个人信息泄露 重灾区内房产租赁行业居首
“双11”期间狂轰乱炸的店铺促销信息、陌生电话打来的房屋推销,甚至是精确报出个人信息的网络诈骗……个人信息泄露已经延伸到了生活的每个角落,威胁着消费者的人身财产安全。11月18日,国家市场监管总局召开“守护消费”专项行动发布会表示,今年4月1日-9月30日期间,市场监管部门共立案查办各类侵害消费者个人信息案件1474件,查获涉案信息369.2万条,移送公安机关案件154件。
“我国目前个人信息领域执法比较偏重于对非法收集个人信息并进行销售牟利行为的处罚,但对于从非法渠道购买个人信息用于自身业务的行为关注较少。”北京安杰律师事务所合伙人杨洪泉告诉记者。避免个人信息泄露,需要商家的自律,更需要法律的落实和监管。
房产租赁行业居首
在专项执法行动中,房产租赁、装饰装修行业、教育培训行业是重灾区。国家市场监管总局执法稽查局局长杨红灿在发布会上介绍:“其中,房产租赁行业案件数量和涉案信息数量均列首位。共查办案件273件,涉案信息数量153.2万条,罚没款428.2万元。”
在10月底,执法稽查局发布了20个专项执法行动的典型案例。其中包括经营者收集用户信息存储并供员工使用、收集信息后贩卖等多种情况。如江苏省常熟市一月子中心向杨某购买在常熟市建卡和分娩的孕产妇个人信息,并通过微信联系客户拓展业务。自2017年5月起,违法购买的个人信息包括孕产妇姓名、孩子姓名、孩子性别、分娩日期、分娩医院、分娩方式、联系方式、户口住址、产后休养地址等,共计36741条。常熟市市场监督管理局依据《消费者权益保护法》第五十六条相关规定,对该中心予以行政处罚。
再如浙江省诸暨市某教育咨询有限公司未经消费者同意,非法收集、出售消费者个人信息。自2018年12月,该公司为了推销教育培训业务,非法购买3所小学的学生名册,包括姓名、电话、班级、学校等信息。同时为进一步牟取不当利益,该公司又将学生名册出售给他人。目前,该案已依法移交公安机关。
“我国目前个人信息领域执法比较偏重于对非法收集个人信息并进行销售牟利行为的处罚,但对于从非法渠道购买个人信息用于自身业务的行为关注较少。一个普遍的误解是,法律只处罚个人信息的销售方,而不处罚购买方。市场监督管理总局公布的典型案例,对指导实践有比较重要的意义。明确了一些具体违法行为的处罚依据,对照这些鲜活的案例,企业也可以判断其自身行为是否与这些案例相似,并判断法律风险。”杨洪泉告诉记者。
有效举证难题
个人隐私泄露导致的新型网络诈骗让人防不胜防。近日,李女士在北京君太百货的思加图品牌店铺通过信用卡刷卡购买了一双长靴,因为缺鞋码留下了自己的联系方式。一周后,李女士就收到了自称是品牌生产商的来电,称鞋子质量有问题需要召回。随后,该“生产商”以双倍理赔为名,通过金融借贷产品“借呗”骗取了李女士2万余元。
在北京警方联系李女士之后,她才意识到自己被骗了。报警后的第二天,“生厂商”的电话也无法再打通。目前案件已经进入侦查阶段。记者联系君太百货的该品牌店铺,店铺负责人表示:“不光本品牌,最近母公司百丽公司都有这个情况出现。目前已经报警了还在查。”
李女士的遭遇并非个例。11月18日,杨红灿在新闻发布会上介绍说,今年4月1日至9月30日期间,全国范围内开展了“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动。市场监管部门共立案查办各类侵害消费者个人信息案件1474件,查获涉案信息369.2万条,罚没款1946.4万元,移送公安机关案件154件,组织执法联动4225次,开展行政约谈3536次。
但在侦查此类案件中也存在一些难点。杨红灿介绍,这些违法行为往往具有隐蔽性,违法经营者往往通过便携式存储器、互联网等途径传递信息,并以电子文件形式,将消费者个人信息储存在网盘、电脑甚至在自己的手机中。消费者很难知道违法者的真实身份;其次,案件查办难度大。电子文档具有难发现、难固定、易销毁的特点。执法人员在查办案件的过程中,必须在第一时间综合运用控制现场、电子取证、询问当事人等多种手段,固定相关证据。稍有不慎,就会导致关键证据灭失。
信息泄露的渠道难以确认,责任如何认定?杨洪泉告诉记者:“从消费者角度来说,追究相关责任方的维权成本较高,消费者力量薄弱,没有相应技术措施,无法对平台或是其他方是否泄露个人信息进行有效举证。‘庞某诉东方航空(5.170, 0.03, 0.58%)和去哪儿网’一案所确立的原则有助于解决此类问题,在该案中,庞某无法举证究竟是东方航空还是去哪儿网泄露了其个人信息,导致该信息被不法分子用于诈骗庞先生,但二审法院认为,现有证据表明,‘去哪儿网’和东航公司存在泄露庞先生个人隐私信息的高度可能,故应当承担侵犯隐私权的相应侵权责任。”
过度收集引关注
除了房屋中介、教育机构等经营者非法收集用户信息,近来,各种手机App过度收集用户隐私信息的消息也频见报端。据中消协组织的相关调查显示,有85.2%的消费者都曾遭遇过手机App泄露个人信息的情况。上海市消协委也于近日对网购、旅游出行、生活服务三类App进行测评,发现52款热门App中有46款都存在获取系统相关敏感权限却无实际对应功能的问题。
例如,App申请获取诸如读取短信、发送短信、日历信息等与消费者个人隐私信息密切相关的敏感权限,却未在应用中进行使用。用户手机短信箱中,一般储存各种验证码、订票信息等重要内容,一旦泄露,可能会给消费者带来不可预测的风险。
现行的《消费者权益保护法》第二十九条提到,经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。
据此来看,对于“双11”期间大量的商家促销短信,杨洪泉认为,这可能存在两个原因,例如,消费者在注册相关电子商务平台时,点击确认了平台的隐私政策,而其中已包含允许平台或平台上的商户向消费者发送商业性信息的内容。消费者虽未特别注意到此项内容即接受确认,或尽管注意到了,但无奈之下只能点击确认,并不能否认该同意的存在;或者消费者从未对此行为表示同意,但相关商家从非法渠道获得消费者个人信息用于商业信息推送、或违反消费者同意超出信息收集使用范围向消费者进行商业信息推送。
因此,如何保证消费者能够“明确同意”或“明确拒绝”也是关键所在。App收集个人信息的“国标”也于今年8月向公众征求意见。《信息安全技术 移动互联网应用(App)收集个人信息基本规范(草案)》提出了最少信息和最小权限范围的概念,并明确了App收集个人信息的基本要求,包括不得收集与所提供的服务无关的个人信息、解决“注销难”问题等。各地也针对App违法采集个人信息进行专项整治工作。不过也有专家认为,由于目前网络安全法的规定较为原则,一些规则不够细化,执法监管、企业自律等方面都还存在一定困难。