大数据“黑灰产”下的个人信息保护
一、 案例引入
新三板上市公司北京瑞智华胜科技股份有限公司的“史上最大盗窃数据案”
据媒体8月20日报道,一个犯罪团伙依托北京瑞智华胜科技股份有限公司(以下称“瑞智华胜”),通过与全国十余省市多家运营商签订营销广告系统服务合同,非法从运营商流量池中获取用户数据进行精准营销,导致百度、腾讯、阿里、今日头条等全国96家互联网公司用户数据被窃取。根据警方统计的数据显示,该犯罪团伙窃取的公民数据已超过30亿条,该犯罪团伙为逃避监管追查,还非法将海量信息存储于境外服务器上。目前警方已从该公司及其关联公司抓获6名犯罪嫌疑人,案件仍在进一步侦办中。[1]
二、互联网大数据行业合规现状
根据今年4月12日中国信息通信研究院发布的《中国数字经济发展与就业白皮书(2018)》显示,2017年,我国数字经济总量已达27.2万亿元,占GDP比重达32.9%。[2]然而,近年来数据泄露而引起的信息安全事件却屡屡不断,云计算笔记、印象笔记、支付宝、大众点评、华为、12306等都遭遇过信息泄露。据中国互联网协会《中国网民权益保护调查报告2016》显示,全年国内6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。[3]公安部数据显示,2017年全国公安机关累计侦破侵犯公民个人信息案件4911起,抓获犯罪嫌疑人15463名。
公开数据显示,2017年我国网络安全产业规模为450多亿元,而2017年因个人信息泄露造成的经济损失已超千亿,因网络欺诈导致的损失接近5000亿元。近几月来陆续爆出北京瑞智华胜科技股份有限公司的“史上最大盗窃数据案”、华住酒店集团的“数据泄露案”,网信办约谈各个网站和APP运营者……一系列事件将个人信息保护、隐私安全推到了风口浪尖,企业个人信息安全保护意识亟待提高。
三、我国现行立法下的个人信息保护
数据保护最终落点在于个人信息保护,我国关于个人信息保护的各项制度在不断地健全和完善,逐渐进入“有法可依”的阶段。
从2000年起,我国就已对个人信息保护在不同行业和不同领域进行了针对性的规定:《征信业管理条例》《关于银行业金融机构做好个人金融信息保护工作的通知》对个人金融信息保护进行了规定;《电信条例》《电信和互联网用户个人信息保护规定》对电信和互联网行业的个人信息保护进行了规制;《人口健康信息管理办法(试行)》、《中华人民共和国执业医师法(2009)》等均对医疗个人健康信息保护进行了规定。
在一般立法上,2009年的《侵权责任法》规定了网络用户、网络服务者的侵权责任;《刑法修正案(七)》首次将公民个人信息纳入刑法保护,在第253条规定了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个新罪名。2012年《关于加强网络信息保护的决定》明确提出保护能够识别个人身份和涉及隐私的电子信息。2013年修订的《消费者权益保护法》明确规定保护消费者个人信息,对经营者收集、使用消费者个人信息进行规制。2015年的《刑法修正案(九)》对公民个人信息犯罪的调整为“侵犯公民个人信息罪”,加强了侵害公民个人信息的刑事责任;2016年的《中华人民共和国网络安全法》在第40—44条集中规定了个人信息的保护制度,如第44条就规定:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。” 2017年6月1日起,两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下称《两高解释》)正式施行,进一步细化了公民个人信息的范围,侵犯公民个人信息罪的定罪量刑标准以及侵犯公民个人信息犯罪相关的犯罪竞合、单位犯罪和数量计算等重要问题。2017年3月15日发布的《中华人民共和国民法总则》在第111条规定了自然人的个人信息受法律保护。
四、网络运营者的法律责任
尽管在现行立法下个人信息保护的相关法律已渐成体系,但是在实践中类似瑞智华胜案中违反个人信息保护法律法规的“黑灰产”行为较为普遍,而我国尚未出台《个人信息保护法》,也尚未建立统一的个人信息保护监管部门,对个人信息保护进行法律责任明确规定的是民法、刑法,企业在运营过程中一旦触犯了监管红线,除了承担民事赔偿责任、行政责任以外,还将承担严厉的刑事法律责任。
以瑞智华胜为例,该公司非法盗窃大量用户数据,如果涉及个人隐私,则可以当事人可以根据我国《侵权责任法》等的规定请求侵权人承担侵犯隐私权的侵权责任。该犯罪团伙非法操控公众账号加粉或关注,对于当事人来说,如果被盗的信息涉及当事人的人格利益,给当事人造成了严重的生活困扰下,不排除侵犯隐私权的可能,受到侵害的公民可以请求该犯罪团伙承担侵权责任。根据《网络安全法》第64条关于网络运营者个人信息保护责任的规定,该公司和相关人员也有可能受到巨额行政处罚。此外,根据《刑法》第253条关于侵犯公民个人信息罪的规定以及《两高解释》对侵犯公民个人信息罪,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的构成情节严重,非法获取该标准10倍以上的,属于情节特别严重情形。该团伙非法盗取用户数据已达30亿条,符合“情节特别严重”的认定标准,该团伙将或被判处三年以上七年以下有期徒刑,并处罚金。另外,根据《两高解释》第10条,而涉案公司或因公民个人信息泄露而被认定为拒不履行网络安全管理义务罪。
目前金融、通信、教育、快递、酒店、互联网等服务行业的日常运营都高频接触、收集大量的公民个人信息,个人信息保护不力将极大影响整个行业的可持续发展,无底线企业打着创新的旗号进行“黑色”的数据买卖,会进一步构成“劣币驱逐良币”的不良行业生态。2018年8月21日,南都大数据研究院、南都新业态法治研究中心联合阿里巴巴集团安全部发布的《2018网络黑灰产治理研究报告》显示,从2015年开始,互联网黑灰产业从业人员就已经超过40万,全球每3起网络攻击就有1起发生在中国,中国电信诈骗案每年以20%-30%速度快速增长。[4]
五、互联网大数据企业合规建议
1.建立、公开完善的信息收集和使用规则
根据《侵权责任法》《消费者权益保护法》《网络安全法》等相关规定,公民个人身份和涉及公民个人隐私的电子信息,任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。在保护个人信息的规范上,要采用“合法、正当、必要”的基本原则。
首先,网络服务提供者和企业收集用户信息时应当获得用户同意。信息主体的知情同意是信息收集的正当性基础。实践中部分企业采用“格式合同”、“霸王条款”以及恶意软件等方式获取用户信息,将涉及侵犯用户的知情同意权,或导致犯罪。因而公司在收集个人信息时应当对用户明示足以证明用户同意,例如弹窗设置知情条款和隐私政策,且告知用户收集信息的目的和范围。
其次,网络服务者和企业使用用户信息必须要获得用户授权。用户同意收集信息并不等同于用户同意适用企业收集的信息。网络服务者在使用数据时,应当告知用户使用的方式、范围和目的。加工处理个人信息应当遵循“最少使用”原则,企业欲改变数据使用目的和范围或者超出收集时确定的使用目的和范围,应当告知信息主体并重新取得同意和授权。
再次,网络服务者和企业应当履行及时告知义务和补救义务。在发生个人信息错误或者泄露时,企业应当立即进行修正以及采取补救措施。根据《网络安全法》及《消费者权益保护法》,经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失,在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。网络服务提供者发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。
最后,网络服务者和企业在使用目的达到后,应当删除、停止处理收集到的个人信息。企业对于特定的数据应进行隐私风险评估,数据的长期保存可能会带来负面影响,一旦泄露更可能影响用户未来的正常工作和生活,因而企业遵循必要、适度的原则应当在使用完用户数据之后予以删除。
2.将个人信息进行本土化存储
根据《网络安全法》第37条的规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”企业若属于关键信息基础设施运营者,则其在中国境内收集和产生的个人信息应当在中国境内保存,因业务需要确需向境外提供时应当进行安全评估,但这并不意味着一般的网络运营者不需要履行本土化存储的义务。根据《网络安全法》及《个人信息和重要数据出境安全评估办法(征求意见稿)》(以下称《评估办法》)《数据出境安全评估指南(征求意见稿)》等配套文件的规定,被规范数据出境的主体为“网络运营者”。网络运营者应当在境内存储个人信息和重要数据,因业务需要,确需向境外提供的,应当进行安全评估。虽然一般的网络运营者是否需要履行该义务尚待最终确定,企业仍需提前按照《评估办法》的规定对个人信息进行本土化存储,并对此予以持续关注。
企业可以考虑将个人信息从企业现有的电子信息中剥离出来,存储于中国境内,与境外的服务器或存储设备隔离。并且,对于需要经常进行数据出境的跨国企业,鉴于对个人信息的出境监管愈发严格,在具备商业合理性的前提下,建议其逐步实施服务器的本地化,明确个人信息和重要数据的境外传输规则,制定信息数据跨境传输的操作指南,明确个人信息和重要数据进行跨境传输的主要负责人,严禁企业职员在工作中随意向境外传输个人信息和重要数据,防止可能产生的法律风险。
3.建立和完善信息安全系统
根据《网络安全法》的要求,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。大数据“黑灰产”中技术类“黑灰产”贯穿整个产业。技术类“黑灰产”,主要为中下游技术性不强的“黑灰产”从业人员制作并提供各类软、硬件设备和服务,木马植入、钓鱼网站、各类恶意软件等。因为这些不合法或者监管空白领域的软件和服务,企业常常遭受攻击而致使信息泄露。企业应当采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,例如阿里采用了阿里巴DDoS防御系统,有效防止了“拖库”、“撞库”等多种网络犯罪行为入侵,能够做到受到攻击时还能正常运行,不会影响正常网站秩序。因而企业建立或者使用信息安全系统进行保护很有必要,除此之外,企业还应当采取数据分类、重要数据备份和加密等措施保护信息安全,对于网络安全实时进行检测,做到防微杜渐。
4.设立安全管理机构和安全管理负责人
对于关键基础设施的运营者,我国《网络安全法》规定了必须设置专门安全管理机构和安全管理负责人。实际上,对于所有拥有大量数据的企业,设立安全管理机构和安全管理负责人都很有必要。目前的大数据“黑灰产”的大量非法信息交易都来自互联网、酒店、通信等行业,而这些行业里的公民个人信息数据泄露并不完全是由黑客造成,某些企业和个别员工为了获取非法益,将在工作中获取的公民个人信息资料非法出售或提供给他人,严重侵害公民的个人信息安全。据不完全统计,国内个人信息泄露数达55.3亿条左右,平均每人就有四条相关的个人信息泄露,这些信息最终的命运,是在黑市中反复倒手直至被榨干价值。其中,80%的数据泄露自企业内鬼,黑客仅占20%。企业设立安全管理机构和安全管理负责人对日常信息安全进行管理和监测,设置信息获取、适用权限,可以有效对个人信息进行保护管理,防止信息内部泄露。定期对安全管理机构的负责人和从业人员进行管理培训,进行网络安全事件演练,当发生信息安全事件时,也可以将损失和负面影响最小化。
结语
大数据时代,个人信息是企业的核心资产及竞争力,企业需兼顾对个人信息的保护及有效利用,完善落实隐私政策,平衡数据商业价值利用和个人信息保护的关系,共同推动数据行业健康发展。
[1] 新浪科技:《绍兴破获史上最大盗窃数据案30亿条用户数据成“摇钱树”》
[2] 中国信息通信研究院:《中国数字经济发展与就业白皮书(2018)》
[3] 中国互联网协会:《中国网民权益保护调查报告2016》
[4] 南都大数据研究院、南都新业态法治研究中心联合阿里巴巴集团安全部:《2018网络黑灰产治理研究报告》
[5] 凤凰网:《数据黑产调查:猖獗内鬼、黑客师徒与“灰色暴发户”》
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com