近日，媒體報導的批量倒賣非法獲取人臉等身份信息和“照片活化”網絡工具及教程的黑產引起廣泛關注。據報導，這些信息在淘寶、閒魚等網絡交易平台上大肆售賣，而且售賣的人臉信息並非單純的人臉照片，還包含身份證號、銀行卡號、手機號等公民個人身份信息。

對於出售公民信息等隱私數據應該承擔怎樣的法律責任？公民如何才能更好地保護自己的隱私？《法治日報》記者對此進行了採訪。

網上售賣個人信息

肆意侵犯公民隱私

人臉特徵信息作為高敏感性信息，與個人身份、金融、行為、位置、偏好等信息相關聯。該信息被洩露時，或將導致人們個人財產等造成重大損失。

採訪中，中國傳媒大學文化產業管理學院法律系主任鄭寧認為，出售公民隱私信息對公民日常生活產生的威脅主要有以下三個方面：一是垃圾信息源源不斷，當人臉信息被某些刷單類App非法利用時，可能會收到垃圾郵件、垃圾短信、騷擾電話，甚至可能導致被迫網貸、金融賬戶被用於非法的用途；二是個人財產受到損失，非法中介常利用人臉信息和銀行卡、身份證等證件進行貸款、借債或者冒名辦卡透支消費；三是公民可能會遭遇裸聊、裸貸、私密信息洩露的危害。

出售公民隱私信息的行為為何屢禁不止？鄭寧認為，這是因為售賣者的逐利心理，購買人臉信息的成本極低，但是被售賣的人臉數據可以用來“撞庫”，也就是在不同網站嘗試使用相同的帳號、密碼獲取該用戶其他的賬戶信息，從而達到精準投放廣告、精準營銷或精準詐騙的目的，以此獲得高昂利潤。此外，犯罪成本低也是導致公民隱私信息一再被倒賣的原因。

在中國政法大學傳播法研究中心副主任朱巍看來，售賣隱私信息是因為有市場需求。從技術角度來講，這種需求來源於以下幾方面：第一是為了“撞庫”，撞庫是指憑藉用戶的身份信息、人臉識別信息和其他相關信息破解用戶賬號；第二是為了精準營銷，了解個人的運動軌跡，通過人臉比對可以掌握到此人上過什麼網站，用過哪些類似的服務，拿到此人的相關信息後可以通過大數據等技術與此人真實身份相結合，實行精準營銷；第三是為了精準詐騙，詐騙者通過蒐集個人相關信息，了解個人購買的物品，以退票、退錢、更換貨物為由，使公民上當，點擊詐騙者所提供的二維碼，從而進行精準詐騙。此外，還有一些個人目的，比如窺探個人隱私等。

法律助力信息保護

售賣平台難辭其責

關於倒賣公民隱私信息的行為將會受到何種處罰，朱巍說，對於倒賣公民隱私信息，刑法規定了侵犯公民個人信息罪，即將施行的民法典在人格權編中圍繞“隱私權和個人信息保護”單獨設了一章進行規範，可見國家對個人信息保護非常重視。

鄭寧介紹，倒賣個人信息涉嫌構成非法獲取公民個人信息罪。刑法第二百五十三條之一規定，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，並處罰金。同時，網絡安全法第四十一條規定了收集、使用個人信息的基本原則：網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和範圍，並經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，並應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。民法典第一千零三十五條規定，處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，並符合下列條件：（一）徵得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外；（二）公開處理信息的規則；（三）明示處理信息的目的、方式和範圍；（四）不違反法律、行政法規的規定和雙方的約定。消費者權益保護法第五十條規定，經營者侵害消費者的人格尊嚴、侵犯消費者人身自由或者侵害消費者個人信息依法得到保護的權利的，應當停止侵害、恢復名譽、消除影響、賠禮道歉，並賠償損失。

倒賣公民隱私信息的平台是否需要承擔相關法律責任？對此，朱巍表示，這涉嫌違法違規銷售，按照電子商務法的規定，平台對應知和明知平台內經營者從事非法業務，平台方有製止的義務，如果不履行此義務，平台方將會承擔責任。同時，平台要設立舉報渠道，售賣個人隱私涉及刑事犯罪，平台應移交由公安機關處理，若沒有舉報渠道，平台方也要承擔連帶責任。

此外，還要看售賣主體是誰，若售賣主體為平台方，則毫無疑問，平台方為違法者，如果平台內經營者是售賣主體，則主要看平台對經營者的行為是否知情，除此之外，還要看經營者是否留下真實的身份信息，如果沒有，則按照電子商務法的規定，平台方也要承擔連帶責任。平台承擔的責任一方面是基於電子商務法中規定的電子商務平台經營者責任，包括對平台內經營者進行資質審核、身份信息的留存、違法違規情況的上報、對應知明知情況的負責等。基於網絡安全法，平台方有網絡安全保障的責任，若平台沒有履行網絡安全義務，明知道經營者在售賣個人信息而放任不管，則在一定程度上可認定為幫助犯罪。

鄭寧說，侵權責任法第三十六條第二款規定，網絡用戶利用網絡服務實施侵權行為的，被侵權人有權通知網絡服務提供者採取刪除、屏蔽、斷開鏈接等必要措施。網絡服務提供者接到通知後未及時採取必要措施的，對損害的擴大部分與該網絡用戶承擔連帶責任。第三款規定，網絡服務提供者知道網絡用戶利用其網絡服務侵害他人民事權益，未採取必要措施的，與該網絡用戶承擔連帶責任。民法典也規定，網絡服務提供者知道或者應當知道網絡用戶利用其網絡服務侵害他人民事權益，未採取必要措施的，與該網絡用戶承擔連帶責任。電子商務法規定，電子商務平台經營者發現平台內銷售或者提供法律、行政法規禁止交易的商品或者服務，應當依法採取必要的處置措施，並向有關主管部門報告。各電商平台應認真履行監督義務，運用大數據技術進行監控，及時發現和下架不合規商品，斬斷出賣人臉信息的利益鏈條。

健全信息保護製度

樹立信息保護意識

對於隱私洩露售賣的問題如何根除，鄭寧認為，應從國家政府、企業、個人三方面抓起，國家應盡快完善公民生物信息保護的法律體系，加快個人信息保護法的立法進程，構建健全的個人信息權利救濟和保護製度，明確收集、利用個人信息的範圍；在執法方面，加大對企業非法收集和使用公民個人信息的行政處罰力度，提高侵犯公民個人信息的違法成本；在政府自身成為人臉信息蒐集主體時，政府要有明確的法律依據並遵循合理必要原則，並限制公權力的過度擴張，盡可能較少對公民個人信息權益的侵犯。企業在採集和使用人臉數據時，應該遵守以下幾個原則：用戶同意、數據合規使用、透明性、數據安全保護措施、隱私設計、準確性和用戶權利、問責制度。公民個人應樹立強烈的個人信息保護意識，不隨便掃碼、註冊等。

在朱巍看來，想要解決隱私信息售賣問題，首先要加大處罰力度，其次要將精準詐騙拔出蘿蔔帶出泥，即除了詐騙罪之外，還要看詐騙者是從哪裡獲取的公民個人信息，要順藤摸瓜，考慮詐騙背後的問題。除此之外，還要引入新的技術，比如區塊鏈技術，區塊鏈技術可以相互驗證，每個信息誰閱讀了，誰拿走了都是可以留痕的，最好用技術手段解決技術問題。另外，個人信息，互聯網實名制等可以構建統一的網站去儲存，而不應該把個人信息放在各個商業網站上，通過統一的網站儲存，變成EID，由國家統一管理則更好一些。

隱私信息保護對公民自己來說至關重要，對於公民如何更好地保護自己的隱私信息，鄭寧給出了以下幾條具體建議：第一，樹立強烈的個人信息保護意識。在個人信息有可能要被採集的時候，要盡可能詢問采的原因和用途，是否有合法依據，以及數據蒐集方對數據安全的保護措施。第二，不要隨便掃描二維碼，不要隨便把自己的驗證碼發給別人。第三，不要隨便加微信和點鏈接，不要在非正規的網站上註冊。

朱巍認為，一方面，公民不要隨便在“三無”網站上註冊信息，不要隨便掃描二維碼，不要輕易點開他人給的鏈接。另一方面，一旦發現自己的個人信息出現錯誤、受到更改、發生遺漏、或者超出了網站平台使用個人信息的範圍等情況，公民可按照法律規定舉報或向平台提起訴訟。

朱巍提醒，對於個人來說，公民要學會行使註銷權和安寧權。註銷權是指公民不再使用某App時，不僅要卸載還要註銷，以此消除App中的個人信息；安寧權則指拒收廣告等權利。（記者韓丹東實習生林銀婷）