私人信息的收集同社会本身一样古老。它可能不是最古老的职业,但却是最古老的习惯之一。上至行政机关,下至社会团体对个人信息的收集、储存、交换从来没有停止过。然而,在个人信息被收集和利用以提高工作效率、促进经济发展的同时,个人信息遭到恶意侵权、扰乱个人生活的隐患也逐渐显现。
1我国关于个人信息保护的立法现状
虽然个人信息保护立法的呼声很高,立法机关也很重视,但是迄今为止,仍没有专门的《个人信息保护法》出台。我国个人信息权利立法保护比较零散,并没形成体系,保护范围也很狭窄,缺乏统一的执行机制与机构。现有的保护模式通常都是通过适用部门法中关于个人隐私权的规定来保护个人信息。主要有以下几个方面:
1.1宪法保护《宪法》第38条规定了公民的人格尊严不受侵犯,第39条规定住宅不受侵犯,第40条规定公民的通信自由和通信秘密受法律保护。
1.2部门法保护《民法通则》虽没有直接规定隐私权为公民的人格权,但规定了公民享有名誉权、荣誉权,公民的人格尊严受法律保护,禁止用侮辱、诽谤等方式损害公民、法人的名誉。另外,《刑法》、《妇女权益保护法》、《未成年人保护法》、《执业医师法》、《传染病防治法》、《居民身份法》、《档案法》、《统计法》、《律师法》等中都有关于保护个人信息的条文。
1.3诉讼法保护我国《民事诉讼法》、《刑事诉讼法》、《行政诉讼法》都规定了人民法院审判涉及个人隐私的案件可以不公开审理。因此有关个人信息如果被确定为隐私,可以不公开审理。
1.4网络隐私权的相关法律保护我国《计算机信息网络国际联网安全保护管理办法》第7条规定:用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。《计算机信息网络国际联网管理暂行规定实施办法》、《互联网电子邮件服务管理办法》中也有相关规定。
可见关于个人信息保护没有形式意义上的统一立法,都是散见的立法,法律效力都不高。我们的互联网发展的非常热闹,但是我们互联网里面的法制却是十分的混乱,能够说的上是法的可能只有人大常委会的一个决定,剩下来的都是一些位阶比较低的行政法规、部门规章或是行业规范。
2网络环境下个人信息大量外泄
当前,个人信息不再只是以传统手写方式记录,纸质方式储存,更多的是以网络的方式来取得、持有及使用。
2.1第三方持有大量的个人信息随着网络科技的进步,商业机构广泛运用会员注册的方式大量收集个人信息,进而有外泄或滥用个人信息的可能。在网上交易中,为了购买特定商品,或者使用一定的购物平台,买方必须提供姓名、性别、生日、身份证号码、银行卡号、住址及电子信箱等个人信息。特定服务的网络提供者,如求职网站、社交网站等也会要求使用者提供个人信息。
2.2第三方持有详尽的个人资料第三人持有的个人资料不仅数量大,而且越来越详尽。第三方持有详尽的个人信息可能导致的结果之一,便是通过部分个人信息可以获得更多的个人相关资讯。有了这些个人信息,政府部门可以更有效地执法,企业可以做出更正确的分析及决策。但个人却成为科技进步的牺牲品,这些详细的个人信息被滥用时,不但可能造成对个人隐私的侵害,更可能造成犯罪。
2.3个人信息的电子化在电脑科技发明并大量运用后,我们转而依赖电子媒介来储存、复制及处理资料。在这种情况下,第三方得以更方便的以电子档案的方式来储存、处理或交换个人信息。信息交换成本极为低廉,并可以被长久保存,轻易复制、使用及传输。但与此同时,科技的发展也使得个人信息更容易被暴露于第三方。
3个人信息侵权行为形式多样
正是因为网络环境下个人信息的大量外泄,加之立法中个人信息保护防范措施不足,使得个人信息侵权行为屡屡发生,并表现出不同的形式。
3.1网站泄露用户注册信息不良网站通过注册会员,获取免费服务和商品的活动,收集和统计大量用户个人信息,再售卖客户信息牟利。
3.2设备供应商的侵权行为软硬件厂商在产品中设置后门程序,在顾客不知情的情况下对用户的数据信息进行收集,并定期将部分个人信息发送到公司数据库中,为个人信息保护带来不安全因素。
3.3电子邮件中的个人信息泄露电子邮件从发送到接受需要通过多个服务器,在其中任何一个中转点,未加密的邮件信息都可以被截断、偷窥。因此,蓄意窥探他人隐私的服务提供商就可以轻而易举的截获个人信息。
3.4用人单位对员工隐私权的侵犯用人单位为了监督员工不在工作时间利用网络做与工作无关的事情,常常在局域网里安装监视软件。员工网上浏览、聊天、发送电子邮件的内容都能被单位通过监视系统拦截获悉。
3.5利用即时通信软件侵权我国 QQ、微信、微博用户数以亿计,不道德的网友私自人肉他人信息,使他人遭到骚扰,侵犯了个人隐私权。由于网络的虚拟性和即时性,使广大网友的言论得到爆炸式传播,影响恶劣。
可见我国个人信息保护立法和我国国情及现实需要的差距,完整的个人信息保护体系应当事先防范、事中监控、事后救济并举,并且针对个人信息侵权的特殊危害性,笔者认为尤其要重视防范于未然。
4个人建议
4.1个人信息侵权的自我防范措施抓住源头就能找准要害。首先,个人信息权人应增强防范意识,在不必要的情况下尽量不随意泄露自己的相关信息。例如,采用匿名方式浏览网站,安装个人防火墙并及时升级,以防止个人资料和财务数据被窃取;在网上购物时,确保已采用安全的连接方式;经常更改密码,使用包含字母和数字并区分大小写的密码;不打开来自陌生人的电子邮件附件;手机SM卡及时升级屏蔽伪基站的侵扰;利用安全卫士软件,以确定电脑、手机有防毒杀毒能力等。
4.2个人信息外泄通知制度的立法建议目前,掌握大量客户个人信息的企业已经意识到自己应负的法律责任,许多企业都有相关的保密声明,例如网络提供商和网上商城经营者规定了约束交易双方对个人资料取得、保存及使用的相关责任,承诺不将客户的资料提供给第三人或者移作其他目的使用。不过,这样的自律规范模式并不足以提供保障。
笔者认为可以参考美国的做法在立法中制定个人信息外泄通知制度,要求企业在个人信息外泄事件发生时,必须主动通知该个人或特定机构,以做好事先防范措施。
4.2.1个人信息外泄通知的时间。个人信息外泄第一时间通知受到影响的客户,可以降低甚至避免损失发生。例如,个人银行信息外泄后,不法分子通常需要时间去复制卡、盗刷卡或转账、消费,如果企业及时通知客户信息外泄及时挂失止付就可以避免损失,甚至可以联合公安机关将犯罪分子绳之以法。因此,立法中可以采用混合模式。要求企业在有个人信息外泄的可能时,必须通知主管机关;在外泄信息有可能被盗用时,进一步通知个人。另外,企业为了顾全声誉可能只愿意通知相关机构而不愿意通知个人,立法中应该同时赋予受到通知的主管机关监督的权力和知情不通报的连带责任。
4.2.2个人信息外泄通知的方式。可以使用邮件、手机短信、电话等所有安全、快捷、有效的方式。为了保护个人隐私,在个人信息外泄通知中,应当同时包括外泄事件本身的说明,企业已经采取的补救措施,以及避免及降低损失的建议,也应包括可以寻求协助的企业内部机构或政府机关的联络方式。通知发出后,应当保留回执,以确保通知有效接收。发送邮件的应要求客户签收,发送短信的应要求客户回复短信,拨打电话的应验证当事人身份,保存通话记录。
4.2.3违背通知义务的责任。企业违背了信息外泄通知义务的应依照过错责任原则承担相应的责任。所承担责任的大小应不低于给当事人造成的损失,即使没有造成实质损失,也应有一定惩罚性的赔偿。另外,立法中也可以考虑由主管部门对违规企业一定的行政处罚,也可定期公布违背个人信息外泄通知义务的企业名单,对其形成一定的社会压力,以促使企业重视和改善其内部的信息安全保护问题。