近年来,在我国经济快速发展和信息网络逐渐普及的大背景下,侵害公民个人信息类违法犯罪日益突出,社会危害严重,群众反响强烈。如何有效保护公民个人信息不受非法侵害?怎样构建完整的公民个人信息保护体系?记者就此采访了北京邮电大学互联网治理与法律研究中心主任李欲晓教授。
记者:有人认为,要用法律保护公民个人信息安全。请您介绍一下,我国在保护公民个人信息安全方面的相关立法情况?
李欲晓:我国对公民个人信息的保护经历了一个从无到有、从间接保护到直接保护的过程,个人信息的保护越来越受到公民和社会的重视,相关立法也在不断完善。然而,我国目前还没有制定专门的个人信息保护方面的立法,对个人信息的法律保护散见于部门法和规章条例。
此外,工信部出台的《个人安全技术公共及商用服务信息系统个人信息保护指南》,对企业处理个人敏感信息的行为进行规范,是我国首个个人信息保护的国家标准,具有一定现实意义。
自去年全国人大常委会通过关于加强网络信息保护的决定至今,信息泄露、窃取以及利用公民个人信息进行敲诈勒索、诈骗等违法犯罪行为仍时有发生,公民个人信息保护仍面临严峻形势,仅依靠现有法律、技术、管理手段来遏制滥用和侵权行为明显不足,需要在整体上明确基本原则,从而建立完整的个人信息保护体系。
记者:您刚才提到,要在整体上明确基本原则,具体是指哪些原则呢?
李欲晓:首先是权利属性原则,即从保护公民个人信息权利的角度,立法明确界定公民个人在信息收集、使用、处理过程中所享有的基本权利,如信息决定权、信息查询权、信息更正权、信息删除权、报酬请求权等。这些权利属性也确立了公民在网络空间的基本权利及网络服务提供者的责任、义务。
网络环境下公民个人信息兼具财产属性与人身属性,公民可以自主决定个人信息的收集、收集方式、范围、使用、共享权利的转移、转移对象、载体、形态,可以决定在何时、哪个网站、哪种服务、哪类应用中不再使用自己的个人信息,这就需要遵循自主选择原则。
网站和信息服务者相对于用户有很强的地位和优势,在个人信息保护方面应承担更大责任,不应该处于完全被动地位。因此,需要建立公民和服务提供者之间的良性关系,在信息利用与保护间寻求平衡,遵循有限保护原则。既保护公民个人信息不被滥用,又能充分发挥信息在网络环境中的经济效益和社会效益,推动社会良性发展。
禁止滥用原则,保证其使用应具有特定、明确、合理的目的。信息收集者要明晰授权收集、合理使用的原则,信息使用者不得扩大使用范围,也不能贩卖公民个人信息,更不能强行获取公民个人信息。
记者:您认为,在构建体系化的公民个人信息保护机制方面,还需要做哪些努力?
李欲晓:首先完善个人信息保护的相关立法,进一步细化和明确个人信息保护各项内容,包括个人信息保护内容、信息主体的权利、义务,政府机关、网络服务提供者及其他主体在处理公民个人信息过程中的行为规范及承担相关责任等。
应加大对侵犯公民个人信息行为的惩罚力度。现阶段对侵犯公民个人信息,尤其对违法买卖个人信息行为的惩罚力度较轻,难以有效威慑违法犯罪行为的发生,应建立健全个人信息保护责任体系,细化、明确处罚标准,依据侵权行为性质、危害结果程度的不同而承担相应的法律责任。
在提高公民个人信息自我保护意识和能力的基础上,加强社会监督与检测能力。建议设立专门个人信息保护监督机构,建立个人信息保护评测机制,对相关行业、企业保护公民个人信息的行为、结果进行公正评测。此外,充分发挥新闻媒体、社会大众的舆论监督力量,对企业使用和处理公民个人信息行为进行有效监督。(本报记者 王昊魁)