周玉 周晨圆 宣泠羽 胡依凡
摘 要 大数据时代来临,公民的个人信息正在遭受前所未有的威胁。本文旨在通过数据分析,把握我国个人信息泄露的现状,借鉴国外立法的相关有益经验,探寻个人信息泄露的预防措施和救济手段,以有效地保护公民的个人信息。
关键词 个人信息 信息泄露 救济措施
基金项目:本文为嘉兴学院大学生创新创业项目“关于个人信息泄露的途径与预防的调查报告(SRT2017B001)”的研究成果之一。
作者简介:周玉、周晨圆、宣泠羽、胡依凡,嘉兴学院文法学院2016级法学专业本科生。
中图分类号:D668 文献标识码:A DOI:10.19387/j.cnki.1009-0592.2018.06.300
2017年5月12日,一款名为“wannacry”病毒的勒索软件在全球掀起风暴,这款可以窃取计算机信息和用户隐私的勒索软件使人们真正体会到了个人隐私被窺视、被窃取、被他人控制的恐慌。可见大数据时代,民众的个人信息安全正在遭受越来越严重的威胁,然而为了更加便捷的工作生活,民众无法拒绝向互联网提供个人信息,正因如此,我们更加应该重视个人信息泄露的预防和救济。本文拟分析公民个人信息泄露的现状,探寻有效的预防措施和救济手段。
一、我国公民个人信息泄露的现状分析
(一)公民个人信息泄露的途径
公民个人隐私被泄露的风险已随着大数据技术的发展扩散至公民生活的方方面面。根据本项目组的调查显示,手机泄露、PC电脑端病毒感染、网站漏洞、人为倒卖信息是目前个人信息泄露的四大途径。其中,前三种被认为是隐私泄露的直接途径,而最后一种则属于间接途径,并且大部分被倒卖的个人信息都来源于三种直接途径。
公民在下载APP、注册网站、连接公共无线网络时可能会被要求授权位置、头像、相册、通讯录,或是被要求绑定其他关联的社交平台账号等,数以万计的个人信息数据因此流入数据库任人予取予用,一旦出现手机云服务账号被窃取、拥有隐私权限的APP厂商被黑客脱库等情况,大量个人信息数据就会被泄露,给用户工作生活造成威胁。
在大数据时代,任何可以联网的设备都有泄漏用户个人信息的危险,即使排除网络运营商恶意泄露的情况,技术上难以弥补的漏洞、第三人的恶意窃取等都是用户个人信息安全的巨大威胁。互联网已然成为个人信息泄露的最主要途径。
(二)公民个人信息泄露的危害
个人信息的泄露不仅会带来个人隐私被窥探的不适感,而且还会危及公民的人身财产安全。据《中国网民权益保护调查报告(2017)》显示,中国57%的网民认为个人信息泄露严重,76%的网民亲身感受到个人信息泄露带来的诸多不良影响。调查显示,被泄露的个人信息大都被不法分子用来进行网络诈骗。来自企鹅研究院的《2017中国网民受骗及维权数据报告》显示,有75.1%的网民遇到过诈骗情况,97.0%的网民收到过骚扰、诈骗的电话或短信。
网络诈骗正是因为有了个人信息作为背书才能迷惑对象,屡次成功。我国近年来网络诈骗案件频发,给公民带来了难以估计的损失。2016年8月21日,南京邮电大学大一新生徐玉玉因诈骗电话被骗走上大学的费用9900元,伤心欲绝,郁结于心,最终导致心脏骤停而仍不幸离世。笔者的母亲也曾接到过诈骗电话,谎称笔者报英语补习班需要3万元学费,后因母亲与笔者联系才被拆穿。由此可见,个人信息泄露的危害无处不在,严重危及公民的人身财产安全,完善个人信息泄露的预防举措和救济方式刻不容缓。
二、公民个人信息泄露的预防和救济现状分析
(一)公民个人信息泄露的预防和救济的立法现状分析
法律既是预防又是救济,科学完善的法律体系有利于震慑意图窃取和泄露个人信息不法分子,同时又为个人信息遭到侵害的民众提供了救济的法律依据。我国针对个人信息泄露这一问题制定了一系列法律法规。目前,我国关于个人信息的法律保护散见于《民法总则》、《侵权责任法》、《刑法》及其他部门法中,此外,还存在大量的行政法规和规章对其进行保护,如诉讼法中有保护当事人个人信息的条款,《消费者权益保护法》中有保护消费者个人信息的条款,《职业病防治法》有保护劳动者个人信息的条款。
我国关于个人信息安全的立法数量繁多、覆盖范围广泛,但是不可否认其存在分散且粗糙的缺点,公民无法迅速准确地选择法律依据对自己的权益进行救济。因此我国迫切需要一部关于个人信息保护的单独立法,明确个人信息权的内容和个人信息征集使用的原则,规范个人信息处理主体在信息收集、比对、传输等方面的权利义务,并且对个人信息处理主体的法律责任做出明确规定。可喜的是,我国第一部个人信息保护专门立法——《中华人民共和国个人信息保护法(草案)》已进入立法程序,并向社会公开征集意见。
(二)公民个人信息泄露的救济的司法现状分析
毫无疑问,仅有个人信息的保护性立法是不够的,在健全相关保护性法律的同时,需要将法律落实到实处。在《个人信息保护法》进入立法程序之前,尽管我国关于个人信息保护的法律法规较为零散,但各地法院充分意识到个人信息保护对公民人身和财产安全保护的意义和重要性,相关方面的判决已有不少。当然,各地法院关于个人信息泄露的案件数量与个人信息被泄露的程度严重不对称。以上海为例,上海市2009年2月28日至2017年7月31日的侵犯公民个人信息犯罪的判决书共172份,不难想象,作为经济发达的东部沿海城市——上海,该地公民的法制意识较强,但是自侵害公民个人信息入罪八年来却只有172份有关判决书,明显与实践中公民个人信息遭受严重侵害的现状不符。
尽管我国有关个人信息保护的立法并不完善,但是我国的司法仍未达到与立法相符的水准,大量有关法律并未被应用到审判中。起诉时审判的前提,有关起诉数量稀少会直接导致我国有关个人信息的判决数量与个人信息遭受侵害的现状严重不符。
有關个人信息案件稀少的原因,我们认为主要在于两个方面:(1)民众只关注受侵害的人身财产权利,而忽略了他们被泄露的个人信息。民众往往是实体权利受到侵害后才寻求司法救济,并不是察觉到信息泄露就立刻寻求司法救济,所以司法救济的重点就在被侵害的实体权利而非个人信息泄露问题。不法分子利用被泄露的个人信息侵害民众的人身财产权利,但是民众往往只对被侵害的人身财产权利进行救济,而从未想过对被泄露的个人信息进行救济。(2)个人信息的窃取和泄露大都通过互联网实现,而目前互联网犯罪的侦破对侦查人员而言仍是一大难题。刑事诉讼在法院受理之前要经过立案侦查,而互联网犯罪具有远程实施、隐蔽、规模化、反侦察能力较强、不受地域限制等特点,侦查人员难以找到充分证据追究不法分子的刑事责任,自然也就不能提起公诉。
综上,我们认为,我国有关个人信息泄露保护的司法现状并不乐观的主要原因在于民众缺乏相关意识和司法人员的能力局限,要达到预防个人信息泄露的目的,增强民众个人信息安全意识必不可少。
(三)公民个人信息泄露的预防和救济的行业保护现状分析
我国的有关行业立法并非空白,2016年11月07日我国就颁布了《中华人民共和国网络安全法》,该法律于2017年06月01日正式实施,其第四章规范了网络信息安全,详细阐明了网络运营商在保护用户信息上应尽的义务。但该立法与互联网服务多样化的现状不相符,例如社交平台和购物平台关于个人信息保护必然有所差异,只有一部法律并不能详细阐明。
网络运营商从用户消费获利,因此不论是出于道德义务还是为了长久的利益,网络运营商都应当最大限度地保护用户的个人信息安全,而不是仅仅在法律法规的规制下被动地保护。目前我国的互联网行业仍处于发展阶段,运营商还处于其带来的惊喜之中,并未察觉到其中危机。网络运营商盲目追逐短期利益,忽视用户信息安全;各自抢占市场,并未注重规范市场。用户同样处于其带来的巨大惊喜之中,还未察觉其不利影响,只享受其带来的便捷娱乐,而忽视了其泄露自己个人信息这一事实。经调查研究发现,网络运营商不积极主动保护用户个人信息的一大原因是用户本身并不注重个人信息安全,中国发展高层论坛上百度董事长李彦宏表示中国用户在个人隐私方面更加开放,一定程度上愿用隐私换方便和效率。
我国虽然有了互联网行业的立法,但是该立法较为笼统,需要更多法律法规对其进行补充。我国在行业自治和市场规制方面几乎空白,运营商只顾抢占市场并未注意市场是否健康,用户也不重视网络运营商的个人信息安全保护程度。
三、公民个人信息泄露预防举措和救济方式的域外经验借鉴
发达国家比我国更早步入互联网时代,更早地面临个人信息泄露和个人信息保护问题,因此,也较早形成了相对完善的个人信息保护体系:不仅有一套由基础性立法、行业立法和行政法规组成的法律保护体系,更是发展出了行业内部监督、国际合作等有效的保护方式。
欧盟建立了数据保护监督专员制度,严格管理机构和组织搜集、录制和储存、重新提取、发送或使其他人员获得、删除或销毁数据的行为。加拿大设有隐私专员办公室,受理和调查个人信息侵权投诉,向议会提交个人信息保护情况的年度报告和特别报告。
由于立法总是呈现滞后性,美国政府倾向于行业自律政策,鼓励企业参与到公民信息保护当中。目前的美国行业自律政策主要有三种:建议性的行业指示、网络隐私认证、技术保护模式。“在线隐私联盟”是美国利用行业自律模式来保护公民隐私的典范,该组织由超过80家国际公司和协会组成,致力于为商业行为创造互信的良好环境、推动对个人网络隐私权的保护。1998年该组织发布了“在线隐私指引”,旨在指导网络和其他电子行业的隐私保护。
互联网的发展使得个人信息保护不再是国家的内部事务,越来越多的国际组织针对个人信息保护出台了建议和措施。如经济合作开发组织理事会颁布了《关于保护隐私和个人数据国际流通的指南》,亚太经合组织建立了地区隐私保护标准,欧盟制定了《关于在个人数据处理过程中保护当事人及此类数据自由流通的指令》 ,这些立法中的很多内容,值得我国借鉴。
四、我国公民个人信息泄露的预防举措和救济方式的具体完善
通过调查和比较,我们认为,我国公民个人信息泄露的预防举措和救济方式的完善应从以下几个层面入手:
第一,通过宣传教育增强公民个人信息安全意识。根据前文分析可知,民众对个人信息安全的忽视是有关个人信息泄露预防和救济的司法现状不乐观的主因,同时也是互联网运营商不积极主动维护用户个人信息安全的主因。因此增强公民的个人信息安全意识是建立个人信息安全预防救济体系的必经之路,只有公民的个人信息安全意识增强,才能从源头遏制个人信息泄露,才能让公民在个人信息泄露后积极采取救济措施,否则再完善的救济体系都是枉然。
第二,建立用户个人信息安全指标评价平台。网络服务机构无一不是以营利为目的,因此利用市场本身的力量去规制各网络服务机构比立法规制更有效,更符合市场规律,行业性立法绝非预防个人信息泄露的首选,而是最后的一道防线。我国应当通过宣传教育让民众更加重视个人信息安全,从而让维护用户信息安全成为互联网行业核心竞争力之一,通过市场竞争促使各大网络平台积极自觉地维护用户个人信息。行业内部可以建立一个用户个人信息安全指标评价平台,或者为了更加公平真实由政府组织建立,将各个网络运营商的用户个人信息泄露数据汇总,以供用户选择服务,每一个进入该行业的企业都应注册该平台,接受该平台的评估,促使网络运营商不断提高用户个人信息安全系数,预防用户信息泄露。
第三,完善个人信息保护的立法体系。我国关于个人信息保护的基础性立法已进入立法程序,但是该立法应当对法律责任进行更加详细具体的规定。我国的行业性立法只有一部总括的《中华人民共和国网络安全法》,但是互联网行业提供的服务多种多样,如社交、购物和游戏等。每一种服务对用户的个人信息安全要求都有不同,可以通过更多立法或其下位法进行规范。完善的法律体系既可以起到宣传震慑的作用,预防个人信息泄露,又可以据以追究不法分子责任,对遭受个人信息泄露的公民进行救济。
第四,建设与立法相当的司法力量。在刑事犯罪中只有追究犯罪分子刑事责任才能对被害人进行救济,要对遭受个人信息泄露的公民进行救济就必须对犯罪分子进行追责,这需要侦查人员具有强大的互联网犯罪侦查能力。我国应当建设与立法相当的司法力量。针对互联网违法犯罪行为提高侦察能力,培养新时代具有互联网侦查能力的警务力量,有力打击通过互联网侵犯公民个人信息安全的违法犯罪行为。
第五,成立个人信息安全保护的专门机构。个人信息安全涉及生活的方方面面,其有关法律部门规章往往较为分散,难以集中,有权处理个人信息泄露的机关也就数目庞杂,公民难以找到正确的救济途径。因此可以成立个人信息安全保护的专门机构,该部门不需要拥有行政执法权力,只作为一个普通的公共服务机构,其主要机能是将各分散的可以处理个人信息泄露的机关连接在一起,对各种救济途径进行整理,对公民的维权进行指引,提供便捷,形成一面维护公民个人信息安全的大网。
五、结语
个人信息泄露首先会带来隐私被窥视的不舒服感,然后是对自身人身财产权的担忧。为了维护公民生活安定,保障公民人身财产权利,我国正在积极完善个人信息泄露的救济体系,《个人信息保护法》进入立法程序就是一大进步。个人信息泄露救济体系的建立需要民众、政府、有关行业的积极参与,从民众意识、立法、司法、行业自律等多方面密切配合,让公民在享受互联网便捷的同时不受个人信息泄露的威胁。
注释:
王秀哲.我国个人信息保护立法实证研究.东方法学.2016(3).
雷澜珺、陈万科、马文玲、李惠民.上海公民个人信息保护刑事司法状况实证与反思.上海法制报.2018年3月28日.
姜勇.国外保护个人信息有哪些主要措施和做法?.红旗文稿.2017(3).
各国如何保护隐私?.http://www.fjii.com/a/hulianwang/20170125/96389.html.