個人信息泄露問題牽動著每一個人的神經(jīng)����,已經(jīng)成為一種社會公害,亟須立法予以有效應對���。值得注意的是,10月31日提交全國人大常委會審議的民法總則草案二審稿新增了關于個人信息保護的條款�,規(guī)定:自然人的個人信息受法律保護。任何組織和個人不得非法收集���、利用�����、加工傳輸個人信息,不得非法提供����、公開或者出售個人信息。將個人信息規(guī)定為一項基本民事權(quán)利���,對于強化個人信息保護����、有效防止個人信息泄露具有重要意義。
近年來��,電信詐騙事件的頻發(fā)��,引發(fā)社會廣泛關注�。從最近發(fā)生的幾起電信詐騙案件來看,作案者對受害人高考錄取情況�����、賣房情況等個人信息掌握得較為準確和全面��,據(jù)此實施所謂“精準詐騙”��,并屢屢得手��。在詐騙事件發(fā)生后�,人們普遍關心的問題是:作案者何以能夠準確掌握受害人的相關信息?受害人的個人信息是如何泄露的����?如何有效防治個人信息泄露現(xiàn)象��?
公民個人信息泄露的原因是多方面的��,但企業(yè)���,尤其是大型企業(yè),如相關的金融機構(gòu)���、購物網(wǎng)站����、快遞公司等��,長期收集���、保存大量的用戶信息�����,很可能是個人信息泄露的重要源頭����。個人信息作為互聯(lián)網(wǎng)和大數(shù)據(jù)時代的“新石油”����,其中包含巨大的經(jīng)濟價值,能夠為企業(yè)帶來客觀的經(jīng)濟效益�。因此,在大數(shù)據(jù)時代�,既應當注重發(fā)揮個人信息數(shù)據(jù)經(jīng)濟效用,又必須強化對信息主體權(quán)利的保護�����。
然而����,從現(xiàn)實來看,我國個人信息保護的現(xiàn)狀并不理想����,近年來發(fā)生了多起航空公司、酒店�����、快遞公司等泄露用戶個人信息事件���,輕則泄露個人隱私���,重則使個人遭受巨大的經(jīng)濟損失��。這表明��,企業(yè)在收集與利用用戶個人信息時��,并沒有真正重視用戶個人信息的保護���。從國外來看,許多國家都在不斷強化企業(yè)保護個人信息的義務�����,一些國家制定了專門的個人信息保護法律法規(guī)���,對個人信息的收集�、利用�����、存儲�����、保存期限等內(nèi)容作出了嚴格的限定,尤其對發(fā)生信息泄露事件后企業(yè)須承擔的責任作出了明確而詳細的規(guī)定�。例如���,美國通過《金融服務現(xiàn)代化法》����,對金融機構(gòu)收集����、利用個人信息的行為進行了規(guī)制,同時頒行了《金融隱私權(quán)法》����,對金融機構(gòu)利用個人信息的行為作出了規(guī)范。再如�����,歐盟通過了《關于在電子通信領域個人數(shù)據(jù)處理及保護隱私權(quán)的指令》����,以有效規(guī)范通信企業(yè)收集、利用用戶個人信息的行為。
我國迄今為止尚未頒行專門的個人信息保護法律���,企業(yè)收集��、利用個人信息仍缺乏基本的法律規(guī)范�,這就使得一些企業(yè)往往只注重對個人信息的收集與利用��,而沒有太大的動力保護用戶的個人信息�。在此背景下,就不能僅通過傳統(tǒng)的商業(yè)原則約束企業(yè)的行為����,而應當將保護個人信息界定為企業(yè)的社會責任,以防止企業(yè)為片面追求利潤的最大化而忽略用戶個人信息的保護�。同時,企業(yè)保護個人信息的社會責任不能僅停留在觀念層面��,而應當確立相關的行業(yè)規(guī)則和行為規(guī)范�����,將相關個人信息保護的技術標準����、商業(yè)道德等轉(zhuǎn)化為具有法律拘束力的行為規(guī)則���。具體而言,主要應當從如下方面具體落實企業(yè)保護個人信息的社會責任���。
第一���,企業(yè)在收集個人信息時�����,應當堅持合法性和合目的性原則��。合法性是指個人信息的收集必須符合法律規(guī)定�,不得采用非法手段收集個人信息。合目的性原則是指對個人信息的收集不得超出事先確定的目的��,F(xiàn)在許多企業(yè)都在以各種名目收集用戶的個人信息���,如辦理手機卡���、辦理銀行業(yè)務、發(fā)快遞����,甚至下載軟件等���,都需要提供個人的身份信息、家庭住址等���,企業(yè)收集這些信息有些是基于法律�����、法規(guī)的要求�����,有些則是以“業(yè)務需要”等名目進行收集的�。因此����,從實踐來看,除銀行�、通信等大企業(yè)外,其他許多企業(yè)也都掌握了大量的公民個人信息���,這些都給公民個人信息安全帶來了威脅��,有必要通過合法性���、合目的性等原則�����,有效規(guī)范企業(yè)收集個人信息的行為���。
第二,在信息的儲存階段�,企業(yè)應當遵循信息安全原則�,切實保障個人信息安全。企業(yè)在收集用戶個人信息后����,應當采取相應的措施,確保個人信息的安全��,防止個人信息的泄露����。一般而言,企業(yè)泄露個人信息的途徑主要有兩個:一是主動“泄露”�����,如企業(yè)將其所收集的個人信息打包出售;二是行為人的“盜取”��。無論是哪種原因?qū)е掠脩魝人信息泄露�,實際上都是企業(yè)沒有盡到相關信息保護義務的結(jié)果。企業(yè)未盡到信息安全保障義務�����,造成信息主體損失的�,受害人有權(quán)請求企業(yè)承擔賠償責任。例如��,就最近發(fā)生的某高校教師賣房款被騙案件而言���,如果能夠證實其個人信息是由銀行一方泄露的���,則受害人有權(quán)請求銀行承擔賠償責任。
第三�,在信息的利用階段,企業(yè)應當遵循最少利用原則���、知情同意原則����。最少利用原則,即在可用可不用個人信息時�,應當盡量不用;在可多用可少用時�����,應當盡量少用����,以盡量減少對個人信息的不當利用,而且企業(yè)應當以匿名化或者脫名化的方式利用個人信息�。同時,企業(yè)在利用個人信息時�,應當取得個人的同意�。從實踐來看,一些企業(yè)在與用戶訂立合同時�,往往利用其訂約優(yōu)勢地位,借用格式條款的方式�����,概括取得對個人信息的收集和利用權(quán)���。為切實保障用戶的個人信息權(quán)利��,應當有效規(guī)范此類格式條款����。此外,企業(yè)在利用個人信息時���,也不得侵害個人的其他權(quán)利�。例如��,實踐中經(jīng)常出現(xiàn)這樣的情形�����,在網(wǎng)上隨便檢索某種商品或者服務�,很快就會有很多廣告推送撲面而來,這表明�����,在用戶檢索商品和服務時�,其購物癖好、購買能力等相關信息已經(jīng)被相關的網(wǎng)絡服務提供者收集,并被用于投放定向廣告�。此種做法實際上已經(jīng)侵擾了私人生活的安寧,侵害了個人的隱私權(quán)�����,應屬于對個人信息的不當利用����。
互聯(lián)網(wǎng)具有一種無限放大效應,個人信息一旦在互聯(lián)網(wǎng)上泄露�����,即可瞬間在全球范圍內(nèi)傳播�,損害后果也將被無限放大。因此�����,個人信息安全問題比以往任何一個時代都更為突出��,強化對個人信息的保護已成為社會共識�����。企業(yè)既是個人信息收集的第一線�����,也是個人信息泄露的重災區(qū)�,鑒于企業(yè)在個人信息的收集、保護與利用方面具有諸多技術優(yōu)勢��,而且一些企業(yè)��,本身已經(jīng)掌握了大量的個人信息���,其在某種程度上已經(jīng)具有了一定的公共服務職能�����,應當主動承擔起保護個人信息的社會責任����,以不斷提高個人信息保護的水平�����。
��。ㄗ髡邌挝唬褐醒朊褡宕髮W法學院)
(責任編輯:鄧浩)
