无标题文档
 
   
首页 --> 新闻发布 -->正文
完善个人信息保护的立法建议--张秀全

创建日期 12/28/2014 显滨   浏览次数  802 返回    
字号:   
 

    我国法律不承认个人信息具有财产权属性,导致权利人的合法权益得不到有效的救济。因此,为维护公民对其个人信息的权利,在立法中应明确规定个人信息的私有财产权性质,兼顾个人信息的人格保护和财产保护,全面保护个人信息。通过制定《个人信息保护法》,明确将个人信息权作为一种独立的权利,只有对个人信息保护中这些基础性问题有了确实的法律规范,才能给个人信息保护的司法适用和执法实践提供最强有力的支持。在当前《个人信息保护法》尚未出台的背景下,行政监管和行业自律显得更为迫切和重要。通过公权力追究此类行为的行政违法责任,建立侵犯个人信息的行政法律追责机制非常必要。

  近年来,金融、电信、交通、教育、医疗、快递、商务、房地产等机构泄露个人信息事件频频发生,个人信息被非法收集、泄露、利用、篡改等问题日益凸显。2014323日,漏洞报告平台乌云网披露了携程安全支付漏洞致信用卡危机问题。尽管之后携程作出回应,并通知93名存在潜在风险的携程用户更换信用卡。但这一事件反映出,个人信息保护问题已成为我国社会经济发展和人民安定生活的棘手问题,而织好个人信息保护的法网,则势在必行,刻不容缓。

  自由流通与安全保护

  个人信息的保护是出于法律秩序的要求,但法律秩序的要求并不意味着个人信息的完全封存。个人信息保护应当坚持个人信息自由流通与安全保护相结合,兼顾平衡两者之间的关系。个人信息流通和安全是相辅相成的,应当权衡个人信息流通与个人信息安全的关系,规范信息的保护范围,对个人信息进行合理保护。我国的个人信息保护法在立法理念上应兼顾自由流通与安全保护的和谐与平衡。
  个人信息是信息社会中有价值的资源,具有一定的私有财产性质。个人信息背后有其独特的人格利益,也往往表现为一定的财产利益。 《侵权行为法》 规定,对于网络个人信息的侵权行为应当适用侵权行为法中的责任承担方式。但个人信息还是一种财产利益,若仅仅对侵犯个人信息的行为给予侵权法的人格利益保护,受害人便无法得到因侵犯个人信息而导致的财产损失的弥补。
  在信息社会,个人信息含有的财产属性越来越明显,有必要通过立法的形式对个人信息含有的财产利益或财产权属性进行法律保护。在我国的商业实践中,一些商业机构利用姓名、工作单位与家庭住址、座机或手机号码、QQ号与电子邮箱等个人信息进行营利并获得巨大商业利益,但因我国法律不承认个人信息具有财产权属性,导致权利人的合法权益得不到有效的救济。通过立法承认个人信息具有财产权属性,并加大个人信息中的财产利益的保护,不仅有利于避免信息主体因担心个人信息遭不当收集、利用进而尽量隐匿自己的个人信息,导致个人信息无法合理自由的流通,阻碍社会进步和技术创新的现象,而且由于获得信息应当支付相应的对价,因而在一定程度上避免了信息的不合理利用,有助于提高信息的利用率,达到资源的优化配置。因此,为维护公民对其个人信息的权利,在立法中应明确规定个人信息的私有财产权性质,兼顾个人信息的人格保护和财产保护,全面保护个人信息。

  打造《个人信息保护法》

  目前,我国许多法律都涉及到个人信息的保护,都对个人信息保护有所规定,但在实际操作层面上,侵害个人信息案件发生后,因取证比较困难,侵权人很少被追究责任。
  从《侵权责任法》来看,泄露个人信息资料、滥发垃圾短信,是一种典型的民事侵权,但现实生活中,由于该种侵权所造成的经济损失数额一般不大,在相关具体法律规范缺失、监管不力的情形下,一方面,导致公民维权面临成本高、取证难等问题,很难全面、准确、及时地对个人信息侵害进行保护,另一方面,这种现状还会助长不法分子的嚣张气焰,使其有恃无恐地攫取不法利益。
  而在刑事责任方面, 《刑法修正案()》 增设了出售、非法提供公民个人信息罪非法获取公民个人信息罪这两个罪名。这一规定值得肯定,但它仅能对严重侵犯公民个人信息的犯罪行为予以制裁,无法调整未达到情节严重标准的其他侵害行为,很难运用刑罚手段对这种行为进行制裁。
  为了保护网络信息安全,保障公民、法人和其他组织的合法权益,维护国家安全和社会公共利益,20121228日通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》 对于违法获取、收集、利用能够识别公民个人身份和涉及公民个人隐私的电子信息的行为进行了规范,但这一决定涉及的范围局限于公民个人身份和公民个人隐私的个人电子信息。
  新《消费者权益保护法》第二十九条的规定无疑更为具体明确,经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。”“经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。”“经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。但这一规定因欠缺明确的民事责任与行政处罚,其实际实施效果难免令人担忧。
  我国已于2003年启动个人信息保护的立法程序,并已经形成两份专家立法建议稿,但时隔十年,该部法律仍未出台。现今社会舆论越来越倾向于尽快制定个人信息保护法,明确个人信息保护的概念、原则、主体、权利、义务、责任等。通过制定 《个人信息保护法》,明确将个人信息权作为一种独立的权利来保护,清晰界定个人信息的范围、内容及收集、使用的原则等,规定对个人信息受到侵害的责任认定以及救济方式。只有对个人信息保护中这些基础性问题有了确实的法律规范,才能给个人信息保护的司法适用和执法实践提供最强有力的支持。

  加强行政监管和行业自律

  法律的发展往往滞后于社会的发展,在网络领域,这一现象更为明显。个人信息保护需要国家立法、行政监管及与行业自律的协调配合。而在当前 《个人信息保护法》 尚未出台的背景下,行政监管和行业自律显得更为迫切和重要。
  对违法获取、收集、利用公民个人信息的行为,行政执法机关应依法给予警告、罚款、没收违法所得等行政处罚,并记入社会信用档案,向社会公布。行政监管手段相对便捷、高效,通过公权力追究此类行为的行政违法责任,建立侵犯个人信息的行政法律追责机制非常必要。
  而在行业自律方面,以美国为代表的行业自律采取保护隐私权的模式,通过建设性的行业指导、网络隐私认证计划(该计划包括申诉机制、评估机制、争端解决机制、制裁机制等)、行业自身网络隐私保护、自律规范政策等方式,来规范个人信息的收集、使用、交易等方面的网络个人信息侵权行为,保障行业自律的公信度和执行力度,以达到保护网络个人信息的目的。为发挥行业自律机制的作用,我国应积极倡导制定个人信息行业标准,健全和完善行业自律机制,以约束行业成员自觉遵守行业规范,这对个人信息保护将是一种较为有效的保护方式。
  参考美国的自律模式,我国可以发展行业自律组织,发挥自律协会等非营利性组织的引导及监管作用。在个人信息泄露的相关高危行业中,制定个人信息保护的标准文本,如电子商务网站的隐私权声明及政策、银行、保险、房产等行业的保密公约等,探索各种可行的形式,确定适用于不同行业的个人信息的不同保护标准,形成良好的行业氛围和社会监督效应。此外,行业自律组织应对相关企业进行个人信息保护的指导,引导企业完善个人信息管理制度,落实个人信息管理责任。
  要解决个人信息泄露和滥用的顽疾,最终还应回归法治轨道。我们期待一部法制统一、顶层设计、权威至上的个人信息保护法早日出台,并在此基础上形成公法与私法、实体法与程序法协调运行的公民个人信息保护的完整法律规范体系。