freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

我的个人信息还好吗?浅谈个人信息保护法制建设
2018-10-13 08:00:43

前言

"The 21st century is a digital book." 4年前上映的美队2电影里除了寡姐,让我印象最深刻的就是这句台词了。它引出了一段关于公民信息窃取+大数据算法“九头蛇”方案的描述。

阿尼姆·佐拉博士,就是下面这位:

阿尼姆·佐拉

后来变成了一房间磁带:

阿尼姆·佐拉

他开发了一种算法,通过非法获取海量公民的银行数据、医疗记录、投票方式、电子邮件、电话内容、考试成绩等个人信息/隐私,从一个人的过去预测他的未来,筛选出在未来会对九头蛇有威胁的人提前加以消灭。

我还不会被这样的网络技术消灭,但就目前情况而言,我的信息被第三方非法获取之后真变成了一本摊开来的书:

以前去过哪儿,所以未来想去/可能会去哪儿;

使用浏览器搜索了某个物件,打开某个APP整页都是类似的商品,我想买什么“它”全都知道;

点了某个外卖,就知道我的口味如何;

订好了机票,一会儿就发短信来让我“退票”;

精准的电信诈骗、房产、贷款、信用卡、购物、外卖、信息流等电话和软件推送更是不在话下。

以个人信息/隐私为中心,这个时代为每个参与信息交互的个体编织了一张逃不开的大网,网络上的每个节点构成了我们的生活。是稳坐中心掌控这张网,还是被它捕获成为被围猎的对象,我们有选择吗?

换句话说,像《网络安全法》这样的大棒能够敲到数据窃贼的头上让其不敢行动吗?我想聊聊我国个人信息保护法制建设的情况和挑战,碍于知识和水平有限只能浅尝即止,权当抛砖引玉。

概述

个人信息保护是我国网络法制建设的基石,而网络法制的概念,简单地说就是法网与互联网平行发展的进程中,当法网能够成熟调解和处理基于互联网的某些关系时,网络所形成的社会关系就实现了法律化,这个过程就是网络法制建设。

目前就我国互联网治理的现状来看,网络本身可能已经超出了现有法律的管辖范围,也就是说基于网络构建的社会关系已经超出了现有法律的适用范围。在多大程度上能够把网络关系当中应当改造为法律关系的那一部分实现改造,网络社会关系在多大层次上被转换成了法律关系,可能就是我国网络法制建设的现状。

具体来看,我国介入网络空间的方式与一般法律治理社会的方式没有什么两样,主要从立法切入。

现状

法律层面的个人信息保护规范体系已经有一些非常实质性的成果,但是在具体领会和执行的时候也常有一些疑问。本章简单罗列一些我国法律中针对个人信息的保护部分,主要讨论我国法律对于个人信息的界定以及在实践中可能出现的难点。

《网络安全法》

网络安全法

首当其冲的是《网络安全法》,它把个人信息安全作为网络安全的重要部分纳入到体系中。欧美国家的个人信息保护法,如欧盟的《个人数据保护指令》、法国的《数据处理、数据文件及个人自由法》、德国的《联邦数据保护法》以及最近的热点GDPR等,多数是将将“个人信息”视为“个人数据”,而我国《网络安全法》的一个重要特色是在法律层面明确了“信息”和“数据”的区别,第七十六条中对“网络数据”和“个人信息”的含义进行了文意解释:

网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。

个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

疑问

第一个问题,个人信息和网络数据被分为两个维度的事物,这样一来对于确定法律的适用性就很重要了,也变成了实践中的难点。

比如说数据交易,交易的是信息,数据是一种形式体现,那么在进行法律定性时属于个人信息还是网络数据?从学界的观点来看,数据交易属于个人信息保护范畴,同理网络隐私和著作权相关的问题也时如此,数据只是一种载体。

那什么属于网络数据范畴的法律问题?虚拟财产是最典型的一个例子。也许大家会说虚拟财产不是信息是什么呢?不错,但是这个信息在网络空间以外没有实质的意义,与之相关的纠纷要么是数据操作问题,要么就是属于网络攻击,比如Q币、游戏装备,只能存在于虚拟空间,脱离不了。属于数据范围的法律问题只能根据《网络安全法》、《刑法》以及《民法》中的侵权责任法相关条款来解决。

第二个问题是个人信息保护属于私法还是公法范畴,这个涉及到个人信息的核心权属关系。

公法与私法的划分,最早由古罗马法学家提出的。按照乌尔比安的解释,公法是以保护国家(公共)利益为目的的法律,私法是以保护私人利益为目的的法律。

大陆法系国家普遍认为,公法调整国家或公共利益,它的一方主体应当是国家,与另一方主体一般是不平等的隶属或服从关系,公法否定私法自治,多以强制性规范为主。而私法则是强调私人利益关系的法律规范,多以任意性规范居多,弘扬私法自治,以自治为其最高原则和精髓所在。

我国基本上采用大陆法系,因此法律也存在私法和公法之分。

笔者近期参加了一些会议,其中的亮点就是个人信息保护根本不是基于私法的保护,而是基于公法上的理由,绝大多数集中于公法领域,也就是公共安全以及风险防范。换句话说,个人信息整体上不属于私人利益,这个就相当有冲击性了。

按照学界专家的观点,这么说的第一个原因是:

个人信息保护规定不对隐私进行实质区分,无论是GDPR(《通用数据保护条例》)还是美国的隐私法案,对于隐私不进行区分,只要是信息就进行保护。它的目的是为了信息的过分滥用和泄露导致对他人身和财产造成损害。从负面判断是否对公民的财产和人身构造损害作为要求的话,信息本身不构成对个人的某种损害。因此除隐私以外的个人信息无论是敏感信息还是非敏感信息,没有办法纳入人格权范畴。

第二,假设把个人信息当做《民法》中的利益看的话,受到侵害的话怎样进行补偿呢?

假设网站非法使用了一个公民的信息,怎么赔、怎么算、要不要赔,都不能确定。个人信息保护并不禁止信息分享,它是进行一个管制,也就是说个人信息是一个信息管制法。但为什么它跟个人有一定的关系,因为以同意为基础的信息保护和以“风险”为基础的保护,均强调个人,个人也可以参与到风险规避,做出一定的行为。个人信息带有一定的利益,在《民法》不是绝对的人格权利益,也可以说是公法上的一种法意,这个需要进一步研究。

第三,个人信息属于个人财产,个人财产神圣不可侵犯。

如果把个人信息放到财产权的篮子里,也存在逻辑障碍。就好比说我们把个人信息财产化,个人信息作为财产提供给别人,人家给我钱。我们日常生活中在办很多事情时都需要提供个人信息,比如说身份证之类的身份证明文件,看的一个人就要付钱,这个根本就行不通。个人信息和网络数据不一样,后者可以谈财产权。因为个人信息强调基于安全的保护,网络数据当作财产去利用。

从我国的立法和学界的观点来看,个人信息的保护最大问题在于信息归属不能确定,信息没有归属只有分享。比如说我在网上买东西,网购这个动作产生了一些信息,这个信息是谁的呢?不错,发起这个动作的是我,,但这个信息是交互性,因为网站不提供平台、没有卖家参与的话无法实现,共同在一起才能构成信息,怎么这个信息就成了我的呢。所以当一个人的信息被侵犯的时候,同样别人也要求你不能侵犯他的信息,你的信息不一定就归属于你。

《刑法》

刑法

在刑事法律方面,最典型的是2015年《刑法修正案(九)》从主体和犯罪行为两方面加强了公民个人信息安全的保护。

但是客观上缺少其它相应的行为规范、裁判规范,司法机关在实施这样的法律条文时时候遇到了很多现实困难。司法人员缺乏网络思维或者对网络关系缺乏足够了解,变成了立法先于理念这样一种状态。

《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》去年6月1日正式实施,根据公民个人信息的重要程度分别规定了五十条、五百条、五千条的犯罪构成量级。从实施效果来讲,可以达到规范网络行为。但是五十条、五百条、五千条的量级分化是怎么来的?为什么是五十条而不是三十条?这里有一个科学性的问题。

比如说《刑法》中还有针对个人信息侵害的司法的解释,在国际上也是比较有特点的规制方式。学界有专家说中国在个人信息保护方面最具有特色的一点是刑法先行,这个做法背后有很多的原因和理由,但是它对社会和产业、信息保护与利用之间的平衡的作用力几何;《刑法》作为最后的门槛,是否适合用于作为主流的个人信息保护的调整方式,这些问题都有待解决。

《电子商务法》

电子商务法

最近刚刚正式通过的《电子商务法》里面也在原有的个人信息保护制度基础上进行了规定,23条规定了电子商务的经营者在合规的基础上搜集使用个人信息,对于数据安全31条也规定了包括数据安全和保存记录的义务。但主要针对数据信息报送业务,数据信息的报送涉及到企业数据处理企业和政府之间的关系。25条的信息报送还是非常抽象层面的,具体的如何落实还是要看配套性的规定。

《民法典》

民法典

在《民法典》的草案中明确了个人信息的定义和个人的身份识别相关的个人信息,另外它还规定了一般原则和安全义务,提到了什么情况下自然人可以请求信息持有人删除信息。其中隐含了自然人不能随时去干预商业模式的信息,,只有在特定的情况下才可以要求删除个人信息。

这可以看作是对个人信息公开问题的一个回应,也就是说已经公开的个人信息,一般原则是可以加以利用的。只有在特殊情况下,比如信息已公开但自然人进行了明确的拒绝,才是不可以使用。

但是在实践中,对个人信息概念的理解还不到位,什么是匿名化、什么是指向个人特征、什么是指向个人特征的可能性,理论上已经有了变化,是不是不直接体现个人特征就不是个人信息?

还有自然人在为个人信息维权的过程当中能力所限的问题,或者是举证责任的问题。民事权利模式,或者是私权模式在个人信息领域有可能会失灵,对于个人来说,维权非常困难,举证责任非常难以完成。

典型案例

我们的个人信息掌握在多家机构里:电信运营商掌握了我们的手机号码;金融机构掌握了我们的征信信息;物流企业掌握了姓名、电话、住址等个人信息;大的互联网平台也掌握了我们很多个人信息;一些不正规的手机APP也会暗中收集我们的手机号码、通讯记录等;网络黑客侵入各类机构数据库中盗取个人信息的事件时有发生。

我们来盘点一些近两年来侵犯个人信息的案例:

最高人民法院发布的典型案例(7例)

【典型意义】违反国家有关规定,非法获取公民个人信息出售牟利,情节严重,构成侵犯公民个人信息罪,可以根据被告人表现对被告人量刑。从信息内容来看,包括个人征信信息、行踪信息、住宿信息、户籍信息、网购订单信息、学生信息等。从非法获取信息的方式来看,包括通过黑客软件窃取、利用系统漏洞窃取、买卖等方式。

标题 要点提示
邵保明等侵犯公民个人信息案 非法出售户籍信息、手机定位、住宿记录
韩世杰、旷源鸿、韩文华等侵犯公民个人信息案 非法查询征信信息牟利
周滨城等侵犯公民个人信息案  非法购买学生信息出售牟利
夏拂晓侵犯公民个人信息案 非法买卖网购订单信息
肖凡、周浩等侵犯公民个人信息案 利用黑客手段窃取公民个人信息出售牟利
杜明兴、杜明龙侵犯公民个人信息案 通过互联网非法购买、交换、出售公民个人信息
丁亚光侵犯公民个人信息案 非法提供近二千万条住宿记录供他人查询牟利,为情节严重

最高人民检察院发布的典型案例(6例)

【典型意义】行政管理机关和金融、电信、交通部门、宾馆、快递等服务行业工作人员将履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,侵犯了公民个人信息安全。

标题 要点提示
韩某等侵犯公民个人信息案 国家工作人员利用职务便利非法获取公民个人信息出售,从重处罚
张某某、姚某某侵犯公民个人信息案 利用恶意程序批量非法获取网站用户个人信息
章某某等诈骗、侵犯公民个人信息案 非法获取公民个人信息后,实施电信网络诈骗等犯罪,构成数罪
郭某某侵犯公民个人信息案   将在提供服务过程中获得的公民个人信息出售、提供给他人
鲁某等侵犯公民个人信息案   单位实施侵犯公民个人信息犯罪的,依法追究单位和相关责任人员的刑事责任
籍某某、李某某侵犯公民个人信息案   特殊主体将在履行职责过程中获得的公民个人信息出售,数量达到一般主体立案追诉标准一半以上的,依法追究刑事责任。

公安部发布的典型案例(2批)

(1)侵犯公民个人信息犯罪十大典型案例

【典型意义】 通过网络软件窃取公民个人信息出售牟利的构成侵犯公民个人信息罪。工作内容涉及公民个人信息的单位应该加强对公司管理体制,严禁泄露用户个人信息。

标题 要点提示
北京顾某等人非法获取计算机信息系统数据案 制作用于非法获取某公司账号的软件程序,窃取公司员工个人信息
江苏淮安 “K8社工库”侵犯公民个人信息案 以“社工库”命名的网站,专门售卖各种个人信息
四川广元侵犯公民个人信息案 非法买卖学生信息牟利的犯罪
福建泉州“浮云网”侵犯公民个人信息案 买卖公民个人信息的网站
山东淄博侵犯公民个人信息案 非法获取公民个人信息
江苏徐州非法获取计算机信息系统数据案 黑客和快递公司内部员工为泄露源头的倒卖快递信息
湖北宜昌余某某侵犯公民个人信息案 非法获取并出售股民信息、银行理财信息等各类公民个人信息
山东威海董某某侵犯公民个人信息案 银行工作人员利用职务之便,非法查询公民个人银行账户余额、流水等信息进行出售
内蒙古赤峰李某某侵犯公民个人信息案 利用“快递单号生成器”等软件筛选快递单号,通过快递公司内部人员查询对应的公民个人信息
湖南怀化侵犯公民个人信息案 网上购买、搜索、下载等方式大量搜集公民个人信息,再通过“撞库”、“扫存”等非法软件比对公民网络账户密码

(2)网络侵犯公民个人信息犯罪典型案例

【典型意义】网络侵权危害不容小觑,社会公众在使用网络过程中,提高安全意识,谨慎填写个人信息。网站管理人员应该净化网络环境,及时取缔非法网站。

标题 要点提示
山东青岛侦破韩某某非法获取计算机信息系统数据案 利用黑客技术非法控制计算机信息系统窃取信息
江苏淮安侦破陈某某等人侵犯公民个人信息案 开办网站论坛,将其多年搜集和购买的公民个人信息发到论坛分享
湖北襄阳侦破郑某某等人侵犯公民个人信息案 利用其短信营销平台,不断获取公民个人上传信息
重庆巴南侦破李某等人侵犯公民个人信息案 在网上大量出售中小学生及家长信息、各大楼盘业主信息、各省车主信息、银行客户信息等
湖北荆门侦破李某某等人侵犯公民个人信息案 证券公司工作人员利用工作便利获取公民个人信息并出售
四川绵阳侦破赖某等人侵犯公民个人信息案 非法买卖公民个人信息牟利
安徽合肥侦破黄某等人非法获取公民个人信息案 专门注册了多个网络账号,通过在网络上购买大批量的个人数据,转而以更高的价格在网络上向转卖给其他各地人员
上海侦破吴某、刘某某等人非法获取公民个人信息案 快递公司工作人员使用公司内部账号查询客户信息,进行贩卖

重要案例

标题 核心问题
上海市静安区人民检察院诉张美华伪造居民身份证案   行为人遗失身份证后,因无法补办而伪造身份证并在日常中使用的行为,情节轻微,不构成伪造居民身份证罪
陈某某出卖其从业过程中掌握的公民信息构成出售公民个人信息罪案 房地产业工作人员违反国家规定,将其在工作过程中获得的公民个人信息出售给他人牟取私利,出售信息数量较多,且信息此后又进一步被他人利用再次扩散,构成出售公民个人信息罪
张某等买卖个人手机定位信息构成非法获取公民个人信息罪案  行为人非法获得并出售个人手机定位信息,构成非法获取公民个人信息罪
卜某某等利用职责便利将他人手机等个人信息出售构成出售公民个人信息罪案   行为人违反国家法律规定,将自己或他人在履行职责及提供服务过程中获得的他人手机的通话记录、密码等个人信息予以出售,情节严重,其行为构成出售公民个人信息罪
孙银东非法获取公民个人信息案 通过购买、偷拍、偷录、跟踪等方式获取他人个人信息进行出售,情节严重的,构成非法获取公民个人信息罪
潘延信伪造国家机关证件案 委托制假证者伪造户口簿及身份证但记载的信息真实,情节轻微的仅构成伪造国家机关证件罪
谢新冲出售公民个人信息案 电信单位工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售给他人,情节严重的,构成非法获取公民个人信息罪和出售公民个人信息罪
李笑辰等伪造有价票证、周广进出售公民个人信息案 司法实践中,行为人为牟取私利,将本单位在提供服务过程中获得的公民个人信息出售给他人构成出售公民个人信息罪
李路军金融凭证诈骗案 金融机构工作人员,窃取储户的个人信息并擅自为储户换折,将储户存款转移至新折后提取现金非法占为己有的行为,应当认定为金融凭证诈骗罪
周娟等非法获取公民个人信息案 行为人通过网上交易或以信息换信息的方式非法获取公民个人信息并出售牟利的,构成非法获取公民个人信息罪
胡某等非法获取公民个人信息案 行为人受他人雇佣通过跟踪等非法手段获取公民的日常出行信息,并将上述信息提供给雇主,情节严重的,构成非法获取公民个人信息罪
周建平非法获取公民个人信息案  行为人违反国家法律规定,非法获取公民个人信息,情节严重的,以非法获取公民个人信息罪论处
上海罗维邓白氏营销服务有限公司非法获取公民个人信息案 单位以购买的方式非法获取公民个人信息,用于为其他企业提供的营销推广等服务,情节严重的,以非法获取公民个人信息罪论处

挑战

从法制建设的角度讲,我们的立法者面临很多的问题。

首先是立法脱节于时代发展。

我们强调法制社会,干了某件事情就会得到相应的结果,这样的形式需要立法者提前判断才能制定好规范。现在立法者能够明确知道人家用这个数据干什么,做出对应的预测来吗?最后产生什么样的利益冲突,怎么样平衡这些人的利益关系?这个似乎不太现实。技术在以爆炸性的速率向多个维度发展。基于技术进步的商业模式推动了社会和经济规律的变化,传统的思维和框架已经难以招架这种趋势。在这种情况下立法者都不清楚这个社会要发展成什么,人和人之间的行为模式是什么,利益怎么分配,法律规范的建设就堪比无源之水、无本之木了。再进一步说,没有可行的法律摆在桌子上,企业就是想合规也无从下手。或许这就是为什么之前会出现中国人愿意用隐私换效率之类的言论了。

第二,人的思维惯性。

我国当前的立法是基于工业革命的立法,财产所有权是有形财产。比如说这个土地的归属,我可不可以卖给别人,可不可以租给别人。这样的社会运转模式在过去几百年和上千年的时间里面已经固化了,所有社会观念是基于实体或有型财产的概念。现在我们的信息所有权之争来源于信息流动出现的价值纷争。也就是说,个人数据开放的纬度越宽,技术发展地越好。如果在这种情况下你把数据固化下来,归某个人所有,是不是会导致信息流动的迟滞,使用个人信息的成本会不会呈几何级数增长,基于人工智能和大数据分析的公共服务还有可能实现吗?问题属实很多呢。

第三点是国情不同,没有可以参考和借鉴的对象。

最近成为个人信息保护领域热点的GDPR法规,它的推出有着很深的历史原因,是从二战中犹太人因信息泄露而遭到迫害为最原始的起点,对于个人信息处于监控之下有着深入骨髓的恐惧,我国相关立法的起因就与之不同。美国的做法也难以借鉴,因为政治体制不同,美国没有统一的信息保护立法,大致上是各个州是按照传统立法模式各管各的,之前Facebook隐私泄露事件本身也没有违法美国的法律,是违反了FTC的协议。欧美国家制定的法律都是最适合自己的,我们借鉴不了。我国的立法者很长时间以来一直都作为一个追随者,在立法和制定标准时借鉴国外的做法。但在互联网领域,我们已成为了领跑者,还可以去借鉴谁呢,别人的经验能够解决我们的问题吗,个人信息保护也需要中国特色的法律和模式。

参考资料

“侵犯公民个人信息罪”专题案例与数据分析报告(2018年第1期,案例报告总第4期):http://weekly.pkulaw.cn/Admin/Content/Static/9a9869ed-5f02-446c-8637-ae8adbe3b308.html

*本文作者:Freddy,转载请注明来自FreeBuf.COM

# 网络安全法 # 个人信息保护
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者