法制日报全媒体记者 韩丹东

  实习生 姜 珊

  对话人

  北京师范大学法学院教授 刘德良

  中国传媒大学文法学部法律系副主任 郑 宁

  严控传播渠道

  加大整治力度

  记者:骚扰电话为何一直存在?该如何治理?

  刘德良:目前我国关于骚扰电话的法律规范,严格来讲是没有的,因为骚扰电话本身并非法律概念。骚扰电话大多数属于商业推销或营销,是广告行为。

  一方面,骚扰电话打击难,难以找到骚扰电话的拨打者,而且对拨打者来讲成本特别低。另一方面,缺乏明确的、有针对性的法律规范,虽然有一些专项治理,但专项治理非长效机制。

  郑宁:首先,严控骚扰电话传播渠道。一是加强语音线路和码号资源管理,各基础电信企业要按照“谁接入谁负责”的原则,严格语音线路和“95”“96”“400”等码号资源的用户资质审查,规范资源使用,全面掌握使用主体、接入位置、资源用途、允许传送的主叫号码等信息,定期排查语音中继、互联网专线接入,杜绝违规使用线路资源的行为,严禁为非法经营、超范围经营提供线路资源和业务接入。二是加强电话用户合同约束。各基础电信企业要完善个人用户和集团用户的合同管理,规范用户通信行为,对重点地区号码使用从严管理。三是全面规范营销外呼业务。呼叫中心企业要对经营资质、自营和外包业务进行全面规范,包括业务名称、业务委托主体、业务类型、外呼业务号码等。四是全面清理各类骚扰软件。各互联网企业要全面清理网上“呼死你”等骚扰软件和设备信息,切断相关软硬件推广、销售和使用渠道。

  其次,全面提升技术防范能力。基础电信企业一方面要严格规范企业客户可以使用的号段范围,严禁利用透传技术虚拟主叫号码或自行修改主叫号码,对未通过鉴权的呼叫一律进行拦截,按照相关规定和时限要求,留存通信数据,配合做好通话溯源倒查工作;另一方面要加强骚扰电话拦截配套技术系统建设,利用云计算、大数据等技术手段,加强数据共享能力建设,提升骚扰电话识别和拦截能力。同时,移动智能终端制造企业应支持手机终端配备防骚扰电话能力。另外,电信管理机构指导各相关单位,充分利用现有全国诈骗电话防范系统和网间互联互通监测系统,增强骚扰电话监测和标注等相关功能,建立联动工作机制。探索建立全国防骚扰信息综合服务平台,统计分析用户对各类商业营销信息的接收意愿,引导基础电信企业、移动转售企业、呼叫中心企业等加强对商业性电子信息的规范传播。

  再次,规范重点行业商业营销行为。第一,中国银行保险监督管理委员会、中国证券监督管理委员会依职责分工,加强对金融机构和从业人员的监督管理,严格规范贷款、理财、信用卡等业务的电话营销行为,督促金融机构对其委托的第三方机构的电话营销行为加强管理。第二,住房和城乡建设部牵头,加强对房地产开发企业、房地产经纪机构和房地产经纪人员的监督管理,严格落实中介机构备案制度,严格规范电话营销行为。第三,国家卫生健康委员会、国家市场监督管理总局等依职责分工负责,加强医疗机构和保健食品生产经营企业依法执业(经营)监管。第四,人力资源和社会保障部、文化和旅游部等依职责分工负责,加强对人力资源服务、旅游等行业、企业和从业人员的事中事后监管,配合相关部门健全完善商业信息发布管理制度,严格规范电话营销行为。

  最后,依法惩处违法犯罪。由公安部牵头,集中侦破一批利用电话实施诈骗、敲诈勒索等违法犯罪案件。对明知从事违法犯罪活动,仍提供网络、技术、线路等服务的企业和人员依法严惩。依法严厉打击各行政机关和电信、金融、医疗、教育、物业、物流、寄递等重点单位工作人员非法出售或者向他人提供公民个人信息的违法犯罪行为。

  提高违法成本

  增强源头保护

  记者:骚扰电话源于个人信息泄露,谈到个人信息泄露就要提及个人信息买卖。那么应该如何打击买卖个人信息的行为?

  郑宁:根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

  要严厉打击买卖个人信息的行为,首先是提高违法成本,重拳打击遏制黑产态势,完善刑事责任和行政监管体系。

  一方面,加大刑事责任打击力度。随着互联网技术进一步低门槛化,网络黑产特别是盗取用户个人隐私数据相关的犯罪成本大幅下降。搭建一个用来收集个人隐私的网站,成本不过千元,但调查取证定罪的标准却极高。盗取贩卖个人隐私定罪难,量刑轻,对黑产犯罪分子难以形成震慑效应。

  另一方面,建立数据保护的行政监管体系,加强对企事业单位收集、处理、保管个人信息的规范,对行业实践进行监督指导。由于我国目前没有制定统一的个人数据保护法,分散立法模式下,多个监管部门都具有个人数据执法职能,卫生部门、工商总局等机构分别负责各自领域的个人信息保护工作。目前的分散立法无法解决监管边界的重合和执法实践缺失的问题,个人信息保护的抽象原则难以落实到具体的行业实践和执法行动中。

  其次是产业各链条联合协作。一是构建产业链上下游的信息安全管理体系。二是推动政府、企业、社会三方个人信息安全生态共治协作。三是需要联合产业各个链条,搭建由政府、行业机构、科研院所、互联网产业、安全产品提供商、服务企业等各方力量组成的多主体网络安全生态圈,风险与责任共担。

  再次,加强源头性保护,增强企事业单位信息安全防护责任和能力。许多个人信息泄露案例表明,企事业单位用户数据安全管理机制不完善是导致数据泄露事件的主要原因。网络安全法第四十二条和第六十四条规定了网络运营者保护用户个人数据安全的义务和违反规定需要承担的责任,从法律上明确提出了企事业单位建立数据安全管理机制的责任要求。这就要求收集用户个人信息的企事业单位切实加强信息安全能力建设,完善信息系统安全防护措施,加强信息系统合规、合资质要求,避免用户个人信息的大规模泄露。

  企业内部应建立一整套严格的管控流程,创新技术,实现数据安全管控;建立完善个人数据泄露危机的应急预案,与监管部门建立应急沟通机制;对敏感数据进行脱敏、匿名化、去标识化处理,建立数据匿名和化名处理的标准,在数据泄露的情况下,确保个人信息的安全;加强员工的信息安全防护意识培养,对员工违规获取、使用、传播用户数据的行为早发现、早处理,避免用户个人信息泄露扩大化;打击个人隐私数据贩卖还需要从解决数据利用需求入手,进一步明确大数据交易企业行为规则和标准,明确合法与非法的边界,推动大数据交易的健康发展。

  最后,加深用户自我保护意识,利用举报渠道积极交流。

  用户对个人隐私重视程度严重不足,自我保护能力不够,已经成为影响产业安全的主因之一。一方面,用户以自己的隐私为代价,交换移动应用的使用;过度分享自己的位置信息、个人身份信息、安装使用不具数据保护能力的移动应用,为网络犯罪分子提供可乘之机。另一方面,用户在发现过度收集个人隐私数据等黑产行为时,举报意识不强,举证能力不够,成为此类黑产治理难点之一。

  培养用户举报意识和习惯,政府与平台积极联动配合,才能真正做到切断数据泄露源头,积极发现泄露与贩卖情报,精准打击违法犯罪。