评:近40部法律难止个人信息泄露
记载着个人电话、家庭住址以及真实姓名的快递单,正成为某些快递物流从业人员的生财之道。近日有多家媒体报道,快递单信息正被大面积泄露,这些快递单部分被淘宝卖家买来刷信誉,还有一些被不法分子买来做信息源实施诈骗或者敲诈勒索等犯罪活动。
个人信息安全涉及到每一个人的隐私权和安全感。信息泄露会给公民的日常生活带来巨大困扰,甚至还会危害公民的人身和财产安全。去年7月,福建厦门的一名女白领遭入室抢劫被杀害,凶手就是通过快递单上透露的信息找上门来的。
企业存在“主动泄密”情况
个人信息由于它本身所具有的巨大商业价值,使得一些不法分子在利益驱动下,采取种种手段非法获取、买卖公民个人信息,并且形成了黑色产业链。据工信部调研显示,近八成的个人信息泄露源自信息所有者的内部作案。许多机构保存有客户的姓名、地址、电话等各种个人信息,但却没有在传、存、使用和销毁等环节建立起保护隐私的完整机制。对于这些机构的某些员工而言,他们可以很轻松地拿到个人信息卖钱,而不用付出额外劳动。
企业有责任和义务保护用户的信息安全,然而用户的哪些信息需要保护、如何保护,法律没有明确标准。尽管大部分企业在不同程度上采取了保护个人信息的措施,但很难保证这些措施在各个环节都能够得到落实。
此外,我国法律对信息泄露者惩罚机制较弱,缺乏威慑力。在中国软件开发联盟600多万条用户名和密码泄露案件中,警方发现安全管理制度和技术保护措施落实不到位是造成用户信息泄露的主要原因,但对网站的处罚只是提出行政警告。
在信息泄露中,最让公众担忧的是某些软件提供商的主动泄密行为——在用户毫不知情的情况下,利用技术优势窃取用户信息,并将信息与广告商分享并从中获利,实现商业利益最大化。在国外,这样做将会承担非常大的经济和法律风险。如在今年8月,美国监管部门要求谷歌支付2250万美元民事罚款,原因是谷歌绕过苹果公司Safari浏览器的隐私设置收集网民的上网信息,并据此展示针对性的广告。
法律监管尚存“主体”漏洞
尽管我国目前已经有近40部法律、30部法规和近200项部门规章涉及个人信息保护,但大部分规定均采用了十分原则的表述,大多无法作为直接定案的依据,可操作性差。就法律的体系而言,我国法律对个人信息的保护散见在众多规范性法律文件中,内容缺乏统一性,相互之间也缺乏衔接,不利于法律的适用。就法律的效力而言,大多数是一些位阶比较低的行政法规、地方性法规、部门规章等,缺乏权威性,不利于此类问题的处理。
2009年2月28日第十一届全国人民代表大会常务委员会第七次会议通过《中华人民共和国刑法修正案(七)》,增加了个人信息犯罪的规定,这是个人信息立法的标志性事件之一。根据该修正案规定,在刑法第253条后增加一条,其内容为:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取、收买或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”
然而在现实生活中,除了刑法所规定的主体之外,房地产公司、物业公司、中介机构、教育辅导机构、酒店、物流公司等机构甚至个人,将公民个人信息出售、非法提供给他人并造成严重后果的现象屡见不鲜,但是这些主体却没有被纳入刑法规定的范围之内。
在个人信息保护缺少专门法律规范时,企业的自律成为保护个人信息另外一个重要手段。据悉,我国首部保护网上个人信息的行业规范《信息安全技术公共及商用服务信息系统个人信息保护指南》已经编制完成即将发布,该指南对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则。这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。然而,该指南并非国家强制性标准,只具有引导作用,没有严厉的处罚措施,要求企业严格按照这一标准来保护用户的信息安全依然难以实现。
应尽快制定个人信息保护法
就公民个人信息保护而言,只有制定专门的个人信息保护法,依法对个人信息进行严密的监控和保护,提高不法分子的违法成本,加大不法行为的惩处力度,才能确保公民的个人信息安全。
在个人信息保护法中应当明确个人信息的概念,将一些应当得到保护而长期得不到保护的个人信息纳入到法律的保护范围中来。此外,在信息时代,个人信息安全的侵犯者和被害人的地位是不对等的,被害人知道自己的个人信息被泄露后,很难知道在何处泄露,因为取证困难,难以找到具体的侵权方;同时,在侵害后果形成后,被害人又很难消除对自己造成的负面影响。因此在个人信息保护法中应当明确个人信息管理者的法定责任和义务,确保个人信息管理者尽到应尽的管理和保护义务。
在监管机构方面,我国应当建立专门的信息保护监督机构,要求信息处理者向机构注册,对信息的处理进行监督。在国家法律法规的制约下,公民个人信息安全将从根本上得到保障和支持。
在专门的个人信息保护法没有制定出台前,政府可以公布信息管理的条例,推动个人信息的国家保护力度的提升。公民个人应当提高个人信息安全保护意识,积极防范各类信息泄露和欺诈,特别需加强网上购物及交易安全防范意识。保护用户信息安全是企业的责任与义务,企业应当加大人力、财力和技术投入,建立信息技术保护手段、网络安全技术手段来全面保护用户的个人隐私信息,保护整个互联网产业健康发展。
相关链接
信息保护
通过第三方“监管”
美国从2010年起开始尝试推行《网络空间可信身份国家战略(草案)》,希望建立一个“允许用户在线交易时创建可信身份”的系统,保护个人信息安全。这其实就是建立一种“身份属性供应商”渠道,犹如电子商务领域的第三方交易平台,当用户在网站进行登记、注册时,不需要直接向网站提供个人身份信息,而是由第三方提供身份证明,这样就减少了网络公司对用户信息的收集和保管,降低了用户信息泄露的风险。
同样,法国曾颁布法令,强调个人信息优先的权利,禁止在未经许可的情况下采集和利用私人资料,其中包括个人姓名、身份、电话、住址等相关信息。随着社会进入信息化时代,2006年,法国将原有相关法令进行修改、细化,并成立了全国信息管理委员会,对使用私人信息的社会团体或个人进行严密的监管。如果利用行业之便掌握了他人信息,在未经本人同意的情况下,将隐私信息泄露出去,按照法国刑法可判处一年监禁和15000欧元罚款;因透露隐私信息对他人声誉或其他方面造成严重损害,可最高判5年监禁和30万欧元的罚款。2011年3月,法国互联网隐私保护监管部门向谷歌开出了10万欧元的罚单,原因是谷歌街景地图和地理位置为社交媒体服务违反了法国的隐私保护法律。
延伸阅读
附加条款
征求同意是否有效
我们在下载软件或者使用某款电子产品时经常收到一份格式合同款的附加条款,使用者要想继续只能选择“同意”,这样的附加条款往往包含有很多内容,使用者真的都愿意“同意”吗?
今年10月15日,新加坡国会通过个人信息保护法案。法案规定,机构或个人在收集、使用或披露个人资料时必须征得同意,必须为个人提供可以接触或修改其信息的渠道。如果不是个人主动自愿同意,而是通过其他手段获得或泄露信息,或用附加条款征求同意,该同意被视为无效。另外,个人同意后,还有权撤回。
新加坡政府还将成立个人信息保护署,作为新加坡保护个人信息的主要机构。人们可以在政府建立的名单上注册,机构或个人将被禁止向名单上人员发送垃圾信息。这些信息包括以营销为目的的电话、传真、文字短信和多媒体信息等,也包括通过微信等方式发送的信息,但不包括通过手机应用程序发送的信息。个人信息保护署可以对违反法案的行为施以不超过100万新元的处罚;向名单中的号码发一条垃圾短信,可能面临最高1万新元罚款。