'對話專家：重拳打擊遏制個人信息販賣'

對話人

北京師範大學法學院教授 劉德良

中國傳媒大學文法學部法律系副主任 鄭 寧

《法制日報》記者 韓丹東

《法制日報》實習生 姜 珊

嚴控傳播渠道

加大整治力度

記者:騷擾電話為何一直存在?該如何治理?

劉德良:目前我國關於騷擾電話的法律規範,嚴格來講是沒有的,因為騷擾電話本身並非法律概念。騷擾電話大多數屬於商業推銷或營銷,是廣告行為。

一方面,騷擾電話打擊難,難以找到騷擾電話的撥打者,而且對撥打者來講成本特別低。另一方面,缺乏明確的、有針對性的法律規範,雖然有一些專項治理,但專項治理非長效機制。

鄭寧:首先,嚴控騷擾電話傳播渠道。一是加強語音線路和碼號資源管理,各基礎電信企業要按照“誰接入誰負責”的原則,嚴格語音線路和“95”“96”“400”等碼號資源的用戶資質審查,規範資源使用,全面掌握使用主體、接入位置、資源用途、允許傳送的主叫號碼等信息,定期排查語音中繼、互聯網專線接入,杜絕違規使用線路資源的行為,嚴禁為非法經營、超範圍經營提供線路資源和業務接入。二是加強電話用戶合同約束。各基礎電信企業要完善個人用戶和集團用戶的合同管理,規範用戶通信行為,對重點地區號碼使用從嚴管理。三是全面規範營銷外呼業務。呼叫中心企業要對經營資質、自營和外包業務進行全面規範,包括業務名稱、業務委託主體、業務類型、外呼業務號碼等。四是全面清理各類騷擾軟件。各互聯網企業要全面清理網上“呼死你”等騷擾軟件和設備信息,切斷相關軟硬件推廣、銷售和使用渠道。

其次,全面提升技術防範能力。基礎電信企業一方面要嚴格規範企業客戶可以使用的號段範圍,嚴禁利用透傳技術虛擬主叫號碼或自行修改主叫號碼,對未通過鑑權的呼叫一律進行攔截,按照相關規定和時限要求,留存通信數據,配合做好通話溯源倒查工作；另一方面要加強騷擾電話攔截配套技術系統建設,利用雲計算、大數據等技術手段,加強數據共享能力建設,提升騷擾電話識別和攔截能力。同時,移動智能終端製造企業應支持手機終端配備防騷擾電話能力。另外,電信管理機構指導各相關單位,充分利用現有全國詐騙電話防範系統和網間互聯互通監測系統,增強騷擾電話監測和標註等相關功能,建立聯動工作機制。探索建立全國防騷擾信息綜合服務平臺,統計分析用戶對各類商業營銷信息的接收意願,引導基礎電信企業、移動轉售企業、呼叫中心企業等加強對商業性電子信息的規範傳播。

再次,規範重點行業商業營銷行為。第一,中國銀行保險監督管理委員會、中國證券監督管理委員會依職責分工,加強對金融機構和從業人員的監督管理,嚴格規範貸款、理財、信用卡等業務的電話營銷行為,督促金融機構對其委託的第三方機構的電話營銷行為加強管理。第二,住房和城鄉建設部牽頭,加強對房地產開發企業、房地產經紀機構和房地產經紀人員的監督管理,嚴格落實中介機構備案制度,嚴格規範電話營銷行為。第三,國家衛生健康委員會、國家市場監督管理總局等依職責分工負責,加強醫療機構和保健食品生產經營企業依法執業(經營)監管。第四,人力資源和社會保障部、文化和旅遊部等依職責分工負責,加強對人力資源服務、旅遊等行業、企業和從業人員的事中事後監管,配合相關部門健全完善商業信息發佈管理制度,嚴格規範電話營銷行為。

最後,依法懲處違法犯罪。由公安部牽頭,集中偵破一批利用電話實施詐騙、敲詐勒索等違法犯罪案件。對明知從事違法犯罪活動,仍提供網絡、技術、線路等服務的企業和人員依法嚴懲。依法嚴厲打擊各行政機關和電信、金融、醫療、教育、物業、物流、寄遞等重點單位工作人員非法出售或者向他人提供公民個人信息的違法犯罪行為。

提高違法成本

增強源頭保護

記者:騷擾電話源於個人信息洩露,談到個人信息洩露就要提及個人信息買賣。那麼應該如何打擊買賣個人信息的行為?

鄭寧:根據《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規定,公民個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯繫方式、住址、賬號密碼、財產狀況、行蹤軌跡等。

要嚴厲打擊買賣個人信息的行為,首先是提高違法成本,重拳打擊遏制黑產態勢,完善刑事責任和行政監管體系。

一方面,加大刑事責任打擊力度。隨著互聯網技術進一步低門檻化,網絡黑產特別是盜取用戶個人隱私數據相關的犯罪成本大幅下降。搭建一個用來收集個人隱私的網站,成本不過千元,但調查取證定罪的標準卻極高。盜取販賣個人隱私定罪難,量刑輕,對黑產犯罪分子難以形成震懾效應。

另一方面,建立數據保護的行政監管體系,加強對企事業單位收集、處理、保管個人信息的規範,對行業實踐進行監督指導。由於我國目前沒有制定統一的個人數據保護法,分散立法模式下,多個監管部門都具有個人數據執法職能,衛生部門、工商總局等機構分別負責各自領域的個人信息保護工作。目前的分散立法無法解決監管邊界的重合和執法實踐缺失的問題,個人信息保護的抽象原則難以落實到具體的行業實踐和執法行動中。

其次是產業各鏈條聯合協作。一是構建產業鏈上下游的信息安全管理體系。二是推動政府、企業、社會三方個人信息安全生態共治協作。三是需要聯合產業各個鏈條,搭建由政府、行業機構、科研院所、互聯網產業、安全產品提供商、服務企業等各方力量組成的多主體網絡安全生態圈,風險與責任共擔。

再次,加強源頭性保護,增強企事業單位信息安全防護責任和能力。許多個人信息洩露案例表明,企事業單位用戶數據安全管理機制不完善是導致數據洩露事件的主要原因。網絡安全法第四十二條和第六十四條規定了網絡運營者保護用戶個人數據安全的義務和違反規定需要承擔的責任,從法律上明確提出了企事業單位建立數據安全管理機制的責任要求。這就要求收集用戶個人信息的企事業單位切實加強信息安全能力建設,完善信息系統安全防護措施,加強信息系統合規、合資質要求,避免用戶個人信息的大規模洩露。

企業內部應建立一整套嚴格的管控流程,創新技術,實現數據安全管控；建立完善個人數據洩露危機的應急預案,與監管部門建立應急溝通機制；對敏感數據進行脫敏、匿名化、去標識化處理,建立數據匿名和化名處理的標準,在數據洩露的情況下,確保個人信息的安全；加強員工的信息安全防護意識培養,對員工違規獲取、使用、傳播用戶數據的行為早發現、早處理,避免用戶個人信息洩露擴大化；打擊個人隱私數據販賣還需要從解決數據利用需求入手,進一步明確大數據交易企業行為規則和標準,明確合法與非法的邊界,推動大數據交易的健康發展。

最後,加深用戶自我保護意識,利用舉報渠道積極交流。

用戶對個人隱私重視程度嚴重不足,自我保護能力不夠,已經成為影響產業安全的主因之一。一方面,用戶以自己的隱私為代價,交換移動應用的使用；過度分享自己的位置信息、個人身份信息、安裝使用不具數據保護能力的移動應用,為網絡犯罪分子提供可乘之機。另一方面,用戶在發現過度收集個人隱私數據等黑產行為時,舉報意識不強,舉證能力不夠,成為此類黑產治理難點之一。

培養用戶舉報意識和習慣,政府與平臺積極聯動配合,才能真正做到切斷數據洩露源頭,積極發現洩露與販賣情報,精準打擊違法犯罪。