信息保护法律法规篇1
我国互联网发展在紧抓机遇的同时也面临着严峻的挑战:(一)网络舆论与社会敏感问题间的张力增大。我国社会正处于转型期,某些矛盾凸显,并在网络舆论状况中放大化与复杂化;(二)公民个人网络安全的保障有待增强。网民的网络生活必然与自身隐私和数据安全有密切联系,而对后者的保护仍是我国现有法律体系的薄弱之处;(三)互联网管理规制水平未能跟上互联网发展。主要体现在两方面:一是现有互联网法律体系尚待健全,专门性的规定必然薄弱,二是互联网的发展情形以网上信息源头急剧增多、信息传播渠道更加私密隐蔽、信息传输方式更加集成开放为特点,使执法难度加大。迎接机遇面临挑战,新《办法》应运而生,是我国对互联网进行规制调整的极大努力。
与原《办法》相比较
与原《办法》相比照有利于更全面地了解新《办法》草案的立法思路与其解决的现实问题的针对性。
在形式上,新《办法》将条文由原有的27条增加到40条,在体系层面上内容更为具体细致也更便于使用。就主要内容而言,新《办法》明显更为丰富,对原有主要内容有所改进:在市场准入的规定方面更为精炼,只作出原则上的规定,减少篇幅,将具体的要求与程序交由下位法规规定;在内容监管责任方面,在保留原有的被监管内容类别基础上,对监管行政主体有更详细的规定,包括中央与地方的关系、各内容主管部门的分工以及相关行政执法的程序要求;而相对于原《办法》关于互联网信息服务提供商对用户的接入互联网信息的数据存留义务的简略规定,新《办法》加入了关于用户信息、服务商日志信息的保留,并引入了为国家机关依法查询提供技术支持以及对用户承担保密义务的规定。同时,新《办法》还加入了“提供由互联网用户向公众信息的服务”的行政许可审批、网站准入资格、相关服务提供者的安全管理责任、用户真实信息注册、个人信息和隐私权保护等。
新《办法》相对于原《办法》的进步意义是空前的,体现了我国立法者对解决现有互联网问题的决心。从监管的角度看,新《办法》实现互联网安全治理的调整方式简要归结起来就是“以行政监管为主,实现多元化治理机制”。通过行政监管、鼓励自治、群众举报多管齐下,行政机关在主动审查与被动调查相结合中团结多方力量共同打击互联网违法行为。共同实现这一目标的制度还需要辅之以网络安全与信息安全管理、公共信息巡查、应急处置、用户信息安全管理等制度。
人格利益的保护
在互联网环境中,隐私权主要体现在具有个人人格指向属性的数据的保护上。原《办法》只在第15条第8项对互联网信息服务提供者“制作、复制、、传播侮辱或者诽谤他人,侵害他人合法权益的”信息进行禁止,并未对个人信息的获取与非广泛传播的应用进行规定,很难与互联网用户的隐私权相关联。而新《办法》则将这一规定以单独条文的方式上升到一般性规定的层面,用“用户的合法权益”一词完全概括可能出现的侵权情形。
如果说将新《办法》第13条视为原则性规定而将第17条视为它的其中一种情况,我们不妨稍作分析。新《办法》第15条明确地规定了用户注册论坛、博客、微博等时“提供由互联网用户向公众信息的服务”的网站需要提供个人真实身份信息,而互联网接入服务商也需要对用户接入互联网的“日志信息”进行保存。而第17条则明确规定两类互联网信息服务提供者需对“身份信息、日志信息等个人信息负有保密义务,不得出售、篡改、故意泄露或违法使用用户的个人信息”,并在第34条中规定了相应的行政责任承担方式。这一规定对两类互联网信息服务提供商的保密义务进行了要求,以求达到保护用户个人数据隐私等人格利益的效果,故可视为第13条的一种具体情形。
从与上述法规的对比中可以看出,新《办法》对隐私与个人数据等人格利益的保护主要有以下特征:
一、主体规定明确。承担保护隐私与个人数据安全的主体包括互联网信息服务提供商(互联网内容服务提供商)和互联网接入服务提供商。
二、客体规定明确。这是规定中最为突出的进步特征。较之于以往的法规中的“合法权益”、“个人信息”和“通讯自由与通讯秘密”等用语,新《办法》在界定上以“身份信息”和“日志信息”为例,并以“等”字表明并未穷尽,将客体定义为“个人信息”,在界定中有粗有细,使客体的范围能以明确的标准予以确定。
三、禁止的行为方式较为确定。新《办法》第17条从正向的“保密义务”与反向的不得作出的行为两方面对互联网信息服务提供商的义务作出规定,范围较为明确。需要指出的是,“违法使用”一词略显模糊,仍有待推敲——直接使得用户隐私或名誉受损固然违法,但互联网信息服务提供商自身以何种方式使用才算违法?采集用户电脑的Cookies并以此改进对客户的服务是否违法?对用户个人信息进行采集与统计并加以分析使自己获益又是否违法?
四、调整方式为行政手段。新《办法》并未规定互联网信息服务提供商对保护用户个人数据信息的义务,也并未如《侵权责任法》那样规定民事责任承担方式,更没有承担责任的行为构成要件与免责事由,只有对其故意或直接侵犯用户个人数据信息的行为进行禁止与行政责任,带有惩罚意味而并无补偿性质。
信息保护法律法规篇2
一、我国滥用个人信息的表现形式及立法保护现状
在我国,滥用从合法或非法途径获得的个人信息的表现形式多样,危害严重。(1)个人信息买卖交易。将手头掌握的个人信息拿来买卖交易而牟取非法利益,由此形成买卖个人信息的“地下产业”。(2)对采集到的个人数据进行未经许可的二次开发利用,为细分市场、制定营销战略提供依据,进而实施对重点人群或重点客户的定向强制推销,严重侵犯个人安宁生活的权利。(3)擅自公开、传播、散布个人信息,实施造谣中伤、添加不实的损害性评论等侵权行为以及诽谤、侮辱他人人格的犯罪行为。(4)盗用他人个人信息实施诈骗等违法犯罪活动,造成个人信息主体财产损失,危及个人信息主体生命安全。(5)境外势力通过对特定人群个人信息的非法采集,以此刺探科技情报和经济情报,严重威胁我国国防安全和经济安全。
我国目前没有专门的个人信息保护法,涉及隐私的个人信息主要以人格权、隐私权等形式来加以保护。相关规定散见于宪法、民事法律及司法解释、刑事法律、诉讼法律、行政法律法规或规章之中。具体包括:宪法、民法通则和侵权责任法对公民一般人格权和隐私权保护的规定;刑法对诬告陷害、侮辱诽谤他人犯罪,非法搜查和非法侵入犯罪,侵犯公民通信自由权利犯罪,出售、非法提供、非法获取公民个人信息犯罪的规定;民事诉讼法、刑事诉讼法、行政诉讼法和预防未成年人犯罪法就涉及个人隐私案件的不公开审理作出了规定;律师法和公证法就保守当事人个人隐私作出了规定;未成年人保护法、妇女权益保障法和消费者权益保护法分别就未成年人个人隐私、妇女人格权和消费者人格权保护作出了规定;居民身份证法、护照法、统计法、社会保险法、商业银行法、反洗钱法、劳动争议调解仲裁法、传染病防治法、执业医师法、邮政法等法律就个人信息保密和个人隐私保护分别作出了规定;中华人民共和国电信条例、全国人民代表大会常务委员会关于维护互联网安全的决定、计算机信息网络国际联网管理暂行规定实施办法、互联网信息服务管理办法、互联网安全保护技术措施规定、计算机信息网络国际联网安全保护管理办法、互联网电子公告服务管理规定、互联网电子邮件服务管理办法、个人信用信息基础数据库管理暂行办法等法规、规章对个人信息保护事项作出了规定。
综观我国个人信息保护立法现状,不足之处在于:(1)我国涉及个人信息保护的法律法规数量庞杂,相互之间缺乏系统性和协调性,相关制度不够健全、监督和救济机制不尽完善,个人信息主体的权利难以得到全面有效的保护。(2)缺乏一部专门的规范个人信息保护的龙头法律——个人信息保护法,个人信息的定义、个人信息的范围、个人信息保护原则、个人信息保护执法主体、个人信息主体和个人信息采集管理主体的权利义务、法律责任及救济等不甚明确或不够完善,不利于对滥用个人信息违法犯罪行为的打击制裁和对个人信息主体合法权益的保护。(3)我国宪法和法律中关于个人信息的保护规定,主要是从保护一般人格权和隐私权的角度进行规范,并未涵括一般人格权和隐私权之外的大量个人信息。刑法修正案(七)虽然新增了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”,但是两罪规定的犯罪主体范围过窄,不能涵盖所有出售或者非法提供公民个人信息的主体。另外,构成该罪必须达到“情节严重”的标准不具有可操作性。(4)我国民法、刑法和侵权责任法等法律关于涉及个人信息保护的规定大部分属于事后救济规范,无法实现对个人信息采集、保管和利用等环节的全流程监管;有关涉及个人信息保护的行政法律和行政法规多数也是原则性规定,缺乏操作性;我国业已出台的与利用互联网有关的个人信息保护行政法规和规章效力层级较低,执行起来难度很大,难以有效遏制利用网络滥用个人信息的违法行为。
二、德国个人信息保护立法概况及特点
德国黑森州于1970年颁布了世界第一部个人信息保护立法——资料保护法。德国国会于1970年起着手制定联邦资料保护法草案,经过长达6年的反复讨论与修改,联邦个人资料保护法最后于1976年全文通过,1977年生效。该法的正式名称是防止个人资料处理滥用法(人们习惯称其为联邦资料保护法),共有6章47个条文,分为总则、公务机关的资料处理、非公务机关为自己目的的资料处理、非公务机关为他人目的的营业性资料处理、罚则、过渡与例外条款[2]。该法生效后,历经1980年、1990年和2001年三次修正。在此期间,在德国发生了著名的“人口普查法案”宪法诉讼[3],该案的判决由于确立了公民的“信息自决权”而成为德国个人信息保护发展史上具有里程碑意义的事件,宪法判决关于信息自决权的规定,奠定了个人资料保护的宪法基础。受联邦1983年判决的影响,德国对个人资料保护法进行了再一次修订并于1990年12月完成修正并公布,修正后条文减为5章44条,内容更为充实,理念得到了很大程度的更新。这次修正将国家安全机关对个人资料的收集与处理纳入了个人资料保护法[4]。根据欧盟资料保护指令的要求,德国议会对1990年联邦资料保护法进行了修订并于2001年5月23日通过了修改后的联邦资料保护法。相较于1990年联邦资料保护法,2001年联邦资料保护法扩大了个人信息保护法的适用范围,首次将非公有领域的、非商业性的信息行为纳入调整范围。适用范围的扩大还表现在加强规范力度方面,具体而言是指将禁止收集原则、直接收集原则、目的特定原则的适用范围从国家机关扩大到了非国家机关。州层面的地方立法和针对具体行业个人信息保护问题进行的专门立法也是德国个人信息保护法律的组成部分。美国“9·11事件”之后,德国以反恐为名扩大了国家机关收集或处理个人信息的权限,相关规定主要体现在打击恐怖主义法(2002年)、打击恐怖主义补充法(2007年)、电信监视法(2007年)等法律之中[5]。
德国联邦个人资料保护法是大陆法系国家最有代表性的一部个人资料保护专法,它采取统一立法模式,以信息自决权为宪法基础、一般人格权为民法基础,对个人信息给予保护[6]。在立法体例上,德国联邦资料保护法采取的是“总分总”的格局,对公、私领域的信息行为均加以规范。但从立法进程来看,德国对公、私领域信息行为的态度,经过了“差别巨大——差异缩小——差距重新扩大”的过程,德国个人信息保护法的发展,是典型的“螺旋式上升,波浪式前进”,在否定之否定中不断完善,以适应现实需要的过程[7]。综观世界各国(地区)对个人信息保护立法的现状,主要有统一立法、分散立法和统分结合立法三种立法模式。统一立法模式是指通过一部统一的法律来规范公共机构或私营部门对个人信息的处理行为。德国是对个人信息保护采取统一立法模式的典型国家,从全球来看,统一立法模式是发展趋势,世界上多数国家都采用了统一立法模式。统一立法模式对公共部门和非公共部门采取同一标准,有利于保证法律适用的统一性。
三、德国个人信息保护立法对我国的启示
我国当前正处于社会转型加速和信息化深入发展的历史阶段,社会矛盾凸显、恐怖主义时有威胁,治安管理、社会管理和社会建设任务繁重,公共部门采集个人信息已是常态化的日常工作,非公共部门和个人处理个人信息的现象也非常普遍。我国目前分散的以保护隐私权等一般人格权的法律规定难以有效预防和打击滥用个人信息的违法犯罪行为,滥用个人信息已经成为严重的社会问题。因此,我国应当立足自己国情与法律传统,充分吸收、借鉴德国的立法经验,采取对公共部门和非公共部门的个人信息处理行为进行统一立法的模式。在此基础上,对涉及个人信息保护的其他法律法规作出适当修改完善,实现个人信息保护基本法律与其他法律法规的有机协调。
(一)借鉴统一立法模式出台个人信息保护法
为了规范各种个人信息处理行为、强化对个人信息的全面保护,我国迫切需要出台一部保护个人信息的基本法律——个人信息保护法。在立法模式和和立法体例上,可以借鉴德国的立法经验,采取公共部门和非公共部门统一立法的模式。在立法体例上,采用“总分总”的篇章结构:即首先界定适用范围、术语含义和基本原则,该部分内容对公、私领域同样适用。继而分章规定国家机关和非国家机关在个人信息收集、存储、处理和利用方面的要求,最后再统一规定法律责任机制[8]。主要内容包括:(1)个人信息的定义与范围。对个人信息可作如下定义:个人信息是指可识别的与自然人有关的任何信息,包括但不限于姓名、出生年月以及其他内容而可以识别出特定个人的部分,包括自动或者非自动方式处理的各种个人信息。这种概括列举式的规定具有一定的开放性,好处在于可以将随着科技发展而增加的个人信息类型纳入全面保护的范围。个人信息主体应当包括生存着的和已死亡的自然人。之所以将已死亡的自然人的个人信息也纳入保护范围,原因在于如果承认个人信息之上存在人格利益,就应当对已死亡的自然人的个人信息实行一体保护,尤其是涉及已死亡的自然人的隐私等个人信息时更应如此,对此我国司法解释已对死者的隐私等人格利益保护作出了明确规定。(2)关于个人资料保护的原则。可以参照经济合作与发展组织(oeCD)、欧盟和德国的做法,确立我国个人信息保护的原则,这些原则包括:①直接原则。应该直接向个人信息主体本人收集个人信息。②目的明确和限制利用原则。收集个人信息的目的应该在收集之前列明,并且随后的使用应限于实现这些目的。③信息品质原则。个人信息处理应做到公正、合法的收集和处理;基于特定、明确、合法的目的收集、处理信息;个人信息的收集和处理必须充分,不能过度、不能超越目的范围;必须完整、准确,并保持信息最新状态;以可识别的信息主体允许的形式保存。④禁止收集原则及其例外。除非法律另有规定,否则禁止收集、处理个人信息。但以下情形除外:国家机关为履行公共职责需要可以不经个人信息主体同意直接收集处理个人信息;非国家机关在征得个人信息主体同意并声明使用目的的前提下可以收集处理个人信息。因对国家机关公职人员履职情况监督需要,新闻媒体和公民个人无须征得个人信息主体的同意可以收集处理个人信息,但必须遵守法律法规的规定。禁止收集处理涉及种族、政治、、健康状况、性生活和性取向等个人信息。⑤查询和更正原则。个人信息主体有权查询本人信息,有权更正不正确的个人信息。第三方查询公共记录中的个人信息必须严格遵循程序和目的限制的规定。⑥安全保护原则。个人信息应该受到合理的安全保护,以免发生诸如丢失或未经授权的获取、破坏、使用、修改或披露。(3)权利和义务。依据个人信息保护的基本原则,国家机关为履行公共职责需要有权收集处理公民个人信息。公共部门和非公共部门对收集处理的个人信息负有保密义务、更正义务等。个人信息主体享有“个人信息自决权”,包括决定权、保密权、知情权、更正权、禁止权、报酬请求权和救济权。(4)个人信息保护机构。国家应当设置统一的个人信息保护委员会,负责个人信息保护法律执行情况的监督,受理与个人资料保护有关的申诉,为个人信息主体提供救济,对个人信息保护行业自律进行指导监督。(5)法律责任。对侵害他人信息的行为,根据情节轻重分别规定民事责任、行政责任或刑事责任。
(二)个人信息保护法与其他相关法律的有机协调
我国将来出台个人信息保护法还要注意和已有的关于保护个人信息的法律规定保持协调,完善和构建个人信息的事前预防、事中规范、事后救济的保护体系。在个人信息保护法对滥用个人信息行为规定民事责任、行政责任和刑事责任的基础上,必须适时修订已有民事法律、行政法律和刑事法律中关于个人信息保护的规定,实现法律之间的有机衔接。(1)与民法、合同法、侵权法等民事法律的协调。例如,对于非公共部门在商务活动中滥用个人信息的行为,个人信息主体可以依据合同法上的附随义务追究违约责任,或者根据侵权法追究侵权责任。故意或过失泄露个人信息的管理者和具体实施侵权行为的侵权人应当承担连带责任。对于滥用个人信息的侵权行为,个人信息主体有权请求侵权人承担侵权责任,造成严重精神损害的,有权请求精神损害赔偿。(2)与行政法律的协调。对于公共部门在履行职责过程中处理个人信息的不当或违法行为,造成严重后果的,应当依法对直接负责的主管人员和其他直接责任人员给予行政处分。侵犯他人个人信息自并且情节严重的,可以采取罚款等行政处罚措施予以制裁。(3)与刑事法律的协调。修订刑法修正案(七)关于“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”的规定,将两罪犯罪主体的范围拓宽至任何处理个人信息的人员;对刑法修正案(七)关于“情节严重”的规定作进一步细化,使之更具操作性;增设“非法披露公民个人信息罪”,未经个人信息主体同意,非法披露或非法公开个人信息,造成严重后果的,应当追究刑事责任。
注释:
[1]参见网易新闻中心:《深圳10万孕产妇信息遭泄密,泄密光盘1.2万张》,;中国质量新闻网:《首例电信企业员工泄露公民个人信息案近日宣判》,,2012年9月25日访问。
[2][4]齐爱民主编:《个人资料保护法原理及其跨国流通法律问题研究》,武汉大学出版社2004年版,第68、69~70页。
[3]参见罗明通等:《电脑法》(下),台湾群彦图书股份有限公司1994年版,第506页。
[5][7][8]蒋舸:《个人信息保护法立法模式的选择——以德国经验为视角》,载《法律科学》2011年第2期。
信息保护法律法规篇3
关键词:个人信息法律保护现状意义
一、个人信息的概念
个人信息,在我国还没有一个法定的概念,一般来说,个人信息是一切可以识别本人的信息的总和,这些信息包括了一个人的生理的、社会的、文化的、家庭的等等方面。中国社科院法学研究所研究员、宪法行政法研究室主任周汉华认为“个人信息是指那些能够据此直接指明或间接推断出自然人身份而又与公共利益没有直接关系的私人信息”。
个人信息的法律属性,众说纷纭目前尚无定论,以“所有权客体说”、“私权客体说”等为代表。纵观这些观点,争论的主要问题是个人信息属于何种权利客体,进而将个人信息纳入何种私权进行保护,我认为,首先个人信息应将其当做私权来保护,侵犯公民的个人信息也就同时侵害了公民的私权利,但是私权包括哪些有待进一步解释。
二、个人信息法律保护的现状
个人信息的法律保护是近几十年以来随着信息社会的发展而日益突出的问题,虽然中国很多个人和机构已经认识到保护个人信息的重要性,但是由于多方面的原因,到目前为止中国还没有制定专门的个人信息保护法,仅仅提供了有限的保护,主要在法律法规中与个人信息保护有关的个别条款中有所体现,也没有明确的管理机构,在有关法律中虽然规定不得随意公开公民的隐私,但是缺乏有效保障措施。当前完善相关法律法规具有很强的现实紧迫性。
(一)我国法律对个人信息的保护
1、对个人信息的直接保护
目前我国法律中直接对“个人信息”加以保护的法律、法规、规章及司法解释的数量较少,其中全国性的法律只有《中华人民共和国刑法》、《中华人民共和国护照法》、《中华人民共和国身份证法》直接规定了“个人信息”的保护问题。并且2009年通过的《刑法修正案(7)》新增加了出售、非法提供公民个人信息罪、非法获取公民个人信息罪,加大了对个人信息的保护力度。行政法规、部门规章和司法解释直接提及“个人信息”保护问题的也仅有几项。特别值得提出的是,中国人民银行的部门规章―《个人信用信息基础数据库管理暂行办法》(2005年6月16日通过,2005年10月1日起实施)对个人信用信息的收集、处理、利用、流通等作了较为详细的规定,开创了中国特殊领域的个人信息保护立法。
2、对个人信息的间接保护
我国法律对个人信息的间接保护,主要是通过规定保护人格尊严、个人隐私等与个人信息相关的方面来保护个人信息。在《宪法》中,第38条规定了公民的人格尊严不受侵犯,第40条规定了公民的通信自由和通信秘密受法律保护。这是《宪法》从基本法的角度对隐私权所作的原则性保护,为个人信息在其他法律部门中获得保护提供了根本依据。
在其他法律中也存在一些与个人信息保护相关的法律条款,我国的《民法通则》第100条规定:“公民享有肖像权,未经本人同意,不得以获利为目的使用公民的肖像。”《未成年人保护法》第30条规定:“任何组织和个人不得披露未成年人的个人隐私。”《妇女权益保障法》第39条规定“妇女的名誉权和人格尊严受法律保护。禁止用侮辱、诽谤、宣扬隐私等方式损害妇女的名誉和人格。”等等。
三、个人信息立法法律保护的现实意义
(一)保护个人权利的需要
在生活中,我们经常会被一些看似熟悉的陌生人打扰,比如我们根本不认识他们,但是他们却像熟人一样,不光知道我们的姓名、工作单位,甚至知道我们的收入和电话号码,还知道孩子的性别和出生日期。所以需要通过法律来保护个人权利。
(二)保障市场经济发展
在市场经济的带动下,公民个人信息成为了商业机构的“盘中餐”,商业机构收集公民个人信息,以发掘更大的市场潜能,甚至出现了专门贩卖个人信息的商业组织,个人信息在此时已经完全脱离了公民个人的掌控,成为了流通市场上的“商品”。
个人信息是一把“双刃剑”,其合理使用能够顺应信息时代的要求,促进信息社会的健康发展,否则会阻碍信息社会的顺利转型。
(三)有效利用信息资源
市场自发配置资源要求信息的自由流动和充分交换个人信息,而个人出于自卫心理往往不愿向商家透露个人信息,于是个人信息的安全问题便成为横亘在双方面前的一道难以逾越的“障碍”。只有消除公民的后顾之忧才能让资源自由流通。
(四)促进电子商务和电子政务的健康发展
电子商务这一商业模式在国民经济中的作用越来越重要,消费者的许多个人信息往往会在知情或者不知情的情况下被商家收集,消费者往往因担心个人信息的安全而放弃进行网上交易,仍旧选择传统交易方式,从而阻碍着我国电子商务的发展。电子政务公开的顺利进行,需要明确政府信息公开与个人信息保护的界限。,通过个人信息立法可以明确这种界限,推进政府信息公开。
四、完善立法,治标治本
没有救济的权利不是真正的权利。个人信息作为一种重要的社会资源,是经济发展的需要,因此,国家应当负有对个人信息的保护责任,而完善立法则是国家履行保护职责的最主要体现。如果不能建立个人信息保护的相关制度,对个人信息处理行为进行有效的管制,就无法从根源上杜绝侵犯个人信息的问题。由于我国还没有制定专门的个人信息保护方面的法律,所以笔者建议应尽快出台一部我国的《个人信息保护法》。
结束语:信息技术的迅猛发展是个人信息的法律保护问题越来越受到人们的重视,信息控制者、信息处理者、第三者在采集、处理、利用个人信息的过程中,将产生大量法律问题,个人信息保护法的出台势在必行,我们可以充分借鉴国外已有的先进经验,制定适合我国国情的立法模式,为我国社会的有序发展作出贡献。
参考文献:
[1]杨立新.中华人民共和国侵权责任法草案建议稿及说明[m].北京:法律出版社,2007.136.
信息保护法律法规篇4
移动互联网个人信息隐私权在信息化的今天,现代网络科技的飞速发展,随着3G网络普及以及个人移动互联网终端商业化发展,可以说已经进入移动互联网时代。移动互联网在带给人们的各种便利、快捷的服务的同时,也留下了个人信息容易被泄露、公开或传播的种种隐患。
一、移动互联网下的个人信息个人信息在我国还没有一个法律上的概念。这一概念最早提出于1968年联合国国际人权会议中的“资料保护”个人信息通常是指一切可以识别某个人的信息的总和,这些信息包括了一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面。例如个人的姓名、性别、年龄、血型、住址等信息,通过这些信息,能够对个人进行直接或间接的“识别”。个人信息是一种人格利益,在我国法律体系下应属于人格权的一种。一般来讲,个人信息权是指本人依法对其个人信息享有的支配、控制并排除他人侵害的权利。对个人信息的保护实质上就是对隐私权的保护。但个人信息权又不完全等同于隐私权,隐私权一般是指“享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。”例如,在实践中,已经被本人授权公开的个人信息不能够视为个人隐私权的内容,但这些内容任然属于个人信息权,应当按照个人信息予以保护。根据中国互联网络信息中心(CnniC)于2013年1月15日第31次《中国互联网络发展状况统计报告》显示,截止至2012年12月,我国网民规模.已经达到5.64亿,手机网络规模已经达到4.2亿,并且于年中首度超过通过电脑接入互联网的人数。可以说,我国已经进入了移动互联网时代。在移动互联网的背景下,个人信息除了传统内涵外,还包含了新的内容,如个人所处的的地理位置、手机通讯录以及各种社交软件联系人、个人浏览记录、个人消费记录等。因此,在移动互联网时代,对个人信息的保护就成了新的课题。
二、移动互联网时代个人信息侵权的形式(一)非法收集个人信息移动互联网与传统互联网相比,个人与接入互联网的终端相对固定,终端设备与信息的绑定更加突出。因此在个人信息的收集时侵权变得更为容易,主要包括以下几种形式:1、未经同意非法收集个人信息在未经移动互联网网民同意的情形下,网络服务商、移动互联网网站、软件制作人甚至个人(主要指网络黑客)通过程序非法收集网民个人信息。值得注意的是,移动终端软件通过后门程序抓取个人信息的行为非常普遍。据中国互联网数据中心数据显示,在国内各类android市场下载量前1400位的app内,有66.9%的智能手机移动应用在抓取用户隐私数据,其中,34.5%的移动应用有“隐私越轨”行为。而在这些行为中,未经网民同意收集个人信息的行为也屡见不鲜,成为移动互联网中对个人信息侵权的重灾区。在非法收集个人信息的行为中,还有一种行为隐蔽性较强。移动互联网站、终端软件通过提供免费服务收集个人信息,在提供这些服务或商品时,往往需要填写个人信息,或者告知用户将抓取如个人位置、通讯录、访问记录等个人信息,这些个人信息往往除用于该服务或商品外,还在网民并不知悉的情形下使用,构成了对个人信息的侵权。2、通过购买的方式收集个人信息由于移动互联网个人信息可以为商业机构带来不可估量的经济利益,因此,这些信息也是商业机构追逐的目标。许多商业机构和公司,通过购买网民的个人信息直接进行收集,为从事相关的商业活动进行准备。(二)对个人信息的非法分析与利用在移动互联网中,商业机构经常对从网络上搜集到的个人信息进行分析处理,以达到其商业目的。例如通过对用户最近搜索词汇的分析,向用户推介网站或商品等。虽然这种行为体现了互联网站个性化的服务,方便了用户,但这种对个人信息进行分析的行为也构成了对个人信息的侵犯。另外需要注意的是,除了商业机构进行的商业分析外,互联网的热点是“人肉搜索”也在移动互联网时代下有所体现。“人肉搜索”是指在一些社会热点问题出现后,网民通过对互联网上的个人信息的分析去“识别”社会热点的一方,并将其公之于众的行为。如果在公布的个人信息里面涉及个人隐私,那么这种行为也是一种侵权的行为。另外,对一些合法取得的个人信息,也存在非法利用的情形。例如,互联网站等合法持有个人信息的机构,将这些信息或信息分析结果出售给其他有商业目的的机构或组织,从中获利的行为,同样属于非法利用个人信息的情形。
三、我国目前对个人信息保护的现行法律依据我国目前对个人信息保护还没有专门的立法,司法实践中一般是将个人信息纳入人格权中的隐私权加以保护。但同样,我国对隐私权也没有专门立法,隐私权保护的相关规定散见于宪法、民法、刑法、诉讼法等法律法规中。这些法律也就成了移动互联网个人信息法律保护的法律依据。(一)宪法《宪法》第39条规定:“中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。”第40条规定:“中华人民共和国公民的通信自由和通信秘密受法律的保护,除因国家安全或者追究刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”这些规定都是对隐私权保护的重要内容,也是对个人信息保护的渊源。(二)民法类规定我国在司法实践中,对公民人格权保护的主要依据是《中华人民共和国民法通则》第101条,公民、法人享有名誉权,公民的人格尊严受法律保护,禁止用侮辱、诽谤等方式损害公民、法人的名誉。同时,《最高人民法院关于贯彻执行若干问题的意见》第140条规定,以书面、口头形式宣扬他人隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,给法人造成损害的,应当认定为侵害法人名誉权的行为。最高人民法院《关于审理名誉权案件若干问题的解答》规定:“未经他人同意,擅自公布他人隐私材料,或者以书面、口头形式宣扬他人隐私,致他人名誉受到损害的,按照侵害他人名誉权处理。”(三)其他法律规定除上述法律外,我国对个人信息保护的规定散见于各种专门法律规范之中,例如《商业银行法》、《人民警察法》、《律师法》、《居民身份证法》、《护照法》、《未成年人保护法》等法律法规中均有对个人信息保护的相关内容。而在互联网领域,关于个人信息、个人隐私保护的立法也比较多,2000年9月25日,国务院颁布《互联网信息服务管理办法》,其中第15条规定互联网信息服务提供者不得制作、复制、、传播含有下列内容的信息:(八)侮辱或者诽谤他人、侵害他人合法权益的。《互联网电子公告服务管理规定》第9条:“任何人不得在电子公告服务系统中含有下列内容之一的信息:(八)侮辱或者诽谤他人,侵害他人合法权益。”第12条规定:电子公告服务提供者应当对上网用户个人信息保密,未经上网用户同意不得向他人泄露,但法律另有规定的除外。全国人大常委会于2012年12月28日通过《关于加强网络信息保护的决定》第一条明确指出:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”第三条规定“网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。”第九条规定“任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为,有权向有关主管部门举报、控告;接到举报、控告的部门应当依法及时处理。被侵权人可以依法提讼。另外,2010年7月1日实施的《侵权责任法》中第三十六条第二款、第三款规定,网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开连接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。网络服务提供者知道网络用户利用网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。尽管如此,由于我国对互联网个人信息的保护缺乏体系的支持,在实践中的侵权行为比比皆是,难以遏制。由此带来的消极影响更是不容小觑。首先,对个人信息保护制度的缺失影响电子商务的健康发展。商业网站、移动终端软件通过非法收集的个人信息以及对个人信息的分析和非法利用会引发人们对电子商务的不信任,阻碍电子商务的健康发展。其次,损害人们生活和精神的安宁。由于在日常生活中我们不可能离开移动网络,时时处于互联网中,人们也就越来越需要在此环境中保留自己内心世界的安宁,这已经成为公民保持人格尊严和从事社会活动所不可缺少的条件之一。对互联网个人信息保护制度的缺失造成的网络侵权传播速度快、影响范围广、损害后果大使受害人的生活和精神安宁受到极大威胁,损害社会的和谐与稳定。再次,破坏网络运营秩序和移动互联网健康发展。由于法律体系不健全,使得大量的网上侵权行为发生后却得不到应有的法律制裁,互联网用户时刻处于有可能被侵害的危险状态。这样的状况给移动互联网运作带来诸多不平稳,对网络运营秩序和移动互联网健康发展十分不利。因此,我国应尽快制定并完善包含移动互联网在内的网络个人信息保护的法律体系,进一步加强网络个人信息的法律保护。
四、我国移动互联网个人信息保护法律制度分析(一)建立健全个人信息保护法律体系根据上述对立法分析,我国应该取长补短,既发挥立法保护网络个人信息的优势,又注意采取措施避免其不足,根据我国国情构建充分保护公民网络个人信息权的法律体系。我国首先应该在在立法上明确隐私权的法律地位。虽然我国的隐私权已经为司法实践所确认,但至今隐私权还没有独立的法律地位,也没有专门保护法规,因此我们应当从法律上明确隐私权为一项独立的人格权并把隐私权从名誉权中分离出来,提高它的法律地位。其次,我国还应制定专门的法律来保护公民的网络个人信息。我国应建立一套严密、完整、自上而下、逐层具体的网络隐私权法律保护体系,统一并协调对网络隐私权的各项规定,提高法律的可操作性。我们既要保护现实中的传统个人信息,也要重视虚拟社会中对个人信息的保护,通过制定专门的网络隐私权保护法来填补法律的空白。(二)完善行业自律完全依靠国家和政府的立法不能彻底保护公民个人信息不受他人非法利用,行业自律作为一种辅助手段能起到法规保护模式起不到的作用。为了不给网络业的发展造成不必要的阻碍,立法只能规定最低限度的保护,加上立法一般都具有一定的滞后性,因此对这一问题的妥善解决还必须依靠行业自律的密切配合,在法律法规、行政规范并不完备甚至并没有对隐私保护政策加以规定的情况下,行业自律对于推进网络个人信息的保护起着举足轻重的作用。(三)制定技术规则互联网技术的发展促进了信息的流通也繁荣了网络经济,也正是因为互联网科技,侵犯公民网络隐私权的手段不仅形式多样而且技术含量很高,难以被发现和查处。因此,在保护网络用户的个人信息资料时,必须采用先进的技术措施才能对付黑客或其他电脑技术非法利用者盗取、篡改公民的数据信息资料。行业自律中也包含有技术规则,但这些规则还不完善,而且仅是行业自律中的一小部分,如果不加强技术保护公民网络隐私权的措施,就适应不了互联网信息科技时代捍卫网络用户重要个人信息资料安全的要求。综上所述,我国移动互联网以及与之相关的信息产业已从起步阶段向全面繁荣阶段过渡,但由于立法层面的滞后,我国网络,特别是移动互联网的个人信息并未得到有效保护,这一现象不仅会给个人切身利益造成直接的损害,还会对我国移动互联网及信息产业的发展带来不利的影响。因此,建立健全网络个人信息保护的法律体系,充分利用行业自律和技术规则保护个人信息安全,才能保证我国网络秩序健康有序的发展。
参考文献:
[1]宗海莹.网络环境下个人信息的法律保护.法制博览,2013,(1).
[2]齐爱民.论个人信息的法律保护.苏州大学学报,2005,(2).
[3]卢艳宁.个人信息采集及个人隐私权的法律保护.法制与经济,2010,(8).
[4]曹恩瀚.网络个人信息的法律保护研究.大连海事大学硕士学位论文.
[5]赵楠.移动app隐私乱象:隐私越轨背后的商业牟利.第一财经日报,2013-8-29.
[6]徐静.论网络隐私权的法律保护.考试周刊,2007,(21).
信息保护法律法规篇5
随着第三方支付、p2p等互联网金融类型逐渐被越来越多的人所接受和使用,与消费者相关的金融信息的搜集、保存、加工和使用,在主要依靠云技术、大数据和搜索引擎的互联网金融中,发挥举足轻重的作用。金融危机后,加强金融消费者权益保护日益成为世界主要发达国家、地区改进和加强金融监管的普遍共识,并被付诸实践。因此,全面梳理当前我国消费者金融信息保护的法律监管现状,深入分析其面临的监管困难与问题,对促进金融创新、维护金融稳定具有重要意义。
一、法律监管现状
(一)金融信息保护的基本框架已经形成。一是在法律层面上确立基本原则。1995年5月制定、2003年12月修订的《商业银行法》在第三章“对存款人的保护”中,明确规定:商业银行办理个人储蓄存款业务,应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。这是我国首次以法律的形式建立了金融机构为存款人保密的法律原则,从法律原则和法律解释上涵盖了金融信息保护的义务和责任。2006年10月制定的《反洗钱法》在第四章“金融机构反洗钱义务”中,要求金融机构应当按照规定建立客户身份资料和交易记录保存制度,并对未按照规定保存客户身份资料和交易记录的或泄露有关信息的违法行为,规定了严格的惩处措施。这又一次以法律的形式对金融信息保护做出了更为明确具体的规定,并且为了督促保护金融信息的行为顺利执行,明确了违法行为应当承担的相应法律责任。二是在行政法规层面上建立基本规范。2013年3月15日起施行的《征信业管理条例》,以行政法规的形式,对企业、事业单位等组织的信用信息和个人的信用信息进行采集、整理、保存、加工,并向信息使用者提供的活动进行了全面规范,并对违法收集、查询、使用信用信息的行为规定了比较严厉的行政处罚。三是在部门规章层面上确立具体准则。2005年8月施行的《个人信用信息基础数据库管理暂行办法》、2006年11月制定的《金融机构反洗钱规定》、2007年6月制定的《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》和2010年6月制定的《非金融机构支付服务管理办法》均以部门规章的形式,规定了个人信用信息的报送整理、查询、异议处理、安全管理和行政处罚,具体规定了客户身份资料和交易记录保存的防护管理措施、技术措施和保存期限等具体问题,并首次将金融信息保护的范围扩展到第三方支付机构。四是在规范性文件层面对执行中出现的问题因情势变更作出适当的安排和要求。2011年1月中国人民银行制定的《关于银行业金融机构做好个人金融信息保护工作的通知》、2012年3月中国人民银行制定的《关于金融机构进一步做好客户个人金融信息保护工作的通知》以及2012年12月中国人民银行制定的《非金融机构支付服务管理办法实施细则》均以规范性文件的形式对金融机构做好个人金融信息保护工作做出了更加明确的部署与安排。
(二)金融信息保护的基本范围已经明确。一是以行政法规的形式框定了金融信息保护的基本范围。《征信业管理条例》明确规定保护范围是企业和个人的信用信息,禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息,并不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。二是以部门规章形式明确了金融信息保护的内容。《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》明确,金融机构应当保存的客户身份资料包括:记载客户身份信息、资料以及反映金融机构开展客户身份识别工作情况的各种记录和资料;金融机构应当保存的交易记录:包括关于每笔交易的数据信息、业务凭证、账簿以及有关规定要求的反映交易真实情况的合同、业务凭证、单据、业务函件和其他资料。三是以规范性文件的形式细化了个人金融信息保护的范围。《关于银行业金融机构做好个人金融信息保护工作的通知》中,对个人金融信息的概念和种类首次做出了全面具体的规定。所谓个人金融信息,是指银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的以下个人信息:包括个人身份信息,财产信息,账户信息,信用信息,金融交易信息,衍生信息以及在与个人监理业务关系过程中获取、保存的其他个人信息。
(三)金融信息保护的责任追究制度已经建立。为保护客户隐私,维护金融稳定,目前监管法律法规对违规收集、使用、对外提供金融信息的行为,已规定了相对明确的处罚措施。《商业银行法》对金融机构非法查询个人储蓄存款和单位存款的行为,规定由国务院银行业监督管理机构责令改正,并根据违法所得金额,给予不同额度的行政处罚。对金融机构未按照规定保存客户身份资料和交易记录的行为,违反保密规定、泄露有关信息的行为,《反洗钱法》规定情节严重的,处二十万元以上五十万元以下罚款,并对直接负责的董事、高级管理人员和其他直接责任人员,处一万元以上五万元以下罚款。《征信业管理条例》规定向金融信用信息基础数据库提供或者查询信息的机构,违法提供或者出售信息、因过失泄露信息等违法行为,由对单位处5万元以上50万元以下的罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下的罚款。此外,对非金融机构未按照规定保管相关资料的行为,《非金融机构支付服务管理办法》规定由中国人民银行分支机构责令其限期改正,并给予警告或处1万元以上3万元以下罚款。
二、存在问题
(一)对金融信息保护范围缺乏统一、具体的规定,且法律效力层级较低。在《商业银行法》中,根据确立的“为存款人保密”的基本原则,金融信息保护对象仅为存款人。显然对贷款人、中间业务参与者等非存款人的金融信息,金融机构是否负有保密责任与义务,法律并没有给出明确规定。即便是存款人的金融信息保护,针对个人存款和单位存款,法律在保护程度的规定上也不尽相同,对个人储蓄存款给予了更严格、更审慎的保密义务。如:对个人储蓄存款,只有法律规定可以查询的,金融机构才履行查询义务,除此之外有权拒绝任何单位或者个人查询等行为;但对单位存款,除法律之外,行政法规规定可以查询的,商业银行也应当履行查询义务。但是对存款人的哪些信息应当保护,法律并未作出具体规定。从《反洗钱法》的规定来看,信息保护范围为:客户身份资料和交易记录,前者包括记载客户身份信息、资料以及反映金融机构开展客户身份识别工作情况的各种记录和资料;后者包括关于每笔交易的数据信息、业务凭证、账簿以及有关规定要求的反映交易真实情况的合同、业务凭证、单据、业务函件和其他资料。从《征信业管理条例》规定来看,金融信息保护范围限定为企业或个人的信用信息。如果说,《商业银行法》对保护范围仅仅做出了一个概括性的、原则性的规定,后来制定的《反洗钱法》则对保护范围了首次明确,包括客户身份资料和交易记录。在2011年《关于银行业金融机构做好个人金融信息保护工作的通知》中,对个人金融信息保护的范围进行了全面细致的规定。明确个人信息的范围,除了法律规定的身份资料和交易记录之外,还包括财产信息,账户信息,信用信息,衍生信息以及在与个人建立业务关系过程中获取、保存的其他个人信息。特别是将个人消费习惯、投资意愿等对原始信息进行处理、分析所形成的反映特定个人某些情况的衍生信息,纳入金融信息保护的范围。即使如此,仍然存在两个方面的问题,一是从法律形式上而言,后者既不是行政法规、也非部门规章,仅是人民银行制定的规范性文件。因为行政法规由国务院组织制定,部门规章由人民银行行长签署中国人民银行令予以公布。所以在法律效力上,后者对个人金融信息范围的界定,不构成对前者的法律解释,只是一个行政性的业务说明,因为根据立法法的规定,对法律的解释权属于全国人民代表大会常务委员会。显然,在金融信息保护户范围的界定上,该规范性文件虽然是最全面具体的,但在法律效力层级上的却是最低的,这势必给金融信息保护的具体执行带来刚性不足、依据偏弱的先天缺陷。二是从涉及内容上看,后者仅是对个人即自然人金融信息的明确和细化,尚未涉及法人、其他组织和个体工商户(统称“企业”)的保护范围。这将使得对企业金融信息的保护,除客户身份资料和交易记录之外,面对互联网金融的迅速发展,衍生信息等金融信息违法收集、使用、对外提供的法律风险将更加突出。
(二)金融信息保护义务尚未覆盖到互联网新型金融主体,存在监管真空。《商业银行法》适用对象为银行业金融机构,《反洗钱法》将适用对象扩展到金融机构,指依法设立的从事金融业务的政策性银行、商业银行、信用合作社、邮政储汇机构、信托投资公司、证券公司、期货经纪公司、保险公司以及国务院反洗钱行政主管部门确定并公布的从事金融业务的其他机构。显然,除银行业金融机构之外,证券业、保险业、期货业、信托业均覆盖其中。《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》增加规定,要求从事汇兑业务、支付清算业务和基金销售业务的机构也应按照规定履行客户身份识别、客户身份资料和交易记录保存义务。《非金融机构支付服务管理办法》将在收付款人之间作为中介机构,即第三方支付机构,提供部分或全部货币资金转移服务的非金融机构纳入监管范围,明确其也应履行金融信息保护义务。从上述监管法律法规来看,尽管信息保护的具体范围宽窄不尽相同,但履行金融信息保护义务的主体范围在不断扩大,已从最初的主要集中于银行业金融机构,逐渐向银行、证券、保险金融机构甚至第三方支付机构拓展。不容回避的是,在互联网金融迅猛发展的大背景下,面对p2p网络借贷平台、众筹融资、网络小额贷款等互联网金融新的类型和业态的不断涌现,若仍然将金融信息保护的主体范围限定于既有的金融业主体,将互联网金融新型主体不愿或不能及时纳入监管范围,必将存在监管真空和漏洞,为金融信息的违规收集、使用和对外提供留下网络施展空间,更加容易导致金融信息的泄露、滥用,引发诉讼风险,给金融稳定带来隐患。因此,2007年制定《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》,将从事汇兑业务、支付清算业务、基金销售业务的机构纳入金融信息保护的主体范围,很好地体现了监管规则的前瞻性和指导性。但历时7年之后,互联网金融领域信息保护规定的空白,一定程度上反映了监管理念的滞后。
(三)金融信息违法行为的处罚标准不尽统一,处罚额度差异较大。以行政处罚规定为例,《商业银行法》对违规对外提供金融信息的行为,比如非法查询行为,规定责令改正,有违法所得的,没收违法所得,违法所得五万元以上的,并处违法所得一倍以上五倍以下罚款;没有违法所得或者违法所得不足五万元的,处五万元以上五十万元以下罚款。《反洗钱法》对违规使用金融信息的行为,如未按规定保存客户身份资料和交易记录,违反规定泄露有关信息的行为,责令限期改正;情节严重的,处二十万元以上五十万元以下罚款,并对直接负责的董事、高级管理人员和其他直接责任人员,处一万元以上五万元以下罚款。《非金融机构支付服务管理办法》对违规保存使用金融信息的行为,如:未按规定保管相关资料或保守客户商业秘密,责令其限期改正,并给予警告或处1万元以上3万元以下罚款。从上述规定可以看出,一是在违规使用金融信息行为严重程度的判定上,采取了“有无违法所得”和“情节是否严重”两个衡量标准,一个是从违规行为获利的角度出发,一个是从对金融秩序造成损害的角度出发,两者在立法意图、立法技术等方面存在显著差异。二是从某种角度而言,是否有违法所得也应视为情节严重与否的应有之义,换言之,情节标准涵盖了是否获利的情形,两种不同表述在现实中存在相互交叉、重叠的可能,但给予不同种类、幅度的行政处罚,使得金融信息保护行为的执法实践难度加大。三是与给予金融机构的行政处罚相比,针对非金融机构即支付机构的行政处罚,种类单一、额度较低。如对支付机构仅给予1-3万人民币行政罚款。尽管较低额度的行政处罚与立法法、行政处罚法对部门规章设置行政处罚的权限和范围有关,但是在执法实践中,容易造成相同违法违规行为,对金融机构和非金融机构给予不尽相同的行政处罚,暂且不论是否有违法律面前人人平等的基本法律原则,仅从较小的行政处罚成本而言,势必带给第三方支付机构甚至其他互联网金融新类型违法预期的增强,弱化行政处罚的威慑和效果。
(四)破产解散情形下金融信息监管存在空缺,为金融违法犯罪留下滋生空间。互联网金融在迅猛发展的同时,也存在着良莠不齐的现象,难免鱼龙混杂,网络借贷平台卷钱跑路的情况时有发生。这就使得破产解散后客户金融信息的保护问题迅速浮出水面。《商业银行法》在金融机构解散、被撤销和被宣告破产后,重点关注了银行债权债务分配和偿还问题,对客户金融信息保护的问题未作规定。《反洗钱法》对此种情形首次做出了规定,要求金融机构破产和解散时,应当将客户身份资料和交易记录信息移交国务院有关部门指定的机构。但是这样的规定显然还比较原则和模糊,国务院有关部门、具体移交机构,移交范围,期限固定等等都不具体和清楚。《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》规定:金融机构破产或者解散时,应当将客户身份资料和交易记录移交中国银行业监督管理委员会、中国证券监督管理委员会或者中国保险监督管理委员会指定的机构。至此,虽然明确了金融信息移交管理部门,但是这仅局限于金融机构。对包括第三方支付在内的非金融机构甚至互联网金融机构解散、破产后的信息保护,包括金融信息移交、保管问题未作出明确规定。因为《非金融机构支付服务管理办法》仅仅规定:支付机构因解散、依法被撤销或被宣告破产而终止的,其清算事宜按照国家有关法律规定办理。综上,新型互联网金融机构解散、破产后的金融信息保护方面的监管空白,将给时有发生的网络借贷平台跑路和网上银行、手机银行金融诈骗犯罪留下了赖以滋生的土壤和生长环境。
三、对策建议
(一)以相对较高的法律位阶和规范形式,统一明确金融信息保护的范围。一是建议消费者金融信息按照主体的不同,参照《反洗钱法》等相关法律法规,结合金融实践活动,分为自然人金融信息和法人、其他组织和个体工商户金融信息两大类,在此基础上再按照内容不同分为身份信息、财产信息、账户信息、信用信息、交易信息、衍生信息、不良信息和其他信息。二是建议采取广义金融信息的概念和范围,将互联网金融涉及的金融信息也纳入监管范围,增强监管规则的前瞻性和覆盖面,形成金融信息保护的整体一致框架,为将来不断出现的新型金融信息类型留下监管空间。三是参照《商业银行法》、《金融机构反洗钱规定》等法律法规展现出来的金融信息保护原则,继续坚持对自然人与对法人、其他组织和个体工商户程度不同的保护原则,在违规金融信息收集、保存、对外提供行为的界定上,违规行为给予行政处罚的种类和幅度设定上,突出对自然人金融信息的更高程度保护,更加严格的法律限制。四是在形式表现上,建议首先选取制定消费者金融信息保护单行法律的具体形式,对信息保护范围通过法律条文或法律解释的方式,统一明确加以规定。顾及到提请制定法律的严格程序要求,目前也可以考虑通过行政法规的形式来统一明确金融信息保护范围,以改变当前部门规章和规范性文件在效力层次上的低下,解决在执法实践中对碰到的概念表述不一、范围宽窄不同、理解处置迥异的棘手问题。
(二)以适当形式将金融信息保护覆盖到互联网金融的新型主体。一是建议将互联网金融的新业态和种类纳入监管范围,虽然目前监管规则已对第三方支付等支付机构赋予了金融信息的保护义务,但是p2p网络借贷平台、网络小额贷款公司、众筹融资等互联网金融主体对金融信息保护也负有义不容辞的义务和责任,出于降低法律诉讼风险,维护金融稳定监管要求的考量,应当要求其像银行业金融机构一样,依法依规收集、保存、加工和使用金融信息。二是在具体表现形式上:一种建议是考虑到有关部门正在制定或计划制定针对p2p网络借贷平台、网络小额贷款公司、众筹融资等互联网金融主体的业务监管办法,建议将金融信息保护内容一并纳入其中,做到金融信息保护与业务监管相统一。另一种建议是参照前述统一明确金融信息保护范围的做法,在制定统一专门的金融信息保护方面的单行法律或行政法规中,一并将这些新型金融主体纳入其中。
信息保护法律法规篇6
法律也是实施各种信息网络安全措施的基本依据。信息网络安全措施只有在法律的支撑下才能产生约束力。法律对信息网络安全措施的规范主要体现在:对各种计算机网络提出相应内安全要求;对安全技术标准。安全产品的生产和选择作出规定;赋予信息网络安全管理机构一定的权利和义务,规定违反义务的应当承担的责任;将行之有效的信息网络安全技术和安全管理的原则规范化等。
一、我国信息网络安全法律体系
我国现行的信息网络法律体系框架分为三个层面;
1、一般性法律规定
如宪法。国家安全法、国家秘密法,治安管理处罚条例、著作权法,专利法等。这些法律法规并没有专门对网络行为进行规定,但是。它所规范和约束的对象中包括了危害信息网络安全的行为。
2、规范和惩罚网络犯罪的法律
这类法律包括《中华人民共和国刑法》。《全国人大常委会关于维护互联网安全的决定》等。这其中刑法也是一般性法律规定。这里将其独立出来。作为规范和惩罚网络犯罪的法律规定。
3、直接针对计算机信息网络安全的特别规定
这类法律法规主要有《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》。《中华人民共和国计算机软件保护条例》等。
4、具体规范信息网络安全技术、信息网络安全管理等方面的规定
这一类法律主要有:《商用密码管理条例》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机病毒防治管理办法》。《计算机信息系统保密管理暂行规定》,《计算机信息系统国际联网保密管理规定》、《电子出版物管理规定》、《金融机构计算机信息系统安全保护工作暂行规定》等。
二、我信息网络安全法律体系的特点
1、确立了信息网络安全管理的基本法律原则
从现有的信息网络安全法律法规中可以看出,我国大致上确立了多项信息网络安全管理的基本法律原则。主要包括:(1)重点保护原则;(2)预防为主原则;(3)责任明确原则;(4)严格管理原则;(5)促进社会发展的原则等。
2、建立了多顶信息网络安全的保障制度
到目前为止我国已经建立的信息网络安全保障制度主要有:计算机信息系统安全等级保护制度、计算机信息系统国际联网备案制度、安全专用产品销售许可证制度、计算机案件强行报案制度、计算机信息系统使用单位安全负责制度、计算机病毒专营制度、商用密码管理制度、互联网信息服务安全管理制度、电信安全管理制度、信息安全检测。评估和认证安全监督营理制度。计算机信息媒体进出境申报制度等。
3明确了计算机信息网络安全的管理部门
我国计算机信息网络的安全保护监督营理工作由公安机关行使。1994年2月,国务院颁布的《中华人民共和国计算机信息系统安全保护条例赋予公安机关行使对计算机信息系统的安全保护工作的监督营理职权。1995年2月全国人大常委会颁布的《中华人民共和国人民警察法)。明确了公安机关具有监督管理计算机信息系统的安全的职责。1997年12月施行的《计算机信息网络国际联网安全保护营理办法》将公安机关的监督职权扩展到了信息网络的国际联网领域。
三、我国现行信息网络安全法存在的问题
信息网络安全法应当具备以下几个特点;(1)体系性。网络改变了人们的生活观念、生活态度。生活方式等,同时也涌现出病毒。黑客、网络犯罪等以前所没有的新事物。传统的法律体系变得越来越难以适应网络技术发展的需要,在保障信息网络安全方面也显得力不从心。因此,构建一个有效、相对自成一体、结构严谨、内在和和谐统一的新的法律体系来规范网络社会。就显得十分必要。(2)开放性。信息网络技术在不断发展。信息网络安全问题层出不穷、形形,安全法律应当全面体现和把握信息网络的基本特点及其法律问题,适应不断发展的信息网络技术问题和不断涌现的网络安全问题(3)兼容性。网络环境虽说是一个虚拟的数字世界,但是它并不是独立于现实社会的“自由王国”;发生在网络环境中的事情只不过是现实社会和生活中的诸多问题在这个虚拟社会中的重新晨开。因此,安全法律不能脱离传统的法律原则和法律规范,大多数传统的基木法律原则和规范对信息网络安全仍然适用。同时。从维护法律体系的统一性、完整性和相对稳定性来看,安全法律也应当与传统的法律体系保持良好的兼容性。(4)可操作性。网络是一个数宁化的社会,许多概念规则难以被常人准确把握,因此,安全法律应当对一些专业术语、难以确定的问题、容易引起争议的问题等做出解释,使其更具可操作性。从这几点出发,我国的信息网络安全法律体系存在以下问题。
1、立法滞后、层次低,尚未形成完整的法律体系
在我国现行涉及网络安全的法律中,法律、法规层次的规定太少。规章过多,给人一种头重脚轻的感觉。而且。在制定规章的过程中,由于缺乏纵向的统筹考虑和横向的有效协调。制定部门往往出于自身工作的考虑,忽视了其他相关部门的职能及相互间的交叉等问题,致使出台的规章虽然数量不少但内容重复交叉。这种现状一方面造成部门问更多的职能交叉,另一方面。在一定程度上造成了法律资源的严重浪费。法律法规的欠缺、规章的混乱,常常造成这样一种奇怪的现象对网络违法行为,要么无人管。要么争着管。
2、不具开放性
我国的信息网络安全法结构比较单一、层次较低。难以适应信息网络技术发展的需要和日益严重的信息网络安全问题。我国现行的安全法律基本上是一些保护条例、管理办法之类的,缺少系统规范网络行为的基本法律如信息安全法、网络犯罪法、电子信息出版法、电子信息个人隐私法等。同时,我国的法律更多她使用了综合性的禁止性条款,如《中华人民共和国计算机信息系统安全保护条例》第七条规定:“任何单位或者个人。不得利用计算机信息系统从事危害国家利益。集体利益和公民台法利益的活动。不得危害计算机信息系统的安全。”而没有具体的许可性条款和禁止性条款。这种大一统的立法方式往往停留于口号的层次上。难以适应信息网络技术的发展和越来越多的信息网络安全问题。
3、缺乏兼容性
我国的安全法律法规有许多难以同传统的法律原则、法律规范协调的地方。比如说,根据《中华人民共和国行政处罚法》第十二条规定,规章可以在法律。行政法规规定的给予行政处罚的行为、种类和幅度范围内作出具体规定。尚未制定法律、行政法规的。规章对违反行政管理秩序的行为,可以设定警告或者一定数量罚款的行政处罚。在我国现有相关法律、行政法规中。均未设定没收从事违法经营活动的全部设备的处罚,但是依据这些行政法规制定的《互联网上网服务营业场所管理办法》的第14条,却设定了没收从事违法经营活动的全部设备的处罚种类,显然这个处罚的设定与相关法规有矛盾之处。
4、缺乏操作性
我国的信息网络安圭法中存在难以操作的现象。为丁规范网络上的行为。政府职能部门都出台了相关的规定,公安部、信息产业部、国家保密局、教育部、新闻出版署、中国证监会。国家广播电影电视总局、国家药品监督营理局、原国务院信息化工作领导小组等都制定了涉及网络的管理规定。此外,还有许多相关的地方性法规。地方政府规章。数量虽大,但是它们的弊端是明显的。由于没有法律的统一协调,各个部门出于自身利益,致使常常出现同一行为有多个行政处罚主体,处罚幅度不尽一致,行政审批部门及审批事项多等现象。这就给法律法规的实际操作带来了诸多难题。
四、我国信息网络安全法律体系的完善
目前。我国信息网络安全法律体系的建立首先应当考虑以下几个方面;
1、信息安全法确定国家在建立电子数据信息资源中的地位,明确电子数据交流与保密的范畴,保护电子数据的法律责任,规范电子数据系统的安全保护要求规定对电子数据系统安全维护管理必要的人员配置及责任义务等。
2、互联网络法规定对网络的正当使用。防止越权访问网络保护网络用户的合法利益。
3、网络犯罪法刑法和全国人大《关于维护互联网安全的决定》虽然规定了一部分网络犯罪及其刑事责任。但是这难以适应越演越烈的网络犯罪。因此必须进行立法完善。
4、电于信息出版法明确电子出版的权利、义务、审批。管理和法律责任等。
5、电子信息知识产权保护法明确规定以电子信息方式存在的、以多媒体等介质表述的文教、卫生、科技、工农业。商贸等各领域的发明、创造的知识产权的归属。主体的权利、义务、责任,违反法规的惩处等。
6.电子信息个人隐私法对于公民个人有保护隐私的需要,在电子信息系统广泛应用的条件下,这种要求将以新的形式提出,要有相应的管理规范加以界定和保护。本法应当规定,在电子商务中涉及到的、个人以电子信息方式存在的隐私。在不违反国家安全的利益的原则下,享有隐私权。侵犯犯他人隐私权将依法受到惩处。
信息保护法律法规篇7
关键词:互联网;消费者个人信息;法律保护;对策
近年来,随着线上交易模式的发展创新,我国网络消费者群体不断壮大,整个互联网都充斥着消费者个人信息。与此同时,对消费者个人信息非法收集、盗用事件屡见不鲜,这给有关部门和广大消费者敲响了警钟。我国开始关注网络消费者的个人信息安全,尝试通过多种方式给予消费者个人信息保障。然而由于我国网络消费者个人信息保护相关工作起步较慢,对于消费者的个人信息保护仍然存在着许多问题,如消费者信息保护意识不够、相关法律法规不完善、行业自律较差、缺乏有效的监督管理等。有关部门要针对相关问题进行解决,积极探索符合当下互联网格局的消费者个人信息保护道路。
一、网络消费者个人信息法律保护存在的问题
(一)相关法律法规不完善
目前我国并没有为网络消费者专门设立一个完善的个人信息保护法律体系,关于网络个人信息保护的法律条款大多被分散在《消费者权益保护法》和《民法典》中,这严重影响了消费者维权的效率。并且关于网络消费者个人信息保护的法律条款内容都较为抽象,无法给一些侵害消费者个人信息的行为正确定性,导致部分侵权行为没有得到应有的处罚。此外,我国相关法律也没有详细地标注消费者对自身个人信息享有的权利和经营者保护消费个人信息的义务,导致消费者自身维权意识淡薄,经营人员也不重视消费者个人信息的保护[1]。
(二)行业自律机制不健全
我国实行的互联网行业自律公约是非强制遵守的,仅仅依靠经营者自觉遵守,且惩处力度较低,很难对经营主体产生足够的约束力。部分商家表面上答应遵守行业自律规定,背后却拿消费者的个人信息作为盈利工具,造成消费者个人信息外泄。
(三)缺乏有效的监管
互联网时代下,网络消费者的人数与日俱增,消费者个人信息充斥着整个网络,面对这些海量的个人信息数据,监管部门很难调集足够的人力物力对其进行全面监管。并且消费者个人信息侵害行为大多为高技术犯罪,而监管部门长期从事现实生活的个人信息监管,没有及时更新监管理念,缺乏相应的网络监管技术,导致监管部门对网络消费者个人信息安全监管效率较低。
(四)消费者自我保护能力差
我国多数网络消费者缺乏对个人信息的自我保护意识,在进行网络购物时对个人信息泄露不敏感,经常随意填写真实个人信息,造成个人信息被经营者轻易收集。并且绝大多数消费者在面对个人信息被侵害的情况时,缺乏维权意识,不愿意大张旗鼓地去打官司,纵容侵权行为发生,导致侵权方得不到应有的处罚,从而使得侵权行为泛滥。
二、互联网时代消费者个人信息法律保护对策
(一)完善消费者个人信息保护法律法规
法律是保护消费者个人信息最有力的武器,有关部门要完善网络消费者个人信息保护相关法律法规,构建一套全面的消费者个人信息保护法律体系,使得消费者的个人信息保护工作有法可依,营造良好的互联网法治环境。具体操作如下:其一,有关部门要仔细调查消费者个人信息遭受侵害的具体情况,了解消费者个人信息被侵害因素,设立专门的网络个人信息保护法,肯定消费者个人信息的重要价值,明确规定侵害方的处罚方式以及消费者个人信息遭受侵害后的补偿方式,为消费者的个人信息维权提供明确的法律依据,真正使法律成为人民坚实的后盾。其二,随着信息技术的发展,消费者个人信息被侵害的方式也变得多种多样,法律的条例并不能做到面面俱到地保护消费者的个人信息。因此有关部门可以设立保护消费者个人信息的基本原则,为消费者的个人信息保护画一个框,将个人信息的保护粗化。比如收集主体在收集消费者个人信息时必须保证用户个人信息来源合法,且必须在用户同意的前提下获取与用户约定范围内的个人信息。当消费者的个人信息受到侵害却找不到相关法律法规时可以引用这些基本原则成功维权[2]。其三,网络个人信息保护要明确设定消费者的个人信息享有的权利,如知情权、保密权、决定权、修改权等,使得消费者充分了解自身所享受的权利,在个人信息受到侵害时明白自己所被侵害的权利,增强消费者的个人信息保护意识。同时相关法律法规还要明确经营主体的义务如保障信息安全义务、如实告知义务、赔偿义务,标明经营者对消费者个人信息的操作权限,并详细规定侵害消费者个人信息应承担的法律责任,让经营主体充分认识到消费者个人信息的重要性,从源头解决消费者个人信息受到侵害的问题。
(二)加强行业内部自律
消费者个人信息的保护不光要依靠法律的武器,还需要建立一套完善的行业自律机制,充分发挥自律组织的职能,多方参与消费者个人信息管理和保护工作,督促各行业组织注重保护消费者个人信息。一方面,有关部门要赋予个人信息保护协会和自律组织合法的地位和权力,明确他们的职责和义务,促进消费者个人信息保护协会和自律组织的产生,通过组织协会的辅助,在促进网络消费者个人信息保护工作开展的同时,减轻有关部门的工作压力。行业自律组织要具有统一的消费者个人信息规范标准,充分发挥自身行业自律优势,严格监管各行业成员收集、使用消费者个人信息的具体情况,督促各行业经营者自觉遵守消费者个人信息保护相关法律法规。另一方面,我国还可以建立消费者个人信息保护认证制度,对严格遵守行业自律公约的经营商户给予消费者个人信息保护认证。当有关部门发现经营方违反了个人信息保护的相关条例后,要取消该商户个人信息保护认证资格,并对其进行相应的处罚。消费者可以选择拥有信任认证的商家进行交易,提高了个人信息的安全性[3]。
(三)建立完善的监管制度
我国要成立专门的消费者个人信息保护监管机构,明确监管机构职能,合理配置监管机构成员,构建完善的监督体系,实现对网络消费者个人信息的全面监管。监管机构可以与互联网中心和工信部进行合作。互联网中心和工信部可以帮助监管机构处理海量的数据信息,为监管机构筛选出有用的信息,提高监管机构的监管效率。同时监管人员要与时俱进,更新监管理念,主动学习互联网相关知识和监管技术,提高自身的综合能力,及时发现并解决网络消费者个人信息侵权问题,提高工作效率。
(四)提高消费者自我保护能力
消费者是个人信息的拥有者,是侵权行为的受害者,同样也是维权者。因此我国要培养消费者个人信息保护意识,提高消费者个人信息自我保护能力。其一,我国要加大普法宣传力度,通过多媒体和网络宣传个人信息保护相关内容,使消费者了解个人信息保护相关法律法规和自身享有的个人信息权利。其二,有关部门可以设立个人信息保护服务窗口,为消费者提供维权服务,教授消费者学会在个人信息被侵害时如何运用法律的武器保护自己,提高了消费者维权的效率。其三,有关部门可以定期展开消费者个人信息保护公益讲座和活动,聘请专业的律师为群众讲解个人信息保护中晦涩难懂的知识,帮助消费者理解法律术语,提高消费者对法律的熟悉度。其四,消费者在进行网络购物时一定要重视个人信息保护,规避个人信息风险,选择安全可靠的交易平台进行消费,在注册个人信息时要减少填写一些无关紧要的个人真实信息,留意购物后的个人信息情况,养成良好的网络购物习惯,提升自身的风险防范能力。同时在面对侵权事件时,消费者要不怕麻烦,勇敢站出来拿起法律的武器维护真身的个人信息安全,给予侵权者应有的惩罚。综上所述,互联网时代下消费者个人信息保护工作任重道远,需要全社会的广泛参与和共同努力。有关部门要重视消费者个人信息安全问题,完善消费者个人信息保护相关法律法规,督促互联网行业加强内部自律,构建完善的消费者个人信息监管体系,培养消费者的个人信息保护意识,提高消费者自我保护能力,从而使消费者个人信息安全得到保障,让消费者可以放心在网上购物,促进网络市场经济健康稳定发展。
参考文献
[1]凌学东,鞠晔.网络消费者个人信息综合保护机制研究[J].兰州学刊,2016(8):157-163.
[2]张菁菁.论消费者个人信息的法律保护[J].商场现代化,2015(4):12-14.
信息保护法律法规篇8
关键词:互联网云计算;个人隐私信息;立法保护
中图分类号:tp393文献标识码:a文章编号:1009-3044(2015)09-0056-02
abstract:theinternethasalreadyenteredthecloudcomputingera,theinternetprivacyinformation,havebeenimminent.Howhowhowtodrawlessonsfromotherlegislationlegislation,legislation,shouldconsiderwhatproblem,thispaperwillfurtherpersonalinformationprotectionlegislationinthefieldofinternet,hopingtoprovidehelptotherelevantlegislationofunit.
Keywords:theinternetcloudcomputing;personalinformation;legislativeprotection
1个人信息泄露现状
互联网已经进入云计算时代,这是最好的时代,也是最坏的时代;这是属于互联网的时代,也是属于传统it的时代;这是成本低廉的商业营销的时期,也是费用高昂私有云计算的时期;这是传播的季节,也是收获的季节;这是互联网应用的春天,更是个人信息安全风险的冬天。我们似乎拥有一切,但又似乎一无所有。我们要走向新的世纪,我们又害怕着这些变化(所带来的影响)。简而言之,过去和现在是如此相似,一个时代的到来,人们新喜过后,总是会有失落和不安,换句话说,互联网云计算时代到来给我们带来了方便和惊喜,但是随之而来的确发现花样繁多的网络诈骗、信息骚扰、信息泄露也乘着网络的“快车道”驶入我们的生活,令我们不堪其扰。
2个人隐私泄露引发的浅析
接不完的促销骚扰电话、不胜其烦的房地产信息、频频发送的商业打折短信、翻不完的垃圾邮件,凡此种种,不禁让我们发出这样的疑问:我在互联网上都是用匿名信息的呀,究竟是谁泄露了我的个人隐私信息?如何才能保护自己的个人隐私信息和人身权益不受侵害呀?在互联网进入云计算的时代下,个人网络生活化,到网上注册,留下痕迹,而商家和不法分子却通过网络抓取(或者直接从大网站大运营商购买)互联网大量的散落的信息,再利用数据挖掘等技术提取出比较为真实的个人隐私信息,根据利益需要将公民的个人隐私信息当作商品一样贩卖,由此形成了一条信息倒卖的黑色利益链。如何斩断这条利益链?单靠公民的自我防范?单靠商家的行业自律?单靠网络运营商的监督管理?这些诚然有效,但能斩断这条利益链条的“尚方宝剑”还是具有制度刚性的法律约束。因此互联网云计算时代信息传播的法律保障立法就应该做一做反思了。
由于相关法律法规的不健全,非法收集、倒卖、利用、泄露他人个人隐私信息的违法行为者利用法律的漏洞肆意行事,导致许多人的人身权益受到损害。也是因为相关法律法规的不健全,因为个人隐私信息泄露而受到人身权益侵害的公民或者无法界定自己是否被侵害的事实,或者不知道该如何提出申诉、向谁提出申诉,很多时候竟陷入了“哑巴吃黄连,有苦说不出”的尴尬境地。
3关于个人隐私保护立法可借鉴之处
其实,在个人隐私信息的立法保护来看,欧美等发达国家和地区早已走在前列,它们一般主要采用分散立法和集中立法两种模式。而在美利坚则采取分行业保护的分散立法模式,保护个人隐私信息的法律规定各行业都有立法,如《金融隐私权法案》《电子通讯隐私法》《有线通讯隐私权法案》等。欧盟则采取集中立法保护模式,集中立法保护个人隐私信息,统一颁布制定个人隐私信息保护的相关法律。虽然美利坚跟欧盟的个人隐私信息保护的立法模式有所不一样,但是美利坚对个人隐私信息保护同样已经具有完善的制度和法律保障。例如其中一个最值得我们借鉴的制度是,如果企业或个人泄露了个人隐私信息,该企业必须通知到每一个信息被泄露的信息主体,这样的规定确实对加大了犯罪处罚力度,也就从反面加大了企业保护个人隐私信息的积极性。目前美国有30多个州都已经通过了该项数据泄露通知的法律。而欧盟早于1995年便制定、目前尚在修改的号称“世界上最严格的”个人数据保护的规定,并设立了一个新的权利名称――被遗忘权。这样一来网络时代,每个人在网络上留下的痕迹,每个人都有权利要求网站被清除,任何个人或企业都无权抗拒执行。
4浅析我国信息网络个人信息保护立法
4.1我国立法
我国2014年10月10日起施行的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,进一步明确了信息网络时代个人隐私信息保护的范围,从操作层面上也为利用个人信息网络进行人身权益侵害案件的受理和审判提供了可操作的有力依据。新《规定》的公布,为利用网络技术收集倒卖个人信息的行为给与了一定层度的法律约束。《规定》要求,未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人隐私信息。其实,例如运营商发送短信给用户,规定多少期限内回复,如果不回复就如同同意某某协议,这样的行为,在规定中还是难以界定。期中还规定,电信业务经营者、互联网信息服务提供者应当制定用户个人隐私信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。而在个人隐私信息搜集范围方面,《规定》也明确指出电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人隐私信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人隐私信息的收集和使用,并为用户提供注销号码或者账号的服务。这一点与欧盟制定“被遗忘权”有一点类似,但却没有强调个人的权利,更多的只是约束信息传播者和使用者的行为。对于个人隐私信息被倒卖成为商品的现状,该《规定》要求电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人隐私信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。总体看来《规定》还是具有一定的可操作性,至少已经明确了那些行为是违法的。
4.2不足和需要完善地方
单从上述看来,此《规定》已经为网络个人隐私信息泄露造成的人身权益侵害提供了可供操作的法律武器。但个人隐私信息保护圈该如何的划定?什么信息可采集,什么信息不可采集?信息该由谁采集?采集到的信息该如何保管?使用后是否该立即删除?若发生信息泄露事件该如何追责?相关处罚该以何标准进行?受害者个人怎么维护权利?等等,这些有关个人隐私信息保护的法理问题任需要上位法的进一步明确。
5结束语
互联网络信息传播具有快速、匿名、范围广等特点,一部笼统的法律或规定是无法顾及到所有可能发生的情况,而操作层面的法规又存在法律位阶和法律约束较低的问题。只有建立一套既系统又有可操作性配套法律法规的个人隐私信息保护法律体系,才能真正为互联网云计算时代的个人隐私信息撑起一把“保护伞”。
参考文献:
[1]最高人民法院.最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定[R].北京:最高人民法院,2014.
信息保护法律法规篇9
(1.河南教育学院,河南郑州450014;2.中国政法大学,北京100088)
中图分类号:S759.5文献标识码:a文章编号:1003-2738(2012)03-0152-02
摘要:保护人格尊严是世界人民的共同心愿,也是世界各国政府的共同责任。美国法学界有“没有隐私就没有尊严”的说法,并从普通法和成文法两个方面明确了个人的“隐私”权利。欧洲制定了保护个人数据方面的法律,从成文法上明确了个人对于“个人数据”的控制权。我国民法规定“公民的人格尊严受法律保护”,作为保护人格尊严的一个重要方面,个人信息保护已经提到了立法的议事日程上。
关键词:隐私;数据保护;个人信息;立法模式
一、选择保护个人信息的理由
在全世界范围内制定这方面法律使用的称谓主要有“个人隐私”、“个人数据”和“个人信息”。虽然三者的内涵稍有不同,但是追求的实体目标却是相同的,就是保护公民的尊严。
“个人数据”与“隐私”互相关联有相互区别。一般而言,“隐私”概念较个人数据要宽,欧盟各国法院也区别对待。“隐私”是个人私生活不受干预的权利,是自然人享有的对其个人的与公共利益无关的个人信息、私人活动和私有领域进行支配的一种人格权。而“个人数据”仅指信息自主权,也就是说,当事人过问处理其个人数据的权利。上网冲浪会生成某些与个人相关的数据,欧盟数据保护法就赋权当事人关注这些数据的处理。“个人数据”与“隐私”意思虽然不完全相同,但经常混合使用。
之所以选择个人信息保护而不是隐私,是因为隐私概念较为抽象,内涵并不十分明确。即便是在采用了隐私概念的美国,在法律上也没有对隐私给出明确的定义,除一些成文法对特定信息隐私给予界定外,其他隐私主要依靠普通法来保护,法官具有裁量权。国际上,对隐私的认识更是由于历史文化、法律制度不同千差万别。相反,采用跟人信息则相对简单一点,各国在立法时都采用了信息控制权在个人的原则。通过个人对相关信息的控制,则可以实现对个人信息的有效保护。
概念的不同主要是源于不同的法律传统和使用习惯,实质上并不影响法律的内容。就内容而言,各国或地区的个人信息保护法律虽然在许多方面具有重大差别,但是它们都具有如下两个共同的特征:第一、法律保护的对象是作为自然人的个人,而不是企业或其他组织。第二、法律所要实现的目标是使能够识别特定个人的信息不被随意收集、传播和作其他处理,侵犯个人的权利。因此,法律规制的重点与其说是个人信息,不如说是“个人信息处理活动”更为贴切。许多国家或地区的法律名称中为此专门突出了“处理”的概念,如欧洲理事会、欧盟、圣马力诺、冰岛、希腊、丹麦、我国台湾地区等。
二、制定我国个人信息保护规范的必要性
随着社会的不断发展,无论是各种政府部门及被授权或者受委托行使一定行政职能的组织,还是各种非政府部门在进行各种活动时,往往会收集、保存大量的个人信息。由于信息技术的不断发展,批量处理和传递个人信息会越来越容易,个人信息遭到不当收集、恶意使用、篡改的隐患也就会随之出现。比如:2004年10月16日《今日说法》中,一家企业在一次招聘会上不慎丢失了一个女求职者的求职简历,上面记载着该求职者的基本个人信息。一位犯罪分子根据拾得的简历,冒充该企业的招聘人员,对求职者实施了犯罪,并杀害了求职者。因此对我国而言,通过立法尽快建立个人信息保护制度已是刻不容缓的一件大事。其必要性主要表现在以下三个方面:
(一)侵害他人的信息隐私或滥用他人信息的案件越来越多,亟须明确相关各方面的法律权利、责任及任务。随着市场经济的发展,个人信息的经济价值越来越大,越来越多的商业机构采取各种(正当或不正当)方式获取他人信息,并无所顾忌的使用这些信息,给他人的生活安宁造成极大的影响。医院、商场、汽车经销商、房地产开发商未经消费者允许出售个人信息的情况时有发生。更为严重的是,招聘单位未尽到妥善保管他人信息的责任,导致应聘者生命财产受到侵害。这些案件屡见不鲜,正在成为人们关注的焦点。
(二)公民的权利意识增强,加快个人信息保护立法的呼声越来越高。最近几年,每年都会有全国人大代表和政协委员提出立法议案和立法建议。据统计,每年这些方面的提案与建议不下10个,涉及代表或委员几百名。人大代表和政协委员的提案和建议代表了人民群众的呼声,说明公民的权利意识在增强,对保护个人隐私的要求越来越高。
(三)政府机构为提高行政效率而进行的信息共享,亟须得到法律的规范。为加强市场监管,建设个人信用体系或是出于减轻个人信息提交负担,改善公共服务的目的。政府机构之间的信息共享正在走向深入,不断有人对此提出质疑,政府机构之间的信息共享是否合法,如何平衡保护个人信息利益和提高行政效率。特别是维护公共安全与国家安全利益之间的关系,使政府机构的信息共享既能满足公民对于个人信息的要求,又能减少公民的信息负担,提高政府的公共服务水平。
三、域外个人信息保护立法概况及主要立法模式
(一)据不完全统计,世界上制定了个人信息保护法律的国家或地区已经超过50个,就法律名称使用的概念而言,主要有三个,分别是“个人数据”、“个人信息”及“隐私”。其中使用个人数据概念的国家和地区最多,主要是欧洲理事会、欧盟、欧盟成员国以及受欧盟1995年指令影响而立法的其他国家。在普通法国家,如美国、澳大利亚、新西兰、加拿大等,以及受美国影响较大的apeC,则大多数使用隐私概念。在日本、韩国、俄罗斯等国,则使用个人信息的概念。
由于欧盟与美国在世界上的经济、政治地位以及他们对其他国家个人信息保护立法的影响非常大,通常将他们视为个人信息保护立法两种不同模式的代表。(一)欧盟的立法模式
欧盟毫无疑问是个人信息保护立法的模范和先驱。欧盟国家最先关注信息通信技术对社会的影响问题,并导致欧盟于1995年制定了《欧盟数据保护令》。《欧盟指令》价值倾向明星,覆盖范围广泛,规制程度深,执行机制健全。在《欧盟指令》的要求下,所有欧盟国家均已完成了新一轮的个人信息保护立法或修正工作,尤其是《欧盟指令》规定,第三国的隐私法律只有经欧盟委员会制定达到“充分的”保护标准,才能自欧盟向其进行跨境个人信息传输。这样非欧盟国家纷纷开始制定个人信息保护法,以满足《欧盟指令》的要求。虽然世界上制定个人信息保护法律的国家很多,但迄今为止只有加拿大、阿根廷、匈牙利和瑞士通过了欧盟的“充分性”判断标准。
欧盟数据保护法有若干优点,如在欧盟内确立了数据保护的最低标准,促进了各国的数据保护,消除了各国之间数据流通的障碍。但欧盟的法律框架也有许多致命的缺陷。因为非欧盟国家建立欧盟数据保护模式,必须仔细考虑本国文化、法律传统和国民需求。例如,欧盟数据保护法的有些条款纯粹是官样文件(诸如关于数据保护机构注册数据库的规定),有些条款过于刚性或烦琐(诸如关于数据国际流通的规定),而且各国之间的数据保护法也严重不协调。隐私与安全的紧张关系日益加剧,越来越多的政府要求公开个人数据,而这正好与欧盟数据保护法的规定相反,可见在未来的岁月里,欧盟数据保护法的压力将与日俱增。
(二)美国的立法模式。
美国是一个尤其重视企业的创造力与创新性的国家,其权利法案对传统个人权利的保护对世界各国宪法也产生了重大的历史影响。对于网络和现代通信技术所带来的海量个人信息收集、存储和处理。根据美国官方的说法,他们既有利于跨境贸易和电子商务,也会引起对个人隐私权利的担忧。美国政府的政策取向是,既要在国际范围内保护个人隐私,又不应阻断跨境信息流,影响电子商务和跨境贸易。美国政府希望通过对隐私保护采取平衡的规则方式,创造有利于创新的最佳增长环境。美国官方认为,美国的规则方式更加注重防止对个人信息滥用所造成的实际危害。因此,可以保持商界最大的参与。相反《欧盟指令》不加区分地适用于所有行业,适用于个人数据处理的所有环节。
在立法思路上,目前美国没有设定隐私的保护最低要求的综合性联邦法律。相反,美国对隐私的保护采取了一种灵活的策略。美国政府认为,自律机制配合上政府的执法保障,可以有效的实现隐私保护的目的。为此,美国政府一直保持与商界和消费者团体的对话,鼓励更多地保护隐私,采用自律性的隐私保护政策。另一方面,在某些高度敏感的领域,美国政府认为适宜通过相应立法保护个人信息。由此可见,美国的隐私法呈现出灵活性和多样性的特点。但是由于美国没有全国性的综合性的隐私法,只有部门特别法、州法和联邦贸易委员会法。所以,其不便于协调政策,保持政策的一致性,形成统一的保护框架。
综上所述,我们可以看出西方国家的立法有两种模式:统一立法和分散立法。欧盟采用了统一立法模式,即制定一个综合性的个人信息保护法,由一个综合监管部门集中监管。美国则采用了分散立法模式,根据个人信息的具体内容,由相应的监管部门监管,如卫生医疗信息由卫生医疗的监管部门监管,信用信息由金融部门监管。统一的监管可以协调政策,保持政策的一致性,形成统一的保护框架。分散监管可以区分信息敏感程度,灵活对待不同的信息,对敏感度高的信息采取强保护,对敏感度低的信息则保护措施可宽松一些。
(三)关于行业自律机制问题。
隐私权是一种非常容易受到侵犯的权利,某些个人信息{如个人健康信息}一旦公开或泄漏,后果就无法挽回。另一方面,为了保证社会的信息自由流动,又必须让政府机关或其他个体信息处理者进行必须的个人信息处理。因此,处于政府与单个信息处理者之间的行业自律机制就显得具有特别的意义。没有行业自律机制,仅仅依靠政府规制,要么会造成高昂的执法成本,要么不可能达到保护个人信息的目的。正因为如此,不论是美国立法模式还是欧盟立法模式,均对行业自律机制给予了充分的肯定。当然,即使在发达国家,要使行业自律机制真正能够在保护个人权利中发挥作用,还有很长一段距离。
在我国,行业自律机制(尤其是传统的行业协会)面临的各种问题就更多,更需要长时间在实践中逐步培育。综合考虑域外立法经验和我国的实际,许多专家建议个人信息保护法应该专门对行业自律机制作出规定。这种安排的考虑在于:(1)行业自律机制是个人信息保护机制中不可缺少的一个环节,尽管其作用的发挥需要许多外部条件的支撑。(2)法律中规定的内容详细一些,有利于在实践中进行各种形式的探索,也有利于传递政府职能转变的信号。(3)这种规定并不改变我国对行业协会的现行管理制度。协会的成立仍需要履行相应的法律程序,政府信息资源主管部门只是在协会成立以后,对其业务工作进行指导和监督。并且,行业自律机制要真正发挥作用,必须在政府机关与协会之间形成良性互动。(4)行业自律组织在个人信息处理领域能够承担的责任非常广泛,可以根据实际情况逐步试点、推开。
四、我国立法模式的选择
由上可知,不论是欧盟立法模式还是美国立法模式,都有其合理的地方,更重要的是,都有各自的价值观和社会基础作为支撑。作为第三方,比较好的选择是分别吸收其有益的经验,并结合本国的国情做出具体的制度设计。日本学者在这个问题上观点非常明确,值得我们借鉴。我国的立法应充分吸收、借鉴欧盟与美国的经验,在每个制度的设计上都充分考虑将两者的长处结合起来,并反映中国社会生活的现实与长远需要。
所以,我试想是否可以采取一种统分结合的二元制立法模式,即立法外形上采用类似欧盟的立法模式,实质上采纳美国的做法――既要有平等适用于公共部门与私营部门的规定,又要分别规定对政府机关与其他个人信息处理者的不同义务。这种立法模式主要是考虑到如下几个方面的因素:(1)从立法资源有限性的角度看,我国现阶段很难对个人信息保护分别制定几个法律,分别适用于不同的主体。因此,与其因为立法技术上的原因而拖延整个立法的进程,还不如通过制度的设计尽快启动个人信息保护立法。(2)统分结合的方式虽然和近年来我国的行政法单独立法方式有较大的区别,使一部法律中间既涉及行政法律关系,又涉及平等主体之间的民事法律关系,使个人信息保护法在归入哪个部门法问题上出现不确定性。但是,应该看到,任何一部法律中实际上都涉及公法与私法两个方面的法律关系,要使法律关系纯而又纯是很难的。不应该根据部门法的理论分类来决定法律的内容和范围。更重要的是,这种统分结合的模式可以有效地利用我国现有的行政法与民事法律救济机制,解决法律的执行问题。(3)从我国目前所面临的实际问题来看,尽管主要的问题是政府机关掌握的个人信息过多,甚至不准确、个人无法获知,但是与此同时,其他个人信息处理者处理个人信息所造成的问题也越来越多。尤其是一些跨国企业,利用其信息优势谋取不正当利益或竞争优势的事例也开始出现。因此,制定一部既适用于政府机关,又适用于其他个人信息处理者的法律,具有多方面重要的现实意义。(4)其他国家或地区已有类似的立法(例如德国、我国台湾地区),实践证明是可行的。(5)这种立法模式并不是一成不变的,有较强的适应性。随着立法资源“瓶颈”因素的消失,如果需要,以后完全可以从统分结合的方式向完全的分别单独立法方式过渡,对不同的主体制定不同的法律。
五、结语
隐私对于我们每个人都很重要,但信息时代的好处更重要。不良的隐私法会抑制经济价值的创造和全球经济的勃兴。没有良善的隐私法会导致信用滥用以致公共信用崩溃。良善的隐私法关注有害的信息滥用,又给企业指明了自我管理,避免有害滥用的方向。总而言之,千万记住隐私立法是一个过程。今天的法律只有修正才能应对明天的挑战。
参考文献:
[1]王利明主编:《人格权法新论》,吉林人民出版社,1994年版。
[2]ChristopherKuner著温珍奎译:《欧盟的隐私和数据保护》。
[3]malcolmCrompton著温珍奎译:《亚洲隐私法的经验与出路》。
[4]FredH.Cate著苏苗罕译:《美国的隐私保护》
[5]王明锁:《论所有权占有权能与他物权控占权二元制法律体系的构建》,载《法律科学》2009年第6期。
信息保护法律法规篇10
关键词:经济信息安全 国家经济安全 信息化 法律保护
一、信息化挑战我国经济信息安全
与西方发达国家相比,我国的经济安全保障体系非常脆弱,对于经济信息安全的保护更是一片空白。国家经济数据的泄露,泄密案件的连续出现昭示着我国经济信息安全面临前所未有的严峻挑战。
(一)对经济信息的争夺日益加剧
经济竞争的白炽化与信息高速化在推动世界经济迅速发展的同时也使得业已存在的窃取经济信息活动更为猖獗,无论是官方的经济情报部门还是各大财团、公司都有自己的情报网络。世界各国在千方百计地保护本国经济信息安全的同时也在千方百计地获取他国的经济情报。目前我国正处于泄密高发期,其中通过计算机网络泄密发案数占泄密法案总数的70%以上,并呈现逐年增长的趋势;在商业活动中,商业间谍与经济信息泄密事件频繁发生,据业内人士透露泄密及损失最渗重的是金融业;其次是资源行业,大型并购很多,而十次并购里面九次会出现信息泄密事故;高科技、矿产等领域也非常严峻,很多行业在经济信息安全保护上都亮起了红灯。
(二)窃密技术先进,手段多样化
一方面,发达国家及其情报组织利用信息技术优势,不断监听监视我国经济情报,非法获取、篡改我国信息或传播虚假信息造成经济波动,以获取经济乃至政治上的收益;另一方面,除技术手段,他们还通过商业贿赂、资助学术研究、举办研讨会、派专人在合法范围内收集企业简报、股东报告甚至是废弃垃圾通过仔细研究,分析出有价情报等方式大量收集我国经济信息。正如哈佛大学肯尼迪政治学院的一位中国专家认为:“在中国,当前贿赂最主要的形式不再是支付现金,更多可能由公司付费途经洛杉矶或拉斯维加斯到公司总部考察。这种费用可以被看做是合法的营业支出,也可以为官员设立奖学金。”窃密技术日益先进与手段日趋多样化、合法化对我国经济安全,特别是经济信息的安全造成严重威胁。
(三)经济信息安全保密意识淡薄
近年来,每当政府机构公布国民经济运行数据前,一些境外媒体或境外研究机构总是能准确“预测”;许多重要的经济信息,包括经济数据、经济政策等伴随学术报告、会议研讨甚至是一句家常闲聊便被泄露出去;载有核心经济信息的移动存储介质被随意连接至互联网导致信息泄露等问题严重。有调查显示,我国有62%的企业承认出现过泄密现象;国有以及国有控股企业为商业秘密管理所设立专门机构的比例不到20%,未建立任何机构的比例高达36.5%;在私营企业中,这样的情况更加严峻。经济信息安全保密意识的薄弱已成为威胁我国经济安全,影响社会经济稳定发展的制约因素之一。
二、经济信息安全法律保护的缺失
安全的实质是一种可预期的利益,是法律所追求的价值主张。保障经济信息的安全是信息时代法律在经济活动中所追求的最重要的利益之一。法律保障经济信息安全,就要维护经济信息的保密性、完整性以及可控性,这是由信息安全的基本属性所决定的。然而,由于我国立法上的滞后,对经济信息安全的法律保护仍存在相当大的漏洞。
(一)缺乏对保密性的法律保护
保密性是指保证信息不会泄露给非授权者,并对需要保密的信息按照实际情况划分为不同等级,有针对性的采取不同力度的保护。现行《保密法》对于国家秘密的范围以及分级保护虽有相关规定,但其内容主要针对传统的国家安全,有关经济信息安全方面仅出现“国民经济和社会发展中的秘密事项”这样原则性的规定,对经济秘密的划定、保密范围和措施等缺乏相应条款;对于跨国公司或境外利益集团等窃取我国经济政策、产业关键数据等行为也缺乏法律上的界定,以至要追究法律责任却没有相应法律条款可适用的情况屡屡发生。
在涉及商业秘密的法律保护上,法律规定分散而缺乏可操作性,不同部门对商业秘密的定义不统一,商业秘密的概念模糊而混乱,弱化了商业秘密的保密性;①另一方面,与tRipS协议第39条规定的“未披露的信息(undiscoveredinformation)”即“商业秘密”相比,我国《反不正当竞争法》要求商业秘密须具有秘密性、价值型、新颖性与实用性且经权利人采取保密措施,并将构成商业秘密的信息局限于技术信息和经营信息,这样的规定不以商业秘密在商业上使用和继续性使用为要件,使不具实用性却有重大价值或潜在经济价值的信息得不到保护,不利于经济信息的保密。此外,人才流动的加快也使商业秘密伴随着员工的“跳槽”而流失的可能性激增,但对商业秘密侵权威胁(threatenedmisappropriationoftradeSecrets)我国尚无没有明确法律依据;对于泄露或窃取他人商业秘密的行为,《刑法》第219条虽增加了刑事处罚,但处罚力度过轻而又缺乏处罚性赔偿规定,导致权利人的损失无法得到弥补。
(二)缺乏对完整性的法律保护
完整性是指信息在存储或传输过程中保持不被未授权的或非预期的操作修改和破坏,它要求保持信息的原始面貌,即信息的正确生成、正确存储和正确传输。目前,我国保障信息与信息系统完整性主要依靠《刑法》与《计算机信息系统安全保护条例》等法律法规,总体而言层级较低又缺乏统一性。《计算机信息系统安全保护条例》第4条规定了“计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全”,但在第23和25条却只规定对破坏和危害计算机信息系统安全造成财产损失的承担民事责任,并对个人处以5000元以下罚款,对单位处以15000元以下罚款的较轻处罚规定;现行《刑法》第285条也只规定入侵国家事务、国防建设、尖端科学技术领域的计算机信息系统的行为构成非法侵入计算机信息系统罪。这就是说,行为人非法侵入包括经济信息系统在内的其他信息系统并不构成本罪。可见,法律对信息安全的保障依然侧重于政治、军事等传统安全领域,而忽略了对经济信息安全的保护。