我国个人信息保护研究综述
2021-07-05周阿柳
周 阿 柳
(石家庄职业技术学院 科技发展与校企合作部,河北 石家庄 050081)
大数据时代的到来,为人们日常生活带来便利的同时,也对个人信息安全造成威胁。个人信息即以电子或者其他方式记录的,能够单独或者与其他信息结合,识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等[1]。近年来,个人信息在众多领域被泄露、滥用,不法分子通过买卖或盗用个人信息,获得利益。因此,个人信息保护越来越受到人们的关注,国内学者从不同角度对个人信息保护问题进行了研究,而如何构建个人信息保护体系成为了个人信息保护研究的重要内容,本文通过对中国知网收录的相关文献进行梳理与分析,结合文献阅读,分析当前个人信息保护的现状,对个人信息保护路径提出一定建议。
一、个人信息保护文献研究
以中国知网数据库为来源,进行文献检索,选取高级检索,检索条件主题选择为“个人信息保护”,检索时间范围为起始年份“不限”,截止时间为2020年12月31日,然后选择主要主题为“个人信息保护”,共计检索出文献1635篇。剔除宣传、报道、动态、评论、标准等非学术文献和重复文献,得到有效文献1417篇。其数量分布见表1。
表1 个人信息保护文献一览表
由表1可知,自2006年以来对个人信息保护的研究逐渐增多,2015年以后更是呈迅速增长的态势。研究人员从不同角度对个人信息保护问题进行了分析,也提出了对于个人信息保护的建议。结合对重点文献的阅读分析发现,我国个人信息保护方面还存在一些问题,对于个人信息保护的相关法律制度还不够完善。
二、个人信息安全存在的问题
(一) 个人信息过度收集
在当前移动互联网时代,对于个人信息的过度收集最突出的集中在大众应用程序上,就是我们通称的App程序。《中华人民共和国网络安全法》第四十一条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则”“网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息”[2]。而现实生活中,我们经常会遇到这样的困境,由于工作或者处理个人事务的需要,不得不下载注册一个App程序,而在复杂的注册过程中,又会发现如果不同意其收集与服务内容不相关的个人信息,则会无法进行注册,有的程序甚至需要刷脸采集。中国消费者协会2018年《100款App个人信息收集与隐私政策测评报告》显示,对10类100款App测评发现10类App均存在涉嫌过度收集或使用用户个人信息的问题。10类100款App中,多达91款App列出的权限存在涉嫌“越界”,即存在过度收集用户个人信息的问题[3]。
(二) 个人信息泄露严重
近年来,关于个人信息泄露的案件越来越多,中央电视台“3·15”晚会8年来曝光了多起个人信息泄露事件:2012年曝光招行、工行、农行泄露出售客户信息;2013年曝光手机应用程序泄露信息成潜规则;2014年曝光大唐高鸿股份有限公司的“大唐神器”植入木马吸费,同时会泄露用户的个人隐私;2015年曝光运营商销售人员利用客户身份证照片,私自激活电话卡;2016年曝光扫描二维码泄露个人信息;2017年曝光电信诈骗案;2019年曝光深圳萨摩耶互联网金融服务有限公司私自采集个人信息;2020年曝光多个手机SDK插件窃取用户隐私。个人信息越来越多地从多个领域被泄露,中央电视台“3·15”晚会曝光的可以说只是冰山一角。根据中国消费者协会2018年《App个人信息泄露情况调查报告》显示,个人信息泄露总体情况比较严重,遇到过个人信息泄露情况的人数占比为85.2%,没有遇到过个人信息泄露情况的人数占比为14.8%[4]。
(三) 个人信息非法买卖猖獗
个人信息不仅仅涉及公民个人的人格内容,更多的个人信息与个人财产情况紧密相连。正因为如此,个人信息成为不法分子用来获得个人利益的工具。通过百度贴吧搜索“个人信息”发现,求购、买卖个人信息的帖子比比皆是,如购车信息、购房信息、消费信息等等。2020 年5月江苏淮安警方破获的银行员工将用户姓名、身份证号、交易情况等信息出售案件,涉及我国9个省12个市。法制网2019年7月公布的全国最大打击非法提供内部通讯录和个人简历侵犯公民个人信息案。“猎头搜”网站非法获取、存有大量公司企业内部通讯录和个人简历,并提供给用户下载,数据量高达150G。“猎头搜”网站注册用户多达6万余名,内部通讯录、个人简历等文档多达40多万份,本次获公民个人信息2亿多条[5]。中国法院网2021年1月15日公布的全国首例适用民法典的个人信息保护民事公益诉讼案件中,被告孙某以人民币3400元的价格,将自己从网络购买、互换得到的4万余条含自然人姓名、电话号码、电子邮箱等的个人信息,通过微信、QQ等方式贩卖给案外人刘某[6]。
(四) 个人信息安全意识缺乏
大数据背景下,我国公民对于个人信息安全保护的意识还有待加强。之所以出现个人信息泄露、被买卖等现象,一定程度上与公民个人信息保护意识不够有关系。现实生活中,我们经常会遇见“帮忙砍价”“性格测试”“选举投票”“转发免费送”“扫码领红包”等链接,无论是出于贪小便宜的心理还是不好意思拒绝的心理,很多人会按照要求进行操作,而这正是不法分子窃取个人信息的通用手段。 2017 年《中国个人信息安全和隐私保护报告》显示,有高达1/3的用户同意放弃部分信息安全限制来换取网络中的便捷服务[7]。
三、个人信息保护存在的问题
(一)专门立法尚未出台
我国与个人信息保护相关的法律制定起步较晚,通过对个人信息保护相关法律制度现状分析和梳理发现,我国从2000年到2010年,个人信息保护法律法规的构建一直比较缓慢。2012年《加强网络信息保护的决定》首次确定了个人信息收集的基本原则[8]。2013年修订的《中华人民共和国消费者权益保护法》增加了对个人信息保护的相关规定[9]。2017年《中华人民共和国网络安全法》的实施,为网络方面的个人信息保护提供了法律依据[2]。2017年《中华人民共和国民法总则》规定了自然人的个人信息受法律保护[10]。2018年《中华人民共和国电子商务法》对电子商务经营者收集、使用用户个人信息作出了规定[11]。2020年10月,全国人大常委会法制工作委员会发布了关于《中华人民共和国个人信息保护法(草案)》[12]的说明,目前征求意见已结束,但还未正式出台。
(二)个人信息泄露维权困难
个人信息泄露后,公民个人人格及财产存在着巨大安全隐患。采取何种方式维护自身权益成为公民面临的一大难题。公民在维权过程中往往会面临取证困难、时间长、成本高等各种实际问题。首先,当前大数据时代信息传播迅速,公民个人在发现个人信息泄露后很难找到信息泄露的源头,即使找到也存在难以收集证据的尴尬;其次,由于民事诉讼程序相对复杂,过程中由于个人信息的流动性,使得各个环节的不确定因素较多,导致整个诉讼周期较长;再次,由于个人信息泄露对于个人的人格权、财产权及其他权利造成的损失具有不确定性,因此,胜诉获得的赔偿相当有限,同整个诉讼成本不匹配。正是由于以上各种原因,我国公民对于个人信息泄露维权的积极性不高。
(三) 个人信息保护监管不到位
由于个人信息保护的专门立法尚未出台,当前对于个人信息安全的监管只是散落在工业和信息化部、国家市场监督管理总局及地方工商行政管理局等部门[13],国家对于个人信息保护监管没有成立专门机构。首先,对于网络安全的监管不到位。当前,网络已经成为个人信息安全流通的重要载体,公民浏览网页,进行网络购物,下载注册手机App等,都会留下与个人信息相关的痕迹,加之没有专门的机构进行及时处理,使得一些企业或不法分子通过各种技术手段获取个人信息,导致个人信息泄露。其次,企业内部监守自盗的现象时有发生。企业或企业内部职工对于获取的个人信息进行互换或转卖,目前还没有专门的机构对于行业自律进行监管。新浪财经网2020年5月报道的“建设银行员工被曝‘倒卖个人信息’内部员工违法违规屡见不鲜”中提到余姚城建支行行长沈某某,向他人提供东城名苑业主的财产信息共计1111条,又将银行贷款客户财产信息127条提供给周某用于招揽业务。建行某支行客户经理李某利用其担任客户经理的职务便利,窥视客户密码,截留客户网银U盾,涉案金额共计1160万元[14]。再次,对于有个人信息数据收集权限的政府及下属行政部门,也缺少专业数据监管。新华社2019年2月报道了最高法卷宗丢失一案,引起了社会的广泛关注,暴露出国家机关在个人信息存储和管理中仍有疏漏。国家互联网应急中心发布《2018年我国互联网网络安全报告》显示我国重要行业关键信息基础设施逐渐成为勒索病毒的重点攻击目标,其中,政府、医疗、教育、研究机构、制造业等是受到勒索病毒攻击较严重的行业[15]。
(四) 行业自律机制不够完善
在个人信息保护问题上,自律是指相关企业或产业实体联合制定该行业的行为规范或行为指引,在行业内部遵守的保护个人信息权利的机制[16]。目前,我国行业自律机制还不够完善,涉及个人信息保护的行业自律也并不多见。中国互联网协会2004年发布的《中国互联网行业自律公约》及2006年的《博客服务自律公约》均未涉及关于个人信息保护的条款。2012年《互联网搜索引擎服务自律公约》中提到“搜索引擎服务提供者有义务协助保护用户隐私和个人信息安全”[17]。而行业自律应是完善个人信息保护相关政策的重要内容,是个人信息保护的源头。
四、个人信息保护路径建设思路
(一)完善个人信息保护法律体系
首先,应尽快出台《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》),以法律的形式确定个人信息的概念,同时《个人信息保护法》作为专门法,对于个人信息进行单独的保护,而不是用相关的人格权或财产权替代,为个人信息安全提供专门的法律保障。另外,《个人信息保护法》应尽量考虑与新出台的《中华人民共和国民法典》(以下简称《民法典》)衔接的问题,需要《民法典》追究民事责任的,必须是同时违反《个人信息保护法》且构成民事权益损害的行为。
其次,应当构建以《个人信息保护法》为基础的个人信息保护法律体系。个人信息存在于众多领域,因此更应当从各个领域出台相关的法律制度或制定相关政策,从而适应于不同行业领域的个人信息保护,进而形成对个人信息的全方位保护。
再次,针对个人信息泄露维权难的问题,可以采用责任倒置原则[18]。当前我国司法制度采用的是“谁主张谁举证”原则,但是公民个人对于信息泄露取证相当困难,从而导致公民放弃对个人信息侵权的诉论。公民相对于行业企业来说处于弱势地位,如果在实践中能够将取证责任倒置的话,应该会反向促使行业企业重视个人信息保护。
(二) 构建政府监管专门机构体系
《中华人民共和国个人信息保护法(草案)》第六章规定了履行个人信息保护职责的部门,对于个人信息处理者、个人信息保护有关的投诉和举报及违法的个人信息处理活动都作了规定。但仍然没有具体规定对于公民使用网络留下的个人信息、政府机构及部门收集的个人信息相关数据进行处理的专门机构。只是把个人信息保护的责任寄托于信息处理者身上,不能够从根本上解决个人信息泄露问题。
《中华人民共和国个人信息保护法(草案)》没有明确提出涉及个人信息保护的行业企业自律机制问题,只是规定“推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务”[13]。如果能够建立专门的机构监管行业企业自律机制的构建,必然也会加快个人信息保护行业自律机制的出台,从而减少个人信息安全问题的出现。
(三)提高公民个人信息保护意识
大数据时代,个人信息泄露日益严重,公民一定要提高个人信息保护意识,从源头上遏制个人信息的泄露,不给不法分子提供机会。一方面需要公民学习个人信息保护的策略及相关法律制度,关注个人信息保护的相关案例,在生活、工作中涉及提供个人信息的要提高防范意识;另一方面需要政府加强对个人信息保护的宣传及教育,将个人信息保护知识普及到全体公民。
(四) 加强个人信息媒体曝光宣传
个人信息保护涉及每个公民的利益,也关系到社会的稳定。需要政府、企业、公民等各方面的共同努力,而媒体作为信息传播的平台,具有传播速度快,传播受众面广等特点,因此,媒体加大对于个人信息保护的宣传及对个人信息泄露、买卖案件的曝光率,不但对公民能够起到警示作用,而且对于不法分子也能够起到震慑作用,从而推进我国个人信息保护体系的形成。
(五)鼓励专家、学者进行信息保护研究
当前,我国个人信息保护虽然取得了很大进展,但是仍然任重道远。相关专家学者应积极主动地加入到个人信息保护研究行列,从更多领域,不同角度来研究个人信息保护问题;加强对当前社会热点问题的研究;从不同学科角度探讨个人信息保护问题;鼓励不同学科的学者联合进行研究,尤其是鼓励其他学科与法学结合,为个人信息保护建设提出合理化建议,从而推动我国个人信息保护体系的形成。