最近发生了几起电信诈骗导致被害人死亡的案件,引起公愤,虽然犯罪嫌疑人很快被抓获,但与这几起案件相关的个人信息泄露的问题仍值得我们持续关注。公众普遍质疑这样的问题,即犯罪嫌疑人怎么这么快就能够得到受害人的准确信息?是从哪里获得这些信息?是否有人给他们提供了这些信息?这些信息的泄露者应当承担什么样的责任?
个人信息泄露已成为公害
目前,个人信息的泄露十分普遍,已经成为一种公害,到了非治理不可的地步了。严重的电信网络诈骗背后都存在个人信息泄露的问题。一些违法行为人利用受害人的信息进行精准诈骗,竟然屡屡得手。前不久,某大学教授刚卖完房子,信息就被泄露,结果被诈骗1000多万元。信息泄露危害人们银行存款安全,甚至严重危及个人人身安全,也有一些信息泄露导致个人正常生活受到严重影响。据报道,全国26个省多位艾滋病感染者曾接到诈骗电话称会发放补助。甚至有人接到电话敲诈,称不给钱就曝光艾滋病感染者的信息。如此大面积的信息泄露令人震惊。这些艾滋病患者本身就是社会弱者,其个人信息被泄露将使得一些人痛不欲生。
时下,每个人都可能成为个人信息泄露的受害者,个人信息泄露无时无刻不在上演,我们的正常生活都可能因为个人信息的泄露被完全打乱。比如,去证券公司开一个户,就会收到很多炒股、融资的垃圾信息;去银行开户或到保险公司购买保险,就会接到许多是否需要投资理财、买保险的骚扰电话;通过房地产中介租赁房屋,就会收到无数售房、租房的电话;刚买完房子,就会收到无数询问是否需要装修、出售房屋的骚扰电话;去医院做一次孕检,就会收到推销奶粉、月嫂服务等诸多与婴幼儿有关的信息,如此等等,不胜枚举。可以说,莫名的骚扰电话、信息,已经成为忙碌的现代人不得不承受的负担,严重妨碍了私人生活安宁,给生活增添了压力与疲惫。更危险的是,如果这些泄露出去的信息被非法利用,如用于网络电信诈骗,后果将不堪设想。正是从这个意义上说,保护公民的个人信息,不仅是保护个人财产安全的问题,更是保障个人隐私、私人生活安宁的问题,从根本上说,就是保障民生的问题。
应当制定专门的个人信息保护法
在互联网和大数据时代,信息代表着财富、代表着销售渠道。掌握了信息,就掌握了机遇。获取信息成为商家竞争的法宝,巧妙利用个人信息也成为竞争的重要方式。从效率层面而言,确实应当鼓励个人信息的积极利用,但也不能只注重个人信息的利用而忽略了保护。迄今为止,全世界已经有90多个国家和地区制定了专门保障个人信息的法律,宣告个人享有个人信息权,甚至将个人信息作为一种基本人权对待,这也反映了个人信息保护的重要性。在我国,虽然2015年11月1日起实施的刑法修正案(九)明确规定了侵犯公民个人信息罪,其他方面也不乏相关规定,但总体上,对个人信息的保护仍很不够,需要从多方面予以加强。
笔者认为,当务之急是应当在正在制定的民法典中明确规定个人信息权,任何人不得非法获取个人信息,更不得非法出售或者提供个人信息,对信息泄露者应当视其情节轻重,追究其法律责任。以个人信息权为基础,应当制定专门的个人信息保护法,重点解决如下几个问题:
一是合法性和合目的性原则。不是所有的个人和机构都可以收集个人信息,特别是大规模地收集个人信息。任何机关和个人在收集他人个人信息时,都应当遵循合法性原则,保证收集的主体和手段必须合法。同时,个人信息收集必须要符合特定目的,例如,银行收集的个人信息只能限于银行内部使用,房屋中介收集的个人信息只应在交易过程中收集,交易后应当销毁,而不能在此目的之外使用相关信息。
二是知情同意原则。知情同意是个人信息权的核心,是最能够体现个人价值的原则,信息人本人的知情同意是对信息进行收集、处理和使用的基础,没有当事人的知情同意,除非法律强制规定的情况以外,任何的收集行为都是没有合法性基础的。对一些重要信息的收集,特别是关系个人核心隐私信息的收集,必须取得本人的同意,并且应当向被收集者告知信息的收集目的、用途和使用期限等。在信息收集以后,权利人应当享有跟踪、查阅以及防止个人信息被非法利用的权利。
三是明确个人信息收集的范围。也就是说,立法应当明确规定相关主体收集个人信息的权限和范围,明确哪些个人信息可以被收集,哪些不能被收集。在收集个人信息时,应当遵循尽可能少收集的原则,即不能收集超出法律允许范围内的个人信息,更不能无限制地、大面积收集个人的信息。
四是个人信息收集后的妥善保管责任。个人信息收集后,应当有专人保管和负责。如果发生个人信息泄露后甚至无法确定由谁负责,这就很难有效预防个人信息的泄露。收集主体即特定的机构或个人,应当对个人信息收集后的泄露承担责任。收集主体因对个人信息保管不善而造成权利人利益受损的,其应当承担与其过错相应的责任,根据具体情形还可能与具体信息侵权行为人一起,对权利人承担连带赔偿责任。对于掌握信息的相关行业,要建立起信息保护与信息安全的防火墙,个人信息录入到相应系统之后,只有专门负责人才能接触,而不是个人可以轻而易举地接触到这些信息。这样,一旦出现个人信息的泄露,就可以直接追究这些专门负责人员的责任。
五是最少使用原则。即从事某一特定活动可以使用、也可以不使用个人信息时,要尽量不使用。这就类似行政法上的比例原则,即在必须使用并征得权利人许可时,要尽量少使用;获取的信息量,以满足使用目的为必要;为达到目的只需要使用权利人的非敏感个人信息,就不应该扩大信息收集和使用的范围。
六是个人信息的查询规则。一旦有关机关收集个人信息后,并不意味着任何人都有权查询,因为有些个人信息属于个人的私密信息,应当受到法律保护。例如,个人的房产信息等财产信息,如果是与房产交易毫不相关的主体,就不得随意查询他人的房产信息。只有利益相关方,例如交易相对人等,才有权查询他人的房产信息。
七是明确侵害个人信息权利的责任。目前,有的机构大面积收集个人的信息,导致个人信息的大面积泄露,这些主体的责任并不明确。立法应当明确侵害个人信息权利的责任,如果确实是机构的原因导致信息大面积泄露,则机构应当依法承担相应的责任;如果是机构的工作人员私自泄露了个人信息,除该个人应当承担责任外,机构视具体情节也可能需要依法承担责任。如果是机构对个人信息保管不善,同时又有外界第三方非法获取并使用个人信息,此时机构可能需要与第三方承担连带赔偿责任。
21世纪互联网和高科技的发展,在给现代人带来极大便利的同时,也给我们的生活带来了巨大挑战。互联网时代最大的挑战,就是如何对个人的隐私和个人信息进行保护。只有社会构建切实保护信息的法律机制,在民法典中明确承认个人信息作为基本民事权利,严格保护个人信息权,防止个人信息的非法泄露和利用,互联网才会健康发展,个人的生活才会幸福安宁,我们的社会才会井然有序。
(作者为中国人民大学副校长、教授)