個人信息保護法是一部保護個人信息的法律條款,現尚在制訂中。涉及法律名稱的確立、立法模式問題、立法的意義和重要性、立法現狀以及立法依據、法律的適用範圍、法律的適用例外及其規定方式、個人信息處理的基本原則、與政府信息公開條例的關係、對政府機關與其他個人信息處理者的不同規制方式及其效果、協調個人信息保護與促進信息自由流動的關係、個人信息保護法在特定行業的適用問題、關於敏感個人信息問題、法律的執行機構、行業自律機制、信息主體權利、跨境信息交流問題、刑事責任問題。對個人及行業有著很大的作用。
基本介紹
- 中文名:個人信息保護法
- 外文名:Personal information protection law
- 發布日期:尚在制訂中
- 制訂機構:全國人大
社會現象,現象分析,立法需求,維權途徑,
社會現象
非法買賣個人信息已成新興產業
中國社會科學院2009年3月2日發布“法治藍皮書”。藍皮書指出,信息處理和存儲技術的不斷發展,我國個人信息濫用問題日趨嚴重,社會對個人信息保護立法的需求越來越迫切。
2007年9月~2008年12月,中國社科院法學研究所針對個人信息保護現狀專門組成課題組,在北京、成都、青島、西安4個城市進行調研,結果讓課題組成員頗為“驚心”。他們將我國個人信息濫用情況大致歸納為如下類別:
第一種是過度收集個人信息。有關機構超出所辦理業務的需要,收集大量非必要或完全無關的個人信息。比如,一些商家在辦理積分卡時,要求客戶提供身份證號碼、工作機構、受教育程度、婚姻狀況、子女狀況等信息;一些銀行要求申辦信用卡的客戶提供個人黨派信息、配偶資料乃至聯繫人資料等。
第二種是擅自披露個人信息。有關機構未獲法律授權、未經本人許可或者超出必要限度地披露他人個人信息。比如,一些地方對行人、非機動車交通違法人員的姓名、家庭住址、工作單位以及違法行為進行公示;有些銀行通過網站、有關媒體披露欠款者的姓名、證件號碼、通信地址等信息;有的學校在校園網上公示師生缺勤的原因,或者擅自公布貧困生的詳細情況。
第三種是擅自提供個人信息。有關機構在未經法律授權或者本人同意的情況下,將所掌握的個人信息提供給其他機構。比如,銀行、保險公司、航空公司等機構之間未經客戶授權或者超出授權範圍共享客戶信息。
更為惡劣的還有非法買賣個人信息。調查發現,社會上出現了大量兜售房主信息、股民信息、商務人士信息、車主信息、電信用戶信息、患者信息的現象,並形成了一個新興的產業。比如,個人在辦理購房、購車、住院等手續之後,相關信息被有關機構或其工作人員賣給房屋中介、保險公司、母嬰用品企業、廣告公司等。
調查發現,雖然絕大多數人認為自己有權了解個人信息的存在情況,如果濫用造成損失可以請求賠償,但在是否有權拒絕提供信息上,不少人認為自己沒有這個權利。
42.5%的受訪者對課題組表示,曾遇到過有關機構不當處理其個人信息的情況。不過,課題組認為,這一數據僅在一定程度上反映出那些明確感受到自身個人信息被濫用的公眾的情況,並不能夠反映出那些自身個人信息雖被濫用、但自己尚不知情的公眾的情況。
受訪者普遍感到,有關機構在處理個人信息過程中問題不少。例如不明確告知個人信息的用途;很多信息與所要辦理的業務無相關性;有關機構超出原有的目的使用個人信息;有關機構的個人信息保管機制不健全,存在信息被泄露、篡改的可能等。這種情況在政府機關也相當數量地存在著。
在調查過程中,很多受訪者表達了希望有關機構刪除本人的部分或者全部信息的想法。因為他們或者不再接受其服務,或者經常遭受電話、郵件的騷擾。“個人信息被濫用正在威脅著我的生活安寧、生命財產安全,令自己感到壓力或者心情不愉快。”一位受訪者說。
需要注意的是,在個人信息曾被濫用的被調查者中,僅有4%左右的人進行過投訴或提起過訴訟。導致公眾在進行投訴、訴訟時遇到困難或不願意投訴、提起訴訟的因素有:無法確定哪些機構應承擔責任、無法確定向什麼機構投訴或者以誰為對象提起訴訟、無法獲得有力的證據、投訴或者訴訟成本過高等。
即便採取了投訴或者訴訟等救濟手段,也僅有8.1%的人獲得了救濟或者達到了目的,其他的或者因為處理個人信息的機構推諉、搪塞而不了了之,或者因為預料到無法通過投訴或訴訟獲得救濟而中途放棄。
課題組認為,這種結果和現行個人信息保護規定存在缺陷關係很大。由於個人信息保護尚缺乏專門性規定,個人信息處理活動應當遵循怎樣的原則、信息主體在個人信息處理活動中享有哪些權利、對濫用個人信息的信息處理者如何予以制裁、由什麼機構負責執法等,都存在疑問。
另外,現行的各類規定一般僅限于禁止泄露個人信息,但是,個人信息主體在信息收集、保存、利用中的知情權、同意權、請求更正錯誤信息和刪除不必要信息乃至獲得救濟的權利等,幾乎都沒有得到確認。
調查中,幾乎所有接受調查的公眾都贊成加強個人信息保護的立法工作(占99.3%),希望政府機關能夠加強個人信息保護執法,嚴厲打擊濫用個人信息的現象(占99.3%),設立專門機構負責對濫用個人信息的行為進行查處(占93.8%)。
2009年2月25日提請十一屆全國人大常委會第七次會議進行三審的刑法修正案(七)草案增加規定,單位將在履行職責或者提供服務過程中獲得的公民個人信息出售或非法提供給他人,情節嚴重的將受刑懲。
草案二次審議稿規定,對國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,將本單位在履行職責或提供服務過程中獲得的公民個人信息,出售或非法提供給他人,情節嚴重的,處三年以下有期徒刑或者拘役,並處或單處罰金。
審議中,一些常委委員和部門提出,單位從事上述行為的情況也比較嚴重,應增加單位犯罪的規定,故草案增加規定:單位有以上犯罪行為的,對單位判處罰金,並對其直接負責的主管人員和其他直接責任人員,依照該款規定處罰。
曝光垃圾簡訊源頭
·運營商:一提起傳送廣告簡訊,客戶經理們都顯得頗為謹慎。濟南移動公司的態度有些遮遮掩掩,但是在山東省內的其他移動公司,只要一提起傳送商業廣告路的簡訊,工作人員都很直截了當。
·關鍵字:小區簡訊:為了能夠提高簡訊傳送速度,有些移動公司還採用了一種方式——小區簡訊。小區簡訊就是以基站作為傳送中心,向基站覆蓋區域內的移動用戶傳送簡訊。
黑名單:除了對傳送的地域進行限制之外,他們還對一些特殊的用戶進行了一些特殊的處理。可能涉及到一些高層領導一般是禁發的,有黑名單會直接過濾。
違法信息照發:這是一張寫著外企公司代開增值稅發票等的內容。在德州移動公司的門市里,這位馬主任正在熱情地為信息的傳送牽線搭橋。
外賣信息:不僅移動公司在傳送垃圾簡訊,有一些與他們合作的廣告公司也能傳送垃圾簡訊。
電信等單位非法出售公民個人信息將受刑罰
根據報導,自2003年起國務院就委託有關專家開始起草《個人信息保護法》,2005年專家建議稿已經完成,並提交國務院審議,啟動了保護個人信息的立法程式。在每年的全國“兩會”上,都有人大代表大聲疾呼。這都在相當程度上折射出,我國公民個人信息被泄露和濫用已經到了相當嚴重的程度,甚至已經成為一種社會公害,加快立法步伐,制定個人信息保護法到了刻不容緩的地步。
在此之前,我國的法律中還沒有關於個人信息的專門規定。以往<民法通則>第101條關於個人隱私權保護的規定,“公民、法人享有名譽權,公民的人格尊嚴受法律保護,禁止用侮辱、誹謗等方式損害公民、法人的名譽。” 這樣籠統而模糊的規定,已顯得過於原則、缺乏可操作性。至於《最高人民法院關於貫徹執行〈民法通則〉若干問題的意見(修改稿)》所確認的“隱私權”,只有當個人信息確實被侵犯,並發生了實際損害之後,才能主張侵權責任賠償,這樣的保護既不及時便捷,也談不上足夠有效。
2008年8月25日,首次提請審議的刑法修正案(七)草案(以下簡稱草案)專門增加規定,明確提出國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,違反國家規定,將履行公務或者提供服務中獲得的公民個人信息出售或者提供給他人,或者以竊取、收買等方式非法獲取上述信息,情節嚴重的,追究刑事責任。
機關與公共服務單位收集與儲存個人信息本意是為提高行政管理和公共服務的質量及效率,可是另一方面,也使個人信息泄露成為可能。世界上國家或地區已經有超過50個制定了個人信息保護法律,通過限制公權力的途徑來保護個人信息已經是通用做法。在這樣的背景下,草案對侵犯公民個人信息的行為追究刑事責任,極具現實針對性。刑法的作用也僅局限於防範、阻止和懲罰犯罪行為。而現有刑法的規定集中於規範公權力,對於尚未觸犯刑律的行為,再威嚴的刑法也無能為力。刑法與個人信息法的組合乃至信息保護法律法規體系的形成才是改變信息保護失序環境的根本。
在網路隱私權的保護問題上,我國基本還處於無法可依的狀況。網路侵犯隱私權的情形主要集中在個人信息在收集、處理、傳輸和利用等環節中。概括起來,對網路隱私權的侵犯主要表現在:非法獲取、傳輸、利用用戶的個人數據資料、非法侵入用戶的私人空間、干擾私人活動以及破壞用戶個人網路生活的安寧和秩序等方面。
涉及這一問題的,只有信息產業部於2000年11月7日發布的《網際網路電子公告服務管理規定》中提及“電子公告服務提供者應當對上網用戶的個人信息保密,未經上網用戶同意,不得向他人泄露”,違反此規定者,由電信管理機構責令改正,給上網用戶造成損害或者損失的,依法承擔法律責任。
130萬考研者信息打包賣15000元
2014年12月份研究生名單數據包一共有130萬條信息,全部是當年報名參加考研的學生,覆蓋全國範圍。打包賣15000元,為了證明資料庫中數據的真實性,考研信息“賣家”貼出了部分考研學生信息的截圖。從截圖中可以看到,除了考生姓名、性別外,能夠買到的信息還包括手機號碼、座機號碼、身份證號、家庭住址、郵編、學校、報考專業等敏感信息,非常詳細。至於這些信息是從何而來,賣家並不願多說。
面對當前的環境,企業應當增加在信息系統有關網路信息安全防範的投入,建立專門的安全團隊;如果自身缺乏相關的專業人員來維護,就應當將網路安全維護外包給專業的安全公司去做。
現象分析
個人信息的法律保護問題是近半個世紀以來隨著信息社會的發展而日益凸顯的問題。由於社會觀念、信息產業、科學技術以及立法規劃等方面的原因,我國很長一段時間以來沒有認識到保護個人信息的重要性,因此直到現在為止,我國還沒有制定專門的個人信息保護方面的法律。當然,這並不意味著我國對個人信息不進行保護。現階段,我國對個人信息的保護,主要體現在兩大方面:一是在與個人信息保護有關的法律法規中設定個人信息保護條款對個人信息加以法律保護。個人信息的法律保護又可以表現為法律的直接保護和間接保護,所謂法律的直接保護即法律法規明確提出對“個人信息”進行保護;間接保護即法律法規通過提出對“人格尊嚴”、“個人隱私”、“個人秘密”等與個人信息相關的範疇進行保護進而引申出對個人信息的保護。二是通過信息控制人的單方承諾或特定行業的自律規範的承諾對個人信息加以自律性質的保護。個人信息在自律保護也表現為兩方面,即企業通過單方承諾這種市場運作方式對個人信息加以保護,以及特定行業組織通過行業自律規範對個人信息確立行業保護標準進而進行保護。
一、我國法律對個人信息的直接保護
通過全國人大網站中全國法律法規資料庫搜尋引擎的搜尋,我們發現,我國直接對“個人信息”加以保護的法律、法規、規章及司法解釋的數量相當有限,其中全國性的法律中僅有《中華人民共和國護照法》、《中華人民共和國身份證法》直接規定了“個人信息”的保護問題。《中華人民共和國護照法》(2006年4月29日通過,2007年1月1日實施)第十二條第三款規定:“護照簽發機關及其工作人員對因製作、簽發護照而知悉的公民個人信息,應當予以保密。”第二十條規定:“護照簽發機關工作人員在辦理護照過程中有下列行為之一的,依法給予行政處分;構成犯罪的,依法追究刑事責任:……(五)泄露因製作、簽發護照而知悉的公民個人信息,侵害公民合法權益的……”《中華人民共和國身份證法》(2003年6月28日通過,2004年1月1日實施)第六條第三款規定:“公安機關及其人民警察對因製作、發放、查驗、扣押居民身份證而知悉的公民的個人信息,應當予以保密。”第十九條規定:“人民警察有下列行為之一的,根據情節輕重,依法給予行政處分;構成犯罪的,依法追究刑事責任:……(五)泄露因製作、發放、查驗、扣押居民身份證而知悉的公民個人信息,侵害公民合法權益的。”
在全國範圍內具有規範效力的行政法規、部門規章和司法解釋直接提及“個人信息”保護問題的主要也僅有如下幾項:(1)《2006---2020年國家信息化發展戰略》。該《發展戰略》第六條第五項提出了“推進信息化法制建設”的要求,並提出:“加快推進信息化法制建設,妥善處理相關法律法規制定、修改、廢止之間的關係,制定和完善信息基礎設施、電子商務、電子政務、信息安全、政府信息公開、個人信息保護等方面的法律法規,創造信息化發展的良好法制環境。根據信息技術套用的需要,適時修訂和完善智慧財產權、未成年人保護、電子證據等方面的法律法規。加強信息化法制建設中的國際交流與合作,積極參與相關國際規則的研究和制定。;(2)《網際網路電子公告服務管理規定》(2000年10月8日通過,同日起施行)。該《管理規定》第十二條規定:“電子公告服務提供者應當對上網用戶的個人信息保密,未經上網用戶同意不得向他人泄露,但法律另有規定的除外。" (3)《最高人民法院、最高人民檢察院關於切實保障司法人員依法履行職務的緊急通知》(法[2005] 173號)(2005年8月25日頒布,同日起施行)。該《通知》第六條“加強司法警察隊伍建設和保密工作,做好宣傳教育工作”指出:“……強化案件保密工作,嚴禁違反規定泄露案情以及辦案人員的通訊方式、住址等個人信息,對於泄密行為,應當依照《人民法院審判紀律處分辦法》、《檢察人員紀律處分條例》的有關規定嚴肅懲處……”另外,少數地方性法規中,也偶有涉及個人信息保護的直接規定,例如:2003年修正的《北京市未成年人保護條例》第四十九條規定:“……任何組織和個人未經未成年人的監護人同意,不得在網際網路上收集、使用、公布未成年人的個人信息。”2003年12月23日上海市通過了個人信用信息方面的地方性法規—《上海市個人信用徵信管理試行辦法》,對個人信用信息的採集、處理、提供等作了較為詳細的規定。
需要特別指出的是,中國人民銀行2005年通過了有關個人信用信息管理及保護的專門性部門規章—《個人信用信息基礎資料庫管理暫行辦法》(2005年6月16日通過,2005年10月1日起實施)。該辦法包括總則、報送和整理、查詢、異議處理、安全管理、罰則、附則七章,共45條,對個人信用信息的收集、處理、利用、流通等作了較為詳細的規定。從內容方面觀察,該辦法在很大程度上遵循了個人信息保護的收集限制原則、信息質量原則、目的特定原則、使用限制原則、安全保障原則、公開原則、個人參與原則及責任原則。雖然該辦法在內容上還存在一些缺陷和漏洞,例如缺乏爭議信息的封存制度、錯誤信息導致個人損害的民事賠償制度等,但無論如何,我們可以將該辦法視為我國個人信息保護立法史上的一座里程碑,它開創了我國特殊領域的個人信息保護立法。
二、我國法律對個人信息的間接保護
在我國,除了上述直接明確提出對個人信息加以保護的法律法規之外,還存在一些通過規定保護人格尊嚴、個人隱私、個人秘密等與個人信息相關的範疇進而保護個人信息的法律。在根本大法方面,我國《憲法》(1982年)的“公民的人格尊嚴不受侵犯”、“公民住宅不受侵犯’,、“公民享有通信自由和通信秘密的權利”、“國家尊重和保障人權”等相關條款均可解釋為個人信息應當受到法律保護的憲法依據。在國家的基本部門法中,也或多或少、或明或暗地存在一些與個人信息保護有關的法律條款,例如:《民法通則》(1986年)關於人身權的相關規定中規定了“公民的人格尊嚴受法律保護”;《刑法》(1997年)在“侵犯公民人身權利、民主權利”的專章中,明確將“非法搜查他人身體、住宅,或者非法侵入他人住宅”、“侵犯公民通信自由”等行為列為犯罪行為;《民事訴訟法》(1991年)規定“對涉及個人隱私的案件應當不公開審理”;《刑事訴訟法》規定“涉及個人隱私的案件不公開審理”、“十四歲以上不滿十六歲未成年人犯罪案件,一律不公開審理。十六歲以上不滿十八歲未成年人犯罪的案件,一般也不公開審理”。
關於個人信息的間接保護,在淵源上除了上述國家根本大法和基本部門法之外,還有許多容易被忽視的部門法或行政法規、規章、司法解釋等。在婦女兒童個人信息的特殊保護方面:《婦女權益保護法》(1992年)規定:“婦女的人格尊嚴受法律保護”;《未成年人保護法》(1991年)規定:“尊重未成年人的人格尊嚴”、“任何組織和個人不得披露未成年人的個人隱私”;《母嬰保護法》(1994年)規定:“從事母嬰保健工作的人員應當嚴格遵守職業道德,為當事人保守秘密”。在個人醫療信息方面:《執業醫師法》(1999年)規定“醫生不得披露治療中獲得的健康信息”;《醫療機構病歷管理規定》(2002年)要求“除對患者實施醫療活動的醫務人員及醫療服務質量監控人員外,其他任何機構和個人不得擅自查閱患者的病歷”;《醫療事故處理條例》(2002年)進一步要求“醫療機構在複製或複印病歷資料時應當有患者在場”;《傳染病防治法》(2004年)禁止“故意泄露傳染病病人、病原攜帶者、疑似傳染病病人、密切接觸者涉及個人隱私的有關信息、資料”;《關於對愛滋病病毒感染者和愛滋病病人的管理意見》(1995年)規定:“從事愛滋病病毒感染者和愛滋病病人診斷、治療及管理工作的人員,不得向無關人員泄露有關信息。任何單位和個人不得將愛滋病病毒感染者和愛滋病病人的姓名、住址等個人情況公布或傳播”。在個人通訊信息方面:《郵政法》(1986年)規定:“除法律另有規定外,郵政企業和郵政工作人員不得向任何組織或者個人提供用戶使用郵政業務的情況”;《全國人民代表大會常務委員會關於維護網際網路安全的決定》(2000年)禁止“非法截獲、篡改、刪除他人電子郵件或者其他數據資料”;《網際網路安全保護技術措施規定》(2005年)規定:“網際網路服務提供者、聯網使用單位應當建立相應的管理制度。未經用戶同意不得公開、泄露用戶註冊信息,但法律、法規另有規定的除外。”在個人金融信息方面:《商業銀行法》規定:“商業銀行應當遵循為存款人保密的原則”、“對個人儲蓄存款,商業銀行有權拒絕任何單位或者個人查詢、凍結、扣劃,但法律另有規定的除外”;《個人存款賬戶實名制規定》規定:“除法律法規另有規定以外,金融機構不得向任何單位或者個人提供有關個人存款賬戶的情況”。在律師執業方面:《律師法》(2001年)規定:“律師應當保守在職業活動中知悉的當事人的隱私”;《律師執業行為規範》(2004年)規定:“律師必須保守委託人的個人隱私”。在檔案信息方面,《檔案法》規定:“一切國家機關、武裝力量、政黨、社會團體、企業事業單位和公民都有保護檔案的義務。”
三、個人信息保護的信息控制人自律機制
由於現階段我國缺乏對個人信息保護的專門性、統一性的立法,一些信息控制人為了增強行為相對人的信心,進而促進相關行業通過收集、處理、利用、傳遞個人信息而獲得更大的發展,單方面作出了保護個人信息的承諾或制定了保護個人信息的內部行為規範。這是信息控制人採取的一種典型的保護個人信息的自律措施。我國採取此類自律措施保護個人信息的信息控制人主要集中在非公共部門,特別是一些大型的商業網站,當然也有其他行業如銀行業的經營者。以下就列舉幾個典型的非公共部門信息控制人對個人信息保護採取的自律措施。
知名的綜合性網站“新浪網”在其首頁即載明了該網站的“隱私保護”政策。該隱私保護政策比較典型地體現了當前網站經營者所採取的自律措施,因此本文對此作一簡要介紹。在其隱私保護政策中,新浪網首先表明:“隱私權是您的重要權利。向我們提供您的個人信息是基於對我們的信任,相信我們會負責的態度對待您的個人信息。我們認為您提供的信息只能用於幫助我們為您提供更好的服務。因此,我們制定了新浪網上個人信息保密制度以保護您的個人信息。”新浪網有關個人信息保護的自律措施大致包括以下內容:第一,該網站所收集的個人信息的種類。“通常,您能在匿名的狀態下訪問我們的網站並獲取信息。在我們請求您提供有關信息之前,我們會解釋這些信息的用途。我們有些站點需要註冊才能加入,在通常情況下,這類註冊只要求您提供一個電子郵件地址和一些諸如您的工作,職務一類的基本信息。有時我們也會請您提供更多的信息。我們這樣做是為了使我們更好的理解您的需求,以便向您提供有效的服務。我們站點收集的信息包括姓名,地址和電話號碼。您有權隨時決定不接受來自我們的任何資料。”第二,關於敏感個人信息保護及個人信息的使用。“我們將採取適當的步驟保護您的隱私。每當您提供給我們敏感信息時,我們將採取合理的步驟保護您的敏感信息,我們也將採取合理的安全手段保護已存儲的個人信息。除非根據法律或政府的強制性規定,在未得到您的許可之前,我們不會把您的任何個人信息提供給無關的第三方(包括公司或個人)。但是,如果您要求我們提供特定客戶支援服務或把一些物品送交給您,我們則需要把您的姓名和地址提供給第三者如運輸公司。我們的網站將會提供第三者網站的連結。由於我們不能控制這些網站,所以我們建議您細閱這些第三者網站的個人信息保密制度。”第三,該網站隱私保護的原則。(1)每當新浪網需要識別您的身份或與您聯絡時,會明確的詢問所需的資料,即個人資料。一般而言,當您在網站上註冊,要求提供特別服務,或是如參加獎金競賽,便會被詢問到這項資料。可能的話,新浪網會利用一些方法,確認您的個人資料的正確性與時效性。(2)新浪網站及其必要的服務夥伴使用您的個人資料來運作網站和服務,並且會通知您各項新的功能與服務,以及新浪網和其附屬公司的各類產品。新浪網也會謹慎地挑選來自其他公司的產品或服務資料傳送給您,通常是有關於站點本身的服務,但這並非必要(僅是次要用途)。(3)如果新浪網想要將個人資料用在次要用途上,新浪會提供您如何拒絕這項服務的說明。您可以依照新浪網寄給您的資料或促銷信件上的說明,終止這些信件的傳送。(4)新浪網也許會因法律要求公開個人資料,或者因善意確信這樣的作法對於下列各項有其必要性:符合法律公告或遵守適用於新浪站點的合法程式;保護新浪網的用戶之權利或財產;在緊急的情況下,為了保護新浪及其用戶之個人或公眾安全。(5)任何時候如果您認為新浪沒有遵守這些原則時,請利用電子郵件privacy@staff sina.com通知我們,我們會盡一切努力,請合理適當的範圍內立即改善這個問題。”第四,Cookies的用途。“新浪網站有時會使用cookies以便我們知道哪些網站受歡迎,使您在訪問我們的網站時得到更好的服務。cookies不會跟蹤個人信息。當您註冊我們的網站程式時,新浪亦會使用cookies。在這種情況下,會存儲有用信息,使我們的網站在您再次訪問我們的網站時可辨認您的身份。來自新浪網站的cookies只能被新浪網站讀取。如果您的瀏覽器被設定為拒絕cookies您仍然能夠訪問我們的大多數網站。”第五,關於個人信息的更新及隱私保護政策的更新。“如果您的地址,職務(職稱),電話或e-mail地址發生變化,您可以按新浪網站中公布的聯繫方式通知新浪,以幫助我們保持您的資料的準確性。你也可以通過登入新浪網用戶註冊頁面的更新會員資料欄的方式自行更新您的個人信息。新浪歡迎您對這項保密制度給予評論並提出質疑。我們將致力於保護您的個人信息,盡全力保證這些信息的安全。由於網上技術的發展突飛猛進,我們會隨時更新我們的信息保密制度。”
在銀行業方面,一些銀行通過制定相關內部規定對客戶個人信息進行保護。1999年,中國工商銀行發布了《中國工商銀行員工行為守則》,規定工商銀行員工應當“嚴守客戶秘密。對於客戶提供的信息資料,員工有保密的義務,以維護客戶的合法權益。除依法可以提供或客戶同意提供的信息外,員工無權擅自披露客戶信息。非工作需要,不得與同事隨意談論客戶情況。以電話、電子手段交流或傳遞業務信息時,要注意保護客戶信息安全。答覆有關信用情況諮詢,應對諮詢者和諮詢對象雙方負責。提供對方的數據不得超出銀行允許的範圍。無關人員不能隨意接觸客戶信息,更不得為個人目的利用客戶信息。向公安局、檢察院、法院等司法機關提供客戶信息,須有公安、司法等部門出具的完備手續,並嚴格按規定程式進行。嚴禁向親屬、朋友透露或提供客戶信息。”2002年,中國建設銀行發布了《中國建設銀行個人VIP客戶服務管理辦法(試行)》,該辦法規定:“各級行必須為每個VIP客戶建立檔案,記錄客戶個人資料和服務信息,不得遺漏。”“各級行必須妥善保管客戶檔案資料,非依法律規定或客戶允許,任何單位和個人不得對外公開或泄露客戶的個人資產和賬戶交易等客戶資料。”
四、個人信息保護的行業自律機制
在我國,作為信息產業重要組成部分的網際網路行業對個人信息所遭受的日益嚴峻的威脅有較為密切的關注。我國對個人信息保護採取行業自律機制措施的行業也主要表現為網際網路行業。中國網際網路協會於2002年公布了《中國網際網路行業自律公約》,倡議網際網路全行業從業者加入本公約,並要求成員“自覺維護消費者的合法權益,保守用戶信息秘密;不利用用戶提供的信息從事任何與向用戶作出的承諾無關的活動,不利用技術或其他優勢侵犯消費者或用戶的合法權益”。同時約定,由中國網際網路協會負責組織實施該公約,負責向公約成員單位傳遞網際網路行業管理的法律、政策及行業自律性信息,及時向政府主管部門反映成員單位的意願和要求,維護成員單位的正當利益,組織實施網際網路行業自律,並對成員單位遵守本公約的情況進行監督。
行業自律標識作為個人信息保護行業自律機制的重要實施手段,在我國也己出現。我國網際網路行業的迅猛發展,但是,行業快速增長的背後也隱藏著一系列不和諧的音符:垃圾郵件泛濫、病毒、惡意軟體滋生、網路語言暴力、網路色情等等現象讓網民己經無法自由享受網際網路生活,網民的基本權益受到嚴重的侵害。2006年11月1日,中國網際網路協會、違法和不良信息舉報中心、反垃圾郵件中心、晚報協會、奇虎公司共同正式宣布,首個網際網路公益品牌“淨藍絲帶”正式啟動。淨藍絲帶作為杜絕網際網路惡意行為的一個標識,用於宣傳“淨化網際網路空間人人有責,打擊網際網路犯罪人人出力”的信息,並呼籲“拯救網路弱勢群體,杜絕網路惡意行為”。藍絲帶象徵紐帶,將政府有關機構、網際網路企業、網民緊緊聯繫在一起,共同抵抗網路惡意,象徵著國家對網際網路行業健康發展的關心和支持,象徵著網民對網際網路熱愛和對純淨網際網路空間的渴望,象徵著網際網路企業關注網民感受,洛守自律的承諾。
五、小結
基於上文的論述,我們可以判斷,我國個人信息保護之現狀具有如下特徵:
第一,在個人信息的法律保護方面:(1)就法律的適用範圍而言,保護個人信息的法律條款數量較為有限、適用範圍相對狹窄,沒有專門的針對所有信息控制人均適用的統一的個人信息保護法;(2)就個人信息的法律保護手段而言,重“刑事處罰”和“行政管理”,輕“民事確權”與“民事歸責”,導致個人信息遭受侵害後,即使侵權行為人最終遭致刑事處罰或行政處罰,但信息主體的財產及非財產損失卻得不到任何實質性的補償;(3)就法律的可操作性而言,大部分規定缺乏可操作性,許多條款僅僅規定了對個人信息的保密義務,而沒有規定違背該義務的後果;(4)就法律的體系性而言,現有規定之間缺乏體系上的呼應,給人一種“雜亂無章”、“群龍無首”的感覺,不符合我國已經繼受的大陸法系的法律思維,同時也不利於法律的適用;(5)就法律條款的具體內容而言,大部分條款通常僅對個人信息保護問題輕描淡寫、一帶而過,往往未能揭示個人信息保護的立法理由、個人信息保護的基本原則、信息主體的權利、個人信息收集、處理、利用及傳遞的規則、個人信息保護的執行機制及監督機制等個人信息保護法應當具備的重要內容。(6)就保護個人信息的觀念而言,我國法律對個人信息的直接保護是近幾年來的新近發展趨勢,在較長時間內由於對個人信息保護的重要意義缺乏正確認識而僅對個人信息採取了有限的間接保護措施。
第二,在個人信息的自律保護方面:(1)非公共部門,特別是一些商業網站,己經逐步認識到了個人信息的巨大價值以及個人信息對信息主體的重大意義,為了增強消費者使用網路的信息,提供了相對較為詳細的隱私保護政策。但也應注意到,我國國內各商業網站的個人信息保護水平差異很大,大型的商業網站大多有比較完備的個人信息保護政策;但一些小型網站在個人信息保護方面是令人擔憂的,它們不僅沒有公開相應的個人信息保護政策,甚至不惜商業信譽,只要能給網站的經營者帶來利益,就會不適當地收集、利用乃至出售訪問者的個人信息。另外,非公共部門中,除了商業網站及為數不多的其他主體之外,大多數非公共部門並沒有單方面向相對人提供個人信息保護政策。與上述單個信息控制人在個人信息保護方面的自律措施相對應的是,除了網際網路行業,其他的非公共部門行業也鮮有保護個人信息的行業自律公約。
(2)就公共部門而言,出於長期以來形成的“官本位”的思維定勢,對個人信息的關注基本上是出於其管理的需要,強調得更多的是個人提供信息的義務,而個人就其自身信息所享有的權利基本被漠視。舉例而言,如今瀏覽我國的各級政府網站,幾乎無法看到與一些大型商業網站所具備的“隱私政策”,哪怕是中央人民政府的網站一一“中國政府網”對個人上網信息的保護問題也沒有提供相應的政策,這不能不說是我國電子政務發展至今的一大遺憾。就這一現象,有學者認為,“這可能由於我國政府網站還處於發展的開始階段,主要功能還只是對政府政策、辦事流程的公示,起到的只是一個電子公告版的作用。政府網站之提供給網路用戶閱讀信息、資料,而不收集網路用戶的個人信息。”但是,這些學者同時也認為,“政府網站發展成為和大多數商業網站那樣具有互動式的平台是必然的趨勢。為了更好的為納稅人服務,政府網站將來肯定會朝著功能多樣化的方向發展。為了方便用戶和網站的運作,提供更加個性化的服務,將來的政府網頁完全可能發展到給不同的用戶傳送不同的、適合用戶胃口的個性化網頁。這樣,政府網站也就不可能不收集網路用戶的個人信息而永遠停留在電子黑板報的層次。另外,不同的政府部門通過網上政務處理,掌握大量關於市民通過網路提交的方方面面的信息,如果缺乏個人信息保護政策,就很肯能侵犯個人信息。”對於這一論述,筆者深表贊同。
正因為個人信息保護機制的這種現狀,導致了我國社會生活中個人信息頻頻遭受各種威脅。面臨這樣的狀況,除了由每一個人自己加強自我保護、倡導個人信息保護自律機制的建構之外,越來越多的人們希望我國能夠在個人信息保護領域制定一部專門的法律。事實上,如果從建設法治社會的大背景出發,無論是加強信息主體的自我保護、倡導建構個人信息保護的自律機制,還是制定個人信息保護法,均應當著重從民法保護個人信息的角度進行觀察與理解。刑法和行政法對個人信息的保護固然能夠起到重要的不可或缺的作用,在一定程度上也能夠起到預防侵害個人信息行為的發生,但刑法重在懲罰、行政法重在行政管理,其對信息主體的權利確認及事後的全面救濟的作用是有限的。
首先,信息主體保護自身個人信息的力量可以通過民法上的自力救濟制度得以強化。在法治社會,雖然原則上不允許自力救濟,但在來不及採取公力救濟措施並且權利有被侵害的現實危險時,法律允許有限地採用自力救濟,信息主體可以在法律允許的限度內通過實施自衛行為或自助行為保護自身的個人信息。
其次,就自律機制而言,若信息控制人主動單方面地作出信息保護的承諾,則可以將控制人的這一行為判定為民法上附生效條件的法律行為,一旦條件成就,即信息主體的信息被承諾人所控制,則信息控制人的承諾行為即發生法律效力,信息控制人此時即應當承擔其承諾的信息保護義務;若行業自律組織對個人信息保護作出了承諾,則可以視為加入該自律組織的信息控制人均作出了信息保護的承諾,如此一來,同樣可以採用附生效條件的法律行為的相關理論進行解釋與處理。
另外,如果從民法生長的社會基礎—市民社會的理論出發,行業組織是現代市民社會的重要構成環節。是國家權力與市民權利的緩衝地帶,行業組織對個人信息保護的重要作用是不可小覷的。最後,個人信息保護法的制定,其內容雖然離不開個人信息的行政保護及刑事保護,但對信息主體而言,對其最有力也是最為實質的保護是通過個人信息保護法賦予其相應權利,使信息主體能夠通過自身權利對抗公權力對其個人信息的不當干預、並平衡與其他私權利主體之間的權利衝突。與此同時,當不當侵害他人個人信息時,通過法律對侵權行為人苛以民事責任,則能使被侵害的信息主體得到全面的救濟與補償。
立法需求
立法迫切性
中國人民大學法學院刑法專家謝望原教授認為,一些國家機關和電信、金融等單位在履行公務或提供服務活動中獲得的公民個人信息被非法泄露的情況時有發生,對公民的人身、財產安全和個人隱私構成嚴重威脅。對這類侵害公民權益情節嚴重的行為,應當追究刑事責任。相比起國外或我國港台地區而言,我國法律對個人隱私的保護力度還遠遠不夠。現代刑法的一個顯著特徵是它不僅要做國家的“刀把子”,還要成為保障公民個人合法權益的“大憲章”。此次刑法修正案草案這種注重對公民隱私的保護、約束公權力和公共服務的刑事立法理念,值得進一步拓展。
中國發展戰略研究所研究員王春暉博士認為,隨著信息技術的高速發展,個人信息的蒐集變得越來越容易。對此類信息的不當使用或予以公開會給個人造成財產、精神上的損失。因此,對個人隱私權的保護不能只停留在所謂獨處權的保護上,而應該朝著保護個人信息的方向發展。隱私權已經從傳統的“個人生活安寧不受干擾”的消極權利演變為現代的具有積極意義的“信息隱私權”。另外,根據該修正案草案對犯罪主體的描述:行為人違反國家規定,將履行本單位職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人,或者以竊取、收買等方式非法獲取上述信息,情節嚴重的,將構成犯罪。可見,侵犯公民信息權方面的犯罪主體不僅有特殊主體,也包括一般主體。也就是講專門從事金融、電信、交通、教育、醫療等單位的工作人員是構成本罪的特殊主體,那些以竊取、收買等方式非法獲取上述信息的行為人也可以構成本罪的主體。
王春暉博士提出,刑法修正案專門就保護公民的個人信息作出規定,無疑對於那些非法出售、提供或者以竊取、收買等方式非法獲取公民信息的不法之徒是一種威懾。因為,在所有的法律責任中,刑事法律責任的懲處和威懾是最嚴厲的。我國以修改刑法的方式介入個人信息保護,表明了國家對公民個人信息保護重視的程度,同時也證實了國家對公民個人信息保護的力度。
當然,對公民個人信息的保護僅憑一條刑法修正案是遠遠不夠的,不可能解決個人信息保護的所有問題。個人信息保護法律體系是一個涉及憲法、刑法、民法、行政法等多個部門法的綜合體系。
因此,王春暉博士建議應當儘快制定和頒布一部專門保護個人信息的專門法律———個人信息保護法,這部專門法律應當在兩大方面有所作為:一是對政府部門利用公權力泄露個人信息應當加以重點規制;二是對一些大眾服務類企業,諸如金融、電信、交通、教育、醫療等單位,對客戶信息的保護應當作出嚴格的規定。
個人信息保護法的制訂也將更全面更完整地保護網路上的個人隱私和信息,同時對網際網路企業加強行業自律方面起到作用。反觀國際上的做法,歐洲國家在個人數據資料保護方面採取了國家立法主導的模式;而美國聯邦政府主張採取自律模式,美國聯邦政府1997年發表的《有效自律途徑保障隱私的各種要素》報告,認為推動企業制定完善保護個人資料隱私的方案及政策,將使消費者產生信任,進而願意提供個人資料及進行網際網路交易,只有這樣,方能促進商業活動發展。
我國在個人信息保護立法方面,也應該在保護和促進經濟發展兩者之間取得一定的平衡,必須衡量兩方面的利益,既要保障個人隱私資料保護的要求,使網路使用者對網路產生信心,也要避免抑制網路事業的發展,以期制訂最妥善、最完備、適合我國國情與未來網路事業發展需要的法律規則。同時,在個人信息保護法即將出台,保護個人的隱私的基本精神得以確立的情況下,網際網路企業要加強自律,遵守基本的道德規範和網路秩序,增強網路企業公民的社會責任感。法規和自律相結合,一個適合國情、相對完善的個人信息保護體系就不再遙遠。
立法因何遲滯
“由於我們對個人信息隱私沒有切實有效的保護,導致我們的日常工作和生活因個人信息的外泄而遭受嚴重的干擾,甚至造成財產和名譽受損。”全國政協委員胡旭晟日前提交提案,呼籲儘快制定《個人信息保護法》。也正像是對制定個人信息保護法的呼應,中國社會科學院發布的2009年“法治藍皮書”指出,信息處理和存技術的不斷發展,我國個人信息濫用問題日趨嚴重,其中更為惡劣的是非法買賣個人信息,社會對個人信息保護立法的需求越來越迫切。
散落在一些法律條款中的信息保護規定已無法適應尊嚴與權利的要求,我們需要一部《個人信息保護法》,這已沒什麼好說的。然而,相關立法工作卻諱莫如深地變得遲疑起來。早在2003年,《個人信息保護法》專家建議稿就開始起草,並於2005年遞交相關部門。“由於個人信息保護立法的重要性和緊迫性”,該課題組組長、中國社科院法學所研究員周漢華曾認為這部法律最終出台“不會用太久時間”。但五年過去,全國兩會政協委員依舊在為制定此法提交提案,公眾在漫長的等待中,也一再支付著成為“透明人”的代價。
個人信息被非法買賣,獨處的權利被無禮入侵,而公眾通常維權無處,只是其中的一個方面。與之截然相反的另一方面,一個更大的事實則是:應當被公開的個人信息,也因此處於含混與拒絕公開之狀態。這實在是個人信息立法不容迴避的一個環節,那就是並非一切個人信息都受到保護。比如公眾人物尤其是官員的信息。
我們已經知道,以官員財產申報為主要特徵的信息公開作為人類社會文明成果之一,明白無誤地表明了公共人物必須承受的權利讓渡,表明了權力者必須接受的公眾監督。這意味著,欲定《個人信息保護法》,必不可迴避對官員相關信息的公開的規定。在兩會上,對於官員財產申報制度的提案,相關部門的回覆依舊是“條件不太成熟”,作為個人信息保護必須釐清的重要方面,官員信息公開規定一下子變得遙遙無期,而此前出台的《政府信息公開條例》在如何界定官員財產與個人隱私方面,亦並不明晰。這樣的缺失,注定了《個人信息保護法》只能處於“只聞樓梯響,不見人下來”的局面。
事情終於呈現出這樣一個結果:《個人信息保護法》的缺位,非但未能有效保護公民的隱私權,反而使應當公開的官員信息,得以以“隱私權”為由拒絕公開。比如2007年出台的《廣州市依法申請公開政府信息辦法》中,明確規定“領導成員廉潔信息”不應公開。也正是在這一點上,個人信息立法工作才變得遲疑起來。其中所膠著的,已不是公民隱私權要不要保護的問題,而是官員個人信息要不要公開的問題。記得在2005年的全國兩會上人大代表王有傑曾提供一個數據:有97%的官員對“官員財產申報”持反對意見。由此,始信利益集團干擾立法之說並非虛妄。
維權途徑
新華社“新華視點”欄目1月11日播發了《你的信用卡個人信息“只花5毛錢就能在網上買到”?--銀行信用卡信息泄露調查》報導,引發社會廣泛關注。
國家網際網路信息辦公室相關負責人接受“新華視點”記者專訪時回應,針對個人信用卡等信息網路泄漏問題,我國將加快研究制訂個人信息保護相關法律,加大對非法收集、泄露、出售個人信息行為的打擊力度。監管部門還向社會公布了居民信息泄漏舉報渠道:公民可通過“12377”舉報電話等多種方式維權,網際網路公司有責任遏制非法個人信息交易。
國家網信辦:將加快制訂個人信息保護法律
“新華視點”報導中披露,銀行信用卡客戶數據泄露現象頗為嚴重,通過QQ群、微信等網路工具,僅花費5毛錢,就能買到包括姓名、電話、地址、工作單位、開戶行等完整個人信息的一條信用卡開戶數據。部分舊個人數據的報價,甚至低至“2000元10萬條”。這些被泄露的個人信息成為欺詐陷阱、騷擾電話的重要源頭。
“當前,網路個人信息泄漏現象十分嚴重。”國家網信辦網路安全局副局長楊春燕指出,特別是銀行卡敏感信息泄漏現象屢次發生,被一些不法分子利用從事違法犯罪行為,損害用戶利益。“對此,國家高度重視,採取了一系列措施。”
據介紹,我國政府正從立法、立規及建標準、建技術保護手段等多方面,促進網路個人信息保護。楊春燕表示,網信辦、工信部、公安部等有關部門將加快個人信息保護相關法律的研究制定,加快實施網路安全審查制度。“重點將加強對網路服務提供者的監管,加大對非法收集、泄露、出售個人信息行為的打擊力度。”
此外,根據“新華視點”報導調查,通過銀行“內鬼”倒賣信息、轉手給“合作公司”等方式,商業銀行成為信息泄漏的源頭之一。但種種例外條款、免責規定,往往讓消費者問責無門。對此,國家網信辦提示,個人信息遭泄漏後,公民可通過以下三種方式維權:
--按照全國人大常委會《關於加強網路信息保護的決定》,遭遇信息泄漏的個人有權立即要求網路服務提供者刪除有關信息或者採取其他必要措施予以制止。
--個人還可向公安部門、網際網路管理部門、工商部門、消協、行業管理部門和相關機構進行投訴舉報。“國家網信辦所屬的中國網際網路違法和不良信息舉報中心將專職接受和處置社會公眾對網際網路違法和不良信息的舉報。”楊春燕說。
還有哪些信息被倒賣?醫院就診、網購記錄等都包含
央行數據顯示,截至2014年第三季度末,我國累計發行信用卡4.36億張。經網際網路管理部門初步調查,信用卡信息泄漏原因較為複雜,一是商業銀行由於內部管理等原因導致信息泄露;二是持卡人安全意識不強等原因導致信息被盜;三是第三方機構在持卡人網上支付過程中,非法存儲銀行卡敏感信息導致信息泄露。
“銀行卡信息泄漏可能涉及辦卡、用卡、管卡等多個環節,監管部門需先認定在哪個環節出現問題,然後依法依規處理。”楊春燕說。
記者調查也發現,在現實中,堪稱“海量”的個人信息在網上販賣,信息泄漏倒賣的渠道繁多,甚至公民的醫院就診、網購記錄、開房信息也曾以“幾毛錢一條在出售”:
--患者就診記錄被公開販賣。根據知情人士提供的線索,記者加入了一個名為“健康資源-病人數據”的QQ群。該群的簡介信息中,“經行銷售病人數據、住院數據、掛號數據、醫保結算報銷數據”的字樣赫然在列。部分賣家表示,可提供包括新生兒及高血壓、糖尿病、心血管疾病、腫瘤患者數據,患者的姓名、年齡、病史等私密信息均包含在內。
“剛做完手術就接到藥品、器械還有保健品的推銷電話,持續了兩三年。”60多歲的上海楊浦區市民劉先生告訴記者,自己在2010年在上海長海醫院就醫後,手術後就連續接到針對其所患病症的推銷電話、信件,“有的騷擾者還明確表示知道我的家庭住址。”
--網購物流信息被隨意買賣。我國網路購物用戶規模已達3.32億人。網購消費者提供的個人姓名、收貨地址、聯繫電話、購物品類等信息,都進入公開販賣的“黑市”。一家自稱淘寶數據商家的QQ平台賣家表示,網購者的物流信息、所購商品信息等數據需求量很大,可全天發貨,最便宜的一份“花2000元就能買到3萬條個人信息”。
“一些電商平台以個體商家為主,信息散落在個體商家手裡,更容易產生信息泄露的風險。”上海金融與法律研究院執行院長傅蔚岡說。
--大量會員卡及會員服務要求“有身份證才能使用”,但是管理不善導致信息外泄。業內人士表示,各種商戶要求個人提供的信息越來越多,消費者普遍沒有選擇權。2012年12月,上海白領王金龍先後在廣州、深圳入住漢庭酒店。2013年,一份“2000萬開房信息”的數據在網上泄露後,王金龍下載網路流傳檔案包,發現自己的姓名、身份證號碼、手機號和開房時間等信息均在其中,遂向上海市浦東新區法院起訴酒店。
個人信息“黑市”仍猖獗 壟斷企業豈能不作為?
楊春燕表示,國家網信辦成立以來,已於2014年推出了“微信十條”新規,明確規定了即時通信工具服務提供者的個人信息保護責任:例如,QQ、微信等運營商必須保護用戶信息及公民個人隱私,自覺接受社會監督,及時處理公眾舉報的違法和不良信息。
“監管部門將繼續堅持依法治網保護個人信息,個人也應提高意識主動維權。”楊春燕提示,廣大民眾要進一步提高個人信息保護意識,儘量不隨意提供自己的個人信息。
事實上,猖獗的信息交易“黑市”已使消費者付出慘痛代價。“個人信息的購買者中,不乏非法貴金屬交易、民間借貸公司,社會風險極大。”上海華榮律師事務所合伙人許峰說。
例如,2013年9月,江蘇南京籍投資者張先生在購買某知名炒股軟體後,就不斷接到非法理財公司銷售人員的騷擾電話,後經不住誘惑先後投入59萬元投資“紙白銀”,15個交易日內就虧損約35萬元。
2014年,記者在QQ群、微信及部分電子商務平台檢索發現,不少個人信息“黑市”依然存在。僅在QQ群使用查找功能,搜尋“銀行卡信息”關鍵字,參與人數超過30人、交易較活躍的群至少有120個。在部分線上“文庫”網站中,也仍有公開的銀行客戶電話數據。
劉春泉認為,用戶信息泄露涉及多個違法主體,作為源頭的銀行到作為傳播渠道的網際網路平台,以及信息的傳播者和使用者均有責任。“對處於壟斷地位的商業銀行、網際網路企業來說,從內控上嚴格防範客戶數據泄露,對自身並沒有明顯的好處,往往以各種藉口推卸責任。”
傅蔚岡建議,當居民遭遇垃圾簡訊或騷擾電話後,可採取“舉證責任倒置”,即使用客戶數據從事電話銷售的企業需自證信息系通過合法途徑獲得。“允許個人隱私信息免費交易、販賣的網站,也通過非法信息市場獲得了流量和盈利,也應當被處罰。”(新華社“新華視點”記者杜放、羅政)