保护个人信息,相关企业责无旁贷

2016年11月07日 08:23   来源:光明日报   王叶刚

  个人信息泄露问题牵动着每一个人的神经,已经成为一种社会公害,亟须立法予以有效应对。值得注意的是,10月31日提交全国人大常委会审议的民法总则草案二审稿新增了关于个人信息保护的条款,规定:自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工传输个人信息,不得非法提供、公开或者出售个人信息。将个人信息规定为一项基本民事权利,对于强化个人信息保护、有效防止个人信息泄露具有重要意义。

  近年来,电信诈骗事件的频发,引发社会广泛关注。从最近发生的几起电信诈骗案件来看,作案者对受害人高考录取情况、卖房情况等个人信息掌握得较为准确和全面,据此实施所谓“精准诈骗”,并屡屡得手。在诈骗事件发生后,人们普遍关心的问题是:作案者何以能够准确掌握受害人的相关信息?受害人的个人信息是如何泄露的?如何有效防治个人信息泄露现象?

  公民个人信息泄露的原因是多方面的,但企业,尤其是大型企业,如相关的金融机构、购物网站、快递公司等,长期收集、保存大量的用户信息,很可能是个人信息泄露的重要源头。个人信息作为互联网和大数据时代的“新石油”,其中包含巨大的经济价值,能够为企业带来客观的经济效益。因此,在大数据时代,既应当注重发挥个人信息数据经济效用,又必须强化对信息主体权利的保护。

  然而,从现实来看,我国个人信息保护的现状并不理想,近年来发生了多起航空公司、酒店、快递公司等泄露用户个人信息事件,轻则泄露个人隐私,重则使个人遭受巨大的经济损失。这表明,企业在收集与利用用户个人信息时,并没有真正重视用户个人信息的保护。从国外来看,许多国家都在不断强化企业保护个人信息的义务,一些国家制定了专门的个人信息保护法律法规,对个人信息的收集、利用、存储、保存期限等内容作出了严格的限定,尤其对发生信息泄露事件后企业须承担的责任作出了明确而详细的规定。例如,美国通过《金融服务现代化法》,对金融机构收集、利用个人信息的行为进行了规制,同时颁行了《金融隐私权法》,对金融机构利用个人信息的行为作出了规范。再如,欧盟通过了《关于在电子通信领域个人数据处理及保护隐私权的指令》,以有效规范通信企业收集、利用用户个人信息的行为。

  我国迄今为止尚未颁行专门的个人信息保护法律,企业收集、利用个人信息仍缺乏基本的法律规范,这就使得一些企业往往只注重对个人信息的收集与利用,而没有太大的动力保护用户的个人信息。在此背景下,就不能仅通过传统的商业原则约束企业的行为,而应当将保护个人信息界定为企业的社会责任,以防止企业为片面追求利润的最大化而忽略用户个人信息的保护。同时,企业保护个人信息的社会责任不能仅停留在观念层面,而应当确立相关的行业规则和行为规范,将相关个人信息保护的技术标准、商业道德等转化为具有法律拘束力的行为规则。具体而言,主要应当从如下方面具体落实企业保护个人信息的社会责任。

  第一,企业在收集个人信息时,应当坚持合法性和合目的性原则。合法性是指个人信息的收集必须符合法律规定,不得采用非法手段收集个人信息。合目的性原则是指对个人信息的收集不得超出事先确定的目的。现在许多企业都在以各种名目收集用户的个人信息,如办理手机卡、办理银行业务、发快递,甚至下载软件等,都需要提供个人的身份信息、家庭住址等,企业收集这些信息有些是基于法律、法规的要求,有些则是以“业务需要”等名目进行收集的。因此,从实践来看,除银行、通信等大企业外,其他许多企业也都掌握了大量的公民个人信息,这些都给公民个人信息安全带来了威胁,有必要通过合法性、合目的性等原则,有效规范企业收集个人信息的行为。

  第二,在信息的储存阶段,企业应当遵循信息安全原则,切实保障个人信息安全。企业在收集用户个人信息后,应当采取相应的措施,确保个人信息的安全,防止个人信息的泄露。一般而言,企业泄露个人信息的途径主要有两个:一是主动“泄露”,如企业将其所收集的个人信息打包出售;二是行为人的“盗取”。无论是哪种原因导致用户个人信息泄露,实际上都是企业没有尽到相关信息保护义务的结果。企业未尽到信息安全保障义务,造成信息主体损失的,受害人有权请求企业承担赔偿责任。例如,就最近发生的某高校教师卖房款被骗案件而言,如果能够证实其个人信息是由银行一方泄露的,则受害人有权请求银行承担赔偿责任。

  第三,在信息的利用阶段,企业应当遵循最少利用原则、知情同意原则。最少利用原则,即在可用可不用个人信息时,应当尽量不用;在可多用可少用时,应当尽量少用,以尽量减少对个人信息的不当利用,而且企业应当以匿名化或者脱名化的方式利用个人信息。同时,企业在利用个人信息时,应当取得个人的同意。从实践来看,一些企业在与用户订立合同时,往往利用其订约优势地位,借用格式条款的方式,概括取得对个人信息的收集和利用权。为切实保障用户的个人信息权利,应当有效规范此类格式条款。此外,企业在利用个人信息时,也不得侵害个人的其他权利。例如,实践中经常出现这样的情形,在网上随便检索某种商品或者服务,很快就会有很多广告推送扑面而来,这表明,在用户检索商品和服务时,其购物癖好、购买能力等相关信息已经被相关的网络服务提供者收集,并被用于投放定向广告。此种做法实际上已经侵扰了私人生活的安宁,侵害了个人的隐私权,应属于对个人信息的不当利用。

  互联网具有一种无限放大效应,个人信息一旦在互联网上泄露,即可瞬间在全球范围内传播,损害后果也将被无限放大。因此,个人信息安全问题比以往任何一个时代都更为突出,强化对个人信息的保护已成为社会共识。企业既是个人信息收集的第一线,也是个人信息泄露的重灾区,鉴于企业在个人信息的收集、保护与利用方面具有诸多技术优势,而且一些企业,本身已经掌握了大量的个人信息,其在某种程度上已经具有了一定的公共服务职能,应当主动承担起保护个人信息的社会责任,以不断提高个人信息保护的水平。

  (作者单位:中央民族大学法学院)

(责任编辑:邓浩)

精彩图片