近日,《经济参考报》刊发的“三问信息泄露”系列报道引发强烈反响。当海量的个人信息被泄露、地下黑市大规模非法买卖个人信息行为愈演愈烈时,如何充分有效地保护个人信息,预防与遏制侵害个人信息的各种违法犯罪行为,追究违法者的法律责任,必定成为全社会普遍关注的问题。
个人信息保护领域之所以出现这样的问题,从客观因素上说,是由个人信息的独特属性与网络信息科技的发展所致。个人信息保护法律制度必须依据这些特点相应地发展变化,不断趋于完善。
首先,个人信息保护法律制度应当是全方位的、动态的保护制度,既要亡羊补牢、事后追惩,更要未雨绸缪、防患于未然。一方面,通过明确个人信息保护中的正当、合法、必要原则,建立科学完备的个人信息处理规则,以告知并取得自然人或其监护人的同意,作为收集个人信息行为具备合法性的基本规则,并辅之以基于公共利益且严格限定的例外规定,从个人信息收集这一源头开始治理,整治违法收集和过度收集;另一方面,对于个人信息的存储、加工、保管、使用、传输、公开等进行全方位、动态的规范,要求处理者严格按照法律规定和当事人约定处理个人信息,严格履行个人信息的安全义务,强制要求信息处理者建立健全管理制度和操作规程,对个人信息进行分级分类管理并采取加密等安全技术措施,制定个人信息安全事件的应急预案,公布个人信息保护负责人的联系方式等。同时,强化大型网络平台的监管义务。
其次,高度重视个人信息权益保护,充分赋予自然人保护其个人信息的权利。我国民法典明确承认自然人的个人信息权益,赋予自然人对其个人信息享有作为民事权益的人格权益,详细规定自然人针对其个人信息的查阅权、复制权、更正权、删除权等权能,并建立配套的权利实现程序机制。
再次,对于侵害个人信息的违法犯罪行为,应当采取刑事责任、行政责任与民事责任并重,私人诉讼与公益诉讼兼采的综合法律责任体系。除了在刑法上进一步完善侵害个人信息犯罪以及非法买卖数据等犯罪的规定及其刑事责任外,也要强化个人信息保护执法机构的法定职责,加大对各类违法行为的行政处罚,特别是采取动态监督执法,对于违反义务的信息处理者依法采取罚款、给予处分、记入信用档案、停业整顿、吊销许可证、吊销营业执照等处罚措施。此外,还要规定严格的侵害个人信息的民事责任,包括停止侵害、排除妨碍、消除危险以及赔礼道歉、恢复原状、赔偿损失等多种侵权责任承担方式。
最后,科学界定和协调个人信息的多元化利益。现代信息社会中,个人信息呈现多元化的利益格局,既有自然人对其个人信息加以掌控,以免人格尊严以及人身财产权益受到侵害的需要,也有公司企业等营利法人处理个人信息以更好地推销商品或服务的营业自由的诉求,还包括维护信息合理有序流动,实现舆论监督,以及国家机关利用个人信息提升社会治理能力等公共利益的需要。因此,需要通过民法、刑法、行政法、国际法、个人信息保护法等共同规范个人信息的处理行为,更好地协调这些多元化的利益。(程啸)