个人信息保护再“加码” 依法收集须防泄露

2017年03月22日09:35  来源:科技日报
 
原标题:个人信息保护再“加码” 依法收集须防泄露

山东临沂高考录取新生徐玉玉遭遇电信诈骗,被以发放助学金名义骗走9900元,徐玉玉与父亲到公安机关报案后回家途中,心脏骤停,经抢救无效死亡。去年发生的“徐玉玉之死”并非电信诈骗的个例,《电信网络诈骗治理研究报告(2016)》显示,84.15%受访者曾受过电信网络诈骗的骚扰。

徐玉玉的遭遇源于个人信息被泄露。在日前举行的十二届全国人大五次会议举行第二次全体会议上,民法总则草案四审稿的“个人信息保护”条款再“加码”,明确规定,“任何组织和个人应当确保依法取得的个人信息安全”。

明确个人信息归“你”所有

个人信息保护入法是民法总则草案的亮点之一。全国人大常委会民法总则草案二审稿增设“个人信息保护”条款,规定“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息,不得非法提供、公开或者出售个人信息”。

当时一些全国人大常委会委员认为,上述“个人信息保护”条款还应加大火候。全国人大常委会委员杨震表示,现在大量个人信息在采集时可能是合法的,如徐玉玉的信息是教育部门合法收集的,但没保护好,被黑客窃取。他建议,这一规定应明确,即使是合法收集、利用、加工、传输个人信息,也应采取措施确保避免被泄露。

据悉,我国已在多项法律中关注和强化对个人信息的保护。如2012年全国人大常委会通过了关于加强网络信息保护的决定;2015年刑法修正案(九)中有对个人信息保护的规定;2016年的网络安全法确定了个人信息保护的基本规则。

中国政法大学教授柳经纬认为,尽管已有多项法律在前,但“个人信息到底是谁的东西,仍是不明确的。”民法总则草案还有一个特点是明确了个人信息的归属关系,强调信息是个人所有财产,个人对其具备支配地位,也对保护自己信息有了相关权利。

杨震说,将个人信息保护写入民法总则草案,为未来制定单行法或通过其他方式进一步细化保护措施提供依据。

进一步明确侵权责任

在今年两会上,全国人大代表、天能集团董事长张天任提交了“关于制定《个人信息保护法》”的议案。

张天任建议,任何机关和个人在收集他人个人信息都应当遵循合法性、风险限定原则。立法应明确规定哪些个人信息可以被收集,哪些不能被收集;在收集个人信息时,应当遵循尽可能少收集的原则,即不能收集超出法律允许范围内的个人信息,更不能无限制、大面积收集个人的信息。风险限定原则指个人信息的二次利用是否合理,关键取决于新目的能否给用户带来精神压力、差别待遇及人身财产损害的可能性,这都需要对数据风险进行审慎评估,保护数据采集人的隐私。

另外,还要进一步明确妥善保管原则和侵权责任。张天任说,收集主体应对个人信息收集后的泄露承担责任;收集主体因对个人信息保管不善而造成权利人利益受损的,其应当承担与其过错相应的责任;如工作人员私自泄露了个人信息,除该个人应当承担责任外,信息采集主体业应视具体情节也依法承担责任;如信息采集主体对个人信息保管不善,同时又有第三方非法获取并使用个人信息,则信息采集主体与第三方共同承担赔偿责任。

尽快制定个人信息保护法

在互联网时代,个人信息保护早已成为世界各国关注的焦点。迄今为止,全球有90多个国家和地区制定了专门保障个人信息的法律。

1970年,德国黑森州就颁布了保护公民个人信息的《数据保护法》,这是世界上最早的隐私保护法,随后有16个州相继通过与个人信息保护相关的法律。1977年,德国联邦政府正式颁布《联邦数据保护法》,全面保护德国公民个人信息。

美国在1974年通过了《隐私权保护法》,这是美国行政法中保护公民隐私权的一项重要法律,以此为基础,美国采取分散法律模式,依靠联邦和州政府的各类条例,来维护个人信息安全。英国在1984年制定《数据保护法》;日本的《个人信息保护法》在2005年正式实施。

张天任说,各国在个人信息保护领域的司法实践,为我国立法工作提供借鉴。应结合我国国情和信息技术发展现状,取长补短,尽快制定《个人信息保护法》。

张天任认为,目前个人信息从泄露、贩卖到营销、诈骗,已发展成一条完整的黑色产业链。但我国个人信息保护法尚属空白,这给个人信息泄露和网络诈骗留下了空间。除了在民法总则加码“个人信息保护”条款外,我国应尽快启动个人信息保护立法,完善立法体系,划定公民信息的边界和保护主体的责任,用法律武器打击电信诈骗等。

(责编:谷妍、邓楠)