原標(biāo)題：用戶該怎么捉數(shù)據(jù)泄露的“BUG”

　　近日,，移動(dòng)社交平臺(tái)陌陌被爆有3000萬(wàn)條用戶數(shù)據(jù)在暗網(wǎng)（存儲(chǔ)在網(wǎng)絡(luò)數(shù)據(jù)庫(kù)里,、但不能通過(guò)超鏈接訪問(wèn)的資源集合）上被售賣,。賣家宣稱，這些數(shù)據(jù)包含用戶手機(jī)號(hào),、密碼等敏感信息,。陌陌方面回應(yīng)稱，網(wǎng)傳遭泄露的數(shù)據(jù)為三年前的數(shù)據(jù),，且跟陌陌用戶的匹配度極低,。

　　11月30日，萬(wàn)豪國(guó)際集團(tuán)通過(guò)官方微博表示,，旗下喜達(dá)屋酒店的客房預(yù)訂數(shù)據(jù)庫(kù)被黑客入侵,，多達(dá)5億人次的詳細(xì)信息可能遭到泄露，其中高達(dá)3.27億人次的泄露信息包括名字,、電話號(hào)碼,、護(hù)照號(hào)碼、到達(dá)和離店信息等,。而且,，部分入住者的信用卡支付卡號(hào)、支付有效期也遭到泄露,，雖然已經(jīng)加密,，但不能排除部分用戶可能遭遇財(cái)產(chǎn)風(fēng)險(xiǎn)。

　　隨著互聯(lián)網(wǎng)的發(fā)展,，許多用戶的個(gè)人信息在不經(jīng)意間就被獲取,、存儲(chǔ)、交易,、利用,，與之相關(guān)的數(shù)據(jù)泄露事件也頻頻發(fā)生。但是,，相應(yīng)的用戶維權(quán)過(guò)程則非常艱難,。由于取證難、訴訟成本高等,，大多數(shù)用戶對(duì)自己的隱私信息被泄露“敢怒不敢言”,，許多企業(yè)也因成本較高、監(jiān)管較松,，并未履行好保護(hù)用戶個(gè)人信息的責(zé)任,。

　　鑒于上述困境，業(yè)內(nèi)人士呼吁,，個(gè)人信息保護(hù)領(lǐng)域的制度安排需要進(jìn)一步細(xì)化,、嚴(yán)格化，事前督促企業(yè)及時(shí)行動(dòng),，事后懲戒違法行為,。

　　百部法律法規(guī)沒(méi)有堵住數(shù)據(jù)漏洞

　　據(jù)不完全統(tǒng)計(jì),，2018年每個(gè)季度都發(fā)生了規(guī)模巨大的數(shù)據(jù)泄露事件。3月,，F(xiàn)acebook上至少700萬(wàn)條用戶信息被泄漏,；6月，圓通快遞10億條數(shù)據(jù)（含有收寄件人的姓名,、電話,、地址等隱私信息）在暗網(wǎng)上被以1比特幣的價(jià)格打包出售；8月,，華住集團(tuán)旗下多個(gè)連鎖酒店的用戶數(shù)據(jù)在暗網(wǎng)售賣,，數(shù)據(jù)泄露總數(shù)接近5億條……

　　頻頻發(fā)生的數(shù)據(jù)泄露事件，已經(jīng)給每個(gè)網(wǎng)民帶來(lái)真實(shí)的風(fēng)險(xiǎn)和危害,。中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布的《中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告》顯示,，僅2016年國(guó)內(nèi)就有6.88億網(wǎng)民因垃圾短信、詐騙信息,、個(gè)人信息泄露等造成經(jīng)濟(jì)損失,，估算達(dá)915億元。有54%的網(wǎng)民認(rèn)為個(gè)人信息泄露情況嚴(yán)重,，有84%的網(wǎng)民曾親身感受到因個(gè)人信息泄露帶來(lái)的不良影響,。

　　數(shù)據(jù)泄露的“幽靈”如此活躍，如果保護(hù)個(gè)人信息的制度利器不能發(fā)揮作用,，損失將會(huì)越來(lái)越大,。

　　目前，我國(guó)已經(jīng)陸續(xù)頒布,、實(shí)施了一系列保護(hù)個(gè)人信息的法律,、法規(guī)，尤其是2017年正式實(shí)施的《網(wǎng)絡(luò)安全法》,，強(qiáng)調(diào)了中國(guó)境內(nèi)網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)所收集到的個(gè)人信息應(yīng)承擔(dān)的保護(hù)責(zé)任和違規(guī)處罰措施,。但在用戶層面，據(jù)此開(kāi)展的維權(quán)行為仍然面臨重重困難,。

　　首先,，在“個(gè)人信息”的界定標(biāo)準(zhǔn)上，企業(yè)和用戶的看法經(jīng)常不一樣,。中國(guó)政法大學(xué)知識(shí)產(chǎn)權(quán)中心特約研究員趙占領(lǐng)表示,，個(gè)人信息的關(guān)鍵定義是“具有身份識(shí)別性”，可分為身份證號(hào)碼等直接識(shí)別信息和手機(jī)號(hào)碼等間接識(shí)別信息,，但有不少企業(yè)通過(guò)大數(shù)據(jù)分析,，給用戶做鑒證畫(huà)像，這類行為是否屬于間接識(shí)別用戶個(gè)人信息,？業(yè)內(nèi)對(duì)此還有不少爭(zhēng)議,。

　　其次，用戶即使發(fā)現(xiàn)個(gè)人信息已遭泄露,，想要取證也非常艱難,。中國(guó)社會(huì)科學(xué)院法學(xué)所研究員呂艷濱指出，在大多數(shù)情況下,，用戶連企業(yè)是否獲取,、如何獲取、獲取了多少自己的個(gè)人信息都很難找到證據(jù),。

　　中國(guó)消費(fèi)者協(xié)會(huì)11月28日發(fā)布的《100款A(yù)pp個(gè)人信息收集與隱私政策測(cè)評(píng)報(bào)告》顯示,，開(kāi)展測(cè)評(píng)的100款A(yù)pp中多達(dá)91款列出的權(quán)限涉嫌“越界”，即存在過(guò)度收集用戶個(gè)人信息的問(wèn)題,；僅有53款A(yù)pp的隱私條款得分達(dá)到及格分以上,；有13款A(yù)pp具備隱私條款，但得分低于及格分,；另有超過(guò)三分之一（34款）的App隱私條款得分為0,，即未對(duì)用戶公布個(gè)人信息隱私條款。

　　“我們面對(duì)的是很隱蔽的信息處理活動(dòng),，究竟在哪個(gè)環(huán)節(jié)出的問(wèn)題,，究竟誰(shuí)掌握了我們的信息，怎么處理的,，怎么泄漏的,，這些都很難知道?！眳纹G濱認(rèn)為,，關(guān)于個(gè)人信息保護(hù)中企業(yè)的責(zé)任，比如如何獲取,、如何處理,、如何保護(hù)等問(wèn)題，我國(guó)現(xiàn)有法律只有原則性規(guī)定,，并沒(méi)有具體解釋和行動(dòng)指南,，這在客觀上給用戶維權(quán)帶來(lái)了困難。

　　重慶大學(xué)網(wǎng)絡(luò)與大數(shù)據(jù)戰(zhàn)略研究院院長(zhǎng)齊愛(ài)民曾統(tǒng)計(jì)過(guò),，我國(guó)涉及到個(gè)人信息的法律有50多部,，行政法規(guī)40多部，司法解釋或者文件40多部,，部門(mén)規(guī)章更是多達(dá)700多部,。但是眾多法律法規(guī)并沒(méi)有形成完整體系，如此松散的制度設(shè)計(jì)導(dǎo)致用戶維權(quán)難,、企業(yè)違法行為難以認(rèn)定,、監(jiān)管不到位等情況,。

　　公益訴訟是信息保護(hù)的利劍嗎

　　就在我國(guó)的用戶和法律人士為個(gè)人信息保護(hù)舉證難犯愁之際，一些數(shù)據(jù)泄露事件的當(dāng)事企業(yè)已經(jīng)陷入一些國(guó)家的用戶群體和法律人士提起的訴訟,。

　　萬(wàn)豪集團(tuán)宣布其5億客戶信息泄露之后的幾個(gè)小時(shí),，兩位來(lái)自美國(guó)俄勒岡州的萬(wàn)豪酒店客戶提起了集體訴訟，索賠125億美元——5億受到影響的客戶每人25美元,，另有兩家位于美國(guó)馬里蘭州的律師事務(wù)所對(duì)萬(wàn)豪集團(tuán)提起了第二起集體訴訟,。

　　我國(guó)并沒(méi)有與美國(guó)一樣的集體訴訟制度，但設(shè)立了與之類似的共同訴訟與代表人訴訟制度,。若某行為人實(shí)施了侵害他人的侵權(quán)行為,，被侵權(quán)人主體為2-10人，則適用共同訴訟制度,，這些被侵權(quán)人可以選擇一同起訴,。如果當(dāng)事人一方人數(shù)眾多（超過(guò)10人），可由當(dāng)事人推選代表人進(jìn)行訴訟,。

　　但在現(xiàn)實(shí)案例中,，我國(guó)的共同訴訟更多地在環(huán)境保護(hù)、消費(fèi)者權(quán)益保護(hù)等案件中得以應(yīng)用,，個(gè)人信息保護(hù)領(lǐng)域較少出現(xiàn),。除了在證券市場(chǎng)，規(guī)模較大的代表人訴訟也很少見(jiàn),，司法機(jī)關(guān)對(duì)人數(shù)眾多的訴訟仍然保持謹(jǐn)慎態(tài)度,。

　　北京潮陽(yáng)律師事務(wù)所律師胡鋼認(rèn)為，在眾多數(shù)據(jù)泄露事件中,，用戶本人可能并不知道自己的信息已經(jīng)泄露,，即便知曉，維權(quán)的可選項(xiàng)也實(shí)在有限,。因此,，他建議擴(kuò)大此類事件中的公益訴訟比重，由消費(fèi)者權(quán)益保護(hù)組織或相關(guān)行政機(jī)關(guān),、檢察院代表特定消費(fèi)者提起公益性訴訟,，從而解決個(gè)人取證能力差、訴訟成本過(guò)高,、涉及人員眾多等問(wèn)題,。

　　此前，個(gè)人信息保護(hù)的公益訴訟已有全國(guó)首個(gè)案例,。2017年12月,，江蘇省消費(fèi)者權(quán)益保護(hù)委員會(huì)對(duì)北京百度網(wǎng)訊科技有限公司涉嫌違法獲取消費(fèi)者個(gè)人信息及相關(guān)問(wèn)題提起消費(fèi)民事公益訴訟。2018年1月2日，南京市中級(jí)人民法院正式立案,。

　　不過(guò),，這一案例并未進(jìn)入實(shí)質(zhì)訴訟階段。3月,，江蘇省消保委宣布,，鑒于百度公司對(duì)App整改到位，其已向南京中院提交了該案的《撤訴申請(qǐng)書(shū)》,，南京中院隨后準(zhǔn)予了這一申請(qǐng),。

　　齊愛(ài)民表示,，雖然因?yàn)橹贫群同F(xiàn)實(shí)原因,，公益訴訟在我國(guó)個(gè)人信息保護(hù)領(lǐng)域運(yùn)用得很少，但一旦運(yùn)用,，其必將產(chǎn)生直接作用,。上述案例也表明，消協(xié)具有對(duì)該類行為提起訴訟的權(quán)力,，對(duì)其他企業(yè)也起到了警示作用,。

　　“我們應(yīng)該給消費(fèi)者傳達(dá)最簡(jiǎn)單的聲音，給予最直接有效的幫助,，不應(yīng)該讓消費(fèi)者去操心具體復(fù)雜的操作步驟,，被迫成為法律專家?！焙摫硎?，個(gè)人信息保護(hù)法已經(jīng)列入本屆全國(guó)人大常委會(huì)立法規(guī)劃，下一步應(yīng)優(yōu)先強(qiáng)化個(gè)人信息保護(hù)案件中的民事責(zé)任賠償制度,。

　　在國(guó)外案例中,，個(gè)人信息侵權(quán)的集體訴訟案件經(jīng)常會(huì)達(dá)成和解。例如,，2016年雅虎被曝出大規(guī)模被黑客盜取用戶數(shù)據(jù)事件,，隨后遭到多個(gè)國(guó)家消費(fèi)者的集體訴訟，后來(lái)雅虎與原告方達(dá)成和解協(xié)議,，共賠償8500萬(wàn)美元,。

　　呂艷濱指出，國(guó)外的很多案例之所以達(dá)成和解,，是因?yàn)樵V訟后這些企業(yè)可能要付出更大代價(jià),，也可能面臨主管部門(mén)開(kāi)出的數(shù)倍罰單。事實(shí)上,，今年5月生效,、以數(shù)據(jù)隱私保護(hù)為宗旨的歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）就規(guī)定，一旦違反該法案，企業(yè)將被處以1000萬(wàn)到2000萬(wàn)歐元,，或全球年?duì)I業(yè)額2%到4%的高額行政罰款,。

　　但很遺憾的是，我國(guó)尚缺乏此類嚴(yán)厲的行政處罰制度,?！斑@樣就沒(méi)辦法把違法企業(yè)拉到談判桌上?！眳纹G濱建議,，主管部門(mén)應(yīng)該從源頭治理入手，通過(guò)制度細(xì)則明確哪些企業(yè)可以以何種方式掌握用戶個(gè)人信息,，以及這類信息可以怎么共享,，應(yīng)如何保障其安全，對(duì)個(gè)人信息獲取,、共享,、利用的全過(guò)程建立透明的、統(tǒng)一的規(guī)則,。（記者 王林 實(shí)習(xí)生 陳美凝）

【糾錯(cuò)】

責(zé)任編輯： 聶晨靜