今天,数据正在成为隐私最大的载体。一个数据极其充沛的时代,也是一个隐私极其脆弱的时代。
人人都有免于恐惧的权利,这是信息社会最起码的安全准则。中国社会要避免出现更多的基于个人信息的精准诈骗,就必须从基础做起,从规则、法律和标准做起,做到精准治理、精准打击。
从1946年第一台电子计算机发明,到1989年万维网诞生,再到近年来数据的爆炸,信息时代一路狂奔,还从来没有像今天这么沉重过。2016年8月19日,因为个人信息泄露而遭遇诈骗,准大学生徐玉玉病发死亡,此后各地不断爆出信息诈骗导致的恶性案件;2016年8月29日,又传出清华大学一名教师被骗1760万元,案犯掌握信息之精准、骗局之精细,令人瞠目。
一条条信息的泄露,一道道防线的失守,一次比一次更严重的伤害,整个社会都在追问:是谁泄露了徐玉玉等人的隐私信息,让骗子可以按图索骥,实现精准诈骗?又是谁通过数据操纵篡改他人的人生,连知识精英都未能幸免?
我认为,这些案件表明,中国社会的个人信息保护体系还未成熟,要尽快面对和化解系统性的危险。
原因,是多方面的。
问题一:违法成本低
很多人惊诧,在中国,地下非法信息买卖就像买卖一根葱一样方便,是无法可依吗?
实际上,虽然中国尚未出台全国性、系统性的个人信息保护办法,但立法层面的基本框架已经具备。据专业人士统计,中国有至少40项有关个人信息保护的法规。
在国家层面,泄露公民个人信息已经入刑。2015年8月通过的“刑法修正案”规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金……”该条款常被指责处罚力度不够,与当前电信诈骗的猖獗程度及其带来的严重后果不匹配。
2015年3月,国家工商总局颁布了“侵害消费者权益行为处罚办法”,此外还有“电信和互联网用户个人信息保护规定”“消费者权益保护法”“网络安全法”等一系列法规都有相关规定。
在地方政府层面,也有诸多尝试。如“杭州市网络交易管理暂行办法”“山西省公共信用信息管理办法”都有涉及这个话题。
这些法律法规看起来很多,但散落在各个部门,不成体系。这说明,从中央到地方,都意识到这是一个问题,但如何增强立法修法系统性、科学性,进一步强化落实已是当务之急。
举一个例子。2015年12月,安徽省就该省的“消费者权益保护条例”向社会公开征求意见。其中有条款规定:“经营者非法向他人提供消费者个人信息的,应当给予消费者经济赔偿”,赔偿的额度为“非法提供个人信息获取的收益”和“给消费者造成的实际损失”两者中的较大者,“实际损失难以确定的,赔偿额度不低于500元;造成严重精神损害的,赔偿额度不低于3000元”。
我当时就为这“500元”和“3000元”的最低额度暗暗叫好,因为这明确地标明了违法者的风险和成本,大大降低了执法的难度和举证的门槛,清晰明确,可操作性强。
但令人意外的是,2016年2月,安徽人大宣布该条例正式实施,在其最终的定稿中,“500元”和“3000元”的最低罚款额度等规定都被一一删除了,仅仅提出了经济赔偿和精神损害赔偿,到底多少,没有明确。
可以想象,立法过程当中的犹豫、反复和最终的妥协。这反映了我们的立法对这种违法行为的“恶”认识不足、决心不够大。
徐玉玉等人的遭遇表明,放任个人隐私数据泄露、倒卖,整个社会将付出惨重的代价。今天,我们每一个人都在源源不断地产生数据,这些数据表征着我们的位置、状态、习惯、喜好和需求,一旦这些个人数据落入诈骗者手里,人人都可能成为下一个“徐玉玉”。在精心构置的精准诈骗中,骗与被骗是一种猎与被猎、吃与被吃的关系。
总结起来说,法律规定不成体系,令出多门,一旦出现违法的问题,消费者不知道应该向谁投诉、无法锁定责任、茫无头绪,管理部门也莫衷一是、互相推诿。再加上法律条文概念化、处罚标准模糊、操作性不强,受害者就会面临举证困难,即使证据确凿,对不法分子的处理也无关痛痒,犯罪分子就更加嚣张。
相比较而言,也有不少国家要规范得多,他们正在不断地拓展着个人隐私保护的外延。如欧盟即将推出一项强化个人隐私保护的政策,规定手机等电子设备可以记录一个人曾经停留过的地理位置,相关企业将被禁止处理这些数据,除非经过匿名处理或得到用户的明确允许。
此外,从文化传统和个人权利意识上来说,大众的隐私意识比较淡泊,最终导致分散、宽泛的法规成了摆设、硬不起来。数据表明,2015年全国电信诈骗发案近60万起,破案率却不到3%。大量的案件,消费者只能自认倒霉、不了了之。中国在个人信息保护上还处于比较初级的阶段。
问题二:信息过度收集
除了立法的问题,数据的收集者也存在类似问题。当下中国社会的数据收集,是一种泛收集、过度收集,没有科学规划,也缺乏权利意识。
再以徐玉玉一案为例,其助学金申请表格包含了26个数据项,其中不仅包括姓名、身份证号、联系方式、住址,还有个人照片、生日、银行账号、学号、家庭经济情况、家庭成员信息等。这些数据不仅呈现了申请者自身的状况,还反映了她的社会关系网。悲剧发生之后,各方讨论,但鲜有人认真地问一句:申请助学金真的需要如此多的数据吗?
过度收集的问题还在于,大部分的数据在收集后,都没有加密保存。今天的信息技术,已经让数据复制、转移的成本非常低廉、过程非常简单快捷。没有加密的数据,基本上就是在“裸奔”。
简而言之,数据被大量收集起来,又没有加密保存,非但无用,一旦落入不法分子之手,还有副作用,甚至反作用。
因此,我们应该质疑、反思现行的数据收集体制和机制,重点是其合法性、正当性和科学性。
回到上文中提到的“侵害消费者权益行为处罚办法”,其实对数据收集的问题也有规定:“经营者未经消费者同意收集、使用消费者个人信息的……或在消费者明确表示拒绝,仍向其发送商业性信息的,都将受到处罚”。但在现实生活中,这条法规得不到有效的实施:中国仍然存在大量未经个人同意就收集数据的,绝大部分人也不知道自己居然有拒绝的权利。
一个人一生填报的表格、提交的信息,其实非常可观。1995年,美国联邦政府做过统计,他们一年的信息收集任务需要65亿个小时才能完成,这相当于320万人一年的工作量。也就是说,除了填表格,这320万人什么都不用做,也需要一整年的时间才能完成美国联邦政府下达的信息收集任务。到2009年,信息采集的时间已经上升到99亿小时。
这其中有相当部分是重复采集,还有相当一部分,一经收集,可能只使用一次,便永远沉睡在档案库中。
过度收集会造成多方面的问题。我认为这方面要借鉴发达国家的经验。美国有专门的“纸面工作精简法”规范政府的信息收集,其规定,任何一个部门如果要向社会收集数据,必须得到信息管制办公室(OIRA)的批准。这个办公室首先判断该项数据在整个政府的范围内是否属于重复收集,如果不重复、又要求合理,将会授予该部门一个“信息收集许可号”。这个“号”是政府收集数据的通行证,并限定了本次数据收集的范围。缺少这个号,公民有权拒绝填报。
对于和个人身份相关的数据项,在采集之后,无论是静态存储还是动态传输,都必须加密。除了加密,政府还应该设计完整的管理机制,例如,政府文件有绝密、机密、秘密、公开之分,相应级别的公务人员只有权力查看相应级别的文件。有关于公民隐私的个人数据也一样,要有特定的权限才能接触、查看。道理很简单,如果一份申请表,需要层层递交、审批,经手的人越多,数据泄露的风险也越高。
在加密手段尚未普及的情况下,应该尽量减少、避免“过度收集”。这将从源头上减少信息泄露的风险,把个人数据的风险降至最低。中国应当尽快出台相应的法规,明确统筹的部门,详尽规定数据收集的目的、类型、流程和使用权限,抑制过度收集数据,这不仅可以提高数据收集的科学性,还可以减轻全社会的负担、减少“信息扰民”。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。