引論:我們為您整理了1篇個人信息保護論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
個人信息保護論文:個人信息的商業運用法律保護論文
現代信息社會的發展,使個人信息的資源性日益彰顯,個人信息的保護也越來越受到重視。加強對個人信息的保護,促進個人信息的合法運用,首先需要對個人信息進行的定位,是在傳統民法體系內保護,還是以特別法的形式予以補充,目前還處于爭議階段。本文將從個人信息的性質,以及個人信息與相關權利的區別入手,來探討個人信息的商業運用及其法律保護途徑。
一、個人信息的法律性質
個人信息,有的學者將其稱為個人資料;有的干脆將其稱為隱私。其實,個人資料和隱私這兩個概念都不夠,均不能表達所要保護的對象。首先,信息和資料之間是有差別的,資料是代表人、事、時、地的一種符號序列(不以文字為限),是一種客觀事實狀態;信息是指資料經過處理后可以提供為人所用的內容,能夠直接起到識別的功能[1](P13),是有價值的,只有具有一定價值的資料才能夠作為資源,也才能夠成為法律保護的對象,屬于法律的價值判斷范疇。正因為信息和資料所指稱的對象有差別,所以,并不是所有的個人資料都能夠成為保護的對象,只有具有價值的能夠為人所用的資料,也就是信息,才能夠成為被保護的客體。其次,隱私這個概念,來源于英文“Private”,對于這個詞是否應該翻譯為隱私,還值得進一步研究。但一般認為,隱私是一個人內心深處的不愿向外界透露的信息,而且這個信息一旦泄露則會給他人的聲譽造成一定的影響。因此,隱私只是相當于個人信息中的敏感信息,而不包括瑣細信息(注:以個人信息是否涉及個人隱私為準,個人信息可以分為敏感個人信息和瑣細個人信息。參見齊愛民主編:《個人資料保護法原理及其跨國流通法律問題研究》,武漢大學出版社2004年版,第6頁。)。由此可見,資料和隱私,一個所指稱的范圍過寬,一個則過窄,均不如個人信息。個人信息這一概念地表達了所要保護對象的特點,具有識別效果和資源價值。因此,個人信息是指可以直接或者間接識別該個人的資料。現代社會個人信息占有量往往與一個企業的競爭力有著非常密切的聯系。個人信息商業運用的法律保護問題被提上議事日程。
首先需要對個人信息的權利性質有一個明確的認定,才能夠把握法律保護的方法和途徑。對于個人信息的性質有不同的看法,有的人認為個人信息屬于物的范疇,適用所有權的保護模式[2]。有的人認為個人信息屬于隱私利益,應該適用隱私權來保護個人信息[3]。有的人則認為,個人信息的收集、處理與利用涉及該個人的人格尊嚴,個人信息所體現的利益是公民人格利益的一部分,這一利益是一種獨立的、新型的法律利益,應該被賦予新的權利,這一權利就是資料權[4](P109)。資料權從權利歸屬來看,屬于人格權的一種,人格權是資料權的上位權利[4](P115)。筆者認為,個人信息的擁有者對個人信息所享有的權利,在權利歸屬上并不是人格權的一種,而是一種新型的獨立的權利。首先,從權利內容上看,人格權的典型特征就是不直接表現為財產利益,而個人信息權的行使往往是為實現直接或者間接的財產利益。其次,從權利的表現方式來看,人格權一般都表現為消極的不受侵害的權利,相對人僅在法律規定的范圍內負有不為一定行為的義務,而個人信息權在很多情況下都表現為該個人對其信息予以自由支配和控制的積極性權利,該個人得以基于自己的意思自由地行使該權利,該權利表現為確認、了解個人信息的存儲、利用與流通情況,并排除第三人對信息的不法侵害。再次,從權利的行使情況來看,人格權是與人身密不可分的,人格權不能轉讓,不能作為交易的客體,而個人信息權的一個顯著特點就是個人信息能夠作為商業交易的對象,而且在市場經濟條件下,個人信息的商業運用將成為個人信息權的主要實現途徑。,從救濟方式來看,對人格權的保護通常采用事后救濟的方式來實現,而對個人信息權的保護是采用事前防范和事后救濟相結合的方式來達到的。顯然,個人信息權與人格權是不同的權利類型,盡管隱私權也是保護個人信息的,但隱私權所保護的個人信息范圍非常有限,僅限于一些可能對本人造成損害的敏感信息,而且隱私權的保護僅僅是從精神利益角度出發所作出的規定,所以,以隱私權來實現對個人信息保護的設想是行不通的。那么,個人信息能否通過所有權的模式來保護呢?也不行,因為個人信息權與所有權畢竟是不同性質的權利類型。首先,從權利的設立目的來看,所有權是為確保權利主體對物本身的占有、使用、收益和處分,物本身就體現了所有權的價值,具有直接的財產利益。而個人信息權的設立則是為了保護個人信息不受他人的侵害,個人信息的商業化運用雖然也表現一定的財產利益,但個人信息的立法宗旨仍然是以保護人格獨立和人的尊嚴為終極目標,個人信息的價值也具有不確定性,其價值的實現有賴于不同的商業運作模式。其次,從權利客體來看,所有權的客體為物,而作為個人信息權客體的個人信息則不具備物的一般特性。再次,從權利行使方式來看,所有權人在正常情況下都能夠以自己的意思來直接實現對物的支配,而個人信息權人在很多情況下,要實現對個人信息的控制和管理,則必須通過請求他人為或者不為一定行為,如確認、了解個人信息的存儲、利用和流通情況。,從侵害后的救濟方式來看,所有權人可以通過行使物權請求權來恢復對物的支配,不受時效限制;而個人信息權人在受到侵害以后,只能夠通過請求對方承擔違約責任或者損害賠償責任,不存在恢復原狀的問題,而且受到時效的限制。
個人信息權之所以是一種獨立的權利類型,不僅因為其與所有權、人格權都存在重大差異,更重要的是,個人信息權形成了自己特有的權利內容。個人信息權的權利主要表現為:及時,個人信息決定權。指本人有權決定個人信息是否被收集與利用或者進行更新,以及個人信息在什么領域、基于何種目的、以何種方式被處理。第二,信息保密權。是指本人得以請求信息處理主體保持信息隱秘性的權利。對個人信息的保密途徑一般來說有兩種,一是自律,一是他律。他律是指通過政策、法律等消極手段間接地約束信息處理主體的行為,解決信息內容被截取或者泄露的責任分擔問題。自律則是由信息處理主體主動采取保密措施來防止信息內容被截取或者泄露,為信息的收集和處理提供了安全的環境,自律是個人信息保密權得以實現的基礎和保障。第三,信息查詢權。是指個人請求信息處理主體告知對其個人信息進行收集處理的相關情況,有的學者也將其稱為請求告知權[5](P121)。信息查詢權是個人信息權得以實現的關鍵所在,個人要實現對信息的支配和控制,必須首先了解哪些個人信息被收集,這些信息又是如何被處理和利用的,才可能知道這些信息是否保持完整,是否適時。第四,信息更正權。是指本人在發現其個人信息錯誤、不完整或者過時時,可以請求信息處理主體更正和補充的權利。一般來說,行使更正權的事由有三類,即信息不、不完整、不從新。我們此處的更正權包括了補充權。信息更正權中最有爭議的就是個人信息中有關本人價值判斷的內容,本人能否請求更正或者補充,從個人信息的客觀性來看,有關個人價值判斷的內容如果本人能夠舉出充分的相反證據,可以予以更正或者補充,但在沒有充分證據的時候,是不能夠變更或者補充的。第五,信息封鎖權。是指在法定或者約定的事由出現時,本人得以請求信息主體以一定方式暫時停止信息處理的權利。第六,信息刪除權。是指在法定或者約定的事由出現時,本人得以請求信息處理主體刪除其個人信息的權利。信息封鎖權與信息刪除權存在許多相似之處,一般來說,個人信息不完整或者不,可以行使封鎖權;而在個人信息收集目的實現的情況下,則可以行使刪除權。第七,信息報酬請求權。是指本人在因其個人信息被收集、處理與利用的情況下的一項信息處理主體請求支付對價的權利。
綜上所述,個人信息權不僅不能歸入人格權,也不能夠歸入物權的范疇,個人信息權在權利屬性上看,是一種獨立的復合性權利,具有人格和財產的雙重屬性,而且已經形成了自己獨有的權利內容,應以民事特別法的形式對之予以保護。
二、個人信息商業運用的現狀
個人信息商業運用的前提是個人信息的收集,個人信息的收集按照收集的主體,可以分為“公的部門”的收集即由國家機關為主體進行的信息收集,和“私的部門”的收集即由非國家機關為主體進行的信息收集。由國家機關進行的信息收集活動一般是由國家機關依職權或者執行國家公共事務的需要按照規定程序進行的,在此我們不作討論(注:當然,對于國家機關所收集的個人信息也存在如何合理使用的問題。2003年5月8日《南方周末》法治版刊載了一篇《建行賄人資料庫供招標方遏腐敗——寧波檢察院悄砸行賄商飯碗》。在該篇報道中,寧波市北侖區檢察院率先建立了建筑行業的行賄人員“黑名單”,“黑名單”中既包括已經被判行賄罪的行賄人,也包括雖未判刑,但行賄數額巨大的人員,甚至將那些檢察機關已經掌握行賄事實,但本人還未交待或者拒不承認的人員也列入其中,這些對于行賄人來說都是保密的,也就是說這些個人信息是通過間接的方法獲得的。北侖區檢察院使用這些個人信息為社會提供“誠信咨詢”,招標單位可以事先向其咨詢投標人是否存在行賄的污點,檢察院將審查結果予以反饋;對長期與該院合作的國家機關或者特大型國企提供部分行賄人名單;還對反貪部門以及有關的法紀部門的偵查行為提供必要的資料幫助。這種做法迅速在寧波市檢察院系統推廣,并將范圍擴大到醫藥行業和政府采購領域。本來檢察機關為了預防犯罪在其權限和工作必須的范圍內收集、利用個人信息是法律所允許的,但其擴大個人信息的使用范圍,雖然在目的上是為了遏制腐敗行為,但畢竟是在無法律依據的情況下憑借公權力介入私法秩序,這種行為本身值得商榷,同時反映出我國個人信息合理運用的法律問題亟需解決。)。個人信息的商業運用主要發生在由非國家機關收集個人信息的場合。非國家機關收集個人信息一般都是出于營利目的,非國家機關收集個人信息的營利性就決定其可能在商業利潤的驅使下肆意收集、傳輸個人信息而踐踏個人信息權。為規范非國家機關的信息收集行為和信息利用行為,就需要對非國家機關的信息運用情況有一定的了解。下面就目前幾個典型的涉及個人信息收集和運用的非國家機關對于個人信息的收集和運用情況予以介紹。
及時,網絡商家對于網民個人信息的收集和處理。無論是在線電子交易還是傳統商務經營,企業在激烈的競爭中都學會一項關鍵的營銷策略,即鎖定顧客群體,提供個人導向服務,鞏固消費者與商家自身之間的關系與忠誠度。網絡空間給商家們提供了方便快捷、成本低廉的收集顧客個人信息和挖掘潛在顧客群體的平臺。經營者收集個人資料的方式基本上有兩種:一是消費者主動提供個人信息,二是消費者并沒有主動提供信息,是由網絡商家利用信息技術在消費者不知情的情況下收集個人信息。消費者主動提供個人信息,通常是商務網站以登錄網站、加入會員的例行程序或者提供優惠等方式要求消費者提供個人信息,消費者一般有選擇接受或者拒絕的權利(注:這種方式從程序上看,雖然是尊重了消費者的意愿,屬于個人信息的合理收集,但不排除有些網絡商家在收集過程中,可能會采取一些隱蔽性的欺騙手段;或者雖然賦予消費者選擇接受或者拒絕的權利,商家有時候會通過文字游戲使得消費者忽略該項權利的行使,以默示推定或者行為認可的方式來視為其已經接受;或者收集的信息的使用超越事先保障的范圍,這都在事實上對個人信息權造成侵害。)。個人信息權遭受侵害的較大威脅就是商家未經消費者的同意而利用信息技術收集個人信息的情況,此時的個人信息處于失控的狀態。目前,網絡商家經常通過“網絡小甜餅”(cookies)及其他一些追蹤軟件,來追蹤消費者的網上行為,收集其個人興趣和偏好。利用cookies技術,網站的服務商能夠在消費者訪問網站時,在消費者的電腦中以文本文件的形式設置信息代碼,該信息代碼對于每一個上網的消費者來說都具有性、識別性,而且只有網站服務商才能夠識別。只要消費者隨后再次訪問該站點,就可以被識別出來。網站還可以通過隱藏的導航電子軟件收集被訪問網站的信息,包括哪些網站被訪問,哪些信息被下載,哪種類型的瀏覽器被使用,以及消費者所上過的網站網址[6](P95)。通過網站所記錄的這些信息,我們就能夠知曉該消費者的e-mail、ID號碼、消費習慣、閱讀習慣等興趣和愛好,甚至可以知曉其信用記錄和通信記錄,進一步核證其交際范圍和能力。信息社會中,個人信息是有價的,個人信息的交易也日漸成為一件有利可圖的事情,有些網絡商家除了將這些信息作為自己廣告宣傳和營銷的資源外,還可能將這些資源作為交易的對象。對商家來說,誰掌握的個人信息越多,誰就擁有越多的潛在消費者。因此,眾多商家普遍存在“信息饑渴癥”,不惜通過各種手段來竊取或者購買他人的個人信息。而通過網絡可以低成本獲得個人而詳盡的信息。商家往往對個人信息進行仔細的分析,然后有的放矢,甚至有可能采取有差別的價格,把無差別的產品賣給不同的顧客,如果對這類現象不加以規范,低成本、高利潤的引誘就會使越來越多的商家效仿,個人信息權就無法保障,我們就要遭受大量垃圾信息的干擾。由于個人信息的充分暴露,商家對你的消費情況了如指掌,有時還會使個人遭受網上歧視。當網上企業知道消費者的消費歷史和習慣時,便可以選擇性地服務某些消費者。比如,當網上銷售商通過你的個人信息查知你并不是一個十分闊綽的消費者時,他們會先服務其他人,而要你在客戶服務熱線上久等,你甚至對這種不公平待遇全然不知。有的網絡商家就根據他們所收集的客戶信息,把客戶分成不同等級,而低等級的客戶就只能得到服務。
第二,醫院在提供醫療服務的過程中,收集了大量關于生理、疾病、生育等方面的個人信息。我國現行法律、法規對醫療機構如何處理和對待患者的個人信息缺乏系統完善的規范,僅一句概括式的宣傳意義上的“為患者保密”,這是遠不能適應信息社會發展需要的。尤其是在現代社會,醫療技術日益發達,有些醫療技術的實施可能會影響人倫關系,如人工授精技術雖然解決了因生殖能力所帶來的困擾,但同時也引發了人工授精子女日后可能因為尋找生理父親所可能引發的一系列人倫和法律問題,如實施人工授精技術的醫療機構應該如何記錄和保存該信息,哪些相關人員可以查閱有關信息,由信息泄露所導致的損害應該向誰進行賠償,由誰進行賠償,如何賠償,這些都需要進行規定。再如,現在許多人進行美容整形手術,還有的甚至進行變性手術,實施這些手術的機構是否應該對這些信息進行保密,采取何種措施在多大范圍內進行保密,都是亟需進行研究的問題。現在比較普遍存在的現象是醫療機構將患者的個人信息賣給藥商、保險公司,有的醫院將產婦的信息出售給嬰兒用品公司、奶粉商等,獲得這些信息的商家還可能將這些信息再次整理出售給各級教育培訓機構以及與孩子成長各個階段密切相關的各個商家,個人信息的價值得到了較大限度的挖掘,而我們個人的正常生活將因此受到無窮的干擾。
第三,金融機構和電信機構也是個人信息的匯集地。為保護金融活動參與人的利益,《儲蓄管理條例》、《信用卡業務管理辦法》、《網上證券委托暫行管理辦法》等相關法規都對金融機構的個人信息保密義務作了相應的規定。但這些規定都缺乏操作實效,這些義務的履行有賴于金融機構業務流程的規范,金融工作人員即使泄露信息,也無法查證,而且當事人也很少對金融機構的業務活動是否侵犯其個人金融信息提出疑問。電信機構為社會公眾提供各種電信服務項目,事關通信的機密性,如果電信機構對服務客戶的通信進行收聽、竊聽、存儲或者其他形式的監聽或者監視,將會對客戶的隱私構成巨大的威脅,有時甚至會被有些商家作為不正當競爭的手段使用,比如,某些關鍵性的電話談判,就可能被競爭對手通過監聽的辦法截取,從而先發制人。
綜上所述,我國個人信息的商業運用尚無相關法律法規有效規范,對個人信息權的保護構成巨大的威脅。
三、個人信息商業運用的法律保護
從目前個人信息商業運用的現狀來看,可從以下幾個方面入手,加強對個人信息商業運用的法律保護。
首先,個人信息商業運用的法律保護離不開專門法律的調整,當務之急就是制定個人信息保護法。個人信息保護法的立法原則必須遵循信息社會發展的規律,在保障個人信息自由流通的前提下,對個人信息的商業運用加以合理的限制。很多國際組織認為,個人信息保護原則是個人信息保護法的核心內容(注:經濟合作與發展組織理事會于1980年9月23日通過《關于隱私保護與個人信息跨國流通的指針》,以及聯合國于1990年12月14日通過的《關于自動信息檔案中個人信息的指南》中都持這種看法。)。個人信息的保護原則的重要性可見一斑。綜觀世界個人信息立法較為完善的美國、德國,個人信息的立法一般來說應堅持以下幾個原則:及時,直接原則。即個人信息的收集原則上應堅持向本人收集,間接獲得的個人信息具有獲得上的不正當性,不能夠被利用和處理。第二,目的明確原則。指個人信息收集和利用時必須有明確目的,禁止公務機關和非公務機關超出目的范圍收集、儲存和利用個人信息。第三,安全保護原則。指個人信息的收集和利用主體必須采取相應措施保護個人信息的安全,避免可能發生的個人信息的泄漏、意外滅失和不當使用。第四,公開原則。指對個人信息的收集、利用和處理,一般應保持公開,本人有權利知悉個人信息的收集、利用和處理情況。第五,耕種原則。指為了保護個人信息的完整和正確,本人有權利對個人信息進行適時修正。個人信息保護法還必須明確保護對象,如1990年德國資料法第3條第1項規定:“個人資料是指可以直接或者間接識別自然人的任何資料”。該條規定就將個人資料保護的主體限定于自然人范圍,排除了法人和其他組織。我國個人信息保護法的保護對象也應僅限于自然人(注:僅限于自然人的規定,從表面看起來非常簡單,事實上有關自然人的問題還很多,比如,自然人是否包括死者,是否包括胎兒,以及以后可能出現的克隆人等。),有關法人或者其他組織的信息可以通過商業秘密法和反不正當競爭法予以規制。有關自然人的個人信息應該區分瑣細個人信息和敏感個人信息,并針對各自不同的特點規定不同的收集、利用和處理模式。個人信息法規范的重點應該在于信息收集人、處理人和利用人的權利義務、個人信息權人的權利義務、責任追究機制和賠償標準以及個人信息商業運用的監督機制。
其次,加強業界自律。法律盡管可以規定個人信息應該如何被合法收集和運用,但法律只能夠起到外部約束的作用,很多情況下,侵犯個人信息權的行為仍然防不勝防。ISP業者、征信者、直銷業者以及其他銷售業者等涉及個人信息的行業可以通過訂立行業成員應遵守的收集個人信息應該遵守的行為標準和同業慣例,鼓勵行業成員與消費者個人達成信息處理的契約,根據行業慣例,行業成員應該措辭清楚地在網頁或者明顯的位置公開其信息收集的原則,或者張貼有關的隱私政策,并明確告知個人信息收集和使用的目的,使消費者可以明確自己的信息將得到如何的保護和處理,再來選擇是否提供個人信息。業界自律可以通過取消成員資格或者某種具有商標性質的認證來作為督促或者懲罰手段,來達到約束行業成員自覺遵守個人信息保護的目的。
再次,可以借助市場機制的作用來緩解商家和消費者在個人信息權上的激烈矛盾。由于個人信息保護法實行的是直接原則,未經消費者同意,商家是不能夠收集消費者的個人信息的,然而要直接取得消費者的同意是非常困難的,消費者沒有義務來配合商家的任何商業目的的實現。例如,某全球性公司在一次直銷活動中,消費者較高的回復率僅為52%,且是在以免費電影票吸引消費者回函的情形下才得以達成的(注:詳見王郁琦:《“電腦處理個人資料保護法”與個人資料的商業利用》注釋7,載《信息法務透析》1996年3月。)。所以,商家可以通過提供一些誘因,來吸引消費者提供個人信息,如提供免費閱覽、提供贈品等方式來換取消費者個人信息。在此種情況下,消費者可以認識到自己的個人信息是有經濟價值的,是否通過提供個人信息來換取利益,由自己衡量得失后作出決定。比如,欲出售訂戶名單給廣告業者作郵寄名單的雜志社,就可以擬定兩種不同的訂閱費率供消費者選擇:一種屬于正常費率,適于要求對個人信息予以保密的訂戶;一種是較正常費率更為優惠的費率,適于同意將個人信息作商業利用的訂戶。如果訂戶覺得兩種費率的差價利益大于因信息作為商業利用可能帶來的不便,那他就會選擇后一種優惠費率。相反,如果經驗告訴消費者,個人信息的商業利用會給自己帶來無盡的煩惱,也就是說,信息收集主體沒有嚴格按照保障兌現隱私政策的話,那么,消費者就可能放棄這些優惠而選擇保密個人信息,這樣就不利于信息的自由流通。市場機制的采用一方面有助于克服信息收集的程序困難,同時也給商家提出了更高的要求,必須執行嚴格的隱私政策,才能帶給消費者實際利益并在優勝劣汰的競爭中生存下去。
,必須對消費者進行自我保護教育。通過宣傳和示范,讓廣大的消費者樹立個人信息保護的觀念。在購物時,商家時常要求我們填寫一些有關個人信息的卡片,如姓名、住址、聯系電話等,有的商家甚至要求登記信用卡號、銀行賬號等,并引誘你說是為了便于參加抽獎或者累積積分換獎。此時我們一定要提高警惕,謹慎控制個人信息,要在詳細了解該商家所執行的隱私政策,并確認自己所提供的個人信息能否得到保護的前提下再決定是否提供相關信息。尤其是在網上購物時,盡量選擇訪問個人信息保護比較完善的站點,不輕易泄露個人信息,尤其是信用卡號、銀行賬號以及手機號碼,能夠匿名的盡量匿名,能夠設置密碼的一定要加密,條件允許的情況下,還可以通過采用先進的信息技術建立個人信息的防護屏障。在發生個人信息被侵犯的情況下,要積極主張權利,從而推動個人信息權保護的進程。
個人信息保護論文:個人信息保護行政法論文
一、個人信息行政法保護的內容
(一)個人信息主體的權利
1.信息決定權:在我國,自然人對自己的個人信息享有支配的權力,此權利具有排他性。
2.信息更正權:若信息所有權者發現自己的個人信息存在錯登記或遺漏時,其有權要求相關機構對其個人信息進行及時更正或補充。
3.信息告知權:信息告知權指的是當信息所有者的個人信息被收集后,信息所有者有權知道其個人信息被何種機構或個人所使用、保存,并有權知悉其被收集信息的用途。
4.信息刪除權:當信息所有者脫離該信息管理機構的法律范圍,其有權要求使用主體或管理機構刪除其個人信息。
二、我國個人信息行政法保護中出現的問題
(一)基本原則模糊
目前我國的個人信息行政立法還不夠完善,只有在部分機構的規章制度中體現出保護個人信息的條款,因此,我們要借鑒歐美發達國家的立法觀念,加強對個人信息保護方面的立法力度。
(二)立法模式和法律規范不健全
目前我國在個人信息保護立法模式上,有以下觀念:(1)建議采取綜合性立法模式;(2)建議采取統一的立法模式。在制定個人信息保護法律時,需要依據我國憲法實施,而個人信息卻處于公法與私法間,沒有固定模式對其定位。
我國在個人信息保護方面沒有一個健全的法律體系,部分與其相關的法律條款,一般源于對個人隱私的保護法規,分散性強。因此,我國應加強對個人信息保護的行政立法,不斷完善個人信息保護的法律體系。
三、完善我國個人信息行政法保護制度的措施
(一)確立個人信息行政法保護的基本原則
1.尊重人權原則:我國憲法規定需尊重和保障公民的基本權利,國家機關及其工作人員在工作中需秉承尊重人權的原則,尊重人權在個人信息保護的行政立法中起到的指引作用,同時也保障公民的知悉權,體現出國家在踐行“以人為本”上的力度。
2.保障人權:我國在個人信息行政立法中,主要以維護信息所有者的人格尊嚴為基礎,并切實保障信息主體的各項基本權利,因此,在制定個人信息的保護法律條款時,不得損壞公民的其他權益。
3.比例原則:在個人信息的收集和使用過程中,當個人利益與公眾利益發生沖突時,應按照適度的比例來進行處理,既不過分側重于公眾利益,也不過多偏向于個人利益。
(二)健全相關法律制度
1.完善監督管理制度
建立健全的監督管理制度,充分利用行政機關的權利,保障公民的個人信息權利,維護其個人信息安全,方法有:⑴建立公開透明的監督管理體制,公眾參與個人信息保護的監督,設立熱線電話和和聯網監督渠道;由專門的國家行政機關對相關的信息使用者進行監督,促使其依法辦事、履行相應的義務。
2.完善政府信息公開制度
在個人信息保護上應不斷完善信息公開制度,增加信息的透明度,擴大公眾知悉權,并制定相應的標準,以確保信息在公開透明的情況下也不損害相關人員的個人信息受保護的權利,以便于更好地落實信息公開制度。
3.完善個人信息處罰制度
完善個人信息處罰制度,加強對信息使用主體的監管力度,若信息使用主體在信息操作過程中有違規違法行為,應嚴格按照處罰制度予以處罰,確保個人信息的保護權不被侵害。
四、結語
針對目前我國個人信息行政法保護中存在的不足,我國應加強相關方面的行政立法和完善監督管理體制,設立專門的監督管理機構,進行實時有效的監督。增加個人信息管理的透明度,讓群眾參與監督,運用多種監督管理手段,力求做到公正、公開,確保公民的個人信息受到法律的保護。
作者:朱珈宇 單位:鄭州大學法學院
個人信息保護論文:證券公司在個人信息保護的挑戰與應對
摘要:互聯網和大數據時代給證券公司帶來機遇的同時,也給企業所擁有的用戶個人信息帶來風險。本文結合自身企業實際情況,對個人信息保護過程中存在的問題進行了深入地探討與研究,并對實際工作中開展用戶個人信息保護工作,提出了應對方法。
關鍵詞:信息分類;生命周期;安全意識
引言
隨著社交平臺、電子商務和移動互聯網的發展,數據正充斥著現代生活的每個角落。企業在對用戶提供服務的同時,也擁有了各種各樣的用戶數據。“大數據”時代,證券公司對用戶的個人信息不再只限于單純的收集,我們對海量數據的匯集、挖掘和運用使得個人信息潛在的價值得到二次開發,并在此基礎上得以創新利用,為用戶提供定制化的服務。與此同時,這也不可避免地加大了用戶個人信息泄露的風險。
1證券公司實現個人信息保護面臨的挑戰
結合企業在個人信息保護工作上的實際情況,可以將目前存在的問題歸納為:個人信息“海量化”、泄露途徑“多樣化”、企業及用戶安全意識薄弱等。這些問題給企業的個人信息保護工作帶來了挑戰。
1.1個人信息“海量化”
隨著互聯網金融的迅猛發展,證券公司不再局限于傳統的經紀業務,產品多元化、渠道多樣化,使得證券公司掌握著客戶的各類基本信息、交易數據及后臺服務信息等,且數據呈現爆炸式增長。據統計,在2006年至2015年的這十年間,證券行業總計新增股東賬戶數近1.5億,每年新增股東賬戶數最少也接近500萬戶。證券公司僅在開戶期間所收集的個人信息量就非常巨大,當然這還不包括在用戶經辦其他業務以及進行各類交易時被收集的信息,例如,銀行三方存管信息、股票交易信息等等。每天,有數以萬計的個人信息被記錄到企業的數據庫中,我們根據這些信息為用戶提供各類服務。然而,企業的管理和運維成本始終有限,如果對所有的個人信息采取“一刀切”的方式進行保護,將導致信息保護力度不夠或者企業耗費成本過高。
1.2泄露途徑“多樣化”
近年來,個人信息泄露事件時有發生:12306用戶信息泄露、社保信息泄露、支付寶“安全門”事件、“棱鏡門”事件以及最近的蘋果XCodeGhost后門事件等。Verizon《2014年度數據泄露調查報告》中指出,在調查采樣的10萬次數據泄露安全事件中,92%的攻擊手段都屬于以下九大攻擊手段范疇:人為失誤,例如把郵件發給了錯誤的人;犯罪軟件(各種以控制系統為目的的惡意軟件);內部人員/權限濫用;物理失竊/丟失;Web應用攻擊;DoS拒絕服務攻擊;網絡間諜;POS入侵;支付卡信息竊取。企業網絡所處的環境越來越復雜,安全威脅不斷發展變化,黑客通過應用漏洞、內部、以及第三方受信接入來侵入企業內部,傳統的邊界防御體系架構已經無法抵御多維度的攻擊威脅,企業勢必存在用戶個人信息泄露的風險。
1.3安全意識薄弱
企業缺乏個人信息保護方面的主動性,而用戶自身對個人信息保護意識的淡薄,這些都是導致個人信息的流失原因。
2證券公司個人信息面臨挑戰的應對策略
對于企業個人信息保護工作中面臨的挑戰,可以通過個人信息分類、基于全生命周期的個人信息保護、強化企業安全意識以及完善法規制度等措施進行應對。
2.1個人信息分類
對于個人信息“海量化”所帶來的問題,我們可以從隱私安全與保護成本的角度出發,對用戶個人信息進行分類,進而根據不同需要,對關鍵信息進行重點防護。我們首先要識別用戶個人信息。目前證券公司用戶個人信息類別,見表1。其次,根據信息敏感程度,對證券公司用戶個人信息進行分類。(如表2所示):信息分類是為了根據信息的損失、泄露或無效的敏感程度來組織信息。一旦根據敏感程度對信息分類,企業就能夠決定保護各類信息所需要的安全控制手段。這樣可以確保信息資產得到適當級別的保護,同時分類會指明安全保護的優先順序。
2.2基于全生命周期的個人信息保護
企業在個人信息保護方面投入了大量的資金、人力和時間,然而,我們發現個人信息泄露事件的發生并沒有減少,反而逐年上升。根據統計數據表明,信息泄露途徑不再只局限于來自外部的惡意攻擊,而是呈現“多樣化”趨勢,這就意味著企業需要超越惡意軟件,識別信息泄露的所有階段,建立多方位的個人信息保護體系。2.2.1個人信息生命周期個人信息的本質就是數據,它存在于企業各個業務流程當中。和企業所擁有的其他數據一樣,它是不斷流動的,個人信息泄露的風險存在于其生命周期的每個環節。參照數據生命周期,我們把個人信息生命周期劃分為5個階段:信息收集、信息傳輸、信息存儲、信息使用以及的信息銷毀。2.2.2個人信息保護機制企業個人信息保護機制是基于個人信息的全生命周期來實現的,每個階段的實現措施具體如下:及時階段:個人信息收集階段。個人信息收集是指對個人信息進行獲取并記錄,這個階段的個人信息基本是由用戶本人或企業內部員工手工錄入。在此階段:企業要具有特定、明確、合法的收集目的。收集前,企業應遵從“個人同意”和“公開告知”的原則。特別是針對個人敏感信息和個人隱私信息的收集,要獲得用戶明確授權。增強用戶個人安全意識,避免將個人信息泄露給非授權人員。在信息錄入時,系統應具有合法性驗證的功能,防止個人信息的泄露或篡改。例如,對用戶輸入的信息過濾“&,%,$”等字符,防止SQL注入。第二階段:個人信息傳輸階段。企業應制定相應管理制度,規定只允許個人信息通過特定方式與證券服務和信息服務商之間進行維護,例如,交易所、銀行等。應明確個人信息傳輸的申請和審批流程,明確個人信息接受方,傳輸內容以及傳輸期限等。企業應根據個人信息傳輸的不同階段,需要選擇不同的加密方式。例如,在傳輸前可通過身份認證(口令或數字證書)的方式對參與通信的雙方進行身份鑒別;信息傳輸時,可通過數字簽名的方式對傳輸中的數據流加密,以防止通信線路上的竊聽、泄露、篡改和破壞。針對個人信息的不同分類,選擇不同的加密措施。例如,按照個人信息的敏感程度不同可采用不同的加密方式,甚至對于個人一般信息可以采用明文傳輸的方式。對網絡出口處流量進行監聽,根據信息敏感級別制定相應的告警機制,防止企業敏感信息外傳。第三階段:個人信息存儲階段。個人信息會存儲在網絡內部的系統和設備上,例如,服務器、數據庫、磁盤、存儲設備等,也會以非電子的形式存儲,例如,紙質的用戶業務申請表等。在此階段,企業應確保存儲信息的可用性、完整性和機密性。制定個人信息備份的管理制度。例如,對不同級別的信息采取分級存儲的方式;根據個人信息所在責任部門的要求定期進行備份;對備份的數據定期進行恢復測試,確保個人信息的完整性和可用性。通過網絡分段、周邊安全、計算機控制、工作區隔離以及系統訪問控制、網絡架構、網絡訪問、加密等措施確保企業個人信息的機密性。例如,對進入核心區的人員進行審批,建立出入登記制度;在企業內部對存放在數據庫中的敏感信息進行加密;第四階段:個人信息使用階段企業內部員工、第三方供應商以及用戶本身都可能會使用企業的用戶個人信息,因此在此階段:制定企業個人信息使用的管理制度,以規范企業內部員工和第三方供應商的信息使用行為。制定嚴格的訪問控制,防止未授權的訪問。例如:業務部門制定基于角色的訪問控制,并定期進行權限回顧。針對企業內部人員和第三方供應商制定個人信息使用的申請及審批流程,并在申請中注明使用目標、使用范圍以及使用的期限。對于企業內部員工,通過終端數據防泄密產品,防止員工有意或無疑的信息泄露行為。對企業在測試時使用的個人信息,應進行變形、脫敏處理。在用戶終端上,對臨時留存敏感信息的本地cookies或內存中的內容進行加密,且使用完畢后,本地不保留用戶個人信息等。第五階段:個人信息銷毀階段企業應基于個人信息的分類進行信息銷毀工作:企業應制訂相應的個人信息銷毀的管理制度,例如,在到達個人信息使用期限后,及時回收;對于超過留存期限的電子和非電子化個人信息通過專用技術進行銷毀等。根據策略明確個人信息銷毀的申請和審批流程,并進行完整記錄,以供追溯。采取技術手段對剩余信息進行處理。例如,對于要送出外部修理的設備或待報廢的設備,需在送修或報廢前其上所存在的對個人信息進行銷毀;用戶個人信息所在的存儲空間(硬盤、內存)被釋放或再分配給其他用戶前得到清除。
2.3加強安全意識
企業應建立有效的內部管控機制,通過技術手段、管理手段以及行政手段,對個人信息的收集、傳輸、存儲、使用以及銷毀的全生命周期實施有效地保護,確保用戶個人信息安全。此外,加強企業員工安全意識培訓,建立保護用戶個人信息的企業文化,制訂相應的獎懲制度,提高內部員工的積極性。同時,開展用戶個人安全意識宣導工作。通過營業網點、微信、網站等各類平臺,進行用戶個人信息保護意識的宣傳。在此過程中,適當增加趣味性,互動性,提高用戶的安全防范意識。
3總結和展望
本文對證券公司在進行個人信息保護工作中遇到的問題進行了總結,并對這些問題的對應方法進行了一番探索和研究。當然,若要將這些設想進行落實,需要會經歷一個漫長而又艱巨的過程,在此過程中我們還應考慮如下問題:(1)制度的強制落實。個人信息是證券公司重要的資產,它的泄露將會給企業造成嚴重影響,甚至威脅到企業的生存。證券公司應將個人信息保護納入整個企業信息安全治理工作范疇中,制定明確的個人信息保護的方針、政策,并貫徹落實到日常管理工作中。(2)封閉體系的打破隨著互聯網金融、第三方支付等業務的興起,證券公司不再局限于原有的三方存管封閉體系。個人信息的開放程度越來越高,信息泄露影響的范圍也隨之增大,因此保護個人信息尤為重要。(3)明確信息保護的責任業務部門是用戶個人信息的所有者和使用人,有責任保護這些信息。因此,企業內部對個人信息分類、制度規劃、流程制定等工作應由業務部門完成。IT部門作為個人信息的保管者,基于業務部門的個人信息分類,負責信息的保護和維護工作。IT部門應實施和維護安全控制措施,執行數據的常規備份,定期驗證數據的完整性以及實現企業個人信息安全策略、標準所制定的需求等。(4)應急機制的完善再嚴密的安全體系也不可能保障個人信息的安全,企業應針對個人信息泄露事件應建立完善的應急機制。當發生個人信息泄露事件后,除了對外的公關工作外,更應注重安全事件的追溯,評估事件影響和危害,避免擴大或再次發生。
作者:崔毅然 單位:上海證券有限責任公司
個人信息保護論文:談網絡個人信息保護的法律問題
【內容摘要】伴隨大數據時代的到來,信息化與我們的生活息息相關,網絡是一把雙刃劍,給我們的生活帶來了便利,同時也給我們每一個人的個人信息帶來安全隱患。由于法律的滯后性,我國目前針對網絡個人信息安全尚未有相關立法,但侵害網絡個人信息權的時間與日俱增,方式多種多樣,個人信息主體難以維權,因此網絡個人信息權保護尤為重要。本文從網絡個人信息概念、特征、權利、保護其必要性等問題上進行淺析,并結合實踐中存在的問題提出相關的解決建議。
【關鍵詞】網絡媒體;個人信息;法律保護
一、網絡個人信息的概念及特點
(一)網絡個人信息的概念。在法律用語中網絡個人信息這一詞,每一個國家對其定義的標準并不一樣。雖然這些定義都有著相似之處,如:“個人檔案”、“個人數據”、“個人隱私”等等。“個人數據”、“個人資料”是伴隨著網絡的發展而產生的名詞,它僅代表將某一個人的個人信息數據化,這與個人信息有著不同的涵義與本質。“個人檔案”是一個抽象的概念,包括但不限于個人信息,涉及某一個人的相關信息,如升學、工作等。從立法的角度上講對個人信息的保護,要求將某一個人的個人信息類型化,不容易與其他人的信息混淆。我國個人信息在網絡中主要分為了兩個部分:一是個人基本信息,如:個人的姓名、出生年月、身份證號等信息;二是基于網絡所需個人信息,如:申請微博賬號所需的真實姓名、出生年月、身份證號碼等。綜上所述,網絡個人信息主要是指在網絡中能夠將每個人的個人信息相區別,并且以電子數據、編碼等形式存在互聯網這一載體上并予以保存,這些數據是互聯網用戶使用網絡過程中形成的,是一種以虛擬化和網絡信息化的形式保存的個人信息。(二)網絡個人信息的特點。1.網絡個人信息的形成與網絡密不可分。我們在網絡中申請的微博、微信、QQ、電子郵箱、各種論壇上的用戶名和密碼等,都存在著我們的個人信息,這些都是隨著網絡的發展而產生的,沒有互聯網迅速的發展,網絡上也不會存在某一個人的個人信息,這些信息都存在于各類網絡軟件、網站中,如果這些網絡軟件、網站消失,我們所儲存的網絡個人信息也就隨之消失。2.網絡個人信息通過電子形式存在,且具有可識別性。在網絡迅速發展的環境下,網絡個人信息主要是通過電子數據、電子數碼等形式收集、儲存、傳輸的。在數據化的網絡中,將個人信息通過網絡電子化進行處理,最終形成網絡的個人信息。在虛擬的網絡空間中通過電子化的處理將網絡個人信息變得更為具體使之更容易識別。3.網絡個人信息主體主動提供相關信息。在互聯網使用越來越多的今天,使用支付寶、申請微博、微信、各種論壇用戶名、報名參加某一網絡活動等都需要我們自己將真實姓名、年齡、身份證號碼、電話號碼等個人信息一一填報上去。信息主體并非是受到什么威脅而提供相關個人信息,與之相反信息主體更是積極主動提供相關個人信息。[1]4.網絡個人信息更容易遭受侵害與不可控制。這幾年不斷爆出網絡個人信息被泄露,為什么網絡個人信息會層出不窮地被泄露呢?在網絡并不是很發達的時候反而沒有過多的個人信息泄露呢?在以往個人信息的泄露主要是遭別人盜竊、進行個人信息買賣、監聽監視等不容易被人發現的方法,同樣這樣的方法存在的風險也是極大的。但在今天在通常情況下,日常生活里,對于個人信息的侵犯一般采取盜竊、買賣等較容易被他人察覺的方式,法律風險較大。然而在網絡發達的今天通過網絡個人信息電子數據信息化,我們的網絡個人信息更加透明,個人信息更容易遭到泄露,在網絡環境下個人信息方式十分隱蔽,只需一臺電腦,可以輕松盜取別人的個人信息。對于網絡個人信息數據庫的管理存在缺陷,這樣容易造成網絡個人信息安全事故的發生。[2](三)網絡個人信息享有的權利。個人信息是每一位公民應享有的基本權利,應具有特殊性、多樣性。它主要是由多項權利組成的,主要有:知情權、刪除權、異議更正權、保密請求權等組成,具有多樣性。每一位公民的個人信息都不一樣,具有特殊性。個人信息是個人信息權的權利客體,其權利義務所對應的是個人信息,因此個人信息同樣也具有財產、人格屬性。個人信息權因為具有人格屬性不可轉讓、不可放棄這一特征具有專有性和排他性。在互聯網使用率越來越頻繁,經濟迅速發展,個人信息權越來越突出它的財產性。在網絡數據信息化的今天,個人信息權在遭到侵犯之后,具有突發性、散布速度快等特征。
二、對網絡個人信息權給予法律保護的必要性及存在的問題
(一)法律保護網絡個人信息權的必要性。在網絡迅速發展的今天,使得我們不得不思考每一位公民的個人信息應如何去保護,否則個人信息暴露在互聯網上,公民對自己的個人信息失去了保密性。所以對網絡個人信息權給予法律保護具有必要性。1.給予公民個人信息權法律保護充分體現了公民基本權利的要求。個人信息權具有財產權、人格權。對于公民的財產權、人格權都應受到法律的保護,如個人信息遭到泄露,公民的人格權利益會遭到損害,公民的尊嚴、自由、獨立得不到維護。個人信息具有豐厚的商業價值,以牟利為目的盜取公民個人信息損害個人的財產權益,社會穩定、公民的合法權益都得不到保障。法律給予公民個人信息權的保護是穩定社會安定,保護公民的人格權及財產權不遭到損害。[3]2.電子信息發展的前提是保護個人信息。電子商務已成為現代社會的一種普遍交易形式,買賣雙方在交易過程中堅持著誠信原則,如果消費者或商家的個人信息得不到相關的保護,會造成買賣雙方失去信任,從而導致電子商務得不到有效的發展。同樣,在政府網對個人信息公開沒有相關的準則,個人信息得不到保護,也會導致政府公信力下降,這樣不利于政府開展工作。因此,保護個人信息是電子商務、電子政務發展的前提。3.在我國在保護個人信息權上缺失相關法律法規對其進行保護,使得公民的大量個人信息泄露,這不利于我國網絡個人信息安全的保障,同時也對公民的工作、學習生活造成了很大的影響。在我國只有逐步建立起保護公民個人信息相應的機制,才能更好地促進網絡個人信息得到更好的保護。另外,在國家工作機關中上班的人員,掌握著大量的國家安全信息,這些信息多屬于機密,若是缺乏相應的管理、保護機制,對國家信息會造成不可估量的損失。4.有利于促進國際間的交流合作。如今的國與國之間的交流更加密切,保護個人信息,個人信息權的維護也就顯得尤為的重要。這樣的背景之下,國際交流合作時好時壞與國內立法是否完善息息相關。維護個人信息權的立法完善,有利于個人信息交流更加安全,有助于樹立大國形象,對國際間的交流合作有著重大意義。(二)法律保護個人信息權存在的問題。1.目前在我國對個人信息權沒有一部直接針對個人信息權的法律,更多的法律針對個人信息權是進行間接性的保護。這種對個人信息權的保護更多的是間接性的保護,但這樣缺乏直接性保護個人信息權。間接性保護,主要保護個人信息權的隱私權、人格尊嚴權等方面,但這樣的保護涉及面較窄,可在網絡環境下的個人信息權,涉及范圍大,具有多樣性的特征,以不同的法律間接去保護個人信息權很難做得多方位保護個人信息權。一旦個人信息權遭到破壞,會使權利人受到不可估量的侵害。2.保護個人信息權多分散各個法律法規中,不具有專門、系統性。目前,在我國保護個人信息立法較為分散,再有我國欠缺一個行之有效保護個人信息權的專門體系,這會使個人信息權得不到切實的保護。一旦我國公民的個人信息權受到侵害,爭議矛盾雙方當事人在實踐中很難解決問題。3.法律具有滯后性,隨著互聯網迅速發展,網絡使用越來越多,個人信息權得不到切實有力的保護。目前在我國只有一些分散在不同律法法規中,但在我國尚未出臺一些政策對個人信息權進行保護,也使得一些侵權行為認定責任時困難較大,對個人信息權隱藏了較大的安全隱患,對其救濟和責任都無法解決。在一些網絡經營行業里,大部分的經營商會制定一些企業、部門針對個人信息權的自律性規則與經營性規則,但制定這些相應的規則,缺乏法律保障,致使這些行業自己制定的規則難以發揮其作用,猶如形同虛設。
三、對我國個人信息權予以法律保護的建議
針對網絡個人信息權在實踐中存在的問題,一些國家和地區為了增強網絡個人信息安全的保障,紛紛制定了相關的法律制度,加強個人信息保護、擴大國際間的信息交流。這些國家針對網絡個人信息權的立法模式,每個國家的法系不同,制定的法律也存在著很大的區別。不同國家的立法模式,對我國國內立法都有著不同的啟示。對我國網絡個人信息權的保護,從以下幾個方面著手。及時,在互聯網迅速發展的時代中,應盡快制定出保護網絡個人信息權的法律體系,目前我國并無一部完整的保護個人信息安全、網絡個人信息保護的相關法律法規,只有一些零散的相關規定,法律較為分散。在實踐中可操作性十分低,爭議主體很難解決實踐中遇見的問題。也正是因為這樣,我們才應努力改變現狀,彌補法律存在的不足,完善相關立法。網絡是當今世界交流不可缺少的媒介,想要促進國際間的交流,應在立法中規定增加個人信息安全、流動、傳播等相關條款,維護國際間信息交流的安全,提供一個良好的交流環境。第二,憲法是我國的根本大法,在憲法的第二章中專章規定了“公民的基本權利和義務”,每一個公民的個人信息權進行保護,主要體現在個人的隱私權、人格尊嚴等方面。但本文中所寫的網絡個人信息權的保護,網絡個人信息權的涵蓋的內容較寬泛,僅僅從隱私權、人格尊嚴上去保護,是很難覆蓋全部個人信息權全部的侵權問題。在世界上許多國家將個人信息權作為一項單獨的公民權加以規定,將個人信息權、系統地進行保護。一個國家在國際上的影響力不光是看它的政治、文化、經濟、軍事水平,想要成為國際上的大國,綜合實力很重,保護網絡個人信息權,換個角度更是在保護國際間信息交流的安全。第三,如今互聯網行業越來越多,網絡個人信息的安全問題也是越來越嚴重。完善相關的互聯網行業機制,也日益凸顯出來。為什么要完善互聯網行業機制,主要由于在互聯網中許多網站對網民的個人信息保管不當、竊取個人信息、互聯網行業運用、自律機制不完善,已有機制實施不到位等因素所引起。追溯本源主要是由于我國目前針對網絡個人信息權的保護制度缺失、互聯網對個人信息的泄露缺少強制性的懲罰措施,正因如此造成許多互聯網對網民的個人信息保存并不重視,使得一些不法分子肆意竊取個人信息。第四,我國可以像美國、日本等國家一樣,針對個人信息制定專門法律法規對其進行保護,同時可建立一個第三方專門的執法監督機構,這樣對個人信息相關法律法規的實施和執行情況都由第三方專門的執法機構進行監督并執行。這樣可以有效保護我國網絡個人信息權,從實踐的角度有利于防止網民個人信息被竊取,防范公民的個人信息權遭到侵害。完善第三方監管、執行制度,有利于我國網絡個人信息的管理。
作者:孟丹丹
個人信息保護論文:個人信息網絡安全法律保護分析
【摘要】伴隨著互聯網信息技術及服務逐漸加速社會的質變和轉型,互聯網全球化正在以一個全新的姿態占領成為促進世界經濟和社會發展的的必不可少的砝碼,個人信息網絡安全問題成為了社會關注的焦點。但由于我國缺乏對個人信息網絡安全相關法律保護體制,使得個人信息保護的法律救濟充滿了挑戰。因此本文圍繞個人信息網絡安全中存在的各種法律問題,進而根據現實情況有針對性的從法律和政策的角度提出完善和解決辦法。
【關鍵詞】個人信息;網絡安全;法律問題
前言
對于個人信息的概念界定,目前在國際和國內立法上比較傾向于采用識別法,主要是通過利用個人信息所提供的信號能否可以直接或間接識別出信息主體的的一種識別定義方法。其中詳細包括信息個人的姓名、族別、性別、身高、血型、年齡、身份證號、聯系方式、家庭住址、身體健康狀況、宗教信仰以及網絡使用過程中的IP地址和網銀支付信息等。在我國學術界和立法界對這種以“識別”作為基本要素的個人信息定義方法得到了普遍認可和適用。[1]當前,網絡作為繼報紙、電視、廣播之后出現的一種新型的社會資源。隨著互聯網信息技術日新月異迅猛發展,伴隨而來的計算機網絡安全問題也日益凸顯,在網絡犯罪、網絡病毒、黑客入侵等方面網絡安全問題亟待解決。個人信息安全的問題隨著新興技術的產生發展層出不群,近幾年來,“人肉搜索”和“艷照門”事件不斷引發公眾熱議,帶來十分惡劣的影響,以及關于個人網絡信息的泄密事件頻發,使我國對于個人信息網絡安全問題必須置于一個新高度關注。
一、個人信息網絡安全保護的必要性分析
(一)侵犯主體十分廣泛
個人網絡信息的侵權主體可以包括自然人和單位,而自然人不僅包括民事行為能力人,主體擴大至限制民事行為能力人和無民事行為能力人,較大的區別點即在于不同主體承擔責任的方式不同。這里我們所指的自然人實際上即指網絡使用者,他們主要通過以互聯網為媒介泄露國家或他人信息和秘密竊取、篡改個人信息等方式進行一些侵權行為。此外,還包括網絡服務提供商(InternetServiceProvider,簡稱ISP)和網絡內容提供商(InternetContentProvider,簡稱ICP)兩大主體。網絡服務提供商是指一些大型經營機構主要為互聯網使用者提供信息存儲、傳遞、處理等服務的一些提供商,ISP在中國主要存在的企業形式有中國電信通訊、中國聯通通訊和中國移動通訊。[2]違反限制其行為時就會構成侵權行為的發生:一方面為違反保持中立義務,干涉他人發送、信息獲取的方法。另一方面指違反保密義務,通過利用職務優勢泄露他人信息或者進行商業盈利活動。而網絡內容提供商是指借助互聯網平臺給上網用戶提供具體信息服務的主體,[3]例如,新浪,網易,騰訊、CSDN等網站。它的主要功能是網絡用戶可以通過互聯網媒體平臺進行信息共享以及在ICP管理的域內查詢信息。[4]而ICP在信息時很容易未經信息主體同意將侵犯他人個人信息的內容擅自提供給他人利用。
(二)侵權的客體兼具雙重屬性
雙重屬性即指人格性和財產性。凡是與人格形成與發展相關是都可以構成人格權客體。[5]由于個人信息的獨特性,對人格性理解主要是信息主體的人格尊嚴問題,當個人網絡信息遭到侵權后,間接會到侵犯到網絡用戶的姓名權、隱私權或者名譽權等,實際上對于網絡用戶來說即侵害到其人格權。而信息技術的發展又凸顯了個人信息的財產屬性。一些消費者的個人信息對于商家來說具有潛在的商業機會和利益,因此商家就會利用這種便利借助各種可能的渠道收集并且出售給第三者。尤其是在電子商務和各種社交娛樂方式的出現后,許多人將自己的個人信息到網絡,例如購物網站的聯系方式、注冊聊天交流網站時填寫的興趣愛好和年齡等。一方面,在利益的驅動下,商家為了尋找擴大消費者群體,就會想方設法獲得有利信息;另一方面,當網絡信息提供者ISP和ICP主體就會通過允許他人收集和使用其他人信息使自己獲得經濟利益。
二、我國個人信息網絡安全存在的法律問題
(一)缺乏系統的法律保障
憲法修正案第二十四條明確規定“國家尊重和保護人權”,對個人信息領域的保護實際上就是一種對人權的尊重與保護,它通過規定個人信息主體的權利與義務從而實現憲法對人權的保護,其中詳細確定的知情權、安全保障等一系列內容為個人信息保護提供了方向。目前,很多國家都制定了個人信息保護法,部分國家因為現實需要還制定了專門處理個人信息的單行法。雖然我國也進行了保護個人網絡信息的立法研究,但專門的個人信息保護法卻因為種種原因并沒有出臺,其中齊愛民先生與周漢華先生對于個人信息保護方面先后提出了自己的意見,但結果不容樂觀。在網絡上關于個人信息保護的法律條款就更是少之又少。我國主要通過部分法律法規的條款以及一些網站的隱私保護聲明來實現對個人信息網絡安全的保護。盡管刑法從刑事保護方面對個人信息提供了支撐,但刑法主要針對的是侵犯他人的信息安全已經達到了嚴重危害社會的程度才適用刑法的保護,對情節達不到嚴重標準的,自然無法規制普遍遭遇到的信息泄漏或被他人非法利用的情形。[6]此外,我國法律還存在結構單一的問題,無法應對隨著信息技術的發展產生的新型個人信息的網絡安全問題。因此,缺乏系統的法律保障,使得對個人信息網絡安全得不到應有的保障與救濟。[7]
(二)行業自律規范缺乏強制性
行業自身規范對于個人信息的保護方面發揮著十分重要的作用。個人信息的安全問題主要針對于互聯網行業,其中以騰訊,網易網站為例,在隱私政策保護方面,雖然也對網站在信息處理過程中規定了信息安全和知情同意的相關內容,但在責任劃分方面并沒有具體規定,個人信息泄漏后由誰承擔責任,以及由誰對信息消費者補償的問題仍然沒有解決,即便有行業自律機制,個人信息主體的賠償也無法落實,承擔責任與法律救濟形同虛設。[8]CTOC模式是一種簡單的用戶對用戶的交易模式,指在一個大型交易網站中,有成千上萬的買家和賣家,通過網絡交易平臺進行交易活動,淘寶網和京東網就是典型的代表。但這種模式也存在著弊端,臨時性和買賣雙方身份的隨意性是一個很大的問題,易導致交易的不穩定和出現安全隱患。
(三)刑事程序立法仍需完善
在個人信息網絡安全的保護方面,刑法雖然發揮了其作用,在他人侵犯個人信息網絡安全時,利用刑法的規制方法進行制裁時仍然受到了很多限制,在刑法程序方面,對個人信息網絡犯罪的調查取證程序規定時,并不明確具體,導致對很多個人信息侵權案件的舉證帶來了很多困難。在《公安機關辦理刑事案件程序規定》中,僅僅規定了電子郵件作為扣押書證、物證的范圍,電子郵件實際上只是一種用戶互相交流的方式之一,也是互聯網信息網絡的其中一個功能,因此不論在網絡的調查范圍,還是取證方式上都存在弊端,無法涵蓋所有的網絡用戶的信息傳遞渠道,對于信息網絡犯罪案件中的調查取證問題仍然是一個漏洞。[9]另外,在程序立法方面,與傳統法律相結合的兼容性也不夠,導致刑事程序立法過程中,并沒有很好的結合實際情況,導致出現一個執法過程的真空地帶。
(四)網絡知識產權保護力度不夠
在知識信息時代,知識經濟是以區別于有形資產而存在的以知識和技術作為經濟增長與發展的主推動力的一種經濟形態。知識產權在促進經濟發展方面的作用日益增大,當然必不可少的會成為違法犯罪分子的關注的焦點。目前在我國在著作法保護領域,仍然未提及到數據庫保護。個人網絡信息安全其中很大一部分涉及到知識產權領域,例如著作權、專利權、商標權和地理性標志等。由于網絡發展迅速的特點,網絡的傳輸和儲存過程中勢必會導致很多的作品涉及到作者的信息被復制、篡改等惡意使用行為的出現,大數據時代下,跨境傳輸過程中的個人信息網絡安全也不容小覷。
三、完善我國個人信息網絡安全的建議
(一)加快制定出臺《中華人民共和國個人信息保護法》
隨著互聯網網絡的蓬勃發展,網絡與信息安全領域的法制建設于2014年正式被提上實現“中國夢”的重要議程,互聯網疆域越來越成為了國家安全的重要保護對象,我國與其他國家在共同推進網絡安全領域法制化達成了共識。目前,我國主要應著眼于立足國家網絡安全層面對中國網絡技術的安全保密及其他技術水平的提高進行理性的認識。切實保障國家網絡信息安全是保障個人網絡信息安全的前提,一方面可以通過建立國家信息網絡安全平臺,在法律法規中明確對個人網絡信息安全的具體權利與義務,另一方面從執法和監督兩方面都要緊緊把握從嚴的原則,完善刑事訴訟程序,嚴厲打擊侵犯信息網絡安全的犯罪主體,改進監督管理機制,建立一套公眾參與的高效監管和應急系統。
(二)完善互聯網行業自律
我國互聯網行業主要考慮的是對信息管理者的處理和篩選而忽視了網絡用戶真實利益的實現,缺乏行業自律性。結合國外一些國家的現有法律法規和我國對個人信息保護的現實需要,對于互聯網行業自律可以通過互聯網協會起到一定監督與促進作用:及時,對于互聯網行業的自律規范,可以經過政府信息資源主管部門的審查批準,已獲得更高的審查批準標準,防止信息的濫用。第二,建立適當的評估機構,做到對各大網站不定期定量抽查活動。
(三)完善個人信息網絡安全刑事立法
近幾年,個人信息網絡侵權案件屢屢發生,“人肉搜索”和“艷照門”事件更是數不勝數,嚴重侵犯了個人的隱私權、名譽權等人身權利,因此個人信息的刑事立法迫在眉睫。電子數據的保護應該從它的取證、鑒定到處理都必須要經過嚴格的程序,通過制定個人信息網絡安全刑事立法,一方面對嚴厲打擊個人信息侵權的犯罪主體,減少信息侵權案件的發生,另一方面,通過嚴格的刑事立法,執法人員嚴格執法,防止執法人員肆意濫用權利,借助自身優勢自身侵犯公民權利,公眾參與監督,保障個人信息的在法制保障下真正可以實現多方面的強制保護。
(四)健全知識產權保護及個人數據保護機制
知識產權的保護在很大程度上涉及公民的隱私等各種權利,我國現行法律對與公民的隱私權給予了一定的保護,《中華人民共和國憲法》第四十條明確規定“中華人民共和國公民的通信自由和通信秘密受法律保護”。但是,大數據時代的到來,資源共享的同時大量的個人數據在收集存儲的過程中,個人數據的安全收到了極大的威脅。許多外國國家個人數據的保護對信息數據可以進行再處理,在修改,在信息的源頭提供安全保護,網絡用戶對信息侵權享有要求賠償的權利。[9]我國對于個人信息的網絡安全保護仍然處于空白階段,因此,可以根據我國國情借鑒國外的立法經驗,健全知識產權保護及個人數據保護機制。
作者:潘澤 李維杰 單位:新疆財經大學法學院
個人信息保護論文:云計算對個人信息保護的法律釋解
一、云計算帶來極大的信息自由,同時也帶來了信息安全的不性
21世紀是一個信息時代,人們可以通過互聯網絡獲得極大的信息資源,也可以通過互聯網更加方便快捷的運用信息和傳播信息。根據中國互聯網絡信息中心(CNNIC)2013年1月的《第31次中國互聯網絡發展狀況統計報告》⑤顯示:截至2012年12月底,即時通信用戶規模達4.68億,尤其是手機端即時通信產品不斷創新吸引了大量新的用戶,手機即時通信用戶數為3.52億,令即時通信成為自2011年底以來我國及時大網民上網應用功能;搜索引擎作為中國網民獲取信息的重要工具,其用戶規模已達4.51億,運用手機搜索的用戶數達2.91億,穩居互聯網應用功能第二的位置;我國網絡博客和個人空間用戶數量為3.72億,微博用戶規模為3.09億,其中手機微博用戶規模則高達2.02億,微博除了能傳播信息之外,它還是網民生產信息、獲取信息、評論信息的重要渠道,所以目前許多傳統媒體機構紛紛增加微博平臺作為新型媒體來發聲,可以說微博正在成為網絡輿論信息傳播的重要渠道。云計算技術的運用,給信息時代的加速發展提供了更強的技術力量,增加了更多的動力,使人們可以通過各種互聯網終端獲取更多的信息,也可以更加自由的生產信息、傳播信息、評價信息,它為人們大大提高信息資源的獲取率和利用率的同時,也大大降低了獲取和利用、傳播信息的能源消耗和時間成本,為信息時代的人們帶來了極大的信息自由。但是任何事物都具有兩面性,從云計算誕生的那24小時開始,人們一直對云計算的信息安全性、性充滿疑慮和擔憂。埃森哲績效研究院和中國電子學會云計算專家委員會曾在2010年5月份共同一份名為《中國云計算發展的務實之路》⑥的報告,明確指出安全問題是全球對云計算較大的質疑。近幾年來,云計算服務多次發生服務中斷、數據泄露、系統癱瘓事件。如:2009年2月,谷歌的Gmail電子郵箱爆發全球性故障,服務中斷長達4小時;6月,Rackspace由于供電設備跳閘,備份發電機失效,遭受了嚴重的云服務中斷故障;11月,Rackspace再次發生重大的云服務中斷。2010年1月,的幾乎6萬8千名用戶經歷了至少1個小時的宕機;3月,VMware的合作伙伴Terremark發生了七小時的停機事件;6月,Intuit的在線記賬和開發服務經歷了大崩潰;9月,微軟在美國西部幾周時間內出現至少三次托管服務中斷事件。2011年3月,谷歌大約有15萬Gmail用戶發現自己的所有郵件和聊天記錄被刪除,還有部分用戶發現自己的帳戶被重置;4月,由于EC2業務的漏洞和缺陷,亞馬遜云數據中心服務器大面積宕機,這一事件被認為是亞馬遜史上最為嚴重的云計算安全事件。⑦雖然多次爆發安全事故可以促進云計算技術逐漸成熟,但是這些安全事件導致用戶信息大面積丟失或泄露的嚴重后果,又不得不令人們對云計算服務的安全性打上大大的疑問號。如果云計算服務提供商不能很好的重視和解決信息安全問題,包括用戶個人信息安全的保護問題,將導致用戶對云計算服務的信任度直線下降,遏制云計算事業的持續發展和技術的進步。
二、云計算環境下個人信息保護存在風險的原因分析
上述一系列云計算服務引起的安全事件產生的原因有很多,由于云計算是一項新的計算技術,它必須通過互聯網絡傳遞信息、交換數據,且信息的計算量和交換量都是海量,在現有網絡技術還存在很多不成熟和不完善的情況下,云計算服務系統無法徹底根除軟件和硬件的技術漏洞或缺陷,因此黑客的侵襲,軟硬件的配置錯誤或基礎設施的故障等,都可能成為導致用戶的個人信息安全風險的原因。1.云計算的新型服務模式易導致個人信息泄露2008年8月,在美國拉斯維加斯市舉行的黑帽(BlackHat)技術大會上,美國軍事安全專家格雷格?康蒂(GregConti)表示,“云計算”在給人們帶來巨大便利的同時,該服務中所存在不足也將危及企業用戶和普通網民的隱私安全。⑧“云計算”的服務模式,簡而言之,就是由云計算服務提供商運用云計算技術組建大型數據中心,為用戶(包括各類企業、政府行政機構、事業單位、科研機構以及個人用戶等等)提供云計算服務平臺進行數據存儲、信息交換、軟件測試、硬件設計等任務,因此對于用戶而言,他們在使用云計算服務時,相當于把自己的信息數據交給云計算服務提供商保管,用戶自身難以控制這些數據信息的安全性,依靠云計算服務提供商來保障,這樣的服務模式蘊含著極大的信息安全風險。⑨原因很簡單,用戶將包括商業機密、隱私信息在內的各種數據資料儲存在云服務提供商提供的云端,就如同將自己的錢財珠寶存儲在銀行提供的保險箱里,雖然用戶自己掌握著打開銀行保險箱的鑰匙且有密碼,看似很保險,但也不能排除被盜的風險,一旦這把鑰匙被別人偷了或撿了,或是密碼被人破譯了,保險箱就很可能被別人打開竊走錢財。同理,每個用戶在使用云服務器時是通過用戶名(ID)和密碼進入自己存儲信息的云端,用戶名和密碼就相當于保險箱的鑰匙和口令,一旦被黑客破譯,那么黑客就可以侵入用戶的云端盜取用戶的數據信息,產生一系列嚴重的危害后果,如:個人的信息或隱私被泄露曝光,可能會有各種形式的騷擾甚至是敲詐勒索紛至沓來;企業的商業秘密被竊取,會導致嚴重的經濟損失;還可能導致云服務提供商的服務被攻擊而中斷,用戶無法正常開展業務。例如2011年4月索尼旗下Playsta-tion網站曾遭入侵,黑客侵入索尼公司位于美國的數據服務器,竊取其PS3和音樂、動畫云服務網絡Qriocity用戶登錄的個人信息,受影響用戶多達7700萬人,其中1000萬個人信用卡賬號也存在遭竊可能,涉及57個國家和地區,堪稱世界范圍內迄今為止規模較大個人信息遭竊事件。⑩目前的網絡技術必然存在一定的技術漏洞,要想防御黑客的入侵保障安全幾乎不可能,雖然云計算服務商在不斷開發新的技術來彌補技術漏洞,完善服務模式,但是魔高一尺,道高一丈,黑客也會利用新的技術來開展新的攻擊,云計算服務提供商無法對安全性打包票,無法確保用戶數據不會遭受黑客竊取。因此有人認為“交由第三人代管的信息安全與隱私問題”是云計算時代急需克服的主要難題之一,信息安全成為“云”落地化雨、潤澤全球的一大瓶頸。輯訛輥2.計算機軟件病毒也是云計算環境下造成個人信息不安全的重要因素之一在云計算技術廣泛推廣之時,應特別提防計算機病毒的威脅,因為云計算借助網絡實現信息快速高效的傳播,一旦信息數據被感染了具有破壞性和傳染性的計算機病毒,病毒也很可能在網絡間被迅速復制傳播,令網絡中的所有不具有適當保護措施的計算機中招甚至整個網絡癱瘓,這就是多米諾骨牌效應在云計算系統中的可怕顯現,后果將非常嚴重。另外,云計算的服務終端不僅可以是電腦,也可以是智能手機,現在隨著移動APP程序的下載功能日益豐富,手機病毒也日益豐富起來。很顯然,若計算機病毒侵入存儲海量信息的云計算服務數據中心,將直接導致賬號或密碼被盜,數據信息或隱私泄露,商業秘密被侵犯的涉及面更大,危害性更大。即使計算機采取防火墻等安全保護措施,也未必能避免病毒軟件的侵襲,因此用戶個人信息的泄露很難杜絕。3.云計算系統的硬件設備容易受到外界干擾而導致個人信息不安全云計算系統是由計算機軟硬件組合而成的大型信息系統,信息的傳輸依靠硬件設備的數據線路進行傳播,也依靠信息轉換、識別等系統來進行獲取還原,所以硬件若存在技術缺陷就非常容易導致信息失真、中斷甚至泄露,成為云計算發展的重要技術壁壘。再者,計算機硬件系統若受到自然的或人為的物理破壞(例如地震、海嘯、火災等災害),就很容易受到嚴重干擾甚至被破壞而直接影響系統功能的實現,2011年3月日本發生強烈的9級地震就是典型例子,使大批世界知名IT企業設在日本本土的云計算技術數據中心受到不同程度的損害,直接導致太平洋地區的數據交換被迫中斷,損失高達數十億美元輰訛輥。4.云計算服務提供商缺乏統一的技術標準,技術上的兼容性較差影響個人信息安全技術標準的統一性和兼容性是影響云計算時代的用戶個人信息安全的一大因素,但是由于云計算無論是技術還是產業都仍處于發展的初級階段,對于技術標準的制定雖然全球有50多個標準組織宣布進行云計算開放標準的制定,但由于缺乏主流云服務提供商的參與,云計算的開放標準進展較為緩慢,有關云計算的安全性標準還有待強化和細化。輱訛輥云計算時代的用戶個人信息安全還取決于云計算服務提供商服務的持續性、穩定性,尤其是對于公共云服務而言,如果服務提供商缺乏對用戶個人信息安全保護的意識和相關技術措施的布設,甚至服務提供商監守自盜,利用為用戶提供信息平臺的機會打著安全保護的幌子竊取用戶個人信息,又或者供應商自身無法持續經營而破產或被其他廠商兼并,個人信息能否持續得到保護、如何遷移到新的供應商提供的云端、數據信息遷移到新供應商的云端能否做到技術上的兼容以及能否保障信息的完整性和安全性都將得不到充分保障。
三、云計算技術帶來的個人信息安全問題的法律困境
世界上已有70多個國家或組織專門制定了保護個人信息安全的法律法規,可見,云計算產生的個人信息安全問題已經引起多國的廣泛關注和高度重視。雖然我國涉及到保護個人信息安全的法律法規總數不少,根據工業和信息化部相關人士提供的統計數字,目前我國有近40部法律、30余部法規及近200部規章涉及個人信息保護,其中包括規范互聯網信息規定、醫療信息規定、個人信用管理辦法還有刑法修正案(七)關于侵犯個人信息刑事法律責任的規定等。輳輥訛但這些法律規定普遍存在法律層級太低、適用范圍狹窄、內容分散不成體系、多頭管理權責不明晰、處罰力度不夠、操作性不強等問題,因此這一眾法律法規仍然難以形成堅挺的法盾對個人信息安全提供強有力的法律保護,更遑論在云計算環境下保護個人信息安全的問題具有獨特性和新穎性,相應的法律法規更是缺位。盡管我國現今的個人信息保護面臨非常惡劣的局面,雖經多年的調研、起草、醞釀,但我國的《個人信息保護法》至今始終難以出臺,民眾都非常期待這部法律的盡快出臺。在這部法律的立法過程中,立法者也應充分考慮云計算技術的影響,設定適宜的法律規定滿足云計算時代的需要。云計算對于個人信息安全的司法管轄權提出挑戰。云計算技術較大的一個特點在于數據信息資源存儲在分布全球的各個數據中心,其借助互聯網進行交換和調配,所以數據流動通常是跨越國界的,連云計算服務提供商都不能確切知道某一用戶的信息存在于哪一個具體的數據中心,也就是說,云計算時代的數據交換傳輸隨時都可能是跨區跨境的即時傳播。但每個國家的法律法規都是自成體系,對于網絡監管、數據傳輸、個人信息保護等均具有不同的法律要求,云計算服務提供商提供的服務不可能同時滿足所有國家的法律法規,而且一旦發生個人信息泄露等安全事件,究竟應歸屬哪個國家或地區的法院享有案件的管轄權將成為司法疑難問題。可見,云計算時代不僅需要建立全球性的云計算技術規則和統一標準,還需要建立全球性的適用于云計算發展的法律規則。立法應明確云計算服務提供商、網絡服務提供商等主體對個人信息保護的法律責任。云計算服務提供商在提供服務之前都會與用戶簽訂云計算服務合同,以規范雙方權利和義務,但是云計算服務提供商卻很難在合同中對云計算產生的安全問題作出過多保障與保障,因為從客觀上來說他無法控制甚至知道信息的存儲位置等具體信息,也無法防范黑客侵襲、病毒軟件、硬件破壞等情況所帶來的安全問題,從主觀上來說他也會從利己的角度考慮盡可能規避和減少自己的法律責任,所以法律應該對云計算服務提供商提出對個人信息安全保護的義務要求,明晰其若違反義務要求應承擔的法律責任,以規范這些主體合法合規的提供云計算服務和保護個人信息安全,當然法律也應充分考慮云計算服務模式的特點,不應影響云計算的技術優勢和良性發展。
四、結語
云計算帶來了信息技術的革命,令信息自由有了極大的空間,但是也帶來了很多信息安全的法律問題,對于用戶個人信息的保護提出了極大的挑戰。云計算服務的發展除了應在技術層面更好的填補漏洞,盡量不讓黑客有可乘之機,不受到外界干擾而影響服務的持續性和穩定性,還應該在法律上加強監管,嚴格執行對于個人信息保護的現有法令的同時,還要結合云計算技術發展所帶來的問題進行相應立法,迎合現代云計算技術發展的需要。全球范圍內,多個國家已經針對個人信息保護建立了不同層次的法律法規,雖然不見得非常完備,但也值得我國借鑒和學習,加強對侵犯個人信息違法行為的懲罰力度,建立既有助于云計算的持續發展又能充分保護個人信息安全的良好的法律環境。
作者:廖曉虹 單位:廣東工貿職業技術學院
個人信息保護論文:網絡個人信息民法保護思考
現代計算機技術和互聯網的速猛發展,為網民進行信息交流提供了重要的平臺和渠道,也帶來了日益突出和嚴峻的網絡信息安全問題。其中,網絡個人信息作為重要的信息資源,受到越來越多的關注和重視。近年以來,因網絡個人信息的泄露而引發的電信詐騙案等頻發,使得網絡個人信息保護問題面臨著日益嚴峻的形勢。當公民通過網絡行為享受網絡給自己帶來的便利時,身份、位置、銀行賬號等個人重要信息正被各形各色的采集者獲取,個人留存在網絡上的信息被濫用、被泄露的風險無處不在。因此,加強網絡個人信息保護,已成為擺在民法理論界和實務界面前的一個重要時代課題。
一、加強網絡個人信息安全法律保護的重要性
(一)加強網絡個人信息安全法律保護是依法治國的應有之義黨的十八屆四中全會向全黨和全國各族人民吹響了依法治國的時代號角。當前,全國上下正在大力推進依法治國建設,依法治國必然意味著社會各方面、各領域都要有法可依、有法必依[1]。加強網絡個人信息民法保護,正是要將網絡個人信息安全領域置于法律的規制和保護之下,從而實現網絡個人信息的依法治理,這正是落實依法治國精神的應有之義。(二)加強網絡個人信息安全法律保護是維護網民合法權益的現實需要個人重要信息不但具有人格屬性,而且具有財產屬性。公民依法應享有的重要權利,直接關系著廣大網民的物質和精神利益。加強網絡個人信息安全法律保護,能夠為防范、遏制和打擊網絡個人信息侵權提供法律依據和法律保障,從而有力維護廣大公民尤其是數億中國網民的合法權益。(三)加強網絡個人信息安全法律保護是凈化網絡環境的必然要求在虛擬、混亂、隨意的網絡環境下,公民個人信息安全勢必受到各種侵害的威脅。制定完善法律法規,對網絡個人信息收集、處理、存儲、轉讓、使用等作出明確規定,從而遏制、防范和打擊非法竊取、泄露和濫用網絡個人信息的違法犯罪行為,是法律堅持與時俱進的表現,是凈化當代中國互聯網環境的必然要求,是促進互聯網有序健康長遠發展的必然要求[2]。
二、我國個人信息安全法律保護現狀
(一)我國保護網絡信息安全的法律法規
網絡信息安全問題是現代信息新技術和互聯網發展的產物,是具有技術性、時代性、創新性和緊迫性的社會問題。近年來,公民個人信息過度收集現象時有發生,網絡個人信息泄露事件經常見諸媒體。網絡個人信息安全問題的日益突出,使得國家和社會對加強個人信息安全的呼聲和愿望越來越強烈。我國出臺網絡信息安全保護法規條例比較早,已經有20余年的歷史。1994年,國務院就出臺了《中華人民共和國計算機信息系統安全保護條例》,對經濟建設、尖端科技、國防建設等領域的計算機系統信息安全保護作出了規定;1996年,國務院頒布《中華人民共和國計算機信息網絡國際聯網管理暫行規定》;1997年,公安部出臺《計算機信息網絡國際聯網安全保護辦法》;2000年,國務院出臺《互聯網信息服務管理辦法》,對互聯網信息服務活動進行了規范;2002年,全國人大常委會頒布《關于維護互聯網安全的決定》,規定了破壞互聯網安全的刑事責任;2012年,全國人大常委會出臺《關于加強網絡信息保護的決定》,較為地規定了網絡信息安全保護的相關事項。同時,我國的《民法通則》及相關司法解釋、《侵權責任法》中都通過保護姓名權、肖像權、名譽權、隱私權等方式對公民個人信息進行了法律保護[3]。此外,《消費者權益保護法》《網絡安全法》也對個人信息保護作出了一些原則性規定。例如,《消費者權益保護法》明確規定:“經營者需對消費者個人信息予以保護,收集、使用消費者個人信息必須遵循合法、合理、知情、同意、必要、保密等基本原則,否則應該承擔賠償責任,或進行行政處罰。”以上這些關于網絡信息安全的法律法規和政策規定,為我國實現有效的網絡信息安全管理提供了重要的法律政策基礎。
(二)當前我國在公民個人信息法律保護中存在的問題和不足
1.在民法保護理論上缺失一般人格權基礎一般人格權是網絡個人信息保護的民法基礎。由于受到各種因素影響,我國傳統的民事法律普遍存在重視財產權、輕視人格權的現象,因而對人格權保護的內容規定得比較粗糙和簡單。加之我國不像一些國家那樣,可以通過憲法擴張適用來保護人格權,因此只有通過制定、完善民法來實現對公民個人信息權保護的明確化和具體化。當前,我國民法中關于個人信息保護規定的缺失,使得對網絡個人信息的保護只得通過比照和對屬公民的隱私權來進行救濟,公民個人信息中的財產權屬性得不到有效保障。2.在法律保護手段上存在重刑事輕民事規則的現象計劃經濟時代形成的重視國家和集體利益而輕視私人利益的主流價值和法律傳統,使得我國長期存在重刑事、輕民事的現象。這就導致長期以來對公民個人信息不夠重視,公民個人信息保護民法規范缺失。當公民個人信息受到嚴重侵害時,即使受害者通過各種手段來尋求救濟,施害者最多也只能夠受到刑事處罰或者行政處分,而很少會對信息主體進行財產補償[4]。3.在法律規范內容上缺乏系統性和操作性在當前的民事立法中,多部法律對個人信息保護有所涉及和闡述。但是由于各種原因,到目前為止,我國還沒有出臺專門關于公民網絡信息安全保護的法律,與網絡個人信息民法保護直接相關的法律規定也不太多。按照現行的法律法規,要實現對網絡個人信息的保護,只能分散地從各相關部門法中尋找適用于公民個人信息保護的條款,具有適用不方便、保護力度有限、容易造成拖延等缺點和不足。與發達國家相比,當前我國民法體系中網絡個人信息民法保護的立法體系還不健全,具體表現為:民法缺乏比較實際的原則性條款,在實踐運用中的操作性不強;隨著互聯網和新媒體的快速發展,公民個人在網絡上留下的信息痕跡越來越多,而這些個人信息當前還沒有被納入民法保護內容,使得民法中的信息安全法律體系還很不完善;同時,現行的大部分民事法律僅僅規定了公民具有對個人信息進行保密的義務,但對違反保密規定的法律后果和具體的救濟方式和渠道沒有作出明確規定,使得公民個人信息保護處于無法操作的尷尬境地。4.公民對個人信息安全保護意識較薄弱由于長期以來受到計劃經濟體制輕視私人利益和個人權利的影響,當前我國公民的個人信息安全意識還比較薄弱,缺乏主動利用民法保護個人信息的意識。一些公民個人信息遭受泄露等不法侵害時,不是運用法律武器進行及時保護,而是采取忍氣吞聲、“大事化小”等方式解決,往往助長了侵害人的囂張氣焰,也使得因個人信息被泄露、濫用而引起的電信網絡詐騙刑事案件不斷增多[5]。同時,不少公民對民法的性質、內容等缺乏基本認識和了解,對網絡個人信息的民法保護問題缺乏足夠重視。
三、國外關于個人信息民法保護的立法狀況及經驗
(一)大陸法系國家對公民個人信息保護的立法狀況德國雖然沒有在其《民法典》中設置“隱私權”“個人信息保護權”,但通過頒布《聯邦個人數據保護法》的方式,對公民個人信息進行了統一、充分的保護。日本也沒有在其《民法典》中設置“隱私權”“個人信息保護權”,但在20世紀60年代審理“盛宴之后案件”時將隱私權作為私法予以了確認;2000年,日本制定了《重要基礎設施網絡襲擊對策特別行動計劃》,首次規定了侵犯個人信息需承擔的民事責任;2005年,日本正式出臺《個人信息保護法》,實現了對公民個人信息的基礎性立法保護。
(二)普通法系國家對公民個人信息保護的立法狀況美國是以隱私權為中心實現對個人信息民法保護的,主要采取分散式、部門式立法來保護公民個人信息。1966年頒布的《信息自由法》確立了政府信息公開原則;1977年頒布的《隱私權法案》對聯邦政府的信息處理行為進行了規范;1986年修訂《電子通訊隱私法》,1988年頒布《兒童在線隱私保護法》,分別對電子通訊領域和網絡從業人員的責任進行了規定。英國于1998年頒布《個人數據保護指令》,對個人信息侵權行為進行了有效規制,并設立“數據保護專員”,對法律實施情況進行監督;2005年頒布《信息公開法》,將“數據保護專員”更名為“信息專員”,并進一步細化了其職責[6]。此外,歐盟于1995年通過《歐盟個人數據保護指令》,對個人數據處理中的自然人權利和自由進行保護,成為歐盟對個人信息最基礎的保護性立法。
四、加強我國網絡個人信息民法保護的對策
(一)加強網絡安全法制宣傳,提高公民網絡個人信息安全意識和民法保護意識針對當前我國公民網絡個人信息民法保護意識淡薄的現狀,應借助“全國網絡安全宣傳周”等重要節點,充分利用宣傳欄、電視、廣播等傳統媒體和微博、微信、論壇、手機報等新型網絡媒體,積極開展網絡安全宣傳和依法保護活動。同時,要建立健全網絡安全宣傳體制機制,加強對網絡個人信息民法保護的宣傳工作落實,讓更多的人認識到民法在網絡個人信息保護中的重要作用和價值,并學會在受到不法侵害時如何拿起民法武器來保護自己的合法權益。(二)積極借鑒國外個人信息民法保護先進經驗網絡信息安全和網絡個人信息保護問題已成為全球性的共同問題。在實現個人信息民法保護方面,許多國家進行了大量的立法實踐,積累了一些科學有效的經驗,值得我國借鑒。比如,我國可以積極借鑒德國的統一立法模式,在現有《民法通則》的基礎上,通過制定出臺一部《民法典》作為基礎性的法律,實現對網絡個人信息的民法保護。(三)建立網絡個人信息民法保護體系,完善網絡信息安全法律法規民法是保護網絡個人信息的基礎性法律,是實現個人信息權保護的重要依據和準繩。因此,要進一步增強法治意識,積極適應全球化、信息化、大數據時代所帶來的網絡信息爆炸式增長和多樣化發展趨勢,及時將新出現的網絡信息安全問題納入民法保護范圍之內,不斷建立、完善網絡個人信息民法保護體系,確保各種形式的網絡個人信息保護都有法可依、有法必依[7]。同時,建立完善事前預防和事后救濟相結合的個人信息權保護制度。在事前預防方面,要根據憲法精神和民法基礎,對公民的個人信息權進行確立,為保護網絡個人信息提供有效前提;在事后救濟方面,要進一步明確侵犯網絡個人信息的構成要件、歸責原則、責任承擔方式等,也可以通過簽訂合同的方式對網絡個人信息違約責任進行確認,從而為權利人實現權力救濟提供保障。(四)建立專門的網絡個人信息保護法律法規針對當前我國在網絡個人信息民法保護中存在的法律空白,建議國家積極研究制定專門的《個人信息保護法》,并在其中以單獨章節對網絡個人信息進行專門規定,明確個人信息保護的范圍、信息權利義務主體、個人信息與網絡個人信息侵權的構成要件、責任劃分、救濟方式等,從而有效彌補《民法通則》《侵權責任法》等關于個人信息保護規定原則性強、可操作性差等缺陷,實現對網絡個人信息的有效保護。(五)加強網絡個人信息管理者的行業自律和外部監督要不斷加強對網絡平臺尤其是電商及網店的監管,更要嚴打泄露、出售個人信息等違法行為。首先,建立建全相關的法律法規,對網絡運營商尤其是電商及網絡平臺使用和處理公民個人信息的行為進行有效監管,并充分發揮新聞媒體、輿論的監督作用,將網絡用戶在互聯網消費行為中遇到的具體詐騙范例及時在網絡媒體上公布,讓廣大網絡用戶予以防范。其次,要加大對侵犯網絡用戶個人信息行為的打擊力度,有效震懾違法犯罪行為的發生。監管部門也要進一步落實個人信息保護責任體系,細化、明確處罰標準,依據侵權行為性質、危害程度,讓違法者承擔相應的法律責任。同時,要加強網絡與個人信息的安全管理,建立網絡個人信息侵害投訴舉報機制,營造安全的互聯網環境。
五、結語
隨著計算機、互聯網、物聯網、云計算等信息技術的快速發展,公民通過網絡參與社會經濟活動的各種信息日益增多。這些信息會以電子化、數據化的形式被記錄和存儲,從而形成了大規模、有組織的現代信息網絡體系,把現代信息社會帶入一個前所未有的大數據和互聯網時代,個人信息安全已成為全社會高度關注和亟需解決的重大社會問題,這無疑對網絡個人信息保護帶來了重大挑戰。在網絡化、信息化時代,網絡個人信息被稱作“大數據皇冠上的明珠”。在依法治國背景下,為了對這顆“明珠”進行有效保護,需要立足中國具體國情和時展要求,充分利用法律尤其是民法的力量,積極在制定完善相關的民法體系、加大民法公正執行力方面作出努力,從而為互聯網時代公民個人信息安全提供有效的法律制度保障。
作者:迪力努爾·阿力木 單位:喀什大學
個人信息保護論文:個人信息法律保護困境及對策
摘要:我國法律中明文規定,個人信息權是每個公民應有權利。這體現出了對個人信息的保護,也是維護社會和諧穩定的基本策略。但是,法律中并沒有對個人信息方面制定出較為詳細的法律說明,進而造成了很多個人信息泄露情況頻道發生。因此,完善相關的法律法規,保護個人信息,維護數字信息網絡安全是非常重要的。這不僅能保護公民的個人信息,還能體現出我們政府為民著想的理念。
關鍵詞:個人信息保護;困境;策略
一、引言
上世紀五十年代西方發達國家,已經開始重視個人信息的保護,隨之西方國家頒布了相關的法律法規。我國在人格保護法中將個人信息權著重提出,并制定出有關的法律法規。然而,隨著時代的不斷發展,信息化的快速變化,使得個人信息的保護力不從心。尤其是在網絡的推波助瀾下,個人信息泄露被濫用。如果個人信息被泄露,將會給公民和社會帶來不可估量的后果。
二、個人信息保護存在的困境
(一)信息泄露成產業鏈,犯罪成本低
網絡技術的發展就像是一本雙刃劍,網絡技術的不斷發展為信息泄露提供了平臺。我國現在多地都才用無紙化辦公,許多個人信息都是存在網盤中,不法分子利用超高的網路技術,盜取網盤中信息,公布在網上或是用來進行違法犯罪的勾當。最調查得知,近年來,網絡信息泄露已經成為產業鏈接,在網上搜索關鍵字就能找到諸多的公司為了提供來自全國各地的信息。而且犯罪成本極地低,只需要花幾塊錢到幾十塊錢,就能獲得幾千條信息。
(二)相關政府打擊力度不夠,懲罰程度低
雖然,個人信息泄露的事件不斷發生,但是相關政府對此類犯罪的打擊力度是遠遠不夠的。由于多數信息泄露并沒有帶來太多的經濟損失,當事人也沒有進行報案,相關部門難以對此進行犯罪定義。通過虛擬網絡進行詐騙,或是電話營銷難以找到不法分子。不法分子被逮捕之后,由于其采用多種方式進行犯罪,證據難以采集。因而對這類犯罪的程度是較低的。
(三)公民個人信息保護意識淡泊,不法分子有機可圖
從另一個方面來說,個人信息泄露而導致的事件跟當事人也是有關的。我國多數公民對個人信息的保護處于無意識或是意識淡泊的狀態,這使得更多的不發分子有機可圖。一些公民在網上注冊一些網頁時,沒有注意網頁是否安全,也沒有思考,便將個人的信息填入其中,被相關網頁所截留。
三、個人信息保護的有效性策略
(一)提高對網絡環境的管理
相關部門應該配備最前衛和較高端的科技,這樣可以維護網絡環境的安全。同時,還應招聘一些電腦技術高超的人。具有這兩樣時,一定程度上可以維護個人信息的保護。在網絡環境中,工作人員應該制作一個安全性高的系統,當有人試圖盜取信息或是有人在查詢信息時,系統會自動響起。工作人員立馬對此人進行監督,發現有犯罪跡象時應通知警察。另外,還應對網絡中存在的信息進行自動刪除,對發現有通過網絡進行聯系購買信息的立馬進行打擊。通過網絡,網民注意自己的個人信息,以免被他人利用。
(二)加強對個人信息泄露的打擊力度
政府應完善我國相關的法律法規,在法律上肯定個人信息權的保護。同時,提高對個人信息泄露犯罪的打擊力度,提高犯罪成本。對于這類犯罪的人,判重刑,罰重款。這樣才能讓犯罪分子聞風喪膽,減少這類事件的頻繁發生。如,徐某某事件發生以后,公安機關立即采取措施,全國范圍內逮捕犯罪分子,并給予提供信息的相關人員較高的獎勵。九月底,政府十大電信詐騙案主犯,并在全國范圍內通過新聞媒介的各種載體,將這些電信詐騙犯的所有資料公布在網上,以便廣大人民舉報。從這些事件中可以明顯的看出國家對個人信息保護的重視度,同時從行動上也加強了對犯罪行為的打擊力度。
(三)公民應提供對個人信息保護的意識
政府應大力宣傳,通過傳統媒體和新媒體對此進行循環播放,讓更多的公民有意識保護自身信息。同時,還應教公民如何辨別一些騙局的方式,舉出那些網頁或是場所最容易發生信息泄露的事件。不斷提高公民對個人信息保護的意識,可以減少很多由信息泄露而導致的詐騙。對那些犯罪分子,說不。讓不法分子無法進行詐騙,只有這樣才能清除信息泄露的產業,才能還公民一個更加安全,和諧的社會。
四、結語
總而言之,隨著個人信息不斷泄露,公眾對保護個人信息的保護越來越重視。只有不斷的完善相關的法律法規,政府部門對個人信息的重視,不斷打擊違反分子,采用高科技設備維護信息系統才能從根本上保護個人信息。同時,公民也應提高保護個人信息的意識,遵守社會道德。相信,在不久的將來,個人信息一定會得到保護,我們的社會也更加的和諧。
作者:陳俊宇 單位:廣東金融學院
個人信息保護論文:大數據時代個人信息安全保護探討
摘要:數據引領生活的新變化,我們生活在一個“數據”的時代。但與此同時,大數據在收集、保存、利用等環節中仍存在著許多信息安全風險問題。該文就在大數據下個人信息安全問題提出三種有效保護措施,社會網絡企業的信息安全管理水平,加強立法安全和行業自律,提高用戶信息安全素養。
關鍵詞:大數據;信息安全;保護機制
1引言
“無論你認不認同,大數據時代都已經來臨,并將改變我們的工作和生活”中程院高文院士說。近年來,大數據一直是業界的熱門話題。在2015年5月給國際教育信息化大會的賀信中說,“當今世界,科技進步突飛猛進,互聯網、云計算、大數據等現代信息技術深刻改變著人類的思維、生產、生活、學習方式,深刻展示了世界發展的前景。”世界已經進入數據驅動的時代。我們生活在一個“數據”的時代,我們在網絡上的行為也在不斷地產生數據量,例如淘寶購物,微信朋友圈,網上掛號,都在不斷填充大數據中的數據庫。也可以說大數據已經與我們形影不離。
2大數據的重要性
無論學術界還是產業界都在試圖分析大數據挖掘其潛在價值。據統計,在使用谷歌搜索用戶平均每秒200萬次,用戶數每天在臉譜網上的份額超過40億。同時,其他行業也有大量的數據在不斷地產生。有數據顯示2012年產生了2.7zb的信息量,在其后3年可能會達到8zb的信息量,這將是何等大的數據量。在在大數據環境下,數據成為原材料,已成為一種新型能源,為經濟創造了巨大的價值,促進了創新,提高了生產力和效率,做出了重大貢獻。在中科院視察時就指出“大數據是工業社會的重要資源,數據被誰掌握了,誰也就獲得了優先權,獲得了主動權。”大數據將會是推動社會經濟發展的又一新動力。
2.1大數據影響生活方式
“大數據”并不神秘。事實上,大數據每時每刻都在影響著我們的生活,或許你并不在意它,關注它。但是它確確實實的就在我們的身邊。如今我們生活在一個充滿“數據”的世界,我們的生活在不斷地產生數據,和訪問英國帝國理工學院時,學校贈送給的羊絨披肩就有大數據的功勞,該校用計算機圖像分析技術計算披肩的尺寸。運用大數據的方法學校還為演示分析了“一帶一路”政策的國際影響力,國內人口遷移情況,以及應用大數據進行醫療的推廣等。對這種利用技術幫助人民提高生活質量的做法十分贊賞。我們日常中的各個領域都在使用著大數據。飛機的未來票價走勢可以通過大數據將其預測出來;谷歌使用用戶搜索記錄來判斷美國流感疫情的狀態,比美國疾病預防控制中心的預測早了近兩個星期;股市的表現也可以通過剖析網絡推特來預測未來走勢;實時路況也同樣可以通過大數據來完成;沃爾瑪通過利用大數據來監測自己超市商品的銷售情況,商品的銷售速度,以及各個商品的擺放位置所引起的銷售變化。與此來制定最有利與庫存使用率,銷售數量,大大提高了超市運營效率。這足以反映出大數據對我們帶來影響是多么的巨大。
2.2大數據引領新的發展方向
數據是發展的產物,同時數據也會帶動社會的發展,發展與數據相輔相成,互相促進。大數據時代,數據成為一種生產資料,成為一種稀有資產和新興產業。無論哪個行業和領域都會有數據的產生,而這些數據的統計、分析、挖掘都會創造出意想不到的價值和財富。面對大數據時代,強調:“機遇是短暫的,抓住了就是機遇,抓不住就是挑戰。”
2.3大數據是每個人的大數據
大數據是整個國家的大數據,也是我們每個人的大數據。大數據時代,我們應該擁抱大數據,五年計劃中的提案已經說明了在大數據的到來,必須抓住機遇,抓住大數據、促進大數據的發展,實施大數據國家戰略。創造一個基于大數據的生活,城市。大數據有利于整合與共享管理信息。我們每個人都會因大數據的爆發而受益匪淺。
3大數據帶來的安全風險
科學技術是把雙刃劍,大數據的收集給我們帶來隱形的財富的同時,也在悄悄地給我們帶來信息危機,和對信息保護的挑戰。這是我們不得不面對的問題,也是需要我們亟待解決的問題。如果我們僅僅是沉浸在大數據帶來的利益,而不想面對其帶來的麻煩,日后我們必將會為此受到其懲罰。例如,“棱鏡門”事件更加劇了人們對大數據安全的擔憂,大數據下的信息安全戰爭一定會是不可避免的。大數據威脅的根本原因是歸結到,是在市場經濟和信息社會條件下,用戶的個人信息已經成為其重要的市場資源之一,也就是說,信息對市場來說有剛性需求。這種需求是商業活動和犯罪分子實施的“下游”的犯罪活動。信息泄露的元兇主要是網絡服務商、管理員、網站經營者、黑客、通信運營商。本文將對大數據的安全分析劃分為2個部分,一是擁有數據的組織內部問題;二是數據外部環境。
3.1擁有數據組織的內部環境
3.1.1非人為因素
非人為因素帶來的大數據信息安全主要是指自然因素和網絡本身硬件因素所帶來的信息安全。(1)自然因素自然因素指不可抗力因素包括地震、水災、火災、臺風等。大數據所依賴的服務器一旦出現自然災害,便會導致服務器損壞,嚴重則會導致數據丟失,無法恢復。(2)硬件設備如今已經進入大數據時代,數據量與日俱增,增長迅速。數據的存儲需求越來越大,而硬件存儲不在能滿足要求,都有可能會引起數據的無從存儲,得不到很好的利用,另外系統的漏洞會使數據數據在計算機中存儲的數據風險加大,還有可能會造成計算機服務器的崩潰,造成已存儲數據流失。
3.1.2數據管理問題
大數據時代數據管理對數據安全起著至關重要的作用,數據在收集管理過程中造成的風險主要有操作失誤,惡意泄露兩個方面。(1)操作失誤數據收集之后,數據管理人員面對繁多的數據或多或少會出現操作失誤的情況。或許刪除重要的信息,或許更改重要的信息。面對眾多的數據,操作失誤的情況會各種各樣。這樣勢必會影響數據的完整性。從而影響數據的安全。還有就是組織內部沒有嚴格的管理規章制度,使工作人員工作時沒有規范,造成數據的泄露。(2)惡意泄露組織即使想要保護數據的不外流和用戶的權益不被泄露,但是有時候還是會落入不法分子手中,并且被其濫用,從事不法活動。這樣就會造成客戶信息的泄露。
3.1.3技術漏洞
大數據時代數據的爆炸性增長,現在的技術難以確保大數據被安全的保存,加大數據的安全風險。
3.2數據的外部環境
大數據時代數據安全的外部環境是指除內部環境外有可能因潮流所導致的信息泄露,外部環境主要包括:行業自律,法律法規,黑客攻擊以及用戶自己的個人隱私意識。
3.2.1行業自律和法律法規
行業自律和法律法規也尤為重要,目前,關于信息安全方面的法律法規還沒有健全和完善,這就導致了擁有數據的公司企業利用她們已有的客戶資料進行非法交易,使自己牟利。現在目前約束企業對信息使用的權限,也僅僅是自己公司對自己制定的有利于自己的規章制度,并不能實際有效的對信息實行安全掌控,企業們仍然有可能會為了自己的利益而去肆意出賣用戶信息。也就是說目前還沒有真正有效措施來保護數據安全。這些都使數據安全受到了極大的威脅。
3.2.2黑客攻擊
黑客攻擊也將會是影響大數據的信息安全的重要因素。因為大數據下信息變得越來越重要,黑客受到利益的驅使會去竊取有價值的信息。大數據下,數據的繁多,背景的復雜,組織數據內部的缺陷,都為黑客的攻擊創造了有機可乘的機會。這也就導致了大數據下信息安全的風險加大。
4面對大數據個人信息的保護措施
個人信息保護的挑戰,自古至今都存在著,在大數據的時代下,使個人信息的泄露更加容易,成本更加廉價。已經不再是政府在暗中監視著我們。例如,淘寶監視著我們的購物情況,百度監視著我們的搜索記錄,微信、qq似乎對我們的情況更是了如指掌,在大數據時代下這種情況勢必會加深這種威脅。近年來,非法泄露個人信息,網上詐騙、謠言等現象不勝枚舉,嚴重地影響了我們每個人的生活安寧和生活秩序,甚至還會造成個人的人身財產損失。因此,在大數據時代,我們應該保護好自己的個人信息。
4.1完善相關法律法規
完善大數據時代的法律法規迫在眉睫,必須納入個人信息安全保護的相關法律規定。雖然在2005,已經完成了“個人信息保護法”的專家咨詢,但今天的“個人信息保護法”仍然沒有頒布。所以我們必須加快個人信息保護法的出臺,充分保護個人信息安全。
4.2嚴厲打擊非法竊取個人信息的行為
由于《個人信息保護法》到目前還沒有頒布,所以在大數據的時代下,各種數據發生爆炸性增長,個人信息也發生著空前的泄露。加強嚴厲打擊非法竊取個人信息的行為尤為重要。
4.3健全監督機制
大數據時代,個人的信息是種無形資產。許多企業可能會對保留在其公司的個人信息進行商業化利用,從而泄露用戶的個人信息,侵害用戶權益。因此,建立健全政府的監督機制尤為重要,不容忽視。一是建立監督檢查機構,專門對互聯網的個人信息使用的情況進行監督。二是制定嚴格的監督制度,限制個人信息擁有者對信息的使用權限,嚴格規范個人信息使用的標準,確保個人信息不被肆意使用。
4.4提高自我保護意識
在《個人信息保護法》未出臺,相關法律法規未健全,我們應該提高自己的保護意識,加強自我保護。在網絡上盡量不隨意輸入個人信息,不隨意共享個人信息,刪除跟蹤行為的臨時文件,養成良好習慣。加強日常學習,學習互聯網相關安全知識。提高維權意識,當發現自己的個人信息被泄露時,要及時維權,必要時可采取訴訟手段。5結語安全問題不僅僅是個人問題,企業問題,而是關乎國家的每一個方面,不容忽視。在大數據時代的到來,一方面我們在獲得了巨大收益,另一方面我們也要注意個人信息的安全風險。如何降低安全風險保障自己的個人信息不被泄漏,就要綜合從組織所處的內部環境和外部環境考慮。在自然因素,數據管理,技術漏洞,法律法規,行業自律,黑客攻擊以及個人的安全防范意識等幾個方面來應對風險。
作者:張豪爽 單位:遼寧對外經貿學院
個人信息保護論文:我國個人信息保護相關法律問題探討
摘要:個人信息是依附于自然人的一種可以分辨出個體特征的信息,它主要包括自然人的姓名、性別、地址、工作、家庭等各方面信息。隨著信息社會的到來,人們體驗了越來越多信息社會帶來的便利,但是由于信息泄露帶來的危險事件也是不斷發生,個人信息的安全愈發的重要,因此國家的個人信息的法律保護制度發展意識刻不容緩的事情。
關鍵詞:個人信息;法律保護制度;信息泄露
在如今的信息社會,科技技術迅速發展,信息的傳播也越來越自由,人們在信息高速傳播的現代社會,體驗到了前所未有的便利,但是在這樣方便快捷的外表下,信息安全的問題也必須引起人們的重視。在信息無孔不入的社會里,個人的信息在網絡里就像是沒有上鎖的房子,只要有人用心在獲取他人信息,那么想要得到某個人的個人信息是信手拈來的事情,而且這些被盜取的個人信息往往都用于犯罪事件上。雖然我國對于信息保護法律已經陸續提出大量規范文件,但是與發達國家相比,我國的個人信息保護法仍是沒有形成體系,在現行的法律中存在很多漏洞,這些漏洞會被犯罪分子加以利用盜取他人信息。法律體制不健全,宣傳工作不到位已經成了我國個人信息泄露事件得不到遏制的主要原因,因此我國現在的主要目標就是,制定出一套主要用于個人信息保護方面的法律制度,對我國公民的個人信息進行有效保護,促進信息社會的發展,讓人們真正享受信息社會帶來的便利。
一、個人信息保護的必要性
1.個人信息保護符合保護人格尊嚴的要求
在社會發展過程中,保護人格尊嚴是人類共同的心愿,而個人信息保護符合維護人格尊嚴的要求。在社會中,個人信息是個人扮演一種角色的名片,決定其在社會中的地位。個人與個人信息密不可分,可以借助一些手段來對個人信息進行識別,同時也可以將相關信息碎片結合在一起來對個人信息進行見解的識別,從而更好的了解和掌握某方面的特征。非法對個人信息的收集或泄露,甚至惡意篡改,都將會導致對個人信譽受到威脅,從個影響個人在社會中的地位。因此,要不斷改進和完善相關法律規范,從而實現對個人信息的維護,提高個人的人格尊嚴。
2.個人信息保護符合和諧社會建設的基本要求
和諧社會建設提倡互助、合作和自由,以安全、有序和穩定為基本的表現形式。隨著科學技術和信息社會的不斷發展,致使個人信息被侵害的現象時有發生,令人防不勝防,這種現象嚴重影響了社會的秩序。雖然我國在構建和諧社會的過程中,對個人信息進行了系統的保護,但是需要加強對個人信息保護的法律建設。和諧社會建設要堅持以人為本,以確保個人的信息得到有效的保護,確保個人信息的安全性。
3.個人信息保護滿足信息化社會發展需求
如今,信息作為信息社會發展過程中比較重要的組成部分,對于推動我國經濟社會的發展至關重要。計算機網絡技術的發展,不僅會使信息流通成本大大降低,而且還能為企業帶來較大的經濟效益。但是在產生巨大經濟效益的同時,也會給市場的正常運行帶來一定的挑戰。個人信息保護不僅要求保護個人的基本權利,而且還要確保個人信息的有效流通,從而實現社會的和諧發展。信息化的飛速發展,需要社會各個部門做好個人信息的保護工作,只有這樣才能更好的滿足信息化社會發展需。
4.個人信息保護符合國際貿易的長遠發展需求
經濟一體化已經成為當今世界經濟發展必不可少的一個趨勢,但是在國際貿易往來過程中,會有一些國家為了追求更大的經濟效益而故意的設置貿易壁壘,從而影響國際貿易的長遠發展。現如今國際之間的貿易往來越來越多,而且無隱私即無貿易,這說明國際貿易參與國對國家信息保護提出了極為嚴格的要求。就中國而言,與世界之間的經濟往來越來越多,涉及到的信息交流也越來越多,因此,為了更好的推動國際貿易往來,需要不斷改進和完善個人信息保護法律,為推動國際貿易的長遠發展奠定良好的基礎。
二、我國對個人信息保護的不足
1.個人信息范圍的界定較為模糊
目前,我國對個人信息保護缺乏統一的立法,從而導致個人信息保護界定較為模糊。個人信息的界定并未得到相關部門的批準,而且個人信息在法律上也缺少一個明確的范圍,從而導致商業機構在肆意搜集個人信息,盡可能的逃避自身責任,導致受害者缺少的法律標準進行保護。
2.法律體系不完備
我國對于個人信息的保護缺陷,最突出的問題就在于我國缺少在這方面專門的保護法典,如今,對于個人信息的保護還僅僅局限在民事法律其中的細則對公民個人的肖像權,名譽權,以及個人隱私的保護;在刑事法律方面,也只是僅僅的對出售公民個人信息或非法獲取公民信息有刑事規定。與發達國家相比,我國公民對于個人信息缺乏安全感的主要原因,就是國家尚沒有一部專門的法律和規定可以為公民的個人信息提供法律保護,在公民個人信息得到傷害時,也無法做到有法可依,對于個人信息受到侵犯的事也只能得過且過,無法依法追究責任。
3.對公民應該享受的權益未做規定
公民無疑是應該受到保護的主要對象,但是從我國的法律規定上可以看出,公民對個人的信息擁有多種權利,例如依法對個人信息擁有知情權、異議權、索賠權,最嚴重的是這些權利在我國家的法律里都沒有明確的條文規定,很多犯罪分子就是鉆法律的這個空子,光明正大的對公民的個人信息進行侵犯,在很多案件實例上可以看出,我國公民在個人信息受到侵犯后,也只是要求侵犯方停止侵犯行為,若是想要得到經濟上的賠償,則沒有具體的法律可以保障公民的權益,尤其是網絡詐騙或者是被網絡垃圾信息所滋擾等,也只是對犯罪分子進行刑事處理,被害人則很難得到經濟上的賠償。
4.監管部門手段缺欠
在生活中,在公民個人信息受到侵犯時,由于網絡的信息的數量龐大,而且我國對于個人電腦的IP地址也沒硬性規定,因此在尋找犯罪分子時,監管部門會有捉襟見肘的感覺,基本上犯罪分子會很輕松的逃避法律的調查,目前個人信息受到侵犯的實例越來越多,但是監管部門對于網絡方面監管的人員,遠遠少于其他方面的人員;另一方面由于法律的不健全,導致現在監管部門對于公民個人信息受到侵犯的案件有種無力解決的現狀。
三、法律對個人信息的保護方式
1.實行自由主義對個人信息進行保護
我國由于在個人信息保護法律方面的不健全,所以在這一方面我們要虛心學習國外在這一方面的法律手段,在盡可能的保障信息自由流動的目的下,法律要選擇自由主義原則,這一法則主要保障的是公民的言論自由以及公民對于個人信息的隱私權,公民可以對個人信息進行自由支配相應的就會培養出公民的自我保護意識,減少犯罪分子的可趁之機。2.事前預防方式建立完整的法律制度,把個人信息受到侵犯的事件降低到最少,具體方法就是保障公民隨時都可以對于個人信息依法擁有知情權、同意使用權、更正權、刪除權以及保密權。把這些公民的權利落實到實處,并且設立專門的部門進行監督,保障把公民的個人信息保護在未受侵犯狀態,一旦公民信息受到侵犯,對公民的生活以及利益都是難以彌補的損失,如果這樣的案件被控制在很低的范圍,國家的個人信息保護法律的快速發展以及公民的自我保護意識飛速發展也是可以展望的。
3.事后救濟方式
據調查結果可知,公民的個人信息在受到侵犯時很多人只是口頭抱怨而已,很少會有人在信息泄漏后會主動的去維護自己的公民權益,公民積極的進行對個人信息的維權,才是促進法律健全的主要力量,但是我國目前對于公民個人信息受到侵犯后,處理的手段少之又少,法律方面還僅僅停留在《侵權責任法》的隱私權和《民法通則》中的名譽權的相關規定中,對于公民的維權過程中提供的法律支持非常的不足,因此我國加強完善個人信息受侵犯后的救濟制度是非常有必要的,這是對公民權利有效保障的好方法。
4.提升個人信息保護意識
個人信息兼具個人財產和人身權利的雙重利益,但是當個人信息遭到侵害之后,會產生難以彌補的后果。現階段,越來越多的公民缺乏信息保護觀念,電話號碼隨處留,快遞單據隨手丟,這種觀念會導致信息侵害行為時有發生。因此,要盡可能的提升個人信息保護意識,強化公民的自我保護能力,以達到防患于未然的目的。同時還可以提高公民對自身信息的主動保護,在遇到信息侵害行為時也可以采取有效措施給予解決。總之,在信息社會,信息化的浪潮正在席卷全球,信息傳遞速度加快、信息傳遞方式方便、閱覽信息更加快捷,在方便人們使用的同時,也為犯罪分子盜取個人信息提供了方便,越來越多的侵犯個人信息事件的發生,國家必須開始重視這一方面的事件,個人信息保護法的出臺已經是刻不容緩的事情,相信在各方的共同努力下,我國的個人信息保護一定可以進入更先進的時代。
作者:鞏雪 單位:新疆職業大學旅游與酒店管理學院
個人信息保護論文:社交網絡中用戶個人信息安全保護探討
摘要:當前,智能設備逐漸深入,互聯網技術不斷發展,因特網已經逐漸滲透到我們的日常生活中,成為我們生活的便捷助手。社交網絡就是通過互聯網將全球的個人聯系在一起,組建一個開放性的社交平臺。社交網絡在一定程度上拉近了朋友之間的友誼,與此同時,社交網絡中用戶個人信息的安全受到越來越多人的關注,成為影響互聯網發展的一道屏障,為了保護社交網絡中用戶個人信息安全,本文通過對當前社交網絡個人信息安全現狀進行分析,對當前一些較為流行的互聯網保護措施進行研究,并提出一些保護用戶個人信息安全的措施。
關鍵詞:社交網絡;隱私保護;個人信息安全;信息安全舉措
社交網絡平臺是互聯網應用中非常重要的組成部分,隨著當前科技的發展,移動互聯終端迅速普及,智能手機、移動電腦等設備充實人們的生活。社交平臺為社會上的個人創建了一個平臺,在這個平臺上,用戶可以逐漸發展自己的人脈關系,擴充自己的人脈網絡,尋找曾經的朋友;用戶還可以通過這個平臺分享自己的照片等;還有就是近兩年逐漸流行的朋友圈之間互發紅包等等,通過該平臺逐漸拉近了朋友間的友誼。但是,分享的同時,個人信息也被上傳到網絡平臺,成為一些不法分子注意的對象,近年來,網絡犯罪的比例日益變大,社交網絡中個人信息安全的保護迫在眉睫。
一、社交網絡安全性分析
社交網絡是一種基于因特網的網絡使用方式,它為用戶提供了一個擴充人脈的平臺,在這個平臺上,用戶相當于整個社交網絡中的節點,用戶之間通過交流與溝通,將節點與節點之間的連線越來越復雜,互聯溝通面得到不斷擴展,社交網絡普及面越來越廣闊。當前,Android系統和IOS系統中的聊天通訊應用更新頻率不斷加快,應用軟件層出不窮,因此,為社交網絡的進一步發展和普及提供了良好的條件基礎。因此,未來社交網絡的覆蓋面將會更加廣泛,用戶活躍度將會更加高昂。但是,正是由于社交網絡的開放性,使得網絡上的虛擬人物良莠不齊,相關用戶很難從表面上去進行辨偽,很容易上當受騙;此外,當前許多通訊聊天應用為了實現更加精準化的交友條件選擇,對用戶的個人信息透明化,雖然在一定程度上使得用戶能夠更加輕松的找到自己需要找的人,但是也為網絡犯罪創造了絕佳的搜索平臺;還有,當前許多人過分依賴網絡,為了讓別人相信自己的真實存在,對自己的信息毫無忌憚地展現在社交網絡上,希望通過這種方法來提高自己的空間瀏覽量和關注度,用戶在進行分享的同時,用戶個人的信息有可能會被不法分子所關注,進而進行違法犯罪行為。據調查,2014年我國因網絡犯罪造成的經濟損失將近萬億元人民幣,高達90%的互聯網用戶都受到過網絡犯罪的攻擊。因此,增強社交網絡中用戶個人信息安全保護勢在必行。
二、隱私保護控制方法
為了在社交網絡中保護用戶個人信息安全,許多專家學者提出了許多理論研究,常見的有以下幾種技術:①Sweeney專家提出的K-匿名技術,該技術將用戶信息數據庫的部分信息數據進行泛化處理,使得其中包含個人敏感信息的K個位置的信息數據形成匿名集,進而實現對用戶隱私的保護;②Chen等人提出的生成虛假信息的隱私保護方法,在用戶位置信息的服務器中形成多種不同位置信息,進而使得攻擊者難以正確識別用戶信息;③MatsuuraK和HuangL提出的基于區域劃分的軌跡隱私保護理論,將用戶的軌跡進行分析分類,對用戶經過的敏感區域進行用戶個人信息的保護,防止用戶個人信息的泄漏;④Gabrial提出基于分布式協議的prive方法等等。
三、用戶個人信息安全保護措施
3.1建立健全相關法律條文
在當前法制社會里,通過建立健全對用戶個人信息保護的法律條文非常必要,通過法律保護社交網絡中用戶個人信息安全不受侵犯,是立法機構當前非常緊要的事務。對于當前有些不法分子通過非法手段搜集個人信息,然后通過各種渠道用于違法犯罪的行為,相關法律應該給予嚴懲,對于一些通過設計開發包含有非法搜集個人信息漏洞的應用軟件,然后用于從事非法商業活動的商家個人,相關法律條文也應該嚴厲懲罰。
3.2社交網絡企業加強用戶信息保護管理
社交網絡企業應用實名制注冊,在一定程度上能夠減少不法分子通過注冊一些非法賬號用于網絡詐騙,防止個人信息的泄漏,但是,這種情況下,注冊的用戶需要填寫的信息更為透明化,如果賬號被盜泄漏的信息將會更嚴重。在這種矛盾下,這就需要社交網絡企業加強對用戶信息的保護和管理。通過不斷優化相關軟件應用,對其中的漏洞進行不斷修復升級,提升系統穩定性,運用先進手段對網絡攻擊者進行攔截。
3.3提高社交網絡用戶安全意識
除了需要國家和相關企業提高對用戶個人信息的保護以外,用戶個人也需要了解一些保護個人信息的方法。雖然社交網絡是一個開放性的社交平臺,但相關用戶也不能過于放開自己,將自己的全部信息全盤透露給好友,將自己的一舉一動都分享給好友,這樣就會存在許多安全隱患。所以,作為社交網絡用戶,需要時刻提防社交網絡的局限性,及時對自己的軟件進行升級,完善系統漏洞,對自己的一些敏感性信息有防范保護意識,對自己的信息安全負責。
四、結論
社交網絡有利有弊,它在拉近朋友間距離的同時,也拉近了用戶與網絡犯罪的距離,為了保護社交網絡中用戶個人信息安全,立法機構、相關網絡管理企業、用戶本人都應該具備時刻保護用戶個人信息安全的意識,通過相應的措施不斷完善社交網絡,使得社交網絡平臺更加安全、便捷、實用。
個人信息保護論文:云計算視角個人信息與刑法保護
2006年,Google提出了云計算;而作為現在及未來計算機行業具有重要影響力的新型技術,云計算一直受到計算機業界的重視,并逐漸成為大家追逐的新寵。至目前為止,國際間對于“云計算”的具體定義尚未取得共識[1]。有人認為,云計算“是一種以互聯網為基礎的新的服務模式,通過把互聯網上各種異構或自治的資源組織起來為個人和企業提供按需獲取的計算服務。由于計算資源存在于互聯網上,并且在計算機流程圖中互聯網往往作為一個云狀圖形表達,所以云是各種資源的抽象”[2];或者說,“云計算是通過Internet提供動態的、易擴展的、虛擬化的計算資源的一種計算方式,用戶不需了解‘云’中基礎設施的細節,不必具有相應的專業知識,也無需進行直接地控制”[3]。通過云計算方式來管理信息,優點有五個方面:到期即付模式;實際使用訂購模式;前端電信成本降低;計算資源彈性調配與效益;不分時地,永遠可以取用信息并使用到強大的計算能力。缺點有五個方面:交由第三人代管的信息安全與隱私問題;無法直接對實體的硬件予以管控或取用;對于累贅及企業永續經營信息的管控;無法確知實體信息的實際所在(管轄權歸屬認定)與知識產權權益的界定與維護;與服務提供商之間的定型化契約爭議[4]。可見,“交由第三人代管的信息安全與隱私問題”是云計算時代急需克服的主要難題之一,信息安全成為“云”落地化雨、潤澤全球的一大瓶頸。2011年3月,谷歌郵箱爆發大規模的用戶數據泄漏事件,約15萬Gmail用戶的所有郵件和聊天記錄被刪除,部分用戶的賬戶被重置,谷歌表示受到影響的用戶約為總數的0.08%。同年4月,被認為是亞馬遜史上最為嚴重的云計算安全事件發生,即亞馬遜云數據中心服務器大面積宕機。同時,索尼旗下Playstation網站遭入侵,黑客侵入索尼公司位于美國的數據服務器,竊取其PS3和音樂、動畫云服務網絡Qriocity用戶登錄的個人信息,受影響用戶多達7700萬人,涉及57個國家和地區……毋庸置疑,信息資源是信息社會的核心資源,個人信息是其中非常特殊的一部分,因為它與自然人的人身、財產以及社會管理秩序等密切相關。根據識別性定義,個人信息是指可以直接或間接識別本人的信息的總和,包括一個人生理的、心理的、智力的、個體的、社會的、經濟的、文化的、家庭的等方面[5]。世界上許多國家均已將個人信息納入到法律保護體系之中,主要包括民法、刑法和行政法的保護。由于國家背景、社會環境以及法系傳統等差異,各國對個人信息與隱私的界定區別較大[6],其刑法保護不盡相同,但是力度和范圍都在不斷加大、逐步完善,以解決日益增多的相關法律問題。對于云計算時代個人信息的安全,刑法將起到不可替代的作用。對國內外關于個人信息刑法保護的立法進行比較研究,有利于取長補短,可為我國立法提供借鑒與參考。
一、國外對個人信息刑法保護的典型立法評析
目前,國際上已有的個人信息保護專門立法中,大多規定有多種法律責任。對于刑法責任,這里分別針對歐美與亞洲的典型立法作出評析,以資借鑒。
(一)俄羅斯
俄羅斯于2006年頒布的《個人資料法》第二十四條規定:“在違反本聯邦法律的要求中有過錯的人承擔民事責任、刑事責任、行政責任、紀律責任和俄羅斯聯邦法律規定的其他責任。”該法只作出概括性規定,其中犯罪主體是一般人,主觀方面表現為過錯,此外并沒有詳細規定具體的犯罪行為,顯得過于籠統,操作性較差。《俄羅斯聯邦信息、信息化與信息保護法》第十五條規定了信息資源占有者的義務和責任,第二款為:“依照俄聯邦法律規定,信息資源的占有者違反信息工作規章要承擔法律責任。”第二十四條是保護詢索信息的權益,其中第三款規定了刑事責任:“在非法限制信息詢索和違反信息保護制度上有過錯的國家政權機關、機構的領導人、其他職員,依照刑法、民法和關于行政違法的立法承擔責任。”可見,該法把個人信息作為信息資源的一部分,明確規定“非法限制信息詢索”的犯罪行為和籠統規定“違反信息保護制度”的犯罪行為,主觀方面均要求“過錯”,犯罪主體限制為“國家政權機關、機構的領導人、其他職員”,雖然較《個人資料法》具體一些,但存在犯罪主體范圍小、犯罪行為不具體、主觀方面不等局限,使該法不夠具體、操作性差,預防和打擊個人信息犯罪的作用有限。
(二)日本
2003年頒布的《日本個人信息保護法》中,個人信息“系指與生存著的個人有關的信息中因包含有姓名、出生年月以及其他內容而可以識別出特定個人的部分(包含可以較容易地與其他信息相比照并可以借此識別出特定個人的信息)”,其刑法保護主要體現在第五十六條至第五十九條,內容包括:
(1)犯罪主體是“個人信息處理業者”,即將個人信息數據庫用于其業務的當事人,但是國家機關、地方公共團體、獨立行政法人和對個人權利利益造成危害的可能性較小(從其所處理的個人信息數量及利用方法考慮)且由政令所規定的當事人除外。根據第五十八條,要承擔刑法責任的主體除了當事人本身以外,還包括從業者,即法人(包含規定有代表者或管理人的非法人團體)的代表者、法人或自然人的人、雇員以及其他從業者。
(2)犯罪行為主要是個人信息處理業者違反法律規定的義務行為,包括利用個人信息時超越利用目的之限制的行為、以虛假或其他不正當手段獲取個人信息的行為、獲取個人信息時對利用目的未按要求通知的不作為、違反采取安全管理措施義務的行為、違反對從業者和被委托人實行監督義務的行為、不遵守向第三人提供個人數據的限制規定的行為、違反就所持有之個人數據所涉及事項的公布等義務的行為、違反個人信息公開和訂正等義務的行為、違反個人信息的利用停止等規定的行為、未向主管大臣提交個人信息報告或提供虛假報告的行為。
(3)刑法處罰為6個月以下的徒刑和30萬日元以下的罰金。
(4)刑法保護客體是個人信息數據庫,即包含個人信息的集合物,包括可以利用計算機檢索特定的個人信息的、系統地構成的物品,以及由政令規定的、可以容易地檢索個人信息的、系統地構成的物品。總體來看,《日本個人信息保護法》對個人信息的刑法保護規定比較詳細,易于操作,并且對當事人及其從業者采取雙罰制,有利于實現保護目的。該法不足之處在于:刑罰以罰金刑為主、整體較輕、懲戒力度不大;規制的犯罪行為主要是個人數據庫的二次利用,基本沒有涉及信息的提取、收集等原始獲得行為;保護客體是個人信息數據庫,不包括其他形式的個人信息,失之過窄;對犯罪主觀方面未作規定,過于籠統寬泛。這些將降低犯罪的違法成本,不利于個人信息權益的保護。
(三)美國
美國隱私權法刑事處罰部分規定了三種輕罪,犯罪主體分兩類:機關官員、雇員和任何人;前者的犯罪行為是泄露相關信息材料或不按要求保管檔案系統,后者是以虛假身份向某機關申請得到或得到有關個人的檔案材料;兩類主體的犯罪主觀方面均是明知、故意,刑罰均為輕罪并處5000美元以下罰金。此外,由于美國對個人信息保護采取的是分散立法模式,個人信息的刑法保護主要體現在《公平信用報告法》中。該法針對兩種社會危害性較為嚴重的行為追究刑事責任,其保護對象限于征信機構中的相關信息,主觀方面都要求“明知或故意”:對消費者信息,犯罪行為只包括從征信機構欺詐獲得的行為,主體是任何人,應被單處或并處罰款或兩年以下的監禁;對本征信機構文檔中的信息,犯罪主體限于其職員或雇員,犯罪行為表現為向未被授權接受者提供信息,被單處或并處罰款或2年監禁。可見,美國相關法律對個人信息犯罪的刑事責任雖較日本重些,但也不算嚴厲,尤其是打擊的犯罪行為極其有限,沒有涉及信息的收集、提取階段。當然,這也許是考慮到世界銀行有關專家的提醒:如果強加了太嚴厲的法律職責,可能會產生許多信息主體、授信機構不愿提供信息,而最終損害個人信息管理行業的發展[7]。
隨著信息技術的發展和商業模式的轉變,如何更好地保護互聯網用戶隱私成為美國政府關心的問題。2010年,美國商務部就此啟動評估,征求公眾意見。2012年2月23日,美國政府提出網絡用戶隱私權利法案,并設立了指導方針,要求相關利益方商討制定這一法案的具體執行措施。根據白宮的報告,該法案為保護用戶隱私設定了7項原則,包括:網絡用戶有權控制哪些個人數據可以被收集和使用;有權得到易于理解的有關隱私和安全方面的信息;個人信息被收集、使用、披露的方式必須與用戶提供這些信息的背景相一致;企業必須負責任地使用用戶信息等。谷歌、雅虎、微軟和美國在線在內的眾多互聯網企業已表示將在瀏覽器上使用“不跟蹤”技術,以方便網絡用戶決定是否接受上述公司的追蹤行為。相信不久的將來,針對網絡中個人信息的刑法保護,尤其是為了預防和打擊云計算環境中的個人信息犯罪,更加具體、可操作性強的有力規范將會出臺。
(四)德國
1990年德國的《聯邦數據保護法》在刑事責任方面比美國嚴厲,根據其罰則部分規定[8],表現為:及時,對于個人數據無權限地隨意地進行收集、提供、變更的人,或采取不正當方法提取個人數據者,無論是數據主體自身取得還是他人取得,都要處1年以下有期徒刑或罰金。該規定保護的個人數據范圍和處罰的犯罪主體沒有限制;主觀方面要求很低,只要是“無權限”即可;犯罪行為集中在信息的收集獲取階段,尤其是數據主體為自身取得而不正當提取個人數據的行為也構成犯罪,顯得異常嚴厲,體現了個人信息及其提取的公共性質且不容信息主體濫用的精神。第二,違反正當目的的個人數據接受或提供行為:接受數據的機關或提供個人數據的第三者,如把數據用于正當目的以外,處1年以下有期徒刑或罰金。第三,對非法目的的遏制:犯罪主體是征信機構或接受數據提供的機構,非法目的包括取得非法報酬、為了自身利益或陷害數據主體等,犯罪行為包括數據收集、提供或變更,處罰是2年以下有期徒刑或罰金。第四,對以上行為提起訴訟的,要予以受理,以從程序上保障權利人的救濟、追究犯罪人的責任。第五,對違反秩序的行為進行刑事處罰:沒有對數據主體進行通知的情況、沒有設置數據保護特使的場合、沒有把法律規定的有關征信機構業務等情況向監督官廳進行報告者,無論故意還是過失,都要處以5萬馬克的罰金。可見,德國1990年《聯邦數據保護法》的刑罰制裁涉及面廣、規定細致可行。德國2003年修改的《德國聯邦數據保護法》對侵犯個人數據的行為進行了更為詳細的規定。其中第四十四節規定了相關刑法處罰內容:犯罪主體是一般主體;犯罪主觀方面主要表現為故意,目的是獲取報酬、或者意圖為自己或他人牟取暴利、意圖損害他人利益等;犯罪行為及其客體主要指第四十三節第二款列舉的六種情形,涉及未經授權的收集、處理、恢復、持有和獲取通常情況下無法獲取之個人數據的行為、以虛假陳述的方式騙取非向公眾公開的個人數據之傳輸的行為、違反法律規定向第三方傳輸數據的行為、違反法律規定將某些特征和個人信息相結合的行為。該法的刑罰包括2年以下有期徒刑和罰金刑。第四十四節第二款還明確規定:及時款所規定的犯罪行為只有在有人針對其提出控告的情況下才能對行為人起訴,控告可以由數據主體、負責數據保護的聯邦委員和監督組織提出。可見,該法賦予多種主體以控告權,既可保障數據主體的權利得到及時救濟,也可維護司法公正、保障審判中立。德國《聯邦數據保護法》分別在2001年、2003年和2006年進行了重大修訂,內容均有大幅調整[9]。該法體系完整、結構清晰、規范明確,且根據信息技術和經濟發展的新情況不斷調整,可為立法參考。其中刑法規范確定的個人信息犯罪主體范圍廣泛,犯罪行為清晰詳細,犯罪要件明確,尤其是將犯罪行為延伸到個人信息的收集與獲取階段、同時打擊二次利用,極大地加強了對個人信息主體的保護,值得借鑒。
(五)總結分析
綜上,國際上的立法趨勢是,多數國家和地區對個人信息侵犯行為給予相應的刑法處罰,但因各自經濟發展水平、法律傳統、決策的價值取向等差異,具體規定不相同,甚至區別很大;并由于網絡技術的快速發展與立法滯后的矛盾,導致直接針對網絡中、尤其是云計算技術帶來的個人信息安全的法律保護不理想。總結起來,國外現有的立法主要表現在:一是犯罪主體方面,有一般主體與特殊主體、法人與自然人、單位與職員、公務機關與非公務機關等區分,不同主體涉嫌的犯罪行為及處罰后果也有區別。二是犯罪客體上,一般都以個人信息(數據)為客體,或者區分不同種類和行業的個人信息進行不同規定,也有僅對個人數據庫或個人數據文檔進行保護而不包括所有的、各種形式的個人信息。三是犯罪行為是刑法規范的核心內容,多數立法僅限于規范個人信息的二次利用行為,如泄露、出售、傳輸等,但是德國對收集行為和信息主體自己收集都作出刑法規制,實屬創舉、意義重大。四是犯罪主觀方面,有些立法并未明確規定,僅以“違反法律”作為籠統條件,尚需結合不同法律作出具體分析,而有明確規定的立法多以“故意”、“明知”為要件,打擊面側重于懲戒主觀過錯,對過失犯罪的規定不夠明確。五是刑罰上,種類比較相似,一般都是有期徒刑和罰金刑,但程度有別:日本、美國偏輕,德國則比較嚴厲;另外,日本采取雙罰制,有利于保護個人信息主體的利益。六是對于訴訟性質,有自訴和公訴(如德國)兩種方式,各有優劣,或可互補。
二、我國對個人信息刑法保護的立法與實踐評析
在我國的刑法體系中,可以找到一些直接或間接保護個人信息的法律規定,以及一些典型的司法實踐,對此加以評析,有利于突出優點、發現不足,為有力地保護個人信息和完善立法提供參考。
(一)我國《刑法》的相關規定
我國現行《刑法》中,許多犯罪行為與公民個人信息有著緊密聯系,例如第二百四十五條、第二百四十六條、第二百五十二條等設立的非法搜查罪、侮辱誹謗罪、非法侵入住宅罪和侵犯通信自由罪等,在一定程度和范圍內通過懲罰侵犯公民個人生活安寧權和私人信息保密權的行為,加強了對公民名譽權和隱私權的保護。行為人實施上述犯罪行為的過程中必然會侵犯到公民個人信息,對其處罰也是對公民個人信息的間接刑法保護。但由于立法當時并未考慮到個人信息管理這種特殊經營形態,因而存在欠缺和疏漏,對以上犯罪行為應采取原有規定罪名還是采取侵犯個人信息的罪名也存在諸多爭議,此種方式的個人信息刑法保護也處于名不正言不順的尷尬境地,有待有關專業人士對此深入研究。我國于2009年通過的《刑法修正案(七)》在刑法第二百五十三條后增加了規定,作為第二百五十三條之一:“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,違反國家規定,將本單位在履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人,情節嚴重的,處三年以下有期徒刑或者拘役,并處或者單處罰金。竊取或者以其他方法非法獲取上述信息,情節嚴重的,依照前款的規定處罰。單位犯前兩款罪的,對單位判處罰金,并對其直接負責的主管人員和其他直接責任人員,依照各該款的規定處罰。”至此,我國個人信息刑法保護得以確立,盡管其中仍有不足之處,但畢竟在個人信息刑法保護上向前邁進了重要一步。2011年5月1日起施行的《刑法修正案(八)》并沒有繼續關注個人信息犯罪。但是,隨著云計算的普遍落地應用,原有的個人信息網絡犯罪問題將會被進一步擴大、加重,新的犯罪類型也會逐漸顯現。到時,刑法的進一步修正與個人信息專門保護法的制定及二者之間的銜接又將為社會所關注,而此方面的學術研究與論證也會為修法與立法打下理論基礎。
(二)我國個人信息刑法保護的實證分析
2010年1月3日,因周建平向其他被告人(涉嫌詐騙)非法出售個人信息資料,廣東省珠海市香洲區法院以非法獲取公民個人信息罪判處其有期徒刑一年六個月,并處罰金2000元。此即國內及時起以非法獲取公民個人信息罪定罪的案件,是打擊個人信息出賣泛濫的一劑“猛藥”,令人欣喜[10]。2009年9月,北京民航機關服務局下屬聯營辦的工作人員周廣進利用工作便利,向該聯營辦離職職員李笑辰、甘雪斌提供大量機場工作人員的個人信息;隨后李笑辰、甘雪斌利用這些信息仿造民航機場巴士乘車證1000多張并出售,共獲利20余萬元,被北京市朝陽區人民檢察院提起公訴。這是北京及時起因出賣個人信息被追究刑事責任的案件。以前,類似案件一般會以偽造有價票證罪的共犯來追究犯罪人的刑事責任,但要求有共同主觀故意,如果無法證明周廣進知道李笑辰、甘雪斌利用他透露的個人信息作何用途,就無法追責;現在依據《刑法修正案(七)》出售個人信息罪名,可以直接定罪[11]。可見,《刑法修正案(七)》的實施確實“終結”了肆意盜用公民個人信息而不受刑事處罰的時代,但是兩案中依然存在缺憾,比如:一是犯罪主體限于國家機關或者金融、電信、交通、教育、醫療等單位的工作人員、單位和其直接責任人,打擊范圍較為有限。事實上,隨著經濟的高速發展和網絡技術的不斷進步,個人信息濫用造成的隱患日益嚴重,且常常是被動地、途徑多樣地被他人、他方泄露,比如在銀行、電信等部門或在買車、買房等環節。任何人、任何單位都可能因濫用個人信息而給他人和社會帶來危害。國際立法上,許多立法例都未對犯罪主體進行具體限制,所以我國刑法應擴大犯罪主體范圍。二是在犯罪行為及其環節上,兩案中被追究刑責的都只是“二道販子”,“只管支流,沒抓源頭”,到底是誰首先非法獲得或首先出賣這些個人信息依然懸而未決。根據現有刑法規定,“出售或者非法提供給他人”、“竊取或者以其他方法非法獲取上述信息”之外的非法收集、提取、傳輸、刪除等處理行為,得不到刑罰打擊。信息提取和收集行為是一切個人信息處理行為的源頭,各國法律都規定收集者應當說明自己的身份、征集信息的目的等,禁止采取欺騙、竊取、賄賂、利誘、脅迫、利用計算機網絡侵擾或者其他不正當的方式收集個人信息等,以有效保護信息主體個人信息權。一般認為,采取非法手段收集個人信息本身就是對個人信息權的侵犯,對于嚴重的損害行為,造成嚴重社會危害性的,則有必要對加害人強加刑事責任予以制裁。我國刑法規定在此處的缺憾有待彌補。三是在保護客體上,《刑法修正案(七)》保護的是國家機關與五大行業在履行職責或者提供服務過程中獲得的公民個人信息,對于其他單位和個人以其他渠道和方式獲得的公民個人信息,將得不到該條刑法的保護,范圍偏窄。另外,對個人信息的概念,《刑法》也未作出界定,對此可采《個人信息保護法》界定的概念,但缺憾是我國目前尚無《個人信息保護法》。這點可謂《刑法》的缺陷之一,因為在罪刑法定視野下,不能對概念隨意推定和解釋,因此《個人信息保護法》應當盡早出臺,其中應當對公民個人信息的定義作出明確規定,包括公民個人信息的范圍、內涵、外延等諸多細節方面。四是在犯罪主觀方面,我國并未明確區分故意與過失,較為簡單,對實施相同行為而主觀過錯不同的犯罪,得不到區別懲罰。因此,此方面應該細化規定。
三、我國個人信息刑法保護的加強與完善
大勢所趨的云時代正漸行漸近,不論以何種方式,加強和完善個人信息的刑法保護、保障“云端”的信息安全,是現在和將來相當一段時間的國際性課題。針對我國的現實情況,借鑒其他國家的先進立法,我國個人信息刑法保護的加強與完善,應著重考慮以下幾個方面:
(一)加強網絡與云計算技術的科普宣傳,培養個人信息網絡安全法律意識
盡管對于網絡社會、網絡技術、網絡犯罪等名詞與現象,許多人并不陌生,但是就個人信息本身,尤其是網絡中的個人信息安全,許多人并沒有相關的法律意識。在云計算時代,通過實現IT技術、資源的共享和高度集中使其成為真正的基礎資源,使得普通用戶能夠享用更高端的IT服務,但同時減弱了用戶的控制能力,使云計算個人用戶的數據安全性和隱私保護問題面臨更大的威脅。對此,人們進一步思考到,當自己的數據由第三方托管時,服務商具有數據的優先訪問權,可隨意處置,甚至通過數據挖掘等技術發現可用的私密信息,而這些行為一旦發生,云計算用戶很難發現或追查取證。可見,對個人信息安全,云計算帶來的是空前的挑戰,“預防”遠比“救濟”重要得多,所以應加強網絡用戶個人信息安全法律意識的培養。
(二)完善現有的刑法規范,擴大個人信息的保護面
雖然我國在個人信息刑法保護上邁出了很大一步,但現有的個人信息刑法保護制度仍存在諸多空白和漏洞,規定較少,尚未形成完善的法律保護體系。在尚無專門的《個人信息保護法》時,將個人信息犯罪納入傳統刑法、以修正案的方式進行規范,是現實可行的做法。但是,許多方面需要參考和借鑒其他國家和地區的立法,進一步完善。如上所述,《刑法修正案(七)》不論在打擊的犯罪主體、犯罪行為上,還是在個人信息范圍上,保護都是有限的;同時,其條文規定也不夠細致、,比如,對非法獲取公民個人信息罪要求“情節嚴重”,但目前并無明確的細則規定。
(三)盡快出臺《個人信息保護法》,增大行為人的違法成本
2012年央視“3?15”晚會的現場,公民個人隱私被惡意泄露和濫用的猖獗現象被集中曝光,個人信息保護問題再一次成為社會各界關注的焦點。目前,一些人不怕被追究刑責,除了法律意識淡泊以外,還因為違法成本不大。打擊個人信息犯罪行為不應止于刑罰,還應將行政責任、刑事責任、民事責任三者對接,杜絕個人信息的泄露。從現有立法例來看,一般都將三種法律責任統一規定在個人信息保護的專門法中,便于信息主體的維權與司法的適用。我國保護個人信息的法律仍散見于一些法律、法規及規章中,專門法尚未出臺。個人信息作為法律保護對象,無論是民法保護、行政法保護還是刑法保護,其保護的客體范圍應當一致,《個人信息保護法》中對公民個人信息方面的基本概念和基本問題應有明確而統一的規定,理論上對個人信息權的內容結構、權利義務與責任體系等進行研究[12],在專門法中對云計算、云安全等涉及的個人信息問題作出規定,并在此基礎上完善個人信息的法律保護體系,避免疏漏、落實保護。
(四)加強司法與執法力度,確保個人信息權益的實現
個人信息具有無形、可復制、易傳播等特點,使個人信息違法行為的認定比較困難,尤其是網絡中的個人信息違法犯罪,對司法實踐是一個很大的挑戰。一是取證較難,個人信息的泄露途徑較多,究竟如何被泄露等,調查起來十分困難。二是實踐中非法提供個人信息的犯罪主體比立法廣泛,如各類事務所、職業介紹所、物業管理處等都可能實施相同行為,網絡中的主體因具有虛擬性、跨國界性等,都增加了追究其法律責任的難度。三是管轄困難,個人信息傳播迅速,行為地點多變,致使管轄時確定犯罪地點和管轄地不太容易。因“徒法不足以自行”,沒有司法與執法的有效實施與保護,制定得再好的法律最終也會因毫無威信而被束之高閣,因此,加強立法的同時,還要針對現實中執法困難等問題,加強司法規制與執法力度,從正面鼓勵人們維權、從反面威懾違法犯罪,以達成法治秩序。
個人信息保護論文:個人信息罪及其刑法保護綜述
論文關鍵詞:個人信息刑法保護犯罪
論文內容摘要:本文從學理解釋的角度,對個人信息犯罪構成的有關刑法規定進行了解釋,以有利于司法實踐對個人信息犯罪的認定。
侵犯公民個人信息罪是指侵犯公民個人信息情節嚴重的行為。目前,在我國,非法使用個人信息或非法獲取公民個人信息并以公民個人信息進行非法營利的行為十分猖獗,加強包括刑法在內的一切法律手段對個人信息進行包括是非常必要的。全國人民代表大會常務委員會第七次會議通過了《中華人民共和國刑法修正案(七)》,其中第七條規定重新規定了侵犯公民個人信息罪的內容,是我國加強個人信息法律保護的體現。因此,研討理論上如何解釋刑法修正案(七)第七條具有重要的實踐意義。
侵犯公民個人信息罪的法益
刑法法益就是被犯罪行為所侵害的利益。刑法的目的是保護法益,反過來說明犯罪的本質是侵犯法益。侵犯公民個人信息罪的法益就是公民的個人信息權。個人信息權利是人格權的一部分。某種事物之所以值得刑事法律加以保護必然是其承載了重要的利益。個人信息值得法律加以保護的原因是其承載了重要的人格利益。人的利益或人權是現代法律所保護的重要客體,而人格權又是人權的最為基本的組成部分。就個人信息與人格權相聯系的角度而言,個人信息是人格的外在表現形式,對人格權的侵害往往是通過對個人信息的侵害加以實現的。人格權的內容包括:其一,人格獨立;其二,人格自由;其三,人格尊嚴。個人信息不受他人非法干涉、支配和控制是人格獨立的必然要求。個人信息不受他人非法干涉、支配和控制為人格自由及其自由發展提供了空間,如果個人信息被隨意侵害,人格的自由便無立錐之地。
侵犯公民個人信息罪的客觀要件
根據刑法修正案(七)第七條規定,侵犯個人信息的行為應是出售、非法提供以及非法獲取個人信息。信息控制人只要實施了出售個人信息的行為就構成犯罪,這里法律的規定非常明確,無需進行解釋。但什么是非法提供及非法獲取個人信息?這里需要通過論理解釋進一步明確。非法提供及非法獲取個人信息中的“非法”應當是違反現有法律的規定。雖然我國沒有個人信息方面的基本立法,但是判斷“非法”的法律根據還是存在的。盡管這些法律數量有限,現階段在沒有其他立法的情況下,只能依據這些法律。我國有些法律明確規定了個人信息保護。
侵犯公民個人信息罪的主體
我國刑法修正案(七)第七條分為三款,及時款列明了本罪的主體為國家機關或者金融、電信、交通、教育、醫療等單位的工作人員,第二款并未對犯罪主體作特別規定,而第三款則專門規定了單位犯罪。分析上述刑法修正案(七)的規定,可以認為,本罪及時款規定的犯罪主體為特殊主體,而第二款規定的犯罪主體則是一般主體。在此,需要討論的是,及時款規定的犯罪主體是否僅限于“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員”?應該看到,國家機關或者金融、電信、交通、教育、醫療等單位的工作人員較其他社會人員能更方便、更容易得到公民個人信息,因而他們實施侵犯個人信息行為的可能性更大。
個人信息保護論文:個人信息的法律保護探究論文
關鍵詞:行政主體/個人信息/行政信息/信息公開/個人信息保護法
內容提要:行政主體收集、處理和利用個人信息是一種行政事實行為。我國應盡快制定個人信息保護法,明確信息主體有權要求行政機關不能隨意處理個人信息,公開對其個人信息的收集和利用,規定個人信息保護的范圍、原則、監督和救濟制度。利益衡量是目前協調個人信息保護與行政信息公開的適當方法。
隨著行政權的擴張和行政活動的日益復雜,行政機關通過各種行政活動收集、處理和利用著大量的個人信息,同時也對個人信息構成了極大的威脅。傳統行政信息公開制度的建構只是通過信息公開法中的例外規定來實現對個人信息的保護,忽視了行政機關對個人信息的侵犯。依據聯合國指南規定的“不得用非法或者不合理的方法收集、處理個人信息,也不得以與聯合國憲章的目的和原則相違背的目的利用個人信息”,我國對個人信息的保護制度應當順應歷史潮流作適當調整。
一、行政主體收集、處理和利用個人信息的要件
個人信息是可以識別本人的一切信息的總和。作為管理的基礎、決策的依據,個人信息是政府活動不可或缺的重要資源。行政機關收集、處理和利用個人信息在行政活動中是非常必要的。行政主體對個人信息的收集、處理和利用是行政事實行為。它是行政主體基于職權而實施的,是運用行政權力的結果。由于對個人信息的收集、處理和利用不能產生、變更和消滅行政法律關系,因此它不是行政行為。但是行政主體收集、處理和利用個人信息時仍然要遵循一定的規則,符合特定的條件。
(一)有法律依據行政主體收集、處理和利用個人信息是行政事實行為,從較抽象的角度來講,任何公權力都應以追求公共利益為其目的,如果一個公權力行為不以公共利益為目的,則該行為就失去了正當性基礎。公益是行政作用所無法免于考慮的,國家機關之作為倘若背離公益,將失去其正當性。[1]而判斷行政機關的行為是否符合公共利益,就在于行政機關的行為是否符合憲法和法律。例如,《城市居民低生活保障條例》第7條第2款規定,縣級人民政府民政部門以及街道辦事處和鎮人民政府,為審批城市居民低生活保障待遇的需要,可以通過入戶調查、鄰里訪問以及信函索證等各種方式對申請人的家庭經濟狀況和實際生活水平進行調查核實。申請人及有關單位、組織或者個人都應當接受調查,如實提供有關情況。在此,行政法規授權縣級人民政府民政部門、街道辦事處和鎮人民政府,對城市低保申請人有關經濟狀況和生活水平的個人信息進行收集,以保障履行好行政給付職責,保障城市居民基本生活。
(二)特定的職責事務或特定的社會公共事務管理的目的
《突發公共衛生事件應急條例》第39條第1款規定,醫療衛生機構應當對因突發事件致病的人員提供醫療救護和現場救援,對就診病人必須接診治療,并書寫詳細、完整的病歷記錄,對需要轉送的病人,應當按照規定將病人及其病歷記錄的復印件轉送至接診的或者指定的醫療機構。此時,行政法授權醫療衛生機構收集患者和疑似病人的健康狀況的個人信息,從而能及時地救治病人,有效地控制和消除突發公共事件的危害,保障公眾身體健康和生命安全,履行好維護正常社會秩序的行政職責。特定目的要件蘊含著比例原則的要求。比例原則是大陸法系限制自由裁量權的重要理論。按照一般的理解,比例原則要求手段和目的的協調,嚴格禁止一切為達成目的不擇手段的國家行為。[2]比例原則要求行政機關實施行政行為時,在實現某一目的的各種不同方法中應運用其中最適當的方法;在不違背或減弱所追求目的的效果的前提下,應盡可能地選擇對相對人造成損害最小的方法;行政機關對公民個人利益的干預不得超過實現行政目的所追求的公共利益,兩者之間必須符合比例或者相稱。盡管行政主體收集、處理和利用個人信息有法律的授權,但是法律對行政主體收集、處理和利用個人信息的范圍、條件、程序等方面的規定往往不明確、具體,行政主體在遵守行政法規范的同時也就具有了一定的選擇、裁量的余地。根據比例原則,行政主體為履行特定行政職責而依法收集、處理和利用個人信息時,只能收集履行行政職責的特定目的范圍內的個人信息,不能收集其他不相關的個人信息,不能對收集的個人信息進行特定目的之外的處理和利用。
(三)告知或經個人信息主體的同意
美國隱私權法規定了禁止公開的原則,規定行政機關在公開個人的記錄以前必須首先通知被記錄的人,征求他的意見,在沒有取得個人的書面同意以前不能公開關于他的記錄。有學者認為國家機關的管理性收集行為必須通知個人信息主體,國家機關的服務性收集行為則必須經過資料本人的同意。[3]該觀點認為管理性的收集行為是國家機關履行職責的需要,相對人只有配合的義務而無拒絕的權利,國家行政機關只須履行告知程序即可,包括事前告知和事后告知。行政機關的服務性收集更多地是為私人主體的利益,與公共利益關系不大,應遵循意思自治原則,要有信息主體的同意才能進行。由于收集、處理和利用個人信息對信息主體個人權益關系重大,信息主體的同意原則上應以書面形式作出,以滿足保存和舉證的需要。同時,也應允許特殊情況下非書面的形式。如緊急情況下進行個人信息收集時,可以是口頭同意,事后再補做書面同意。
(四)保障個人信息的正確、完整、近期、安全和隱秘
個人信息反映信息主體的人格形象,不正確、不完整和不時新的個人信息將影響行政決定的正確性和合理性。因此,行政機關在對任何人作決定時,其所運用的檔案的記錄,均應保持正確、完整及近期,以使其在作出決定之時,能合理保障對該個人具有相當的公正性。此外,行政機關應當采取適當的行政性、技術性及物理性保障措施,保障記錄的安全與保密,防止可能對記錄的安全與完整造成的任何潛在的威脅與損害,因為,這些威脅或損害可能會對記錄所涉及的個人造成實質性危害、妨礙、不便或不公正影響。
二、建立我國個人信息的行政法保護制度
(一)制定個人信息保護法是當務之急
行政信息公開法、個人信息保護法和行政程序法是構成行政信息公開制度的主要法律。[4]行政信息公開法適用于全部政府信息,而個人信息保護法只適用于個人信息。信息公開是對社會公眾的公開,而個人信息保護法中的個人信息僅對信息主體公開,對社會公眾則是限制公開。所以,從行政機關將所持有的個人信息對信息主體公開這個角度來說,個人信息保護法屬于行政公開法律范疇。同時,行政機關收集、處理和利用個人信息的整個程序不僅向信息主體而且也向社會公眾公開。傳統的行政信息公開制度在建構上,對個人信息權的保護是作為行政信息公開的例外存在的,側重于從保護個人信息權不被行政機關以外的主體侵犯的角度來規定個人信息不予以公開。隨著行政權的擴張和行政活動的日趨復雜,行政機關對個人活動的控制范圍和對個人提供服務的范圍都達到了前所未有的程度。行政機關通過各種行政活動收集了大量的個人信息,特別是隨著信息技術的發展,行政機關收集、處理和利用個人信息的能力更是空前提高,行政活動對個人信息權已構成極大的威脅。傳統的行政信息公開制度由于忽視行政機關對個人信息的侵犯而需要調整。信息主體有權要求行政機關不能隨意處理個人信息,并要求公開對其個人信息的收集和利用。行政機關處理個人信息的整個程序應該向社會公開。信息技術的發展提高了行政機關行政信息處理的效率,同時也對行政機關的行政信息公開提出了更高的要求。對個人信息的保護也由信息公開法中的例外規定發展為個人信息保護的專項立法。可見,制定個人信息保護法是解決行政信息公開與個人信息權之間的矛盾、完善行政信息公開制度的重要途徑。
(二)個人信息保護與行政信息公開的協調
盡管行政信息公開法和個人信息保護法都屬于行政信息公開法律的范疇。但是,知情權與個人信息權的對立是不可避免的,兩者構成一對矛盾。如何處理它們之間的關系成為必須解決的實際問題。
利益衡量的方法不失為解決個人信息權與知情權的沖突的明智之舉。協調兩種權利的沖突就必須解決好不同利益之間的關系,即在公眾的了解利益和個人信息的人格利益之間進行取舍。適用利益衡量方法的前提是兩種利益互為矛盾,其中一方面利益的實現可能導致另一方面利益的減損。利益衡量的方法通過對兩種利益的估量和平衡,選擇價值更高的利益。如果公眾的了解利益比個人信息之上的人格利益明顯重要,則行政機關就應該公開其掌握的個人信息,反之則不予公開。根據個別比較衡量論,當個人信息權與知情權兩種價值發生沖突時,依據具體個案,分析公民了解的利益和個人信息之上的人格利益所受到的損害,將二者衡量比較,當保護前者利益較大時承認公民的知情權;當保護后者所獲利益較大時尊重個人信息權。個別比較平衡論中標準的隨意性過大而顯不足。界限確定衡量論認為,知情權是價值,保障公民對國家政治信息的知情權占首要地位;而其他人權是相對價值,其自由可以在一定程度上予以限制。[5]該理論是基于對權利本質的分析。從權利本質上看,個人信息權是一項民事權利,它通過賦予信息主體支配與控制其個人信息的權利來保護信息主體存之于個人信息上的人格利益。知情權主要是一種政治權利和社會權利,與行政信息公開制度相關的知情權更表現出政治權利的屬性。在現代社會,隨著民主政治的發展,公民對政治的參與度日益提高,知情權所體現的是公益性,它要求整個社會更加透明和開放,要求人們能有更多的機會了解和參與政治,而個人信息權具有個人性,與公共利益無關。因此,在知情權與個人信息權的對抗中,由于前者代表了社會公共利益、體現了更高的利益價值而占據上風。當某項個人信息涉及到公共利益時,對個人信息權進行限制、將個人信息予以公開則成為必然。當然,對公民知情權的優先考慮并不意味著漠視個人信息權。當個人信息的公開純屬滿足個人的需要而與公共利益無關時,應該適當保護個人信息權而犧牲知情權。
三)通過立法完善我國的個人信息保護制度
美國將個人信息劃分為公共領域和非公共領域分別進行保護,公共領域的立法主要是規制政府收集、處理和利用個人信息的行為,防止政府對個人信息隱私權的侵犯;在非公共領域,各行業和領域中的個人信息分別由不同的聯邦法規通過普通法和侵權行為法予以保護,同時以建議性的行業指引、網絡隱私認證計劃、技術保護等行業自律形式增強個人信息保護的針對性。[6]這種模式盡管有其優點,但存在不足:分散立法易導致欠缺整體規劃,法治不統一,司法不協調;行業規范缺乏國家強制力的保障,實施效果不理想;普遍性不足,很多企業游離于行業規范之外;投訴和爭端解決機制不完善。同時,美國的行業自律是建立在行業組織高度發達且與政府互動明顯的基礎上。我國顯無這一基礎,故行業自律模式不符我國國情。多數歐洲國家則認為盡管政府機關收集、處理和利用個人信息時與非政府機關存在一些不同的行為規則,但是仍存在許多共性,而且公私領域在保護個人信息權的價值目標上是一致的,也都遵循同樣的基本原則,因此通過制定專門的個人信息保護的單行法,對公、私領域中的個人信息保護進行統一規范。結合我國的法律體制和法律傳統,我國的個人信息保護應借鑒歐洲國家的立法模式,進行統一規范、統一立法,主要內容應包括個人信息的一般規定,個人信息保護的基本原則,國家機關、非國家機關對個人信息的收集、處理和利用,以及監督和救濟等方面。尤其應該注意以下問題:
1.個人信息保護的范圍
法律保護的范圍應及于一切個人信息。在過去手工收集和處理個人信息的技術條件下,個人信息受到的威脅并不突出。隨著計算機技術的發展和互聯網技術的應用,這種威脅已變得十分現實和嚴重。因此,不少有關個人信息保護的立法僅對電腦處理的個人信息進行規范,如美國、英國、日本、我國臺灣地區等。而一些國家的立法則對自動化處理與人工處理的個人信息進行同時規范,如德國、荷蘭等。筆者認為,盡管電腦處理的個人信息更容易受到侵害,但不能因此而忽視人工處理和半自動系統處理的個人信息。個人信息立法應給以個人信息保護。
2.個人信息保護的基本原則
我國的個人信息保護法也應明確規定個人信息保護的基本原則,作為個人信息保護法的指導思想,同時也用來彌補具體規則的不足。借鑒國際立法經驗,個人信息保護法總體上應體現合法兼正當的原則,具體應規定以下原則:
(1)合法原則。行政主體行為的目的、方式、程序、內容均不能違反法律的規定。
(2)直接收集原則。個人信息的收集,原則上應該直接向信息主體收集。現代信息技術使得對個人信息的收集具有隱蔽性,該原則有利于實現信息主體對其個人信息的直接支配和控制。這是個人信息決定權的要求,同時也有利于信息主體獲得知悉權。
(3)目的明確原則。個人信息在收集時必須有明確的目的,禁止超出目的范圍而收集、處理和利用個人信息。對于行政機關來說,必須在行使行政職權、履行行政職責所需的目的范圍內收集、處理和利用個人信息。行政機關應告知信息主體信息收集的目的。
(4)公開原則。一般應對個人信息的收集、處理和利用保持公開,使信息主體了解其個人信息被收集、處理和利用的情況。當然,“公開”并非指將個人信息的內容向公眾公開,而是指將個人信息的收集、處理和利用的情況向信息主體公開,否則將違背個人信息保護的目的。
(5)完整正確原則。信息處理主體應保持所持有的個人信息的完整、和時新,信息主體對錯誤、有瑕疵的個人信息有要求更正的權利。當然,信息主體的更正權僅在于維護其個人信息的正確、完整與時新,其行使更正權的程序與內容應當受到適當的限制。
(6)安全原則。行政主體應采取安全保護措施,防止個人信息泄露、滅失和不正當使用。
3.個人信息保護的監督機關
個人信息保護監督機關的設置有獨立的監督機關和原行政機關自行監督兩種情形。法律授權的獨立監督機構固然有利于個人信息保護監督職責的履行,但設置新的機構涉及機構和人員的編制,需要必須的工作條件和經費,這顯然不符合機構精簡的原則,與我國行政管理體制改革的方向不符。而由原行政機關自行監督,屬于行為主體自己行為自己監督,其不足亦是顯而易見的。為解決這一問題,可以立足于我國現有的行政復議制度,把行政復議機關作為個人信息保護監督機關,賦予其相應的職權。行政復議本身具有監督行政的屬性,行政復議機關一般是作為被申請人的行政機關的上一級機關或所屬的一級政府,行政復議機關與作為被申請人的行政機關是一種領導與被領導的關系,或者是業務指導、主管的關系。因此,由信息處理主體的行政復議機關進行個人信息保護的監督,比信息處理主體的自行監督會有更好的效果。依《行政復議法》的規定,由行政復議機關的內部機構履行復議職責。而實踐中,一級政府和政府工作部門分別由其法制部門和內部的法制機構具體履行復議職責。復議機構工作人員的相對專業性和專職性也有利于其勝任個人信息保護的監督工作。結合各國個人信息保護法的規定,我國個人信息保護監督機關的職責應包括以下內容:對個人信息保護法的執行進行一般性監督;進行個人信息保護的研究和咨詢;并定期提交工作報告。
4.對信息主體的救濟
“無救濟則無權利”。要使信息主體的合法權利切實得到維護,則個人信息保護法中應明確對信息主體的救濟。例如,應當明確規定,信息主體公開、修改其個人信息的請求遭到行政主體的拒絕時,可以申請行政復議。行政復議機關未予以處理或者對行政復議的結果不服時,信息主體還可以提起行政訴訟。《行政復議法》和《行政訴訟法》都將受理案件的范圍限定于行政主體的具體行政行為。《行政復議法》第6條列舉了可以申請行政復議的案件。其中第9項和第10項規定,相對人申請行政機關履行保護人身權利、財產權利、受教育權利的法定職責,行政機關沒有依法履行的以及相對人認為行政機關的其他具體行政行為侵犯其它合法權益的。《行政訴訟法》第11條也對受案范圍進行了規定。其中第1款第5項和第8項規定,相對人申請行政機關履行保護人身權、財產權的法定職責,行政機關拒絕履行或者不予答復的以及認為行政機關侵犯其他人身權、財產權的。第2款規定,除前款規定外,人民法院受理法律、法規規定可以提起訴訟的其他行政案件。行政主體對信息主體的公開申請、修改申請拒絕或不予答復時,信息主體的個人信息權將受到影響,行政主體的拒絕決定屬于具體行政行為,不予答復屬于行政不作為。因此,依據我國現有的行政復議制度和行政訴訟制度,信息主體可以獲得救濟。個人信息保護法應規定信息主體因行政主體違法收集、處理和利用個人信息的行為遭受損害的,給予行政賠償。
個人信息保護論文:我國大數據時代個人信息保護研究綜述
摘要:大數據技術的快速發展,給個人信息安全懸上了一把達摩克利斯之劍,面對現有局勢,如何科學有效地保護個人信息安全,成為許多學者關注的焦點。根據相關論文,文章先介紹大數據時代個人信息安全風險研究,解釋保護個人信息安全的重要性,然后從立法、監管、個人三方面梳理個人信息保護研究的主要成果,揭示保護個人信息安全措施。文章對未來的研究方向做進一步探討。
關鍵詞:大數據:信息安全;個人信息保護
一、引言
當人們歡呼大數據時代降臨時,棱鏡門事件就如平地驚雷,炸響了人們對個人信息保護的重視。然而,與國外相比,我國的個人信息保護工作仍停滯不前,行政單位缺乏監管,過度收集個人信息:企業自律性不足,任意獲取公民信息,滿足商業目的:而普通公民則缺乏個人信息保護意識,變成了“透明人”。隨著這些問題的日益突出,大數據時代的個人信息保護研究顯得愈發重要。
二、大數據時代個人信息保護研究的主要內容
本文以CNKI中的相關文獻為基礎,從個人信息安全風險、個人信息保護立法、監管以及個人隱私保護四個方面介紹個人信息保護的主要研究成果。
(一)大數據時代個人信息安全的風險研究
大數據技術的快速發展給個人信息安全增加風險,但隨著更多研究者的推進,風險也給個人信息安全保護帶來了機遇。本文從法律、監管、技術三方面進行風險研究,探尋保護個人信息的有效方法。
法律風險方面,史為民從立法的角度分析了個人信息安全風險,提議出臺具有性的相關法律。張毅菁則希望政府借鑒他國經驗,引入域外立法機制,構建適應我國國情的立法模式。
監管風險方面,我國相關研究者普遍認為我國行政機構職權不夠細化,缺乏明確的監管體系。王麗萍等人提出行業自律問題,認為企事業單位缺乏自制力,容易侵犯公民個人權益。
技術風險方面,李睿等人以信息抓取和數據分析技術為著力點分析相關的技術風險。另外,也有學者分析了用戶搜索行為,并從網絡與現實兩方面闡述個人信息安全受到的影響。
現階段的風險研究雖取得一定成果,但本層面的討論還需進一步發展,立法方面,我國還需借鑒域外模式,形成一套適應時代的立法體系:監管機制方面還要調到政府、行業、公民一體化:技術方面需重點開發近期防御技術。
(二)大數據時代個人信息保護的立法研究
針對國內外發生的隱私泄漏事件,公民對個人隱私權愈發重視,然而相關法律至今未完善。針對現實情況,眾多學者將研究重點投入到立法研究上,分為:法律研究與權利研究。
通過回顧,童園園等人認為應從刑法的角度完善個人信息保護法律條款,為個人信息保護提供制度背景。侯富強則提議將“歐美模式”與我國國情相結合,制定統一立法。
權利研究主要集中在兩方面:一是隱私權研究:二是主體權利研究。連志英等人強調了隱私權對我國個人信息保護立法的重要意義。在主體權利方面,侯富強提出個人信息保護法的立法目的在于保護信息主體的權利。
立法研究一直是個人信息保護研究的主要方向,但現有研究明顯底氣不足。為了本領域的更好發展,未來的的研究方向應集中在立法體系的建立,法律內容的細化,吸收發達國家經驗,形成成熟的立法機制。
(三)大數據時代個人信息保護的監管研究
大數據的飛速發展帶來經濟利益,但隨之而來的也有信息安全問題。為解決該項問題,本領域研究者提出了一套政府、企業、公民相結合的個人信息保護監管體系,根據主體不同,分為行政監管、行業自律與公共監督。
從行政監管效果來看,李慶峰等人列舉了行政監管體系的不足之處,提議整合相關部門,明確責權。張毅菁則重點分析政府過度監管行為產生的不利影響,呼吁政府加強自我管理,強化法律意識。
在行政監管體系研究后,行業自律受到關注。侯富強一方面肯定行業協會的積極作用,另一方面要求加大企業監管力度。史為民則分析了行業自律的局限性,提出改善措施,促進行業對個人信息的保護。
在公共監督研究方面,劉雅琦等人認為一個完善的監督機制除了行政監管與行業自律,還需公眾的監督,只有三者相互配合,才能更好地發揮監管體系的作用,保護好公民的個人信息安全。
雖然監管體系發揮了一定保護作用,但也存在局限性:監管機構職權不定、行業主體自律不足、公民保護意識不強等。為此,政府應加大作為,運用行政手段和法律手段,嚴厲打擊泄漏個人信息行為。
(四)個人隱私保護研究
隨著近幾年個人隱私侵犯現象加劇,個人隱私保護開始受到高度關注,與個人信息保護研究相比,隱私保護研究在法律、監管、技術層面具有一些新內容。
法律研究的目的是為個人隱私保護提供制度依據,維護公民的隱私與尊嚴。例如李睿分析了個人隱私泄漏問題,為個人隱私保護提供法律指導。童圓圓呼吁社會加強對個人隱私權的重視,并提出幾項保護個人隱私安全的建議。
監管研究將個人隱私保護置于監管體系內,降低高額的社會執法成本。李慶峰認為公民自身可加強對企業的監督,保護網絡隱私。王麗萍等人則將目光重點投向行業自律上。
技術研究是隱私保護研究的重點。劉曉霞提議將加密、匿名技術與隱私保護規則相結合保護用戶個人隱私。連志英則提出加大安全技術開發與資金投入,依仗安全技術應對高級持續的技術攻擊。
個人隱私保護主要從法律、監管、技術三大方向進行研究。法律方向,提出隱私權與被遺忘權:監管方向,強調了對網絡隱私的監管:在技術方向,提出開發加密技術與匿名技術,這反映了公民對個人隱私的重視。
三、大數據時代個人信息保護研究展望
大數據時代的個人信息保護研究在理論與應用方面都取得了一定成果,但仍存在較多問題,本文擬從公共監管、域外立法模式、隱私權方面做進一步討論。
(一)公共監管研究
當審視現行監管機制時,不難發現政府占據主導地位,若政府監管不力,將導致整個監管體系崩盤。為此,政府應發揮公民個人作用,將個人信息保護責任承擔給每一位公民,形成公共監管模式。
(二)域外立法模式研究
通過對現有法律的分析,我國個人信息保護立法還在發展階段。因此,國內相關學者一方面提出完善法律體系,出臺專門的個人信息保護法,另一方面大力研究國外個人信息保護立法體系,吸收具有可行性的立法方案。
(三)加大隱私權研究
對于隱私權的探討,我國一直處于緩慢階段。例如:缺乏系統性的司法解釋、政府內部監管存在漏洞、行業自律性差、數據挖掘技術存在爭議等。為此,加大隱私權研究仍是今后的主要任務。
四、結語
現階段我國大數據時代的個人信息保護已在立法、監管、個人方面取得一定的研究成果。但在宏觀立法層面,缺乏明確的司法解釋以及性的個人信息保護法:在中層行業方面,監管機構缺乏自律性,存在權責不夠細化等問題:在微觀公民層面,公民的個人保護觀念不強,維權意識不高。因此,我國應在他律與自律方向加大研究力度,再在域外保護法、隱私權、個人方面做進一步研究。
個人信息保護論文:快遞行業消費者個人信息保護研究
摘 要: 近年來,快遞行業迅猛發展,但隨之而來的快遞行業泄露消費者個人信息問題也日益突顯。在對目前快遞行業消費者個人信息遭受侵害的現狀分析基礎之上,從多個角度探討快遞服務業消費者信息泄露的原因。,針對問題根源從法律法規制度完善、快遞行業內外監督管理機制、消費者自身保護等方面提出了維護快遞行業消費者權益的途徑。
關鍵詞: 快遞行業;信息泄露;消費者信息保護
一、快遞行業消費者信息遭受侵害的現狀
隨著電子商務的快速發展,我國的快遞業表現出驚人的爆發力。據網絡數據顯示,我國快遞日較高處理量自2010年至今呈直線上升趨勢,2014年“雙十一”期間我國快遞日較高處理量將近1億件。快遞業務數量的日益增長,使得整個快遞行業不斷地膨脹和擴張,但是相對滯后的法律制度和行業監管體制使得行業內的服務質量并沒有得到很好的提升。相反,隨著快遞業務數量的增加,侵害快遞行業消費者合法權益的現象反而愈演愈烈,其中以泄露消費者個人信息的方式侵害消費者權益為最突出的情形。
據新華網報道,一名黑客利用快遞公司網站的漏洞,在短短的20秒內就獲取了1400萬條消費者的個人信息。更有甚者,一些快遞員以0.2元到0.5元不等的價格公然叫賣快遞運單。這些快遞單信息通常會用來向消費者推送垃圾短信,甚至進行詐騙等違法活動,嚴重影響消費者的正常生活。快遞單是個人信息的載體,屬于受法律保護的個人隱私,因此快遞單的交易其實就是個人隱私的買賣。更有甚者,一些人利用非法獲取的消費者個人隱私進行垃圾短信騷擾、不良商品推銷、電話詐騙等違法行為。針對日益嚴重的泄露消費者信息事件的發生,規制和整頓快遞行業,維護消費者合法利益就顯得至關重要。
二、 快遞行業消費者信息泄露的主要原因
1、 電商賣家為刷店鋪信譽引發快遞單號交易
作為一名網購消費者,在選擇網購經營者時會著重查看該店鋪的信用等級以及商品的交易評價,以決定是否在該店購買該產品。因此,一些剛剛開業或者生意不佳的網店為了吸引顧客,往往采取購買真實快遞單號的方式虛構交易記錄,以期快速達到“鉆石”級別的信用等級以及良好的商品交易評價。在虛構交易記錄的過程中,為了避開電商內部的稽查系統,首先必須要有真實的發貨單號,以及符合條件的發貨時間和發貨地址,最主要的是還要具備真實單號的快遞單存根。這就促使了部分電商賣家通過私下聯系各快遞公司的業務員購買消費者的快遞底單,甚至還有些店家與快遞員達成了長期合作的關系。此外,“淘單114”和“單號吧”等網站的出現和運行,也給電商賣家提供了一個購買快遞單號的網絡平臺。雖然近幾年國家對此類網站一直秉持著規制或取締的態度,但目前此類網站依然以其它形式繼續存在,即使網站提供的快遞單真實與否尚有待調查,但泄露寄件人和收件人信息卻是事實,侵犯了消費者的個人隱私。
2、 從業人員職業素質有待提高加劇消費者信息泄露風險
快遞行業的從業人員素質不高也是導致消費者信息泄露的主要原因。首先,由于快遞企業的市場準入門檻較低,對快遞員的學歷及就職要求并不高,因此,從業人員的綜合素質普遍較低,不能正確認識到泄露消費者信息的危害,缺乏對消費者信息的保護意識。其次,快遞員缺乏從業職業教育,對信息泄露的危害未形成明確的認知,為謀取個人利益易引發信息倒賣行為。民營快遞企業的大多數員工由一線的投遞員組成,主要從事比較繁重的體力勞動,對上崗人員的要求很低。并且快遞企業并不注重對基層投遞員的正規化職業教育,更枉談對該類人員進行從業道德素質培養,進而導致投遞員對快遞業的作業規范和職業道德知之甚少,員工的責任意識不強,為了短期利益出賣消費者信息的現象也時有發生。,快遞從業人員流動性強的特征加劇了信息“隱形”泄漏風險。目前我國的快遞行業的主要工作還是依賴人力,勞動密集型特征明顯,但大多數快遞企業“用人”不“養人”的理念依然存在,對投遞員的激勵機制不到位,員工流失率較一般行業高出很多,高流失率使得消費者信息泄漏“隱形”風險很高。
3、快遞企業內部監管不力引發信息泄露風險
我國目前的非郵政快遞企業,大都有業務流程多、分工細、人員流動性強和經營網點分散等特點,因此對快遞企業的管理要比其他行業更為繁瑣,要求也更高。但縱觀國內現有的幾大快遞企業,對基層投遞員的培訓和管理方面還是有所欠缺,企業自身的管理和激勵機制也有待改善,企業內部監管不力,員工對消費者信息安全的保護意識也不強。此外,對于區域加盟物流網點,加盟條件較為簡單,準入門檻低,并且相應的加盟管理制度也不完善。快遞公司將快遞業務外包后,并不注重對加盟企業的監管,也未形成一個規范的業務外包運營體系和具體的業務操作細節。因此加盟的物流商和快遞人員在具體的投遞過程中操作隨意性大,行業行規對其的約束力也較小,消費者信息泄漏的風險大大增加。
4、 相關法律法規不完善,外部監管不力
隨著網購市場的繁榮發展,快遞行業與消費者的聯系越來越緊密,行業內部或行業人員非法泄漏個人信息對消費者造成的權益侵害也不斷擴大。但是,我國現有法律對個人信息保護存在很多不足之處。首先,我國《民法通則》中沒有單獨規定侵犯隱私權的行為,而是將其隱含在名譽權的范圍中,作為侵犯名譽權的一種形式。其次,現行《侵權責任法》中雖然侵規定了隱私權,但僅在民事權益范圍中提到隱私權而已,規定的過于籠統,且也未明確信息泄密的責任承擔主體,并不能被很好的適用。,雖然我國的《消費者權益權益保護法》、《侵害消費者權益行為處罰辦法》中對消費者個人信息保護進行了規定,但相關規定過于零散于籠統,并未形成一個完善的系統,不能很好地保障個人信息安全。
5、 消費者自我保護意識不強助長了泄密者的“氣焰”
由于網絡消費的隨意性和簡便性,一些消費者在進行網上購物或者進行快遞郵寄時往往不太注重對自身信息的保護,將重要信息隨意登記,在拆封快遞時將帶有自己信息的快遞單隨意丟棄,擴大了信息泄露的風險。在維權方面,由于消費者信息保護法律法規的不健全、信息泄露舉證困難,消費者信息泄漏維權存在很大的結果不確定性,間接導致了多數消費者針對此類情況不愿采取法律途徑維權,更多地選擇忍氣吞聲或者更換快遞公司。這種一味的退讓和放任態度,只會助長信息泄密者的“氣焰”。
三、 快遞行業消費者個人信息保護的主要對策
1、 培養快遞人員的服務意識,提高快遞行業的服務質量
快遞行業中消費者信息泄露的很大一部分原因在于服務質量存在問題,因此提高快遞公司和快遞員的服務意識和服務質量能夠有效的防止消費者信息泄露,減少潛在的侵害消費者權益的可能性。快遞行業中最常見的兩種運營模式是自營和加盟合作,因此在提高快遞企業服務質量方面,不僅要注重快遞企業自身,還要兼顧對加盟物流網點的規范與管理,要形成以客戶服務、客戶保護為導向的服務理念,提供品質品牌服務。通過增強快遞行業的服務質量,不僅可以防止消費者個人信息泄露,還有利于提高快遞公司的信譽,促進快遞行業的發展。在培養快遞從業人員的服務意識方面,快遞公司要加強對投遞員的管理,注重服務質量培訓,創制優先的激勵措施,加大對泄露消費者信息的快遞從業人員的懲罰力度。
2、 強化對快遞行業內部和電商企業的監管,明確信息泄露責任
快遞企業要積極推進內部管理制度建設和完善,加強員工的職業道德教育和規范化操作管理,加大對各級加盟商的約束力度和監管力度。首先,快遞企業要加強對快遞單的使用和回收、銷毀等工作環節的管理,注重對快遞單的保密工作,建立起完善的信息保密機制。其次,各大電商應加強對網購店家的監管,對購買快遞單號虛構交易記錄的行為進行規制與嚴懲,快遞企業可與各大電商簽訂《信息保護協議》,相互配合,做到對每個環節的有效管控,防止泄露消費者個人信息的違法行為的發生。,快遞行業應明確在快遞服務過程中的信息泄露的責任承擔,可設立專門的客戶投訴部門,受理消費者的投訴和意見,并對泄露信息者進行懲處。
3、 建立健全消費者保護法律法規
針對消費者個人信息保護,我國應對個人信息進行規劃,建立健全個人信息保護機制和執法機制,加快研究并制定《個人信息保護法》。對個人信息的系統保護,可以為消費者針對信息泄露事件進行維權時提供法律保障。在現階段,應細化現有的保護消費者個人信息的相關法律法規。其中,《消費者權益保護法》和《侵害消費者權益行為處罰辦法》中對經營者收集和使用消費者個人信息以及不得泄露消費者信息都做出了明確規定。因此應發揮其應有的效力,使消費者在其個人信息造成泄露以及個人隱私遭到侵害時能夠有適當的法律維護其自身合法權益,進而規范快遞行業從業人員的行為,使快遞行業健康有序發展。
4、消費者自身增強保護意識和能力
消費者作為快遞服務的接受者,在保護自身信息的相關問題上,應增強保護意識,提高風險防范能力,尤其在進行網購時更要注重對自己信息的保護。首先,消費者在網購時不能抱有僥幸心理,應積極進行快遞投保,避免不正確和違規操作,以免泄露個人信息。在填寫收貨地址時,應有選擇的填寫快遞收貨信息,盡量不要把收貨地址寫成居住地址,即使寫居住地址也不應寫具體的房號。其次,消費者應注重個人信息安全保護知識的學習,明確信息泄漏的風險和危害,謹慎處理可能泄露自身信息的情形。例如,在收到快遞后,應先將商品外包裝上的個人信息抹去,不要隨手將帶有個人信息的快遞單外包裝丟棄。,消費者應增強維權意識,削弱泄露信息者的“氣焰”。在個人信息被泄露后,應采取適當途徑維護自身的合法權益,向消費者協會、物流協會等投訴。必要時,要敢于拿起法律武器,運用法律法規進行維權。
四、 結語
在網絡經濟的迅速發展的今天,我國的快遞行業也將進一步壯大,而消費者信息泄露事件的頻頻發生,勢必會對快遞行業的長遠發展構成威脅與阻礙,因此對消費者個人信息保護必須提上日程。只有在快遞行業本身、網絡電商和消費者的共同努力下,真正維護了消費者的合法權益,才能保障快遞行業的良性持續發展。 (作者單位:1.安徽財經大學財公學院;2.華東政法大學;3.安徽財經大學外國語學院)
指導老師:張華