快递实名制下个人信息的法律保护
2019-12-26黄小婵
黄小婵
在快递实名制背景下,个人信息保护一直备受关注,而其泄露问题屡遭诟病。随着泄露事件的增多,人们对个人信息问题变得愈发敏感。如今,我国对快递实名制下个人信息的法律保护不尽人意。一方面,个人信息保护的现状不能满足人们的内在需求;另一方面,快递业的繁荣和信息社会的不断进步,个人信息保护形势愈发严峻,更加剧了这一需求。因此,研究快递实名制下个人信息的法律保护问题极为必要,对保障民生及促进社会经济和谐有序地发展有着重要影响。
一、相关制度概述
(一)快递实名制的含义及实行快递实名制的必要性
《邮件快件实名收寄管理办法》第3条明确了实名收寄的具体规范:“邮政企业、快递企业、经营邮政通信业务的企业(以下统称寄递企业)应当执行实名收寄,在收寄邮件、快件时,要求寄件人出示有效身份证件,对寄件人身份进行查验,并登记身份信息。”由此可知,快递实名制是指寄件者在寄送快递时需要提供真实有效的身份信息并经快递企业查验和登记后才可收寄的制度。
这一制度的施行有其深刻原因。在电子商务崛起的信息社会中,快递成为社会经济不可或缺的一部分,关系到社会公共安全、快递行业发展和用户权益。从社会角度来看,快递实名制可以有效震慑和阻遏依托快递实施的违法犯罪活动,如非法邮寄枪支、毒品等国家明令禁止的物品及利用快递进行销赃和走私等。从行业角度来看,快递实名制可以规范快递行业运行和净化内部环境,促使企业不断完善人员管理、信息技术、经营方式和安全监管等诸多方面。从用户角度来看,快递实名制能够提升交寄物品的安全度,保护其合法权益。如发生快递毁损丢失、被冒领和侵占以及以寄递企业快递为载体实施犯罪行为等,快递实名制能有效约束和追溯相关人员的行为。
毋庸置疑,快递实名制符合社会发展需求,解决了社会发展过程中亟待解决的诸多问题,在一定程度上维护了多方利益。然而,快递实名制也加大了信息泄露的风险,给个人信息安全造成冲击和挑战,这种冲击和挑战需要被正视和理性对待。
(二)快递实名制下的个人信息安全
个人信息是指与一个身份已被识别或可被识别的自然人相关的任何信息,其核心特征是识别性,即能够准确定位到个人[1]。快递用户个人信息是指用户在寄递行为过程中涉及的个人信息,如收寄双方的名称、地址、寄递物品的详细信息等。借这些个人信息可以识别出特定个人,甚至还能延展出关联信息,一旦泄露将会产生极大风险,因此,人们在享受快递实名制的益处时,也不可避免地面临个人信息安全的威胁,这主要体现在以下两点。
第一,快递实名制使个人信息保护更为被动。应快递实名制要求,用户需将个人信息移交快递经营者处理,这些信息在使用过程中脱离了用户的掌控,依赖外部力量来保护,且使用后不能完全消除。用户并不知道自己的个人信息将会在何时、以何种方式被不正当使用,是否会损害自身利益,这就使得用户处于被动地位。此外,快递实名制涉及的个人信息具有很强的私密性,如身份信息、住址、联系电话等,这些信息都极为重要和敏感,且容易被非法利用,因此用户变得更加被动。
第二,多环节的快递服务和个人信息市场客体化使其泄露风险高。一方面,快递服务环节多的特点导致个人信息泄露发生率高。快递实名制涉及网站、商家、快递企业、快递员、用户以及废品回收站等多个环节,每个环节对个人信息保护的能力不同,但都存在泄露隐患[2]。由于快递供应链节点的广泛性和分散性,因此,很难在某个具体节点防范信息泄露。再者,无论是正当收集、使用、存储和传输还是外部的恶意攻击、窃取都有可能导致信息泄露[3]。另一方面,个人信息的市场需求进一步增加其泄露风险。在信息社会里,个人信息意味着经济利益和竞争优势,具有很强的商业价值,已成为市场买卖的客体,而市场的逐利性容易驱使人犯罪。
第三,人们很难预知个人信息泄露的后果。快递企业通过快递实名制收集到大量用户个人信息,这些个人信息的泄露通常不止涉及单个用户,更可能大规模地泄露。泄露后的个人信息可能被用于不同目的,如被某些电商企业用于进行虚拟交易以增加销售数量和提升信誉等级或进行广告推销、被犯罪分子用于诈骗和盗窃等,这些会侵扰和危害到用户的生活。即使个人信息泄露不一定导致即时的危害,但隐患的存在也会对用户造成心理压力。
二、快递实名制下个人信息法律保护的现状与不足
(一)个人信息保护现状
当下,中国对个人信息采用分散立法保护,相关规定散见于各类规范性文件中。有学者统计,目前有近40部法律、30余部法规以及近200部规章涉及个人信息保护[4]。其中,《宪法》关于保障人权和隐私的条款是个人信息保护的宪法基础。新修订的《中华人民共和国民法总则》规定自然人的个人信息受法律保护,《中华人民共和国侵权责任法》对侵权行为的补救措施和《中华人民共和国民法通则》关于人格权以及隐私权的规定是个人信息保护的民法基础。《中华人民共和国刑法》第253条之一规定了侵犯公民个人信息罪,《中华人民共和国刑法修正案(七)》新增了“出售或非法提供”“非法获取”这两种行为的相应罪名,《中华人民共和国刑法修正案(九)》则进一步将犯罪主体扩大化。这些规定奠定了个人信息保护的法律基础。另外,《中华人民共和国消费者权益保护法》《中华人民共和国网络安全法》《征信业管理条例》等诸多法律法规也体现了对个人信息的保护,关于个人信息的相关标准和司法解释也不少。除了前述提到的保护个人信息的相关规范性文件外,专门规范快递行业的法规也有所涉及,如《快递市场管理办法》《快递业务经营许可管理办法》等。其中,《快递暂行条例》(以下简称“《条例》”)是我国第一部针对快递业的行政法规,强化了用户个人信息保护制度和寄递企业信息安全保障义务。
总的来看,针对个人信息的立法数目浩繁。多层次、宽领域的规范性文件强化了个人信息保护的力度,形成了个人信息保护的基本架构,但有几个问题较为突出。一是这些规范缺乏系统性,较为分散。分散型的立法模式缺乏综合化的制度优势,容易导致法规之间的混乱与矛盾。二是内容较为概括,实际难以操作。法律条款数量有限,不能做到面面俱到,只能以原则性、指导性的规范方式尽量涵盖更大的范围。这也导致了司法实践的适用困难。三是效力层级普遍较低。除了根本法和几个重要的部门法外,对个人信息保护作出规定的大多是位阶较低的法规。基于此,个人信息的法律保护在实践中收效不佳。
(二)快递实名制下个人信息保护的不足
现有立法为个人信息提供了保障,但仍有不足。
第一,归责不明。目前,《条例》未对快递侵权行为适用的归责原则作出特别规定,侵权责任法也未将此行为归类为特殊侵权行为,故只能适用过错责任原则,不能改变受害人的举证困境[5]。而社会中存在的倒卖个人信息的黑色产业链使得个人信息侵权不同于一般侵权行为,其具有专业性、隐蔽性的特点,因此举证难度大。此外,相较于快递经营企业来说,快递用户处于被动、弱势地位,证明能力严重不足且证明成本过高,由其进行举证显然是不合理的。
第二,惩罚较轻。相对于个人信息的巨大利益来说,现行侵权责任方式以及《条例》第44条规定的最高限额十万元的民事制裁震慑作用明显不足,难以遏制侵权现象蔓延。有研究表明,一条淘宝订单信息从上游到下游价格可能从十几元涨至几百元,个人信息犯罪的下游犯罪如电信诈骗、网络盗窃等,犯罪金额动辄数十万、数百万[6]。这充分显示了违法所得与犯罪成本的巨大差距。刑法虽进一步加大了惩罚力度,规定侵犯公民个人信息罪的最高刑期为七年,但比之犯罪的高收益,这样的处罚力度明显不足,不能有效阻止犯罪的发生,近年来个人信息犯罪呈现高发态势也证明了这一点。
第三,监管不力。现有法律规定,快递行业的监管部门除邮政管理部门外,还包括国务院公安、国家安全、海关等有关部门。众多监管机关的职能分工似乎覆盖了快递安全领域的方方面面,但实际运作却有诸多弊端。一方面法律条文对各部门的执法权限规定不清,另一方面基于部门自身利益的考量,监管者通常各自为政,部门间缺乏协调性。此外,快递行业内部管理不当也会直接导致个人信息泄漏。
第四,维权不足。虽然法律有明确规定,但公民的用法现状却并不乐观。一方面,用户虽有自我保护意识,但采用法律手段解决侵权问题成本较大且效率低下,因而在权益损害并非十分严重时,人们一般不会选择通过法律途径解决,只有在其他救济方式行之无效时才会考虑。因此,对个人信息违法行为的打击在很大程度上依赖严格执法。另一方面,即使被侵权人决定采用法律手段维权,由于追踪侵权人以及调查取证等要求较高的侦查手段和技术水平,公民依靠诉讼来追究侵权人的责任相当困难。此外,如果不是大规模泄露,而是少量或者个人的信息泄露,公安部门通常很难打击信息泄露行为,而且信息传递通常经过多个环节,这也加大了调查的难度。
三、快递实名制下完善个人信息法律保护的建议
(一)健全相关法律法规
首先,国家法律制度规范需要满足人们的需求和社会的发展。目前,个人信息保护法已被纳入全国人大常委会的立法规划,立法进程取得了质的飞跃。个人信息基本法的制定是现代社会发展趋势,若能尽早出台,无疑会极大改善个人信息保护现状。法律是社会发展的产物,其作用在于协调利益。针对个人信息立法中的各种冲突和矛盾,笔者认为,以平衡各方利益为核心推进立法势必可以有效缓和现有冲突和矛盾。此外,还需注意新法与现有法律之间的贯通和衔接。
其次,对于《条例》归责原则模糊的问题,笔者建议在民法典侵权责任编草案中增添快递服务侵权责任适用过错推定原则的相关规定。据此,个人信息一旦泄露,作为直接责任主体,企业必须接受被侵权人的问责,承担法律规定的举证责任,若其不能证明信息泄露与己无关,便可推定其行为违法。这样能降低了公民的诉讼成本,也体现了法律对弱者的救济与保护。
最后,加大惩罚力度。针对个人信息的侵权,现行制裁措施主要包括行政、刑事和民事三种方式,而实践中又以前两种方式居多。笔者在此建议加大惩罚力度是指适当增加罚款、罚金、补偿性以及惩罚性损害赔偿数额。不可否认的是,违法成本增加也降低了违法收入预期,直接影响到违法行为决策,但这一决定能够有效地震慑并阻止犯罪行为。因此,国家应当根据司法实践的具体情况制定相应司法解释,推进修法进程,并通过指导性案例予以引导。
(二)强化行政执法和监管
立法与执法相辅相成,需要两相兼顾。针对我国执法与监管现状,笔者认为可从以下三个方面入手进行改进。一是要细化各部门的职责权限,同时避免监管缺位和职能交叉,使行政执法与监管有法可依。比之个人信息的复杂多样,监管部门的传统职能划分比较有限,因而健全监管体系和优化各个机构的职能分配尤其重要。二是建立协调机制,各部门既分工治理又相互配合,有效交流与传递信息,形成系统的执法监管路径。合力执法的优势在于节省有限的行政和司法资源,实现效用最大化。三是严格执法。一方面,法律的实质权威只有通过切实有效的执行才得以体现,否则只是一纸空文。另一方面,执法严厉实际上也是增大了犯罪遭受惩罚的概率,这种惩罚成本的升高必然会被包含在犯罪分子的预先分析中,从而在一定程度上减少犯罪动力。
应强调的是,追求执法效力的同时要避免因过分执法产生负面效应。相比个人信息的保护,其流通与利用也同样重要,尤其在信息社会。笔者认为,政府在个人信息保护领域的作为要尽可能使得这两个方面处于一种平衡状态,而不能厚此薄彼。当然,政府如何介入、介入的程度以及公权和私权的界限划分都有待商榷。
(三)规范行业运行
快递实名制下的个人信息几乎全部集中于行业内部,行业的作为势必会影响个人信息保护的成效。在自由市场模式下,囿于市场竞争的固有弊端,众多快递企业不可能完全依靠自觉来保护个人信息,而市场失灵现象也会恶化个人信息保护的环境。因此,除法律的刚性要求外,行政与司法等公权力仍要向企业施加一定压力。但是,法律和公权力并非是万能的,某些领域是不能且不宜主导和过分介入的,所以还要借助行业自律。行业自律这一保护机制为诸多国家采用,其中最具代表性的是美国。依托稳固的社会信用体系和优良传统,美国针对个人信息的保护主要由市场主导而非政府干预。虽然我国还不具备与之相及的社会条件,但这一模式对我国有重要的借鉴意义。对不同的法域来说,行业自律与法律规制的治理效用固然有所区别,然而殊途同归,均是要达到保护个人信息的目的,所以我国亦可逐步建立行业自律机制。与法律相比,行业内自发形成的以保护个人信息为核心的自我约束规范虽不及法律权威,但能够有效弥补法律的诸多缺陷,自我约束规范与法律优势互补、共同作用则可以有效规范行业运行,充分保障个人信息安全。