近年来,对个人信息的各种违法犯罪有愈演愈烈之势。这不,高考甫一落幕,网上就有人叫卖考生手机号等信息。

毫无疑问,个人信息保护再一次触动了人们敏感的神经,并引发种种疑问:个人信息应当如何收集和利用?信息保护法网还有哪些疏漏?如何加大滥用信息者的违法成本?

个人信息应当如何收集和利用?

“个人信息分为敏感信息和一般信息,应当区别对待。”亚太网络法律研究中心主任、北京师范大学教授刘德良认为,所谓个人敏感信息,就是与名誉、尊严有关的信息,个人一般不希望他人知道,比如感情经历、家庭关系等,在收集和利用之前必须首先获得个人明确的授权,法律要禁止非法获取和滥用。而个人一般信息,是他人可以知道并依法使用的信息,比如身份证、家庭住址等信息,只要个人没有明确表示反对,便可收集和利用,法律要禁止的只是滥用。

“现代信息社会,信息互动频繁,行政机关、企事业单位、其他组织、特定的群体或个人,都有收集个人信息的需求。”西南政法大学行政法学院副教授张向东说,依照民法的自愿原则和禁止权利滥用原则,公民在向他人提供个人信息时,可以自主选择同意或者不同意,而信息收集者必须合理、善意地利用信息,并采取必要措施保护个人信息不被泄露。

但是日常生活中,公民与银行、医院、教育部门等部分个人信息收集者并不完全处于对等地位。基于此,今年2月,我国正式实施首个个人信息保护“国家标准”《信息安全技术公共及商用服务信息系统个人信息保护指南》。《指南》指出了处理个人信息时应当遵循的八项基本原则,即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。此外,还给个人信息使用设置了“需本人同意”、“不得泄露”、“用后要删除”三重保护。

信息保护法网还有哪些疏漏?

2012年2月至今,公安部先后3次部署打击非法买卖公民个人信息犯罪活动,破案4382起,查获被盗取的各类公民个人信息近50亿条。

为何侵害个人信息的违法犯罪层出不穷?张向东告诉记者,虽然我国有近40部法律、30余部法规以及近200部规章涉及个人信息保护,但是,这些条款零散地分布在各部法律文件中,可操作性和局限性都很大。以刑法修正案(七)为例,其首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任,但犯罪主体却局限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”,而且要求“情节严重”才入罪,这并不利于打击犯罪。

“我国亟须出台个人信息保护专门法律,成立专门的监管机构,明晰各方责权,对个人信息安全进行全方位的保护。”与大多数业界人士的看法一致,张向东认为个人信息保护“国家标准”毕竟只是一个行业内部规范,不具有法律强制力。将“国家标准”上升为专门法律,迫在眉睫。

其实,早在2003年4月,国务院信息化办公室就曾专门对个人信息立法研究课题进行部署,2005年个人信息保护法专家意见稿已经提交。近十年间,无论官方抑或民间也都在积极推动。“立法是个长期的过程,需要平衡各方利益,各方面规章制度也要跟上。当下,我们还应该多研究国外的相关经验。”张向东说。

如何加大滥用信息者的违法成本?

提及垃圾短信、骚扰电话或垃圾邮件,人们的普遍反应是隐私被侵犯。

“个人信息具有私密性,但个人信息不能完全等同于个人隐私。”刘德良说,个人信息因为流动和共享,已经具有一定的社会意义和经济价值,滥用个人信息其实也是侵犯财产,比如发送垃圾短信或邮件就侵犯了个人对信息存储空间、信息服务空间的用益物权。

刘德良分析,如果个人以隐私受侵犯为由提起诉讼,法院不一定受理。即使法院受理,也可能由于公民一般仅仅遭到了电话骚扰,没有造成物质损害,而判令侵权人停止侵害、消除影响、赔礼道歉等,不会承担财产赔偿责任。这样的判决使得侵权的代价很小,对于双方都没有意义。所以,“法理上要承认个人信息这种财产的存在,使受害人可以就此起诉,要求赔偿损失。立法上也要保证有利于受害人维权,通过加大违法成本,遏制滥用信息行为。”

加大违法成本,必然要强化滥用信息者的法律责任,疏通个人维权的途径。张向东的建议是,加大行政处罚、治安处罚力度;由政府设立专门的监管机构,让公众既可以到法院主张权利,也可以去监管机构举报、投诉;加大信息收集者的举证责任,一旦证实信息由其泄露,其应该就故意还是过失泄露进行举证。

“一味地强调不能泄露,或许只是舍本逐末。”刘德良认为,立法还应当考虑由运营商等单位承担相应的责任,比如个人收到垃圾短信,可以要求运营商提供源头资料,否则运营商承担连带责任;银行、保险等单位要加强对身份证的比对、核查工作,防止冒用、滥用身份证行为,否则承担过错推定责任。