信息泄露导致诈骗猖獗 个人信息保护立法翘首可期
山东女孩徐玉玉被“精准”诈骗,悲愤之下不幸猝死。
华住酒店被曝5亿条个人信息泄露,基本覆盖了国内最常出差的人。
然而,多年来,个人信息保护立法“只闻楼梯响,不见人下来”。
2018年9月10日,中国人大网公布《十三届全国人大常委会立法规划》,69件法律草案列入第一类项目,即条件比较成熟、任期内拟提请审议。其中,个人信息保护法是第61个项目。这意味着,久久呼唤的个人信息保护专门立法即将到来。
11月初的世界互联网大会上,这一消息再次被确认。该次大会“大数据时代的个人信息保护”分论坛上透露,个人信息保护法已经列入本届全国人大常委会立法规划,我国将进一步加大对个人信息保护力度。
信息泄露导致诈骗猖獗
“知道吗,你在当地得罪了一个人,如果你不想你和你家人缺胳膊少腿,你出钱,我可以出面帮你平事……”
2016年上半年,山东日照的丁某某、菏泽的宋某某、商河的杨某某、济南的王某某先后接到了“东北黑社会老五”的电话,面对凶狠的威胁,几人分别向对方汇款3000元至6000元。
其实,这个所谓的“老五”只是一个来自河北省承德市丰宁满族自治县的骗子张桂春。他之所以能让这些受害人不得不信、不得不怕,是因为他在电话里不仅直接报出了受害人的姓名和住址,而且还知道其本人或者妻子的生产医院信息。
彼时,这几位受害人都刚刚做了爸爸或妈妈,张桂春甚至连王某某刚出生孩子的姓名也一清二楚。
冒充“黑社会”进行手机敲诈勒索的犯罪手段并不高明,可犯罪分子却屡屡得逞,其原因之一在于,犯罪分子掌握到的公民个人信息真实详尽。
《法制日报》记者从丰宁警方获悉,已破获的手机敲诈勒索案件中,受害人中不仅有普通百姓,甚至还有知名商人和高级干部,这些个人信息的泄露渠道五花八门。
“学校、4S店、保险公司、各类会议,都有人为了牟取私利,对外销售个人信息。”办案民警介绍,这些信息的价格差距也很大,“便宜的一条几分钱,住在北京二环以内的个人信息较贵,一条5元。”
近年来,在有关部门的严厉打击下,电信诈骗高发势头已经得到遏制,但相关案件仍屡有发生,其中关键一点就在于个人信息泄露风险增加,泄露个人信息、非法买卖信息等行为屡禁不止。
2017年5月,河北省秦皇岛警方破获了该省首例非法获取公民个人信息案,犯罪嫌疑人共贩卖个人信息30余万条,从中非法获利25万余元。该案的起因是某新建小区多名业主不断遭到某装修公司的电话骚扰,警方查明发现该公司通过非法途径获得小区业主个人信息两万余条。
几乎同时,衡水警方成功打掉一个辐射全国10余省市、贩卖公民个人信息累计超过50G、400多万条的信息非法售卖链条。这起案件中,身为石家庄某投资公司信息管理员的犯罪嫌疑人王某利用工作之便,将收集到的个人信息交由专人整理、打包、分类,之后分售给11名下线,最终流向了多省地的房产中介、家装或者投资公司。
个人信息泄露不仅助长了电信诈骗人员的气焰,也带来大量民事纠纷隐患。今年11月20日,北京市朝阳法院召开涉侵犯公民个人信息民事案件审理情况新闻发布会通报,74件信息侵权案中44件为利用网络公布他人信息案,社会对个人信息保护意识普遍缺失,是该类案件常见的主因。
个人信息授权过多过滥,许多市场主体不愿投入人、财、物建设个人信息保护系统;有的单位员工可随意拷贝批量客户信息,用户个人信息几乎“裸奔”,违法成本却过于低廉;“人肉搜索”对当事人造成极大影响,但权利人证明信息遭某特定主体侵害举证难度却不断增大……
造成这一切的根本,就在于个人信息保护没有专门立法,致使全社会对个人信息保护意识普遍缺失,相关案件违法成本过低,信息保管人改进动力不足。
现行法律适用存在争议
没有个人信息保护专门立法,但并不意味着对个人信息没有法律保护。
目前,我国个人信息保护立法呈现出分散立法的趋势,有统计显示,涉及相关内容的法律法规并不少,有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定、医疗信息规定、个人信用管理办法等。
记者梳理发现,早在2003年,国务院信息化办公室就开始部署个人信息保护法立法研究工作。2009年,刑法修正案(七)就对非法窃取、出售、泄露个人信息的行为作出规定,之后刑法修正案(九)还针对现实情况设置了非法获取公民个人信息的罪名。此外,民法总则、网络安全法、消费者权益保护法、电子商务法、《全国人民代表大会常务委员会关于加强网络信息保护的决定》等民事、行政法律对个人信息保护也都有原则性规定或相关意见指导。
针对日益严重的电信诈骗形势,2016年12月,最高法、最高检和公安部共同制定出台《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》,加大对电信诈骗犯罪惩处力度。2017年6月,“两高”《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》开始施行,界定了公民个人信息范围,明确了“情节严重”标准,促使司法标准更为统一。
尽管个人信息保护已有相关法律法规和司法惩戒方面的明确,但对个人信息的保护仍然存在困境。
首先由于相关保护条款内容不集中、阐述不清晰、适用不明确、范围受局限、处罚不具体,相关法律法规可操作性并不强。
河北冀华律师事务所副主任、高级合伙人张力向记者直言,分散立法对个人信息保护的法律条款数量有限、适用范围相对狭窄,对于违反法规的法律后果普遍缺乏明确,还有法律法规之间缺乏体系上的呼应,这都不利于实践适用。
由此,直接造成即使司法部门出台了相关意见、解释,但在具体实践中仍然存在案件处理认识不一、法律适用存在争议的问题。
石家庄市人民检察院相关负责人向记者举例:“公民在网站上自行公开个人信息,是否就能推定为同意他人收集使用?收集使用者的行为目的与公民公开信息的目的是否一致?对于个人信息的收集和使用有无限定、如何限定?这些在司法实务中尚有分歧。”
值得注意的是,个人信息权属于民事权利,当民事权利受侵害时,民事救济应当是主要手段。但目前司法实践却是刑事保护在前、民事救济靠后。统计数据显示,2016年1月至2018年9月,全国检察机关共起诉侵犯个人信息犯罪案件3719件8719人。
造成这一现象,既有目前电信诈骗等违法犯罪形势严峻,司法以打击为主的原因;也有个人信息权侵权行为隐蔽性强,侵权者与被侵害人处境不对等的客观原因。
重刑轻民的后果就是不同司法机关在保护范围、保护力度、证据要求等方面的不同做法,导致个人信息的民事司法保护与民众的期待还有差距。据北京市朝阳法院的统计,近年来,涉及个人信息保护的案件增幅明显,但原告胜诉率却在下降,十年间原告全部或部分胜诉率由超过70%下降到不足50%。
专门立法推进系统保护
2017年两会期间,十二届全国人大五次会议新闻发言人傅莹表示,对于个人信息的保护,目前采取的方式是在多项法律中关注和强化,现在新技术、新商业模式发展很快,对立法提出了新的挑战,应当不断地完善法律制度。
2018年两会期间,全国人大代表、中国人民银行武汉分行行长王玉玲等10名代表向大会提出建议,出台个人信息保护法和配套立法,明确信息处理主体收集、利用和处理个人信息的基本原则和规范,为个人信息保护提供救济途径、保护程序,为我国个人信息的利用和保护构建系统化、整体化的解决方案。
新近出台的《十三届全国人大常委会立法规划》中,个人信息保护法被列入第一类项目。此前,在十二届立法规划中,个人信息保护法“缺席”一类项目;十一届立法规划中,个人信息保护法仅被列入第三类项目。
“统一的个人信息保护立法将涉及宪法、刑法、民法、行政法等,将其相关规定整合成一部法律,这样对个人信息保护的共性问题、基础性问题作出规定,对个人信息的保护无疑具有突破性意义。”张力说。
“如果买不到手机卡、银行卡、公民个人信息,犯罪分子就不敢从事电信诈骗行业。”丰宁县公安局多位民警向记者表示,立法从源头遏制电信网络新型犯罪行为,明确强化各监管部门的职责和义务,这是个人信息保护立法的最大意义。
在前不久召开的第五届世界互联网大会上,浙江省人民检察院检察长贾宇表示,个人信息保护立法要平衡不同利益主体的关系,平衡有效保护与开发利用的关系,平衡个人安宁和社会发展的关系,在制度设计上坚持合法性原则、正当性原则、必要性原则,实现共赢多赢;要实行差异原则,区分信息的采集和使用,将信息使用作为重点规制环节。
当然,个人信息保护法不可能面面俱到,只能明确基本原则、基本制度、基本行为规范和法律责任,因此必须和其他法律有效协同。
贾宇认为,个人信息保护法律法规的基本健全,要在民法典各分编中明确个人信息权的法律地位、权利属性以及个人信息的收集使用原则;尽快制定个人信息保护法,推进个人信息的专门化、系统化保护;分领域制定规章制度,在金融、通信、电子商务、教育、医疗卫生、传媒等重点领域制定个人信息保护行政法规、部门规章,形成既反映实际需要又整体统一的法律保护体系。
值得一提的是,在《十三届全国人大常委会立法规划》中,与个人信息保护法同时被列入一类项目的还有数据安全法。“数据安全法侧重于国家数据安全利益,个人信息保护法侧重于个人权益保障,这两部法律同时列入一类项目,体现了相关法律在起草过程中的相互衔接和贯通。”张力说。
当然,养成良好的网络使用习惯,慎重勾选个人信息授权使用条款,最大限度避免复印件被用于其他用途,注意分辨识别钓鱼网站、钓鱼软件,不随便点击陌生链接……在关注个人信息保护立法之外,公民首先要做到的是提高自我保护意识。
来源:法制日报