专家:应制定一部专门的公民个人信息保护法
公民个人信息,法律该如何保护
专家建议制定一部专门的个人信息保护法
日前,家住北京市石景山区的李女士接到一个诈骗电话,对方对她的真实姓名、手机号码等个人信息了如指掌。近年来,这样的诈骗电话层出不穷,不少人因此上当受骗。李女士很纳闷:我的个人信息究竟是谁泄露出去的?不断发生的个人信息泄露事件一次次触痛了公众的神经。现在除了各种网络软件、网站注册之外,银行、快递、邮政、医疗等服务都需要提供个人信息。在这样一个个人信息“满天飞”的时代,个人信息可能在自己完全不知情的情况下被泄露甚至买卖。我国在保护个人信息方面现状如何?对泄露、出售等侵犯个人信息的行为该如何处罚?国外在保护个人信息方面有什么值得借鉴的地方?记者就这些问题采访了相关学者。
厦门大学法学院助理教授汪东升在接受本报记者采访时表示,我国关于保护个人信息的规定散见于多部法律中,如宪法、刑法、侵权责任法等,多是以保护个人隐私、通信秘密等形式出现。另外,近年来,全国人大常委会、各行业的主管部门都先后制定了相关的规范性法律文件。如全国人大常委会通过的《关于加强网络信息保护的决定》、工业和信息化部制定的《电信和互联网用户个人信息保护规定》,以及最高人民法院前几天刚刚公布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等。
“对于侵犯个人信息的行为,刑法中有比较明确的规定。”北京社会科学院法学研究所博士张苏在接受本报记者采访时说:“刑法修正案(七)增加了非法获取公民个人信息罪和出售、非法提供公民个人信息罪。但是,两罪都要求达到情节严重的程度才构成犯罪,规范的主体主要是国家机关及金融、电信、医疗等行业的公共主体。而对于其中的‘情节严重’,目前并没有专门的司法解释,尚属于法官自由裁量权的范畴。行为人所侵犯的个人信息的数量、采取的手段、造成的后果等都是可能考虑的因素。但是在行政法中,却缺乏这方面的法律规范。这就导致在保护个人信息方面,刑法与行政法难以有效衔接。对于没有达到‘情节严重’的侵犯公民信息的行为,很难进行处罚。而往往这样的行为在实践中更为常见。”
汪东升解释道,一些发达国家在保护个人信息方面的法律相对比较健全。总体来说,可以分为两种立法模式。大陆法系国家采取的是统一立法模式,如德国联邦个人资料保护法;而英美法系国家采取的是分散立法与行业自律并行的模式,如美国通过《隐私法案》等法律和行业自律来保护个人数据。“我认为我国采取大陆法系的统一立法模式会更加合理。”汪东升建议说。
张苏也认为,我国应该制定一部专门的个人信息保护法,侧重于对尚未达到“情节严重”的侵犯个人信息的行为,在民事和行政方面进行法律规制,这样可以和刑法形成衔接,弥补现在的处罚空白。另外,在立法技术上,张苏主张采用无过错责任,加重信息收集者的责任。
汪东升表示,在制定法律的同时,也应该注重事前的预防。现在个人信息收集已经渗透于我们生活的各个方面,一旦出现信息泄露等情形,后果将不堪设想,而且其损害后果往往是无法恢复的。因此,他建议这部法律可以对收集个人信息主体的资格、可收集的范围,以及监管等作出规定。
“从另一个方面来说,我们也可以选择性地借鉴美国的行业自律方式。我国工业和信息化部与国家邮政局近年来所制定的保护个人信息的部门规章,就带有这种性质。所以,可以结合我国的实际情况,通过各个行业的主管部门制定部门规章的形式来达到行业自律的效果。”汪东升说。(靳丽君)