个人信息保护再有新进展,由工业和信息部直属的中国软件评测中心牵头起草、旨在规范社会公共服务机构和企业个人信息保护的一纸文件近日正式通过评审,正报批国家标准。 “按照正常程序,今年年内会正式推行。”该中心副主任高炽扬在接受《中国新闻周刊》采访时说,这份名为《信息安全技术、公共及商用服务信息系统个人信息保护指南》(下称“指南”)的文件起草前后历时四年多,其发布迈出了个人信息保护标准体系建设的第一步,也为立法工作做了大量前期铺垫,有助于未来法律的落地。
至于立法,高炽扬坦言,就其了解的情况,“还有大量工作要做”,此前的专家建议稿还有待修改完善。因此,该法律进入立法程序尚无时间表。
同样承担个人信息保护相关标准研究和制定的中国电子技术标准化研究院信息技术研究中心主任杨建军也告诉《中国新闻周刊》,《指南》只是一个指导性技术文件,距离立法出台尚遥远,并非此间有人所说“立法工作万事俱备,指日可待”,但是它可为立法提供相关基本原则。
企业成泄密主渠道
就《指南》的现实意义,工信部安全协调司副司长欧阳武指出,其能为行业开展自律工作提供参考,为企业处理个人信息制定行为准则。
“个人信息泄露问题更多地发生在公共及商业服务行业和企业。”高炽扬根据其调研情况告诉《中国新闻周刊》,当下不少企业扮演着个人信息管理者和获得者角色,其中有些存在不当使用个人信息行为;还有些知道问题严重,但由于法律缺位无从下手解决。而个人信息泄露事件有70%??80%的比例属于内部管理不当所致。
在4月6日刚刚由河北省政府提交该省人大常委会初次审议的《河北省信息化条例(草案)》中,这类企业被明确为“金融、保险、电信、供水、供电、供气、医疗、物业、房产中介以及其他掌握公众信息的单位”。
承担该草案起草工作的河北省工业和信息化厅政策法规处处长刘永青在接受《中国新闻周刊》采访时认为,目前由于个人信息泄露已对个人生活形成不良影响,“各种垃圾短信、邮件、骚扰电话等让老百姓不堪其扰”。通过长期调研,他们在法规起草中将上述机构列为主要规范对象。
近年因企业泄露个人信息而引发的案件也迅速增多。北京市朝阳法院就对其2007年以来审理的多起相关案件作了总结,并深入调研形成报告《电信部门工作人员非法泄露公民个人信息情况应予关注》。
据该法院提供给《中国新闻周刊》的报告,电信部门工作人员泄露公民个人信息主要存在四种途径:通过工作平台查询获得客户办理业务时留存的姓名、身份证号码、住址等个人信息,并非法提供给他人;通过内部授权指令查询获得客户的通话记录、短信内容等通讯信息,非法售与他人;凭借特殊权限,通过GPRS定位系统,私自帮助他人跟踪定位客户所处位置;未经机主同意,强制修改客服密码后将新密码提供给他人。
电信部门在客户信息的保护方面也有漏洞:多数运营商将客户信息列为商业秘密,仅从维护本单位经济利益角度加以管理和保护;相关规章制度中仅有禁止性规范,缺乏责任条款,约束力不足;欠缺有效的保密和监管措施。
“企业对个人信息保护的规章多数不规范。”曾于2003年参与个人信息保护法专家建议稿起草的北京科技大学教授梅绍祖,告诉《中国新闻周刊》,由于法律缺失,有些企业分不清对错,还有企业故意钻空子,何况没有法律,很多企业出于利益考虑,就不会有主动性。
监管主体仍模糊
去年,工信部曾委托有关部门对互联网有关信息进行测评,包括个人信息转移、监督机制和执行情况等八类,涵盖电子商务、论坛博客、银行等七类105家网站的隐私政策。结果显示网站的个人信息保护不够。
梅绍祖向《中国新闻周刊》描述了个人信息泄露的几种主要途径:网站被攻破,数据库遭侵;内部管理不严,掌握数据者有意无意泄密;一些机构出于利益考虑交易数据;数据传输过程中遭窃取。分析根本原因,他认为是立法缺失导致事故责任不明确、监督主体和执法部门不确定。
监督责任主体的明确是杨建军口中“目前困惑最大的一个内容”。他坦言,目前个人信息保护的相关工作由其主管单位工信部进行,但是具体的监管、执法职责尚不明确,而此难题的解决只有寄希望于立法程序的启动。
2009年刑法修正案(七)填补了该领域的空白,明确了“出售、非法提供公民个人信息罪”“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴。但梅绍祖认为,该法只是原则性条款,并未明确该罪的具体界定标准,缺乏可操作性。
中国社科院法学所研究员周汉华也指出,《刑法》和《侵权责任法》都属于事后救济,要对网络安全以及个人信息进行全流程监管才更有效。现实中,执法主体缺乏是个人信息被滥用的重要原因。
“要对个人信息保护最好的办法还是立法。”欧阳武认为,要通过法律明确组织和个人在处理信息过程中的责任,建立个人信息的监管体制,明确侵害他人隐私的行政处罚的制度和责任。
高炽扬更强调个人信息管理者的责任,“要规范个人信息处理的流程,并且要落实责任,管控信息系统个人信息处理的风险”。并且,一旦收集了个人信息,就要建立一套保护制度,明确责任人。
作为企业代表的360总裁齐向东在此间举行的“2012年个人信息保护大会”上则提出,个人信息保护不是某一家的事,应该是政府、网站、安全公司三位一体,和网民一起构建一个完整的保护隐私体系。
立法尚无时间表
不管是个人信息保护工作主管单位工信部的副部长杨学山,还是承担标准研究的高炽扬和杨建军,再到专家层面的梅绍祖和在地方负责相应工作的刘永青,在谈及个人信息保护工作时,无一例外希望加快个人信息保护法的立法进程。
北京市朝阳法院在上述报告中提出的第一条建议是,“应加快公民个人信息保护立法,明确公民个人信息使用过程中的相关权利和义务,对泄露个人信息的各种行为设定相应的法律责任。”
高炽扬指出,国际上在个人信息保护领域的普遍做法是“立法+标准”,而标准体系框架的建立要在立法大框架下进行才最理想。但是,根据中国现状,只能采取标准先行,为立法做准备铺垫。
其实,个人信息保护法的立法工作早在约十年前就已启动,2003年4月,国务院信息化办公室对该立法研究课题首次部署,两年后,由周汉华牵头、梅绍祖等参与的该法专家建议稿就已提交给国务院法制办。但是,至今未入立法程序。
梅绍祖告诉《中国新闻周刊》,自己并不清楚该法立法迟迟不能推进的真正原因。“技术和文本应该是到位了,立法的紧迫性也有,或许各个层面感受不同,立法机关并不觉得立法时机成熟。”杨建军也指出,国家从整体出发考虑,需要有全盘的立法规划,该法未被纳入立法程序证明其还没有足够成熟完善。
杨学山在上述会议上也明确表达“个人信息保护已成为社会的迫切问题”观点,并强调要在个人信息立法上努力尽快使其进入正式程序。虽然同样承认紧迫性,但是高炽扬的观点和梅绍祖并不尽相同。他说就其了解的情况,该法的立法还有很多工作要做,2005年的版本在现在看来有很多内容并不完善,要做进一步修改。因此,“据我所知,立法程序的启动不会很快”。
其实,理论层面的意见也并非一致。有人将个人信息保护归为隐私权的私权范畴;有人坚持其为公权的观点。周汉华即提出大家在认识上必须明确“这是一个公权,存在一个独立的个人信息保护法的领域”。
另外还存在地方、部门与中央的关系问题。刘永青告诉《中国新闻周刊》,河北省之所以出台上述条例,就是因为没有上位法,地方却遇到实际问题,工信部就支持各地先行探索。据悉,目前全国有12个省市已出台相关法规、规章。
周汉华认为对此值得探讨,因为中国的立法权限划分明确,地方的先行先试要处理好多种关系,难免产生不必要的负面作用。梅绍祖则表示“聊胜于无”,地方先根据自身情况把一些工作做起来,纵然有其局限性,但可以在没有上位法的情况下解决一些紧迫问题。
(插图/阿东)