常莽

數(shù)據(jù)化時(shí)代，大家一方面欣喜其給生活帶來的便利和智能，另外一方面也在擔(dān)心個(gè)人信息的泄露。尤其是這兩年隨著各種大數(shù)據(jù)應(yīng)用的普及，人們的擔(dān)心甚至已經(jīng)逐步超過欣喜，平臺(tái)、機(jī)構(gòu)信息泄露的事件，經(jīng)常出現(xiàn)在我們眼前。例如，不久前圓通速遞公司回應(yīng)稱，其內(nèi)部員工與不法分子勾結(jié)，致40萬條公民個(gè)人信息被泄露。盡管事件中的犯罪嫌疑人已經(jīng)歸案，但這起事件又給我們的個(gè)人信息保護(hù)敲響了警鐘。

2020年11月17日，圓通速遞在官方微博發(fā)文稱：公司注意到，近日有媒體報(bào)道經(jīng)公司報(bào)案、公安機(jī)關(guān)破獲的非法獲取并使用快遞運(yùn)單信息的案件。

圓通速遞稱，2020年7月底，公司總部實(shí)時(shí)運(yùn)行的風(fēng)控系統(tǒng)監(jiān)測到圓通速遞河北省區(qū)下屬網(wǎng)點(diǎn)有2個(gè)賬號(hào)存在運(yùn)單信息的異常查詢，判斷為明顯的異常操作，于第一時(shí)間關(guān)閉風(fēng)險(xiǎn)賬號(hào)，同時(shí)立即成立由質(zhì)控、安保、信息中心、網(wǎng)管以及河北省區(qū)組成的調(diào)查組，對此事件開展取證調(diào)查，隨后向當(dāng)?shù)毓膊块T報(bào)案。

河北省邯鄲市公安局反詐中心以及邯鄲市永年區(qū)公安局，證實(shí)此案確是由圓通速遞發(fā)現(xiàn)并報(bào)案的。

圓通快遞公司在對此事件的回應(yīng)中表示：通過公司調(diào)查發(fā)現(xiàn)，疑似有加盟網(wǎng)點(diǎn)個(gè)別員工與外部不法分子勾結(jié)，利用員工賬號(hào)和第三方非法工具竊取運(yùn)單信息，導(dǎo)致信息外泄。

據(jù)河北邯鄲市永年區(qū)公安局反詐中心中隊(duì)長王求東講，犯罪的手段就是嫌疑人租用圓通公司的公號(hào)，然后登錄去里邊篩選收件人或寄件人的信息，整理出來以后再販賣給實(shí)施電信詐騙的犯罪分子，他們涉嫌的罪名就是侵犯公民個(gè)人信息，他們是這個(gè)環(huán)節(jié)的犯罪。

經(jīng)過警方一個(gè)多月的偵查，最終查獲了圓通公司共5名員工，以每天500元的價(jià)格外租自己的員工賬號(hào)，造成了40多萬條個(gè)人信息泄露。

王求東表示，這5個(gè)賬號(hào)總共流出的信息量，有效信息量是45 000條，有的外租時(shí)間長，有的外租時(shí)間短，最長是7天的，最短的就1天，我們統(tǒng)計(jì)的是45 000條，這45 000條里邊的某個(gè)人就有可能成為電信詐騙受害者之一。

被泄露的45 000條信息中，包含了發(fā)件人地址、姓名、電話以及收件人電話、姓名地址共6個(gè)部分。而根據(jù)盜取個(gè)人信息的犯罪團(tuán)伙供述，這些信息將被以每條一元的價(jià)格，打包賣到全國及東南亞等電信詐騙高發(fā)區(qū)。

圓通速遞客服通過微博發(fā)布道歉聲明。圓通速遞表示，網(wǎng)上銷售訂單信息的主要原因，在于個(gè)別網(wǎng)絡(luò)銷售商家，需要虛假的交易信息，來提高網(wǎng)店的信用等級(jí)，而網(wǎng)上倒賣信息的發(fā)生，也顯示出公司內(nèi)部管理還需要加強(qiáng)。圓通速遞也表示，此次案件再次敲響了信息安全風(fēng)險(xiǎn)的警鐘，并對此案件暴露的問題深表歉意。

信息泄露是平臺(tái)監(jiān)管太過寬容嗎

媒體報(bào)道圓通公司有5名員工涉及，記者從警方獲得的信息是，這5名員工中有2名發(fā)現(xiàn)賬戶異常登錄后及時(shí)修改了密碼，沒有直接造成損失，所以沒有采取刑事措施，目前采取刑事措施的是3名圓通速遞的員工。另外，這次信息的泄露，是圓通速遞在日常監(jiān)測中發(fā)現(xiàn)并且主動(dòng)報(bào)案的，但這依然不能推卸該有的監(jiān)管責(zé)任。

中國社科院法學(xué)研究所副所長周漢華表示，現(xiàn)有的相關(guān)法律法規(guī)，包括刑法修正之后，有一條“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”，其中有一項(xiàng)具體行為是“致使用戶信息泄露，造成嚴(yán)重后果的”，所以相關(guān)執(zhí)法部門其實(shí)應(yīng)該跟進(jìn)。包括在2013年之后，是否責(zé)令圓通進(jìn)行整改，它采取了哪些整改措施？那5個(gè)賬號(hào)被出賣之后，就能有40萬的信息泄露，內(nèi)部管理上其實(shí)已經(jīng)存在非常嚴(yán)重的問題。所以，行政執(zhí)法部門，包括刑事執(zhí)法部門都應(yīng)該跟進(jìn)，“拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪”，這個(gè)武器是要用的，否則這樣的事情就會(huì)層出不窮。

按照侵犯公民個(gè)人信息罪的司法解釋，非法獲取、出售或者提供公民不同類型個(gè)人信息50條、500條、5000條都可以構(gòu)成刑事責(zé)任，所以本次事件中泄露的40萬用戶的4.5萬余條有效信息是很多的。

周漢華表示，在網(wǎng)絡(luò)時(shí)代，往往個(gè)人信息都是海量的。公安部2019年破獲的一起案件里涉及到的個(gè)人信息達(dá)50億條；在美國的Equifax征信公司，一次泄露了1.35億條美國公民的個(gè)人征信信息；雅虎郵箱有一次泄露5億條公民個(gè)人信息，另外一次是30億條。所以在這個(gè)時(shí)代，其實(shí)每個(gè)人的個(gè)人信息都面臨非常大的風(fēng)險(xiǎn)?？爝f信息的信息含量比較大，它包含了發(fā)件人地址、姓名、電話以及收件人、電話、姓名、地址，還會(huì)包括身份證信息、用戶偏好等，這些對于大數(shù)據(jù)分析非常有價(jià)值，快遞單信息一直是違法犯罪分子盯得比較緊的地方。

據(jù)周漢華講，國際上現(xiàn)在對于個(gè)人信息保護(hù)面臨一個(gè)問題，到底是打“蒼蠅”還是打“老虎”？“蒼蠅”往往是中下游的，像今天這個(gè)案子里這5個(gè)員工就屬于是“蒼蠅”。但平臺(tái)、大公司就是“老虎”。如果要真正要解決個(gè)人信息濫用的問題，不打“老虎”是沒有用的，所以國際上都是打“老虎”?！吧n蠅”當(dāng)然也要打，但是打“蒼蠅”更多是通過治安管理處罰，通過治安管理的法律，包括追究刑事責(zé)任等。侵犯公民個(gè)人信息罪當(dāng)中的50條、500條和5 000條的標(biāo)準(zhǔn)，對于自然人來說是構(gòu)成刑事責(zé)任了，但對于“大老虎”來說，這個(gè)是不夠的。

如果說密碼、手機(jī)號(hào)、地址等被泄露、被獲取，自己還有可修改的空間的話，那么對于個(gè)人生物信息的獲取，這可是更大程度上的一種個(gè)人信息獲取，這兩年，人臉識(shí)別、聲音識(shí)別，被運(yùn)用的越來越多，該怎么保障安全？

人臉識(shí)別第一案

隨著刷臉時(shí)代的到來，當(dāng)人們享受著刷臉帶來的移動(dòng)支付、酒店入住、車站機(jī)場安檢和智能安防等領(lǐng)域便捷同時(shí)，也有一些人在清醒地從另一個(gè)角度思考刷臉的安全性。

郭兵，浙江理工大學(xué)特聘副教授，多年來致力于研究個(gè)人信息保護(hù)的法律問題。同時(shí)，他還有另外一個(gè)身份———“國內(nèi)人臉識(shí)別第一案”主訴人。2019年，他因杭州野生動(dòng)物世界年卡由指紋識(shí)別“強(qiáng)制”升級(jí)為“刷臉”入園，將杭州野生動(dòng)物世界訴至法院。

郭兵表示，作為一個(gè)關(guān)注個(gè)人信息保護(hù)的學(xué)者，我認(rèn)為像動(dòng)物園這樣一個(gè)商業(yè)組織，如果在沒有征得游客或者消費(fèi)者知情、同意的情況下，擅自使用人臉識(shí)別技術(shù)，肯定是涉嫌違法的，除了在征得消費(fèi)者的同意之外，我認(rèn)為還應(yīng)當(dāng)告知消費(fèi)者使用的目的和風(fēng)險(xiǎn)，讓消費(fèi)者真正知情。

目前，該案還在審理中。事實(shí)上，郭兵所在的杭州市對人臉識(shí)別的風(fēng)險(xiǎn)和法律屬性也在進(jìn)行探索。2020年10月28日，《杭州市物業(yè)管理?xiàng)l例（修訂草案）》被提請至杭州市第十三屆人大常委會(huì)第三十次會(huì)議審議，已進(jìn)入二審階段。

在修訂草案中新增且明確了物業(yè)服務(wù)人不得強(qiáng)制業(yè)主通過指紋、人臉識(shí)別等生物信息方式使用共用設(shè)施設(shè)備。而這一條款的由來，同樣也是源于郭兵。

郭兵表示，自己是真的希望后面立法能夠精細(xì)化一些，能夠更多地防范到刷臉風(fēng)險(xiǎn)，因?yàn)槲覀儸F(xiàn)在個(gè)人信息泄露，有點(diǎn)類似我們現(xiàn)在網(wǎng)絡(luò)空間的污染，對于個(gè)人信息的保護(hù)是一定不能像以前我們治理環(huán)境污染那樣，先污染后治理的策略，生物識(shí)別信息一旦廣泛泄露，它跟環(huán)境治理完全不一樣，真的是很難把后果。

如果這份修訂草案審議通過，《杭州市物業(yè)管理?xiàng)l例》將成為國內(nèi)首部對小區(qū)人臉識(shí)別納入物業(yè)管理的法定條例。

杭州市司法局副局長曹佃杭表示，立法應(yīng)該有一定的前瞻性，不能等問題爆發(fā)了我們再去規(guī)范立法，這樣做的話管理成本非常大，而且難度會(huì)成倍的增長，我們的條例并沒有否定物業(yè)公司，不能采用刷臉系統(tǒng)，也就是說允許刷臉系統(tǒng)進(jìn)行關(guān)聯(lián)、管理，但是必須要爭得業(yè)主的同意。也就是說如果經(jīng)過業(yè)主的同意的話仍然可以采集他的人臉、生物信息，但是如果業(yè)主不愿意的話，那么不能強(qiáng)行去采集業(yè)主的生物信息，應(yīng)該允許用卡或者其他的方式，進(jìn)入小區(qū)。

從首個(gè)訴訟到首次進(jìn)入地方規(guī)范，意味著以指紋、人臉、聲紋和虹膜等為代表的個(gè)人生物識(shí)別信息的應(yīng)用和保護(hù)已經(jīng)越來越迫切。

除了人臉識(shí)別，手機(jī)因?yàn)殚_放權(quán)限導(dǎo)致疑似被監(jiān)聽，也已經(jīng)成為公眾的另一個(gè)困擾。

手機(jī)用戶劉倩：我跟同事聊寶寶的事情，給寶寶辦理證件的一些問題，我的購物軟件和瀏覽器會(huì)給我推寶寶證件套這類商品，但是我甚至沒有上網(wǎng)搜過寶寶證件這些，我感覺挺恐怖的。

手機(jī)用戶苑慶攀：我跟朋友說椰棗，然后過了一天我就在某App刷到了關(guān)于椰棗的推薦的視頻，我就覺得很驚訝。

周漢華表示，在國外也出現(xiàn)過類似被監(jiān)聽事件，也算是丑聞。這對個(gè)人的隱私，甚至對個(gè)人的人身和財(cái)產(chǎn)安全都帶來很大挑戰(zhàn)。有一些App必須要用麥克風(fēng)，因?yàn)橛型ㄔ捁δ?，但很多App其實(shí)沒有通話功能，比如一些閱讀的App，它也來調(diào)取你的麥克風(fēng)，這個(gè)情況下就需要法律介入，必須要有合理的業(yè)務(wù)上需要才能調(diào)取，否則不應(yīng)該調(diào)取麥克風(fēng)，但是，這必須得有監(jiān)管機(jī)構(gòu)來進(jìn)行判斷。很多App都覺得自己需要調(diào)用很多個(gè)人信息，不然無法提供服務(wù)，實(shí)際上很多時(shí)候是沒有道理的。比如一個(gè)閱讀軟件，只提供文字方面的服務(wù)，那根本不需要麥克風(fēng)，即使真的需要麥克風(fēng)，也不是永遠(yuǎn)都需要，可能只是需要時(shí)才能調(diào)用，不需要時(shí)就應(yīng)該尊重用戶的選擇，不能讓它永遠(yuǎn)給你開著。

個(gè)人信息保護(hù)法律如何起作用

2020年上半年，人臉識(shí)別技術(shù)應(yīng)用安全調(diào)研課題組發(fā)布的一份線上問卷，共有2萬多人參加，這組數(shù)據(jù)至少可以反應(yīng)出公眾對于人臉識(shí)別應(yīng)用的一個(gè)基本態(tài)度方向。

周漢華表示，其實(shí)現(xiàn)在國際上已經(jīng)對人臉識(shí)別問題討論得非常多了，很多主體現(xiàn)在已經(jīng)意識(shí)到人臉識(shí)別所帶來的后果。像美國舊金山，明確規(guī)定禁止人臉識(shí)別；在其他領(lǐng)域，微軟做出了對人臉識(shí)別的一些準(zhǔn)則性要求，明確在什么情況下來進(jìn)行人臉識(shí)別等。由于現(xiàn)在已經(jīng)進(jìn)入4G、5G時(shí)代，它是一個(gè)視頻的時(shí)代，這時(shí)人臉的使用面越來越廣，帶來的風(fēng)險(xiǎn)就會(huì)前所未有的高。因?yàn)槿四樖菦]法換的，如果是密碼還可以換，甚至地址也可以換、車也可以換，但是人臉換不了。所以這個(gè)損害一旦造成，是無法挽回的。這就需要在立法中，在執(zhí)法中把這個(gè)作為重中之重來加以保護(hù)。

一方面是技術(shù)和市場的發(fā)展，有市場需求，也有高科技發(fā)展需求，另外一方面，是人們對于自身信息安全方面更深層次的擔(dān)心。不是說這二者一定對立，只能選其一，而是當(dāng)有了技術(shù)的發(fā)展之后，技術(shù)該怎么適度運(yùn)用，要有明確的紅線界限，技術(shù)運(yùn)用的前提一定是安全。技術(shù)需要發(fā)展，但前提是安全，尤其是涉及到個(gè)人隱私、個(gè)人信息，我們希望法律和監(jiān)管，能夠在未來真正起到作用，保護(hù)我們每一個(gè)人的隱私。