谁让我们变成了互联网上的“透明人”？

　　编者按

　　长期以来，隐私和个人信息保护问题一直是一个被忽视乃至被遗忘的“角落”。社会的进步，特别是互联网和数字化的突飞猛进，开启了一个全新的时代，让我们每一个人都变成了“透明人”。

　　个人信息保护的事件和案例屡屡见诸报端，引起社会各界极大关注。由此造成的个人信息大量泄露，各种推销、骚扰电话、垃圾短信、诈骗信息层出不穷，给人们的生活造成了极大困扰。特别是人脸识别信息技术的出现，直接触发了社会对信息泄露问题深层次的焦虑和担忧。

　　从民法典到《刑法修正案(七)》、“两高”关于办理侵犯公民个人信息刑事案件适用法律若干问题的司法解释，从网络安全法、数据安全法到正在审议的个人信息保护法，国家正在构建一整套个人信息保护法律体系，让民众彻底告别“信息裸奔”。

　　但是，个人信息保护是一项综合性的系统工程，需要社会各界共同努力。除立法外，加强政府监管、充分发挥检察机关公益诉讼的作用、促进行业自律和个人保护意识提升，也不可或缺。只有多方形成合力，个人信息保护才能真正落到实处。

　　张女士是一名网购爱好者，“11·11” “12·12”“5·18”等购物节自不用说，休闲的时候她也常常在网上溜达。自然，她也就成了各电商网站的常客。

　　她并不知道，她在上网浏览的同时，上网地点、浏览历史记录、网站访问行为等个人信息，已经被电商悄无声息地利用技术性手段窃取，在进行大数据分析后，该电商实现了对张女士广告的精准投放。

　　张女士的遭遇绝不是个别现象。中国消费者协会的一项研究表明，85.2%的公民曾遇到过个人信息泄露的情况。这些个人信息被非法收集和不当使用，不但对个人利益造成不同程度的损害，甚至对国家安全也构成重大威胁。

　　对非法收集和滥用个人信息的行为实行“零容忍”，早日建立一套符合中国国情的个人信息保护规则体系，既体现着国家保护个人信息安全的决心和勇气，也考验着立法机关的智慧和担当。

　　

　　谁偷走了我的个人信息？

　　7月4日，国家网信办公告称，根据举报，经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题，依据《中华人民共和国网络安全法》相关规定，通知应用商店下架“滴滴出行”App。

　　7月5日，网络安全审查办公室按照《网络安全审查办法》，对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。为配合网络安全审查工作，防范风险扩大，审查期间“运满满”“货车帮”“BOSS直聘”停止新用户注册。

　　如此密集的审查让相关话题久居热搜不下，对用户个人信息的保护也再次成为讨论中心。

　　事实上，类似问题早已不是第一次见诸公众。根据公开的通报，我们可以看出，基本上大家日常使用的运动跑步App，比如悦跑圈、咕咚、Keep、华为、小米、咪咕善跑等主流App，无一例外，都在违规收集大家的信息！

　　更让我们难以置信的是，在违规收集与其提供的服务无关的个人信息方面，就连我们通常使用的输入法软件、搜索软件、安全软件和浏览器也榜上有名。

　　今年5月1日，中国网信网发布《关于输入法等33款App违法违规收集使用个人信息情况的通报》，其中包括15款输入法。科大讯飞旗下的“讯飞输入法”因违反必要原则，收集与其提供的服务无关的个人信息等上榜。除“讯飞输入法”之外，市场份额较高的“QQ输入法”“搜狗输入法”也在苹果和安卓多家应用商店下架或者无法下载。

　　梳理中国网信网近年来发布的App违法违规收集使用个人信息情况发现，以网络安全著称的奇虎360旗下的360手机卫士、360搜索和360浏览器等App竟然也在通报之列，被认为存在非法获取、超范围收集、过度索权等侵害个人信息的现象。

　　显而易见，智能手机的普及，让收集个人信息变得触手可及，每个人都防不胜防，也因此导致侵犯公民个人信息侵权案频发。

　　2020年7月30日，北京互联网法院宣判，抖音App所属公司北京微播视界侵犯用户个人信息权，必须删除2019年2月9日之前通过抖音收集并存储的原告姓名和涉案手机号码等信息，以及未经原告同意、通过抖音收集并存储的地理位置信息。就在这一天，腾讯旗下手机App“微信读书”也在一起侵权案件中败诉，北京互联网法院在判决中适用的概念同样是“侵犯个人信息权”。

　　案件中，抖音未经原告同意，将从其他用户手机中收集到的原告手机号码与原告进行了匹配，将原告的前女友当作“可能认识的人”推荐给原告；“微信读书”则将原告的读书记录开放给了其他用户。两公司都被判“侵犯个人信息权”。

　　这两个涉及知名互联网公司的判例，仅仅是单位无限度采集和非法使用用户个人信息之冰山一角。还有一些单位竟然将其掌握的个人信息贩卖，用以牟利。

　　2019年11月19日，央视新闻曾报道称，江苏淮安警方依法打击了7家涉嫌侵犯公民个人信息犯罪的公司，涉嫌非法缓存公民个人信息1亿多条，其中考拉征信（最大股东是上市公司“拉卡拉”）涉嫌非法提供身份证返照查询9800多万次，获利3800万元。

　　多地警方破获的倒卖个人信息案件显示，围绕着个人信息，已经形成了一条黑色产业链。

　　今年3月，河北邯郸警方曝光了一起倒卖个人信息案。河北一家快递公司的员工，为了赚到1天500块钱的租金，把8000多条用户信息推给了境外诈骗组织。

　　进一步调查发现，原来这是一条个人信息泄露的黑色链条。

　　诈骗分子为了获得大量的身份信息，从各个渠道联系快递公司、酒店、外卖平台等企业的员工，并用一天500元租用工号，表面声称是登录内部系统查询走件流程，用于淘宝刷单，可实际上却在窃取客户信息。这些信息不但涉及用户的姓名、身份证号码、手机号以及住址等静态信息，而且还包括征信、定位、行踪轨迹、住宿甚至房屋产权等多方面的动态信息。这群人拿到信息后，会打包卖给上线，一级又一级层层加价，最终会高价出售给境外诈骗组织。

　　泄露出去的个人身份信息在地下黑色产业链中被来回流转，随之而来的问题络绎不绝：垃圾短信，各种骚扰电话、推销电话，层出不穷的电信网络诈骗……中国消费者协会的一项调查结果显示，当消费者个人信息泄露后，约86.5%的受访者曾收到推销电话或短信的骚扰，约75.0%的受访者接到诈骗电话，约63.4%的受访者收到垃圾邮件，排名位居前三。

　　

　　以隐私换取便捷服务？

　　个人信息被收集无处不在。在显而易见的“信息裸奔”风险面前，后知后觉的用户不在少数。有数据显示，在遭遇过信息泄露的网民中，高达47.5%的网民选择置之不理。

　　在2018年3月份的中国发展论坛上，百度CEO李彦宏因为说了句“中国用户更加开放，对隐私问题没那么敏感，在很多情况下愿意用隐私交换便利性”时，网友们才惊觉自己在这件事情上被严重冒犯了。

　　当然，他的原话是这样说的：“用户的一些个人数据实际上能够帮助互联网企业为之提供更好的服务或产品……中国的消费者在隐私保护的前提下，很多时候是愿意以一定的个人数据授权使用，去换取更加便捷的服务。”

　　李彦宏所说的“愿意”是指用户从安卓和苹果的应用商店中下载安装App后，在初次打开使用时，通常会要求用户确认是否授予通讯录、通话、短信、定位、开启摄像头、话筒等权限，当用户按下了“是”这个按钮，就意味着用户给出了相应的权限，让这个App去浏览甚至修改你设备里的个人数据和其他信息。

　　对此，已经是两个孩子的妈妈，在北京某知识产权事务所工作的刘某琪深有体会。

　　她在某电商平台App上购买了两瓶叶酸，商家鼓励她评价，说只要给五星满意就返现金5元，下回再购买还可以打8.5折。因为刘某琪对购买的产品挺满意的，不过做评价要求上传产品照片，她也准备上传一张照片，但该App却又请求她手机的音频权限。

　　“使用音频是什么意思？就是用我的麦克风。当你在谈论怀孕、生孩子时，马上就会收到什么孕妇产品的广告。这就是该App在使用你手机的麦克风在听，而且很可能是你曾经不自觉地授权过了。” 最终，刘某琪拒绝了该平台App使用手机的麦克风功能，结果照片也就无法上传。

　　在刘某琪看来，即便用户愿意用隐私交换便利性，也不是毫无底线的。关键是，平台采集数据以及使用某些功能，是否出于提供的服务的“必要”。

　　“平台应该向用户和公众公开它的产品和服务采集了哪些数据，为什么要采集这些数据，在什么地方存储这些数据，在什么情况下、什么范围内、有什么人在使用这些数据，在数据的使用、存储、传输有没有做必要的脱敏等。”刘某琪说，“只有平台在个人信息数据的收集和使用上做到公开透明，用户才能放心授权，也才不会觉得整天被监视，否则只能用脚投票了。”

　　事实上，即使用户拒绝授权平台App使用，不愿意以隐私去换取更加便捷的服务，也难逃脱个人信息被非法收集的命运。

　　据《快科技》报道称，国际计算机科学研究所（ICSI）研究人员发现，即使是在用户明确拒绝授权之后，仍有多达1325个Android应用能绕过限制，从用户设备上收集精确的地理位置数据和手机序列号等信息。

　　针对个人信息泄露让人揪心的现状，武汉大学网络治理研究院副院长袁康在接受有关媒体采访时说，用户应及早树立自我保护意识，高度重视个人信息的安全，充分认识到信息泄露可能造成的严重危害，面对信息采集“零信任”，尽可能少向商家、网络服务提供者提供个人信息。

　　袁康提醒社会公众要提高信息保护意识。他说：“一旦遭遇个人信息泄露，应及时向泄露和公布个人信息的商家或平台投诉，要求其删除个人信息，防止个人信息进一步泄露，必要的时候也可以采取法律手段，要求有关责任主体承担相应法律责任。” 

　　

　　为个人信息安全建立“防火墙”

　　日益严重的个人信息泄露乱象引起了国家有关部门的高度重视。制定法律的“高压线”，治理非法获取、倒卖个人信息的违法行为，被提上了日程。

　　2009年2月，全国人大常委会通过了《刑法修正案(七)》，其中规定了可能构成“侵犯公民信息安全罪”的两种形式：一是国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人的；二是通过窃取或者其他非法手段，获得此类信息的。

　　2010年，广州市华探调查有限公司负责人周建平因非法获取14名领导的电话号码及通话清单出售给他人，从中获利1.6万元，被以“非法获取公民个人信息罪”判处有期徒刑1年6个月，并处罚金2000元，从而成为国内被法院以侵犯个人信息安全的新罪名追究刑事责任的第一人。

　　这是国内第一起以非法获取公民个人信息罪定罪的案件，按理说，司法机关终于出手打击侵犯公民信息的犯罪，应当是一件值得欣喜的好事。但是，由于该案涉及多名领导，社会公众显然有更高的期待，希望司法机关在打击侵犯普通公民信息犯罪上有实质的进步，在不远的将来，能有越来越多的侵犯普通公民信息的犯罪嫌疑人被送上法庭接受审判。

　　为了回应公众的期待，从2016年起，最高人民法院研究室就启动侵犯公民个人信息罪司法解释的起草工作。在广泛征求最高人民检察院、公安部、最高人民法院各相关审判庭、各高级人民法院及专家学者、有关互联网企业意见的基础上，2017年5月8日，最高人民法院联合最高人民检察院出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。

　　这个司法解释的颁布，充分体现了司法机关严厉打击侵犯个人信息违法犯罪行为的决心，尤其是对于有效打击遏制由于个人信息泄露而引发的电信网络诈骗犯罪活动，发挥了重要作用。

　　在加强对侵犯个人信息的行为刑事打击的同时，业内公司也在一些问题上形成了行业惯例。信息安全领域的国家标准相继出台。2017年颁布的《个人信息安全规范》，提出了人脸识别技术应用在收集、存储、共享、披露等不同环节的标准，成为个人信息领域的首个行业标准。为解决人脸数据滥采、泄露或丢失，以及过度存储、使用等问题，《信息安全技术人脸识别数据安全要求》国家标准的征求意见稿也已经出台，目前正面向社会公开征求意见中。

　　信息安全领域的国家标准在一定程度上对个人信息保护起到规范的作用，但是由于其不具有法律强制性，故无法有效实现对个人信息的规制。

　　2020年5月28日，《中华人民共和国民法典》正式颁布，开启了个人信息保护的新纪元。

　　在清华大学法学院教授程啸看来，我国高度重视个人信息保护。2012年颁布的《全国人民代表大会常务委员会关于加强网络信息保护的决定》，2013年修订的消费者权益保护法，2017年施行的网络安全法、民法总则，2019年施行的电子商务法，以及刚刚颁布的数据安全法，都对个人信息保护作出了一些规定。然而，这些法律对个人信息保护的规定，都是零散的、不成系统的。

　　“真正在我国法上系统地确立个人信息保护制度并明确自然人个人信息权益的是《中华人民共和国民法典》。”程啸教授说。

　　个人信息保护制度的确立，加速了个人信息保护立法的步伐。

　　2020年10月13日，千呼万唤的个人信息保护法草案出炉，并提请十三届全国人大常委会第二十二次会议审议。

　　草案对实际上控制技术资源、技术环境和运营环境的信息处理者，设置了“守门人”个人信息处理的特别义务。草案中还确立了以“告知—同意”为核心的个人信息处理规则，即：处理个人信息应当在事先充分告知的前提下取得个人同意，并且个人有权撤回同意；重要事项发生变更的应当重新取得个人同意；不得以个人不同意为由拒绝提供产品或者服务。这意味着既要充分保障相关个人主体的知情权也要保障其对信息的自主决定权，从而双重保障个人信息安全。

　　此外，此次草案还设专节对处理敏感个人信息作出严格限制——只有在具有特定目的和充分必要性的情形下，方可处理敏感个人信息，并且应当取得个人单独同意或者书面同意。敏感个人信息包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。

　　社会各界普遍对个人信息保护法的出台充满期望。希望通过个人信息保护法的实施，在个人信息保护领域，构建起一个以网络安全法、数据安全法、个人信息保护法为核心，以民法典为依托的个人信息保护体系，彻底告别“信息裸奔”。

　　

　　个人信息保护任重而道远

　　当然，要真正实现个人信息保护，不是一部个人信息保护法颁布实施就万事大吉，即使形成一套法律体系，依然任重而道远。

　　在有关专业人士看来，除了立法之外，加强政府监管、充分发挥检察机关公益诉讼的作用也是十分必要的。

　　让人欣喜的是，近年来，政府相关部门一直在加大保护个人信息的力度，整治行业违法收集用户信息的乱象。

　　2019年，中央网信办、工信部等四部门联合发布公告，决定自2019年1月至12月，在全国范围组织开展App违法违规收集使用个人信息专项治理，取得明显成效。

　　此次专项治理，共对236款App运营者下发整改通知书，公开通报56款App、下架3款App。通过专项治理工作，公众常用App存在的无隐私政策、捆绑授权和强制索权、超范围收集使用个人信息等典型问题得到明显改善，App运营者履行个人信息保护责任义务的能力和水平得到有效提升。媒体问卷调查显示，76%的网民感到App个人信息收集使用问题得到改善，App个人信息收集使用行为规范向好。

　　为了巩固这次专项治理成果，2020年7月，App违法违规收集使用个人信息治理工作再次启动。

　　此外，由政府部门主导的《儿童个人信息网络保护规定》《个人信息安全规范》在2019年发布或更新，《汽车数据安全管理若干规定(征求意见稿)》已经完成并向社会公开征求意见，《网络安全审查办法》也于2020年6月1日正式实施。

　　在一些专家看来，检察机关除了发挥刑事检察职能打击侵犯个人信息犯罪行为外，还应发挥公益诉讼检察职能修复受损的公共利益，实现对个人信息的保护。

　　基层检察机关对于从受理的侵犯公民个人信息刑事案件中得到的公益诉讼案件线索，均可以在调查核实后履行相关程序，提起公益诉讼。

　　此外，随着全社会对于公民个人信息的保护日益重视，公民个人信息保护的单行立法正在提上日程，多地地方立法正将公民个人信息保护纳入检察公益诉讼案件范围，这些都对基层检察机关办理公民个人信息保护公益诉讼案件提出了更高的要求。

　　事实上，多数专家学者都注意到，在加强个人信息保护的同时，统筹兼顾信息产业发展的问题。

　　信息产业是未来中国经济的重要支柱产业之一，大数据技术、人工智能、区块链等都将是新的经济增长点。因此，在加大个人信息保护力度的同时，如何结合中国产业发展实际状况，促进技术创新、产业发展，平衡个人信息保护与产业发展的利益关系，成了摆在立法机关和执政者面前的一道难题。

　　泰和泰律师事务所律师廖怀学在接受媒体采访时，建议个人信息保护与促进数据资源利用并重。他说，个人一般信息和敏感信息对个人隐私保护和人身财产安全的重要程度有所不同，在进行个人信息保护立法时，应对二者进行区分并设置不同的同意、利用和流通规则，促进个人信息数据资源的充分开发和利用。

　　由此可见，个人信息保护是一项综合性的系统工程，需要社会各界共同努力。早日建立一套法律体系固然重要，但是加强政府监管、充分发挥检察机关公益诉讼的作用、促进行业自律和个人保护意识提升也不可缺少，只有多方形成合力，个人信息保护才能真正落到实处。