(五) 保护计算机信息系统的法律法规
1994 年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》第 7条对计算机储存的信息保护进行规范。针对黑客等采取不法手段窃取他人计算机中的信息的,我国刑法第 285 条规定了"非法侵入或破坏计算机信息系统罪"、第287 条将利用计算机实施犯罪的行为入罪。《徐州市计算机信息系统安全保护条例》于 2009 年 6 月 1 日生效。该条例规定:未经允许,擅自散布他人隐私,或在网上提供或公开他人的信息资料,发布者、传播者等违法行为人,最多可罚款 5000元;情节严重的,半年内禁止计算机上网或停机。可以说,这部地方性法规是第一部直接规定"人肉搜索"的法律后果的法规(六)保护移动智能终端(如:智能手机)信息安全的法律法规2013年4月11日工业和信息化部发布的《工业和信息化部关于加强移动智能终端进网管理的通知》
规定移动智能终端生产企业不得预制软件非法收集用户个人信息。
(七)保护网络交易过程中个人信息安全的法律法规
2012年3月12日国家工商行政管理总局《关于加强网络团购经营活动管理的意见》对风起云涌的各类团购网站的个人信息保护作了规范。2010年5月31日国家工商行政管理总局《网络商品交易及有关服务行为管理暂行办法》是我国第一个网络商品交易个人信息保护行政规范。
(八)保护网络游戏中个人信息安全的法律法规
2010年6月3日文化部颁布的《网络游戏管理暂行办法》对网络游戏企业保护个人信息进行规定。
(九)保护电子商务过程中个人信息安全的法律法规2008年《上海市促进电子商务发展规定》是我国首个针对电子商务企业关于个人信息保护规范的地方性规定。
上述立法规范了网络个人信息保护的方方面面,但由于网络环境的复杂化,需要进行规范的领域今后也会越来越广泛,法律总有其滞后性,会在一定程度上落后于网络技术的发展,所以立法活动本身也必然有一个经验累积的过程。随着个人信息泄露事件的不断曝光,在近年的全国政协会议和人大会议上,每次都有委员提交建议制定公民个人信息保护法的提案,政府也感到了莫大的压力。于是,自去年年底起始的半年多时间里,全国人大常委会、工信部等部委接连高调公布旨在强化个人信息保护的"决定"或者"保护指南"等文件,这些文件对目前网络社会中大量存在的侵权行为人而言,无疑是政府下决心整治的明确信号。下文按照时间顺序对这"三颗信号弹"一一解读。
第一弹:《全国人大常委会关于加强网络信息保护的决定》(2012 年 12 月 28日起施行,以下简称"《决定》")《决定》的十项具体内容中, 共有五项是针对网络服务提供者和其他企业事业单位的,分别要求网络服务提供者和其他企业事业单位必须做到"在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息,并应当公开其收集、使用规则"、"对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供"、"采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。"、"加强对其用户发布的信息的管理,发现法律、法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,保存有关记录,并向有关主管部门报告。"、"为用户办理网站接入服务,办理固定电话、移动电话等入网手续,或者为用户提供信息发布服务,应当在与用户签订协议或者确认提供服务时,要求用户提供真实身份信息".这些内容分别涉及个人信息保护相关的公民权利的各个方面。由于目前与个人信息保护相关的大量问题都与网络服务提供者相关,因此,《决定》用了最大篇幅约束网络服务提供者。
《决定》的十项内容中有四项是针对"任何组织和个人"以及"公民"的,其中的两处规定"未经电子信息接收者同意或者请求,或者电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息"和"不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。"是对任何组织和个人所设定的义务;第三处规定"对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为,有权向有关主管部门举报、控告。被侵权人可以依法起诉"是对任何组织和个人所设定的权利。第四处是为"公民"所设定的权利,内容为:"发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。"这四处内容是互相关联的,其中的"公民"权利正符合个人信息资料权中的"删除权".
《决定》有两处提到了"有关主管部门"和"接到举报、控告的部门",提出要求其作为的义务分别是"应当在各自职权范围内依法履行职责,采取技术措施和其他必要措施,防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为。"和"应当依法及时处理".但具体如何处理,以及可以依据哪些法律法规切实履行职责等,《决定》没有提及。
针对国家有义务保护哪些个人信息这个问题,《决定》的第一条作了这样的规定:"国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。"其中,将可以直接识别主体身份的直接个人信息如肖像、姓名等列入受保护的个人信息的范畴,此外对可能侵犯隐私权的个人私密信息也一并列入《决定》的保护范围,而对间接个人信息,即需要借助其他手段才能识别主体身份的那部分信息,不作为"国家保护"的范围。
第二弹:信息安全技术公共及商用服务信息系统个人信息保护指南(2013 年2 月 1 日起实施,以下简称"《指南》")由全国信息安全标准化技术委员会提出并归口组织,中国软件评测中心牵头,联合多家单位制定的《指南》被称为我国个人信息保护的"国标".这个个人信息保护的首个国家标准,也是首个用来规范企业的行业标准,或许能对正处在舆论风口浪尖的个人信息保护带来一定影响。但就效果而言,个人信息保护需有一个行业准则,更需要健全的法律体系作保障,才能真正构筑起一道安全屏障,从而建立起个人信息全流程保护的长效机制。
首先,《指南》确立了我国个人信息保护的"八原则"即:目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。这八项基本原则涉及个人信息处理最重要的收集、加工、转移和删除这四个环节。在信息收集阶段,要求"对个人信息主体要尽到告知、说明和警示的义务。以明确、易懂和适宜的方式如实向个人信息主体告知个人信息的收集和使用范围等信息。"在信息加工和转移阶段,"只处理与处理目的有关的最少信息"、"保证处理过程中的个人信息保密、完整、可用,并处于最新状态。".同时,八项基本原则也满足了属于个人信息资料权利内容的查阅权("处理个人信息具有特定、明确、合理的目的,不扩大使用范围,不在个人信息主体不知情的情况下改变处理个人信息的目的。")、更新修正权("保证处理过程中的个人信息保密、完整、可用,并处于最新状态")、封锁权("按照收集时的承诺,或基于法定事由处理个人信息,在达到既定目的后不再继续处理个人信息")。和删除权("达到处理目的后,在最短时间内删除个人信息")。
其次,《指南》对个人信息保护中涉及到的法律概念进行了定义,这些概念包括"个人信息"、"个人信息主体""个人信息管理者"、"个人敏感信息"、"个人一般信息"等。在学界最有争议的两个概念是"个人信息"和"个人敏感信息",这两个概念的准确诠释直接关系到立法保护的对象范围。《指南》中的定义是迄今为止第一次由官方正式给出的定义,意义重大。或许是考虑到了难度,《指南》将"敏感信息"定义为 "各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等。"其中用了举例方式列举了"可以"作为敏感信息的个人信息。对"敏感信息"范围的确定也是我国个人信息保护立法的难点,因此《指南》作如此表述也是可以理解的。
整体来看,《指南》的内容吸收了国内外既有的主流立法观点,为今后正式立法提供了良好的基础,也为当前的个人信息保护工作提供了有力的参考依据。
第三弹:电信和互联网用户个人信息保护规定(由中华人民共和国工业和信息化部通过,2013 年 9 月 1 日起施行,以下简称"《保护规定》")全国人大常委会的《决定》要落实,离不开相关部门的具体措施,而公民个人信息保护的"重灾区"正是工业和信息化部所管理的电信和互联网行业。我国大多数公民都是电信和互联网行业的用户,这两个行业中的经营业者是相对于政府部门以外的商业部门的各类企业中收集和处理公民个人信息的"大户".因此,针对这两个行业的个人信息保护专门制定规则,通过法律强制力约束个人信息管理者,也为今后高位阶的法律的制定,积累一些实际经验。
从《保护规定》的内容来看,需要进一步细化的部分还有很多,对公民权利的保护没有充分体现,对违法行为的处罚力度也显不足,但其仍然不乏亮点。比如:《保护规定》第四条的规定是我国首次对电信和互联网用户个人信息进行定义;对电信业务经营者和互联网信息服务提供者的告知义务、及时删除义务、安全保障义务、事故及时报告义务以及电信管理机构的监督义务、审查义务等作了明文规定。
在迄今为止的司法实践中,因侵犯公民个人信息而引发的民事案件数量不多,主要原因是长期以来我国法院支持的精神损失赔偿数额相当低,此类案件中受害者的经济损失难以取证,网络个人信息受到侵害的案件更是难上加难,所以基本上受害者即便胜诉也无法得到可观的赔偿,这也极大地打击了受害者通过起诉请求司法保护的积极性。更不用说,诉讼劳命伤财,许多案件中当事人花费成千上万元诉讼成本,结果只得到区区几百元的赔偿。在本文第一章中的"孙伟国诉中国联合网络通信有限公司上海分公司侵害隐私权案",孙伟国虽然胜诉,但仅仅得到"书面赔礼道歉",这样的"精神胜利"之典型案例恐怕会让许多后来者"望而却步".在此类案件中,司法公正并非体现在让受害人获得巨额赔偿,所以我们不难理解为何法院审理此类侵权案件的数量如此之少的原因。