(电子商务研究中心讯) 日前,中国电子商务研究中心(100EC.CN)发布《2013-2014年度中国电子商务法律报告》(报告下载:www.100ec.cn/zt/2014flbg/)。
以下为对“2013-2014年度十大电商法律涉案热点领域”的解读之信息泄漏。
【现状】电子商务的崛起是一把双刃剑,在把我们带进信息时代的同时,也给我们带来了各种各样,前所未有的问题和麻烦。其中,最凸显的也是最常见的一个大问题就是个人信息的保护问题。其范围之广,影响之大也是众所周知的。最被人所熟知的包括支付宝信息泄露、快递信息泄露、1号店等电商信息泄露等等。近日,中消协发布的《信息消费与安全调研报告》显示,受访者对信息安全的满意度不及格,平均分值仅为3.7分,而满分为10分。用户帐户信息和隐私频频被曝露在“光天化日”之下,如何保障信息安全,已成为消费者最为关注的问题之一。
个人信息安全成为社会各界讨论的焦点。“个人信息在裸奔”、“透明信息时代”、“信息交易产业链”等词汇都直指当前我们的信息安全现状。信息社会,任何个体在使用信息交流工具、社交媒介、网络购物时,都不可避免会留下个人信息的蛛丝马迹。一旦这些个人信息被恶意收集或者泄露,就会给个人隐私乃至人身安全带来巨大风。
【相关法律法规】全国人大常委会《关于加强网络信息保护的决定》规定:任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。
公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。
网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
国家工商行政管理总局日前出台的《网络交易管理办法》规定:网络商品经营者、有关服务经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或非法向他人提供;应采取技术措施和其他必要措施,确保信息安全,防止信息泄露、丢失;在发生或者可能发生信息泄露、丢失的情况时,应立即采取补救措施。该法将于2014年3月15日起施行。2013年10月25日十二届全国人大常委会第五次会议表决通过了新修订的《消费者权益保护法》,第29条规定:经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况,应当立即采取补救措施。经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。
【信息泄露的几种可能性途径】现在许多网站、论坛都需要用户注册账号后才能正常使用。因此,每个网民拥有多个账号是很平常的事情。在注册时,网站一般都需要填写一些个人信息,如常见的账号、密码、邮箱等,像一些电子商务、婚恋、交友网站等还需要实名认证,要求填写的信息更加详细。网站上的用户数据泄露主要有以下几种方式:黑客利用网站存在的安全漏洞入侵网站,盗取用户数据库;网站内部工作人员倒卖用户信息;通过撞库攻击,窃取用户数据;利用钓鱼攻击窃取用户信息;通过木马、病毒窃取用户隐私信息。
【典型事件】(1)支付宝信息泄露案
3月27日,有网友在微博上曝出,使用谷歌搜索输入“site:shenghuo.alipay.com转账付款”即可看到各种转账信息,包括转账付款姓名、账户信息、付款金额、付款账户、付款说明等,数量超过2000条。很多网友担心自己的信息和资金安全,表示“再也不通过支付宝转账了”。
27日晚间,有大量媒体披露称:谷歌、360搜索等搜索引擎中可以找出大量的支付宝交易记录,至28日零点,360等搜索引擎已经无法搜索到相关结果。
电商诸多业内人士纷纷认为,这是近年来国内罕见的大型电子商务在线支付用户信息泄露事件,不少使用支付宝的网购用户和电商网站对此表示了一定的隐忧,并表示期望支付企业加强数据安全保护。对此,中国电子商务研究中心独家制作专题:《用户交易信息泄露透视电商支付宝账号安全?》(www.100ec.cn/zt/anl_2013zfb/)。
【律师点评】中国电子商务研究中心特约研究员、北京志霖律师事务所赵占领律师认为:第一,这应该是一起比较严重的个人信息泄漏事件。与以往不同的是泄漏的内容直接涉及大量敏感信息,包括付款账户、收款账户、付款金额、付款说明等。这些信息的敏感和重要程度超过以往信息泄漏事件中的网络服务账号,泄漏之后更容易给不法分子提供可乘之机,给用户带来重大的财产安全隐患。
第二,目前尚不清楚大量个人信息泄漏的原因,存在两种可能:一是支付宝存在安全漏洞,二是谷歌在抓取数据方面越界,突破了支付宝的技术保护措施。若是第一种情况,支付宝自身作为提供第三方支付服务的企业,应该采取远超一般互联网企业的安全保护措施,否则因为自身存在安全漏洞导致用户信息泄漏,应该承担法律责任,赔偿给用户造成的损失。若是第二种情况,则属于谷歌的责任,虽然搜索引擎通过技术手段自动抓取信息,但是不能超出必要限度,尤其是不能逾越其他企业的技术保护措施,抓取不公开的商业信息和个人信息。中国电子商务研究中心特约研究员、辽宁亚太律师事务所董毅智律师认为:国内缺乏明确的专职的个人信息保护机构。现状是法律规定分散交叉、立法层级不高,缺乏一部专门的综合性信息安全法律来规范网络行为,明确用户、企业等相关方面责任义务的法律。
就我国个人信息保护的法律的适用范围而言,保护个人信息的法律条款数量较为有限、适用范围相对狭窄,没有专门的针对所有信息控制人均适用的统一的个人信息保护法;保护手段而言,重“刑事处罚”和“行政管理”,轻“民事确权”与“民事归责”,导致个人信息遭受侵害后,即使侵权行为人最终遭致刑事处罚或行政处罚,但信息主体的财产及非财产损失却得不到任何实质性的补偿;就法律的可操作性而言,大部分规定缺乏可操作性,许多条款仅仅规定了对个人信息的保密义务,而没有规定违背该义务的后果;就法律的体系性而言,现有规定之间缺乏体系上的呼应,给人一种“杂乱无章”、“群龙无首”的感觉,不符合我国已经继受的大陆法系的法律思维,同时也不利于法律的适用;就法律条款的具体内容而言,大部分条款通常仅对个人信息保护问题轻描淡写、一带而过,往往未能揭示个人信息保护的立法理由、个人信息保护的基本原则、信息主体的权利、个人信息收集、处理、利用及传递的规则、个人信息保护的执行机制及监督机制等个人信息保护法应当具备的重要内容。如果从建设法治社会的大背景出发,无论是加强信息主体的自我保护、倡导建构个人信息保护的自律机制,还是制定个人信息保护法,均应当着重从民法保护个人信息的角度进行观察与理解。刑法和行政法对个人信息的保护固然能够起到重要的不可或缺的作用,在一定程度上也能够起到预防侵害个人信息行为的发生,但刑法重在惩罚、行政法重在行政管理,其对信息主体的权利确认及事后的全面救济的作用是有限的。
(2)携程系统存技术漏洞用户银行卡等信息被泄露
2014年3月22日,国内网络安全问题反馈平台—乌云漏洞平台发布消息称,携程系统存技术漏洞,可导致用户个人信息、银行卡信息等泄露;漏洞泄露信息包括用户姓名、身份证号、银行卡类别、银行卡卡号、银行卡CVV码(卡号、有效期和服务约束代码生成的3位或4位数字)等,上述信息可能被黑客读取。
对此,中国电子商务研究中心独家制作专题:《携程被爆存“支付漏洞”引发互联网安全问题》(www.100ec.cn/zt/xcxxxl/)。
【律师点评】中国电子商务研究中心高级特约研究员、浙江金道律师事务所张延来律师认为:非法收集用户信息并导致泄密的或将面临行政处罚!从携程对CVV码的收集和保留是否满足“合法性”原则的要求存在较大疑问;另外,从“必要性”原则的要求来看,收集和保留CVV码算不算是携程为用户提供服务所“必要”,也存在一定争议。因此,对于违法行为的确定性结论,最终要看是否有行政执法机关主动介入后的裁定或有受损用户起诉后法院的判决。
法律要求网站收集和使用用户信息应当遵循“合法、正当、必要”三原则,对收集到的用户信息应当采取安全保护措施,一旦发生泄密,必须及时采取补救措施,否则都可能面临行政处罚或者用户的诉讼。
网络支付安全与效率历来是“鱼和熊掌,不可兼得”,建议网络用户在进行电子支付时一定要遵循“安全第一”的原则,选择安全措施较多的支付方式;小额支付如果考虑到快捷的需要应当尽可能在一些比较知名的网站上完成或选择第三方支付工具。(编辑:言回)
