10月12日,全国人大常委会法工委发言人臧铁伟在记者会上介绍,个人信息保护法草案将提请常委会会议审议,将进一步明确个人信息处理活动应遵循的原则,完善个人信息处理规则,保障个人在个人信息处理活动中的各项权利,强化个人信息处理者的义务,明确个人信息保护的监管职责,并设置严格的法律责任。
对于个人信息保护法,公众期待已久,个人信息保护法草案正式进入审议,意味着这部法律正离我们越来越近。公民个人信息保护的薄弱,是许多人心中的隐痛。随着互联网产业的崛起,大数据和人工智能的不断发展,个人信息“裸奔”早已不是危言耸听。诸如“徐玉玉被电信诈骗致死案”等案件,屡屡引发全社会对于个人信息泄露问题的关注和讨论。近几年,虽然一些个人信息保护的措施不断出台,但总体而言,“信息裸奔”的状况并未得到根本改变,个人信息保护的立法也因此成为社会的共识,继而纳入公共议程。
众所周知,我国目前对公民个人信息的保护并未制定一部专门的法律,涉及个人信息保护的法律制度,只是散见于不同类别的部门法规和制度中,包括宪法(第四十条)、民法总则(第一百一十一条)、刑法修正案(九)(第二百五十三条)、侵权责任法(第二条和第三十六条),以及《全国人大常委会关于加强网络信息保护的决定》《网络安全等级保护条例》等。这种碎片化的立法,使得法律对于个人信息的内涵和外延缺乏统一的认定标准,不少规定之间存在相互冲突,给司法实践带来许多困扰。
个人信息保护有“民事、行政、刑事”三个环节,但现实中,这三个环节往往不能有效衔接,比如许多公众遇到个人信息泄露后,往往举报投诉无门。有些个人信息的泄露和窃取,虽然得到立案处理,但往往只是行政处罚了事,而逃脱了应当承担的刑事责任。比如,近几年不断有App被曝光违法搜集个人信息,但大多只得到较轻的行政处罚。除此之外,除了刑事责任具有较为明确的责任承担标准和规则外,民事和行政责任的立法均不完善。一些关乎被侵权人切身利益的问题,如精神损害赔偿标准,多人侵权及相应的责任界定等问题,相关的立法均缺乏明晰的规定。
此外,在个人信息的保护模式上,现有法律更侧重于间接保护和事后保护,关于个人信息的直接保护和事前控制的规定较少。这就导致个人信息保护和管理义务,大多只能靠管理方的自觉。这一点,在今年以来不断曝出的银行泄露个人信息事件中,得到了应验。比如,今年5月,演员池子的账户“流水”遭中信银行泄露事件中,银行就无视储户隐私,导致个人信息事实上的“敞口”。
个人信息保护法的立法,有望弥补以上空白和缺漏。通过专门立法的方式,能有力保证法律规范的系统性,终结碎片化的状态,实现个人信息认定标准、个人信息管理、处罚标准的统一。而且,这样的法律,也将能为个人信息保护提供更为全面的解决方案,进一步明确个人信息的边界与信息保护主体的责任义务,通过设置严格的法律责任,提高违法者的违法成本。这些都有助于遏制和震慑侵犯个人信息的各类违法行为,织就一张严密的信息安全保护之网。
个人信息保护,说到底靠的是法治。在当下这个互联网时代,信息的生产和流动呈爆发性增长的态势,给个人信息保护带来愈来愈严峻的挑战,唯有让现实世界中的监管和法律跟上虚拟世界的步伐,才能让个人信息安全成为任何人都不敢轻易触碰的高压线,从而告别“信息裸奔”的尴尬状态。
于平