公民个人信息亟待立法保护

    ■本报记者  朱丽

    近日，备受关注的摄连咨询（上海）有限公司开展非法调查一案有了最新进展。摄连咨询（上海）有限公司总经理汉弗莱、法定代表人虞英曾因涉嫌非法获取公民个人信息，被上海市人民检察院第一分院向上海市第一中级人民法院提起公诉。这是在我国提起公诉的首起外国人在华注册公司开展非法调查案件。

    据悉，嫌疑人除了通过“上家”购买涉案的个人信息，还通过查询通话记录、银行账号、电子邮箱中的私人信件，在公共场所跟踪、偷拍以摸清被调查对象的生活作息规律等手法搜集、掌握个人信息。虽然上述手法风险巨大，但惊人的利益回报仍旧驱使调查者甘愿冒险。

    无独有偶，原本供职于某事业单位的电子信息技术人员姚某开发了一款信息采集软件，非法获取快递公司的快递运单近80万张，并通过转卖个人信息获利十余万元。近日，法院以非法获取公民个人信息罪判处姚某有期徒刑1年8个月，姚某的3个下游信息买家杨某、胡某文、孙某明也分别获刑1年4个月和10个月不等。

    个人信息保护缺乏专门综合立法

    易获取的海量信息带来了数不清的便利。对于个人而言，淘宝、滴滴打车、大众点评等记录有个人信息的服务平台已然成为日常生活中的必需品。对于企业而言，更精确的信息过滤能够帮助企业更精准地为目标人群开发产品，提高企业运营效率。对于政府而言，通过对数据的精确分析还能提高政府在个人和社会层面决策的准确性。但个人信息如果被恶意收集或者泄露，将会给个人隐私乃至人身安全带来巨大的风险。

    泄密、侵权事件屡屡发生，为何个人信息安全一直无法保障？中国社会科学院研究员周汉华指出：“问题在于没有有效的管理手段以及可以适用的法律。”

    据北京理工大学法学院讲师孟兆平介绍，我国目前没有专门的个人信息保护方面的综合立法，虽然总体上有近70部法律、行政法规和200部规章对个人信息保护做出原则性规定，但是在个人信息的定义以及侵犯个人信息的法律责任方面却缺少具体的规定。最新立法有《全国人民代表大会常务委员会关于加强网络信息保护的决定》工信部的《电信和互联网用户个人信息保护规定》2014年新近实施的《消费者权益保护法》以及工商总局颁布的《网络交易管理办法》。“对个人信息的定义存在不同认识、个人信息的范围难以确定、个人信息立法的可操作性不强是目前这方面立法存在的主要问题。”孟兆平说。

    周汉华具体指出，从刑事法律来看，2009年《刑法》修正案增加了“非法侵入计算机信息系统罪”的条款，“违反国家规定，侵入计算机信息系统或者采用其他技术手段，获取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处3年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处3年以上7年以下有期徒刑，并处罚金”。同年，全国人大常委会还出台《侵权责任法》，规定网络服务提供者和网络用户利用网络侵害他人民事权益的，应当承担侵权责任。而在2000年，全国人大常委会又专门制定了《关于维护互联网安全的决定》，重申各种互联网违法的刑事责任和民事责任。

    有多部法律对个人信息保护进行规定，但实施效果却仍然不佳。周汉华认为，《刑法》的适用门槛比较高，需要符合“违反国家规定”和“情节严重”的条件，何况这两个条件目前都缺乏相应的标准。而《侵权责任法》的适用，在网络环境下，当事人举证非常困难，而且存在成本投入和收益不对称的情况。

    周汉华指出，《刑法》和《侵权责任法》都属于事后救济措施，在网络时代，由于损害的发生是系统性的、不可复原的，所以对网络安全以及个人信息进行全流程的监管才更为有效。目前，对于这种全流程的监管，我国既缺乏专门的法律，也没有专门的执法机关，搜集个人资料的企业所应承担的相应的安全责任以及相应的信息流管理行为规范都缺失。

    提高犯罪成本制止侵权行为

    值得注意的是，除国家机关、金融、电信等系统的工作人员外，房地产开发商、物业公司、酒店以及各类中介机构也掌握着大量公民个人信息。尽管他们获取信息的方式并不是在履行职责或者提供服务过程中获得的，更谈不上非法获得，但获得信息后再出售或者非法提供给他人，理应追究其法律责任。在信息数据能够迅速变现的时代，要切断信息贩卖的利益链条，保护公民的个人信息安全，不能仅止于相关企业的道歉与自查，而更应该走向公共机构日常化的严格规范与监管，走向法律对公民隐私权利制度化的保障。

    “侵害公民个人信息首先是对公民隐私权的侵害，此外也给社会增添了不安定因素。在巨大的经济利益面前，单靠行业自律是不现实的，必须通过立法提高罚金数额，提高其犯罪成本。”北京华城律师事务所律师贾方义建议，在加强信息监管的同时，个人诚信体系亟待建立，只有源头握有公民信息的所属行业及国家公职人员恪守本分，利益链条才能从根本上被斩断。