原標題：用戶該怎么捉數據泄露的“BUG”

　　近日，移動社交(jiao)平臺陌(mo)陌(mo)被爆(bao)有3000萬條(tiao)用(yong)(yong)戶(hu)(hu)(hu)數據在暗網(wang)（存(cun)儲在網(wang)絡數據庫里、但不能通過超(chao)鏈接訪問的(de)資(zi)源集合）上被售賣。賣家宣稱，這些數據包含用(yong)(yong)戶(hu)(hu)(hu)手機(ji)號(hao)、密碼(ma)等敏感信(xin)息。陌(mo)陌(mo)方面回應稱，網(wang)傳遭(zao)泄露的(de)數據為三年前(qian)的(de)數據，且(qie)跟(gen)陌(mo)陌(mo)用(yong)(yong)戶(hu)(hu)(hu)的(de)匹配度(du)極低。

　　11月30日，萬豪國(guo)際集團通過官(guan)方微博表示，旗下喜(xi)達(da)(da)屋酒店(dian)的(de)客房預訂數據庫被(bei)黑客入侵，多達(da)(da)5億人(ren)次(ci)的(de)詳細信息(xi)可(ke)能(neng)遭(zao)到泄露(lu)，其中(zhong)高達(da)(da)3.27億人(ren)次(ci)的(de)泄露(lu)信息(xi)包括名字、電話號碼、護照號碼、到達(da)(da)和離店(dian)信息(xi)等(deng)。而且，部(bu)(bu)分(fen)入住者的(de)信用(yong)卡支付卡號、支付有效(xiao)期(qi)也遭(zao)到泄露(lu)，雖然(ran)已(yi)經加密，但(dan)不能(neng)排(pai)除部(bu)(bu)分(fen)用(yong)戶(hu)可(ke)能(neng)遭(zao)遇財產風險。

　　隨著互聯(lian)網的(de)發展，許(xu)多(duo)用(yong)(yong)戶的(de)個人(ren)信(xin)(xin)息在不(bu)經意間(jian)就被(bei)獲(huo)取、存(cun)儲、交易(yi)、利用(yong)(yong)，與之相關的(de)數(shu)據泄(xie)露事件也頻(pin)頻(pin)發生(sheng)。但是，相應的(de)用(yong)(yong)戶維(wei)權過程(cheng)則非常艱難。由于(yu)取證難、訴訟(song)成(cheng)本高等，大多(duo)數(shu)用(yong)(yong)戶對自己的(de)隱(yin)私信(xin)(xin)息被(bei)泄(xie)露“敢怒不(bu)敢言”，許(xu)多(duo)企業也因成(cheng)本較高、監(jian)管較松(song)，并未履行好保護用(yong)(yong)戶個人(ren)信(xin)(xin)息的(de)責任。

　　鑒(jian)于上述困境，業內人(ren)士呼(hu)吁，個人(ren)信息保(bao)護領域的制度安排需要進(jin)一(yi)步細化(hua)、嚴格(ge)化(hua)，事前督促(cu)企業及(ji)時行(xing)動，事后懲(cheng)戒違(wei)法行(xing)為。

　　百部法律法規沒有堵住數據漏洞

　　據(ju)不(bu)完(wan)全統計，2018年每個季度都發生了規(gui)模巨大的(de)數(shu)據(ju)泄(xie)(xie)露(lu)事件。3月，Facebook上(shang)(shang)至少(shao)700萬條用戶信息被泄(xie)(xie)漏(lou)；6月，圓(yuan)通快遞10億條數(shu)據(ju)（含有收(shou)寄件人的(de)姓名、電話、地址(zhi)等隱私信息）在暗(an)網(wang)上(shang)(shang)被以1比(bi)特幣的(de)價格打包出(chu)售；8月，華(hua)住集團旗下多個連(lian)鎖酒店的(de)用戶數(shu)據(ju)在暗(an)網(wang)售賣，數(shu)據(ju)泄(xie)(xie)露(lu)總數(shu)接近5億條……

　　頻頻發生的(de)數據泄(xie)露(lu)事件，已經給每個(ge)(ge)網(wang)(wang)(wang)民帶來真實的(de)風險(xian)和(he)危害。中(zhong)國(guo)互聯(lian)網(wang)(wang)(wang)協會(hui)發布的(de)《中(zhong)國(guo)網(wang)(wang)(wang)民權益保護調查報告》顯示(shi)，僅2016年國(guo)內就有6.88億網(wang)(wang)(wang)民因垃圾短信(xin)(xin)、詐騙(pian)信(xin)(xin)息(xi)、個(ge)(ge)人(ren)信(xin)(xin)息(xi)泄(xie)露(lu)等造成經濟(ji)損失，估算(suan)達(da)915億元(yuan)。有54%的(de)網(wang)(wang)(wang)民認為個(ge)(ge)人(ren)信(xin)(xin)息(xi)泄(xie)露(lu)情況嚴重，有84%的(de)網(wang)(wang)(wang)民曾親身感受(shou)到(dao)因個(ge)(ge)人(ren)信(xin)(xin)息(xi)泄(xie)露(lu)帶來的(de)不良(liang)影響(xiang)。

　　數據泄(xie)露的“幽靈”如(ru)此(ci)活躍，如(ru)果保護個人信息(xi)的制度利器不(bu)能(neng)發揮作用，損(sun)失將會越來越大(da)。

　　目前(qian)，我國(guo)已經陸續頒布(bu)、實施(shi)了(le)(le)一(yi)系(xi)列保護個人信息(xi)的(de)(de)法律、法規，尤其(qi)是2017年正式實施(shi)的(de)(de)《網(wang)絡(luo)安(an)全法》，強調了(le)(le)中國(guo)境(jing)內網(wang)絡(luo)運營者對(dui)所收集(ji)到的(de)(de)個人信息(xi)應承擔的(de)(de)保護責任和違規處罰措施(shi)。但在用戶層面，據(ju)此開展(zhan)的(de)(de)維權行為仍(reng)然面臨重重困難(nan)。

　　首先，在(zai)“個人(ren)信(xin)息(xi)”的界定(ding)標準上，企業(ye)和(he)用戶的看(kan)法經常不(bu)一樣。中(zhong)國政(zheng)法大學知識(shi)(shi)產(chan)權中(zhong)心特約研(yan)究員趙占領表示，個人(ren)信(xin)息(xi)的關鍵定(ding)義是“具有(you)身(shen)(shen)份識(shi)(shi)別性(xing)”，可分(fen)為身(shen)(shen)份證(zheng)號碼(ma)等直接識(shi)(shi)別信(xin)息(xi)和(he)手(shou)機號碼(ma)等間接識(shi)(shi)別信(xin)息(xi)，但(dan)有(you)不(bu)少企業(ye)通過大數(shu)據分(fen)析(xi)，給用戶做鑒證(zheng)畫像(xiang)，這類行(xing)為是否屬(shu)于間接識(shi)(shi)別用戶個人(ren)信(xin)息(xi)？業(ye)內對(dui)此還(huan)有(you)不(bu)少爭議。

　　其次，用(yong)戶即使發現(xian)個人信息(xi)已遭泄(xie)露，想要取證(zheng)也非(fei)常艱(jian)難(nan)。中國社會科學(xue)院(yuan)法學(xue)所研(yan)究員呂艷濱指出，在大(da)多(duo)數情(qing)況下，用(yong)戶連企業是否獲取、如何獲取、獲取了多(duo)少自(zi)己的個人信息(xi)都很難(nan)找到證(zheng)據。

　　中國消費者協會11月28日發布的《100款(kuan)App個(ge)人信(xin)息收(shou)集與(yu)隱私(si)政策測(ce)評(ping)報告》顯(xian)示，開展測(ce)評(ping)的100款(kuan)App中多(duo)達91款(kuan)列出的權限涉(she)嫌“越界”，即(ji)存在過(guo)度(du)收(shou)集用戶(hu)個(ge)人信(xin)息的問(wen)題；僅有(you)53款(kuan)App的隱私(si)條(tiao)款(kuan)得(de)分(fen)(fen)達到及格分(fen)(fen)以上；有(you)13款(kuan)App具備隱私(si)條(tiao)款(kuan)，但得(de)分(fen)(fen)低于及格分(fen)(fen)；另有(you)超過(guo)三分(fen)(fen)之一（34款(kuan)）的App隱私(si)條(tiao)款(kuan)得(de)分(fen)(fen)為0，即(ji)未對用戶(hu)公(gong)布個(ge)人信(xin)息隱私(si)條(tiao)款(kuan)。

　　“我們面對的(de)(de)(de)(de)是(shi)很隱蔽的(de)(de)(de)(de)信息處理活動，究竟(jing)在哪個(ge)環(huan)節出的(de)(de)(de)(de)問題，究竟(jing)誰掌(zhang)握了我們的(de)(de)(de)(de)信息，怎么(me)處理的(de)(de)(de)(de)，怎么(me)泄漏的(de)(de)(de)(de)，這些都很難知道(dao)。”呂(lv)艷濱認為(wei)，關于個(ge)人信息保護中企業的(de)(de)(de)(de)責任(ren)，比如如何獲取、如何處理、如何保護等(deng)問題，我國現有法律只有原則性規定，并(bing)沒有具(ju)體解釋和行(xing)動指南，這在客(ke)觀上給用戶維權帶(dai)來了困(kun)難。

　　重慶大學網絡(luo)與大數據(ju)戰略研究(jiu)院院長(chang)齊愛民曾統計(ji)(ji)過，我國涉(she)及到個人信(xin)息的法律有50多(duo)(duo)部(bu)(bu)，行(xing)政法規40多(duo)(duo)部(bu)(bu)，司(si)法解釋(shi)或者文件40多(duo)(duo)部(bu)(bu)，部(bu)(bu)門規章更是(shi)多(duo)(duo)達700多(duo)(duo)部(bu)(bu)。但(dan)是(shi)眾多(duo)(duo)法律法規并沒有形成完整體(ti)系，如此松(song)散的制度設計(ji)(ji)導致用戶維權難、企業違法行(xing)為難以認定(ding)、監管不到位等情況。

　　公益訴訟是信息保護的利劍嗎

　　就在(zai)我國的(de)用戶和(he)法律人(ren)士為個(ge)人(ren)信息保護舉證難犯愁之際，一些數據泄(xie)露事件的(de)當事企業(ye)已經(jing)陷入一些國家的(de)用戶群體和(he)法律人(ren)士提(ti)起的(de)訴訟。

　　萬豪(hao)集(ji)團宣布其5億客(ke)戶(hu)信息泄露(lu)之后的(de)幾個(ge)小時，兩位來自美國(guo)俄勒(le)岡州的(de)萬豪(hao)酒店(dian)客(ke)戶(hu)提起(qi)了集(ji)體訴訟，索(suo)賠125億美元(yuan)——5億受到影(ying)響的(de)客(ke)戶(hu)每人25美元(yuan)，另有兩家位于美國(guo)馬(ma)里蘭州的(de)律師事務所對萬豪(hao)集(ji)團提起(qi)了第二起(qi)集(ji)體訴訟。

　　我國并沒有與美國一(yi)樣的集體(ti)訴(su)(su)訟(song)制(zhi)度，但設立了與之類(lei)似的共(gong)同訴(su)(su)訟(song)與代(dai)表(biao)人(ren)訴(su)(su)訟(song)制(zhi)度。若某行(xing)(xing)為(wei)人(ren)實施了侵害他人(ren)的侵權行(xing)(xing)為(wei)，被侵權人(ren)主(zhu)體(ti)為(wei)2-10人(ren)，則適(shi)用共(gong)同訴(su)(su)訟(song)制(zhi)度，這些被侵權人(ren)可以選(xuan)擇一(yi)同起訴(su)(su)。如(ru)果當(dang)事人(ren)一(yi)方人(ren)數眾多（超(chao)過10人(ren)），可由當(dang)事人(ren)推選(xuan)代(dai)表(biao)人(ren)進行(xing)(xing)訴(su)(su)訟(song)。

　　但在(zai)現實案(an)(an)例中(zhong)，我國的共同訴訟(song)更多(duo)地在(zai)環(huan)境保(bao)(bao)護(hu)、消費者權益保(bao)(bao)護(hu)等案(an)(an)件中(zhong)得以應(ying)用，個人(ren)信(xin)息保(bao)(bao)護(hu)領域較(jiao)(jiao)少出(chu)現。除了在(zai)證(zheng)券(quan)市場，規(gui)模較(jiao)(jiao)大(da)的代表人(ren)訴訟(song)也(ye)很(hen)少見，司法機關對人(ren)數眾多(duo)的訴訟(song)仍然保(bao)(bao)持謹慎(shen)態度。

　　北京(jing)潮陽律師(shi)(shi)事(shi)(shi)務(wu)所律師(shi)(shi)胡鋼(gang)認為，在眾多(duo)數據(ju)泄露事(shi)(shi)件中(zhong)，用戶本(ben)(ben)人可能并(bing)不知(zhi)道自己的信息已經泄露，即便知(zhi)曉，維權的可選(xuan)項(xiang)也實在有限。因此，他建議擴大(da)此類事(shi)(shi)件中(zhong)的公益訴(su)訟(song)比重，由消費者(zhe)權益保護組織或相關行(xing)政機關、檢察(cha)院代(dai)表特定消費者(zhe)提(ti)起公益性(xing)訴(su)訟(song)，從而(er)解決個(ge)人取證能力差、訴(su)訟(song)成(cheng)本(ben)(ben)過高、涉(she)及(ji)人員眾多(duo)等問題。

　　此前，個人(ren)(ren)信息保護的公益(yi)訴訟已有全國首(shou)個案例。2017年(nian)12月，江蘇(su)省消(xiao)費(fei)者權(quan)益(yi)保護委員會對北(bei)京百(bai)度網訊科技有限公司涉嫌違(wei)法(fa)獲取消(xiao)費(fei)者個人(ren)(ren)信息及相關問題提(ti)起消(xiao)費(fei)民事公益(yi)訴訟。2018年(nian)1月2日，南(nan)京市(shi)中級人(ren)(ren)民法(fa)院正式立案。

　　不過，這一案例并未(wei)進入實質訴訟階段。3月(yue)，江蘇(su)省消保委宣布，鑒(jian)于百(bai)度公司(si)對App整改到位，其(qi)已(yi)向南(nan)京(jing)中(zhong)院提交了該案的《撤訴申請(qing)書(shu)》，南(nan)京(jing)中(zhong)院隨(sui)后準予了這一申請(qing)。

　　齊愛民表(biao)示，雖然因(yin)為制(zhi)度和現實原因(yin)，公益訴訟在我國個人信息保護(hu)領(ling)域(yu)運用得很(hen)少，但一旦運用，其必將產生直接作用。上述(shu)案例也表(biao)明，消協具有對該類行(xing)為提起訴訟的權力，對其他(ta)企業(ye)也起到了警示作用。

　　“我(wo)們應該(gai)給消費者(zhe)傳達最簡單(dan)的(de)聲音，給予最直接有效(xiao)的(de)幫助，不應該(gai)讓消費者(zhe)去(qu)操心具體(ti)復(fu)雜的(de)操作步(bu)驟(zou)，被迫(po)成(cheng)為法律(lv)專家(jia)。”胡鋼(gang)表示，個人信息保護法已經列(lie)入(ru)本屆全國人大常委(wei)會立(li)法規劃，下一步(bu)應優先強化個人信息保護案(an)件中(zhong)的(de)民事責任賠償制度。

　　在國外案(an)例中，個人信息(xi)侵(qin)權(quan)的集(ji)體(ti)(ti)訴訟案(an)件(jian)經(jing)常會達成和解(jie)。例如(ru)，2016年雅虎被曝出大規模被黑客盜(dao)取用戶數據事件(jian)，隨(sui)后遭到多個國家消費者的集(ji)體(ti)(ti)訴訟，后來雅虎與原告方達成和解(jie)協議，共(gong)賠償8500萬(wan)美元。

　　呂(lv)艷濱指出，國(guo)外的(de)很多案例(li)之所以達成和解，是因為訴訟(song)后這(zhe)些企(qi)業(ye)可能要付出更大代價，也可能面臨主(zhu)管部門開出的(de)數倍罰單(dan)。事實上，今(jin)年5月生效、以數據隱私保護為宗旨的(de)歐盟《通用(yong)數據保護條(tiao)例(li)》（GDPR）就規定，一旦違反該(gai)法案，企(qi)業(ye)將(jiang)被處(chu)以1000萬(wan)到(dao)2000萬(wan)歐元(yuan)，或全球年營業(ye)額2%到(dao)4%的(de)高(gao)額行(xing)政(zheng)罰款。

　　但(dan)很遺憾的(de)是，我(wo)國(guo)尚缺乏(fa)此類嚴厲的(de)行(xing)政處(chu)罰制度(du)。“這樣(yang)就沒辦(ban)法把違法企業(ye)拉到談判桌上。”呂(lv)艷濱建議，主(zhu)管(guan)部門(men)應該從源(yuan)頭治(zhi)理入手，通過制度(du)細則(ze)明(ming)確(que)哪些企業(ye)可以(yi)以(yi)何(he)種方式掌握用戶(hu)個人(ren)(ren)信息，以(yi)及這類信息可以(yi)怎(zen)么共(gong)享(xiang)，應如何(he)保障其安全，對個人(ren)(ren)信息獲取(qu)、共(gong)享(xiang)、利用的(de)全過程建立透(tou)明(ming)的(de)、統一的(de)規(gui)則(ze)。（記(ji)者 王林 實習(xi)生 陳(chen)美凝(ning)）

【糾錯】

責任編輯： 聶晨靜