原標題：用戶該怎麼捉數據泄露的“BUG”

　　近日，移動社交平臺陌陌被爆有3000萬條用戶數據在暗網（存儲在網絡數據庫裏、但不能通過超連結訪問的資源集合）上被售賣。賣家宣稱，這些數據包含用戶手機號、密碼等敏感資訊。陌陌方面回應稱，網傳遭泄露的數據為三年前的數據，且跟陌陌用戶的匹配度極低。

　　11月30日，萬豪國際集團通過官方微博表示，旗下喜達屋酒店的客房預訂數據庫被駭客入侵，多達5億人次的詳細資訊可能遭到泄露，其中高達3.27億人次的泄露資訊包括名字、電話號碼、護照號碼、到達和離店資訊等。而且，部分入住者的信用卡支付卡號、支付有效期也遭到泄露，雖然已經加密，但不能排除部分用戶可能遭遇財産風險。

　　隨著互聯網的發展，許多用戶的個人資訊在不經意間就被獲取、存儲、交易、利用，與之相關的數據泄露事件也頻頻發生。但是，相應的用戶維權過程則非常艱難。由于取證難、訴訟成本高等，大多數用戶對自己的隱私資訊被泄露“敢怒不敢言”，許多企業也因成本較高、監管較松，並未履行好保護用戶個人資訊的責任。

　　鑒于上述困境，業內人士呼吁，個人資訊保護領域的制度安排需要進一步細化、嚴格化，事前督促企業及時行動，事後懲戒違法行為。

　　百部法律法規沒有堵住數據漏洞

　　據不完全統計，2018年每個季度都發生了規模巨大的數據泄露事件。3月，Facebook上至少700萬條用戶資訊被泄漏；6月，圓通快遞10億條數據（含有收寄件人的姓名、電話、地址等隱私資訊）在暗網上被以1比特幣的價格打包出售；8月，華住集團旗下多個連鎖酒店的用戶數據在暗網售賣，數據泄露總數接近5億條……

　　頻頻發生的數據泄露事件，已經給每個網民帶來真實的風險和危害。中國互聯網協會發布的《中國網民權益保護調查報告》顯示，僅2016年國內就有6.88億網民因垃圾短信、詐騙資訊、個人資訊泄露等造成經濟損失，估算達915億元。有54%的網民認為個人資訊泄露情況嚴重，有84%的網民曾親身感受到因個人資訊泄露帶來的不良影響。

　　數據泄露的“幽靈”如此活躍，如果保護個人資訊的制度利器不能發揮作用，損失將會越來越大。

　　目前，我國已經陸續頒布、實施了一係列保護個人資訊的法律、法規，尤其是2017年正式實施的《網絡安全法》，強調了中國境內網絡運營者對所收集到的個人資訊應承擔的保護責任和違規處罰措施。但在用戶層面，據此開展的維權行為仍然面臨重重困難。

　　首先，在“個人資訊”的界定標準上，企業和用戶的看法經常不一樣。中國政法大學智慧財産權中心特約研究員趙佔領表示，個人資訊的關鍵定義是“具有身份識別性”，可分為身份證號碼等直接識別資訊和手機號碼等間接識別資訊，但有不少企業通過大數據分析，給用戶做鑒證畫像，這類行為是否屬于間接識別用戶個人資訊？業內對此還有不少爭議。

　　其次，用戶即使發現個人資訊已遭泄露，想要取證也非常艱難。中國社會科學院法學所研究員呂艷濱指出，在大多數情況下，用戶連企業是否獲取、如何獲取、獲取了多少自己的個人資訊都很難找到證據。

　　中國消費者協會11月28日發布的《100款App個人資訊收集與隱私政策測評報告》顯示，開展測評的100款App中多達91款列出的許可權涉嫌“越界”，即存在過度收集用戶個人資訊的問題；僅有53款App的隱私條款得分達到及格分以上；有13款App具備隱私條款，但得分低于及格分；另有超過三分之一（34款）的App隱私條款得分為0，即未對用戶公布個人資訊隱私條款。

　　“我們面對的是很隱蔽的資訊處理活動，究竟在哪個環節出的問題，究竟誰掌握了我們的資訊，怎麼處理的，怎麼泄漏的，這些都很難知道。”呂艷濱認為，關于個人資訊保護中企業的責任，比如如何獲取、如何處理、如何保護等問題，我國現有法律只有原則性規定，並沒有具體解釋和行動指南，這在客觀上給用戶維權帶來了困難。

　　重慶大學網絡與大數據戰略研究院院長齊愛民曾統計過，我國涉及到個人資訊的法律有50多部，行政法規40多部，司法解釋或者文件40多部，部門規章更是多達700多部。但是眾多法律法規並沒有形成完整體係，如此松散的制度設計導致用戶維權難、企業違法行為難以認定、監管不到位等情況。

　　公益訴訟是資訊保護的利劍嗎

　　就在我國的用戶和法律人士為個人資訊保護舉證難犯愁之際，一些數據泄露事件的當事企業已經陷入一些國家的用戶群體和法律人士提起的訴訟。

　　萬豪集團宣布其5億客戶資訊泄露之後的幾個小時，兩位來自美國俄勒岡州的萬豪酒店客戶提起了集體訴訟，索賠125億美元——5億受到影響的客戶每人25美元，另有兩家位于美國馬利蘭州的律師事務所對萬豪集團提起了第二起集體訴訟。

　　我國並沒有與美國一樣的集體訴訟制度，但設立了與之類似的共同訴訟與代表人訴訟制度。若某行為人實施了侵害他人的侵權行為，被侵權人主體為2-10人，則適用共同訴訟制度，這些被侵權人可以選擇一同起訴。如果當事人一方人數眾多（超過10人），可由當事人推選代表人進行訴訟。

　　但在現實案例中，我國的共同訴訟更多地在環境保護、消費者權益保護等案件中得以應用，個人資訊保護領域較少出現。除了在證券市場，規模較大的代表人訴訟也很少見，司法機關對人數眾多的訴訟仍然保持謹慎態度。

　　北京潮陽律師事務所律師胡鋼認為，在眾多數據泄露事件中，用戶本人可能並不知道自己的資訊已經泄露，即便知曉，維權的可選項也實在有限。因此，他建議擴大此類事件中的公益訴訟比重，由消費者權益保護組織或相關行政機關、檢察院代表特定消費者提起公益性訴訟，從而解決個人取證能力差、訴訟成本過高、涉及人員眾多等問題。

　　此前，個人資訊保護的公益訴訟已有全國首個案例。2017年12月，江蘇省消費者權益保護委員會對北京百度網訊科技有限公司涉嫌違法獲取消費者個人資訊及相關問題提起消費民事公益訴訟。2018年1月2日，南京市中級人民法院正式立案。

　　不過，這一案例並未進入實質訴訟階段。3月，江蘇省消保委宣布，鑒于百度公司對App整改到位，其已向南京中院提交了該案的《撤訴申請書》，南京中院隨後準予了這一申請。

　　齊愛民表示，雖然因為制度和現實原因，公益訴訟在我國個人資訊保護領域運用得很少，但一旦運用，其必將産生直接作用。上述案例也表明，消協具有對該類行為提起訴訟的權力，對其他企業也起到了警示作用。

　　“我們應該給消費者傳達最簡單的聲音，給予最直接有效的幫助，不應該讓消費者去操心具體復雜的操作步驟，被迫成為法律專家。”胡鋼表示，個人資訊保護法已經列入本屆全國人大常委會立法規劃，下一步應優先強化個人資訊保護案件中的民事責任賠償制度。

　　在國外案例中，個人資訊侵權的集體訴訟案件經常會達成和解。例如，2016年雅虎被曝出大規模被駭客盜取用戶數據事件，隨後遭到多個國家消費者的集體訴訟，後來雅虎與原告方達成和解協議，共賠償8500萬美元。

　　呂艷濱指出，國外的很多案例之所以達成和解，是因為訴訟後這些企業可能要付出更大代價，也可能面臨主管部門開出的數倍罰單。事實上，今年5月生效、以數據隱私保護為宗旨的歐盟《通用數據保護條例》（GDPR）就規定，一旦違反該法案，企業將被處以1000萬到2000萬歐元，或全球年營業額2%到4%的高額行政罰款。

　　但很遺憾的是，我國尚缺乏此類嚴厲的行政處罰制度。“這樣就沒辦法把違法企業拉到談判桌上。”呂艷濱建議，主管部門應該從源頭治理入手，通過制度細則明確哪些企業可以以何種方式掌握用戶個人資訊，以及這類資訊可以怎麼共用，應如何保障其安全，對個人資訊獲取、共用、利用的全過程建立透明的、統一的規則。（記者 王林 實習生 陳美凝）

【糾錯】

責任編輯： 聶晨靜