及隐私保护中心梳理2017年度国内十大个人信息隐私保护事件,以期总结过去启迪未来。
1月
No.1 《未成年人网络保护条例(送审稿)》向社会公开征求意见
【概述】1月6日,国务院法制办公布《未成年人网络保护条例(送审稿)》及其说明,并向社会各界征求意见。送审稿针对网络信息内容建设、未成年人网络权益保障、预防和干预、法律责任等多个方面进行了详细规定。送审稿指出,“网络游戏服务提供者应当建立、完善预防未成年人沉迷网络游戏的游戏规则,对可能诱发未成年人沉迷网络游戏的游戏规则进行技术改造”。
【评析】《未成年人网络保护条例》的出台将填补未成年人网络保护机制的真空。该送审稿回应当前社会所关切的问题,如针对未成年人网瘾问题,规定对其预防和干预应由合法部门实施。在未成年人的个人信息保护上,要求收集、使用未成年人个人信息的应当严格遵循知情同意原则,并赋予未成年人要求删除与其有关的网络个人信息的权利。但该送审稿的规定较为原则性,如“网游宵禁”条款并未明确监督主体,也未规定违反该条款的后果。
No.2 中国多家互联网巨头10亿条数据被抛售
【概述】暗网市场知名供应商双旗(DoubleFlag)抛售从数家中国互联网巨头盗取的大量数据,数据条数达到10亿以上。这些数据来源于网易及其下属公司、腾讯控股、TOM集团、新浪集团、搜狐公司等。据悉,被盗数据有些是明文呈现,有些是很容易就能破解的MD5散列值。
【评析】近年来信息泄露事件呈现高速增长趋势,互联网行业是信息泄露的高发区,互联网企业应当更加重视数据安全以及用户个人信息保护,一旦发生泄露事件,对用户及企业都会造成严重损失。国外已有企业因信息泄露向用户赔偿巨款的案例,应当引起重视。
3月
No.3 个人信息保护写入《民法总则》
【概述】3月15日,第十二届全国人民代表大会第五次会议审议通过《中华人民共和国民法总则(草案)》。个人信息保护相关内容被写入民法总则:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输个人信息,不得非法买卖、提供或者公开他人个人信息。”
【评析】在《民法总则》中以民事权利的方式规范个人信息保护,这既是我国民事基本法对个人信息保护的首次明确规定,也将为今后个人信息保护的相关立法,如《个人信息保护法》的出台奠定基础,将与行政、刑事法律领域的有关个人信息保护法形成全方位的保护体系。不过该规定尚且粗浅,在今后的民事立法中需加以完善。
6月
No.4 两大个人信息保护新规于6月1日正式施行
【概述】两部于6月1日正式施行的个人信息新规分别为:(1)《中华人民共和国网络安全法》(下称“《网安法》”):这是中国网络领域的基础性法律,明确加强了对个人信息的保护。(2)《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下称“《解释》”):明确了通过信息网络或者其他途径发布公民个人信息的,应当认定为刑法规定的“提供公民个人信息”。
【评析】《网安法》对个人信息保护作了专章规定,并创造了如最少够用原则、个人信息共享的条件、个人的数据权利等新规定,在立法理念上与现行国际规则及欧美个人信息保护相关法律实现接轨。《解释》补充了《刑法》第253条的规定,其施行意味着我国关于个人信息侵害的刑事规范体系形成,该体系明确了侵犯公民个人信息罪的定罪量刑标准、相关法律适用等内容,将为个人信息保护提供有力保障。
No.5 顺丰菜鸟引发物流数据之争
【概述】6月1日阿里旗下的菜鸟发布《菜鸟关于顺丰暂停物流数据接口的声明》,称5月31日晚上6点,接到顺丰发来的数据接口暂停告知,且顺丰于6月1日中午关闭整个淘宝平台物流信息的回传。顺丰方面随即给出不同的版本:菜鸟单方面于6月1日0点切断丰巢信息接口。
【评析】数据是当今时代的重要资源,企业之间的数据竞争也将越加激烈。如何界定企业的数据权利,并营造共赢的数据合作与竞争环境已成为必须回答的问题,目前法律界仍无定论,仍需要学界及实务界的进一步讨论,国家应尽快制定得以促进数据产业发展的法律规范。
8月
No.6 信安标委发布《个人信息去标识化指南》征求意见稿
【概述】8月,全国信息安全标准化技术委员会发布了国家标准《信息安全技术个人信息去标识化指南(征求意见稿)》(以下称“《指南》”),《指南》明确了去标识化的定义,并分别从制度和技术层面就个人信息去标识化的问题给出了指引。
【评析】实现数据产业与个人信息保护的均衡发展,很大程度上取决于信息技术的进一步发展及多方主体参与的社会共治格局的形成。个人信息去标识化即为保护个人信息和隐私的重要环节,《指南》征求意见稿的公布将为企业与政府部门的合作提供契机,也将为相关行业使用、向他人披露个人信息的行为提供了标准依据,有利于保障数据主体的隐私安全。
9月
No.7 网络安全宣传周在沪开幕,隐私条款评审结果公布
【概述】(1)9月16日,2017年国家网络安全宣传周在沪拉开帷幕,本届网络安全宣传周仍以“网络安全为人民,网络安全靠人民”为主题,开展了网络安全博览会、网络安全技术高峰论坛等活动。
(2)9月24日,四部委(中央网信办、工信部、公安部、国家标准委)联合公布隐私条款专项工作评审结果,微信、淘宝、滴滴、京东、支付宝等获评审专家组好评。隐私条款专项工作评审自7月26日启动,评审组对京东商城、航旅纵横、滴滴出行、携程网、淘宝、高德地图、新浪微博、支付宝、腾讯微信、百度地图等十款网络产品和服务隐私条款进行评审,评审内容包括隐私条款内容、展示方式和征得用户同意方式等。参与评审十家企业共同发布《个人信息保护倡议书》,对尊重用户的知情权、控制权,保障用户信息安全,保障产品和服务的安全可信等做出承诺。
【评析】2017年有关网络安全的会议活动数量明显增多,这意味着人们对网络安全越来越重视。隐私条款评审工作是落实《网络安全法》关于个人信息保护内容的具体举措之一,在公众个人信息保护上迈出了重要一步,未来此项评审工作将会继续进行。
No.8 公安部使用eID保障公民个人信息安全
【概述】9月24日,公安部第三研究所在2017年国家网络安全宣传周对网络电子身份标识(eID)的研发和发展进行了展示,电子身份证标识载入手机卡的时代即将来临。电子身份证标识,简称eID,是以密码技术为基础、以智能安全芯片为载体、由“公安部公民网络身份识别系统”签发给公民的网络身份标识,能够在不泄露身份信息的前提下在线远程识别身份。10月,全国首个将eID运用到不动产登记领域的项目在海口正式运行。
【评析】信息化时代,身份信息的电子化是趋势,将有利于人们生活更加便利化。同时,身份信息电子化需要解决的重点问题是保障个人信息的安全,唯有解决好安全问题,电子身份标识才能够发挥其巨大积极作用。目前广州公安局南沙分局与微信合作,已经推出微信身份证。
10月
No.9 个人信息买卖已形成产业链
【概述】截至6月,江苏警方在三个月以来已经破获黑客及侵犯公民个人信息犯罪189起,抓获嫌疑人699名。警方表示,侵犯公民个人信息犯罪已经形成一条黑色产业链,黑客和“内鬼”成为公民个人信息泄露的最主要源头。
(相关链接:http://pic.people.com.cn/n1/2017/0614/c1016-29339292.html )
10月,据南都记者调查报道,现金贷平台向数据公司购买所谓的“数据产品”,由后者通过爬虫技术,爬取用户在移动通信运营商、淘宝等知名电商网站、微信支付宝等社交网络上的行为轨迹,以及包括央行征信报告、水电煤使用等在内的生活信息,作为平台放贷前评估用户风险的“风控奇招”。此举在维护现金贷企业一己之利的同时,将用户的个人隐私置于极大的风险当中。
(相关链接:http://finance.sina.com.cn/consume/xiaofei/2017-11-23/doc-ifypacti7090780.shtml )
【评析】“徐玉玉案”已经给我们敲响了个人信息保护的警钟,但个人信息泄露的事件仍然屡禁不止,威胁着人们的生命财产安全。打击个人信息买卖黑产、保障个人信息安全既需要国家在立法和执法上加强力度,也需要行业企业提升自律性、自觉保障数据安全,对个人而言则需要增强安全防范意识。
12月
No.10 水滴直播因隐私问题被关闭
【概述】12月20日,360公司宣布主动、永久关闭水滴直播平台。360公司称,从今年上半年开始,水滴直播就已经开展了一系列的举措,加大用户隐私保护力度。包括将校园直播改为私密分享,即只有学校老师设置授权密码、家长通过输入密码才能观看。此外还为广大商户配发了免费的贴纸,要求商户在开通直播前必须在醒目位置张贴。但平台的一些功能存在争议,也存在被恶意利用的可能。
【评析】如今个人信息保护的重要性已经不言而喻,企业在研发产品时应当注意对个人信息、隐私的保护,将“经设计保护隐私”(PbD)的理念贯彻产品的设计中——把隐私保护作为产品的默认设置,预防用户隐私遭到侵犯。并做好产品的合规工作,避免不必要的法律风险及公关危机。
2017年,个人信息隐私保护问题仍然严峻,数据泄露、个人信息非法买卖、,企业间数据不正当竞争诸多问题亟待解决……随着社会的信息化发展,个人信息隐私保护任重道远。