一套个人的详细资料,只要22港元便能买到。近日,香港八达通公司承认,曾将200多万客户资料转售给其他公司,非法获利4400万港元。目前,这样的个人资料被泄露是经常发生的,譬如当你买了房,装修公司的电话就接踵而至;买了新车,推销保险的电话就响个不停……当你的个人信息被广泛传播的时候,当陌生人的电话、短信、邮件不请自来地闯入你的生活的时候,你才真正感受到自己的生活受到了影响。电子时代到来之际,到底还有谁泄露了我们的个人信息?
“八达通”出售客户隐私震惊香港
对于700多万香港人来说,八达通卡实在是再熟悉不过了。作为一种非接触式的智能卡,市面流通的2000多万张八达通卡被广泛用于公共交通和商业支付中。尽管客户资料泄露事件在香港屡见不鲜,然而,任谁也没有想到,与自己平常生活息息相关的八达通公司竟将200多万份的客户资料转售进行牟利。消息一经传出,社会一片哗然。
今年6月,八达通公司宣布香港市民未来可在深圳使用八达通卡。在这次商业推广中,有市民发现,八达通卡的“个人资料申明”列明在卡主不反对前提下,公司可将其用户资料用做推广和直销。此事引起社会关注。
7月7日,八达通控股有限公司行政总裁陈碧铧公开回应,旗下的八达通奖赏有限公司未向任何机构出售客户个人资料。然而,与八达通卡有业务合作的信诺环球人寿保险公司的前雇员随后指出,八达通公司曾将会员资料,售至信诺用做电话推销。该人士披露,信诺环球人寿保险公司从八达通卡公司购入所有“日日赏”的客户数据,以提高推销保单的成功率,以他为例,平均每天成功游说10名客户投保。“工作首天,公司便告诉我,公司向八达通卡公司购入240万‘日日赏’会员数据,让我们打电话推销保险,但要隐瞒自己是信诺环球雇员的身份,一定要自称代表八达通。数据包括客户的姓名、电话、身份证号码和出生日期。”
据香港《文汇报》报道,港人广泛使用的八达通于2005年推出八达通“日日赏”计划,至今已吸引240万名市民参与。根据八达通“日日赏”条款,客户申请该优惠计划时,必须同意向八达通卡公司提供个人数据,给八达通卡公司、其附属公司、联属公司及商务伙伴,作为推广产品及服务之用。如未能提供有关正确数据,则无法享用“日日赏”服务。如此一来,八达通仅靠“日日赏”计划便能获取240万名市民的个人资料。
7月14日,在社会舆论的强大压力下,陈碧铧首度承认,八达通公司将近200万名“日日赏”客户资料,提供给商业伙伴,但未透露详情。八达通公司发言人表示,客户需阅毕条款、填妥申请表后,代表公司已得到客户同意,有权把其数据提供给商户,作推广优惠之用;公司亦会因应商户的不同推广,提供不同信息,但不会同一时间将全部客户数据给予一间商户。公司亦与商户有协议,推广期结束后便要将资料销毁,公司会定期检查。至于检查方法、涉及多少客户、哪些客户数据、有否将客户数据向“日日赏”所有商户提供,发言人当时表示,现阶段未能提供有关资料。
7月21日,香港特区个人资料私隐专员公署主动介入调查,宣布就此事展开听证。次日,特区金融管理局按照银行业条例,责令八达通公司呈交报告,说明是否将客户个人资料转交第三者。
7月26日,听证会完结,八达通公司终于承认,自2002年开始就将用户资料转售给6家公司,2006年起更向信诺等两家保险公司出售近200万名客户的个人信息,非法获利4400万港元。
舆论聚焦泄密事件频发
尽管“共享客户资源”在香港商业界几乎成了公开的秘密,但八达通公司出售客户隐私获利的消息传出,仍在社会各界引起了强烈的反应。7月20日以来,香港多家传媒连篇累牍地以快讯、特写、社评等多种形式,跟踪报道事件进展。
中国之声特约观察员曹景行认为,在北京、上海等地使用的交通一卡通在香港叫做八达通,可以说香港的这方面应用最先进也是最普及,但是很不幸八达通现在蒙上了耻辱。因为香港八达通公司最近被揭发过去几年当中,把使用者的个人资讯大量出售给商业机构获得了4000多万元的不义之财。这件事情明显抵触了香港关于保护个人私隐的有关法规,引起社会的愤怒。特别是八达通所属的港铁公司本身就有浓厚的官方背景,所以现在香港政府已经介入,要求对这件事情进行严肃的处理。他表示,过去的香港,有关商业机构出售客户个人资料获取利益的做法相当普遍,但是现在已经有了保护个人隐私的法规,而八达通公司仍然如此作为,已经无法得到社会的容忍。现在就看这家公司面对社会的谴责将会作出如何处理,特别是对已经出售的大批客户的资料将采取什么样的方式进行补救。
凤凰卫视吕宁思表示,尽管八达通沉痛地表示了歉意,但是在香港人中八达通的信誉已经破产了,尽管大家都十分喜爱八爪鱼八达通,但是那种受骗的感觉实在是让人愤怒。八达通事件将如何解决,风波肯定还会持续一段,最后肯定有人出来祭旗。政府如何保护公民隐私的话题肯定会前所未有的被严肃地提出来。对于政府肯定也是有压力的,不过我们从八达通事件还会联想到更多,那就是我们的隐私有没有价值,我们的隐私应不应该保护,我们的隐私应该如何保护,看来在电子时代,这是现代政府必须正视、研究并且为之行动的一项挑战,也是法律专家需要介入的。
此外,行政长官曾荫权也关注事件发展,强调同类事件不能再次发生。香港特区金管局要求八达通公司聘用独立的财务专业人士,调查转售客户资料事件,10周内公布结果。
有立法会议员建议在立法会复会时讨论该事件,传召八达通公司代表以及相关人士解释。政府公共事业监察组则建议个人资料私隐专员公署尽快完成调查,并要求八达通公司交待所涉客户的详细信息。
其实,“共享客户资源”在香港商业界很普遍,一旦个人资料被非法“售出”,房产代理、保险经纪、信用卡公司、财务规划师等,会经常来电话关心一下客户的近况,推广和推销在“潜移默化”中完成。
香港特区个人资料私隐专员吴斌认为,21世纪是资讯高度发达的时代,个人资料可瞬间被大量收集、储存及发放,不当或不小心的处理可能导致大量的资料外泄,令当事人蒙受重大的损失。吴斌还表示,将于任期届满前,公布八达通的初步调查报告。不论八达通有否被裁定触犯私隐条例,港府消息指,当局将重新检讨条例对个人资料的使用规限是否过于宽松,并研究要求信用卡、八达通、会员卡等申请章程需要用较大的字体列明条款,以及设立机制让客户拒绝披露个人资料。
黑色产业链“侵吞”个人隐私
其实,不止是香港。内地的个人资料泄密事件也常有发生。
早在今年年初,在南平上大学的小李的家人就接到一通电话,电话那头自称是小李的辅导员。电话里,这位“辅导员”告诉小李的父亲说:“请问是小李家吗?我是小李的辅导员。你们家小李因为在校外跟人起了冲突,被人打伤了,目前伤势挺严重,已经送医了。”随后,电话挂了。
一接到电话,身在福建泉州的小李的父亲心急如焚,欲第一时间赶去学校了解究竟。过了几分钟,小李父亲的电话又响了,还是那名“辅导员”打过来的,他说:“你们家小李现在情况紧急,需要赶紧动手术,医院方面需要先进行付款才肯进行手术。”小李的父亲由于担心自己的孩子,就问了:“需要多少钱啊?我这就打过去。”这位辅导员回答:“医院方面说了,手术费用是1万5,后面的费用不确定。”
正当小李的父亲准备给辅导员所指定的账户汇款时,小李恰好给他父亲打了一通电话。通完话之后,小李的父亲发现,刚才那所谓的辅导员就是一个骗子,小李当时在学校的食堂吃饭并没有所谓被打送医之事。
小李在接受记者采访时,说道:“我根本不晓得自己的资料怎么会泄露出去,那个人连我的姓名、家里的电话号码、父母亲的姓名都了如指掌,实在很惊奇。”
对此,业内人士表示,在实际生活中,没有一家商店会要求进店顾客提供自己的个人信息,小李个人资料的泄露可能是在网上发生的。因为几乎所有的网上经营者都要求消费者登记自己的个人资料,如姓名、性别、电话、住址等,有些还要求提供身份证号码和收入状况。同样,在购买手机和接受信函服务时,经营者也要求消费者提供真实的个人资料信息。与此同时,这些经营者往往不说明要求消费者提供这些资料的原因、资料的使用目的及处置方式,也不对消费者提供信息之后所享有的权利给予明确说明。而经营者完全有可能收集多于实际所需的资料,或者将收集到的资料用于消费者未曾预料的用途,使消费者在一无所知的情况下受到侵害。
目前,网络实名制的施用越来越普遍。在这样的情形下,普通民众的个人资料也就更容易被获取乃至泄露了。近日,《网络游戏管理暂行办法》开始施行。就此,文化部下发了有关通知,要求有关企业应该根据网络游戏产品运营及用户注册的时间,在《办法》施行起6个月内全部使用合规的实名注册系统。通知要求运营企业建立的实名注册系统应当包括网络游戏用户的真实姓名、有效身份证件号码、联系方式等信息。《办法》的实施引发了一些玩家对于个人的隐私可能被泄露的质疑。
对于个人信息的保护。法律界人士认为,我国在个人信息保护立法上不完善,虽然我国《民法通则》第101条规定了相关个人隐私权保护条款,但这种笼统而模糊的规定,远不能满足公民个人信息保护的需要。目前的状况是,在司法中已经确认了隐私权,但法律中并无对隐私权的规定,司法中一般都作为侵害名誉权来处理,法律依据不明确。
新法出台针对性条款
为加强对个人隐私保护,才刚出台的《侵权责任法》第三十六条对网络侵权行为作出了明确规定。根据规定,如果网络用户利用网络服务对他人实施侵权行为的,被侵权人有权通知网络提供者采取删除、屏蔽等排除妨害措施。网络服务提供者在接到通知后未及时采取必要措施的,对损害扩大部分要承担连带责任。
另外,在现实生活中,患者或者孕妇信息包括个人信息、病历资料等被泄露的事件时有发生,对患者或者孕妇的正常生活带来了严重影响。为保护患者个人隐私权,《侵权责任法》第六十二条规定:“医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担赔偿责任。”
这名法律界人士表示,尽管才刚出台不久的《侵权责任法》的某些法条对个人隐私的保护有所强化,但有关部门仍应该进一步加强对个人隐私的保护。此外,他还建议,法律在保护个人资料时,应注意规范资料收集人的义务与资料提供人的权利。根据我国的实际情况,更应注重对收集人义务的规定,包括在何种情况下可以收集个人资料;收集资料的内容和范围;收集过程中的告知义务;对资料使用目的和资料传输的限制及对资料安全性的承诺。 
