亮剑浦江进行时｜给“裸奔”的个人信息打上“马赛克”

近日，上海市网信办通报了一批知名企业未尽消费者个人信息保护义务被行政处罚系列案例。虽然部分企业此前已被网信等部门约谈要求整改，但仍然对其收集存储的大量个人信息未按规定采取加密、去标识化等安全保护措施，不仅消费者的个人信息处于“裸奔”状态，甚至大量企业员工的个人信息也处于“裸奔”状态。

这些放任个人信息“裸奔”的企业，有的是知名火锅连锁品牌，有的是知名房产中介，有的是停车扫码SaaS平台，还有的是大型商超购物企业，涉及老百姓衣食住行等日常生活的主要方面。处于“裸奔”状态的个人信息多则上亿条，少的也有几十万、上百万条，涉及手机号码、电子邮箱、身份证号码等多种类型。

长期以来，处理个人信息的企业管理者普遍存在一个错误的观念，认为只要自己没有买卖或者泄露其收集存储的个人信息就没事儿。殊不知，大量个人信息长期处于未加密或去标识化的“裸奔”状态，极易导致客户甚至员工的个人信息泄露。不仅黑客会通过技术手段轻松地获取这些“裸奔”的个人信息，一些心怀不轨的员工也可能动起这些信息的歪脑筋。

当前，电信网络诈骗形势依然严峻，大多数受害人都不知道自己的个人信息是怎么被不法分子掌握的。“裸奔”的个人信息无疑助长了电信网络诈骗分子的嚣张气焰，甚至是引发电信网络诈骗的罪魁祸首之一。不法分子掌握的个人信息数量越多、质量越高，其实施的诈骗就越精准，被害人因此遭受的损失也就更大。

个人信息保护法的快速出台，在一定程度上也是个人信息“裸奔”引发的电信诈骗案推动的。2016年8月，家境困难的山东考生徐玉玉遭遇电信诈骗郁结于心而不幸离世。这起电信诈骗案引发了社会广泛关注，其导火索就是不法分子利用技术攻破了“山东省2016高考网上报名信息系统”，从而对徐玉玉实施了精准诈骗。

为了防止未经授权的访问以及个人信息泄露、篡改、丢失，个人信息保护法第五十一条明确将采取加密或去标识化等安全技术措施、合理确定个人信息处理的操作权限作为个人信息处理者的基本义务。个人信息处理者未履行这些义务，网信等履行个人信息保护职责的部门可以依法追究其法律责任。

个人信息保护法施行已满两年，但针对个人信息“裸奔”等问题，各地监管执法仍普遍存在不足。据悉，上海市网信办此次系列行政处罚案是全国范围内地方网信办首次自主办理的，无疑具有样板意义。只有通过常态化的个人信息保护监管执法，才能敦促个人信息处理者更加积极地给“裸奔”的个人信息打上“马赛克”。

（作者郭兵系浙江理工大学数据法治研究院副院长）