人民网上海1月14日电(记者 包蹇)陌生的来电,却喊出你的名字,知晓你工作家庭诸多信息,目的仅为了推销产品服务,甚至诈骗有关“个人信息”的不安全感人皆有之。但是,在社会信息化建设飞速发展之时,在全国层面及上海市层面,个人信息保护立法及地方性法规却严重缺失。上海市政协委员胡光、李培龙在该市政协会议上提案建议,上海市有必要尽快以地方性法律法规的形式填补这一短板,从最大程度上以公权力保护公民的个人信息。
盘点已有法规,胡光和李培龙指出,《刑法》对泄露个人信息的行为规定了相关责任,但主体上并未广泛适用于各个行业,仅仅对国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员加以约束;《护照法》以及2012年1月1日实施的经过修订的《居民身份证法》等法律法规虽然有保护个人信息的相关条款,但是均存在一定的主体或保护对象上的局限性。
在法律缺失的情况下,公民的个人信息被作为商品任意倒卖却无计可施。《侵权责任法》虽然首次提到了“隐私权”的保护,但是公民在个人信息被侵害时,往往处于被动状态,甚至无法得知侵害方是谁,举证不能、找不到控告对象。《个人信息保护法(专家建议稿)》早已于2003年就开始起草,但是迄今为止,这一众人瞩目的法律仍未出台,而现实中个人信息遭到滥用的情况却日益严重,因此,上海市有必要尽快以地方性法律法规的形式填补这一短板,从最大程度上以公权力保护公民的个人信息。
在保护个人信息立法方面,从国际社会到国内其他省市,都有很好的先例值得借鉴和参考。从国际层面来看,以欧盟/欧共体为例,1981年欧洲理事会各成员国签署的《有关个人数据自动化处理之个人保护公约》中,明确“个人数据是指有关识别或者可以识别个人(数据主体)的任何信息”,其将个人数据(信息)的保护范围做了最大化的延展。而1995年颁布的《数据保护指令》规定数据主体有权获取数据,有权知道数据源自何处,有权要求纠正不准确的数据,有权将不法处理数据者诉诸法律,有权在某些情形下收回其允许使用数据的许可等,此外,该指令还要求欧共体/欧盟各成员国应采取适当的技术措施和组织措施,以此保护个人数据不会意外丢失、免遭意外破坏或受非法破坏,使个人数据,特别是当数据处理需要在某个网络中进行数据传输时,在未经授权的情况下不被擅自改变、泄露或为他人所得,并且禁止其他任何非法形式的数据处理。该指令奠定了欧洲包含个人信息保护在内的数据保护的基础。此外,欧洲议会和欧盟理事会于2000年通过的《关于与欧共体和组织的个人数据处理相关的个人保护以及关于此种数据自由流动的规章》及2002年通过的《关于电子通信领域个人数据处理和隐私保护的指令》涵盖了个人信息数据采集及处理的各个方面,并且为保护个人信息规定了具体可行的措施。
从国家层面,以美国为例,1974年实施的《隐私法》明确规定了如下基本原则:(1)行政机关不应该秘密地收集并持有个人信息记录;(2)个人有权知道自己被行政机关记录的个人信息及其使用情况;(3)为某一目的而采集的个人信息,未经本人许可,不得用于其它目的;(4)个人有权查询和请求修改关于自己的个人信息记录;(5)任何采集、保有、使用或传播个人信息的行政机关,必须保证该信息可靠地用于既定目的,合理地预防该信息的滥用。这些原则,赋予公民对自己个人信息的权利,即便这些信息被行政机关或其他单位或个人持有,但是公民仍然保留对这些个人信息的权利。此外,《信息保护和安全法》、《防止身份盗用法》及《网上隐私保护法》等从各个方面全方位的对个人信息加以保护。
从兄弟省市来看,《江苏省信息化条例》于2011年10月获得通过,其中明确规定“任何单位和个人不得非法披露所采集的信息,不得将获取的公民、法人和其他组织的信息出售或者以其他方式非法提供给他人,不得以窃取、购买等方式非法获取上述信息。”其最大化了个人信息保护的责任主体。此外,《江苏省信息化条例》也详细规定了相关的法律责任,“非法披露、出售、提供信息,或者以窃取、购买等方式非法获取信息的,由县级以上政府信息化管理部门责令其删除信息,没收违法所得,对单位处以10万以上50万元以下罚款,对个人处以1万元以上5万元以下罚款;构成违反治安管理行为的,由公安机关给予治安管理处罚;构成犯罪的,依法追究刑事责任。”既对个人信息来源方加以管制,亦对个人信息接收方加以限制。在针对个人信息保护方面,《江苏省信息化条例》将行政处罚与刑事处罚进行了有机的串联与衔接,较高程度地保护个人信息。另据报道,深圳市个人信息保护立法于2010年启动,如今已经完成调研并提交深圳市人大常委会审议。
个人信息的泄露对公民生活所造成的影响不言而喻,由于取证困难,维权成本高,大多数被侵权者只好忍气吞声,而相关法律法规的缺失更造成对个人信息的泄露无法惩戒,警示作用更无从谈起。作为国际化都市的上海,作为走在时代前沿的上海,保护个人信息显得尤为的重要与迫切。
为此,两名委员呼吁,尽快明确个人信息保护相关政策、确立个人信息保护相关立法,从以下各个方面完善地方性立法:
明确个人信息保护范围。若要对个人信息进行全面有效的保护,应首先对个人信息有一个明确的定义,个人信息应涵盖个人资料及个人隐私。个人资料指个人的姓名、住址、电话等与个体相关,可以用于区分其他个人的信息;个人隐私指个人的财政状况、婚姻状况等个人不愿告诉他人或不愿公开的个人的信息。需要强调的是,随着互联网的飞速发展,各个网站所持有的用户信息正以几何级数增长,为此,应特别强调对网站用户信息的保护。
建立个人信息使用的指引性规范及禁止性规范。建立个人信息使用的指引性规范及禁止性规范势在必行,必须通过明文规定,指引可能获得或已经获得他人个人信息的企业、单位和个人如何妥善处理该等个人信息。个人信息的使用应限定在事先向个人信息主体披露的使用范围内,若要扩大该等个人信息的使用,应及时通知个人信息主体并获得许可后方可使用。在个人信息主体询问个人信息来源时,掌握该等个人信息的企业、单位和个人应及时并如实告知个人信息主体该等信息的来源,便于个人信息主体的追查。此外,应建立禁止性规范,禁止任何企业、单位和个人在获得个人信息主体许可之前,以任何形式披露、使用、出售个人信息。
完善个人信息泄露的救济措施。个人信息一旦泄露,对个人生活的影响不言而喻,因此,应建立及时、有效的个人信息泄露的救济措施。个人信息的传播载体,如网络服务供应商等应在发现该等个人信息泄露时或在得到个人信息主体告知后,第一时间在网络上删除该等信息。而个人信息主体应有权追查该等个人信息泄露的来源,个人信息获得者或传播者必须如实告知。
建立相关行政处罚制度。行政处罚不仅有惩戒作用,更对社会大众具有警示作用。建立泄露个人信息的行政处罚制度,行政处罚对象应涵盖个人信息的披露方、出售方及主动接收方、购买方,从而双向斩断个人信息买卖的利益链条。
限制个人信息向海外转移,加强对公民个人和国家安全的保护。近年来,随着上海国际化大都市的建设,越来越多的跨国企业入驻上海。而出于便于管理等目的,许多跨国企业将中国员工的个人信息从中国境内转移至服务器架设在境外的人力资源管理系统之中,此举无疑给中国公民的个人信息保护添加诸多潜在威胁,也增加我国对于公民信息保护的难度。同时,若大量公民信息外泄,甚至可能影响国家安全与稳定。为此,立法中应涵盖对公民个人信息向海外转移的限制,保护公民个人和国家安全。
为反腐倡廉等特殊情况设置法定例外。为加强社会对国家公务员的监督并加强反腐倡廉建设而适当地公开公务员的个人、工作相关信息应作为保护公民个人信息的法定例外。如担任某些公共管理事务的公务员任职公示;向政府部门举报国家工作人员的贪污、贿赂;公安、检察、法院执行公务收集公民信息均应受法律保护。除此之外,公民提供的违法犯罪人员的个人信息等亦应作为公民个人信息保护的法定例外对待。
作者:包蹇