国内经济型连锁酒店集团的龙头企业之一、在美国纽交所上市的7天连锁酒店集团,最近被曝成为数据非法倒卖利益集团的乐园,其会员信息在网上被非法兜售,引起消费者的恐慌。
其实,这只是冰山一角。国内外更多的知名大型连锁酒店集团,以及更多的其他电子商务企业,例如航空公司、高档餐饮等大量搜集和存储会员信息数据库的企业,都无时不刻不处在数据失窃的威胁之中。据笔者了解,对于某些知名的跨国酒店集团,技术高明的黑客仅在其大堂通过WIFI无线上网或在酒店客房上网,不需太费周折,就可以轻松入侵其系统,盗窃数据库。
放眼全球,包括银行、信用卡公司在内的众多电子商务机构都曾爆出数据失窃的新闻,比如2005年万事达公司承认约4000万份数据可能被窃,6.8万用户投诉信用卡被盗用,美国美洲银行和瓦霍维亚银行的10多万客户也曾被告知信息被银行员工倒卖。在全球进入电子商务时代之后,网上商业数据的安全,数据库的保护,成为无法回避的基础性问题。
针对暴露出来的问题,媒体报道说7天酒店在积极寻求信息安全供应商合作,而且暗示“据说很着急,而且不差钱”。笔者很能理解作为企业面对暴露出来的信息安全方面的危机、急于寻求解决方案的急迫心情,但若仅以为靠技术就能解决数据的安全问题,那恐怕是望梅止渴,而且对于广大中小企业来说,也容易陷入讹诈营销的陷阱。
在上海曾经发生的一个DDOS攻击的案例中,攻击者就是先向被攻击者推销其网络安全产品,遭到拒绝后,对其进行DDOS攻击,在客户购买其产品后,攻击解除,后来在客户报警后案发。
鉴于技术发展日新月异,天才怪才也层出不穷,网络恐怕没有100%的绝对安全,因此,在技术上加强投入是对的,但若没有法治建设和法律风险的防范,就难逃“计划赶不上变化”之虞。
目前我国个人信息和商业数据库保护方面的立法尚待健全。继我国有关部门委托社科院的专家起草个人信息保护立法的建议稿被束之高阁之后,商务部2008年也曾发布由专家起草的《网上商业数据保护办法(征求意见稿)》,希望对电子商务领域日益严峻的数据库保护及数据安全等问题有所规范,但遗憾的是,这一规章虽然一再删改,但至今仍未能出台。
形势不等人。中国迅猛发展的电子商务以及大量曝光的个人信息失窃导致网银被窃等事件,逼迫我们在这些领域的研究和立法应当跟上现实需要和形势发展的要求。
从7天酒店数据泄露所曝光的情况来看,当时在网上商业数据保护办法立法过程中的很多讨论,比如限制商业数据的收集应与所提供的服务相关,鼓励第三方数据存管与备份,禁止窃取、攻击网上商业数据等,都有着积极意义。
虽然民事立法一波三折,但根据已经于2009年生效的刑法修正案(七),非法获取公民个人信息是犯罪行为,这是在国内窃取贩卖个人信息日益严峻的背景下,刑法走在民法前头的又一先例。所以,对于7天酒店这样的企业来说,发生用户个人信息失窃和被卖的情况,应当立即向有关公安机关报案寻求司法救济。
在7天酒店这个案例当中,虽然企业也是值得同情的受害者,但在相关技术和法律风险暴露后,如果企业仍无视用户个人信息失窃与倒卖的事实,不予充分的技术补救和法律救济,那么在未来的个人信息保护立法当中,有必要对这样的企业课以较重的民事赔偿义务。在北京和上海都已出现了移动通信公司员工网上倒卖个人信息被判刑的先例,但这些案例对于非法盗窃贩卖个人信息的利益产业链没有太大的触动,最近百度文库上连续被曝出大量个人信息非法泄露就是例子。同时,由于欠缺民事赔偿责任的威胁,相关个人信息窃取和贩卖也没有对移动通信公司、银行、医院等信息的收集和管理机构产生触动。
因此,我们呼吁还应当考虑引进惩罚性赔偿,对于超出合理范围收集用户信息而又怠于保护的企业和其他组织,应当让他们承担较大的民事赔偿责任。这样,一旦立法通过,也许才会出现当年劳动合同法通过后,人人学习劳动合同法、家家企业都极其重视与劳动者签订劳动合同的情况。