我国个人信息保护法律体系研究与分析
2019-10-21文田国敏赵少飞巨腾飞
□ 文田国敏 赵少飞 巨腾飞
田国敏:陕西信息中心
赵少飞:陕西省网络与信息安全测评中心巨腾飞:陕西省网络与信息安全测评中心
个人信息见于报端纸头时往往伴随着“泄露”二字,信息逐渐成为重要资源,对资源的抢夺也使个人信息泄露事件大幅增加,不仅威胁个人的人身财产及生命安全,也影响社会的有序发展,我国现阶段的个人信息泄露问题是十分严重的,个人信息产生、存储及使用时如何对其进行保护,发生泄露时如何处置,均是亟待解决的问题。
欧洲和美国等一些发达国家一直注重公民个人信息保护,且相关个人信息保护的法律也得到了修订和完善。由于社会发展、法律和经济水平等因素的影响,我国近些年来开始注重个人信息保护。
(一)个人信息背景
自数据和信息的概念出现以来,世界各国、国际组织及地区为了更好地规范其发展,在针对本辖区范围内进行充分调研后,结合特征进行了针对个人信息保护法立法工作,法律名称存在些许差异,但均对个人信息的定义进行了明确说明。每个国家和地区根据本国自身的法律标准及各自历史人文习惯,在立法时对其有不同的称谓,常见的主要有“个人隐私”、“个人数据”、“个人信息”等。例如,最早开始将其纳入立法领域的美国通常立法时使用的主体为“个人隐私”,欧盟及其成员国结合其自身情况选择使用“个人数据”,和中国同处亚洲地区的日本及韩国则采用“个人信息”,我国港台地区常使用“个人资料”。从各国和地区使用的语境来看,三者基本相互包涵。然而,从我国《民法总则》第110条、第111条以及第127条的规定来看,隐私、数据、个人信息三者是相互区分的。隐私和个人信息具有交叉性,隐私起码包括空间隐私和信息隐私,许多个人信息都属于隐私的一种;数据则是从数据控制者角度所说的各类信息的集合,不仅包括个人信息,还包括系统自动生成的数据等。
从目的来讲,应该注重于个人信息保护的内涵和外延,而不应纠结于称谓本身。我国目前现有的关于个人信息保护的法律法规将其称为“个人信息”。
(二)个人信息定义
我国对于个人信息定义在《网络安全法》和《信息安全技术个人信息安全规范》都进行了说明。《网络安全法》中第七十六条(五)关于个人信息定义如下:个人信息是指以电子或其他方式记录的能够单独或与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
在2018年实施的《信息安全技术个人信息安全规范》中关于个人信息的定义如下:个人信息是指以电子或其他方式记录的,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、住址、出生日期、身份证号码、生物识别信息、通讯联系方式等等。
该项定义与《网络安全法》相比较,增加了一条反映自然人活动情况的信息,而这一概念规定,将互联网用户在网络上的行踪轨迹定义到个人信息的范畴内。从法律定义中我们不难看出,个人信息的范围十分广泛,只要能够识别出特定自然人身份,与特定自然人相关联的信息都属于个人信息。
从目的来讲,应该注重于个人信息保护的内涵和外延,而不应纠结于称谓本身。
(三)我国个人信息保护法律体系
随着个人信息泄露事件被媒体广泛报道,如何保护个人信息的安全成为了一个不可避免的问题,除了加强公民的自我保护意识,不随意纰漏个人信息,加强相关行业的自律以外,个人信息保护逐渐进入立法视野,制定了一系列的原则性立法及管理规定。
刑事法律层面,《刑法修正案(七)》首次将非法获取和提供个人信息入罪。此后《关于依法惩处侵害公民个人信息犯罪活动的通知》、《刑法修正案(九)》明确放宽了侵犯公民个人信息罪的主体范围。
行政监管法律层面,《电信和互联网用户个人信息保护规定》是比较全面的个人信息保护单行规定。此后,几乎所有互联网单行立法均有涉及个人信息保护的规定,例如《互联网广告管理暂行办法》、《网络出版服务管理规定》、《网络借贷信息中介机构业务活动管理暂行办法》、《移动互联网应用程序信息服务管理规定》等等。
民事法律层面,《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》首次从司法解释层面,明确了个人信息的法律内涵及侵权责任承担方式,《民法总则》则首次从民事基本法层面确立了个人信息权,此前公布的《电子商务法(草案)》也专章规定了电商领域个人信息保护有关规范。
2017年6月1日《网络安全法》已正式实施(其中,第42条明确规定“未经被收集者同意,不得向他人提供个人信息。”、第44条则提出“任何个人和组织不得窃取或者以其他非法方式获取个人信息”),其后全国信息安全标准化技术委员会(信安标委)出台了一系列的标准,以支持和保障《网络安全法》的有效落实,其中GB/T 35273:2017《信息安全技术:个人信息安全规范》(下称《安全规范》)提出了用于实践《网络安全法》中有关个人信息保护的规范类要求,并于2018年5月1日正式实施,此外,《安全规范》在编制过程中保持了与国际主流个人信息保护法令的一致性,例如,欧盟的《通用数据保护条例》(GDPR)。《安全规范》作为《网络安全法》司法实践中的重要参考文件。
尽管我国法律目前从多层面对个人信息进行规范及保护,但仍存在着保护范围不全面、识别力度不精准、监管效果待加强等问题,及时出台《个人信息保护法》有助于建立多维度立体法律保护体系,践行依法治网、依法办网、依法上网,让网络空间更加晴朗。■