保护个人信息安全,还看新法

  《中华人民共和国网络安全法》于2017年6月1日起正式施行。作为我国网络安全领域的基础性法律,网络安全法在个人信息安全方面的规定备受社会各界关注。

  个人信息收集依从“必要性”

  赵成(电商企业法律顾问)

  2016年4月,一些购物者在京东商城下单后收到骗子冒充的“客服”发来通知:因货物短缺,请办理退款。不少人因此上当。

  经京东技术部门查验,订单信息是由京东商城设在十堰某县的配送中心扩散的。4月6日,警方将该地京东商城配送中心员工李某抓获。此前,李某已将5000余条已下订单但还没有发货的客户资料截屏并通过QQ打包贩售。

  网络安全法第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

  新出台的网络安全法强调网络运营者要对收集的用户信息严格保密。此前有法学家指出新法在一定程度上确定了“被遗忘权”,这是一个很大的进步。换言之,网络运营者收集了我的信息,我就有权要求其删除或更正。

  强调收集个人信息的边界是网络安全法的一个亮点。不得收集与其提供的服务无关的个人信息,可以理解为要求网路营运商按需收集:如地图导航软件需要用户的物理位置,这是功能性要求,可以满足;但如果要用户提供姓名和身份证号,就属于不必要了。而外卖软件按需可以获得用户的电话及地址,但无必要收集用户的身份证号和全名。

  现在的大型购物网站如淘宝、京东等都有自己的衍生金融服务产品,要求身份验证,形成个人信用体系,属于必要行为,但这对电商的信息安全监控能力的要求更高,一旦电商内部出现问题,用户信息泄露的速度和规模将非常骇人。因此,新法实施后,对于电商企业来说,做好内控已经成为当务之急和关键之举,一个员工的一次违法行为,就将给企业和用户带来巨大伤害。

  同时监管买卖双方,斩断利益链

  刘琦(网络信息安全顾问)

  有利可图,就有人买卖个人信息,要堵住这个漏洞只能依靠法律。

  2016年6月22日,智联招聘报案称,大客户部销售经理申某自2016年1月至报案时,非法获取客户简历库用户名和密码,向外大批非法兜售简历牟取暴利,涉及数量和金额十分巨大。其向外部盗卖的简历内容包括:姓名、身份证号、住址、电话、受教育程度、工作单位、薪资收入等个人信息。

  2017年6月4日,该案在北京开庭,根据6月1日正式施行的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,公诉机关据建议对申某判处3到5年有期徒刑。

  网络安全法规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。任何个人和组织不得非法出售或者非法向他人提供个人信息。

  6月1日起实施的两高司法解释进一步明确了“公民个人信息”的定义,对出售个人信息的卖方的相关量刑给出了统一标准,使司法机关在相关案件审判中对量刑有了参照。

  在智联招聘案件中,企业收集用户个人信息符合正当合法必要性原则,但其员工个人没有权力收集和转让用户信息。该案被告人既触犯了网络安全法,也犯了刑法中的侵犯公民个人信息罪。

  2016年徐玉玉案引起社会广泛关注,针对这类典型的电信网络诈骗案件,网络安全法草案在三审时加入了不得设立用于实施诈骗等违法犯罪活动的网站、通讯群组,不得利用网络发布涉及和实施诈骗的内容。这些规定从监管“买方市场”的角度,为个人信息安全筑起防火墙。

  个人信息泄露将被通知

  高斌其(网络安全专家)

  2016年10月,孙某接到电话,对方说“我是市公安局刑警支队的XXX,发现您的身份证被冒用,可能会导致您的卡上余额被骗子盗走,建议您先将卡上余额转账至公安局安全账户”。

  虽然是传统的所谓“安全账户”骗术,但是由于骗子准确地报出了孙某的姓名、工作单位,甚至单位领导等一切信息,让孙某深信不疑。当事人到达银行准备转账至“安全账户”时,被银行人员发现并提醒报警。

  网络安全法规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

  政府部门或市场机构一旦出现安全漏洞,黑客就极易盗取相关人员的个人信息,而“内鬼”对于信息的盗取则更为方便。这类大批量个人信息的泄露,还包括个人的人际关系信息,多种信息互相佐证,往往让受骗者不辨真假。尤其是对于老年人和知识水平较低的群体,这种危害尤为突出。

  这次实施的网络安全法首次明确“个人信息数据泄露通知制度”,要求在有泄露可能的情况下,有关机构要告知可能受到影响的用户,增强用户对相关诈骗行为的警惕性。通知制度也将倒逼相关机构提高网络安全防护能力,降低个人信息泄露风险。

  电商泄露数据可能遭关停

  林苗(网络服务运营者)

  2017年5月27日,阿里巴巴数据安全专家在贵阳中国国际大数据产业博览会透露,目前,各行各业、企业、社会组织间数据交互频繁,任何一家企业数据发生泄漏,随时会危及到其他组织,这是个全局性的问题,只要有数据存在的地方,都应建立安全机制。

  2017年年初,公安部破获了一起特大窃取贩卖公民个人信息案。数以亿计的信息被窃取,信息主体涉及交通、物流、医疗、社交和银行等领域。这些用户个人信息,在非法市场上极具价值,它们通过各种方式在网络黑市被反复贩卖。警方发现,幕后主要犯罪嫌疑人是发生信息泄漏的某家技术公司员工。

  出现“内鬼”说明企业自身存在网络安全漏洞,根据网络安全法,相关企业如果不提高安全管理,消极坐视信息泄露,也将受到责罚。

  网络安全法第六十四条规定,网络运营者、网络产品或者服务的提供者侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

  法律对哪些网络行为应当受到处罚也进行了规范,尤其是强调了网络运营者具有维护个人信息安全的“主体责任”。

  此前,广大网络服务商已被有关部门通知开展自检:重点检查企业信息安全管理制度、相关岗位工作人员责任制、信息安全保障措施等。全面排查电子商务企业个人信息安全隐患非常必要,企业只有注重数据安全管理,建立安全自检机制,才能安全地从事网络经营活动。

关注读览天下微信, 100万篇深度好文, 等你来看……