數(shù)據(jù)化時(shí)代,大家一方面欣喜于給生活帶來的便利和智能,另外一方面同樣在擔(dān)心個(gè)人信息的泄露。尤其是這兩年隨著各種大數(shù)據(jù)應(yīng)用的普及,人們的擔(dān)心甚至已經(jīng)在逐步超過“欣喜”,平臺(tái)、機(jī)構(gòu)信息泄露的事件,經(jīng)常出現(xiàn)在我們眼前。17日,圓通速遞公司回應(yīng)稱,其內(nèi)部員工與不法分子勾結(jié),致40萬條公民個(gè)人信息被泄露。盡管事件中的犯罪嫌疑人已經(jīng)歸案,但這起事件又給我們的個(gè)人信息保護(hù)敲響了警鐘,而對(duì)于這起事件的看法,以及對(duì)于個(gè)人信息被泄露的看法,還是挺耐人尋味。
17日早間,圓通速遞在官方微博發(fā)文稱:公司注意到,近日有媒體報(bào)道經(jīng)公司報(bào)案、公安機(jī)關(guān)破獲的非法獲取并使用快遞運(yùn)單信息的案件。
圓通速遞稱,今年7月底,公司總部實(shí)時(shí)運(yùn)行的風(fēng)控系統(tǒng)監(jiān)測(cè)到圓通速遞河北省區(qū)下屬網(wǎng)點(diǎn)有兩個(gè)賬號(hào)存在非該網(wǎng)點(diǎn)運(yùn)單信息的異常查詢,判斷為明顯的異常操作,于第一時(shí)間關(guān)閉風(fēng)險(xiǎn)賬號(hào),同時(shí)立即成立由質(zhì)控、安保、信息中心、網(wǎng)管以及河北省區(qū)組成的調(diào)查組,對(duì)此事件開展取證調(diào)查,隨后向當(dāng)?shù)毓膊块T報(bào)案。
新聞1+1聯(lián)系了偵辦此案的專案組,河北省邯鄲市公安局反詐中心以及邯鄲市永年區(qū)公安局,證實(shí)此案確是由圓通速遞發(fā)現(xiàn)并報(bào)案的。
河北邯鄲市永年區(qū)公安局反詐中心中隊(duì)長(zhǎng) 王求東:這個(gè)案子是今年8月份,圓通公司的河北這邊安全部的人,找到我們公安局報(bào)告稱,他們一個(gè)賬號(hào)在異地登錄異常,懷疑這個(gè)號(hào)被人利用,登錄了,然后非法獲取公民信息過來報(bào)案。
今天,圓通快遞公司在對(duì)此事件的回應(yīng)中表示:通過公司調(diào)查發(fā)現(xiàn),疑似有加盟網(wǎng)點(diǎn)個(gè)別員工與外部不法分子勾結(jié),利用員工賬號(hào)和第三方非法工具竊取運(yùn)單信息,導(dǎo)致信息外泄。
河北邯鄲市永年區(qū)公安局反詐中心中隊(duì)長(zhǎng) 王求東:犯罪的手段就是這個(gè)嫌疑人他們租用圓通公司的公號(hào),然后登錄去里邊篩選這個(gè)收件人或寄件人的信息,他們整理出來以后,他們?cè)僬砣缓筘溬u出去,給實(shí)施電信詐騙的犯罪分子,他們就是一個(gè)涉嫌的罪名就是侵犯公民個(gè)人信息的,他們是這個(gè)環(huán)節(jié)的犯罪。
經(jīng)過警方一個(gè)多月的偵查,最終查獲了圓通公司共5名員工,以每天500元的價(jià)格外租了自己的員工賬號(hào),造成了40多萬條個(gè)人信息泄露。
河北邯鄲市永年區(qū)公安局反詐中心中隊(duì)長(zhǎng) 王求東:這五個(gè)賬號(hào)總共流出的信息量,有效的信息量是45000條。有的外租的時(shí)間長(zhǎng),有的外租時(shí)間短,最長(zhǎng)是7天的,最短的就1天,那么五個(gè)號(hào)我們統(tǒng)計(jì)的有效是45000條。這45000條里邊,就是45000個(gè)人有可能是被電信詐騙實(shí)施的一個(gè)人,其中一個(gè)受害者。
被泄露的45000條信息中,包含了發(fā)件人地址、姓名、電話以及收件人電話、姓名地址共六個(gè)部分。而根據(jù)盜取個(gè)人信息的犯罪團(tuán)伙供述,這些信息將被以每條一元的價(jià)格,打包賣到全國(guó)及東南亞等電信詐騙高發(fā)區(qū)。
據(jù)了解,這已不是圓通速遞第一次遭遇客戶信息泄露。早在2013年就有媒體曝光,有近百萬條圓通快遞單個(gè)人信息不僅可在網(wǎng)絡(luò)上購(gòu)買到,單號(hào)數(shù)據(jù)信息還能24小時(shí)刷新。
圓通速遞客服通過微博發(fā)布道歉聲明。圓通速遞表示,網(wǎng)上銷售訂單信息的主要原因,在于個(gè)別網(wǎng)絡(luò)銷售商家,需要虛假的交易信息,來提高他的網(wǎng)店的信用等級(jí),而網(wǎng)上倒賣信息的發(fā)生,也顯示出公司內(nèi)部管理還需要加強(qiáng)。
今天,圓通速遞也表示,此次案件再次敲響了信息安全風(fēng)險(xiǎn)的警鐘,并對(duì)此案件暴露的問題深表歉意。
信息泄露,平臺(tái)監(jiān)管太過寬容嗎?
媒體報(bào)道圓通公司有五名員工涉及,下午我們的記者從警方獲得的信息是,這五名中有兩名發(fā)現(xiàn)賬戶異常登錄后及時(shí)修改了密碼,沒有直接造成損失,所以沒有采取刑事措施,目前采取刑事措施的是3名圓通速遞的員工。另外,這次信息的泄露,是圓通速遞在日常監(jiān)測(cè)中發(fā)現(xiàn)并且主動(dòng)報(bào)案的,但這依然不能推卸該有的監(jiān)管責(zé)任。
中國(guó)社科院法學(xué)研究所副所長(zhǎng) 周漢華:現(xiàn)有的相關(guān)法律法規(guī),包括刑法修正之后,有一條“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”,其中有一項(xiàng)具體行為是“致使用戶信息泄露,造成嚴(yán)重后果的”,所以相關(guān)執(zhí)法部門其實(shí)應(yīng)該跟進(jìn)。包括在2013年之后,是否責(zé)令圓通進(jìn)行整改,它采取了哪些整改措施?那五個(gè)賬號(hào)被出賣之后,就能有40萬的信息泄露,內(nèi)部管理上其實(shí)已經(jīng)存在非常嚴(yán)重的問題。所以,行政執(zhí)法部門,包括刑事執(zhí)法部門都應(yīng)該跟進(jìn),“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”,這個(gè)武器是要用的,否則這樣的事情就會(huì)層出不窮。
中國(guó)社科院法學(xué)研究所副所長(zhǎng)周漢華:按照侵犯公民個(gè)人信息罪的司法解釋,非法獲取、出售或者提供公民不同類型個(gè)人信息50條、500條、5000條都可以構(gòu)成刑事責(zé)任,所以本次事件中泄露的40萬用戶的4.5萬余條絕對(duì)有效信息是很多的。
中國(guó)社科院法學(xué)研究所副所長(zhǎng)周漢華:在網(wǎng)絡(luò)時(shí)代,往往個(gè)人信息都是海量的。公安部去年破獲的一起案件里涉及到的個(gè)人信息達(dá)50億條;在美國(guó)的Equifax征信公司,一次泄露了1.35億條美國(guó)公民的個(gè)人征信信息;雅虎郵箱有一次泄露5億條公民個(gè)人信息,另外一次是30億條。所以在這個(gè)時(shí)代,其實(shí)每個(gè)人的個(gè)人信息都面臨非常大的風(fēng)險(xiǎn)。40萬條的快遞信息,它的含量比較大,它包含了發(fā)件人地址、姓名、電話以及收件人、電話、姓名、地址,還會(huì)包括身份證信息、用戶偏好等,這些對(duì)于大數(shù)據(jù)分析非常有價(jià)值,快遞單信息一直是違法犯罪分子盯得比較緊的地方。
中國(guó)社科院法學(xué)研究所副所長(zhǎng) 周漢華:國(guó)際上現(xiàn)在對(duì)于個(gè)人信息保護(hù)面臨一個(gè)問題,到底是打“蒼蠅”還是打“老虎”?“蒼蠅”往往是中下游的,像今天這個(gè)案子里這5個(gè)員工就屬于是“蒼蠅”。但平臺(tái)、大公司就是“老虎”。如果要真正要解決個(gè)人信息濫用的問題,不打“老虎”是沒有用的,所以國(guó)際上都是打“老虎”。“蒼蠅”當(dāng)然也要打,但是打“蒼蠅”更多是通過治安管理處罰,通過治安管理的法律,包括追究刑事責(zé)任等。侵犯公民個(gè)人信息罪當(dāng)中的50條、500條、5000條的標(biāo)準(zhǔn),對(duì)于自然人來說是構(gòu)成刑事責(zé)任了,但對(duì)于“大老虎”來說,這個(gè)是不夠的。
如果說你的密碼、你的手機(jī)號(hào)、地址等等被泄露,被獲取,自己還有可修改的空間的話,那么對(duì)于個(gè)人生物信息的獲取,這可是更強(qiáng)程度上的一種對(duì)個(gè)人信息的獲取,這一兩年,人臉識(shí)別、聲音識(shí)別,被運(yùn)用的越來越多,該怎么保障安全?
“人臉識(shí)別第一案”
隨著刷臉時(shí)代的到來,當(dāng)人們享受著刷臉帶來的移動(dòng)支付、酒店入住、車站機(jī)場(chǎng)安檢、智能安防等領(lǐng)域的便捷同時(shí),也有一些人在清醒地從另一個(gè)角度思考刷臉的安全性。
郭兵,浙江理工大學(xué)特聘副教授,多年來致力于研究個(gè)人信息保護(hù)的法律問題。同時(shí),他還有另外一個(gè)身份一一“國(guó)內(nèi)人臉識(shí)別第一案”主訴人。去年,他因杭州野生動(dòng)物世界年卡由指紋識(shí)別“強(qiáng)制”升級(jí)為“刷臉”入園,將杭州野生動(dòng)物世界訴至法院。
浙江理工大學(xué)特聘副教授 郭兵:作為一個(gè)關(guān)注個(gè)人信息保護(hù)的學(xué)者,我認(rèn)為像動(dòng)物園這樣一個(gè)商業(yè)組織,如果在沒有征得游客或者消費(fèi)者的知情同意的情況下,你擅自使用人臉識(shí)別技術(shù),肯定是涉嫌違法的,除了在征得消費(fèi)者的同意之外,我認(rèn)為還應(yīng)當(dāng)告知消費(fèi)者使用的目的和風(fēng)險(xiǎn),讓消費(fèi)者真正知情。
目前,該案還在審理中。 事實(shí)上,郭兵所在的杭州市對(duì)人臉識(shí)別的風(fēng)險(xiǎn)和法律屬性也在進(jìn)行探索。10月28日,《杭州市物業(yè)管理?xiàng)l例(修訂草案)》被提請(qǐng)至杭州市第十三屆人大常委會(huì)第三十次會(huì)議審議,已進(jìn)入二審階段。
在“修訂草案”中新增且明確了物業(yè)服務(wù)人不得強(qiáng)制業(yè)主通過指紋、人臉識(shí)別等生物信息方式使用共用設(shè)施設(shè)備。而這一條款的由來,同樣也是源于郭兵。
10月9日,他在杭州市司法局組織的 “修訂草案”立法聽證會(huì)上陳述了自己對(duì)于人臉識(shí)別進(jìn)小區(qū)的建議。
浙江理工大學(xué)特聘副教授 郭兵:我是真的希望后面立法能夠精細(xì)化一些,能夠更多的防范到刷臉風(fēng)險(xiǎn),因?yàn)槲覀儸F(xiàn)在個(gè)人信息泄露,有點(diǎn)類似我們現(xiàn)在網(wǎng)絡(luò)空間的污染,我是非常認(rèn)同,我們對(duì)于個(gè)人信息的保護(hù)是一定不能走像以前我們治理環(huán)境污染的,先污染后治理的策略,生物識(shí)別信息一旦后面廣泛泄露,它跟環(huán)境治理完全不一樣,真的是很難把后果控制住的。
如果這份修訂草案審議通過,《杭州市物業(yè)管理?xiàng)l例》將成為國(guó)內(nèi)首部對(duì)小區(qū)人臉識(shí)別納入物業(yè)管理的法定條例。
杭州市司法局副局長(zhǎng) 曹佃杭:我覺得立法的話,應(yīng)該有一定的前瞻性,不能等問題爆發(fā)了我們?cè)偃ヒ?guī)范立法,這樣做的話他的管理成本非常大,而且難度會(huì)成倍的增長(zhǎng),我們的條例并沒有否定物業(yè)公司,不能采用刷臉系統(tǒng),也就是說允許刷臉系統(tǒng)進(jìn)行關(guān)聯(lián)、管理,但是必須要爭(zhēng)得業(yè)主的同意,就說如果經(jīng)過業(yè)主的同意的話仍然可以采集他的人臉,生物信息,但是如果業(yè)主不愿意的話,那么不能強(qiáng)行去采集業(yè)主的生物信息,應(yīng)該允許他用卡或者其他的方式,進(jìn)入小區(qū)。
從首個(gè)訴訟到首次進(jìn)入地方規(guī)范,意味著以指紋、人臉、聲紋、虹膜等為代表的個(gè)人生物識(shí)別信息的應(yīng)用和保護(hù)已經(jīng)越來越迫切。
除了人臉識(shí)別,手機(jī)因?yàn)殚_放權(quán)限導(dǎo)致疑似被監(jiān)聽,也已經(jīng)成為公眾的另一個(gè)困擾。
手機(jī)用戶 劉倩:我跟同事聊寶寶的事情,給寶寶辦理證件的一些問題,我的購(gòu)物軟件和瀏覽器會(huì)給我推寶寶證件套這類商品,但是我甚至沒有上網(wǎng)搜過寶寶證件這些,我感覺挺恐怖的。
手機(jī)用戶 苑慶攀:我跟朋友說椰棗,然后過了一天我就在某App刷到了關(guān)于椰棗的推薦的視頻。 我就覺得很驚訝,我說你怎么可能,對(duì)吧?我除了說,沒有任何搜索記錄,你這就給我推薦呢。
中國(guó)社科院法學(xué)研究所副所長(zhǎng) 周漢華:在國(guó)外也出現(xiàn)過類似被監(jiān)聽事件,也算是丑聞。這對(duì)個(gè)人的隱私,甚至對(duì)個(gè)人的人身和財(cái)產(chǎn)安全都帶來很大挑戰(zhàn)。有一些APP是必須要用麥克風(fēng),因?yàn)橛型ㄔ捁δ?,但很多APP其實(shí)沒有通話功能,比如一些閱讀的APP,它也來調(diào)取你的麥克風(fēng),這個(gè)情況下就需要法律介入,必須要有合理的業(yè)務(wù)上的需要才能調(diào)取,否則不應(yīng)該調(diào)取麥克風(fēng)。
中國(guó)社科院法學(xué)研究所副所長(zhǎng) 周漢華:這個(gè)必須得有監(jiān)管機(jī)構(gòu)來進(jìn)行判斷。很多APP都覺得自己需要調(diào)用很多個(gè)人信息,不然無法提供服務(wù),實(shí)際上很多時(shí)候它說的是沒有道理的。比如一個(gè)閱讀軟件,只提供文字方面的服務(wù),那根本不需要麥克風(fēng)。即使真的需要麥克風(fēng),也不是永遠(yuǎn)都需要,可能只是你需要時(shí)才能調(diào)用,你不需要時(shí)就應(yīng)該尊重用戶的選擇,不能讓它永遠(yuǎn)給你開著。
個(gè)人信息保護(hù),法律如何起作用?
這些簡(jiǎn)單的問卷,是2020年上半年,人臉識(shí)別技術(shù)應(yīng)用安全調(diào)研課題組發(fā)布的一份線上問卷,共有 2萬多人參加,這組數(shù)據(jù)至少可以反應(yīng)出公眾對(duì)于人臉識(shí)別應(yīng)用的一個(gè)基本態(tài)度方向。
中國(guó)社科院法學(xué)研究所副所長(zhǎng) 周漢華:其實(shí)現(xiàn)在國(guó)際上已經(jīng)對(duì)人臉識(shí)別問題討論得非常多了,很多主體現(xiàn)在已經(jīng)意識(shí)到人臉識(shí)別所帶來的后果。像美國(guó)舊金山,明確規(guī)定禁止人臉識(shí)別。在其他領(lǐng)域,微軟做出了對(duì)人臉識(shí)別的一些準(zhǔn)則性要求,在什么情況下來進(jìn)行人臉識(shí)別等。由于現(xiàn)在進(jìn)入4G、5G時(shí)代,它是一個(gè)視頻的時(shí)代,這時(shí)人臉的使用面越來越廣,帶來的風(fēng)險(xiǎn)就前所未有。因?yàn)槿四樖菦]法換的,如果是密碼還可以換,甚至地址也可以換,車也可以換,但是人臉換不了。所以這個(gè)損害一旦造成,是無法挽回的。這就需要在立法中,在執(zhí)法中把這個(gè)作為重中之重來加以保護(hù)。
一方面是技術(shù)和市場(chǎng)的發(fā)展,有市場(chǎng)需求,也有高科技發(fā)展需求,另外一方面,是人們對(duì)于自身信息安全方面更深層次的擔(dān)心。不是說這兩者一定對(duì)立,只能選其一,而是當(dāng)有了技術(shù)的發(fā)展之后,技術(shù)該怎么適度運(yùn)用,要有明確的紅線界限,技術(shù)運(yùn)用的前提,一定是安全。 技術(shù)需要發(fā)展,但前提應(yīng)該是安全,尤其是涉及到個(gè)人隱私、個(gè)人信息,我們希望法律和監(jiān)管,能夠在未來真正起到作用,保護(hù)我們每一個(gè)人的隱私。