社论
全国信息安全标准化技术委员会近日在京举办座谈会。针对如何维护个人信息安全,中国全国信息安全标准化技术委员会秘书长高林对媒体透露,信息数据采集的“行为准则”正在报批过程中。
信息数据采集之所以迫切需要一个“行为准则”,当然是因为当下公民个人信息泄露问题相当严峻,特别是随着移动互联网、云计算等新技术的飞速发展,人类步入大数据时代,随之而来的信息安全、信息滥用问题也日益严重,公民个人信息被不当使用或非法泄露的情况时有发生。据中国互联网协会发布的《中国网民权益保护调查报告(2015)》,63.4%的网民通话记录、网上购物记录等网上活动信息遭泄露;78.2%的网民个人身份信息曾被泄露,包括姓名、家庭住址、身份证号及工作单位等。
大量公民个人信息被无端泄露带来了严重危害。近段时间,举国上下都在致力于打击电信诈骗,并取得了一定成效。但人们普遍认为,电信诈骗屡打不绝的一个根本原因在于公民个人信息保护乏力,从而使不法分子能够利用这些信息进行“精准”诈骗,让公民防不胜防。
在大数据时代,公民不提供足够的信息会导致一些业务无法开展,也可能影响产业的进步,但究竟哪些信息是必要的,哪些信息不应该被采集,这中间有一个边界问题;在收集到了公民个人信息之后,作为采集的一方,如何确保这些信息不会被泄露乃至正常业务之外的非法利用,这又是一个内部管理和控制的问题。在前一个问题上,采集者往往只考虑自己一方的方便,容易产生“公民提供的信息越多越好”的倾向,而在后一个问题上,“内鬼”的出现常常使貌似严格的内部管理制度成为一纸空文。
最近北京市大兴区人民法院审理的京东用户信息被泄露案件是一个最新的例证。2014年12月至2015年1月,数百名京东用户遭遇信息泄露,精准的订单信息骗局随之而来,受骗用户损失少则数百上千元,多则数万元。现在法院审理查明,泄露事件系京东3名内部员工所为,他们通过登录京东ER p办公系统,非法获取了京东商城用户个人信息9313条,并将上述信息售予他人,造成京东公司大量客户信息泄露。
对企业收集用户个人信息应有合理限制,“不是什么信息都可以收集”,对收集的信息应该怎样管理,一个清晰的信息数据采集标准必须解决这两个问题。现在信息安全标准化技术委员会透露标准正在报批之中,公众自然愿意乐观其成。
但是正如高林所说,这个标准不具备强制性。充其量,它更像一个行业用以自律的制度。显而易见,确保公民个人信息不被泄露和滥用,仅仅依靠行业的自律是远远不够的。还有一点也许并非不重要,这就是泄露和滥用公民个人信息的并非只有企业。
全面保护公民个人信息,法律的作用无疑首屈一指。虽然在现行法律体系中,并不是没有个人信息保护的条款,刑法中也有相关规定,但一来这些条款散布在多个法律法规之中,多头管理操作不易,二来刑法虽有威慑,但大多数侵害公民个人信息的行为往往由于达不到定罪量刑的标准而无法使用刑法惩处。有鉴于此,尽管立法不是万能,无法指望立一部法就一劳永逸,但在一些法学家看来,为保护公民个人信息而制订一部专门的法律已经刻不容缓。
如果进行专门立法,明确立法宗旨、基本原则之外,这样一些内容应该不可或缺:哪些是公民个人信息收集的适当主体,收集公民个人信息应该限定在什么范围、经过哪些公开的程序,以及造成损害的赔偿和法律责任等等。
近年两会上,都会有代表委员建议国家尽早启动个人信息保护立法。现在,电信诈骗之恶让各界对相关问题的认识更加深化,立法的时机显然愈趋成熟了。
济宁时评