加强立法保护 让个人信息不再“裸奔”
发布时间: 2020-11-06
今年以来,我国多所高校近千名学生发现,自己的个人所得税App上出现了在陌生公司就职的记录。税务人员称,很可能是学生信息被企业冒用,以达到偷税的目的。这一高校学生信息泄漏事件的曝光,揭开了个人数据泄漏案件的冰山一角。
近年来,酒店住房信息、医院名单、微信用户数据等个人信息被泄露、侵犯的案例呈爆发式增长。一些企业、机构或个人,从商业利益的目的出发,肆意收集、违法获取、过度使用、非法买卖个人信息,严重侵扰了人们的生活安宁、危害了人们的生命健康和财产安全。
日前,个人信息保护法草案已提请十三届全国人大常委会第二十二次会议初次审议,有望让个人隐私尽快地摆脱被滥用的状态,为公众提供更系统的法律保护。
1. 细思极恐的信息泄露
2018年,浙江绍兴越城区警方成功侦破超大规模的数据窃取案,阻止30亿条公民信息泄漏。这一事件也引发了人们对个人信息安全的广泛忧虑。
媒体报道显示,越城警方经全力侦查,发现其背后是以“瑞智华胜”为首的三家公司在操控。该犯罪团伙从2014年开始,就以竞标的方式,与覆盖全国十余省市的电信、移动、联通、铁通、光电等运营商签订营销广告系统服务合同,为运营商提供精准广告投放系统的开发、维护。在提供软件服务的过程中,该团伙获得了运营商服务器的远程登录权限,并于2015年开始,在明知不合法的情况下,将自主编写的恶意程序放在运营商内部的服务器上。当用户的流量经过运营商的服务器时,该程序就自动工作,从中清洗、采集出用户cookie、访问记录等关键数据,再通过恶意程序将所有数据导出,存放在了瑞智华胜境内外的多个服务器上。
随后,瑞智华胜对这些用户数据进行数据加工、处理后,再通过精准营销、恶意弹窗、加粉、刷量等方式将数据变现。该团伙非法窃取的数据,涉及百度、腾讯、阿里、今日头条等全国96家互联网公司的用户数据。几乎国内所有的核心互联网企业无一幸免,也就是说,用户在网上搜索什么隐秘信息、去哪儿、何时何地开房、买了啥等这些信息,均被该犯罪团伙掌握。
根据警方统计的数据显示,该犯罪团伙窃取的公民数据已超过30亿条。而这一数字,还没算上其为了毁灭证据而删除的多台服务器上的大量数据。警方初步估算,已被删除的被窃数据量也超过亿条。
今年以来,河南、重庆等高校的数千名学生被曝身份疑被企业非法冒用偷税。而有类似遭遇的还包括湖北武汉、山东青岛、安徽滁州等多地的高校学生。企业冒用大学生信息偷税时有发生,而受害的大学生因无就业经验,往往对此难以察觉,维权更是困难重重。
数据显示,截至2020年3月,我国互联网用户已达9亿,互联网网站超过400万个,应用程序数量超过300万个,个人信息的收集、使用更为广泛。从数字经济发展整体的趋势来看,个人信息的利用无疑已成为大势所趋。因此,明确信息主体与信息处理者之间的权利义务,立法规范个人信息的利用和保护,已经成为一个迫在眉睫的问题。
2. 相对滞后的制度规范
然而,我国的个人信息保护法虽早在2003年就列入了立法日程,但遗憾的是,时至今日仍未出台。
目前,我国涉及个人信息民法保护的立法还主要是《民法总则》、《民法通则》、《侵权责任法》及司法解释的概括性规定。
《民法总则》第111条规定:“自然人的个人信息受法律保护。”这无疑是从基本法的角度建立了个人信息保护的规则。
《民法通则》第5条规定:“公民、法人的合法的民事权益受法律保护,任何组织和个人不得侵犯。”以及第99条至102条规定的有关公民姓名权、肖像权、名誉权、荣誉权等法律保护的内容,都可视为民法作为保护个人信息的基本依据。同时,第六章民事责任部分,可视为追究侵犯个人信息行为责任的依据。
而在《侵权责任法》的第二条所列举的“民事权益”中,虽未载明“个人信息权”,但可以通过扩大解释将个人信息权纳入其中。并且,在追究侵犯个人信息的侵权责任时,也可适用该法。更重要的是,《侵权责任法》率先在民法领域提出了网络侵权应当承担的责任,为个人信息的民法保护,提供了法律保障。目前,该法已被公认为个人信息在民法保护领域的直接法律依据。
此外,还有部分司法解释,虽然在个人信息保护的立法层面也进行了比较全面的阐述,但仍存在着对网络运营者追责不够的遗憾。
从整体上看,现有的立法体系多集中从禁止侵害的角度来对个人信息进行保护,尚未有从源头上对信息主体拥有的具体权利和信息处理者应当承担的义务进行明确的规定,对个人信息缺乏系统的法律保护。
面对这一空前的个人信息保护危机,2017年3月全国人大代表、全国人大常委财经委副主任委员吴晓灵,全国人大代表、中国人民银行营业管理部主任周学东以及45位全国人大代表在当年两会提交了《关于制定<中华人民共和国个人信息保护法>的议案》,建议尽快制定《中华人民共和国个人信息保护法》。议案同时将《中华人民共和国个人信息保护法(草案) 》作为附件提交。
可喜的是,2018年我国的个人信息保护法被列入本届全国人大常委会立法规划。这无疑标志着我国个人信息保护法的立法工作迈入了实质性的阶段。
3. 信息保护立法全速推进
在10月17日举行的十三届全国人大常委会第22次会议上,对《个人信息保护法(草案)》(以下简称《草案》)进行了审议。
10月21日,《草案》在中国人大网发布,公开征求社会公众意见。《草案》确立了以“告知—同意”为核心的个人信息处理一系列规则,明确国家机关对个人信息的保护义务,全面加强个人信息的法律保护。
首先,《草案》要求处理个人信息应当在事先充分告知的前提下取得个人同意,并且个人有权撤回同意。对重要事项发生变更的应当重新取得个人同意;不得以个人不同意为由拒绝提供产品或者服务。同时,《草案》还设专节对处理敏感个人信息作出更严格的限制,只有在具有特定的目的和充分的必要性的情形下,方可处理敏感个人信息,并且应当取得个人的单独同意或者书面同意。
其次,《草案》确立了个人信息处理应遵循的原则。强调处理个人信息应当采用合法、正当的方式,具有明确、合理的目的,限于实现处理目的的最小范围,公开处理规则,保证信息准确,采取安全保护措施等,并将上述原则贯穿于个人信息处理的全过程、各环节。
此外,《草案》明确了相关主体权利和义务。与民法典的有关规定相衔接,还对个人信息处理活动中个人的各项权利进行了明确,包括知情权、决定权、查询权、更正权、删除权等,并要求个人信息处理者建立个人行使权利的申请受理和处理机制。
更重要的是,《草案》明确了职责分工,突出网信部门统筹协调作用。因个人信息保护涉及各个领域和多个部门的职责,《草案》根据个人信息保护工作实际,明确国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用;同时规定,国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。
最后,《草案》大幅度提高了对违法行为的处罚力度。规定企业违反本法规定处理个人信息,或者处理个人信息未按照规定采取必要的安全保护措施的,履行个人信息保护职责的部门可能责令企业改正违法行为,没收违法所得,给予警告。
若企业拒不改正的,可能被处以一百万元以下的罚款,情节严重的,还有可能面临五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照。同时,直接负责的主管人员和其他直接责任人员也可能面临一万元以上一百万元以下的罚款。
近日,黑龙江省承成律师事务所主任盖茗荭在接受《中国产经新闻》记者采访时表示:“《个人信息保护法》出台的目的,不仅仅是为了保护公民的个人信息,更重要的是在于实现信息的合理使用或合理流通。在当今大数据时代,以识别为基础的个人信息范围大大扩展,同时也造成了个人信息的严重泄露,未来人工智能的崛起对我们公民个人信息的保护又面临着巨大挑战。因此,《个人信息保护法》的出台,将会有效地解决个人信息的严重泄露问题,也将会更大地实现网络数据时代下的合理合法的信息共享及信息流通。”
毋庸置疑,随着我国个人信息保护法立法工作的全速推进,必将在个人信息保护领域构筑起更加完备、更加有力的法制保障体系,进而切实满足个人信息保护方面的法制保障要求,让个人信息不再“裸奔”。同时,进一步维护网络空间的良好生态,促进数字经济有序健康发展。
本文内容转载自:百家号 baijiahao.baidu.com
原文作者:李梦云 中国产经新闻网
原文地址:https://baijiahao.baidu.com/s?id=1682304534205876658&wfr=spider&for=pc
作者: 李梦云 中国产经新闻网