与法同行：

重拳打击遏制个人信息贩卖

严控传播渠道  加大整治力度

记者：骚扰电话为何一直存在?

刘德良(北京师范大学法学院教授)：目前我国关于骚扰电话的法律规范，严格来讲是没有的，因为骚扰电话本身并非法律概念。骚扰电话大多数属于商业推销或营销，是广告行为。

一方面，骚扰电话打击难，难以找到骚扰电话的拨打者，而且对拨打者来讲成本特别低。另一方面，缺乏明确的、有针对性的法律规范，虽然有一些专项治理，但专项治理非长效机制。

提高违法成本  增强源头保护

记者：骚扰电话源于个人信息泄露，谈到个人信息泄露就要提及个人信息买卖。那么，应该如何打击买卖个人信息的行为?

郑宁(中国传媒大学文法学部法律系副主任)：根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定，公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

要严厉打击买卖个人信息的行为，首先是提高违法成本，重拳打击遏制黑产态势，完善刑事责任和行政监管体系。一方面，加大刑事责任打击力度。随着互联网技术进一步低门槛化，网络黑产特别是盗取用户个人隐私数据相关的犯罪成本大幅下降。搭建一个用来收集个人隐私的网站，成本不过千元，但调查取证定罪的标准却极高。盗取贩卖个人隐私定罪难、量刑轻，对黑产犯罪分子难以形成震慑效应。另一方面，建立数据保护的行政监管体系，加强对企事业单位收集、处理、保管个人信息的规范，对行业实践进行监督指导。由于我国目前没有制定统一的“个人数据保护法”，分散立法模式下，多个监管部门都具有个人数据执法职能，卫生部门、工商总局等机构分别负责各自领域的个人信息保护工作。目前的分散立法无法解决监管边界的重合和执法实践缺失的问题，个人信息保护的抽象原则难以落实到具体的行业实践和执法行动中。

其次是产业各链条联合协作。一是构建产业链上下游的信息安全管理体系;二是推动政府、企业、社会三方个人信息安全生态共治协作;三是需要联合产业各个链条，搭建由政府、行业机构、科研院所、互联网产业、安全产品提供商、服务企业等各方力量组成的多主体网络安全生态圈，风险与责任共担。

再次，加强源头性保护，增强企事业单位信息安全防护责任和能力。许多个人信息泄露案例表明，企事业单位用户数据安全管理机制不完善是导致数据泄露事件的主要原因。我国《网络安全法》第42条和第64条规定了网络运营者保护用户个人数据安全的义务和违反规定需要承担的责任，从法律上明确提出了企事业单位建立数据安全管理机制的责任要求。这就要求收集用户个人信息的企事业单位切实加强信息安全能力建设，完善信息系统安全防护措施，加强信息系统合规、合资质要求，避免用户个人信息的大规模泄露。

企业内部应建立一整套严格的管控流程，创新技术，实现数据安全管控;建立完善个人数据泄露危机的应急预案，与监管部门建立应急沟通机制;对敏感数据进行脱敏、匿名化、去标识化处理，建立数据匿名和化名处理的标准，在数据泄露的情况下，确保个人信息的安全;加强员工的信息安全防护意识培养，对员工违规获取、使用、传播用户数据的行为早发现、早处理，避免用户个人信息泄露扩大化;打击个人隐私数据贩卖还需要从解决数据利用需求入手，进一步明确大数据交易企业行为规则和标准，明确合法与非法的边界，推动大数据交易的健康发展。

最后，加深用户自我保护意识，利用举报渠道积极交流。用户对个人隐私重视程度严重不足，自我保护能力不够，已经成为影响产业安全的主因之一。一方面，用户以自己的隐私为代价，交换移动应用的使用;过度分享自己的位置信息、个人身份信息、安装使用不具数据保护能力的移动应用，给网络犯罪分子以可乘之机。另一方面，用户在发现过度收集个人隐私数据等黑产行为时，举报意识不强，举证能力不够，成为此类黑产治理难点之一。

培养用户举报意识和习惯，政府与平台积极联动配合，才能真正做到切断数据泄露源头，积极发现泄露与贩卖情报，精准打击违法犯罪。

(法制网)