31.98分、60%,数字又一次直观地显示了我国个人信息保护现状。
3月15日下午,在2012年中国个人信息保护大会上,主办方之一的中国软件测评中心发布了《2012年网站个人信息保护政策测评报告》。这份报告中的“2011年个人信息保护政策网站分类平均得分排名”显示,银行网站得分仅31.98分(满分100分),成为电子商务、招聘网站、婚恋网站和游戏网站等7个测评分类中得分最低的网站类型。
同时发布的还有一项受工业和信息化部安全协调司委托的调查结果。接受调查的2500多名公众中,60%的被调查对象遇到过个人信息被盗用等问题,66%以上认为应加大力度打击非法获取个人信息的行为。
在当天的大会上,中国软件评测中心介绍了我国第一个“个人信息保护”专项国家标准《公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)的主要内容。《指南》目前已起草完成,被报送国家标准化管理委员会进行审批。
工业和信息化部信息安全协调司副司长欧阳武在会上说,《指南》除了明确相关概念的界定外,提出个人信息在收集、加工、转移、删除4个主要环节中所要遵循的基本原则、注意事项等。比如“目的明确原则”,要求“处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的”:“最少够用原则”,要求只处理与处理目的有关的最少信息,达到处理目的后,在最短时间内删除个人信息。
近年来,国内个人信息泄露事件频发。2011年年底,我国互联网遭遇了史上最大规模的用户信息泄露事件,多家社交网站的用户数据被泄露,几千万用户账号和密码被公开。现实生活中,新车的过户手续还没办完,推销车险的电话就打进手机;刚刚生完孩子回到家里,婴儿用品商家就拨通了家里的电话。类似情况不少人都遇到过。
“《指南》不具有强制性,只是个推荐实施的国家标准,网站、商家违反了也不会受到任何处罚。”一位参与了个人信息保护立法调研论证的专家对中国青年报记者表示,由于个人信息保护涉及的行业部门过多,且不同行业之间差异较大,我国个人信息保护的专门立法近十年来踯躅不前,但是现实证明,这部法律的重要性无可替代。
“光打苍蝇,不打老虎,很难解决问题”
谈到个人信息保护的立法,很多人都会提起从2009年2月28日开始实施的《刑法修正案(七)》,其中规定了“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”实践中也出现了零星的案例,但是所有被处以刑罚的都是单位的员工。
事实上,《刑法修正案(七)》对非法获取、提供、出售公民个人信息的犯罪,除了针对个人的刑罚之外,同时规定了对单位犯罪的制裁——“单位犯罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员进行相应处罚”。但迄今为止,全国没有一起单位犯罪被追究的案例,也没有单位主管人员或相关负责人为此被追究刑责。对不断被曝光的泄露客户信息事件,相关单位均保持沉默,鲜有公开道歉或对外公布内部问责情况。
2010年发生的一起被称为北京最大的非法出售、提供、获取个人信息案轰动全国,23名被告中,部分是“私家侦探”,1名是中国移动授权单位的职员,5名是中国电信、中国移动、中国联通的客服人员和营业厅的服务员。
北京市第二中级人民法院判定,他们利用工作之便,将手机用户的定位信息、电话清单、姓名和家庭地址等个人信息非法出卖给私家侦探,用以调查婚外情和讨债。
在北京审判“非法获取、出售公民个人信息罪案件”的同时,陕西西安又破获更大规模的同类案件。西安、咸阳等7个城市共计1394万手机用户的个人信息被非法出售,包括机主姓名、家庭住址、生日等个人隐私。这个数目占陕西全省手机用户的70%左右。警方侦查结果显示,犯罪嫌疑人周某是一家科技公司的技术人员,为陕西省一电信运营商研发和维护计费经营系统。他利用工作的便利,进入电信公司的客户数据库,轻而易举地获取信息并卖给“下线”,获利3万多元。
案发后,电信运营商没有对公众作出任何道歉或者承担单位违法的责任,这已经成为一些电信企业对客户个人信息泄露事件的惯常态度。
曾经领衔起草过个人信息保护法专家建议稿的中国社科院法学所研究员周汉华认为,“单位如果放任员工的违法行为,那就是间接故意”。如果电信企业只是白纸黑字地制定一些内部制度,高高挂在墙上,而对员工的监管不到位,对普遍出现的问题不追究,就应该负责任。
周汉华表示,“在个人信息保护上,迫切需要加强对电信行业的监管和惩罚。光打苍蝇,不打老虎,很难解决问题。”
网络实名制与个人信息保护是否冲突
如果你是一名高频率使用网络和电信业务的公民,那么你的手机、网购账户、BBS账户、QQ号等,已经或正在接受实名制的考验。一边是“透明社会”的趋势不可阻挡,一边是个人信息安全难以保障。
在这方面,韩国推行了4年有余的网络实名制面临尴尬。
2007年7月,韩国正式开始实施网络实名制,成为当时世界上惟一实行这一监管政策的国家。该政策最初要求,每天访问人数超过30万的35家主要网站实行真实姓名和身份证号注册,网民只有通过网站的身份验证后才能进行留言。从2009年4月起,这项制度进一步扩大,每天访问人数超过10万的153家主要网站亦被划入实名制实施范围。
但是,随着时间的推移,网民个人信息遭泄露的情况时有发生。2011年7月,韩国SK通讯公司承认,旗下门户网站Nate和社交网站Cyworld被黑客攻击,不计算两家网站的用户重合部分,被盗取信息的用户数达3500万,而韩国总人口数为4900万。由于实行实名制,被盗取的用户信息非常详尽,包括电话号码、身份证号、生日、电子邮箱地址,甚至血型。
在向韩国总统李明博提交的2012年业务计划中,韩国互联网监管机构广播通信委员会提出了有关重新检讨网络实名制的方案。韩国部分媒体认为,虽然该方案是“重新检讨”,但事实上更侧重于取消这一制度。
大多数国家的手机实名制均有相关法律措施保障。比如,德国制定了《数据保护法》和《商业合同法》,要求手机消费者提供给运营商的个人数据必须被严加保密,没有法律授权,不得向无关人员泄露,否则消费者可以通过法律追究运营商的法律责任。奥地利有《公民个人信息保护法》,每一份手机入网合约中,运营商都要详细承诺保护用户个人信息,并且向用户提供良好的信息保密措施。
2011年年底“泄密门”发生后一周内,2011年12月29日,工信部发布调研一年之久的《互联网信息服务市场秩序管理若干规定》,以部门规章的形式强调“互联网信息服务提供者应当妥善保管用户个人信息”。
中国移动通信集团公司法律专家、工信部网间互联法律专家王春晖博士认为,中国目前没有专门的隐私权保护或个人信息保护方面的法律,有关隐私保护的关联性规定散见于若干法律之中,在当今如此发达的信息社会中,“这些法律显得苍白无力,缺乏可操作性”。
个人信息保护立法困难重重
很多专家认为,我国关于个人信息保护的立法现状是,法律规定分散交叉、立法层级不高,缺乏一部专门的综合性信息安全法律,明确用户、企业等相关方面责任义务。此外,国内也缺乏明确的专职的个人信息保护机构。在国外,以欧盟为例,27个成员国每个国家都有一个专门的信息保护机构。
工信部电信研究院法律专家蔡雄山指出,在国内立法上,对个人数据控制者未尽妥善保管义务的法律后果规定得并不完善,惩罚力度也不够。
北京大学法学院教授姜明安认为,目前我国对个人信息保护不力的主要短板表现在:行政机关、企业普遍缺乏保护个人信息和隐私权的观念,不认为任意收集、处置、泄露公民个人信息行为属于侵权、违法行为;对个人信息和隐私权侵犯的法律救济制度不完善,救济渠道不畅,民事诉讼、刑事诉讼和行政诉讼都没有明确列入受案范围。
据了解,2010年,工信部曾力推《信息安全条例》的出台,当时的报送稿中对信息网络环境下法律主体的权利、义务,各种危害网络与信息系统安全行为等内容作出规定,但迄今并无新的消息。
2003年,原国务院信息办(后并入工信部——编者注)委托中国社科院法学所课题组承担《个人数据保护法》比较研究课题及草拟一份专家建议稿。在此基础上,原国务院信息办组织起草了一份《个人信息保护法》草案。
不过,该法立法进程至今尚不明朗。在十一届全国人大常委会立法规划中,该法并未被列入,只是属于“继续开展研究论证,视情况作出相应安排”的项目。
“个人信息保护涉及的是宪法权利而不仅仅是普通的民事权利,一些侵犯隐私权的行为可能同时违反民法和个人信息保护法,应当配置民事责任、行政责任、刑事责任有机结合的体系。”周汉华说。