大數據時代:個人信息安全亟待保護
我們的個人信息究竟去了哪兒?既然大數據時代個人信息無法避免被他人獲悉,那個人信息的法律保護,就亟待提上日程。
信息泄露,公司機構是“大頭”
拿到快遞后,你怎么處理簽過名的快遞單?不少人會說,撕掉單據,尤其是讓姓名、住址、個人電話等信息無法被重新拼出。
雖然這一舉動不失為對個人信息的自我保護,但一些業內人士表示,通常個人信息早已在此之前就已經泄露。
今年5月29日,一家快遞公司來到青浦公安分局徐涇派出所報案,稱該公司大量快遞面單信息數據泄露,并被人在一個叫“發單啦”的網站上出售。經過偵查,青浦公安分局于7月4日破獲該案,赴河南等地抓獲犯罪嫌疑人周某等四人。
“發單啦”是網購行業一個較有知名度的網站,專門出售真實的快遞單據信息。因網購信用評價生效必須要有真實有效的快遞單號,不少為“刷鉆”提高信用等級的網上賣家會來此購買快遞單據信息。截至案發,涉案金額高達500余萬元。
高達500余萬元的快遞單據交易信息,顯然不是一張一張收集或小批量從快遞員處購得。據犯罪嫌疑人交代,他們從2013年8月起,就通過直接入侵快遞公司電腦系統的方式大批量獲取數據。
一些業內人士稱,由于一些快遞公司系統安全門檻不高,因漏洞遭黑客入侵的情況絕非個案。
記者走訪發現,各家快遞公司和網點對信息安全的管理方式寬嚴不同。日前記者走訪浦東新區云臺路上一家快遞網點,電腦由專人使用,查詢單號等須輸入個人編碼等信息。但在新浦路上一家快遞公司網點,記者隨意叫了一名快遞員便打開系統。
建議:變事后報案為事前監管
目前對于個人信息的保護,散見于多部法規和部門規章之中,雖然明確了相關單位和機構的義務,但由于一些企業、單位的審計。
國家郵政局最新頒布的《寄遞服務用戶個人信息安全管理規定》規定,郵政企業、快遞企業應當建立健全寄遞用戶信息安全保障制度和措施保障消費者個人信息安全。建議相關行業出臺規章制度的同時,要督促這些措施真正落實,防患未然。
內鬼頻現誰該擔責
報名考試,必須填寫個人信息;生兒養女,必須登記個人信息;購車上牌,還是必須報備個人信息……在享受公共服務或參與公共事務時,市民都必須按規定如實填寫個人信息,這些信息顯然無法由市民自己來保護。
去年8月,閘北公安分局網安支隊發現,有人在網上發送大量直接針對2013年9月某國家級統考報考者的招生培訓信息。信息對象如此精確,有非法獲取公民個人信息的重大嫌疑。
隨后,警方在浦東抓獲在網上發布這些招生信息的某教育信息咨詢公司法人代表徐某。據徐某交代,他的大量考生信息都是從本市另一名無業人員徐某某處獲得,憑借這些信息,他已招收到400余名考生。
徐某某到案后供稱,他提供的考生信息之所以最新最全,準確率極高,來源是一個從事某國家級統考網絡報名平臺及全國統考網絡考試平臺建設與維護的楊某處。
隨后,上海警方在北京警方的配合下,成功抓獲北京某教育科技有限公司行政主管楊某。楊某承認,公司承擔全國統考網絡報名平臺及全國統考網絡考試平臺建設與維護工作,他便趁機非法獲取部分全國統考報考人員個人信息,牟利20萬元。最終警方查獲涉及公民個人信息近100萬條。
在許多信息泄露事件中,常常閃現“內鬼”的身影。上海破獲的另一起新生兒信息泄露案件中,犯罪嫌疑人張某正是負責開發、維護市衛生局出生系統數據庫的專業人員。利用職務便利,他在2011年初至2012年4月,每月兩次非法登錄數據庫,下載新生兒出生信息累計達數十萬條,出售獲利3萬余元。
據了解,這一數據庫由衛生局外包給一家數據公司,但該公司管理松懈,張某甚至可以在家中進入數據庫,無人監管。事后市衛生系統已采取措施,規定外包服務方必須在指定的衛生系統地點進行數據維護,并有專人全程陪同。
“我們之所以敢把最真實最全面的信息填寫下來,既是辦理相關事務的必要,也是出于對采集信息單位的信任。”一些市民介紹,他們在辦理電信、銀行、醫療衛生等事務時,往往相信這些信息能得到妥善保管,一旦出現“內鬼”,會令他們特別不安。
建議:“內鬼”犯罪單位也應擔責
雖然多起此類案件當事人都被依法懲罰,但相關單位、企業的公信力也受到影響。這些單位、企業在聘用人員、外包服務時,應該明確可能存在的信息泄露風險,明確保護信息安全的法律義務,一旦出現信息泄露問題,除對當事人追究法律責任之外,企業、單位自身也應受到相應的處罰。
此外,還應從法律法規上明確對個人信息被侵犯者的民事賠償、救濟程序、救濟措施,否則維權成本高昂,不利于通過市場化手段懲戒相關單位和企業。
創新商業模式應有邊界
此前曾創下火爆轉發的“我叫×××,我是第×××位為災區祈福的人”微信鏈接,事后被證明是一場網絡營銷行為。
這也讓不少市民擔心:“雖然這一次不是專為套取個人信息,可難保下一次不會讓我們輸入更詳細的信息,繼而造成個人信息泄露。”
雖然目前沒有證據證明這一網絡營銷能夠套取轉發者的個人信息,但記者從一些專業人士處獲悉:大數據時代,要獲取個人信息并非難事,并且已成為商業分析的重要基礎。
比如你走進一家商場,享受免費wifi、“刷一刷”就能打折的同時,商場也許就能獲取你到訪逗留的時間、消費偏好習慣等;又比如你用網絡搜索引擎找過某一關鍵字,電腦中一些軟件會提交云系統,你會發現今后不少網頁上鑲嵌著你曾經搜索過的相關商品……不經意間,個人信息就已經泄露了。
“現在的商業模式有很多是建立在個人信息基礎上進行的更精細化、更創新式的營銷。”據業內人士介紹,無論是朋友圈里的熱門轉發,還是商場進行的打折促銷,今后的創新商業模式都與個人信息相關。
既然信息“裸奔”時代防不勝防,專業人士認為應盡早為商業營銷模式立規矩。
建議:確立個人信息運用邊界
2009年通過的《中華人民共和國刑法修正案(七)》在刑法第253條中增加了“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”兩項新罪名。但在現實生活中,還有很多無法構成犯罪卻仍在進行的與個人信息相關的活動,特別是對不斷創新的商業模式,要明確個人信息如何合法使用,個人信息侵權如何界定,如何追究侵權責任,做到制度的與時俱進、推陳出新。才能有效預防個人信息泄露。