个人信息保护立法不应缺位

◎文/ 王涵

近年来，个人信息泄露事件频频发生，网络诈骗俨然已经成为一个危害社会健康、良性发展的毒瘤，在这样的背景下，一部《个人信息保护法》的出台，已经成为立法、执法、学界等多方的共同期盼。

前不久，中国政法大学副校长马怀德在接受媒体采访时就公开呼吁，有关个人信息保护立法进程应该加速，有关法律应尽快出台。

“我们应该充分认识到问题的紧迫性与严重性，在大数据时代，一方面是信息自由、信息分享带来的无与伦比的经济发展动力；另一方面则是我们从未面临过的、严峻的信息泄露威胁和网络安全问题。尤其是个人信息保护问题，更在法律领域内日益凸显，有关立法出台可以说是刻不容缓。”马怀德说。

据了解，相对于互联网领域的其他问题，个人信息保护法虽然早已列入我国立法议程，但是由于其复杂性，一直以来进展十分缓慢，始终未进入实质性阶段。

个人信息权立法难在哪

据了解，个人信息权立法一直以来推进缓慢的原因主要在于法律概念如何界定还存在争议。

主要的争议可以归结为个人信息被加工后是属于加工者还是属于个人。举个例子，大数据时代，一个人的喜好是可以被互联网数据公司通过分析整理形成一系列有效数据的，那么这个数据的所有者应该是属于互联网公司，还是属于被加工者个人？

这个概念如何界定，关乎数据产业未来的发展。

根据欧盟将在5月25日实施的《一般数据保护条例》规定，欧盟在一定程度上是保护加工者的数据加工权，但同时也在个人隐私的救济上设置了一系列的救济权。

清华大学法学院院长申卫星将欧盟《一般数据保护条例》赋予个人对一般数据的权利总结为：被遗忘权、获取权、修改权、携带权、拒绝权。

相比之下，我国目前对于个人数据保护的法律规定却显得十分保守，根据我国《民法总则》第111条规定：自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

对此，申卫星认为，如果将个人信息作为一个人格权利，那么信息当然属于个人，而不可能属于信息收集、加工企业。“但是在大数据时代，这种保护过于严格，或者说它已经落伍了。”申卫星说。

“在大数据时代，中国已经出现了30多家大数据交易场所，技术的出现使得无形的个人信息能够像财产一样予以转让，并且转让还有期限。因此，我认为，我们要对个人信息予以财产权的保护而不是人格属性上的保护。”申卫星说。

用户同意不能成为滥用信息的保护伞

在个人信息保护的问题上，除了如何界定人格权与财产权的争议外，如何进行信息保护的规制也是目前普遍热议的话题。

尤其是在如何看待信息“出境”的问题上。

据了解，从目前已经通过出台的有关信息管理的相关法律上来看，包括《网络安全法》《消费者权益保护法》和《数据跨境转移的评估办法》都规定，首先要经过信息主体的同意。

“但在实际执行层面上，这些规定往往流于形式。”中国政法大学互联网金融法律研究院院长李爱君说，“比如说，这些同意的条款往往会出现在用户下载使用APP之前，用户就会被要求勾选弹出的十分复杂的隐私协议，这些协议虽然说会列出各种APP出品方会获取用户信息的种种情形，但是，通常来说如果是非专业人士基本上很难读懂如此拗口晦涩的法律文件，况且用户也只有点击同意之后才能使用APP，这些造就了这种条款带有十足的‘霸王条款’色彩。”

对此，全国人大代表、中国社科院法学所研究员孙宪忠就曾在去年全国两会期间公开呼吁，要转变立法理念。

“如果把个人同意当成信息采集以及保护的基础的话，对个人信息保护是相当不利的。”孙宪忠说，“必须首先考虑到是谁在采集信息，谁在保管信息，尤其是数据上云的情况下，谁应该对这个信息进行清洗，包括使个人的隐私不上到云端，这才是最重要的，而不是说造成信息泄露造成损害以后，从民法侵权的角度去解决。”

立法应统一规制集中管理

“从我国个人信息的法律保护现状可以看出,我国对个人信息保护尚未出台专门立法,对于泄露个人信息的处罚缺乏统一性和系统性,尚未形成统一的关于个人信息保护方面的基本法,而是散见于相关的法律法规中,且量刑偏轻。”李爱君说。

目前来说，除了我国《民法总则》第111条、刑法第253条涉及的公民的个人信息不受侵犯以及相关的处罚措施之外，2017年6月1日起施行的《网络安全法》,最高人民法院和最高人民检察院2017年5月9日联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对涉及用户个人信息的,也都进行了相关规定。

除此之外,消费者权益保护法、居民身份证法、商业银行法、未成年人保护法、电信条例以及《互联网电子公告服务管理规定》《计算机信息网络国际联网安全保护管理办法》《互联网安全保护技术措施规定》等法律法规都对涉及个人信息管理问题有所涉及。

“从立法形式上看,我国有关信息安全的法律法规在数量上似乎形成了一定的规模,但没有构成一个完整、系统、条理清晰的体系。”李爱君说。

从内容上分析,李爱君指出许多条文规定的内容过于抽象,操作性差,难以有效执行,且存在重复、交叉,形成多头执法和多头管理的局面,导致执法成本和司法成本的浪费。

“我国对个人的信息、肖像权等有法律保护,但是对于在大数据时代个人数据的使用却未明确,也没有专门针对个人数据信息进行法律法规的监管,这就造成了个人信息安全的隐患。”李爱君认为,要使个人信息得到保护,就要保证数据交易平台用的是“干净”的数据,即不能侵犯个人隐私、不能泄露企业商业秘密、不能泄露国家机密、不能危害国家安全等。

尽快出台个人信息保护法

“为了应对大数据时代个人信息安全面临的新挑战,有必要推动专门的立法工作,除了从源头上加强网络安全防护外,更关键的是要完善公民个人信息立法,尽快制定个人信息保护法。”

李爱君认为,统一立法可以对个人信息给予更充分的保障,对收集、利用、买卖个人信息的价值取向保持一致，比如说，针对信息泄露问题，如果对于其他严重犯罪可能产生帮助行为的，可以在量刑上加大力度,并可以在罚金方面作出较为具体的规定。

同时, 李爱君建议,由于公务机关和非公务机关对个人信息侵害的程度不同,因此在立法时,有必要对公务机关和非公务机关予以区分。同时,基于国家利益、社会公共利益及他人利益等方面的个人信息侵权行为,应当制定相应的免责条款。

另外, 李爱君还认为,个人信息保护法应与信息安全相关的法律法规进行有效衔接,做到相统一、相呼应,从而形成较为完善的信息安全法律系统。

对此,孙宪忠表示赞同。他说,比如对于尚未构成刑事犯罪的一般侵权行为,主要通过民事法律法规进行调整,那么就十分有必要修改完善相关的民事法律法规,更有效地维护公民个人民事权益。对于其他相关法律法规也要衔接好,保持法律实施的一致性。

“除此之外，还应加大对敏感信息和移动设备的监管力度,大数据科研人员在研发之前,首先应考虑以保护企业和个人隐私为前提,运用信息加密技术等措施提升大数据技术信息安全水平,加强信息保护程度。”李爱君说。