个人信息保护立法还需做什么

作者:王亦君 来源:中国青年报
2017-06-06 09:30:18

我国对于个人信息的保护越来越严格。从6月1日起,最高人民法院、最高人民检察院联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“两高司法解释”)实施。

网络安全法也于6月1日起实施,对保护个人信息作出了规定:网络运营者不得泄露、篡改、毁损其收集的个人信息,未经被收集者同意也不得向他人提供个人信息。任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

即将从10月1日起实施的民法总则首次从民事基本法律层面提出个人信息权,明确了个人信息保护的基本行为规范。

在此之前,从2015年11月1日起实施的《刑法修正案(九)》对刑法中有关出售、非法提供公民个人信息罪和非法获取公民个人信息罪进行了修改完善:一是扩大犯罪主体的范围,规定任何单位和个人违反国家有关规定,获取、出售或者提供公民个人信息,情节严重的,都构成犯罪;二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚;三是加重法定刑,增加规定“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。修改后,“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。

最高人民法院的统计数据显示,《刑法修正案(九)》实施以来,各级公检法机关依据修改后的刑法规定,严肃惩处侵犯公民个人信息犯罪,案件数量显著增长。2015年11月至2016年12月,全国法院新收侵犯公民个人信息刑事案件495件,审结464件,生效判决人数697人。

最高人民法院研究室主任颜茂昆表示,近年来,侵犯公民个人信息犯罪仍处于高发态势,而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势。公安部网络技术研发中心主任许剑卓介绍,非法获取公民个人信息主要有两个来源:一个是黑客入侵网站非法获取;另一个是各行各业的内幕人员泄露信息。侵犯公民个人信息的犯罪已经形成了从非法收集、提供窃取、交易到交换等各个环节完整的利益链。

针对这些问题,两高司法解释对“公民个人信息”作出了具体界定,除了姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况,行踪轨迹等也被纳入公民个人信息范围。

两高司法解释明确规定了侵犯公民个人信息罪入罪的10种情形,包括非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的;非法获取、出售或提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的;非法获取、出售或提供前两项规定以外的公民个人信息5000条以上的;违法所得5000元以上的等。

就在两高司法解释实施前一天,《南方都市报》与中国政法大学传播法研究中心联合发布了1000家常用网站、App的用户信息保护政策透明度排名报告。这项报告披露,在参与测评的生活服务、休闲娱乐、医疗健康等各个领域1000家平台中,超过50%的网站与App评分为“低”级别。

报告起草人士介绍,隐私政策是企业与用户之间关于如何处理和保护用户个人信息的基本权利义务的制度性安排,用以告知用户个人信息如何被搜集、使用、与第三方共享的情况。它不仅约束企业,也是企业提示用户自主、自愿、合理提供和处分个人信息,并区分与用户责任的依据。

以移动端App为例,在谷歌Play、苹果App Store的应用商店上,均要求凡涉及个人信息及敏感信息的网络运营商必须提供隐私政策,说明如何收集使用、分享和处理用户数据。但并非所有上线的App都有隐私政策。在大多数无这方面要求的应用商场里,情况更是如此。

根据报告结果,在参与测评的1000家网站与App中,没有一个能够达到隐私政策透明度“高”的标准,透明度“较高”的有84个平台,占总平台个数的8.4%;透明度“中等”的平台个数为110个,占比11%;而透明度“较低”和“低”的平台个数相加则多达806个,超过总数的80%,透明度为“低”的超过五成。

把1000个网站和App平台按照十大行业划分,平均得分从高到低排列,分别是社交交友、生活服务、休闲娱乐、购物导购、互联网金融、医疗健康、新闻资讯、体育健身、教育文化和旅游交通。

然而,即使是排名最高的社交交友类平台,平均分也只有50.5分,隐私政策透明度较低。

梳理公开媒体报道可发现,买卖个人信息和数据并非难事。据媒体报道,在专门贩卖个人信息的QQ群内,身份户籍、名下资产、手机通话记录、名下支付宝账号、全国开房记录等各类公民个人信息都被公开叫卖。

智联招聘的销售员工申欢利用公司漏洞,伙同客服李超,私自将公司15余万条个人简历低价销售给某公司人事经理余秋云。

6月2日上午,申欢等3人被控侵犯公民个人信息罪在北京市朝阳区人民法院受审,申欢销售的个人简历中包含大量个人隐私信息,其中包括求职者的家庭住址、工作单位、薪资收入。

2016年6月22日,智联招聘的经营者北京网聘咨询有限公司(下称“网聘公司”)向公安机关报案称,公司通过内部网巡检发现员工申欢私下出售几十万条网站的个人简历,内容包括姓名、身份证号、住址、电话、受教育程度、工作单位、薪资收入等个人信息。

该公司负责人说,按照公司的正常流程,销售人员去找有招聘需求的公司,双方签署服务合同,对方缴纳服务费用后,公司会提供网站简历库下载的用户名和初始密码给对方,对方在已开通的权限内对简历库的个人简历进行下载。报案的工作人员说,网聘公司每份简历对外的市场报价是50元,但申欢对外的兜售价格为两元一份。

此前,申欢是网聘公司大客户部销售人员。与申欢一同受审的还有公司客服李超,以及北京某科技公司的人事经理余秋云。公诉机关指控,申欢、李超于2016年3月至10月间,利用公司系统漏洞,私自出售给余秋云的个人简历信息超过15.5万条。

申欢庭审后对媒体表示,不仅在他们公司,买卖个人简历在整个行业是个公开的秘密。现在社会上招聘压力很大,自己认识的HR(人力资源)的经理们在考核、招聘中预算不足的时候,会去找他们,其他招聘公司中也有人在这么做。

十二届全国政协委员、四川鼎立律师事务所主任施杰多次在全国两会上建议制定专门的个人信息保护法,在他看来,以往对一般侵犯个人信息的行为往往缺少有效的救济渠道,作为一般的民事侵权处理,必须要有相当的危害程度,比如去年发生的徐玉玉案造成了非常严重的后果,公安机关才介入。

施杰说,民法总则将个人信息保护纳入到更高的立法层面,给出了一个基本的上位法依据。可以适时启动个人信息保护单行法的立法程序。

施杰认为,有关公民个人信息保护的法律法规总体较为分散,尚未形成系统、有效的有关公民个人信息保护的法律框架体系,这使得有关公民个人信息保护的主体职责较为模糊且履职主体较为分散。部分相关规定在法律位阶层次上偏低,难以满足司法实践。

北京师范大学法学院教授刘德良认为,个人信息保护立法的重点应放在打击对个人信息的非法利用上,每个人从出生开始,上学、求职、单位考核、购物、购房、购票、使用各种服务等几乎都需要提供个人信息。社会经济文化等活动离不开对个人信息的使用。

立法应该区分不同性质的个人信息,分别采取不同的规制方法,即对于那些直接攸关名誉或尊严的个人信息才需要保密,防止泄露和公开、传播;而对于那些与名誉或尊严本身并无直接关系的个人信息,公开这些个人信息并不会造成名誉或尊严的损害,造成损害的是后续的滥用行为,立法努力的方向不是要求保密和禁止公开,而是如何有效防治对于个人信息的滥用。