记者专访北京市惠诚律师事务所律师赵占领——
“保护个人信息安全,公益诉讼是个有效的新武器”
【人物档案】
赵占领:北京市惠诚律师事务所律师、中国互联网协会信用评价中心法律顾问,经济之声特约评论员、《天天315》节目特邀法律专家,关注IT法律、知识产权与投融资法律。
携程网或将受到行政处罚
记者:请评价一下此次携程网泄密事件的性质和影响,以及携程网的处置方式。
赵占领:这无疑是近期发生的一起比较典型的互联网重大信息安全事件。
携程网的处理和应对还是比较及时的,连续发了几则声明,也给出了处理方案,包括道歉、赔偿的方案,比较有危机公关意识。
记者:如果最终确认携程网是故意违规存储用户敏感信息,这一行为属于什么性质?
赵占领:首先要明确的是,此次携程网泄密事件,应该不涉及刑事犯罪。
根据《中华人民共和国刑法修正案(七)》,要构成“出售、非法提供公民个人信息罪”或“非法获取公民个人信息罪”等罪名,应该是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人”,这一规定同时也包含了单位犯罪,“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚”,即企业要主动泄露信息,才构成犯罪。
此次事件中,携程网是存在安全漏洞隐患,并不是主动泄露用户个人信息,所以企业本身不用承担刑事责任。
其次,携程网可能要承担对用户的民事赔偿责任,因为携程网与用户之间有服务合同关系,有安全保障义务。
携程网可能还要承担行政责任。2012年颁布的 《全国人民代表大会常务委员会关于加强网络信息保护的决定》以及去年工业和信息化部颁布的《电信和互联网用户个人信息保护规定》,明确规定了作为经营者搜集和存储个人信息,要经过用户知情和同意,企业搜集和存储个人信息一定要是提供服务所必需的,并且要采取必要措施确保信息安全。
而此次携程网留存了不是必须留存的个人敏感信息,在留存后也没有尽到保障义务,违反了上述两个规定,就可能要面临来自电信管理部门相应的行政处罚。
受损用户很难有效举证要求赔偿
记者:携程网承诺“未来如果因安全漏洞引起用户损失,携程将承担全部责任并给予赔付”,但现实中可能用户很难举证自己的损失与携程的安全漏洞有关,您怎么看待这一现象?
赵占领:确实存在这样的问题。虽然目前没有盗刷现象,但这一漏洞是否真的没有造成实际泄露与损害,到现在也不能完全确定;如果确认有用户受到了实际损失,也很难去证明这一损失就是由于携程漏洞泄露CVV码导致的,因为这种举证是非常困难的。
所以,携程网虽然承诺如果因该漏洞造成用户损失即承担全部责任并赔偿,但其实对用户来说操作起来很难。
违法成本低,起诉成本高
记者:近些年,涉及互联网企业泄露公民个人信息的现象有哪几种?分别属于什么性质的行为?
赵占领:互联网企业泄密事件,一般分为主动和被动两种情况。其中,主动泄露和倒卖个人信息的行为,又具体分为两种情况,即员工个人行为,或单位行为。员工个人行为构成个人犯罪;单位行为构成单位犯罪,对直接负责人追究刑事责任,对单位判处罚金。
互联网企业被动泄露个人信息,可能存在很多原因,有的是企业存在技术和管理漏洞导致的信息泄露;有的是已经尽到了基本保障义务,但被黑客攻破泄露信息,这种情况下企业就没有责任。
从主体角度出发还有一种类型划分:一类是由于用户原因,比如个人安全意识缺乏、上网操作不当等原因导致的信息泄露;另一类则是由于企业、经营者的原因造成的信息泄露。
记者:面对我国互联网企业泄密事件频发的现象,我国现有的法律体系足够完善吗?在法律层面存在哪些亟待改进的问题?
赵占领:在立法方面,从2008年以后,我国关于个人信息保护的立法非常多,比如《中华人民共和国刑法修正案(七)》、全国人大常委会及工业和信息化部出台的规定、《中华人民共和国侵权责任法》,还有今年3月15日刚实施的新《消费者权益保护法》等等,都有相关规定。应当说在个人信息保护方面,我国基本法律框架是有的,立法水平也比较高。
我认为现阶段法律层面最关键的问题就是,对于违法犯罪分子来讲,目前的违法成本很低。现在个人信息保护,有刑事、行政、民事3种法律保护途径。由于刑事手段最为严厉,实施起来最为严格,目前来看立案较少,真正查处的案件也比较少;民事途径上,对用户来说维权很困难,因为成本很高,举证也很困难;行政途径上,以前的老问题是监管机构和监管职责不明确,现在机构和职责都明确了,但监管执法力度还不够。从上述这3点综合来讲,目前涉及个人信息的违法犯罪成本是比较低的。
记者:针对我国目前个人信息保护实际操作水平较低的现状,您有哪些建议和期望?对遭受个人信息泄露、渴望通过法律途径得到补偿的普通消费者来说,您有哪些建议?
赵占领:要提高个人信息保护的实际水平,我认为要注意两个方面:第一,要加强行政监管的力度;第二,要发挥公益诉讼的优势和作用。
这里尤其要注意公益诉讼的作用,民事诉讼法和今年实施的新《消费者权益保护法》都规定,省级消协可以代表消费者进行公益诉讼。所以,对于涉及大量用户个人信息泄露的事件,可以由消协提起公益诉讼,弥补个人维权的不足,同时也能对企业形成有力的制约。可以说,对于我国现阶段的个人信息安全保护问题来说,公益诉讼将成为一个有效的新武器。
对于遭遇个人信息泄露的普通消费者来说,我建议首先要看信息泄露是否涉及刑事犯罪,如果是黑客盗取、第三人入侵等,就报案通过刑事途径解决,然后通过民事途径索赔;如果不涉及刑事犯罪,用户自行起诉成本太高,可以选择与经营者协商解决,或向行政部门举报,或最终由消协统一提起公益诉讼。(实习记者 林笛)