個(gè)人信息保護(hù)立法尚無(wú)時(shí)間表

趙杰

個(gè)人信息保護(hù)再有新進(jìn)展，由工業(yè)和信息部直屬的中國(guó)軟件評(píng)測(cè)中心牽頭起草、旨在規(guī)范社會(huì)公共服務(wù)機(jī)構(gòu)和企業(yè)個(gè)人信息保護(hù)的一紙文件近日正式通過(guò)評(píng)審，正報(bào)批國(guó)家標(biāo)準(zhǔn)。

“按照正常程序，今年年內(nèi)會(huì)正式推行?！痹撝行母敝魅胃邿霌P(yáng)在接受《中國(guó)新聞周刊》采訪時(shí)說(shuō)，這份名為《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（下稱“指南”）的文件起草前后歷時(shí)四年多，其發(fā)布邁出了個(gè)人信息保護(hù)標(biāo)準(zhǔn)體系建設(shè)的第一步，也為立法工作做了大量前期鋪墊，有助于未來(lái)法律的落地。

至于立法，高熾揚(yáng)坦言，就其了解的情況，“還有大量工作要做”，此前的專家建議稿還有待修改完善。因此，該法律進(jìn)入立法程序尚無(wú)時(shí)間表。

同樣承擔(dān)個(gè)人信息保護(hù)相關(guān)標(biāo)準(zhǔn)研究和制定的中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院信息技術(shù)研究中心主任楊建軍也告訴《中國(guó)新聞周刊》，《指南》只是一個(gè)指導(dǎo)性技術(shù)文件，距離立法出臺(tái)尚遙遠(yuǎn)，并非此間有人所說(shuō)“立法工作萬(wàn)事俱備，指日可待”，但是它可為立法提供相關(guān)基本原則。

企業(yè)成泄密主渠道

就《指南》的現(xiàn)實(shí)意義，工信部安全協(xié)調(diào)司副司長(zhǎng)歐陽(yáng)武指出，其能為行業(yè)開展自律工作提供參考，為企業(yè)處理個(gè)人信息制定行為準(zhǔn)則。

“個(gè)人信息泄露問(wèn)題更多地發(fā)生在公共及商業(yè)服務(wù)行業(yè)和企業(yè)?！备邿霌P(yáng)根據(jù)其調(diào)研情況告訴《中國(guó)新聞周刊》，當(dāng)下不少企業(yè)扮演著個(gè)人信息管理者和獲得者角色，其中有些存在不當(dāng)使用個(gè)人信息行為；還有些知道問(wèn)題嚴(yán)重，但由于法律缺位無(wú)從下手解決。而個(gè)人信息泄露事件有70%??80%的比例屬于內(nèi)部管理不當(dāng)所致。

在4月6日剛剛由河北省政府提交該省人大常委會(huì)初次審議的《河北省信息化條例（草案）》中，這類企業(yè)被明確為“金融、保險(xiǎn)、電信、供水、供電、供氣、醫(yī)療、物業(yè)、房產(chǎn)中介以及其他掌握公眾信息的單位”。

承擔(dān)該草案起草工作的河北省工業(yè)和信息化廳政策法規(guī)處處長(zhǎng)劉永青在接受《中國(guó)新聞周刊》采訪時(shí)認(rèn)為，目前由于個(gè)人信息泄露已對(duì)個(gè)人生活形成不良影響，“各種垃圾短信、郵件、騷擾電話等讓老百姓不堪其擾”。通過(guò)長(zhǎng)期調(diào)研，他們?cè)诜ㄒ?guī)起草中將上述機(jī)構(gòu)列為主要規(guī)范對(duì)象。

近年因企業(yè)泄露個(gè)人信息而引發(fā)的案件也迅速增多。北京市朝陽(yáng)法院就對(duì)其2007年以來(lái)審理的多起相關(guān)案件作了總結(jié)，并深入調(diào)研形成報(bào)告《電信部門工作人員非法泄露公民個(gè)人信息情況應(yīng)予關(guān)注》。

據(jù)該法院提供給《中國(guó)新聞周刊》的報(bào)告，電信部門工作人員泄露公民個(gè)人信息主要存在四種途徑：通過(guò)工作平臺(tái)查詢獲得客戶辦理業(yè)務(wù)時(shí)留存的姓名、身份證號(hào)碼、住址等個(gè)人信息，并非法提供給他人；通過(guò)內(nèi)部授權(quán)指令查詢獲得客戶的通話記錄、短信內(nèi)容等通訊信息，非法售與他人；憑借特殊權(quán)限，通過(guò)GPRS定位系統(tǒng)，私自幫助他人跟蹤定位客戶所處位置；未經(jīng)機(jī)主同意，強(qiáng)制修改客服密碼后將新密碼提供給他人。

電信部門在客戶信息的保護(hù)方面也有漏洞：多數(shù)運(yùn)營(yíng)商將客戶信息列為商業(yè)秘密，僅從維護(hù)本單位經(jīng)濟(jì)利益角度加以管理和保護(hù)；相關(guān)規(guī)章制度中僅有禁止性規(guī)范，缺乏責(zé)任條款，約束力不足；欠缺有效的保密和監(jiān)管措施。

“企業(yè)對(duì)個(gè)人信息保護(hù)的規(guī)章多數(shù)不規(guī)范?！痹?003年參與個(gè)人信息保護(hù)法專家建議稿起草的北京科技大學(xué)教授梅紹祖，告訴《中國(guó)新聞周刊》，由于法律缺失，有些企業(yè)分不清對(duì)錯(cuò)，還有企業(yè)故意鉆空子，何況沒有法律，很多企業(yè)出于利益考慮，就不會(huì)有主動(dòng)性。

監(jiān)管主體仍模糊

去年，工信部曾委托有關(guān)部門對(duì)互聯(lián)網(wǎng)有關(guān)信息進(jìn)行測(cè)評(píng)，包括個(gè)人信息轉(zhuǎn)移、監(jiān)督機(jī)制和執(zhí)行情況等八類，涵蓋電子商務(wù)、論壇博客、銀行等七類105家網(wǎng)站的隱私政策。結(jié)果顯示網(wǎng)站的個(gè)人信息保護(hù)不夠。

梅紹祖向《中國(guó)新聞周刊》描述了個(gè)人信息泄露的幾種主要途徑：網(wǎng)站被攻破，數(shù)據(jù)庫(kù)遭侵；內(nèi)部管理不嚴(yán)，掌握數(shù)據(jù)者有意無(wú)意泄密；一些機(jī)構(gòu)出于利益考慮交易數(shù)據(jù)；數(shù)據(jù)傳輸過(guò)程中遭竊取。分析根本原因，他認(rèn)為是立法缺失導(dǎo)致事故責(zé)任不明確、監(jiān)督主體和執(zhí)法部門不確定。

監(jiān)督責(zé)任主體的明確是楊建軍口中“目前困惑最大的一個(gè)內(nèi)容”。他坦言，目前個(gè)人信息保護(hù)的相關(guān)工作由其主管單位工信部進(jìn)行，但是具體的監(jiān)管、執(zhí)法職責(zé)尚不明確，而此難題的解決只有寄希望于立法程序的啟動(dòng)。

2009年刑法修正案（七）填補(bǔ)了該領(lǐng)域的空白，明確了“出售、非法提供公民個(gè)人信息罪”“非法獲取公民個(gè)人信息罪”罪名，首次將公民個(gè)人信息納入刑法保護(hù)范疇。但梅紹祖認(rèn)為，該法只是原則性條款，并未明確該罪的具體界定標(biāo)準(zhǔn)，缺乏可操作性。

中國(guó)社科院法學(xué)所研究員周漢華也指出，《刑法》和《侵權(quán)責(zé)任法》都屬于事后救濟(jì)，要對(duì)網(wǎng)絡(luò)安全以及個(gè)人信息進(jìn)行全流程監(jiān)管才更有效。現(xiàn)實(shí)中，執(zhí)法主體缺乏是個(gè)人信息被濫用的重要原因。

“要對(duì)個(gè)人信息保護(hù)最好的辦法還是立法?！睔W陽(yáng)武認(rèn)為，要通過(guò)法律明確組織和個(gè)人在處理信息過(guò)程中的責(zé)任，建立個(gè)人信息的監(jiān)管體制，明確侵害他人隱私的行政處罰的制度和責(zé)任。

高熾揚(yáng)更強(qiáng)調(diào)個(gè)人信息管理者的責(zé)任，“要規(guī)范個(gè)人信息處理的流程，并且要落實(shí)責(zé)任，管控信息系統(tǒng)個(gè)人信息處理的風(fēng)險(xiǎn)”。并且，一旦收集了個(gè)人信息，就要建立一套保護(hù)制度，明確責(zé)任人。

作為企業(yè)代表的360總裁齊向東在此間舉行的“2012年個(gè)人信息保護(hù)大會(huì)”上則提出，個(gè)人信息保護(hù)不是某一家的事，應(yīng)該是政府、網(wǎng)站、安全公司三位一體，和網(wǎng)民一起構(gòu)建一個(gè)完整的保護(hù)隱私體系。

立法尚無(wú)時(shí)間表

不管是個(gè)人信息保護(hù)工作主管單位工信部的副部長(zhǎng)楊學(xué)山，還是承擔(dān)標(biāo)準(zhǔn)研究的高熾揚(yáng)和楊建軍，再到專家層面的梅紹祖和在地方負(fù)責(zé)相應(yīng)工作的劉永青，在談及個(gè)人信息保護(hù)工作時(shí)，無(wú)一例外希望加快個(gè)人信息保護(hù)法的立法進(jìn)程。

北京市朝陽(yáng)法院在上述報(bào)告中提出的第一條建議是，“應(yīng)加快公民個(gè)人信息保護(hù)立法，明確公民個(gè)人信息使用過(guò)程中的相關(guān)權(quán)利和義務(wù)，對(duì)泄露個(gè)人信息的各種行為設(shè)定相應(yīng)的法律責(zé)任。”

高熾揚(yáng)指出，國(guó)際上在個(gè)人信息保護(hù)領(lǐng)域的普遍做法是“立法+標(biāo)準(zhǔn)”，而標(biāo)準(zhǔn)體系框架的建立要在立法大框架下進(jìn)行才最理想。但是，根據(jù)中國(guó)現(xiàn)狀，只能采取標(biāo)準(zhǔn)先行，為立法做準(zhǔn)備鋪墊。

其實(shí)，個(gè)人信息保護(hù)法的立法工作早在約十年前就已啟動(dòng)，2003年4月，國(guó)務(wù)院信息化辦公室對(duì)該立法研究課題首次部署，兩年后，由周漢華牽頭、梅紹祖等參與的該法專家建議稿就已提交給國(guó)務(wù)院法制辦。但是，至今未入立法程序。

梅紹祖告訴《中國(guó)新聞周刊》，自己并不清楚該法立法遲遲不能推進(jìn)的真正原因?！凹夹g(shù)和文本應(yīng)該是到位了，立法的緊迫性也有，或許各個(gè)層面感受不同，立法機(jī)關(guān)并不覺得立法時(shí)機(jī)成熟?！睏罱ㄜ娨仓赋?，國(guó)家從整體出發(fā)考慮，需要有全盤的立法規(guī)劃，該法未被納入立法程序證明其還沒有足夠成熟完善。

楊學(xué)山在上述會(huì)議上也明確表達(dá)“個(gè)人信息保護(hù)已成為社會(huì)的迫切問(wèn)題”觀點(diǎn)，并強(qiáng)調(diào)要在個(gè)人信息立法上努力盡快使其進(jìn)入正式程序。雖然同樣承認(rèn)緊迫性，但是高熾揚(yáng)的觀點(diǎn)和梅紹祖并不盡相同。他說(shuō)就其了解的情況，該法的立法還有很多工作要做，2005年的版本在現(xiàn)在看來(lái)有很多內(nèi)容并不完善，要做進(jìn)一步修改。因此，“據(jù)我所知，立法程序的啟動(dòng)不會(huì)很快”。

其實(shí)，理論層面的意見也并非一致。有人將個(gè)人信息保護(hù)歸為隱私權(quán)的私權(quán)范疇；有人堅(jiān)持其為公權(quán)的觀點(diǎn)。周漢華即提出大家在認(rèn)識(shí)上必須明確“這是一個(gè)公權(quán)，存在一個(gè)獨(dú)立的個(gè)人信息保護(hù)法的領(lǐng)域”。

另外還存在地方、部門與中央的關(guān)系問(wèn)題。劉永青告訴《中國(guó)新聞周刊》，河北省之所以出臺(tái)上述條例，就是因?yàn)闆]有上位法，地方卻遇到實(shí)際問(wèn)題，工信部就支持各地先行探索。據(jù)悉，目前全國(guó)有12個(gè)省市已出臺(tái)相關(guān)法規(guī)、規(guī)章。

周漢華認(rèn)為對(duì)此值得探討，因?yàn)橹袊?guó)的立法權(quán)限劃分明確，地方的先行先試要處理好多種關(guān)系，難免產(chǎn)生不必要的負(fù)面作用。梅紹祖則表示“聊勝于無(wú)”，地方先根據(jù)自身情況把一些工作做起來(lái)，縱然有其局限性，但可以在沒有上位法的情況下解決一些緊迫問(wèn)題。

（插圖/阿東）