用戶該怎么捉數(shù)據(jù)泄露的“BUG”

      近來，移動社交平臺陌陌被爆有3000萬條用戶數(shù)據(jù)在暗網(wǎng)（存儲在網(wǎng)絡(luò)數(shù)據(jù)庫里、但不能經(jīng)過超鏈接拜訪的資源集合）上被售賣。賣家聲稱，這些數(shù)據(jù)包含用戶手機(jī)號、暗碼等敏感信息。陌陌方面回應(yīng)稱，網(wǎng)傳遭走漏的數(shù)據(jù)為三年前的數(shù)據(jù)，且跟陌陌用戶的匹配度極低。

11月30日，萬豪國際集團(tuán)經(jīng)過官方微博表明，旗下喜達(dá)屋酒店的客房預(yù)定數(shù)據(jù)庫被黑客侵略，多達(dá)5億人次的詳細(xì)信息或許遭到走漏，其間高達(dá)3.27億人次的走漏信息包括名字、電話號碼、護(hù)照號碼、到達(dá)和離店信息等。而且，部分入住者的信用卡付出卡號、付出有用期也遭到走漏，盡管現(xiàn)已加密，但不能掃除部分用戶或許遭受產(chǎn)業(yè)危險。

跟著互聯(lián)網(wǎng)的展開，許多用戶的個人信息在不經(jīng)意間就被獲取、存儲、買賣、利用，與之相關(guān)的數(shù)據(jù)走漏事情也頻頻發(fā)生?？墒牵鄳?yīng)的用戶維權(quán)過程則十分困難。由于取證難、訴訟本錢高等，大多數(shù)用戶對自己的隱私信息被走漏“敢怒不敢言”，許多企業(yè)也因本錢較高、監(jiān)管較松，并未履行好維護(hù)用戶個人信息的職責(zé)。

鑒于上述窘境，業(yè)內(nèi)人士呼吁，個人信息維護(hù)范疇的準(zhǔn)則組織需求進(jìn)一步細(xì)化、嚴(yán)格化，事前催促企業(yè)及時行動，過后懲戒違法行為。

百部法令法規(guī)沒有堵住數(shù)據(jù)漏洞

據(jù)不完全統(tǒng)計，2018年每個季度都發(fā)生了規(guī)劃巨大的數(shù)據(jù)走漏事情。3月，F(xiàn)acebook上至少700萬條用戶信息被走漏；6月，圓通快遞10億條數(shù)據(jù)（含有收寄件人的名字、電話、地址等隱私信息）在暗網(wǎng)上被以1比特幣的價格打包出售；8月，華住集團(tuán)旗下多個連鎖酒店的用戶數(shù)據(jù)在暗網(wǎng)售賣，數(shù)據(jù)走漏總數(shù)接近5億條……

頻頻發(fā)生的數(shù)據(jù)走漏事情，現(xiàn)已給每個網(wǎng)民帶來真實(shí)的危險和危害。我國互聯(lián)網(wǎng)協(xié)會發(fā)布的《我國網(wǎng)民權(quán)益維護(hù)調(diào)查報告》顯現(xiàn)，僅2016年國內(nèi)就有6.88億網(wǎng)民因垃圾短信、詐騙信息、個人信息走漏等造成經(jīng)濟(jì)丟失，預(yù)算達(dá)915億元。有54%的網(wǎng)民以為個人信息走漏狀況嚴(yán)重，有84%的網(wǎng)民曾親身感受到因個人信息走漏帶來的不良影響。

數(shù)據(jù)走漏的“幽靈”如此活潑，如果維護(hù)個人信息的準(zhǔn)則利器不能發(fā)揮效果，丟失將會越來越大。

現(xiàn)在，我國現(xiàn)已連續(xù)頒布、施行了一系列維護(hù)個人信息的法令、法規(guī)，尤其是2017年正式施行的《網(wǎng)絡(luò)安全法》，強(qiáng)調(diào)了我國境內(nèi)網(wǎng)絡(luò)運(yùn)營者對所收集到的個人信息應(yīng)承當(dāng)?shù)木S護(hù)職責(zé)和違規(guī)處分辦法。但在用戶層面，據(jù)此展開的維權(quán)行為仍然面對重重困難。

首要，在“個人信息”的界定標(biāo)準(zhǔn)上，企業(yè)和用戶的觀點(diǎn)經(jīng)常不一樣。我國政法大學(xué)知識產(chǎn)權(quán)中心特約研究員趙占據(jù)表明，個人信息的要害界說是“具有身份辨認(rèn)性”，可分為身份證號碼等直接辨認(rèn)信息和手機(jī)號碼等直接辨認(rèn)信息，但有不少企業(yè)經(jīng)過大數(shù)據(jù)分析，給用戶做鑒證畫像，這類行為是否歸于直接辨認(rèn)用戶個人信息？業(yè)內(nèi)對此還有不少爭議。

其次，用戶即便發(fā)現(xiàn)個人信息已遭走漏，想要取證也十分困難。我國社會科學(xué)院法學(xué)所研究員呂艷濱指出，在大多數(shù)狀況下，用戶連企業(yè)是否獲取、如何獲取、獲取了多少自己的個人信息都很難找到依據(jù)。

我國顧客協(xié)會11月28日發(fā)布的《100款A(yù)pp個人信息收集與隱私政策測評報告》顯現(xiàn)，展開測評的100款A(yù)pp中多達(dá)91款列出的權(quán)限涉嫌“越界”，即存在過度收集用戶個人信息的問題；僅有53款A(yù)pp的隱私條款得分達(dá)到及格分以上；有13款A(yù)pp具備隱私條款，但得分低于及格分；還有超越三分之一（34款）的App隱私條款得分為0，即未對用戶發(fā)布個人信息隱私條款。

“咱們面對的是很蔭蔽的信息處理活動，終究在哪個環(huán)節(jié)出的問題，終究誰掌握了咱們的信息，怎么處理的，怎么走漏的，這些都很難知道。”呂艷濱以為，關(guān)于個人信息維護(hù)中企業(yè)的職責(zé)，比如如何獲取、如何處理、如何維護(hù)等問題，我國現(xiàn)有法令只有原則性規(guī)定，并沒有詳細(xì)解釋和行動指南，這在客觀上給用戶維權(quán)帶來了困難。

重慶大學(xué)網(wǎng)絡(luò)與大數(shù)據(jù)戰(zhàn)略研究院院長齊愛民曾統(tǒng)計過，我國涉及到個人信息的法令有50多部，行政法規(guī)40多部，司法解釋或許文件40多部，部門規(guī)章更是多達(dá)700多部?？墒窃S多法令法規(guī)并沒有構(gòu)成完好系統(tǒng)，如此松懈的準(zhǔn)則設(shè)計導(dǎo)致用戶維權(quán)難、企業(yè)違法行為難以認(rèn)定、監(jiān)管不到位等狀況。

公益訴訟是信息維護(hù)的利劍嗎

就在我國的用戶和法令人士為個人信息維護(hù)舉證難犯愁之際，一些數(shù)據(jù)走漏事情的當(dāng)事企業(yè)現(xiàn)已墮入一些國家的用戶群體和法令人士提起的訴訟。

萬豪集團(tuán)宣告其5億客戶信息走漏之后的幾個小時，兩位來自美國俄勒岡州的萬豪酒店客戶提起了團(tuán)體訴訟，索賠125億美元——5億受到影響的客戶每人25美元，還有兩家位于美國馬里蘭州的律師事務(wù)所對萬豪集團(tuán)提起了第二起團(tuán)體訴訟。

我國并沒有與美國一樣的團(tuán)體訴訟準(zhǔn)則，但設(shè)立了與之類似的一起訴訟與代表人訴訟準(zhǔn)則。若某行為人施行了侵害別人的侵權(quán)行為，被侵權(quán)人主體為2-10人，則適用一起訴訟準(zhǔn)則，這些被侵權(quán)人能夠選擇一起起訴。如果當(dāng)事人一方人數(shù)許多（超越10人），可由當(dāng)事人推選代表人進(jìn)行訴訟。

但在實(shí)際事例中，我國的一起訴訟更多地在環(huán)境維護(hù)、顧客權(quán)益維護(hù)等案子中得以使用，個人信息維護(hù)范疇較少出現(xiàn)。除了在證券市場，規(guī)劃較大的代表人訴訟也很少見，司法機(jī)關(guān)對人數(shù)許多的訴訟仍然堅持慎重態(tài)度。

北京潮陽律師事務(wù)所律師胡鋼以為，在許多數(shù)據(jù)走漏事情中，用戶自己或許并不知道自己的信息現(xiàn)已走漏，即便知曉，維權(quán)的可選項也真實(shí)有限。因而，他建議擴(kuò)大此類事情中的公益訴訟比重，由顧客權(quán)益維護(hù)組織或相關(guān)行政機(jī)關(guān)、檢察院代表特定顧客提起公益性訴訟，然后處理個人取證能力差、訴訟本錢過高、涉及人員許多等問題。

此前，個人信息維護(hù)的公益訴訟已有全國首個事例。2017年12月，江蘇省顧客權(quán)益維護(hù)委員會對北京百度網(wǎng)訊科技有限公司涉嫌違法獲取顧客個人信息及相關(guān)問題提起消費(fèi)民事公益訴訟。2018年1月2日，南京市中級人民法院正式立案。

不過，這一事例并未進(jìn)入本質(zhì)訴訟階段。3月，江蘇省消保委宣告，鑒于百度公司對App整改到位，其已向南京中院提交了該案的《撤訴請求書》，南京中院隨后準(zhǔn)予了這一請求。

齊愛民表明，盡管由于準(zhǔn)則和實(shí)際原因，公益訴訟在我國個人信息維護(hù)范疇運(yùn)用得很少，但一旦運(yùn)用，其必將發(fā)生直接效果。上述事例也表明，消協(xié)具有對該類行為提起訴訟的權(quán)利，對其他企業(yè)也起到了警示效果。

“咱們應(yīng)該給顧客傳達(dá)最簡略的聲響，給予最直接有用的協(xié)助，不應(yīng)該讓顧客去操心詳細(xì)雜亂的操作步驟，被逼成為法令專家。”胡鋼表明，個人信息維護(hù)法現(xiàn)已列入本屆全國人大常委會立法規(guī)劃，下一步應(yīng)優(yōu)先強(qiáng)化個人信息維護(hù)案子中的民事職責(zé)補(bǔ)償準(zhǔn)則。

在國外事例中，個人信息侵權(quán)的團(tuán)體訴訟案子經(jīng)常會達(dá)到寬和。例如，2016年雅虎被曝出大規(guī)劃被黑客盜取用戶數(shù)據(jù)事情，隨后遭到多個國家顧客的團(tuán)體訴訟，后來雅虎與原告方達(dá)到寬和協(xié)議，共補(bǔ)償8500萬美元。

呂艷濱指出，國外的許多事例之所以達(dá)到寬和，是由于訴訟后這些企業(yè)或許要付出更大價值，也或許面對主管部門開出的數(shù)倍罰單。事實(shí)上，今年5月收效、以數(shù)據(jù)隱私維護(hù)為宗旨的歐盟《通用數(shù)據(jù)維護(hù)條例》（GDPR）就規(guī)定，一旦違背該法案，企業(yè)將被處以1000萬到2000萬歐元，或全球年營業(yè)額2%到4%的高額行政罰款。

但很遺憾的是，我國尚缺少此類嚴(yán)厲的行政處分準(zhǔn)則。“這樣就沒辦法把違法企業(yè)拉到談判桌上。”呂艷濱建議，主管部門應(yīng)該從源頭管理下手，經(jīng)過準(zhǔn)則細(xì)則明確哪些企業(yè)能夠以何種方式掌握用戶個人信息，以及這類信息能夠怎么同享，應(yīng)如何保障其安全，對個人信息獲取、同享、利用的全過程建立通明的、統(tǒng)一的規(guī)矩。