立法救不了人的命 为什么个人信息在我国得不到保护?



山东临沂女孩徐玉玉遭遇电信诈骗猝死,引发国人对个人信息保护再次关注,媒体向人们传递着一个强烈的信号:电信诈骗来源于个人信息泄露,个人信息泄露源自于采集和利用缺失规范,而所有这一切均归责于个人信息保护立法不完善。于是,制定个人信息保护法的呼吁又再次得到人们响应。

笔者并不反对制定一部我国个人信息保护原则和体系的个人信息保护法,但是并不认为我国个人信息泄露、买卖、滥用,甚至各种利用个人信息的诈骗是立法缺失的缘故。

在保护规则上,我国已经有多部法律法规确立个人信息保护规则。至少在法律上明确确立了以下规则:未经同意不得收集和使用个人信息;不得泄露个人信息,不得出售或者非法向他人提供个人信息[《关于加强网络信息保护的决定》(全国人大常委会,2012年);《中华人民共和国消费者权益保护法》(2013年修订增加),等等]。

在保护措施上,我国建立了民事责任、行政责任、刑事责任、信用惩罚全面的责任体系:

  • 违反者应当承担民事责任(应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失)、行政责任(行政机关可以给予责令改正、警告、没收违法所得、罚款、停业整顿、吊销营业执照行政处罚或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚 )、信用处罚(记入社会信用档案并予以公布)和刑事责任 [依据:《关于加强网络信息保护的决定》(全国人大常委会,2012年);《中华人民共和国消费者权益保护法》(2013年修订增加)等]
  •   违反国家有关规定“向他人出售或者提供公民个人信息”或者“窃取或者以其他方法非法获取公民个人信息”情节严重的,承担刑事责任(依据:《刑法》,2009年刑修七,2015年刑修九)。

我国的刑法是世界上对个人信息保护最严苛、最全面的法典。不仅任何主体(不限职务行为),而且非法获取或向他人提供所有个人信息的行为都可能入刑。这与其他国家仅将泄露或披露个人秘密信息入刑(如日本、德国)或者身份盗窃行为才有可能入刑(如美国1988年防止身份盗窃及假冒法),形成鲜明的对比。也就是我国刑法覆盖的对象和犯罪行为的范围要远远宽于世界各国。

就法律的实施,我国有专门针对通信领域的个人信息保护部门规章《电信和互联网用户个人信息保护规定》(工信部令第24号), 针对我国境内提供电信服务和互联网信息服务过程中收集、使用用户个人信息的活动作出详细规则,并将该领域个人信息保护监督执法工作落实给工信部和通管局系统。工信部2015年7月印发了《综合治理不良网络信息防范打击通讯信息诈骗行动工作方案》(开始半年,后来延续到2016年4月)。

在各部门协同治理电信诈骗,  2015年6月,经国务院批准,公安部、工业和信息化部、最高法院、最高检察院等23个部门和单位,联合建立组成打击治理电信网络新型违法犯罪工作部际联席会议制度。2015年10月部际联席会议第一次会议”,部署在全国范围内开展打击治理电信网络新型违法犯罪专项行动。今年2月的第二次部际联席会议决定将打击治理专项行动延长至今年年底。诈骗徐玉玉的六名犯罪嫌疑人显然也是“顶风作案”。

就刑事打击和适用,“两高”早在2011年就发布了《关于办理诈骗刑事案件具体应用法律若干问题的解释》(法释〔2011〕7号),两高与公安部于2013年4月23日发布了《关于依法惩处侵害公民个人信息犯罪活动的通知》(公通字[2013]12号)均对于打击电信诈骗的法律适用、部门协作配合、综合治理等作出规范。

以上说明,我国不缺个人信息收集和利用规则,不缺少禁止个人信息泄露或买卖的规范,也不缺法律责任体系和惩治行动。但是,我国仍然是世界上个人信息滥用、盗卖最严重的国家。

难道的是缺少一部统一个人数据保护的综合立法吗?答案显然是否定的。一个理由是,个人数据保护综合立法的目的是建立如何在保护个人隐私的前提下如何个人信息合法利用(包含流通)的,而主要目的不是打击个人信息泄露和买卖的,更不是治理电信诈骗的。单就禁止个人信息买卖和违法滥用的法律责任体系和惩治而言,综合立法不可能超出目前的框架和水平。因此,我们不可能期待综合立法在这方面有什么更新的作为。另一个理由是,美国没有综合立法“日子过得照样挺好”。众所周知,美国并不存在一部综合性的个人数据保护法,但没有人认为美国个人数据保护是世界上最差的。在没有统一数据保护立法的情形下,欧盟也一直愿意接受美国在企业自律的隐私保护方案(从过去的隐私案全港,到今天的隐私护盾),作为欧美之间个人数据跨境流动解决机制。美国的企业只要承诺其按照欧盟和美国共同认可的隐私保护原则实施企业个人数据保护,那么其个人数据保护就被推定为达到欧盟的保护水平。因此,我们不能将板子打在缺失统一立法上。

在某种意义上,甚至可以认为个人信息保护水平与电信诈骗并没有必然的联系。个人信息的泄露、出卖只是为电信诈骗提供了土壤或使其更加方便或精准地实施电信诈骗。制定完备的个人信息保护法,提高个人信息保护水平,可能会增加电信诈骗的难度,但不会消除诈骗行为。这是因为,个人信息总是要使用的,而使用总会伴随披露甚至无意的泄露,诈骗者总还是能够通过合法或不法手段获取个人信息实施诈骗的。因此,个人信息保护是一回事,而利用个人信息诈骗是另一回事。

在笔者看来,统一立法仍然救不了中国人的命。统一立法只是一个形式,而根本上我们缺少两个东西:对法敬畏和对人的尊重。缺少对法的敬畏是犯罪分子有恃无恐,使经营者或个人数据控制者有规不行。缺少对人的尊重,使我们不能将个人信息与个人联系起来,将个人信息的保护视为对个人人格、自由、尊严的尊重和保护,在尊重人的高度上看来个人信息保护。而保护个人自由、尊严、独立恰恰是欧洲个人数据保护法的根本目的。在缺失对个人自由、个人尊严和私人生活尊重的文化国度里,我们每个人对他人有多少尊重,恰恰就是掌握你的个人信息的组织或机构对你个人信息保护保护多少的反映。欧洲的个人数据保护法是建立在悠久个人权利保护文化基础上的,对于缺失这样文化的国度,引入个人数据保护法律规则后,单靠法律强制力能起多少作用?事实证明,我们不缺规则,而缺的是支撑法律规则的观念。如果没有观念来理解法律,那么将法律转化行动意识就不那么强,普遍违法现象就很严重,而当违法成为普遍现象时,执法力量就变得微弱了。这也就是我国采取大规模协同惩治行动,个人信息泄露、盗卖等仍然得不到扼制的根本原因。

上述观点并不代表笔者不赞同制定个人数据保护法。相反,笔者认为,个人信息保护规则在我国存在严重缺陷,迫切需要统一个人数据保护法,确立个人数据保护基本原则和目的,建立统一保护规则和保护机制,以校正现行个人信息立法中的不切实际、不具有操作性的规则和相冲突的规则,以真正实现个人信息保护有法可依、有法能依。每个公民对立法的完善应当有期待,但是,敬畏法律和尊重个人的文化才是个人信息保护环境得到改善的关键。这既是政府的义务,也是每个人的责任。


责任编辑:马小涵