專訪大成(上海)律師事務所合夥人趙雲虎:個人信息泄露後消費者維權依然是個挑戰
「準爸爸註冊母嬰類App後頻繁收到涉黃短信」「前腳登記了看房信息,後腳就被中介輪番電話轟炸」……數字時代,從日常購物到社交娛樂,無一不留下「數字足跡」,然而在享受數字化帶來便利的同時,個人信息泄露的風險也在增加。
如何防止個人信息被過度收集、濫用?消費者遭遇個人信息不法泄露後該如何保護好自身權益?澎湃新聞近日專訪了大成(上海)律師事務所合夥人趙雲虎。他認為,個人信息泄露後消費者權益維護存在取證難、成本高的問題。而治理個人信息不法泄露,一方面需要政府部門加大執法力度,打擊違法行為;另一方面需要處理個人信息的相關企業需要建立健全合規體系,合規利用數據推動企業發展,實現數據合規、安全利用與企業發展的平衡。
個人信息受到侵害,權益維護難
澎湃新聞:上海已經連續兩年開展「亮劍浦江」專項執法行動,您作為消費者本身,是否感受到消費環境、企業、商家等對個人信息保護的意識在提高?
趙雲虎:作為一名消費者,我確實感受到了「亮劍浦江」專項執法行動對提升消費環境和企業、商家個人信息保護意識的積極影響,尤其是能感受到商家在收集個人信息時更加規範。
比如餐飲門店提供掃碼點餐的方式,這確實便捷了,但有些門店要求消費者掃碼點餐前必須先註冊,註冊的過程實際上就是商家收集個人信息的過程。由於註冊時填寫了手機號,消費後就會經常收到一些廣告推送,這是一種過度收集和使用個人信息的情況。
但隨著專項行動持續加強治理,目前這種情況已經少了很多,現在掃碼點餐通常不註冊也不影響使用相應功能。
另外,一些平台和App在整改前,往往預設為消費者同意接受信息、發送通知,現在往往把「同意」的勾選權利還給了消費者。這種變化發生在許多消費領域,整體來說過度收集個人信息的情況有所改善。
澎湃新聞:在您接觸到的涉及個人信息保護的訴訟中,主要是哪些消費場景?泄露的主要方式是哪些?能否具體介紹一些個人信息泄露導致的法律糾紛?
趙雲虎:發生侵犯公民個人信息違法行為的消費場景是很多樣的,典型的比如借貸、保險、房地產中介、少兒培訓等等。許多消費領域違法收集個人信息有一個共同的特點,就是違法收集特定人群的個人信息用於推廣活動。
例如,在上海市浦東新區人民法院(2024)滬0115刑初713號中,犯罪分子冒充「借貸寶」等平台工作人員,利用被害人資金緊缺,以推薦出資方借款為由,非法獲取被害人姓名、身份證號碼、聯繫方式、職業、祖籍、社保公積金、芝麻分等徵信信息,還有車輛、房產、借款寶、今借到等網貸平台借貸記錄等財產信息,再由團隊甩單員將業務員收集到的客戶信息推送至財務群的出資方審核放貸獲利。
澎湃新聞:作為律師,您在執行個人信息泄露導致的法律訴訟上有哪些難點和障礙?該如何解決?
趙雲虎:人們在日常生活中通常廣泛使用自己的個人信息,當發現個人信息被他人非法使用時,通常難以追溯這些信息是如何被侵害的,甚至不知道是誰侵害了這些信息。有時即使知道個人信息如何被侵害,但常常還存在調查取證難。
此外,在主張賠償時,證明侵權行為與損害結果之間的因果關係也是一個難點,並且對於損失的大小也往往難以證明。
事實上,對於個人來說,這些信息可能價值有限,但違法者往往是對大量的個人信息進行處理而獲利巨大。這導致個人進行權益維護面臨較大的挑戰,而且取證證明成本高,進一步導致權益維護的動力缺失。
我認為,僅依靠公民個人保護個人信息權益是比較困難的,政府部門加大行政執法力度是一個重要的手段。「亮劍浦江」專項執法行動就是通過行政執法,有力打擊了一系列侵害公民個人信息的違法行為,就取得了比較顯著的效果。
企業應建立個保合規體系
澎湃新聞:隨著互聯網的發展,目前人臉識別、大數據等已經融入了消費者的日常生活,據您瞭解,在個人信息侵害方面,有哪些是消費者不容易覺察的地方?
趙雲虎:許多非法收集個人信息的行為是隱蔽的、個人難以察覺的。比如人臉信息採集具有遠距離、非接觸、無感的特徵,很可能在消費者渾然不知的情況下,人臉信息已經被惡意獲取。又比如最高院192號指導案例,犯罪分子未經公民本人同意,利用軟件程序等方式從手機中竊取或者以其他方法,非法獲取人臉信息,一般消費者根本無法識別。
此外,「大數據殺熟」也是消費者不容易察覺的違法行為,一些商家利用大數據算法對消費者進行精準營銷,實現「大數據殺熟」,即對不同消費者實施不同的價葛斯略,侵害了消費者的權益,背離了公平誠信的價值原則。
澎湃新聞:從律師的角度給大家提一些建議,消費者該如何保護個人信息?當權益受到侵害時,又該如何拿起法律武器捍衛自身權益?
趙雲虎:互聯網時代,個人信息保護變得尤為重要。作為律師,我建議消費者首先需要提高個人信息保護意識,以增強個人信息安全防範能力,同時也需要學習相關的法律知識,增強依法進行自我保護的意識。
例如前面提到的最高院192號指導案例,要在可信的應用市場下載App、要最小授權使用個人信息的範圍、要對信息獲取方的身份進行核實,碰到不熟悉的情況可以瞭解,是不是已經有類似的不法行為發生過。
一旦發現個人信息被泄露,應立即固定證據,包括截圖、錄音、保存相關聊天記錄等,因為證據的充分性會直接影響權益維護的成功率,並且及時採取相應的權益維護措施,包括向監管部門舉報、向公安機關報案、尋求律師幫助等。
澎湃新聞:從企業的角度出發,您認為企業該如何正確使用用戶的個人信息和數據?如何平衡好使用用戶個人信息與企業發展這個問題?
趙雲虎:從企業的角度出發,正確使用用戶個人信息和數據,同時平衡使用用戶個人信息與企業發展的問題,需要企業採取一系列綜合性措施。
首先,企業必須嚴格遵守《個人信息保護法》《數據安全法》《網絡安全法》等相關法律法規,確保個人信息處理活動的合法性。這包括在收集、存儲、使用、加工、傳輸、提供、公開、刪除個人信息等各個環節都要嚴格依法開展。企業應建立健全個人信息保護合規管理體系,明確管理職責,確保合規管理閉環,包括全員合規責任製,明確管理人員和各崗位員工的合規責任,並督促有效落實。
此外,企業應採取技術措施和管理措施保護個人信息的安全,如加密技術、訪問權限控制等,防止信息泄露和濫用。通過這些措施,企業可以在保護用戶個人信息的同時,合理合法地運用數據推動企業發展,真正實現數據安全、合規使用與企業健康、有序發展的平衡。
澎湃新聞:目前「亮劍浦江」專項執法行動取得了良好的成效,您覺得上海在個人信息保護方面還有哪些需要提升?
趙雲虎:「亮劍浦江」專項執法行動取得了顯著的成績,這是毋庸置疑的。但同時我們注意到,公民個人信息被侵犯的情況還時有發生,比如我就時不時還會收到騷擾電話。對侵犯公民個人信息行為的打擊應該是長期的、持續的。建議有關部門進一步形成常態化的監管執法機制,持續打擊相關違法行為,營造良好的社會環境。