數(shù)據(jù)化時代,大家一方面欣喜于給生活帶來的便利和智能,另外一方面同樣在擔(dān)心個人信息的泄露。尤其是這兩年隨著各種大數(shù)據(jù)應(yīng)用的普及,人們的擔(dān)心甚至已經(jīng)在逐步超過“欣喜”,平臺、機(jī)構(gòu)信息泄露的事件,經(jīng)常出現(xiàn)在我們眼前。17日,圓通速遞公司回應(yīng)稱,其內(nèi)部員工與不法分子勾結(jié),致40萬條公民個人信息被泄露。盡管事件中的犯罪嫌疑人已經(jīng)歸案,但這起事件又給我們的個人信息保護(hù)敲響了警鐘,而對于這起事件的看法,以及對于個人信息被泄露的看法,還是挺耐人尋味。
17日早間,圓通速遞在官方微博發(fā)文稱:公司注意到,近日有媒體報道經(jīng)公司報案、公安機(jī)關(guān)破獲的非法獲取并使用快遞運單信息的案件。
圓通速遞稱,今年7月底,公司總部實時運行的風(fēng)控系統(tǒng)監(jiān)測到圓通速遞河北省區(qū)下屬網(wǎng)點有兩個賬號存在非該網(wǎng)點運單信息的異常查詢,判斷為明顯的異常操作,于第一時間關(guān)閉風(fēng)險賬號,同時立即成立由質(zhì)控、安保、信息中心、網(wǎng)管以及河北省區(qū)組成的調(diào)查組,對此事件開展取證調(diào)查,隨后向當(dāng)?shù)毓膊块T報案。
新聞1+1聯(lián)系了偵辦此案的專案組,河北省邯鄲市公安局反詐中心以及邯鄲市永年區(qū)公安局,證實此案確是由圓通速遞發(fā)現(xiàn)并報案的。
河北邯鄲市永年區(qū)公安局反詐中心中隊長 王求東:這個案子是今年8月份,圓通公司的河北這邊安全部的人,找到我們公安局報告稱,他們一個賬號在異地登錄異常,懷疑這個號被人利用,登錄了,然后非法獲取公民信息過來報案。
今天,圓通快遞公司在對此事件的回應(yīng)中表示:通過公司調(diào)查發(fā)現(xiàn),疑似有加盟網(wǎng)點個別員工與外部不法分子勾結(jié),利用員工賬號和第三方非法工具竊取運單信息,導(dǎo)致信息外泄。
河北邯鄲市永年區(qū)公安局反詐中心中隊長 王求東:犯罪的手段就是這個嫌疑人他們租用圓通公司的公號,然后登錄去里邊篩選這個收件人或寄件人的信息,他們整理出來以后,他們再整理然后販賣出去,給實施電信詐騙的犯罪分子,他們就是一個涉嫌的罪名就是侵犯公民個人信息的,他們是這個環(huán)節(jié)的犯罪。
經(jīng)過警方一個多月的偵查,最終查獲了圓通公司共5名員工,以每天500元的價格外租了自己的員工賬號,造成了40多萬條個人信息泄露。
河北邯鄲市永年區(qū)公安局反詐中心中隊長 王求東:這五個賬號總共流出的信息量,有效的信息量是45000條。有的外租的時間長,有的外租時間短,最長是7天的,最短的就1天,那么五個號我們統(tǒng)計的有效是45000條。這45000條里邊,就是45000個人有可能是被電信詐騙實施的一個人,其中一個受害者。
被泄露的45000條信息中,包含了發(fā)件人地址、姓名、電話以及收件人電話、姓名地址共六個部分。而根據(jù)盜取個人信息的犯罪團(tuán)伙供述,這些信息將被以每條一元的價格,打包賣到全國及東南亞等電信詐騙高發(fā)區(qū)。
據(jù)了解,這已不是圓通速遞第一次遭遇客戶信息泄露。早在2013年就有媒體曝光,有近百萬條圓通快遞單個人信息不僅可在網(wǎng)絡(luò)上購買到,單號數(shù)據(jù)信息還能24小時刷新。
圓通速遞客服通過微博發(fā)布道歉聲明。圓通速遞表示,網(wǎng)上銷售訂單信息的主要原因,在于個別網(wǎng)絡(luò)銷售商家,需要虛假的交易信息,來提高他的網(wǎng)店的信用等級,而網(wǎng)上倒賣信息的發(fā)生,也顯示出公司內(nèi)部管理還需要加強。
今天,圓通速遞也表示,此次案件再次敲響了信息安全風(fēng)險的警鐘,并對此案件暴露的問題深表歉意。
信息泄露,平臺監(jiān)管太過寬容嗎?
媒體報道圓通公司有五名員工涉及,下午我們的記者從警方獲得的信息是,這五名中有兩名發(fā)現(xiàn)賬戶異常登錄后及時修改了密碼,沒有直接造成損失,所以沒有采取刑事措施,目前采取刑事措施的是3名圓通速遞的員工。另外,這次信息的泄露,是圓通速遞在日常監(jiān)測中發(fā)現(xiàn)并且主動報案的,但這依然不能推卸該有的監(jiān)管責(zé)任。
中國社科院法學(xué)研究所副所長 周漢華:現(xiàn)有的相關(guān)法律法規(guī),包括刑法修正之后,有一條“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”,其中有一項具體行為是“致使用戶信息泄露,造成嚴(yán)重后果的”,所以相關(guān)執(zhí)法部門其實應(yīng)該跟進(jìn)。包括在2013年之后,是否責(zé)令圓通進(jìn)行整改,它采取了哪些整改措施?那五個賬號被出賣之后,就能有40萬的信息泄露,內(nèi)部管理上其實已經(jīng)存在非常嚴(yán)重的問題。所以,行政執(zhí)法部門,包括刑事執(zhí)法部門都應(yīng)該跟進(jìn),“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”,這個武器是要用的,否則這樣的事情就會層出不窮。
中國社科院法學(xué)研究所副所長周漢華:按照侵犯公民個人信息罪的司法解釋,非法獲取、出售或者提供公民不同類型個人信息50條、500條、5000條都可以構(gòu)成刑事責(zé)任,所以本次事件中泄露的40萬用戶的4.5萬余條絕對有效信息是很多的。
中國社科院法學(xué)研究所副所長周漢華:在網(wǎng)絡(luò)時代,往往個人信息都是海量的。公安部去年破獲的一起案件里涉及到的個人信息達(dá)50億條;在美國的Equifax征信公司,一次泄露了1.35億條美國公民的個人征信信息;雅虎郵箱有一次泄露5億條公民個人信息,另外一次是30億條。所以在這個時代,其實每個人的個人信息都面臨非常大的風(fēng)險。40萬條的快遞信息,它的含量比較大,它包含了發(fā)件人地址、姓名、電話以及收件人、電話、姓名、地址,還會包括身份證信息、用戶偏好等,這些對于大數(shù)據(jù)分析非常有價值,快遞單信息一直是違法犯罪分子盯得比較緊的地方。
中國社科院法學(xué)研究所副所長 周漢華:國際上現(xiàn)在對于個人信息保護(hù)面臨一個問題,到底是打“蒼蠅”還是打“老虎”?“蒼蠅”往往是中下游的,像今天這個案子里這5個員工就屬于是“蒼蠅”。但平臺、大公司就是“老虎”。如果要真正要解決個人信息濫用的問題,不打“老虎”是沒有用的,所以國際上都是打“老虎”。“蒼蠅”當(dāng)然也要打,但是打“蒼蠅”更多是通過治安管理處罰,通過治安管理的法律,包括追究刑事責(zé)任等。侵犯公民個人信息罪當(dāng)中的50條、500條、5000條的標(biāo)準(zhǔn),對于自然人來說是構(gòu)成刑事責(zé)任了,但對于“大老虎”來說,這個是不夠的。
如果說你的密碼、你的手機(jī)號、地址等等被泄露,被獲取,自己還有可修改的空間的話,那么對于個人生物信息的獲取,這可是更強程度上的一種對個人信息的獲取,這一兩年,人臉識別、聲音識別,被運用的越來越多,該怎么保障安全?
“人臉識別第一案”
隨著刷臉時代的到來,當(dāng)人們享受著刷臉帶來的移動支付、酒店入住、車站機(jī)場安檢、智能安防等領(lǐng)域的便捷同時,也有一些人在清醒地從另一個角度思考刷臉的安全性。
郭兵,浙江理工大學(xué)特聘副教授,多年來致力于研究個人信息保護(hù)的法律問題。同時,他還有另外一個身份一一“國內(nèi)人臉識別第一案”主訴人。去年,他因杭州野生動物世界年卡由指紋識別“強制”升級為“刷臉”入園,將杭州野生動物世界訴至法院。
浙江理工大學(xué)特聘副教授 郭兵:作為一個關(guān)注個人信息保護(hù)的學(xué)者,我認(rèn)為像動物園這樣一個商業(yè)組織,如果在沒有征得游客或者消費者的知情同意的情況下,你擅自使用人臉識別技術(shù),肯定是涉嫌違法的,除了在征得消費者的同意之外,我認(rèn)為還應(yīng)當(dāng)告知消費者使用的目的和風(fēng)險,讓消費者真正知情。
目前,該案還在審理中。 事實上,郭兵所在的杭州市對人臉識別的風(fēng)險和法律屬性也在進(jìn)行探索。10月28日,《杭州市物業(yè)管理條例(修訂草案)》被提請至杭州市第十三屆人大常委會第三十次會議審議,已進(jìn)入二審階段。
在“修訂草案”中新增且明確了物業(yè)服務(wù)人不得強制業(yè)主通過指紋、人臉識別等生物信息方式使用共用設(shè)施設(shè)備。而這一條款的由來,同樣也是源于郭兵。
10月9日,他在杭州市司法局組織的 “修訂草案”立法聽證會上陳述了自己對于人臉識別進(jìn)小區(qū)的建議。
浙江理工大學(xué)特聘副教授 郭兵:我是真的希望后面立法能夠精細(xì)化一些,能夠更多的防范到刷臉風(fēng)險,因為我們現(xiàn)在個人信息泄露,有點類似我們現(xiàn)在網(wǎng)絡(luò)空間的污染,我是非常認(rèn)同,我們對于個人信息的保護(hù)是一定不能走像以前我們治理環(huán)境污染的,先污染后治理的策略,生物識別信息一旦后面廣泛泄露,它跟環(huán)境治理完全不一樣,真的是很難把后果控制住的。
如果這份修訂草案審議通過,《杭州市物業(yè)管理條例》將成為國內(nèi)首部對小區(qū)人臉識別納入物業(yè)管理的法定條例。
杭州市司法局副局長 曹佃杭:我覺得立法的話,應(yīng)該有一定的前瞻性,不能等問題爆發(fā)了我們再去規(guī)范立法,這樣做的話他的管理成本非常大,而且難度會成倍的增長,我們的條例并沒有否定物業(yè)公司,不能采用刷臉系統(tǒng),也就是說允許刷臉系統(tǒng)進(jìn)行關(guān)聯(lián)、管理,但是必須要爭得業(yè)主的同意,就說如果經(jīng)過業(yè)主的同意的話仍然可以采集他的人臉,生物信息,但是如果業(yè)主不愿意的話,那么不能強行去采集業(yè)主的生物信息,應(yīng)該允許他用卡或者其他的方式,進(jìn)入小區(qū)。
從首個訴訟到首次進(jìn)入地方規(guī)范,意味著以指紋、人臉、聲紋、虹膜等為代表的個人生物識別信息的應(yīng)用和保護(hù)已經(jīng)越來越迫切。
除了人臉識別,手機(jī)因為開放權(quán)限導(dǎo)致疑似被監(jiān)聽,也已經(jīng)成為公眾的另一個困擾。
手機(jī)用戶 劉倩:我跟同事聊寶寶的事情,給寶寶辦理證件的一些問題,我的購物軟件和瀏覽器會給我推寶寶證件套這類商品,但是我甚至沒有上網(wǎng)搜過寶寶證件這些,我感覺挺恐怖的。
手機(jī)用戶 苑慶攀:我跟朋友說椰棗,然后過了一天我就在某App刷到了關(guān)于椰棗的推薦的視頻。 我就覺得很驚訝,我說你怎么可能,對吧?我除了說,沒有任何搜索記錄,你這就給我推薦呢。
中國社科院法學(xué)研究所副所長 周漢華:在國外也出現(xiàn)過類似被監(jiān)聽事件,也算是丑聞。這對個人的隱私,甚至對個人的人身和財產(chǎn)安全都帶來很大挑戰(zhàn)。有一些APP是必須要用麥克風(fēng),因為有通話功能,但很多APP其實沒有通話功能,比如一些閱讀的APP,它也來調(diào)取你的麥克風(fēng),這個情況下就需要法律介入,必須要有合理的業(yè)務(wù)上的需要才能調(diào)取,否則不應(yīng)該調(diào)取麥克風(fēng)。
中國社科院法學(xué)研究所副所長 周漢華:這個必須得有監(jiān)管機(jī)構(gòu)來進(jìn)行判斷。很多APP都覺得自己需要調(diào)用很多個人信息,不然無法提供服務(wù),實際上很多時候它說的是沒有道理的。比如一個閱讀軟件,只提供文字方面的服務(wù),那根本不需要麥克風(fēng)。即使真的需要麥克風(fēng),也不是永遠(yuǎn)都需要,可能只是你需要時才能調(diào)用,你不需要時就應(yīng)該尊重用戶的選擇,不能讓它永遠(yuǎn)給你開著。
個人信息保護(hù),法律如何起作用?
這些簡單的問卷,是2020年上半年,人臉識別技術(shù)應(yīng)用安全調(diào)研課題組發(fā)布的一份線上問卷,共有 2萬多人參加,這組數(shù)據(jù)至少可以反應(yīng)出公眾對于人臉識別應(yīng)用的一個基本態(tài)度方向。
中國社科院法學(xué)研究所副所長 周漢華:其實現(xiàn)在國際上已經(jīng)對人臉識別問題討論得非常多了,很多主體現(xiàn)在已經(jīng)意識到人臉識別所帶來的后果。像美國舊金山,明確規(guī)定禁止人臉識別。在其他領(lǐng)域,微軟做出了對人臉識別的一些準(zhǔn)則性要求,在什么情況下來進(jìn)行人臉識別等。由于現(xiàn)在進(jìn)入4G、5G時代,它是一個視頻的時代,這時人臉的使用面越來越廣,帶來的風(fēng)險就前所未有。因為人臉是沒法換的,如果是密碼還可以換,甚至地址也可以換,車也可以換,但是人臉換不了。所以這個損害一旦造成,是無法挽回的。這就需要在立法中,在執(zhí)法中把這個作為重中之重來加以保護(hù)。
一方面是技術(shù)和市場的發(fā)展,有市場需求,也有高科技發(fā)展需求,另外一方面,是人們對于自身信息安全方面更深層次的擔(dān)心。不是說這兩者一定對立,只能選其一,而是當(dāng)有了技術(shù)的發(fā)展之后,技術(shù)該怎么適度運用,要有明確的紅線界限,技術(shù)運用的前提,一定是安全。 技術(shù)需要發(fā)展,但前提應(yīng)該是安全,尤其是涉及到個人隱私、個人信息,我們希望法律和監(jiān)管,能夠在未來真正起到作用,保護(hù)我們每一個人的隱私。