郭聪表示,据不完全统计,目前根据司法实践中的案例数据,2020年至2021年的侵犯公民个人信息犯罪结案案例约4613件,2022年1月至6月约为307件。绝大多数案件处于判处三年以下有期徒刑的量刑层级。
在国外,欧盟实施了严厉的数据保护条例GDPR。GDRP是《通用数据保护条例》的简称,是欧盟立法机关针对欧洲发生的诸多信息和隐私数据泄露案件而制定的法案。该条例明确规定,公司内部需要设立数据保护官DPO(类似于CEO和COO高管职位),负责个人隐私数据保护。对比国内外法律,欧盟对数据泄露的处罚力度更大,法条更明确。杨蔚认为,相比欧盟,我国关于数据安全的立法起步较晚,在数据安全治理实践上还存在一定差距。
中兴通讯数据保护合规部与数据法盟联合编制的《GDPR执法案例精选白皮书》数据显示,截至2019年9月24日,22家欧洲数据监管机构对共87件案件作出了总计3.7亿欧元的行政处罚决定。
杨蔚表示,数据作为生产要素,安全保护仍然是需要大家共同解决的问题,须监管部门、企业、安全机构、民间安全力量等各方的努力。他认为,有关部门要不断明确各方权责,将举证门槛降低,并且加大处罚力度;企业及负责人应做到知法守法,承担保障个人信息安全的义务,对员工进行安全教育和培训,企业内建设网络安全防御体系、加强数据备份和信息保密等工作;个人要提高安全防护意识,具备一定的敏感性,谨慎点击链接及网站、创建安全性较高的密码等。
北京大学法学院副院长薛军认为,要从根本上解决信息泄露问题,还要依靠先进的技术。在可能出现个人隐私和信息泄露的环节,要用技术将信息匿名化,这些匿名信息只有系统能识别,而行为人不能识别、获取。
他表示,相关部门还要进一步加强对这类违法行为的侦查,加大对不法分子的惩处力度。“这个最有震慑力,当他们知道违规、违法必然受到处罚时,可能就放弃了。”
(文中李铁、许飞均为化名)
