“尊敬的XX旅客:您好,您所乘坐的XXX次航班因机械故障已被取消,请速致电XXX办理退改签业务……”日常生活中,此类谎称航班取消的诈骗短信屡见不鲜。很多市民提出疑问:这些骗子是如何知道自己的信息,又是如何了解得如此精确?这些问题的背后,其实是个人信息危机。如今,个人信息安全成为市民反映强烈的问题之一。目前的状况是消费者举证难,监管部门和消协组织取证难,即使查实的案件也存在追责难、处罚轻等情况,难以起到震慑作用。
【案例回顾】
网购机票遇诈骗 状告网站泄信息
4月7日,一起有关乘客信息泄露的案件在西安市未央区人民法院开庭审理。西安的朱女士通过“去哪儿网”订购了一张机票后遭遇了电信诈骗,被骗45000多块钱,朱女士认为售票平台没有尽到保护顾客隐私的义务,有违约的责任,因此她将售票平台告上了法院。
而在庭审中,被告去哪儿网辩称,在朱女士购票过程中,去哪儿网已经通过短信、而且在订票网站上进行了防诈骗提醒,并且去哪儿网也高度重视网络信息安全及用户信息安全,已经采取了严格措施保护用户的信息安全,用户在去哪儿系统中所存储的卡号、手机号等个人隐私信息均属于加密状态,没有泄露的可能。去哪儿网也并非是消费者航班等个人信息的唯一接触人。法庭休庭,此案将择期宣判。
【专家分析】
利益驱使个人信息成商业资源
如今出行旅游产业尤其是线上旅游信息泄露问题比较严重,从订机票、订旅店、定游线再到景点入住等出游环节,其实都存在信息泄露风险。
“旅客网上订票导致信息泄漏相对复杂,这里面涉及到层层的用户信息保管问题。”上海市信息安全行业协会专委会副主任张威指出,一旦出现问题,航空公司可能会说游客订票是通过第三方订票系统,而订票平台通常会说还有下游公司的若干环节,基本很难查出到底是哪个环节出了问题,案件往往陷入胶着。
信息泄露事件频发,其实也是大数据时代的产物,个人信息越发成为一种重要资源。拥有了这些资源,便意味着拥有了受众市场,进而有利于开展精准营销,正是这种诱惑刺激着一些不法分子非法获取公民个人信息。因此张威提醒,消费者必须提高警惕,在旅行出行过程中,注意尽量少的提供个人信息。
用户信息存在安全隐患
近日,记者对北京市区一家社区进行随机采访,多名居民用亲身经历“吐槽”了互联网时代信息泄露的严重。李先生告诉记者,他和家人频频遭受诈骗或推销电话短信的骚扰,往往还是“量身定制”、“精准服务”。
李先生的遭遇不是个例。2016年《中国网民权益保护调查报告》显示,半年来,我国网民平均每周收到垃圾邮件18.9封、垃圾短信20.6条、骚扰电话21.3个。据一份官方调查报告显示,消费者个人信息被违法收集使用的势头还在蔓延。
那么,为何会有大量用户信息泄露?
在中国电子商务研究中心主任曹磊看来,用户信息泄露有多种可能性途径,互联网信息泄露隐形风险重重。现在很多网民拥有多个账号,注册时网站一般都需要填写一些个人信息,如常见的账号、密码、邮箱等,有的网站甚至要实名认证。
上海市信息安全行业协会专委会副主任张威分析认为,在线旅游网站平台上的用户数据泄露主要有以下几种方式:黑客利用平台存在的安全漏洞入侵网站,盗取用户数据库;网站内部工作人员倒卖用户信息;通过撞库攻击,窃取用户数据;利用钓鱼攻击窃取用户信息;通过木马、病毒窃取用户隐私信息。
谁为用户信息安全负责?
“这类事件很难确定具体在哪一个环节泄露了游客信息。”某在线旅游网站公关部人员表示,虽然游客是在大型旅行网站预订产品,但旅游产业链实在太长了,比如航信、第三方票代、地接社、航司、交通、酒店等相关环节,都会得到游客个人信息。
一位在知名旅游网站工作多年的业内人士指出,大型公司其实没必要泄露用户信息,企业不会靠这种方式来获取“蝇头小利”。
因为大型公司对自身品牌、声誉是极其看中的,毕竟这类事件对公司品牌会造成不良影响。
按照现行法律,如果用户信息泄露,企业需要承担一定的赔偿责任。辽宁亚太律师事务所董毅智律师此前剖析类似案例时指出,公司与用户之间具备合同关系,有保障用户信息安全的义务。若本次事故是内部人员所为,说明公司存在管理问题,没有尽到安全管理责任,应承担相应民事责任,赔偿用户损失;如果本次事故是外部攻击造成,需要具体分析公司方面是否有采取技术措施保障信息安全,再来判定公司是否存在过错。
还有一个关键问题,那就是当企业发现数据泄露后是怎么做的,是否第一时间发出警报并采取措施,这直接体现了当事公司是否尽到了相关责任。业内人士指出,在类似事件中,一些企业往往担心自身名誉受损,对数据泄露习惯遮遮掩掩,这也导致不法攻击者有恃无恐。
【业界观点】
专家呼吁加强违法惩处力度
根据我国法律,用户维权、寻求民事赔偿胜诉率不大,对损失评估难以确定金额,所以想要对隐私泄露的责任人追究还是非常困难的。虽然大规模信息泄露、数据安全事件频出,但鲜有企业负责人被问责。
广州金鹏律师事务所合伙人詹朝霞律师直言,可以毫不夸张地说,违法成本低,法律监管缺失是“泄密”事件再三出现的根源。
按照美国的法律,企业发生一次信息泄露事件就可能被罚得倾家荡产。
另有业内人士坦言,在日益繁杂多变的网络交易中,服务商们忙于业务,对于用户信息保密仅仅是基于商业道德或品牌荣誉角度考虑,其实施力度可想而知。
从法律层面来看,各类服务提供商,基于提供服务所采集的用户信息数据,具有严格保密的法律义务,类似的规定散见于国家工商总局发布的《网络交易管理办法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》等相关法律法规规章中。
中国人民大学商法研究所所长刘俊海建议,对泄露用户信息的行为甚至是“出卖”用户信息的行为要进一步加大行政处罚力度,还消费者以安全,还消费者以放心。
此外,还应激活民事赔偿责任机制,经营者应赔偿消费者的实际损失,同时还可以参照消法对消费欺诈的规定,设定最低赔偿不得低于500元。
【相关法律法规】
全国人大《关于加强网络信息保护的决定》规定
任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
《中华人民共和国电子商务法(草案)》规定
《中华人民共和国电子商务法(草案)》(以下简称《草案》)是我国第一部电商(网络交易)领域的综合性法律。《草案》着重对第三方平台作出明确规定要求对经营者进行审查,提供稳定、安全服务;对当前问题突出的电商炒信、恶意骚扰、信息泄露等作出明确规定。电子商务经营者要建立制度提升技术手段,防止信息泄露、丢失、毁损,确保电子商务数据信息安全;在发生或者可能发生用户个人信息泄露、丢失、毁损时,电子商务经营主体应当立即采取补救措施,及时告知用户,并向有关部门报告。
《消费者权益保护法》规定
经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。另外,《网络交易管理办法》也有相同的规定。如果由于经营者的过失,导致消费者经济损失的,理应承担相应的赔偿责任。
本文转自d1net(转载)