泄密门事件敲响公共
机构保护个人信息警钟
艳照门事件后,香港最近又爆发泄密门。与明星艳照不同,这次被泄露的不仅有老百姓的资料,还有政府部门的资料:先是医院陆续发现病人资料遗失,后有汇丰银行近16万名客户的资料失窃;8日泄密事件再次升级,香港入境处的秘密文件竟然出现在网上,一时间人人自危。北京大学信息法专家周庆山在接受本报记者专访时说,其实不管是香港的泄密门,还是内地被千夫所指的垃圾短信、响一声电话,背后都是个人信息被肆意践踏。
记者:香港“泄密门”暴露出的最大问题是什么?香港对个人信息保护的现状是什么?与内地相比,有何异同?
周庆山:这类泄密事件在全球度已经屡见不鲜,并有愈演愈烈的趋势。比如美国就曾发生过超过10万名海军士兵及海军陆战队飞行员及机组人员的社会保险号码和其他个人信息在网上遭泄露的事件。再有,由于计算机遭到黑客入侵,逾万名哈佛大学的学生及申请者的个人资料可能已经泄露。
在我国,个人资料也屡遭泄露,比如在网上叫卖的600多个明星“黄页”,从手机、住宅电话到家庭地址都被公布。另外,多家网站BBS上还有网民兜售各级政府官员的电话号码,还有人在网络上非法兜售1.3亿股民信息,中国同学录网站的9000万个人敏感资料则被优库Ucloo网站获得并披露出售,引发诉讼。
目前欧洲由于有着严格的个人信息保护的法规,还是比较规范的。香港由于和欧洲法律的渊源关系,在个人信息保护意识和法律规范方面要比内地规范。在法律上,香港在1996年就颁布实施了《个人资料(私隐)保护条例》。其中,赋予个人信息当事人一些重要的信息权利,包括使用者有告知义务,有义务提供一份资料的复印件,有义务允许信息主体改正资料,受害者可以向个人私隐专员投诉滥用资料者,并可以通过民事诉讼来要求资料使用者给予补偿。如果不遵守个人私隐专员的执行通知,可能被处五万元罚款和两年的监禁。目前内地还没有如此具体的法律规定。
记者:在这次“泄密门”中,医院、银行、政府等公共机构成了泄露个人信息的源头,公共机构掌握了大量公民的个人信息,如何去约束和监管?
周庆山:其实,公共机构作为个人信息资源的重要采集、处理和使用机构,对于保护个人信息具有示范和引导作用,因此需要及早制定相关的法律。美国在1974年颁布的《隐私权法案》中就明确了政府机构有义务保护个人信息。目前,我国实施的《政府信息公开条例》实际上强调了政府信息的公开,但是对于公开信息如何保护个人信息不被泄露,相关规定是比较薄弱的。
另外,要加强对公共机构保护个人信息的安全管理意识和制度建设,对于违反安全保障规定造成损失的应该承担必要的法律责任。
在香港,有一家移动电话公司向客户提供网上查阅账单服务,该公司提供的网上账单服务系统要求客户输入密码,才可查阅本身的账户数据。而一名客户通过此项服务查阅本人的账户数据时,赫然发现即使他已注销该系统及离线,还是可以通过浏览器的记录功能,返回一些先前所浏览的受密码保护的网页。通过私隐专员的调查发现,鉴于上述系统的保安漏洞,该公司客户的个人数据可能会有被其他人士查阅的危险,尤其是当客户使用设于公众地方的计算机来查阅账单数据。
该公司由于未有采取足够的保安措施以保障客户的个人资料不被泄露,被认为有违香港《个人资料(私隐)条例》的相关规定被要求改正。该公司及时作出反应,立即修正有关系统以堵塞该漏洞,以及在网页中加上警告字句,建议客户在网上阅览账户数据后,应注销有关系统及关闭浏览窗口。而目前,在内地还是缺乏专门的监管机构、人员和可操作性规定。
记者:在信息领域里,《政府信息公开条例》已经实施,个人信息保护立法进展如何?同样是信息,有的需要公开,有的需要保护,具体到个人,公开的尺度是什么?比如,什么可公开,什么需要保护?
周庆山:美国在1967年颁布了《信息自由法》,强调政府信息公开,之后在1974年颁布了《隐私权法案》,由此可以看出,这两个法案是相互补充和协调的。因此,个人信息保护的相关法律应该及时颁布,否则就可能由于无法保护个人信息而使得信息公开也面临矛盾。一般来说,信息公开主要要避免应该受到保护的政府秘密、商业秘密和个人隐私的泄露,因此,要完善信息保密法、商业秘密保护法和个人信息保护法。具体到个人,公开的信息要遵循的原则是公共利益原则、知情同意的原则、无害原则以及限制利用原则等。
比如香港的《个人资料(私隐)条例》就规定,不公开某些个人信息将会对公众或者社会利益有损害,就要公开,其中包括保安、防卫、国际关系、罪案的防止或者侦查、税收调查、公共健康以及新闻报道等。
记者:在这次的事件中,foxy这样软件起了很大的作用,各类网站对这种信息抓取类软件应不应有防范措施?这类软件使用应受到限制吗?如果限制,该如何限制?
周庆山:对于此类软件系统以及搜索引擎和数据挖掘工具的使用问题,在美国较早受到关注的是一些在线广告服务商收集个人信息引发的争议和诉讼,对于这个问题,美国的贸易委员会起草了“在线广告隐私保护准则”,其中规定,网站应该在显著位置清楚地标明“用户资料将被收集,以供广告业务使用”。各广告商在将收集的资料用于其他用途之前,必需征得用户的同意。
对这个问题,目前我国还没有明确的法律和政策规定。同时,一些恶意软件猖獗也加重了这个问题的危害程度,我国对恶意软件的治理还缺乏明确的规范和办法,只能通过加强计算机系统的安全防护和加密处理来加以保护。因此,今后有必要完善计算机信息系统立法,对于侵害个人民事权益的黑客行为和恶意软件加以限制。
记者:国内外有大批类似优酷以提供他人信息为主的网站,这类网站出售他人信息获利,他们解释信息来源是互联网,这类网站生存有合理性吗?他们的解释有可信性吗?
周庆山:随着个人数据商业化处理的泛滥,个人信息被滥用成为社会信息伦理危机的一个突出问题,这类网站的存在有其一定的社会需求和必要性,但是这类网站必须规范经营,法律上也要对其性质和合法性加以明确,既要保护正当合法的经营,也要避免由于无章可循导致对个人信息利益的侵害。目前,一些网站将个人信息进行收集和处理,并没有征得许可,反而辩解说这些信息是公共信息,这是没有道理的。公共信息是有条件的,不能把所有公开的信息都视为个人信息,如同在网站上发表的个人作品都是享有版权不得擅自使用一样,一些个人数据虽然发布在一些特定网站上,却并不意味着可以由第三方共享和利用,因此,没有经过信息主体当事人的知情、许可、接近与控制的约定,擅自收集、加工处理并商业利用的行为,不仅不符合信息伦理道德,也涉嫌侵犯公民的民事权益。