个人信息保护需要互联网速度

2022-07-08

个人信息保护需要互联网速度

9月上旬，美国信用机构Equifax爆出涉及1.4亿用户的数据泄露事件，相当于近半美国人的网络信息被黑客窃取，在美国引起轩然大波。在国内，近来有关个人数字数据使用的争议也不绝于耳，例如，微博版权协议的更新引发网民对个人在网上生产内容的知识产权归属的争论，高德地图近期更新时强制用户必须接受的隐私权政策也被网民吐槽是“霸王条款”。

看来，在大数据时代，网络巨头们忙着为瓜分市场左冲右杀，对于用户的个人隐私信息保护却未给予足够的重视，无论该行为是出于有意还是无意，结果是导致隐私保护严重滞后于网络技术的发展，中外皆然。即便在法律体系较为完备、各种法条多如牛毛的美国，普通用户对Equifax的个人数据泄露事件也只能徒呼奈何。虽然有加拿大用户提出了高达4500亿美元的诉讼赔偿，但无论是加拿大还是美国，涉及个人信息保护的法律非常分散，对于侵权行为如何量刑和处罚也缺乏具体的、可操作的标准，有关诉讼的判决可能旷日持久，结果也充满不确定性；即便是判罚Equifax，该公司是个轻资产公司，能够支付的罚金恐怕也不会太多。

在Equifax之前，雅虎公司2022年的数据泄密事件受害者达5亿之众，有关消费者侵权的诉讼到现在都杳无音信，公司高管所受到的影响只是放弃一些年终奖里的股权奖励而已。目前，美国联邦贸易委员会、美国联邦调查局（FBI）及美国司法部等均发起了对Equifax的调查，但法律界人士却普遍认为根据美国现行法律很难对公司高管追责。Equifax目前被调查的几个高管是以疑似内幕交易被立案的，被追责的原因是他们在3月份发生信息泄露事件之后减持公司股票，而不是泄密事件本身。

除了证券法对“内幕交易”的限制外，另一个最有可能将Equifax高管绳之以法的法律是被称为“RCO” 的企业高管尽责条例（responsible corporate officer doctrine）。据该条例，即使没有明确的证据表明企业高管是出于故意或者疏忽，只要能证明高管是有能力制止数据泄露事件的发生却没有制止，政府就可以对该公司高管追责。不过，RCO是一个通用性法规，并非专门针对数据泄露而设，通常是适用于食品、药物和化妆品等消费品行业，尽管法学教授们认为理论上可以将其适用范围扩大到数据泄露对消费者造成的损害上，但是实践如何尚未可知。

好的一方面是，在个人数据和隐私保护方面爆发的种种冲突，也终于引起了各国公众及法律界的广泛关注，尤其是司法部门、立法机构对如何完善相关法律有了更清晰的思路。如美国和加拿大均有议员提出设立单独的联邦个人信息保护法，改变各州法律对隐私保护互不相同的情况，特别是对于隐私授权许可、泄密及时告知义务、侵权赔偿裁量等方面，提出了切实可行的规则。

作为大数据产业迅猛发展的国家，我国对用户个人信息的保护也极为重视。今年3月15日，全国人大通过的《中华人民共和国民法总则》第111条明确规定，“任何组织和个人不得非法收集、利用、加工、传输个人信息，不得非法提供、公开或者出售个人信息”。此外，刑法、网络安全法、电子商务法等一系列法律法规中，也对个人信息保护作出了规定，法律界对设立单独的个人信息保护法呼声也很高。但就现状而言，相关法律责任在不少互联网企业中尚未落实到位，社会各界应当加强监督，对违法行为及时发出警示，促使互联网产业在健康的道路上发展。