近年來��,個人信息安全問題已經(jīng)成為全民關(guān)注的話題�����,個人信息泄露成為困擾網(wǎng)民的難題��。近日�����,工信部直屬的中國軟件測評中心透露���,其聯(lián)合30多家單位起草的《信息安全技術(shù)��、公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》(以下簡稱《指南》)已正式通過評審�,正報批國家標(biāo)準(zhǔn)���。消息一出��,再度引發(fā)公眾對個人信息安全的熱議���。
有關(guān)部門起草的“個人信息保護指南”,很多人表示很期待���,但是這個“指南”并不具強制性的標(biāo)準(zhǔn)。北京市盛峰律師事務(wù)所主任于國富告訴IT商業(yè)新聞網(wǎng)記者�,國家標(biāo)準(zhǔn)有強制性標(biāo)準(zhǔn)和建議性標(biāo)準(zhǔn),而這個《指南》不具備強制性,對于全面保護個人信息作用不大����。
北京市德和衡律師事務(wù)所陳浩律師在接受IT商業(yè)新聞網(wǎng)記者采訪時表示,作為我國關(guān)于個人信息保護的第一個國家標(biāo)準(zhǔn)�,在個人信息被大規(guī)模非法傳播的當(dāng)前,標(biāo)準(zhǔn)的制定具有良好的開端作用����,明確了確立了個人信息應(yīng)該受到法律保護以及如何進行保護。但是���,因為《指南》不是強制性標(biāo)準(zhǔn)���,只具有引導(dǎo)作用,因此�,在當(dāng)務(wù)之急,應(yīng)該制定具備強制力的保護措施�����,嚴厲打擊個人信息泄露泛濫這一頑疾����。
個人信息保護指南無法律效力 信息安全仍難監(jiān)管
個人信息泄露嚴重 網(wǎng)民深受其害
3月15日下午�,在2012年中國個人信息保護大會上�,主辦方之一的中國軟件測評中心發(fā)布了《2012年網(wǎng)站個人信息保護政策測評報告》。這份報告中的“2011年個人信息保護政策網(wǎng)站分類平均得分排名”顯示�����,銀行網(wǎng)站得分僅31.98分(滿分100分)����,成為電子商務(wù)、招聘網(wǎng)站����、婚戀網(wǎng)站和游戲網(wǎng)站等7個測評分類中得分最低的網(wǎng)站類型。
而中國青年報做過的一項社會調(diào)查顯示����,有88.8%的人表示有過個人信息泄露而遭遇困擾的經(jīng)歷。據(jù)了解���,CSDN泄露的600萬用戶信息���,若其中10%有效,那么就有60萬網(wǎng)絡(luò)用戶信息被黑客掌握�。
一般而言��,單純倒賣用戶數(shù)據(jù)庫并不賺錢,有些數(shù)據(jù)庫經(jīng)過多次交易后��,幾百個賬號的價格只有幾分錢�,因此不少黑客盜取用戶數(shù)據(jù)庫之后,會直接侵入別人賬號���、郵箱獲取有用的信息進行詐騙��;也會在網(wǎng)上打包銷售���,轉(zhuǎn)賣給黑公關(guān)或競爭對手等多種途徑完成利益最大化的變現(xiàn);購買信息的人主要會用于網(wǎng)絡(luò)推銷����、電信垃圾廣告、電商垃圾郵件��。
在我國���,侵犯個人信息的事件非常嚴重�,相關(guān)法律亟待出臺����,而這個《指南》的出臺讓網(wǎng)民看到一線希望�����。
工信部這一《指南》面對企業(yè)���,推出了“目的明確、最少使用����、公開告知、個人同意���、質(zhì)量保證�����、安全保障�����、誠信履行和責(zé)任明確”等八項原則的標(biāo)準(zhǔn)�����,涉及個人信息處理的收集�����、加工����、轉(zhuǎn)移和刪除等四個主要環(huán)節(jié)�����,若嚴格遵守這些標(biāo)準(zhǔn)����,必將更有力地保障個人信息。
IT法律專家����,中國互聯(lián)網(wǎng)協(xié)會信用評價中心法律顧問趙占領(lǐng)指出,個人信息保護這塊我們已經(jīng)有很多的法律�,但是隱私權(quán)的具體范圍沒有界定。只有互聯(lián)網(wǎng)協(xié)會��,還有這次的國家標(biāo)準(zhǔn)��,對個人信息,才做了第一次的界定����。
個人信息無強有力的法律保護
專家指出,《指南》能夠為社會提供指導(dǎo)性意見�,而國家標(biāo)準(zhǔn)則能夠統(tǒng)一社會對于某一具體問題的差異,最終趨向達到一致����。但是,在強制性���、權(quán)威性與震懾力上�����,指南和國家標(biāo)準(zhǔn)都不可能替代法律法規(guī)的作用�����。
實際上����,我國早已經(jīng)認識到個人信息保護問題,目前���,有近40部法律���、30余部法規(guī),以及近200部規(guī)章都有涉及���。陳浩指出����,比如《護照法》規(guī)定�����,泄露因制作����、簽發(fā)護照而知悉的公民個人信息�,侵害公民合法權(quán)益的,依法給予行政處分�����;構(gòu)成犯罪的,依法追究刑事責(zé)任�。另外,《身份證法》規(guī)定���,國家機關(guān)或者金融��、電信����、交通�、教育、醫(yī)療等單位的工作人員泄露在履行職責(zé)或者提供服務(wù)過程中獲得的居民身份證記載的公民個人信息����,構(gòu)成犯罪的,依法追究刑事責(zé)任��。
除此以外��,大多數(shù)個人信息保護的規(guī)定散見于各種行政法規(guī)����、部門規(guī)章或司法解釋。2009年�,刑法修正案(七)確定了“出售��、非法提供公民個人信息罪”���、“非法獲取公民個人信息罪”罪名,首次把對個人隱私和信息保護上升到刑法層面��。
但是�,這一罪名的犯罪主體僅是“國家機關(guān)或者金融、電信��、交通����、教育、醫(yī)療等單位的工作人員”���。而網(wǎng)絡(luò)、房地產(chǎn)����、物管、汽車廠商���、賓館酒店等各類中介服務(wù)機構(gòu)卻無法懲治�;其次,這一罪名側(cè)重于事后救濟���,無法事先防范違法者竊取和傳播個人信息�。
趙占領(lǐng)就指出了《刑法修正案七》中存在局限性�,第一個局限是主體范圍有限。這個刑法修正案就只有國家機關(guān):金融機構(gòu)���、電信�����、教育�����、醫(yī)療這些單位的工作人員泄露信息才可能適用這樣一個刑法的罪名�。另外一個就是只包括了非法的提供和出售個人信息���;除了這兩種行為之外非法處理個人信息無法適用刑法修正案����。從處罰力度來講���,可能還是比較輕的:一個是最高刑罰是三年以下有期徒刑�。
實踐中,對個人隱私竊取者的追究難度仍然很大����,出了事之后,信息保管單位的法律責(zé)任也偏輕:去年��,CSDN等網(wǎng)站發(fā)生 600多萬用戶信息泄露案件�,也只是受到行政警告了事。
也就是說����,這些法律、法規(guī)與工信部的《指南》一樣���,要么法律層次太低��,要么各自為戰(zhàn)���,僅涉及本部門的問題��,要么較籠統(tǒng)���,沒有規(guī)定責(zé)任部門和懲處措施�����,雖林林總總�����,卻難以周全保護個人信息���。
《個人信息保護法》亟待出臺
趙占領(lǐng)認為����,應(yīng)該給信息主體存儲賦予一些法律義務(wù)��,增強這些信息主體主動保護個人信息主動性����,通過行政處罰賦予相關(guān)機構(gòu)一些執(zhí)法權(quán),那么對于用戶個人來講�����,還可以依據(jù)這些法律���,來追究網(wǎng)站的民事賠償責(zé)任�。因此,應(yīng)繼續(xù)推動《個人信息保護法》���。
據(jù)了解�,2005年《個人信息保護法》專家意見稿已經(jīng)提交��,但迄今為止這一立法建議一直未進入正式的立法程序����。
趙占領(lǐng)IT商業(yè)新聞網(wǎng)記者,2003年前后�,國務(wù)院信息辦工作辦公室負責(zé)起草《個人信息保護法》,但是����,后來大部制改革被并入工信部,智能由工信部的信息安全協(xié)調(diào)司承擔(dān)�,因此,個人信息保護法一直就沒有列入立法計劃���。
趙占領(lǐng)認為��,由于立法資源有限�����,立法機構(gòu)缺乏足夠重視����,《個人信息保護法》短期內(nèi)也沒有希望列入國務(wù)院的立法計劃����,所以工信部選擇先以國家標(biāo)準(zhǔn)的形式發(fā)布。
雖然《指南》有一定指導(dǎo)性作用��,但是只有法律法規(guī)的出臺才具有強制性和威懾性�����。專家希望《個人信息保護法》法律能盡快啟動立法程序��,同時在立法中針對目前個人信息被侵犯的嚴峻態(tài)勢制定全方位的保護措施���,對泄露或出賣個人信息者予以懲戒��。
