手机上数不清的广告短信,邮箱里莫名其妙的垃圾邮件;时不时地还能在电话里听到保险销售们热络的寒暄,房屋中介熟稔的推介,骗子们煞有其事的威胁……这样的经历,很多人都有,痛恨非常却又无可奈何——公民的个人信息被泄露,已经是信息化社会的顽疾之一。
谈起怎样保护个人信息,立法常常被当成“终极武器”。
目前,中国已出台与网络相关的法律、法规和规章共计两百多部。据统计,涉及个人信息保护方面的法律有将近40部,法规有30部,另外还有一些部门规章和一些地方法规。
但是,这些散落各处的法律条文和异彩纷呈的规章,都难以撑起保护个人信息的大伞。而专门的个人信息保护法律历经多年,却仍然难产。
立法进程“前”快“后”慢
2003年,国务院信息办委托中国社会科学院法学研究所个人数据保护法研究课题组,承担《个人数据保护法》的研究课题,并草拟一份专家建议稿。
课题组成员、法学所宪法与行政法研究室副主任吕艳滨在接受中国青年报记者采访时说,“其实,那个时候个人信息的泄露还不是很严重,最多的无非就是房屋中介打打电话吧。”
不过,“当时,预期到个人信息保护是一个很重要的问题,提前预防。”吕艳滨表示,从世界范围来看,它不仅是国内法的问题,还可能影响到世界贸易,当时欧盟有一个规定,如果其他国家没有达到个人信息的保护标准的话,它可以禁止自己的企业和哪些国家的企业进行贸易,很多国际贸易都必须依靠信息的流动,没有信息就没有办法去做贸易,它实际上是会造成一种新的贸易壁垒。“这也是特别重要的一点,不仅是保护个人信息的问题,而且是上升到国际贸易的层面”。
课题组历时两年,主要对国外的个人信息保护制度进行了调研,“我们另外一个老师带着大家把好几十个国家的个人信息保护法做了翻译以及比较。”吕艳滨说,专家建议稿综合参考了欧盟、美国、日本等比较有代表性的个人信息保护制度。
2005年,近8万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》完成。
2008年,《个人信息保护法》草案呈交国务院。
“它确定了个人信息保护的基本原则,包括个人一些最基本的权利。”吕艳滨说,草案规定了拥有个人信息的企业与团体应承担的法律责任,除犯罪、税收记录及媒体调查外,禁止任何团体在未经个人同意的前提下,将个人信息泄露给第三方。
至此,学界与官方之间推动个人信息保护法出台的“互动”戛然而止,间或有专家学者隔空喊话呼吁加快立法进程,但至今不见对方的“积极”回应。
在接受中国青年报记者采访时,吕艳滨坦承,没有关于这部法律草案的确切消息,“它的最新进展,我们也不太清楚”。
多部门交叉管理是掣肘所在
吕艳滨觉得,个人信息保护法立法进展缓慢的原因很难说,“恐怕只有立法者才能明白”,但涉及的管理部门太多、行业太多,也是掣肘所在。公安部近日统一部署北京、河北、山西等20个省区市公安机关开展集中行动,挖出的44个信息源头里,涉及电信、工商、银行、司法、公安、民政等多个领域。
公安部刑侦局副局长、专案副指挥长廖进荣表示,首先的困难是发现比较难,尤其是源头。当公民感受到危害的时候,他的个人信息已经经过了好几道手,意识到信息被泄露时,已经过去了很长时间,查找源头相当困难。
据不完全统计,除了承担信息安全监管工作的工信部,公安部、国家保密局、国家密码管理局、卫生部、食品药品监督管理局、银监会、证监会、铁道部等部门都有规章文件涉及个人信息保护。
“现在,非常大的问题就是这种交叉管理的机制。”北京邮电大学人文学院院长、互联网治理与法律研究中心主任李欲晓说,我们现在对个人信息的保护层级不够,部门规章仅仅限定在部门业务范围之内,但是它们无法管理职责范围之外的东西。可另一方面,网络上的业务往往是超越我们目前部门的划分的。比如说买票,它包括铁路内部的运营协调,还有电子商务、银行结算等,这些可能超越了铁路部门、银行它们原先的业务范围。
那么,在保护个人信息时,不同的部门、不同的行业之间如何协调对接,如何分配各自的权利义务,现在并没有明确的规定。
廖进荣认为,堵住源头光靠公安机关一家的打击是远远不够的。涉及源头的部门和公司,都应该反思对公民信息保护当中的漏洞,“不加强监管是不行的”。
但是,“现在的行政执法权高度分散。”中国社会科学院法学研究所研究员周汉华在接受采访时表示,在执法者和被执法者很多的情况下,“行业执法部门负责本行业执法,存在利益纠葛,行政执法力度非常弱”。
分而散之、各管一摊的直接后果就造成了个人信息保护力度的弱化。李欲晓教授认为,个人信息牵涉每一个人,而网络最大的特点就是汇聚性,“当所有人的信息在这里汇集的时候,信息保护就不是哪个部门的事了,而是在国家层面上需要考虑的战略问题。”
“个人信息保护法既要保障个人在网络社会的基本权利,也是在保护我们国家的一种战略资源。”李欲晓说,“试想,全世界都可以从网络上拿走你的信息,而我们却没有法律去保护它,这是非常可怕的。”
实名制或可成为抓手
廖进荣表示,在打击侵犯个人信息犯罪行动中,确定犯罪嫌疑人身份是比较难的。买卖信息多在网上进行,是一种网络犯罪,身份都是虚拟的,从网络到真实身份,需要进行大量的侦查工作。
于是,网络实名制又成了一个无法回避的备选答案。
“为什么有人一面反对实名制,一面抱怨他们在网络上的合法权益不受保护?”李欲晓说,当整个社会信用机制缺失的时候,个人信息保护也存在很大的难题。“因为,在你主张你的权利的时候,我无法确认权利受损的就是你,我们之间没有支持互相信任的制度和平台”。
“一听到实名制就说这是限制我上网、限制我发言,我觉得不是那么一回事。”李欲晓说,如果都是模糊的,那法律无法确定需要保护的对象,各方权利义务也无法界定。
2010年9月1日,全国开始推行手机实名制。用户到营业厅购买手机卡,必须持身份证才能办理。但是,不到两年的时间,不少地区已重现了手机“无证驾驶”的“繁荣景象”,手机实名制形同虚设。
李欲晓认为,这是因为与实名制相关的配套法律跟不上。如果说提供个人信息保护的前提是要“确认你就是你”,那么,保护这些确认信息的必须是法律。
“如果没有配套法律制度保障,实名制很难推行。”李欲晓表示,比如,实名信息在授权的范围内该怎么使用,如果超出了授权范围、出了问题,服务商要承担什么样的责任等,如果这些在法律上都没有清晰的规定,“谁敢把自己的真实信息放心地交给你呢?”
“从政府的角度来说,监管同样需要法律依据。因此,通过立法来完善相关的保护机制,是最明智的做法。”李欲晓说,比如由第三方监测机构,监督服务提供商是否按照法定标准提供了可靠的信息保护服务,如果侵权,政府部门可以依法处罚违规的服务提供商,公民个人也可以起诉索赔。
有效的制度模式是立法的先决条件
公安机关侦破的一些重大案件中,出售企业信息和股东信息的河北保定市工商局档案室工作人员刘某是被抓获的犯罪嫌疑人之一。
2010年,刘某加入到一个名为“河北省工商管理”的QQ群,随后开始有一些外地人在网上联系他,付费要他帮忙查一些信息。企业名称、注册号、经营地址、经营范围、法人电话等这些基本信息,5元钱一条。而涉及公司股东的身份证号、手机号、住址等,则卖到20元一条。截至案发,刘某非法获利约在6万元。
不过,刘某并不认为他是犯罪,“这些信息属于可以公开查询的,别人给的钱顶多算‘不当得利’”。但办案民警表示,公司信息可以公开查询,但股东的身份证号码等完全属于公民的个人信息。
“什么样的信息属于个人信息?什么样的个人信息需要保护?怎么样使用这些信息?现在,这一块没有清晰严格的法律界限。”李欲晓说,“在这些方面都比较模糊的时候,看起来比较混乱。”
今年4月,工业和信息化部信息安全协调司副司长欧阳武透露,《信息安全技术公共及商用服务信息系统个人信息保护指南》目前正在国家标准委进行最后的技术审批,预计今年下半年正式出台。
虽然指南中明确了个人信息的保护原则,但是,这个指南标准不是强制性标准,甚至也不是推荐性标准,标准通过会对行业起到多大的规范效力,仍待观察。
“我感觉,直接采用个人信息保护法的形式可能更有效。”李欲晓说,现在降低难度变成非强制性的指南,应该可以起到一个普及常识的作用,比如个人信息包括哪些,哪些可以分类,哪些可以分级;哪些可以管理,哪些不可以管理,“它告诉了公众这些概念,但是能不能上升为国家层级的法律,还是需要一个过程”。
4月25日,全国人大法工委副主任信春鹰在中国法学会举办的工作会议上表示,要推进网络管理法制建设,手机实名制、微博实名制陆续出台,但国家立法条件还不成熟,“要形成有效制度模式后才能上升为法律”。
“如果能从行业自律到部门规范再到国家立法,这样一个过程,当然好。”李欲晓说,但互联网技术的快速发展使得个人信息更复杂、更丰富,非常需要加速国家层级的立法进程。