过亿数据泄露:企业该担何责. 2020-06-16
在个人信息泄露事件当中,很多时候我们只强调了事后的追惩,而忽视了事前的监督,特别是企业责任这个源头性的关键环节。
继华住集团5亿条公民个人信息被泄露后,顺丰3亿条快递物流数据又被人卖到了暗网上。尽管顺丰回应,暗网所售非顺丰数据。不过,有机构实测发现,网上兜售的数据真实性较高。在随机拨打的20条信息中,有17人姓名、电话、地址与文件内容一致,且也曾用过顺丰收发快递。目前,涉事的两家企业,均已选择报警。是何原因导致信息泄露,有待公安机关侦破案件后才能清楚。
事情至此,不少学者建议进一步加强个人信息权立法工作。的确,个人信息权作为基本人权,理应得到法律的足够重视。然而,我国现行有关个人信息保护的法律法规并不少。有数据表明,涉及个人信息的法律有52部,行政法规42部,司法解释50部,部门规章870部,团体规定43部,行业规定171部。
那么,为什么还会接二连三地出现信息泄露事件呢?一个重要的原因是,很多时候我们只强调了事后的追惩,把所有问题都寄希望于国家解决,或者末端治理,而忽视了事前监督,特别是企业责任这个源头性的关键环节。
有多位网络安全行业人士向媒体透露,华住集团信息泄露可能因为有“内鬼”主动泄露相关信息。事实上,翻看华住的记录,泄露客户信息不止一次了。2013年,汉庭酒店(华住前身)客户开房记录因被第三方存储和系统漏洞而泄露。巧合的是,在今年5月湖北荆州中院的一起侵犯公民个人信息判决中,11名顺丰员工监守自盗,被判处侵犯公民个人信息罪,分别被处以有期徒刑10个月至3年不等,涉案人员有快递员、仓管员、市场专员、安保部副经理、片区负责人等。
强调企业责任,并不是局限于上述的前车之鉴,而是有确实的现实依据。
一方面,企业越大,对用户数据保护的责任就越大。在个人与企业的“结构性不平等”中,企业不能以简单的个人信息协议作为用户信息保护合法合规的基础,而是应当认识到随着自己经营能力的扩张,自己的法律责任或是社会责任都将随之出现扩张,必须采取有效的技术措施和其他必要手段,确保企业收集的个人信息安全,防止信息泄露、损毁、丢失。
另一方面,企业也具有用户信息保护的有利条件。作为用户信息最直接的收集者,企业拥有设备、技术、人员和资金的优势,对信息的存储、处理、流通、筛选等流程,以及内部安全机制的优势、缺陷等都最为熟稔,这让企业具备了对用户信息保护的可行性。特别是在用户信息遭受紧急状况时,迅速进行修复、维护或保全,降低风险发生的能力。
徒法不足自行。直白来说,很多事情单纯依靠法治是无法解决的。大数据时代,个体面对企业,尤其是市场占有率较高的机构平台时,基本上没有信息拒绝的空间。相应地,只有通过登记注册各类信息才能享受服务,更不要说信息保护、信息自决等讨价还价的余地了。在这种情况下,强调企业在个人信息保护中的关键责任,就是从源头倒逼企业给安全设防,给用户的个人信息数据装上“安全锁”。(蔡斐 西南政法大学副教授)