在个人信息保护法进入立法程序前,开展个人信息保护行业自律成为当然选择
60%的被调查对象遇到过个人信息被盗用等问题,66%以上认为应加大力度打击非法获取个人信息的行为,近75%希望进一步立法来加强个人信息保护。
一项受工业和信息化部安全协调司委托的调查,对2500多份问卷进行分析后,得出上述结论。《瞭望》新闻周刊记者采访了解到,与调查结果显示的立法诉求相比,目前针对个人信息保护的法律依据,失之于分散和疏漏;出台一部专门的个人信息保护法,则尚无具体时间表。
“2003年4月,国务院信息办专门对个人信息的法律研究课题进行部署,大概在2004、2005年,专家的建议稿就出来了。”3月15日在北京召开的2012中国个人信息保护大会上,工信部领导表示。
知情人士称,连续多年,全国人大代表和政协委员就个人信息保护立法问题,提出一批议案提案。
政府部门寄望先制定相关标准,以填补空缺,促进自律。上述大会公布了即将出台的个人信息保护国家标准。“对个人信息处理的过程作出一些明确规范,对个人信息的拥有者如何保护个人信息,也提供了借鉴。”会议主办方介绍。
对个人信息保护现状常见的一个困惑是:知道信息被泄露,却不知道在何处泄露。
工信部科学技术情报研究所2011年下半年开展的调查显示,30%的被调查对象认为可能是通过网站泄露,30%认为可能是通讯公司,另有30%不清楚到底是在哪个地方泄露。而在个人信息被滥用后,因取证困难,不足10%的调查对象采取了相应维权措施。
互联网安全厂商360公司总裁齐向东表示,手机短信包含很私密的信息,因此通讯运营商要制定严格的查询手续。但一些网站服务商,同样保存着用户的姓名、地址、电话甚至银行密码等各种信息,却没有在传、存、使用和销毁等环节建立起保护隐私的完整机制。
“比如有的网站收集个人信息很随意,只需一份信息,却收集上传了十份,个别网站甚至把过期的、多余的信息随意丢弃。”齐向东说,“同时,网站还要面临黑客攻击,有的黑客就是为了恶意窃取个人信息。”
网站之外,也有银行、保险、通讯等行业员工出于牟利目的,出卖客户信息。本刊记者日前即接到读者来函,称其所持的某国有大型银行信用卡被异地盗刷,公安机关初步调查认为,这种卡未离身却被盗刷的情况,很可能是银行内部掌握客户征信信息的人员监守自盗。
利益驱动下,非法使用个人信息已经出现黑色产业链。中央电视台“3·15”晚会曝光的上海罗维邓白氏公司,其非法获取、买卖公民个人信息不仅数量庞大,而且相当详细精准。部分厂商购买这些信息,通过群发短信等渠道进行广告投放。
一方面个人信息泄露事件多发,另一方面,哪些信息需要保护,需要如何保护,怎样查处追责,还没有明确标准。前述科学技术情报研究所调查发现,大部分企业已采取不同程度保护个人信息的措施,但很难保证在各个业务环节落实。该所副所长刘九如说,企业在调查中也反映了若干困惑,首先是“没有明确的法律义务和参照依据”。
刘九如表示,现有涉及个人信息保护的法规制度中,金融、电信等领域相关规定最为具体,而职业中介活动引入的个人信息,其保护规定比较缺失。
“个人信息保护不是某一方可以独立完成的事,”齐向东说,“一家网站可以标榜,用户信息放在自己这里很安全,但说起来容易,做起来难。”
“即使欧美国家,法规制度相对更健全,仍然经常发生大量个人信息泄露的事件。”中国社科院法学院研究员周汉华说,“国内目前曝光的这些案例,可能还仅仅是冰山一角。”
周汉华认为,目前国内关于个人信息保护的法规分散,既缺乏对个人信息的界定,也缺乏可操作之标准,执法主体缺位,执法力度不足。
“分散立法不是不行,但要求有很强的法制统一能力,以及很高的执法能力。”周汉华介绍,同是个人信息保护立法,美国采用分散立法的形式,欧盟则要统一立法。
研究者统计,目前约有40部法律、30部法规和近200项来自工信部、银监会、保监会等部门的规章涉及个人信息保护。全国人大颁布的法律,较有代表性的是民法通则;国务院出台的法规,则有个人存款账户实名制规定,互联网信息管理办法等;此外还有一些地方法规,如江苏省2011年出台的信息化条例,以及深圳市正在制定的个人信息保护条例。
相关部门规章更多。银监会信息科技风险管理处处长骆絮飞表示,银监会正着力加强银行业监管,制定有关银行的网上安全规范,以客户数据为重点对银行信息安全进行检查,同时指导银行加强对外包服务机构的数据安全管理。
但据本刊记者采访了解,各类法规章程的操作细则仍不够周全。如前述的信用卡盗刷事件、垃圾短信“精准投放”现象,查处追责均存在较多困难。
对于个人信息保护的难题,业内讨论认为主要有三方面:保护程度界定,难以区别正当或非法使用个人信息;信息泄露取证,难以确定个人信息是在哪个环节发生泄露;执法力度统一,难以确保多个监管主体执法的宽严尺度一致。
“出台一部专门法律,上述问题可迎刃而解。”周汉华是个人信息保护法专家建议稿的起草者之一。他同时表示,国际上公认个人信息保护是一项基本权利,是宪法权利,而不仅仅是民事权利,民法中的隐私权,这意味着个人信息保护不仅仅是私领域的事项,不仅仅是民不举、官不究的事项,而是需要公共权力介入,强制要求相关主体承担法定义务的事项。
周汉华介绍说,目前已有38个地方制定了个人信息保护的相关法规。
但是,地方立法的先行先试也难免有一些负面作用。比如各地标准不统一,法律适用存在较大困难。
周汉华建议,要推“大法”,先做好顶层设计,各地可再据此制定具体实施细则。
在他看来,立法是一个要解决的难题,同样关键的,还要保证法律出台之后得到有效实施。有三点不可或缺:
其一,注重平衡原则。个人信息具有不同程度的价值,既要保障信息充分流通,推动信息社会进步,也要避免滥用个人信息。其二,他律与自律结合。不可能全部交给政府部门监管,要设置有效机制,让企业自我管理。其三,要有一定程度的执法威慑。
原国务院信息办是个人信息保护法的积极推动者。2008年大部门制改革后,工信部信息安全协调司继续承担着推进个人信息保护的职责。
该司副司长欧阳武表示,对个人信息保护最好的办法还是立法,要通过法律明确组织和个人在处理信息过程中的责任,建立个人信息的监管体制,明确滥用他人个人信息的行政处罚制度和责任。
在法制成型之前,则倡导行业自律。“由行业组织依据个人信息保护的规则,照顾行业特点,制定行业信息保护的规范,采取行业自律的方式,不仅在当下,而且在未来法律制度完善之后,都是一种非常好的选择。”欧阳武说。
据悉,2011年工信部曾委托中国软件评测中心,选取电子商务,论坛博客,银行、保险、游戏等共7类105家网站的隐私政策进行测评。经测评发现,隐私政策执行情况不明,包括政策适用范围、信息收集的方式、处理过程等关键问题阐述不清。
工信部同期启动了个人信息保护标准的编制工作,据悉,《公共及商用服务信息系统个人信息保护指南》年内即将出台。“为行业开展自律工作提供很好的参考”,欧阳武说。
中国软件评测中心常务副主任黄子河表示,即将出台的国家标准对相关定义、角色、职责、操作规范等都予以明确,提出了保护过程中的若干基本原则。
比如“最少够用原则”。通俗而言,在网上办一件很小的事,结果填了一大堆信息,包括家庭住址、手机号码等等,就不符合“最少够用原则”。
又有“安全保障原则”。个人信息的管理者一旦收集了信息,就要建立起一整套信息保护制度,明确责任人、严格内部管理流程、应对风险等等。
“标准适用于除了政府机关等行使公共管理职能以外的各类组织和机构”,黄子河说。
但该标准仍仅是从宏观上对个人信息保护提供框架性指导,具体的技术性保护指南有待进一步研究制定。欧阳武表示,今后还将从管理、技术、评测等方面制定相关规范,形成一系列标准体系。尤其要建立第三方测评机制,不仅能够促进行业自律,而且要推动全社会的个人信息保护意识。
黄子河提出,还可以考虑建设个人信息保护的技术手段,建设个人信息的非法采集及滥用事件的投诉通道和监测手段,为保护个人信息提供技术解决方案。
多管齐下成为了破解个人信息保护难题的共识。“推动立法,行业自律,公众维权与监督,努力在个人信息保护方面尽快取得实际进步。”工信部副部长杨学山这样说。