个人信息保护一直是近年来社会各界关注的焦点。2008年8月25日提请全国人大常委会审议的刑法修正案(七)草案作出明确规定,国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将履行公务或者提供服务中获得的公民个人信息出售或非法提供给他人,或以窃取、收买等方法非法获取上述信息,情节严重的,应追究刑事责任,处三年以下有期徒刑或者拘役。
虽然只是短短的几行字,但对于互联网时代的个人信息保护无疑具有重要意义,不仅是个人信息保护的关键一步,也是社会进步的一个标志。为了更好地了解个人信息保护相关法律草案对社会发展、个人隐私的意义,以及更深入地了解运营商等企业在保护个人信息方面有哪些责任与义务,记者采访了工业和信息化部电信研究院研究员丁道勤先生。
徒有刑法不足以保护个人信息
记者:刑法修正案(七)草案对我国个人信息保护有何积极的意义?但在缺乏《个人信息保护法》的前提下,仅有刑法对个人信息的界定以及保护范围的确定,对个人信息的保护存在哪些隐忧?
丁道勤:刑法修正案(七)在个人信息法律保护方面迈出了具有重要意义的坚实一步,保护个人信息,刑法先行。近年来,在商业、金钱利益的驱动下,一些国家机关和电信、金融等单位在履行公务或提供服务活动中获得的公民个人信息被非法泄露的情况时有发生对公民的人身、财产安全和个人隐私构成严重威胁。刑法修正案(七)这样的规定很有针对性,对个人信息保护具有积极意义。但刑法具有谦抑性,仅仅是针对具有严重危害性的犯罪行为,对于一般的侵害个人信息的违法行为,还不能适用刑法。
运营商肩负告知和保护义务
记者:毫无疑问,我们已经进入了一个信息时代。电信企业作为网络服务商,在个人信息保护方面有哪些责任和义务?
丁道勤:电信企业(包括电信运营商和网络服务提供商)作为互联网接入与信息服务提供者,对用户的通信信息保护负有特殊的责任。一般而言,电信企业不应以收集、转让个人信息资料作为其营业收入,也不应以提供免费信息服务作为换取用户个人信息任意使用的当然条件。电信企业对用户负有以下二大方面的义务:
一是电信企业对用户负有告知义务。在用户申请登录或开始使用服务时,应告知用户以下内容:告知网络可能给个人隐私带来的影响和危害;告知用户使用电信网络和互联网时所具有的个人权利,以及所应承担的义务和责任;告知用户合法使用、降低风险的技术方法等。
二是电信企业对用户的个人信息负有保护的义务。运营商在提供网络服务过程中应采取合理的技术措施保证数据的统一和秘密性、网络和网络服务的物理与逻辑上的安全;收集、保存、处理用户个人信息应限于必要的、合法的、特定的目的,征得用户许可,并对这些数据的安全性与使用的合理性负责;对法定的收集、使用个人信息情况,应及时通知用户;及时更新不准确的数据,删除过时的、不再使用或不符合使用目的的个人信息。
记者:就网络环境下的个人信息保护而言,针对我国个人信息保护的现状,您有哪些建议和看法?
丁道勤:整体而言,由于主要借助于民法上的人格隐私加以保护,我国个人信息法律保护的水平比较低,缺少一部独立的个人信息保护法。我国缺乏类似欧盟特殊领域的专门性电子通信指令,对个人信息的内涵和范围均无明确的界定,缺乏应有的操作性和针对性。网络环境下的个人信息保护也多以保护个人财产性信息安全为重点,而非个人资料信息,而且现有个人信息法律保护多侧重于公共机构对个人信息的获取利用,没有加强针对信息主体本身个人信息权利的法律保护。
目前,加强个人信息保护的制订工作进入一个新阶段,我个人认为在制订个人信息保护相关法律的工作中,第一应注意个人信息的一般性和特殊性,区分一般个人信息保护和特殊领域个人信息保护,分别进行立法,如网络环境下,个人信息收集处理有其特殊性,可以考虑专门予以先行立法;第二应授予信息主体更多的权利,让其享有充分的自由选择权和决定权。而非授予信息管理主体过多的权利,对公共机构在个人信息的获取利用上规定过多的例外规则;第三应加强针对个人信息权利的保护,不仅仅是着眼于个人财产信息的保护;第四应规定相应的法律救济手段,如果无有效的监督救济机制,那么实体法无论设计得如何完善,都可能成为空洞的许诺。
