法律视野下公民个人信息安全受侵害现状及对策探究
摘要2009年《中国法治发展报告》指出:在我国因能够采集到公民身份证信息的机构疏于管理和一些不法分子的违法行为,致使我国公民个人信息泄露的情况非常严重,已经在社会上出现了大量兜售房主信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息的“非正常”现象,甚至以此为赢利点形成了一个新兴的“信息倒卖”产业,我国公民的个人信息安全法律保护十分脆弱。这在一定程度上干扰了正常的社会主义市场经济秩序。鉴于此,我国的权力部门针对公民的个人信息安全加大了立法和执法的保护力度。本文针对湖北省武汉市关山街社区的研究旨在于为我国的立法工作提供实证性支持。 关键词法律公民个人信息安全信息泄露
本研究项目打破以往法律类课题在执行过程中纯粹调研模式的研究方法,采取虚构情境实验、还原信息传播路径的方式与传统的问卷调研、访谈以及网络信息搜集相结合的相结合的方法着重对公民个人合法信息存在的模式、泄露的原因、传播的载体和基本模式、传播者的动机以及可能造成的不良社会后果加以分析,同时又对在不同情境下的探讨采取正确的方法措施,从法律否认角度探讨建立一套行之有效的预防体系、法律机制以便从根本上保障公民的合法权益,维护社会的稳定与安宁的办法。
公民个人信息泄露的原因,经实证调研归纳如下:(1)公民对信息安全的重视程度不够,是造成个人信息外泄的最基本的原因。在
我们的研究过程中,约有90%的关山街居民只是对个人受到信息的骚扰感到困惑和不满,并没有尝试着去维护自己的个人信息安全,在涉及到医院填写求职简历、病历、考试报名等公民的个人信息时某些居民还存在着不同程度的信息滥用;(2)公民信息外泄是往往是由于一些从事以获取公民个人信息为职业人的不法行为和不法手段,公民个人信息只有在因为某一特殊的身份聚集成为一个物理上的“集合”时才会成为信息投机者的侵害对象,将大量的公民个人信息聚集的个人是很少的,这种行为绝大部分是以某单位的名义来进行的,教育、金融、医疗、公共安全、邮政等部门恰恰是这些信息的集中行业。如果这些单位的某些员工将单位获取信息加以私用,后果不堪设想;(3)公民个人信息的流动性和扩散性,过剩的个人信息资源引起了过剩的社会供给,最终引发个益受到骚扰、侵害;(4)行政管理机关的管理不力。如果说出现了侵害公民个人信息安全的现象是一种市场行为,那么这种市场行为的监管者应该对这一干扰正常市场经济秩序的行为作出相应的规范措施,事实上我国的机关目前面对这些“侦探公司”采取的是一种默认态度。尚且不管,那么等着民众个人去起诉相应的“侦探公司”来维护自身的合法权益,无论是从能力还是从物质角度上讲,单个公民都很难有任何优势可言。
公民个人信息传播的载体和基本模式。在洪山区关山街发生的关于公民个人信息泄露的事件中,90%以上的是因为移动通信运营商的信息泄露。其中,手机号码和所在单位是公民个人信息泄露的最
主要的表现形式,占到所有信息骚扰的73.6%。当然,在所有的涉及泄露公民个人信息的机关中,如果说最彻底也最直接的,莫过于系统的人口身份信息查询系统,法制日报早在2004年就曾报道过长春市的公民可以凭借个人的有效证件和单位介绍信去查询所需要人的身份信息。武汉市洪山区关山街的居民主要分为两种类型,其一,服务者和被服务者,这期间存在有一个需求与供给的完整的产业链。作为服务者,其愿意让更多的人知道自己联系方式以便获取更多的利润,而作为接受服务者,其希望的是获得自己想要的服务并努力提高自己的附加值,寻找最优的服务,两者之间的互动为关山街居民的个人信息泄露提供了可能。此外,关山街居民面对自己信息安全受到的侵害,绝大多数并没有采取行动的意愿,他们认为,在可以接受的范围之内,只要法律不加以明确的,就可以接受。
法律现状及其在执行中存在的问题。《刑法修正案(七)》在刑法第253条后增加一条:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”其中新设立“出售、非法提供公民个人信息罪”和“购买、获取公民个人信息罪”两项罪名。我们的研究发现以下几个方面还存在着立法机关亟待解决的问题:
第一,关于“公民个人信息”的确切定义模糊。我们一般认为的公民个人信息就是指公民的姓名、家庭住址和电话号码等个人信息,但是在某种特定的情况下,如获取某些特种行业的个人信息对行业的发展以及正常的经济活动造成影响的,那是不是还得用“公民个人信息”的相关刑法条文去解释是一个值得商榷的问题,以关山街为例,其居民中的相当大一部分是学生,那么学生的学生证号和学生卡的密码就显得很重要。
第二,在新设立的刑法修正案条款保护范围有限。换句话来讲,其犯罪内容是不确定的,仅仅是限定在国家机关或特定单位的工作人员这个范围,立法机关并没有一个明确的标准来对“侵犯公民个人信息安全”的主体加以说明、限定,也没有对“获取公民个人信息安全罪”的量刑解释,只是“情节严重的,处三年以下有期徒刑或者拘役,并处单位罚金”的简单说明,如果这样的法律条文具体的执行起来很容易因为量刑不当造成司法不公。“疑罪从无”是刑法所坚持的重要原则,一些可有可无的现象在没有得到确凿证据的情况下只能认定为无罪。
第三,非法获取公民个人信息所造成的危害难以用数字来衡量。在已经获得准确的损失数字前,无论是司法机关还是公民个人,均无法判定因为个人的信息安全的泄露给自己带来了多大的损失,然后,在我国的司法实践中,因为不法行为所造成的公民合法权利的损害是无法回避的,是必须考虑进审判结果的。另一方面,同一种违法行为,可能造成的实际损害也不尽相同,对不同的人和不同的
事情,比如说公众的电话号码沦落不法分子之手无非是每天多接到几个骚扰电话和垃圾短信,但是对于那些从事特殊行业的人来说(比如影星和机密工作人员)可能则是工作上的重要损失,如何判定上文中所提到的违法行为则应该重点考虑这种不法行为所造成的实际社会影响。
工商与行政部门在执法中遇到的问题。“侦探公司”的称谓机关未曾以任何名义支持。倘若真的涉及到公民的个人信息安全的行为或者商业活动,本应该是属于公共安全部门的检查范围之内的。事实上,所谓的“侦探公司”无非假借两种外衣:其一,商务调查公司;其二,市场调研公司。这些事实上的“侦探公司”在我国是假借商务公司的名义出现的,门只能在行允许的范围之内对这些公司进行例行的安全检查和行业规范整治,并没有像宾馆、饭店那样作出相关的性规定。这些“侦探公司”通过对和工商行政部门打擦边球,实现了行业发展迅速。 我们认为,理想状态下的公民的个人信息安全是在国家权力机关、公民个人和社会上的企事业单位的共同努力下获得的,公民的个人信息安全首先获得国家法律的认可与保护,并取得相应的法律与支持,通过规范自身的行为减少不必要的个人信息外泄,与此同时,企事业单位通过法律与道德的共同约束来避免自身(含单位组成人员)的不法行为,共同达到一个公民个人信息既可以按照公民本人意愿只有流通又不会对公民的个人生活进行骚扰的一种社会现实。
第一,国家加强立法保护,通过规范的立法和严格的司法并发挥行政的辅助作用,建立一套行之有效的关于公民个人信息安全的保护体系。在“侦探公司”和网上“人肉”搜索等不法行为已经发展为社会事实的情况下,我国的国家权力机关应该从国家层面对公民的个人信息安全加以确认,通过规范的立法以及完善配套司法解释来规范“公民个人信息”的范围和“侵害公民个人信息安全”这一概念的基本事实状态。当不法侵害行为的次数或者通过不法行为所获取的资料达到一定的数量时,我们既可以认定此类行为是犯罪活动,进而追究刑事责任。
第二,公民只有懂法、明法、用法,通过法律允许的行为去有效规范自己的信息状态和使用方法,才能从源头上保护好个人的信息安全。公民的个人信息说到底还是公民个人所拥有的,公民如何使用自己的信息在很大程度上就决定了信息的扩散程度和存在的范围,层面。建议相关部门出台公民的个人信息使用办法指导,对公民如何去使用自己的个人信息进行帮助,在必要的时候,如向医疗、教育、入学考试、通信服务等相关单位提供资料时那些可以不必要提交都加以说明。
第三,涉及公民合法个人信息的单位应该以我国的相关法律为依据,加强内部管理,最好是实现公民个人信息从录入到保留到输出的智能化,减少其中人为因素的影响。用条理和内容清楚的企业规范来要求相关人员不得泄露公民的个人信息,责任落实到人。只有
责任而没有责任人的规定等于空谈,一项企业行为规范制定出来首先应该注意的事情就是落实。从当前已经发生泄漏公民个人信息的案件来看,正是因为这些企业内部员工在泄露公民的个人信息后即便是单位追查责任,其所付出的代价也远远小于获得的收益。如果不让涉及泄露公民个人信息的不法分子所付出沉重的代价是无法控制住这种行为的,增加其获取公民个人信息的成本和风险,同时教育企业内部员工树立正确的价值观,形成正确的企业文化观念才能有效的保护公民的个人信息安全、维护企事业单位的自身形象。 第四,加强公民个人信息安全的相关法律和道德教育,在全社会范围内形成一种尊重公民个人隐私的良好风尚。国家权力机关在出台相关的法律之后应该对该法律进行一定的宣传教育,没有公民参与的法律不能算的上是国家的法律。国家机关应定期组织相关的专业法律人士对广大民众进行普法宣传教育,下力气扶持社会上存在的号召保护公民个人信息安全的公益组织,并逐步实现一个从“默认信息安全被破坏合理”到“窃取、非法利用公民个人信息可耻”观念的转变,净化社会环境。
第五,公民的个人信息安全是一种理想状态,绝对安全的公民个人信息是不存在的,但我们认为,公民的个人信息安全可以有两条检验标准:一是公民个人信息存在形式规范,这里的“形式规范”既指个人信息的条理化和信息化,也指应用公民个人信息进行登记的单位在运用公民的个人信息过程中行为规范;二是公民的个人信息自由流通,所谓的自由流通并不是没有的随心所欲的散布,
而是一个在国家法律允许的范围内、在公民个人意愿下的相对自由运用。
