圓通“內(nèi)鬼”勾結(jié)不法分子，40萬條個(gè)人信息泄露，輿論嘩然的同時(shí)，也再次點(diǎn)燃了社會(huì)關(guān)于個(gè)人信息保護(hù)的焦慮。巧合的是，11月19日正是《個(gè)人信息保護(hù)法(草案)》公開征求意見截止日期，而這也是首部專門規(guī)定個(gè)人信息保護(hù)的法律。11月18日，國家郵政局回應(yīng)稱，“一直非常重視個(gè)人信息保護(hù)，對(duì)于信息泄露等問題態(tài)度一直非常明確，一切以此前公布的政策、表態(tài)為準(zhǔn)”。

圓通“內(nèi)鬼”事件并非侵權(quán)孤例。近年來，隨著互聯(lián)網(wǎng)發(fā)展，個(gè)人信息侵權(quán)案屢禁不止。業(yè)內(nèi)指出，身處大數(shù)據(jù)紅利時(shí)代，個(gè)人信息保護(hù)并非無法可依，但想要真正平衡企業(yè)和個(gè)人權(quán)益的天秤，不僅需要實(shí)操性更強(qiáng)的法律依據(jù)，也需要對(duì)“個(gè)人信息”的明確界定和劃分，而企業(yè)端立行整改也不應(yīng)僅是說說而已。

當(dāng)事人難知情

根據(jù)圓通發(fā)布的信息顯示，今年7月底，公司總部實(shí)時(shí)運(yùn)行的風(fēng)控系統(tǒng)監(jiān)測(cè)到圓通速遞河北省區(qū)下屬加盟網(wǎng)點(diǎn)有兩個(gè)賬號(hào)存在非該網(wǎng)點(diǎn)運(yùn)單信息的異常查詢，判斷為明顯的異常操作。經(jīng)多方調(diào)查發(fā)現(xiàn)，疑似有加盟網(wǎng)點(diǎn)個(gè)別員工與外部不法分子勾結(jié)，利用員工賬號(hào)和第三方非法工具竊取運(yùn)單信息，導(dǎo)致信息外泄。當(dāng)前，相關(guān)犯罪嫌疑人已于9月落網(wǎng)。

事實(shí)上，圓通此次泄密并非首犯。2013年10月，有媒體曝出近百萬條圓通快遞單個(gè)人信息網(wǎng)上可購，單號(hào)數(shù)據(jù)24小時(shí)滾動(dòng)刷新;2018年7月-2019年5月間，嫌疑人利用爬蟲軟件從圓通公司網(wǎng)站非法竊取公司快件信息并獲利100萬元。

回顧圓通事件僅是管中窺豹。隨著互聯(lián)網(wǎng)時(shí)代大數(shù)據(jù)普及，近年來個(gè)人信息侵權(quán)案件也以幾何倍數(shù)增長(zhǎng)。2018年末，北京市朝陽區(qū)法院曾披露數(shù)據(jù)，據(jù)不完全統(tǒng)計(jì)，過去15年間朝陽法院共受理公民個(gè)人信息民事侵權(quán)案件74件，其中近五年即2013-2017年案件總量為38件，占比達(dá)到51.4%。就在10月26日，工業(yè)和信息化部向社會(huì)通報(bào)了131家存在侵害用戶權(quán)益行為App企業(yè)的名單，部分軟件違規(guī)收集和使用個(gè)人信息。

值得關(guān)注的是，多位律師指出，從當(dāng)前侵權(quán)案例來看，媒體曝光前，作為信息處理者并未及時(shí)履行信息侵權(quán)后的告知義務(wù)，這也為日后埋下隱患。“試想如果圓通事件中未經(jīng)媒體披露，被侵權(quán)者又如何及時(shí)獲悉自己信息被出售或披露?”卓緯律師事務(wù)所合伙人孫志峰表示，智能時(shí)代保護(hù)個(gè)人信息安全最大的難點(diǎn)在于識(shí)別和舉證，企業(yè)具有技術(shù)優(yōu)勢(shì)，個(gè)人普遍缺乏相應(yīng)的技術(shù)知識(shí)和識(shí)別能力，使得雙方處于不對(duì)稱的情形，個(gè)人舉證和侵權(quán)論證更無從談起。

然而，不論是2017年落地的《中華人民共和國網(wǎng)絡(luò)安全法》還是當(dāng)前公開征求意見的《個(gè)人信息保護(hù)法(草案)》，均對(duì)個(gè)人信息處理者告知義務(wù)作出明確。其中，《個(gè)人信息保護(hù)法(草案)》第五十五條規(guī)定，個(gè)人信息處理者發(fā)現(xiàn)個(gè)人信息泄露的，應(yīng)當(dāng)立即采取補(bǔ)救措施，并通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人。通知內(nèi)容應(yīng)當(dāng)包含泄露原因、可能造成的危害、已采取的補(bǔ)救措施、可采取的減輕危害的措施以及個(gè)人信息處理者的聯(lián)系方式。

“但從實(shí)際義務(wù)履行情況來看，當(dāng)個(gè)人信息被泄露后，信息處理者一般并不會(huì)第一時(shí)間主動(dòng)通知被侵權(quán)者和相關(guān)部門并說明可能引起的權(quán)益損害;而在不通知的情況下，市場(chǎng)監(jiān)管部門也不會(huì)進(jìn)行處罰;此外，雖然刑法也規(guī)定，違反國家有關(guān)規(guī)定，向他人出售或者提供公民個(gè)人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。但關(guān)于如何界定被侵權(quán)者的損失也是一個(gè)問題。”寧人律師事務(wù)所金融與科技委員會(huì)副主任馬軍表示。

提倡“先保護(hù)再利用”

“其實(shí)，我們對(duì)于侵犯?jìng)€(gè)人信息的案件并非無法可依。”孫志峰指出。例如，《民法總則》第111條明確規(guī)定個(gè)人信息受法律保護(hù)，任何組織和個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或公開他人的個(gè)人信息;《網(wǎng)絡(luò)安全法》等法律也有保護(hù)個(gè)人信息的專門條款;《刑法》則將嚴(yán)重侵犯公民個(gè)人信息的行為列為刑事犯罪，予以嚴(yán)懲;而《民法典》更是將個(gè)人信息作為人格權(quán)項(xiàng)下的新型人格利益予以保護(hù)。

在這種情況下，侵權(quán)案件仍屢禁不止，問題出在哪里?馬軍分析指出，當(dāng)前國家對(duì)于個(gè)人信息的立法基調(diào)是“保護(hù)+利用”。“歐盟對(duì)于個(gè)人信息使用的要求是非常嚴(yán)格的，而美國則相對(duì)靈活寬松，更強(qiáng)調(diào)信息的靈活使用。考慮到需要為立法保留空間，我們想要走第三條道路，既保護(hù)又利用。這就帶來另一個(gè)問題，現(xiàn)行法規(guī)尚不完備，違法成本低但維權(quán)成本高。”

在此基礎(chǔ)上，馬軍道出當(dāng)前個(gè)人信息保護(hù)立法的現(xiàn)狀，行政法規(guī)仍待細(xì)化。“以《個(gè)人信息保護(hù)法(草案)》為例，其更多延續(xù)了《網(wǎng)絡(luò)安全法》內(nèi)容，并未有太大實(shí)質(zhì)性突破，導(dǎo)致現(xiàn)在利用給企業(yè)帶來了價(jià)值，個(gè)人信息權(quán)利主體卻要自己掏腰包去打官司，賠償還不夠訴訟費(fèi)用，所以利益保護(hù)是失衡的。因此提倡先保護(hù)再利用，而不是出現(xiàn)了問題直接定性;同時(shí)，需要制度和技術(shù)同時(shí)配備，強(qiáng)調(diào)日常維護(hù)。”

“如果圓通事件發(fā)生在歐洲，按照歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)規(guī)定，涉事公司或面臨上一年度4%營業(yè)額的罰款。例如，此前萬豪酒店因泄露3億多客人信息，被英國ICO處以1840萬英鎊(約合人民幣1.6億元)罰款。我國《個(gè)人信息保護(hù)法(草案)》也提到了對(duì)類似事件罰款可以高達(dá)5%。這也再次證明我國目前急需出臺(tái)《個(gè)人信息保護(hù)法》。”北京斐石律師事務(wù)所管理合伙人周照峰說。

“個(gè)人信息”范圍仍待細(xì)分

11月19日是《個(gè)人信息保護(hù)法(草案)》的公開征求意見截止日期，作為首部專門規(guī)定個(gè)人信息保護(hù)的法律，其在正式出臺(tái)后，將成為個(gè)人信息保護(hù)領(lǐng)域的“基本法”。馬軍指出，《個(gè)人信息保護(hù)法(草案)》需“粗細(xì)結(jié)合”，對(duì)于實(shí)踐中正在探索的條款可以原則一些，而對(duì)于實(shí)踐中圓通這種錯(cuò)誤，立法層面則需更加全面且具有實(shí)操性。

然而，在立法層面外，在執(zhí)法過程中，對(duì)于“個(gè)人信息”的界定也備受關(guān)注。據(jù)前述朝陽區(qū)法院統(tǒng)計(jì)，截至2018年末，在其審理的個(gè)人信息侵權(quán)案中，手機(jī)號(hào)、家庭住址是侵權(quán)重點(diǎn)。從訴求中涉及的信息內(nèi)容看，原告訴求涉及同時(shí)侵害多個(gè)信息的情況較為普遍。

這意味著，在一個(gè)案件中原告主張同時(shí)侵害了姓名、身份證號(hào)、病歷信息、工作單位及履歷等多重信息。其中，原告訴求主張涉及侵害三種及以上信息的案件數(shù)量共計(jì)45件，約占此類案件總數(shù)量的60.8%。

“如何定義個(gè)人信息并作出分類”也是《個(gè)人信息保護(hù)法(草案)》公開征集意見后的一大關(guān)注重點(diǎn)。北京德和衡(上海)律師事務(wù)所高級(jí)聯(lián)席合伙人陳國彧及執(zhí)業(yè)律師范思佳指出，按照《個(gè)人信息保護(hù)法(草案)》第四條的規(guī)定，“個(gè)人信息是以電子或者其他方式記錄的已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”。《個(gè)人信息保護(hù)法(草案)》中對(duì)于個(gè)人信息定義的內(nèi)涵雖明確，但對(duì)于“已識(shí)別”或者“可識(shí)別”的外延規(guī)定則相對(duì)模糊。

前述機(jī)構(gòu)認(rèn)為，個(gè)人信息作為一個(gè)相對(duì)抽象的概念，立法者有必要列舉個(gè)人信息的種類、類型以及表現(xiàn)形式，進(jìn)而進(jìn)一步界定和確定個(gè)人信息的具體范圍。僅從信息可能存在的路徑，即收集、儲(chǔ)存、使用、加工、傳輸、提供、公開等活動(dòng)，來確定個(gè)人信息的范圍過于寬泛，希望在正式發(fā)布的條文中有更詳細(xì)的規(guī)定。

關(guān)鍵詞： 新法征 個(gè)人信息范圍