赛迪智库网络安全研究所 王超
近年来,我国信息泄露事件层出不穷,信息买卖日益猖獗,个人信息安全面临严峻挑战。我国相关立法未能跟上互联网发展的步伐,客观上纵容了网络犯罪。加快制定个人信息保护相关法律已经成为互联网+时代下的紧迫任务。
一、个人信息安全面临严峻挑战
(一)信息泄露事件频频发生
近年来,我国信息泄露事件日益频繁。2014年12月25日,12306用户数据泄露事件曝发,多达13万用户的账号、明文密码、身份证、手机号等敏感信息在网络上疯狂传播;2015年2月15日,桔子、锦江之星等7大酒店的数千万条开房信息被泄露,涉及住户的姓名、家庭地址、电话、邮箱乃至信用卡后四位等敏感信息;4月22日,30多个省市的社保系统、户籍查询系统等被曝存在高危漏洞,包括个人身份证、参保信息、财务、薪酬、房屋等敏感信息在内5千多万条的社保用户信息可能被泄。据《2015年第一季度网络诈骗犯罪数据研究报告》显示,中国公民已经泄漏的个人信息多达11.27亿条。
(二)个人信息非法买卖日益猖獗
在利益驱使下,一些不法分子大肆贩卖个人信息,从传统的工商、银行、电信、医疗等部门向教育、快递、电商等各行各业迅速蔓延,已经形成了庞大的“灰色”产业链。2014年12月,130万条考研报名数据被曝在网上打包销售;圆通快递近百万条快递单个人信息也曾在网络上公开出售;网购者的物流信息、商品信息更是不法分子交易的“热门商品”。愈演愈烈的个人信息非法买卖行为令广大群众在经济、精神和名誉等方面遭受巨大损失。
(三)个人信息滥用助长恶意违法行为
大规模的信息泄露和信息非法买卖助长了短信骚扰、电话诈骗等恶意违法行为。调查报告显示,有近80%的网民手机号遭到过泄露,并有50%以上的网民因手机号泄露而受到骚扰,我国的个人信息滥用已经成为一种社会公害。一些不法份子甚至会利用自己所掌握的个人信息,向用户进行诈骗、勒索以谋取非法收益。2015年第一季度,北京网络安全反诈骗联盟共接到网络诈骗报案4920例,报案总金额高达1772.3万元。个人信息的滥用严重侵犯和损害了用户的个人隐私和财产安全。
二、个人信息保护遭遇法律困境
(一)个人信息保护的法律体系不完善
为保护个人信息,近年来我国加快了个人信息保护方面的立法实践。《电信和互联网用户个人信息保护规定》、《全国人大常委会关于加强网络信息保护的决定》等法律文件,都对个人信息保护做出相关规定,但都存在系统性不足、可操作性不强等问题,难以满足实际需求。
(二)个人信息保护的监管缺乏法律规范
一方面,没有法律对个人信息的监管部门进行明确,使我国个人信息保护处于多部门监管状态,“九龙治水”的局面普遍存在,且各部门之间缺乏成熟的沟通和协调机制,各自为政,造成政出多门、决策分散、信息沟通不畅、监管无序等现象。另一方面,法律相对缺失导致我国个人信息保护监管相对落后,没有明确信息采集主体的法律责任和采集数据的使用权边界,网络的虚拟性、违法行为的隐蔽性更加剧了监管的难度,难以从根本上杜绝和防范非法使用个人信息的行为。
(三)个人信息保护的司法程序不畅
一方面,我国现行法律文件对个人信息主要采用间接保护的形式,对个人信息泄露问题的惩罚范围没有明确,惩罚力度不足,难以真正起到警示作用。另一方面,个人信息泄露的被告主体往往是企业,甚至是大企业,诉讼双方的实力不对等,个人维权常常面临时间和精力耗不起,诉讼代理费用过高的问题,相关部门在立案后也常遭遇调查取证难、取证时间长、难以确定侵权人等问题。对取证程序的规定不完善,使得信息泄露维权呈现出“高成本、低收益”的不对称局面,在客观上助长了个人信息的滥用。
三、推动个人信息保护法治化的对策建议
(一)完善个人信息保护的法律体系
为保障网络信息依法有序自由流动,防止公民个人信息被窃取、泄露和非法使用,我国应在现有立法基础上,制定系统、完整的法律,提升法律的执行效力,明确个人信息保护的基本原则、权责关系、侵权救济等问题,健全法律的配套实施细则,细化相关法律解释,提高个人信息法律保护的可操作性,完善个人信息保护的法律体系。
(二)强化个人信息保护监管法律效力
为避免多头监管产生的决策分散、监管无序等问题,应出台法律强化个人信息保护监管的法律效力,一方面要通过法律明确个人信息保护的主管部门,加强各相关部门的联系与沟通,形成高效的监管体系。另一方面要在法律层面完善个人信息保护的监管机制,规范信息采集主体必须履行的法律责任,明确所采集数据的使用权边界,从源头上预防非法使用个人信息的行为。
(三)理顺个人信息保护的司法程序
一方面,应加强现有个人信息保护相关法律的惩罚措施,加大对个人信息非法买卖的打击力度,强化对泄露个人信息企业的问责机制和处罚力度,提高违法成本;另一方面,应简化现有个人信息保护相关法律的司法程序,同时降低群众维权的时间成本与经济成本,完善相关法律明确规定调查取证的手段和方式,切实解决相关机构调查取证难的问题,,推动个人信息保护进入集体诉讼和公益诉讼,尽可能改变维权双方不对等的格局。