近日因徐玉玉被电信诈骗案一审宣判,个人信息保护再次受到社会高度关注。
有人呼吁我国加强个人信息保护立法,其实据专家统计,目前我国已有相关立法100多部。个人信息是个人的,个人是个人信息的权利主体,保护个人信息,理所当然就应当保护权利主体的权利。但是我国目前相关立法多着眼于禁止掌握个人信息的机关、企事业单位泄密,而缺乏维护具体个人的具体信息权利。禁止性规定和打击相关犯罪,是对个人信息隐私权利的间接保护,但不是直接保护具体权利主体的合法权利。
以刑法第二百五十三条对侵犯公民个人信息罪的规定为例,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,就是犯罪。按照最高法、最高检的司法解释,有十种情形属于“情节严重”,大致就是:把个人信息卖给犯罪分子并被利用了,泄密个人信息达数百条、数千条之多。除非像徐玉玉那样成了诈骗等案的受害者,一般个人不会成为个人信息泄密案的真正侵权对象。个人必须“打包”成数百、数千之众,才有可能触发刑事调查。
从世界范围看,目前对个人信息的保护无非是刑事追究、行政监管与民事侵权归责三个方面。而就民事而言,很多国家将个人信息保护纳入企业对个人的服务合同,从而将侵权责任转化成合同责任。在我国的民法体系中,《侵权责任法》没有规定非法获取、出售个人信息的侵权责任,国家也未强制企业将保护个人信息纳入服务合同范畴。企业泄密之后,被侵权者只能徒叹奈何。
个人信息很琐屑,这就注定了只有他本人才知道是不是被泄密了,这也注定了保护个人信息是一项“个人的事业”。由政府将保护的责任大包大揽,实际上是将个人忽略。现在到处是个人信息泄密,但全国罕有人诉诸法庭,已经证明了此点。
这不是说,通过政府行业监管起不到个人信息保护的作用,但这是一种间接的效果,在强化政府监管的同时,要加快权利落实到“人”本身。保护个人信息就要保护到人,关键是两条:在监管层面,强制企业将个人信息保护列为服务合同条款,作出侵权赔偿承诺;在侵权责任法上,将个人信息权视同财产权,凡侵权即给予损失赔偿。有侵权就有赔偿,这才是真正的保护个人信息。
(责任编辑:邓浩)