近日，移動社交平臺陌陌被爆有3000萬條用戶數(shù)據(jù)在暗網(wǎng)(存儲在網(wǎng)絡(luò)數(shù)據(jù)庫里、但不能通過超鏈接訪問的資源集合)上被售賣。賣家宣稱，這些數(shù)據(jù)包含用戶手機號、密碼等敏感信息。陌陌方面回應(yīng)稱，網(wǎng)傳遭泄露的數(shù)據(jù)為三年前的數(shù)據(jù)，且跟陌陌用戶的匹配度極低。

11月30日，萬豪國際集團通過官方微博表示，旗下喜達屋酒店的客房預(yù)訂數(shù)據(jù)庫被黑客入侵，多達5億人次的詳細(xì)信息可能遭到泄露，其中高達3.27億人次的泄露信息包括名字、電話號碼、護照號碼、到達和離店信息等。而且，部分入住者的信用卡支付卡號、支付有效期也遭到泄露，雖然已經(jīng)加密，但不能排除部分用戶可能遭遇財產(chǎn)風(fēng)險。

隨著互聯(lián)網(wǎng)的發(fā)展，許多用戶的個人信息在不經(jīng)意間就被獲取、存儲、交易、利用，與之相關(guān)的數(shù)據(jù)泄露事件也頻頻發(fā)生。但是，相應(yīng)的用戶維權(quán)過程則非常艱難。由于取證難、訴訟成本高等，大多數(shù)用戶對自己的隱私信息被泄露“敢怒不敢言”，許多企業(yè)也因成本較高、監(jiān)管較松，并未履行好保護用戶個人信息的責(zé)任。

鑒于上述困境，業(yè)內(nèi)人士呼吁，個人信息保護領(lǐng)域的制度安排需要進一步細(xì)化、嚴(yán)格化，事前督促企業(yè)及時行動，事后懲戒違法行為。

百部法律法規(guī)沒有堵住數(shù)據(jù)漏洞

據(jù)不完全統(tǒng)計，2018年每個季度都發(fā)生了規(guī)模巨大的數(shù)據(jù)泄露事件。3月，F(xiàn)acebook上至少700萬條用戶信息被泄漏;6月，圓通快遞10億條數(shù)據(jù)(含有收寄件人的姓名、電話、地址等隱私信息)在暗網(wǎng)上被以1比特幣的價格打包出售;8月，華住集團旗下多個連鎖酒店的用戶數(shù)據(jù)在暗網(wǎng)售賣，數(shù)據(jù)泄露總數(shù)接近5億條……

頻頻發(fā)生的數(shù)據(jù)泄露事件，已經(jīng)給每個網(wǎng)民帶來真實的風(fēng)險和危害。中國互聯(lián)網(wǎng)協(xié)會發(fā)布的《中國網(wǎng)民權(quán)益保護調(diào)查報告》顯示，僅2016年國內(nèi)就有6.88億網(wǎng)民因垃圾短信、詐騙信息、個人信息泄露等造成經(jīng)濟損失，估算達915億元。有54%的網(wǎng)民認(rèn)為個人信息泄露情況嚴(yán)重，有84%的網(wǎng)民曾親身感受到因個人信息泄露帶來的不良影響。

數(shù)據(jù)泄露的“幽靈”如此活躍，如果保護個人信息的制度利器不能發(fā)揮作用，損失將會越來越大。

目前，我國已經(jīng)陸續(xù)頒布、實施了一系列保護個人信息的法律、法規(guī)，尤其是2017年正式實施的《網(wǎng)絡(luò)安全法》，強調(diào)了中國境內(nèi)網(wǎng)絡(luò)運營者對所收集到的個人信息應(yīng)承擔(dān)的保護責(zé)任和違規(guī)處罰措施。但在用戶層面，據(jù)此開展的維權(quán)行為仍然面臨重重困難。

首先，在“個人信息”的界定標(biāo)準(zhǔn)上，企業(yè)和用戶的看法經(jīng)常不一樣。中國政法大學(xué)知識產(chǎn)權(quán)中心特約研究員趙占領(lǐng)表示，個人信息的關(guān)鍵定義是“具有身份識別性”，可分為身份證號碼等直接識別信息和手機號碼等間接識別信息，但有不少企業(yè)通過大數(shù)據(jù)分析，給用戶做鑒證畫像，這類行為是否屬于間接識別用戶個人信息?業(yè)內(nèi)對此還有不少爭議。

其次，用戶即使發(fā)現(xiàn)個人信息已遭泄露，想要取證也非常艱難。中國社會科學(xué)院法學(xué)所研究員呂艷濱指出，在大多數(shù)情況下，用戶連企業(yè)是否獲取、如何獲取、獲取了多少自己的個人信息都很難找到證據(jù)。

中國消費者協(xié)會11月28日發(fā)布的《100款A(yù)pp個人信息收集與隱私政策測評報告》顯示，開展測評的100款A(yù)pp中多達91款列出的權(quán)限涉嫌“越界”，即存在過度收集用戶個人信息的問題;僅有53款A(yù)pp的隱私條款得分達到及格分以上;有13款A(yù)pp具備隱私條款，但得分低于及格分;另有超過三分之一(34款)的App隱私條款得分為0，即未對用戶公布個人信息隱私條款。

“我們面對的是很隱蔽的信息處理活動，究竟在哪個環(huán)節(jié)出的問題，究竟誰掌握了我們的信息，怎么處理的，怎么泄漏的，這些都很難知道。”呂艷濱認(rèn)為，關(guān)于個人信息保護中企業(yè)的責(zé)任，比如如何獲取、如何處理、如何保護等問題，我國現(xiàn)有法律只有原則性規(guī)定，并沒有具體解釋和行動指南，這在客觀上給用戶維權(quán)帶來了困難。

重慶大學(xué)網(wǎng)絡(luò)與大數(shù)據(jù)戰(zhàn)略研究院院長齊愛民曾統(tǒng)計過，我國涉及到個人信息的法律有50多部，行政法規(guī)40多部，司法解釋或者文件40多部，部門規(guī)章更是多達700多部。但是眾多法律法規(guī)并沒有形成完整體系，如此松散的制度設(shè)計導(dǎo)致用戶維權(quán)難、企業(yè)違法行為難以認(rèn)定、監(jiān)管不到位等情況。

公益訴訟是信息保護的利劍嗎

就在我國的用戶和法律人士為個人信息保護舉證難犯愁之際，一些數(shù)據(jù)泄露事件的當(dāng)事企業(yè)已經(jīng)陷入一些國家的用戶群體和法律人士提起的訴訟。

萬豪集團宣布其5億客戶信息泄露之后的幾個小時，兩位來自美國俄勒岡州的萬豪酒店客戶提起了集體訴訟，索賠125億美元——5億受到影響的客戶每人25美元，另有兩家位于美國馬里蘭州的律師事務(wù)所對萬豪集團提起了第二起集體訴訟。

我國并沒有與美國一樣的集體訴訟制度，但設(shè)立了與之類似的共同訴訟與代表人訴訟制度。若某行為人實施了侵害他人的侵權(quán)行為，被侵權(quán)人主體為2-10人，則適用共同訴訟制度，這些被侵權(quán)人可以選擇一同起訴。如果當(dāng)事人一方人數(shù)眾多(超過10人)，可由當(dāng)事人推選代表人進行訴訟。

但在現(xiàn)實案例中，我國的共同訴訟更多地在環(huán)境保護、消費者權(quán)益保護等案件中得以應(yīng)用，個人信息保護領(lǐng)域較少出現(xiàn)。除了在證券市場，規(guī)模較大的代表人訴訟也很少見，司法機關(guān)對人數(shù)眾多的訴訟仍然保持謹(jǐn)慎態(tài)度。

北京潮陽律師事務(wù)所律師胡鋼認(rèn)為，在眾多數(shù)據(jù)泄露事件中，用戶本人可能并不知道自己的信息已經(jīng)泄露，即便知曉，維權(quán)的可選項也實在有限。因此，他建議擴大此類事件中的公益訴訟比重，由消費者權(quán)益保護組織或相關(guān)行政機關(guān)、檢察院代表特定消費者提起公益性訴訟，從而解決個人取證能力差、訴訟成本過高、涉及人員眾多等問題。

此前，個人信息保護的公益訴訟已有全國首個案例。2017年12月，江蘇省消費者權(quán)益保護委員會對北京百度網(wǎng)訊科技有限公司涉嫌違法獲取消費者個人信息及相關(guān)問題提起消費民事公益訴訟。2018年1月2日，南京市中級人民法院正式立案。

不過，這一案例并未進入實質(zhì)訴訟階段。3月，江蘇省消保委宣布，鑒于百度公司對App整改到位，其已向南京中院提交了該案的《撤訴申請書》，南京中院隨后準(zhǔn)予了這一申請。

齊愛民表示，雖然因為制度和現(xiàn)實原因，公益訴訟在我國個人信息保護領(lǐng)域運用得很少，但一旦運用，其必將產(chǎn)生直接作用。上述案例也表明，消協(xié)具有對該類行為提起訴訟的權(quán)力，對其他企業(yè)也起到了警示作用。

“我們應(yīng)該給消費者傳達最簡單的聲音，給予最直接有效的幫助，不應(yīng)該讓消費者去操心具體復(fù)雜的操作步驟，被迫成為法律專家。”胡鋼表示，個人信息保護法已經(jīng)列入本屆全國人大常委會立法規(guī)劃，下一步應(yīng)優(yōu)先強化個人信息保護案件中的民事責(zé)任賠償制度。

在國外案例中，個人信息侵權(quán)的集體訴訟案件經(jīng)常會達成和解。例如，2016年雅虎被曝出大規(guī)模被黑客盜取用戶數(shù)據(jù)事件，隨后遭到多個國家消費者的集體訴訟，后來雅虎與原告方達成和解協(xié)議，共賠償8500萬美元。

呂艷濱指出，國外的很多案例之所以達成和解，是因為訴訟后這些企業(yè)可能要付出更大代價，也可能面臨主管部門開出的數(shù)倍罰單。事實上，今年5月生效、以數(shù)據(jù)隱私保護為宗旨的歐盟《通用數(shù)據(jù)保護條例》(GDPR)就規(guī)定，一旦違反該法案，企業(yè)將被處以1000萬到2000萬歐元，或全球年營業(yè)額2%到4%的高額行政罰款。

但很遺憾的是，我國尚缺乏此類嚴(yán)厲的行政處罰制度。“這樣就沒辦法把違法企業(yè)拉到談判桌上。”呂艷濱建議，主管部門應(yīng)該從源頭治理入手，通過制度細(xì)則明確哪些企業(yè)可以以何種方式掌握用戶個人信息，以及這類信息可以怎么共享，應(yīng)如何保障其安全，對個人信息獲取、共享、利用的全過程建立透明的、統(tǒng)一的規(guī)則。