个人信息买卖形成灰色链条 治理迫切程度前所未有

郭山泽/画

　　提起“棱镜门”、“OpenSSL心脏出血漏洞”，一些人或许会觉得陌生，和自己生活有距离，但提起垃圾邮件、论坛账号被盗、QQ被盗号、网银风险等，大部分网民恐怕不仅听说过，甚至还可能亲身经历过。事实上，上述现象无一例外都指向网民的个人信息甚至是隐私被泄露。根据中国互联网络信息中心(CNNIC)统计，截至2014年1月，中国的网民数量已经达到6.18亿。随着互联网与人们生活的日益紧密，以上所提到的各种状况或许会更加频繁地出现在大家身边。在今年“两会”的政府工作报告中，“维护网络安全”首次出现，不少业内人士认为，这意味着网络安全已上升到国家战略。但另一方面，网络上个人信息泄露事件仍层出不穷。

　　如何规范个人信息在网络中的流动，保护网民个人信息不被泄露、隐私不被侵犯？记者就此进行了采访。

　　现状：智能手机：收集个人信息的“手雷”

　　小尹是一个重度手机玩家，微博、微信、QQ一个都不少。好几个软件经常挂机的情况下，手机的电量也越来越不禁使。在朋友推荐下，小尹使用了一款可以关闭后台进程以及监视软件活动的安全软件。这一查看可不得了，根据这款软件显示，仅最新版的手机QQ就会使用到小尹手机的16项权限，这些权限包括短信记录、联系人记录、通话记录、定位、手机识别码、录音、拍照和录像、系统设置、彩信记录、发送短信、电话、通话状态、通话监听、开启移动网络、开启WIFI、开启蓝牙等。

　　“有些权限很好理解，比如录音、拍照和录像、定位等，但有的就不能接受了，为什么QQ要获取我的短信记录、联系人记录、通话记录、甚至还有通话监听？看完以后，我都不敢使用软件了。”小尹告诉记者。

　　一位手机游戏开发者告诉记者：“为了给用户提供更好的服务，工程师们需要尽可能多地了解用户使用软件时的场景，这就迫使开发者尽可能多地去搜集用户的个人信息。其中鱼龙混杂，不排除一些软件搜集了一些与软件本身功能无关的用户信息。像一些工具类软件如手电筒等，如果取得了用户的短信权限，通过软件内置的广告强迫用户定制一些不需要的增值服务，就有了可能。这种软件，我们一般都称它为流氓软件。”

　　“其实目前的智能手机都在不断收集用户的个人信息。市面上的智能手机主要分为以安卓为首的谷歌和以IOS为代表的苹果两大阵营。安卓平台较为开放，软件开发者可以进行一些权限的定制，苹果则较为封闭，通讯录、联系人等都是很高级别的权限，一般不对开发者开放，这也导致安卓平台上流氓软件大量泛滥。但要注意的是，在系统层面，谷歌和苹果自己的应用都掌握着最高的权限，这两家厂商其实都在不断搜集用户的个人信息，但这些信息被用到了什么地方？有没有侵犯用户的权利，那就得看这两家厂商的节操了。从某种意义上说，把智能手机比作冯小刚电影中的‘手雷’毫不为过。”这位开发者进一步解释道。

　　概念：个人信息 隐私

　　上述开发者也同时强调，绝大部分开发者是为了更好的用户体验才去收集用户的个人信息。事实上，网络间的信息流通在辨别用户时都要用到身份确认，个人信息很多是可以公开并进行交互使用的，更多的是方便用户使用而不是侵犯用户。

　　那么何为个人信息？何为隐私呢？

　　亚太网络法律研究中心主任研究员、北京师范大学法学院教授刘德良认为：“法律上讲，个人信息是指那些能够直接或者间接识别出某一特定自然人身份的信息，例如个人的姓名和照片，知情人一看就能识别的信息；还有一些信息是难以直接识别的，需要集合在一起才能推断出特定某个人信息，比如通过工作单位、性别、专业领域等等一系列信息链条的集合，可以明确某人身份的信息。前者是直接的，后者是间接的。”他的总结是，“个人信息是指能被他人识别某个特定自然人身份的信息。”

　　北京志霖律师事务所律师、中国互联网协会信用评价中心法律顾问赵占领也认为，用户个人信息是指能够单独使用或者与其他信息结合使用从而识别用户的信息。“通常，我们把个人姓名、职业、职务、年龄、婚姻状况、学历、专业资格、工作经历、家庭住址、电话号码、信用卡号码、指纹、网上登录账号、密码等都视为个人信息。”

　　“个人信息与隐私是两个不同的概念。只要具备身份识别性，即属于个人信息。隐私一般是指公民个人生活中不愿向他人公开或为他人知悉的秘密。从权利保护范围看，个人信息除了包含不能或者不适用于公开的私密信息以外，还包含大量的可公开信息。所以，这些个人信息是否属于隐私，还需要看其是否包含不适用于公开的秘密信息。”赵占领告诉记者。

　　刘德良同时强调：“隐私与个人的名誉和尊严有关系，一般是不允许别人搜集、试探、公开披露、传播使用的。隐私之外的个人信息，是可以允许他人认知的，比如通过电话进行采访，通过邮件通信。这些个人信息的价值和意义就在进行正常的社会交往活动。法律不是禁止这些信息的公开和传播，而是禁止这类信息的滥用行为。”

　　立法：各国都在探索

　　2013年7月，美国海外监听计划经前中情局雇员爱德华·斯诺登的揭露震惊世人。棱镜计划(PRISM)是一项由美国国家安全局(NSA)自2007年起开始实施的绝密电子监听计划。美国情报机构一直在九家美国互联网公司中进行数据挖掘工作，从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类：信息电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料的细节，其中包括两个秘密监视项目，一是监视、监听民众电话的通话记录，二是监视民众的网络活动。从欧洲到拉美，从传统盟友到合作伙伴，从国家元首通话到日常会议记录，监听无处不在。

　　棱镜门爆发后，无论是类似于美国国家安全局这样的政府部门搜集网民的个人信息，还是谷歌、微软、思科等大型跨国企业搜集网民个人信息，都得到了社会的空前关注。今年5月初，据美国媒体报道，美国白宫计划递交新法案，目的在于遏制大规模数据收集行为。据了解，新法案将不再授予NSA可大规模获取民众数据的权力，取而代之的则是特定的必要数据。新法案将改变NSA监控与信息收集的方式。在现通行的《FISA(外国情报监视法)透明度与现代化法案》下，NSA仍旧可大规模地收集数据。而《美国自由法案》却不赞成大规模的数据收集行为。

　　不论是支持或反对大规模数据收集的法案，白宫希望新法案能够保护民众的通信数据，井然有序地进行记录和合理地使用。

　　记者发现，在实际生活中，绝大多数人确实不知道自身哪些信息被搜集，也不清楚个人信息被搜集抓取是否导致隐私侵权，如何保护个人信息与隐私。

　　知名互联网安全企业360公司副总裁、中国互联网第一位首席隐私官谭晓生告诉记者：“说到个人隐私问题，中国有近40部法律都涉及到关于个人信息泄露的问题，但是法律里面就一两句话，难以真正地保护用户隐私，执法方面的操作余地很大。”

　　刘德良告诉记者，国内在对个人信息和隐私权二者的保护方面已有一些法律规范可依。例如，刑法修正案(七)第7条规定，窃取或者以其他方法非法获取公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。这是首次将公民个人信息纳入到刑法的保护范围，但何为“公民个人信息”，修正案并未予以明确。

　　赵占领也告诉记者：“侵权责任法第一次明确规定了隐私权的概念，但隐私权究竟包括哪些方面，目前还有待细化。”

　　刘德良指出：“侵权责任法对什么是隐私、隐私权的范围到底是什么，没有明确界定，导致大家对隐私及隐私权的概念在学术上、理论上和认识上都相对混乱。”

　　“而我国有关个人信息的立法则相对比较多、比较完善，包括刑法修正案七、《全国人大常委会关于加强网络信息保护的决定》、《电信与互联网用户个人信息保护规定》等。”赵占领指出，我国已经建立了保护个人信息的基本法律体系。

　　刘德良则认为，我国有关个人信息保护的法律或者一些部门规章是参照欧美法律制定的，在保护方式、规制方法上还缺少对诸如个人信息与隐私的区分，这事实上是不利于社会经济活动和正常的社会交往活动的。

　　未来：防范个人信息被互联网滥用

　　值得注意的是，在斯诺登事件中，谷歌、思科、微软等大型企业被爆曾协助NSA进行监听。而在国内，据有关部门公布的数据，基于网络的个人信息买卖已经形成了灰色链条，源头大多是有合法收集公民个人信息权的相关单位或部门“内鬼”，涉及金融、电信、教育、医院、国土、工商、民航等各个行业。那么坐拥6亿多网民的互联网会不会成为下一个网民个人信息、隐私大规模泄露的重灾区呢？

　　针对目前互联网公司及商家使用特定技术搜集个人信息数据，刘德良认为，一般情况下，商家搜集个人信息是出于商业营销或推广服务的，出于其他的非法目的的很少。也就是说，用户个人的联系方式和偏好是商家搜索的主要个人信息，搜集这些信息用于营销推广的目的。而买卖个人信息的卖方将信息卖给商家，从中获取利益的，这属于另外的情况。

　　360公司董事长周鸿�巳衔�，目前许多互联网公司巨头对于用户信息不尊重主要表现在认识的狭隘，因为很多公司认为“用户是我的，他们的信息自然也是我的”。但在周鸿�丝蠢矗�用户的信息是用户的个人资产。而在云时代和大数据时代，互联网公司给用户提供免费的服务，也会相应拿到用户的一些个人信息，但用户一定要有知情权和选择权，可以授权使用，也可以拒绝厂商提供的服务，如果用户对个人数据特别在意，就一定不能有超出用户许可的滥用数据的情况。此外，在用户的数据进行传输、交互时，必须要妥善地保管，如果黑客将某家互联网公司的服务器攻破了，无数人的数据遭到泄露，这会带来灾难性的结果。

　　周鸿�私ㄒ椋�在中国互联网企业中施行“用户信息安全三原则”，即第一，用户信息是用户的个人资产；第二，平等交换，授权使用；第三，安全传输，安全存储。

　　赵占领认为，目前最关键是遵守个人信息保护的法律规定，包括：制定用户个人信息收集、使用规则；充分保证用户的知情权，未经用户同意不得收集、使用用户个人信息；收集、使用用户个人信息的，应当明确告知用户收集、使用信息的目的、方式和范围，查询、更正信息的渠道以及拒绝提供信息的后果等事项；不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的；不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息；在用户终止合同后，应当停止对用户个人信息的收集和使用，并为用户提供注销号码或者账号的服务；对用户个人信息应当严格保密，不得泄露、篡改或者损毁，不得出售或者非法向他人提供。

　　刘德良认为，买卖行为本质上讲，侵犯的是用户个人信息的商业价值利用。首先是要区分个人信息和隐私，对严禁搜集的隐私采取保密原则，而隐私之外的个人信息要防止滥用，立法规制的重点也是防止滥用，以此来打击买卖个人信息的行为。只要遏制了滥用，买卖行为也就得到很大遏制。

　　对于手机用户防止信息外露，专家也做了提醒。手机安全专家朱翼鹏认为两点最重要：一、不要随意下载安装应用程序，特别是山寨软件。这类软件涉及隐私泄露的最多，应该通过正规安全渠道下载安装应用；二、手机安全软件可以对权限进行关闭，用户可以定期使用安全软件对手机进行检测，及时对应用程序申请的不必要权限进行管理限制。吴平 温雅云