信息來源:中國新聞周刊 更新時間:2012-04-20 14:54 瀏覽次數(shù):7124
個人信息保護(hù)不夠��,既源于企業(yè)不負(fù)責(zé)任的泄密�,也因為缺乏明確的監(jiān)管主體��。已有12個省市出臺相關(guān)地方法規(guī)��、規(guī)章���,但個人信息保護(hù)立法尚未進(jìn)入程序�。
個人信息保護(hù)再有新進(jìn)展,由工業(yè)和信息部直屬的中國軟件評測中心牽頭起草�����、旨在規(guī)范社會公共服務(wù)機(jī)構(gòu)和企業(yè)個人信息保護(hù)的一紙文件近日正式通過評審����,正報批國家標(biāo)準(zhǔn)��。
“按照正常程序�����,今年年內(nèi)會正式推行��。”該中心副主任高熾揚(yáng)在接受《中國新聞周刊》采訪時說�,這份名為《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》(下稱“指南”)的文件起草前后歷時四年多�����,其發(fā)布邁出了個人信息保護(hù)標(biāo)準(zhǔn)體系建設(shè)的第一步���,也為立法工作做了大量前期鋪墊���,有助于未來法律的落地���。
至于立法,高熾揚(yáng)坦言��,就其了解的情況�,“還有大量工作要做”,此前的專家建議稿還有待修改完善�。因此,該法律進(jìn)入立法程序尚無時間表�。
同樣承擔(dān)個人信息保護(hù)相關(guān)標(biāo)準(zhǔn)研究和制定的中國電子技術(shù)標(biāo)準(zhǔn)化研究院信息技術(shù)研究中心主任楊建軍也告訴《中國新聞周刊》,《指南》只是一個指導(dǎo)性技術(shù)文件����,距離立法出臺尚遙遠(yuǎn),并非此間有人所說“立法工作萬事俱備����,指日可待”,但是它可為立法提供相關(guān)基本原則�����。
企業(yè)成泄密主渠道
就《指南》的現(xiàn)實(shí)意義�,工信部安全協(xié)調(diào)司副司長歐陽武指出���,其能為行業(yè)開展自律工作提供參考,為企業(yè)處理個人信息制定行為準(zhǔn)則����。
“個人信息泄露問題更多地發(fā)生在公共及商業(yè)服務(wù)行業(yè)和企業(yè)。”高熾揚(yáng)根據(jù)其調(diào)研情況告訴《中國新聞周刊》���,當(dāng)下不少企業(yè)扮演著個人信息管理者和獲得者角色�,其中有些存在不當(dāng)使用個人信息行為�;還有些知道問題嚴(yán)重���,但由于法律缺位無從下手解決����。而個人信息泄露事件有70%���??80%的比例屬于內(nèi)部管理不當(dāng)所致����。
在4月6日剛剛由河北省政府提交該省人大常委會初次審議的《河北省信息化條例(草案)》中�,這類企業(yè)被明確為“金融����、保險����、電信、供水����、供電、供氣�����、醫(yī)療��、物業(yè)����、房產(chǎn)中介以及其他掌握公眾信息的單位”。
承擔(dān)該草案起草工作的河北省工業(yè)和信息化廳政策法規(guī)處處長劉永青在接受《中國新聞周刊》采訪時認(rèn)為��,目前由于個人信息泄露已對個人生活形成不良影響�����,“各種垃圾短信、郵件���、騷擾電話等讓老百姓不堪其擾”��。通過長期調(diào)研��,他們在法規(guī)起草中將上述機(jī)構(gòu)列為主要規(guī)范對象���。
近年因企業(yè)泄露個人信息而引發(fā)的案件也迅速增多。北京市朝陽法院就對其2007年以來審理的多起相關(guān)案件作了總結(jié)�����,并深入調(diào)研形成報告《電信部門工作人員非法泄露公民個人信息情況應(yīng)予關(guān)注》�。
據(jù)該法院提供給《中國新聞周刊》的報告�,電信部門工作人員泄露公民個人信息主要存在四種途徑:通過工作平臺查詢獲得客戶辦理業(yè)務(wù)時留存的姓名、身份證號碼�、住址等個人信息,并非法提供給他人�����;通過內(nèi)部授權(quán)指令查詢獲得客戶的通話記錄����、短信內(nèi)容等通訊信息�,非法售與他人����;憑借特殊權(quán)限,通過GPRS定位系統(tǒng)���,私自幫助他人跟蹤定位客戶所處位置�;未經(jīng)機(jī)主同意��,強(qiáng)制修改客服密碼后將新密碼提供給他人����。
電信部門在客戶信息的保護(hù)方面也有漏洞:多數(shù)運(yùn)營商將客戶信息列為商業(yè)秘密,僅從維護(hù)本單位經(jīng)濟(jì)利益角度加以管理和保護(hù)��;相關(guān)規(guī)章制度中僅有禁止性規(guī)范����,缺乏責(zé)任條款,約束力不足�;欠缺有效的保密和監(jiān)管措施。
“企業(yè)對個人信息保護(hù)的規(guī)章多數(shù)不規(guī)范。”曾于2003年參與個人信息保護(hù)法專家建議稿起草的北京科技大學(xué)教授梅紹祖�����,告訴《中國新聞周刊》���,由于法律缺失�,有些企業(yè)分不清對錯�,還有企業(yè)故意鉆空子,何況沒有法律����,很多企業(yè)出于利益考慮,就不會有主動性����。
監(jiān)管主體仍模糊
去年,工信部曾委托有關(guān)部門對互聯(lián)網(wǎng)有關(guān)信息進(jìn)行測評�����,包括個人信息轉(zhuǎn)移�����、監(jiān)督機(jī)制和執(zhí)行情況等八類���,涵蓋電子商務(wù)�、論壇博客����、銀行等七類105家網(wǎng)站的隱私政策。結(jié)果顯示網(wǎng)站的個人信息保護(hù)不夠��。
梅紹祖向《中國新聞周刊》描述了個人信息泄露的幾種主要途徑:網(wǎng)站被攻破��,數(shù)據(jù)庫遭侵�����;內(nèi)部管理不嚴(yán)�����,掌握數(shù)據(jù)者有意無意泄密���;一些機(jī)構(gòu)出于利益考慮交易數(shù)據(jù)��;數(shù)據(jù)傳輸過程中遭竊取�。分析根本原因,他認(rèn)為是立法缺失導(dǎo)致事故責(zé)任不明確��、監(jiān)督主體和執(zhí)法部門不確定�����。
監(jiān)督責(zé)任主體的明確是楊建軍口中“目前困惑最大的一個內(nèi)容”���。他坦言�,目前個人信息保護(hù)的相關(guān)工作由其主管單位工信部進(jìn)行��,但是具體的監(jiān)管�、執(zhí)法職責(zé)尚不明確,而此難題的解決只有寄希望于立法程序的啟動��。
2009年刑法修正案(七)填補(bǔ)了該領(lǐng)域的空白�,明確了“出售、非法提供公民個人信息罪”“非法獲取公民個人信息罪”罪名��,首次將公民個人信息納入刑法保護(hù)范疇�����。但梅紹祖認(rèn)為����,該法只是原則性條款,并未明確該罪的具體界定標(biāo)準(zhǔn)���,缺乏可操作性��。
中國社科院法學(xué)所研究員周漢華也指出��,《刑法》和《侵權(quán)責(zé)任法》都屬于事后救濟(jì)�,要對網(wǎng)絡(luò)安全以及個人信息進(jìn)行全流程監(jiān)管才更有效?,F(xiàn)實(shí)中,執(zhí)法主體缺乏是個人信息被濫用的重要原因�����。
“要對個人信息保護(hù)最好的辦法還是立法�����。”歐陽武認(rèn)為��,要通過法律明確組織和個人在處理信息過程中的責(zé)任���,建立個人信息的監(jiān)管體制���,明確侵害他人隱私的行政處罰的制度和責(zé)任���。
高熾揚(yáng)更強(qiáng)調(diào)個人信息管理者的責(zé)任,“要規(guī)范個人信息處理的流程�,并且要落實(shí)責(zé)任,管控信息系統(tǒng)個人信息處理的風(fēng)險”�。并且,一旦收集了個人信息�����,就要建立一套保護(hù)制度�����,明確責(zé)任人��。
作為企業(yè)代表的360總裁齊向東在此間舉行的“2012年個人信息保護(hù)大會”上則提出�,個人信息保護(hù)不是某一家的事,應(yīng)該是政府����、網(wǎng)站、安全公司三位一體�,和網(wǎng)民一起構(gòu)建一個完整的保護(hù)隱私體系�����。
立法尚無時間表
不管是個人信息保護(hù)工作主管單位工信部的副部長楊學(xué)山,還是承擔(dān)標(biāo)準(zhǔn)研究的高熾揚(yáng)和楊建軍�����,再到專家層面的梅紹祖和在地方負(fù)責(zé)相應(yīng)工作的劉永青�����,在談及個人信息保護(hù)工作時���,無一例外希望加快個人信息保護(hù)法的立法進(jìn)程��。
北京市朝陽法院在上述報告中提出的第一條建議是�,“應(yīng)加快公民個人信息保護(hù)立法��,明確公民個人信息使用過程中的相關(guān)權(quán)利和義務(wù)���,對泄露個人信息的各種行為設(shè)定相應(yīng)的法律責(zé)任����。”
高熾揚(yáng)指出,國際上在個人信息保護(hù)領(lǐng)域的普遍做法是“立法+標(biāo)準(zhǔn)”����,而標(biāo)準(zhǔn)體系框架的建立要在立法大框架下進(jìn)行才最理想。但是�����,根據(jù)中國現(xiàn)狀�����,只能采取標(biāo)準(zhǔn)先行����,為立法做準(zhǔn)備鋪墊。
其實(shí)���,個人信息保護(hù)法的立法工作早在約十年前就已啟動����,2003年4月�����,國務(wù)院信息化辦公室對該立法研究課題首次部署,兩年后��,由周漢華牽頭��、梅紹祖等參與的該法專家建議稿就已提交給國務(wù)院法制辦���。但是,至今未入立法程序���。
梅紹祖告訴《中國新聞周刊》�,自己并不清楚該法立法遲遲不能推進(jìn)的真正原因�����。“技術(shù)和文本應(yīng)該是到位了�����,立法的緊迫性也有����,或許各個層面感受不同,立法機(jī)關(guān)并不覺得立法時機(jī)成熟�。”楊建軍也指出�����,國家從整體出發(fā)考慮�����,需要有全盤的立法規(guī)劃��,該法未被納入立法程序證明其還沒有足夠成熟完善����。
楊學(xué)山在上述會議上也明確表達(dá)“個人信息保護(hù)已成為社會的迫切問題”觀點(diǎn)����,并強(qiáng)調(diào)要在個人信息立法上努力盡快使其進(jìn)入正式程序。雖然同樣承認(rèn)緊迫性�,但是高熾揚(yáng)的觀點(diǎn)和梅紹祖并不盡相同。他說就其了解的情況���,該法的立法還有很多工作要做���,2005年的版本在現(xiàn)在看來有很多內(nèi)容并不完善,要做進(jìn)一步修改。因此�����,“據(jù)我所知�����,立法程序的啟動不會很快”�。
其實(shí),理論層面的意見也并非一致�。有人將個人信息保護(hù)歸為隱私權(quán)的私權(quán)范疇;有人堅持其為公權(quán)的觀點(diǎn)���。周漢華即提出大家在認(rèn)識上必須明確“這是一個公權(quán),存在一個獨(dú)立的個人信息保護(hù)法的領(lǐng)域”���。
另外還存在地方�、部門與中央的關(guān)系問題���。劉永青告訴《中國新聞周刊》�,河北省之所以出臺上述條例�����,就是因為沒有上位法,地方卻遇到實(shí)際問題���,工信部就支持各地先行探索����。據(jù)悉�,目前全國有12個省市已出臺相關(guān)法規(guī)、規(guī)章���。
周漢華認(rèn)為對此值得探討��,因為中國的立法權(quán)限劃分明確���,地方的先行先試要處理好多種關(guān)系,難免產(chǎn)生不必要的負(fù)面作用���。梅紹祖則表示“聊勝于無”����,地方先根據(jù)自身情況把一些工作做起來���,縱然有其局限性���,但可以在沒有上位法的情況下解決一些緊迫問題�����。
編輯:輝哥