评论:大数据时代保护个人信息须倒查源头

11月7日,十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》。作为我国网络领域的基础性法律,其备受关注和期待的一点是对个人信息进行了界定,并明确了网络运营者针对个人信息侵权的法律责任。这被认为是为预防“徐玉玉悲剧”再次上演提供了重要法律依据。

生活在大数据时代,有种流行说法叫“毫无隐私可言”。的确,从我们使用互联网那一刻起,就注定会留下各种“足迹”。比如检索的关键词可能暴露你的生活习惯、兴趣爱好,网购记录可能会暴露你的地址、联系电话和身份证信息等,甚至连平时浏览网页,也会于不知不觉中被机器悄然“跟踪”。从这个角度说,强化网络运营者的责任是必要的。

前几年,一些平台网站因为程序漏洞,致使大量用户个人信息被曝光。反思这些案例,固然有黑客恶意攻击等客观技术层面的原因,但运营者责任意识不强的问题也不容忽视。比如有运营者对用户注册的个人信息以“明文”方式存储,连基本的加密意识都没有,以致不法分子只要拿到一份数据表,就能以“撞库”的方式轻松获取同一账号在多个平台的访问权限,加剧了用户损失。此外,一些运营商忽视对员工的监督管理,导致一些用户信息被“随手”泄露乃至交易。凡此种种,无论是基于主观还是客观原因,都必须通过明确网络运营者法律责任的方式来倒逼管理责任。

不过,当我们强调大数据与个人信息安全之间密不可分关系的同时,也不能忽视问题的另一面,即个人信息作为个人隐私的一部分,不止存在于互联网虚拟世界中。在《网络安全法》表决通过的当天,湖北警方通报了一起倒卖个人信息案:当地一家以商务咨询名义的公司,近两年多次通过QQ和微信购买、倒卖公民个人信息共计30余万条,非法牟利18万余元。令人惊讶的是,其倒卖的已不止手机号、住址等常见个人信息,并且还有个人名下车辆、房产乃至手机定位,似乎只要买家肯出钱,没有对方提供不了的信息。

比起上网搜了一下“运动鞋”,而后有平台把相关网店作为“你可能感兴趣”的链接推荐,显然警方通报的案例所暴露的问题更严重。假如前者还算一种“漫天撒网”式利用个人信息的话,那么后一种就属“精准打击”。这样的现象在现实中比网络上更常见,比如你的车险快到期了,不仅买过保险的公司打来电话,没打过交道的保险公司也来电了。再看那家咨询公司的个人信息是怎么来的。报道中提到,当事人有时会通过营业厅熟人,有时会通过网友群“互通有无,资源共享”。依笔者看,追踪到最后恐怕都是那些登记、处理这些信息的工作人员,而这才是问题的关键。

在“徐玉玉案”中,人们看到了电信诈骗者利用个人信息制造的悲剧。但更值得追问的是,从接到教育部门发放助学金通知到收到诈骗电话,徐玉玉的个人信息在这个环节中是如何周转到骗子手里的?毕竟相比于浏览了哪些网页、搜索了哪些关键词,谁获得助学金好像没那么容易通过网络暴露。既然《网络安全法》已申明“任何个人和组织不得窃取或者以其他非法方式获取个人信息”,那么出于源头防范的考虑,恐怕不仅有承载这些信息的网络运营者的责任,还要以倒查的方式去找到现实中个人信息处理者的应有责任。