“开盒挂人”下的个人信息安全反思

近日，百度高管谢某女儿“开盒挂人”事件将个人信息安全问题推向台前，一时间，“数据和个人信息安全”引起网友广泛担忧。

“开盒挂人”指的是恶意公开他人个人信息，包括姓名、身份证号、手机号码、家庭住址、社交账号等，然后煽动网民对被“开盒”的人肆无忌惮地攻击谩骂，更有激进者会进一步实施线下骚扰，如寄送不明物品、焚烧照片等，造成受害者心理创伤与现实安全威胁。更有调查发现，事件背后存在一个提供“开盒服务”完整利益链条，任何人都可能被“开盒”，不仅让人发出担忧，大数据时代，隐私权是否已死？

此次“开盒挂人”事件折射出个人信息安全保护的复杂性与紧迫性。更是牵扯出“开盒者”背后将个人信息贩卖作为牟利手段，提供付费“开盒服务”，形成从信息窃取到传播、攻击的完整链条，引发了社会大众在如今大数据时代，对个人信息安全的担忧。

个人信息保护始于20世纪六七十年代，其背景是计算机与数据库在政府与私人部门的大规模应用。随着社会信息化进程的推进，信息以前所未有的速度和广度被开发利用，信息成为和物质、能量同样重要的资源，整个社会对于信息的依赖和利用需求增强；大数据及其技术的应用，使人类的决策空前智能化、精确化。政府可以通过精确的数据量化更好地了解国民经济和社会的运行状况，更好地决策；经营者可以从数据中了解消费者的爱好、特点、心理特征，从而提供更具个性化的产品和服务，实现经营者和消费者的双赢；正是在这个信息化的背景下，个人信息被充分获取和利用的同时，引发了信息主体权益受到威胁和侵害的事实及担忧，进而催生了个人信息保护的需要。

其实，随着中国也进入了信息化时代，我们国家为了保护公民的个人信息，也作出了诸多努力。如我国《民法典》《个人信息保护法》均明确规定，自然人的个人信息受法律保护。处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理，任何组织或者个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。信息处理者不得泄露或者篡改其收集、存储的个人信息；未经自然人同意，不得向他人非法提供其个人信息。若平台未采取必要措施防止信息泄露（如未审核用户举报、未及时删除侵权内容），需承担过错推定责任。同时在《电子商务法》《网络安全法》《消费者权益保护法》《网络数据安全管理条例》《未成年人网络保护条例》《全国人民代表大会常务委员会关于加强网络信息保护的决定》等法律法规中也均明确，信息处理者应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围，应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。此外，《刑法》第253条规定了侵犯公民个人信息罪。

但是不可否认的是，公民个人与信息的处理者之间存在巨大的不平等性，公民为了开展社会活动，不可避免地需要提供个人信息，如各个网络平台，APP均需要用户提供姓名、电话、身份证号、邮箱等个人信息，同时政府为了方便社会管理也在大量收集公民的个人信息，收集信息的广度和深度均在逐渐增加。收集、处理信息的主体要么是政府机构，要么是科技公司，公民根本没有能力去监督或者保证个人信息不被滥用或者泄露。同时，国家法律的规定也往往失于宏观，同时碍于技术的壁垒，收集主体的广泛性、分散性，实际执行往往很难落实。而且，政府本身也是个人信息收集的最大处理者和最大受益者，其推动信息安全监督的动力不足。公民面对个人信息的泄露根本无力反抗，如莫名接到骚扰电话、诈骗短信、突然遭受“被开盒”事件等个人信息泄露事件屡屡发生。

信息泄露、信息非法交易如一个巨大的阴影，伴随着信息社会的发展而存在。如果不能对信息安全进行有效地应对及管理，将会对社会的发展造成巨大的不良影响。因此，为了保证信息化、数字化社会的良性发展，也为了保护公民的基本权益，笔者建议，首先面对信息安全问题，国家除了在立法方面进一步完善外，还应当建立独立的专门管理机构，负责监督个人信息保护法的实施、开展个人信息保护执法调查、进行个人信息保护与利用研究等，并适时向立法机关提出立法意见和建议等。其次，推行信息业者，如银行、金融、保险、购物平台等大型服务机构实行信息安全定期披露制度，强制大型信息业者定期披露信息安全的管理情况。再次，尝试形成信息安全公益诉讼机制。最后，政府部门也可以建立网络平台，热线电话，专门为信息主体提供更为便捷的举报、投诉、申诉、监督方式，确保法律和政策得到切实实施。

信息安全已经是现代社会不容忽视的社会问题，如果不能有效应对信息安全问题，放任其愈演愈烈，将会极大影响社会信息化及数字化的进程，甚至，曾有人悲观地认为，大数据已来，隐私已死！国家应当建立更加有效的信息安全保全机制，如此，才能真正实现数字化、信息化强国。