绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇个人信息泄露论文范文,希望它们能为您的写作提供参考和启发。
中图分类号:S759 文献标识码:A
2012年中央电视台3.15晚会披露了两则关于非法买卖个人信息的消息,一是银行员工泄露出售客户个人信息,二是罗维邓白氏低价贩卖1.5亿个人信息,引发了社会各界对个人信息保护的热议。我国个人信息泄露和滥用情况令人堪忧,而对于个人信息的保护却存在失控状态, 2005年我国《个人信息保护法》初稿已制定完成,但至今未进入正式立法程序。2012年初工信部直属的中国软件测评中心联合30多家单位起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》报批国家标准,但即使得到批准,它仍然只是“技术指导文件”,并非国家强制性标准。《刑法修正案(七)》虽增加了非法获取公民个人信息罪,但也只限于“情节严重”,对日益泛滥的并未达到刑法保护高度的个人信息泄露问题并不适用。目前我国亟待建立一套切实有效个人信息保护体系。
一、个人信息的概念
个人信息是指自然人的姓名、性别、出生日期、民族、身份证号码、教育及工作经历、医疗记录、照片等任何单独或与其他信息对照可以识别特定个人的客观信息。
二、关于我国个人信息保护立法的若干建议
(一)关于立法理念。
我国的个人信息保护法在立法理念上要兼顾个人信息的静态保护与合理流通。在静态保护上应将个人信息权利确认为具体人格权并设计适当的权利实现途径,在动态流通上要处理好个人信息处理中的权利义务分配问题以及个人信息交易过程中的交换程序问题。
(二)关于信息主体的权利。
信息主体应当享有信息控制权、信息获取权、信息更正权、信息删除权、信息封锁权、信息收益权及获得救济权。
(三)关于立法原则。
个人信息保护法立法原则应当包括:(1)直接收集原则。信息控制者应当在信息主体知情或同意的情况下直接向本人收集信息。(2)信息质量原则。个人信息应当能够满足信息使用的目的,同时做到精确、完整并及时更新。(3)目的特定原则。信息收集应有特定、明确的目的且应在收集之前列明。(4)安全保障原则。在对个人信息收集、处理时必须采取充分的安全保护措施。(5)公开原则。对个人信息的收集、处理、利用及提供等程序性信息应当进行公开。(6)个人参与原则。信息主体有权向信息控制者确认是否持有关自己的信息。(7)利益平衡原则。法律在保护个人信息的同时,不得妨碍他人的权利,不得损害国家与社会公共利益。
(四)关于法律责任。
1、行政责任。
一方面,对于涉嫌侵犯个人信息的个人和非公共机构,应当引入政府监管,在法律明确行政责任的基础上,采取吊销执照、行政罚款等措施进行监管。另一方面,政府机关自身要依法行政,在处理个人信息时要形成一个完整的信息处理体系,明确管理负责人及管理目标,侵犯行政相对人个人信息权时应当承担相应责任。
2、刑事责任。
目前我国刑法已经为追究侵犯公民个人信息犯罪提供了最严格的法律惩罚依据,但有两点需进一步明确:一是关于“出售、非法提供公民个人信息罪”的犯罪主体列举为“国家机关或者金融、电信、交通、教育、医疗等单位”,其他单位则取决于对“等”字的解释,而就现实公民个人信息受到侵害的情况看,应将合法收集公民个人信息的单位均作为本罪的犯罪主体。二是关于“情节严重”问题,何为“情节严重”有权机关应及时作出相关的司法解释,以利于司法实践中的准确认定。
3、民事责任。
首先在诉讼中应采取举证责任倒置的方式,由被诉信息控制者举证自己行为的合法性。其次采取侵权责任和违约责任的可选择适用,若作为受害人的信息主体与作为加害人的信息控制者之间存在合同关系,信息主体可选择适用违约责任或侵权责任。第三,在赔偿数额问题上,加害人不仅要对受害人的物质损害承担赔偿责任,还应对受害人的精神损害承担赔偿责任。对于精神损害赔偿应确定一个法定赔偿数额,以减少很难确定的人为因素的影响并提高司法效率。另外对于普通人来说,个人信息被侵犯的情况或许每天都在发生,若每个人都独自维权,则维权成本势必过高,因此可以考虑完善集团诉讼,如成立一个个人信息维权机构接受个人的投诉,将每个个体按照一定的标准分类再形成集团诉讼,在诉讼程序结束后再根据个人情况分配应得补偿,由此可以更有效的利用司法资源,提高诉讼效率,使每个人的权利得到维护。
(作者:吕霄翔,临汾铁路运输法院科员,学历:法学硕士,专业:经济法;汤晶,四川省电力公司阿坝公司法律顾问,法学硕士,专业:经济法)
参考文献:
近年来,个人金融信息泄露事件时有发生,引起了社会的广泛关注。个人金融信息既是金融机构的宝贵财富,也关系到客户的隐私权和财产安全。为了规范金融市场,保护金融消费者的合法权益,我国应当建立、健全个人金融信息的法律保护体系。现代金融以银行为核心,因此,本文着眼于银行业个人金融信息的法律保护,以期对金融消费者权益保护制度的完善有所裨益。
一、侵害银行个人金融信息的情况分析
一般而言,个人金融信息就是银行在办理各种业务时输入、输出和处理的客户个人信息,这是银行在日常业务工作中积累的基础数据。银行是信息和数据流最多的行业之一,银行所获取的个人信息往往是非常敏感的,与个人的隐私和财产安全密切相关。由于这些信息是存储在银行内部,且能表现出一定的利用价值,在没有健全的监管体系的情况下,这些个人敏感信息将存在被侵害的危险,主要表现在以下几个方面:
1.银行滥用个人金融信息,作为交叉营销的手段。在没有取得客户事先同意的情况下,银行可以凭借客户提供的个人信息向客户营销其它金融产品,以达到扩大银行金融产品的影响力和覆盖面。这样就会对客户的个人安宁造成严重的影响。
2.银行向其他经济机构泄露或者出卖个人金融信息,使客户成为其他经济机构的营销对象。个人金融信息的商业价值很高,这些信息往往是其他金融机构和企业单位梦寐以求的。这些经济机构在获取了个人金融信息之后,就会通过各种形式向客户营销产品,突出的表现为海量的垃圾手机短信和纸质宣传材料,严重影响了人们正常的生活秩序。
3.个人金融信息缺乏准确性。个人金融信息是个人征信体系的主要组成部分,银行记录个人金融信息不正确,或者不全面,都会影响客户的社会信用评价,进而损害客户利益。
4.银行泄露个人金融信息,使客户成为犯罪分子的侵害目标。个人金融信息内容丰富,且涉及敏感领域,是犯罪分子进行电信诈骗的“最佳”作案工具。可以说,个人金融信息的泄露是电信诈骗的重要原因之一。同时,个人金融信息的泄露,也为违法犯罪分子冒用他人名义办理业务而盗取财物创造了有利条件。另外,个人金融信息还涉及个人金融交易习惯,如往常的大额取现的时间、取现地点等,它的泄露,为暴力犯罪创造了条件。
5.违法犯罪分子窃取银行个人金融信息。现代金融业早已进入网络时代,网络开放性和互交性的特点使得违法犯罪分子可以借助高科技手段获取个人金融信息,以达到违法犯罪的目的。
二、侵害银行个人金融信息的保护现状
侵害个人金融信息的行为可以总结为个人金融信息的泄露、滥用和不正确记载。首先,对于个人金融信息记载不正确的情况,中国人民银行颁布的《个人信用信息基础数据库管理暂行办法》(下称征信办法)规定了异议程序,个人认为本人的信用信息存在错漏,可以向所在地中国人民银行征信管理部门或直接向征信服务中心提出书面异议申请,征信管理部门应当依程序纠正。但是,个人征信异议申请需要由所在地的中国人民银行征信管理部门层层转交至征信服务中心,再由征信服务中心转至商业银行核查,异议处理流程耗时长,且对于客户提交的书面申请,需要邮寄转交,容易丢失、遗漏,这必然会造成个人的损失。而且,对于因个人金融信息登记的错误处理,《征信办法》仅规定行政责任,对于因此而产生的财产损失,尚缺乏有针对性的法律救济途径。
其次,对于因个人金融信息的泄露而引起的财产损失,则认定为侵害物权,权利人可以依照民事侵权或者合同违约的相关规定要求侵权人或者银行承担责任。为客户保密个人金融信息,既是合同义务,也是法定义务。银行没有采取措施保障个人金融信息的安全,致使客户的财产遭受损失,银行应当承担相应的责任。然而,对于个人而言,不知道是谁泄露了自己的个人金融信息,维权成本高,只能依赖于公安机关,个人的财产损失难以及时补救。
再次,个人金融信息的泄露和滥用的行为主要存在于商业机构的营销上,相对上述两种情况而言,这种情况更为普遍和泛滥,更应该得到法律的救济。在信息时代,对信息的汇总、分析和加工可以大幅降低交易成本,也可以使消费者更便捷地获得针对。但是,过分的泄露个人信息则会导致个人生活安宁遭受影响,是一种侵害个人隐私权的行为。根据《侵权责任法》规定,侵害他人隐私权的,应当承担侵权责任。然而,我国民事法律没有关于隐私权的详细规定,隐私权仍是一个抽象的概念。什么是个人的隐私,侵犯隐私权的程度如何衡量,赔偿标准如何确定,这些问题都取决于法官的自由裁量权。在个人金融信息泄露和滥用的情况下,什么样的个人金融信息属于隐私权的保护范围更是一个值得深入探讨的问题。
最后,在现有的法律体系中,保护个人金融信息的规定散见于《人民银行法》、《商业银行法》和《反洗钱法》等法律规定中,尚无法对个人金融信息给予全面保护。例如,《商业银行法》仅规定了银行为存款人保密的义务,储蓄仅仅是商业银行的日常业务之一,该规定难以涵盖全部个人金融信息。而且,对于银行非法查询个人存款或者向外人提供查询结果的行为,只有在发生财产损失的情况下,始能要求银行承担民事责任,无法涵盖侵犯隐私权的情况。根据《民事诉讼法》、《刑事诉讼法》等法律的相关规定,有权机关依照法定程序查询的一般是个人金融资产信息,不包括身份信息、信用信息和衍生信息等。可见,《商业银行法》的保密义务主要对抗的是公权力对个人财产的侵害,而忽略了银行对个人金融信息的泄露和滥用问题。
三、银行个人金融信息保护体系的基础分析和模式选择
构建个人金融信息保护体系的主要任务在于:一要明确个人金融信息的含义和范围,以及银行掌握个人金融信息的界限;二要明确侵害个人金融信息的行为性质以及民事救济途径。前者为构建个人金融信息保护的基础,该问题仍是一个法律空白,这使得个人金融信息的维权行动成为无源之水。后者决定了个人金融信息的保护模式,是构建个人金融信息保护体系的最终目标。
(一)银行个人金融信息含义和范围的界定
虽然法律对个人金融信息没有明确的概念,但是中国人民银行于2011年1月21日的《关于银行业金融机构做好个人金融信息保护工作的通知》(以下简称为个人金融信息保护通知)对个人金融信息做出了明确的定义。该通知将银行个人金融信息定义为“银行业金融机构在开展业务时,或通过接入中国人民银行征信系统、支付系统以及其他系统获取、加工和保存的个人信息”。该通知是从银行业的角度对个人金融信息进行定位,以来源作为界定个人金融信息的标准。银行获取个人信息的目的在办理业务、审核结算、控制风险。随着社会的发展,银行的风险点会不断地变换,银行为了控制风险必然需要创新渠道去获取与业务相关的信息。对个人金融信息的定义不应该仅以来源来界定,还应该结合个人金融信息的其它特征加以界定。从保护个人金融信息的角度来看,个人信息一旦为银行所获取,银行就应当谨慎地履行保密义务,该保密义务不能因保存的介质变化而转变。而且,该保密义务应当延伸至信息的加工品,直至加工为与个人脱离直接联系的抽象信息。因此,个人金融信息应当定义为银行业金融机构为了开展和结算业务、防范和监控风险,向个人、国家机关和企事业单位等获取的与个人存在直接联系的个人信息以及衍生信息。
《个人金融信息保护通知》将银行个人金融信息分为七个类别。该通知采取的是“分类列举”的表达方式,对具体的工作起到了很好的指导作用。然而,法律是抽象和具体的统一体,即要有普适性,又能为具体的行为提供准确、无歧义的指引。从草拟法律条文的角度来看,个人身份信息、个人财产信息、个人账户信息等分类项目已经包含了紧跟其后的举例项目。同时,将具体的项目罗列出来难以囊括全部的个人金融信息,这就有可能造成某些新类型的个人金融信息得不到应有的保障。例如,银行卡内嵌的磁道信息和银行卡账号是直接联系的,磁道信息和密码一起构成了打开账户交易大门的“钥匙”。银行卡的磁道信息虽然不为客户个人所知晓,但这些信息与个人紧密联系,一旦泄露,会直接造成了个人的财产损失。然而,这类信息却没有出现在《个人金融信息保护通知》的列举事项之中。所以,在法律规定中,个人金融信息的概念外延应当采用“个人的身份信息、财产信息、账户信息、金融交易信息等银行在与个人建立业务关系过程中获取、保存的个人信息,以及对个人的消费习惯、投资意愿等原始信息进行处理、分析所形成的反映特定个人某些情况的信息”。
(二)个人金融信息的保护模式
个人信息资料与个人隐私有非常密切的联系,一方面个人信息资料往往具有私密性,另一方面,侵害个人信息资料的行为一般表现为非法披露个人信息资料。国内学者一般认为,个人信息资料的保护可以纳入隐私权的范畴。同时,不少国家也是将个人信息资料按照个人隐私来对待,如美国和德国等。然而,保护隐私权的主旨在于保护权利人免受外界的非法干扰,维护个人私密的空间,具有一定的被动性。个人对个人信息资料除了不应被他人非法披露之外,还包括对个人信息资料的控制权,如权利人有权纠正已公开或者由他人占有的个人信息资料,以及有权拒绝他人超出原定目的使用个人信息资料。同时,个人信息资料也不仅仅是私密的信息,部分个人信息资料因为涉及公共利益必须在一定范围内公开,例如个人的姓名、性别、公民身份号码等信息。对于已经公开的信息,权利人也享有控制权,也属于个人信息资料的权利内容。对于侵害个人信息资料的救济,除了精神损害赔偿之外,还应当包含财产损失赔偿。可见,虽然隐私权和个人信息资料具有交叉关系,但是对个人信息资料的保护无论是从权利内容上还是从救济途径上都宽于隐私权。因此,个人信息资料应当作为一项独立的权利加以保护,其救济方式可以参照《侵权责任法》的规定。
个人金融信息与一般的个人信息资料类似,个人金融信息同样不能单纯按隐私权来保护。个人金融信息与一般的个人信息资料相比,其与个人财产安全的联系更加紧密。对个人金融信息的侵害更容易造成个人的财产损失。而且,银行获取个人信息的范围非常广,远远超出其他企业所获取的个人信息范围。所以,银行个人金融信息应该在保护个人信息资料的基础上,谋求更多的法律保护。例如,为了体现个人对个人金融信息的控制权,对于银行逾期不修改错误的个人金融信息的,个人可以要求银行承担精神和财产损失。
四、银行个人金融信息的保护措施
(一)制定专门法规,为保护个人金融信息提供法律依据
目前,个人信息保护只存在于各行各业的内部规范之中,但是,制定规则的主体往往是交易的优势方,这必然会出现不公平的情况。而且,个人信息资料的保护和控制权限的界定往往是通过商业合同来确定的。由于没有上升到法律层面,个人信息资料往往得不到很好的保护。因此,通过法律的形式保护个人信息资料具有相当的现实意义。目前,我国的《个人信息保护法》已在起草阶段,而我国的行业执法权比较分散,立法者需要协调各个部门之间的意见,该法律的出台仍没有具体的时间表。然而,个人信息资料侵权问题已经成为一个社会问题,随着人们权利意识的逐渐增强,社会问题必然会演化为法律问题。面对即将到来的执法、司法难题,《个人信息保护法》应当尽早制定。
相比而言,银行个人金融信息保护问题尤为突出,一方面是因为银行业竞争越来越激烈,银行需要积极营销方能占据市场地位,另一方面,随着科技的进步和经济的繁荣,银行的发展成本也逐渐增加,银行没有很好地权衡利润和再生产的关系,使得安全问题频发。为此,银行的个人金融信息保护工作走在了前列。金融业,特别是银行业,在国民经济中占据了独特的地位,其在交易中优势地位更加明显。在《个人信息保护法》的基础上再制定专门保护个人金融信息的规则是很有必要的。其中,首先要明确个人金融信息的定义,明确银行收集个人金融信息的目的和范围;其次,规定银行保护、使用个人金融信息的法定义务,即要求银行必须按照法定的方式、途径收集、保存和使用个人金融信息,并履行一定的告知义务;再次就是侵害个人金融信息的认定办法和救济途径。
个人金融信息保护的规则应当纳入《个人信息保护法》中,作为该部法律的一个章节,即《个人信息保护法》采用“总则与分则”的行文模式,先制定个人信息保护的一般规则,然后根据行政机构、事业单位和企业等顺序,分别规定不同主体、不同行业的个人信息保护规则。对于具有特殊性的行业,例如金融业、通讯业等,可以专门制定一个章节。
(二)建立个人金融信息的维权机构,减少个人的维权成本
在银行业个人金融信息的维权行动中,个人往往需要面对两个问题,一是维权成本,二是证据的获取。因此,个人维护个人金融信息安全困难重重。德国著名法学家耶林在《为权利而斗争》一书中说,“为权利而斗争,是对个人、社会和国家的义务”。个人权利的普遍缺失,应当成为社会共同应对的问题。对于个人金融信息的保护问题,以及金融消费者保护问题,应当建立专门的金融消费者权益保护机构。传统的消费者协会,限于专业知识的缺乏,难以胜任金融消费者的保护工作。而单独将银行业划出来,成立专门的银行业消费者权益保护机构又会面临机构过小而丧失生命力。金融业存在互通性,而且目前存在众多金融产品集中销售的情况,金融业应当作为一个整体建立专门的金融消费者权益保护机构。目前金融业面临着央行、证监会、银监会、保监会多个监管机构分业管理的局面,在金融消费者权益的保护问题上,特别是跨行业的问题,难以形成合力。如果能建立一个金融消费者权益保护机构,将能起到引导金融消费者维权、与各个部门的协调作用,更好地维护金融消费者权益,促进金融市场的健康发展。就目前情况下,金融消费者权利保护机构应该设置在央行之下,由央行主办成立。
对于银行个人金融信息保护问题,以及其他金融消费者的权利保护问题,如何收集证据是权利人难以回避的难题。在此类纠纷中,不宜适用举证倒置的规则,即不应当由银行承担不存在侵权行为的举证责任。首先,举证倒置会促使银行更加谨慎的保留业务操作的相关资料,增加银行的运行成本,不利于国民经济的快速发展。其次,举证倒置促使诉讼激增,不但银行无法应对,就连司法机关也难以承担如此大的工作量。再次,消费者可以通过央行、银监会和司法机关等机构获取与银行的相关证据,如向公安机关报案,可以申请公安机关调取银行留存的文档和视频资料。所以,个人金融信息纠纷不宜适用举证倒置规则具有一定的现实意义。但是,这样就会造成个人获取证据的成本过大,很多人会因受侵害的权益普遍不大而主动放弃了维权的机会。在这种情况下,建立一个专门的维护金融消费者权益机构是相当必要的,它既可以引导个人获取证据,提供法律咨询,也可以组织集体诉讼,降低个人的维权成本,促使银行业重视所存在的问题,同时还能协调各个部门,减少行业冲突。
(三)完善商业银行法律制度,建立完善的监管体制
信息社会大学生个人信息安全问题凸显,大学生个人信息泄露造成的安全隐患和安全事故也频繁发生,而大学生个人信息安全教育却没有引起足够的重视。大学生安全教育中并没有针对大学生个人信息安全的教育内容,造成事实上的大学生个人信息安全教育缺位,因而不能很有效的防范由此引起的安全事故。从课程角度来说,大学生个人信息安全教育还没有解决“教什么”的问题,即大学生个人信息安全课程应该包括哪些内容。本文拟从课程开发的角度出发,首先提出大学生个人信息管理和使用中存在的主要问题,并针对这些问题提出大学生个人信息安全的课程内容。
一大学生个人信息使用环境及存在的问题
随着信息化社会的发展,电脑、网络日趋普及和移动互联网的成熟应用,大学生的学习和生活与网络息息相关,通过网络进行的信息活动丰富多彩。大学生通过网载影视作品与音乐、网络聊天交流、通过网络看新闻、玩游戏等网络信息活动,电脑、网络已经是高中学生日常生活的重要部分。因而,大学生一方面通过网络获取信息,另一方面他们在网络上交流、寻找、使用信息,同时还生成、创造信息。例如:在网上通过即时聊天工具或EMAIL等与人沟通,使用网上银行进行财务处理或通过网上支付的方式进行网络购物等,都涉及到个人信息的创建和使用,一旦这些个人信息泄露,将给大学生生活带来很多麻烦甚至危及到财产或人身安全。网络带给大学生方便快捷生活和学习的同时,也给大学生个人信息安全带来问题。
(一)信息技术基础知识缺乏
信息的传播和使用往往要经历编码、储存、传播或运用、解码等过程,不同级别的信息在每一个过程都有相应的操作方式和关注的问题,这样可以保证信息的安全和有效。大学生缺乏相应的信息技术基础知识,在信息使用和管理过程中不能有效安全地处理个人信息。例如:大学生在日常生活中通常拥有2~3个密码,更有同学的密码多达7—8个。这么多的密码在编码时必须要考虑很多方面的问题,通常要有足够的强度,不容易被破解,同时又要容易识记,这就需要进行合理的编码。大学生在设置密码的时候,通常只考虑一个方面,要么是便于记忆而强度不够,甚至很多大学生所有的密码都是出生年月;这样密码的强度和保密性非常低,起不到应有的保护作用,当事人如果稍有疏忽便会造成重大的损失。还有的同学只考虑密码组合有足够的强度,但是却难以记忆,因而大部分学生都出现过遗忘密码而找不到所需求的信息的情况,这样反倒给他们的学习和生活带来不便。
(二)缺少个人信息安全知识
大学生自身对个人信息保护相关知识的认识不全面,对如何有效地保护自己的信息、个人信息泄露的途径以及个人信息泄露的危害等个人信息相关知识不够了解。一方面大学生没有接受过关于如何避免个人信息泄漏方面的知识教育,同时他们的网络信息活动一般缺乏相应的监督,因而即使大学生个人信息出现安全问题,往往不能及时发现;另一方面当大学生个人信息出现安全问题,他们不知道如何有效地处理和应对。因而一旦大学生个人信息泄密造成安全事故,大学生往往不知道如何处理,不能识破陷阱或骗局,无法进行自我保护以避免不必要的损失。
当前社会、家庭对个人信息保护意识不强,个人信息遭到泄漏,导致不良后果的事时有发生,为了保证社会的安定,提高公民的自我保护能力,加强大学生的个人信息保护意识势在必行。一些家长缺乏信息技术方面的知识,往往对信息不加确认,学生个人信息泄露后,一些不法分子利用家长的爱子心切,导致家长上当受骗。
(三)个人信息法律、法规方面缺失
大学生对个人信息保护的相关法律法规缺乏了解,主要是两个原因:一是信息技术发展迅猛,而相关的法律制订却落后于相应的技术发展。虽然个人信息方面的法律、法规在不断完善中,但个人信息安全产生问题比较复杂,法律法规的制订需要时间。二是大学生、社会机构等对相关法律不够重视,缺少相关的法律知识。社会商业机构甚至是学校对大学生个人信息过度收集或是超权限的收集,这些机构或某些商业单位对大学生个人信息进行超出权限范围的使用,甚至是非法使用,或出于盈利目的而将个人信息非法转让,这些都危及到了大学生个人信息的安全,有可能造成重大的财产损失甚至危及个人安全。
(四)信息伦理道德冲突
我们处在一个信息爆炸时代,科技发展日新月异,信息和人、社会的关系也在不断地发展,在相关的法律、法规对信息和人、社会的关系进行规范的同时,也需要信息伦理从道德的角度来调整和处理信息和人、社会之间的关系,这是对法律法规的有效补充。在大学的教育实践中,往往重视大学生思想政治教育而忽略了德育,大学生对于人、社会、信息的关系缺少认识和了解,大学生无法正确理解和对待信息和人、社会之间的关系,当个人信息与个人利益、公众和社会利益存在矛盾冲突时往往不能有效处理。
二大学生个人信息保护课程的开发
针对上述大学生个人信息安全现状,笔者认为要充分利用学校资源开发大学生个人信息安全课程,通过理论和实践的结合,解决个人信息安全教育“教什么”的问题,通过大学生个人信息安全教育应该让学生了解基本的信息知识、掌握个人信息保护的相关能,并通过实践发展形成良好的道德认知和情感。笔者认为大学生个人信息安全课程应包括两方面的内容:一是关于信息技术、个人信息安全以及个人信息相关的法律知识、伦理道德等相关知识组成的理论板块;二是信息技术技能操作、案例分析等实践环节。
(一)个人信息安全理论知识内容
大学生个人信息安全理论知识的内容,一是个人信息和信息技术相关的基础知识和安全保护知识,二是个人信息安全相关的法律知识。主要由以下内容组成:(1)个人信息保护的相关知识:主要是指一切与个人信息有关的理论、知识与方法,包括个人信息保护的基本概念、个人信息保护的相关法律法规、个人信息保护对生活和学习的影响、以及个人信息保护在社会中的价值等。(2)个人信息保护的技能:是有关个人信息工具、个人信息载体方面的知识和技能掌握,如与个人信息保护相关的计算机基本操作技能等。(3)个人信息保护的综合应用能力:是指在复杂的环境中综合、灵活应用个人信息识的能力,即个人信息技能在具体问题情境中的综合表现。除包含个人信息技能、个人信息知识外,还包括对个人信息控制方面的抽象思维,能正确处理一些个人信息保护相关问题的能力。
综上所述,大学生个人信息安全应掌握关于个人信息保护的知识,学生应了解与个人信息有关的理论、知识与方法,掌握有关个人信息工具、个人信息载体方面的知识和技能,在复杂的环境中综合、灵活应用个人信息保护知识,正确处理个人信息保护问题。
(二)个人信息安全教育实践内容
个人信息安全教育实践环节的目标是通过实践提高大学生使用个人信息的个人保护能力和技术,同时通过案例的学习和讨论加强学生信息伦理的修养,更深刻地理解信息与人和社会的关系。
根据“中华人民共和国宪法”, 所有中华人民共和国公民都属于中国公民。一些外国人和无国籍人员如果有正当的理由遵守我们的宪法与法律, 就可以申请中国国籍。因此, 中国公民的个人信息保护非常广泛, 不但包括中国公民, 还包括一些外国人。另外, “宪法”还指出, 我国的所有犯罪都属于我国刑法的范畴。中国有权利和义务进行保护和调查。
二、我国公民个人信息刑法保护存在的问题
(一) 罪名的设置有待商榷
由于没有相关的司法解释来明确解释本罪的罪名, 基层司法部门适用本质犯罪有两种方式:一是将本质犯罪界定为侵犯公民个人信息罪;其次, 本罪分为盗窃罪、非法获取公民个人信息罪和销售非法提供公民个人信息罪。显然, 后一种方式将犯罪分为两种罪名, 即犯罪成为选择性犯罪, 犯罪人在侵犯公民个人信息后可以根据几种犯罪进行处罚。笔者认为, 后一种定义不能涵盖侵犯公民个人信息的所有犯罪行为。该罪的另一个问题是, 在邮政人员开拆、隐匿、销毁邮件、电报罪中增加该罪, 将影响该罪适用的独立性。例如, 邮政工作人员私拆的私人信件也可能侵犯公民的个人信息, 在《刑法》第253条中增设犯罪嫌疑人重复立法。
(二) 相关附属刑法有待完善
虽然《刑法》增设了侵犯公民个人信息罪, 但在公民个人信息保护的范围和深度上仍存在一些问题, 重点在于完善与该罪有关的附属刑法。刑法禁止非法搜查或入侵公民家园, 仅限于侵犯公民的个人信息“宪法第40条规定:”。中华人民共和国的交流自由和公民交往秘密受法律保护。除国家安全或刑事侦查外, 公安机关或者检察机关应当依照法律规定的程序进行通信检查。任何组织或个人不得使用任何理由。违反公民的沟通和通信秘密。毫无疑问, 这些规定反映了宪法对公民人格的尊严、住房和通讯的保护, 可以认为是属于隐私的范畴, 但这些远远不够。除上述几点外, 隐私权还涉及其他许多方面, 因此有必要在宪法中完善对隐私权的保护。
三、我国公民个人信息刑法保护的完善
(一) 增加公民个人信息司法救济方式
我国必须严格禁止侵犯公民个人信息。同时, 在刑法和司法救济中除了应考虑公民的个人信息外, 还应注意到检察机关以时间、人力资源的形式无法取得良好的效果。为了保护公民的个人信息, 加强对公民权利的保护, 有必要进一步对公民的个人信息进行司法救济。在行政法、民商法、公民个人信息保护等领域, 笔者认为, 公民要根据个人的愿望和意图选择司法救济, 行为分析权利的保护及其影响和结果, 然后选择是否进行审判。进一步通过各种司法救济, 公民可以提供更多的帮助, 也可以保护公民的个人信息。
(二) 扩大侵犯公民信息犯罪主体
论文关键词 实名制 完善 规制
电话的问世给人类的生活带来了极大的方便和效率,特别是移动电话的出现,更是开启了信息时代的通信零距离模式。但是,随着手机功能的不断更新和全面,尤其是手机网络的应用,与手机业务相关联的手机垃圾广告、手机诈骗、手机涉黄问题也日益严重,甚至开始影响手机用户的日常生活。因此,如何在通信畅通,手机功能最大化利用的前体下,治理手机垃圾短信,打击手机犯罪,保障手机用户个人权益成为全世界关注的问题。近些年来,一些国家开始立法实行手机实名制,期望通过对手机用户的管理解决目前不断恶化的手机问题。从日本、泰国等地手机实名制实施的状态来看,手机实名制在遏制垃圾短信、追踪打击手机犯罪分子方面效果确实不错,由此不难看出推行手机实名制应该是大势所趋。
我国的手机实名制也于去年9月开始全面启动,但是由于手机实名涉及到手机用户切实相关的个人信息等问题,并且我国至今没有出台手机实名制相关法律依据和实施细则,它的推行因没有合适的法律环境而不太顺利,甚至遭到一些人的反对和质疑。但是手机实名制的实施在于保障消费者的合法权益,作为一项长远来看惠及大众的公共政策,它的实施是合法合理的,应该坚持开展下去。面对手机实名已经开始实施的现状,当前对手机实名制法律依据的探讨及相关配套措施的完善显得非常迫切和重要。
一、 实名与实名制
实名,顾名思义即真实的姓名,具体而言有两层含义:一是指自然人使用的姓名同他人的认知一致;二是指正式姓名的使用,即自然人使用其户籍登记及身份证记载的唯一真实的现用名。本文所须得实名为第二层含义下的实名,即正式姓名的使用。我国2000年4月1日施行的《个人存款账户实名制规定》第五条将实名规定为符合法律、行政法规和国家有关规定的身份证件上使用的姓名,可以作为实名证件的有: (一)居住在境内的中国公民,为居民身份证或者临时居民身份证;(二)居住在境内的16周岁以下的中国公民,为户口簿;(三)中国军人,为军人身份证件;中国人民武装警察,为武装警察身份证件;(四)香港、澳门居民,为港澳居民往来内地通行证;台湾居民,为台湾居民来往大陆通行证或者其他有效旅行证件;(五)外国公民,为护照。前款未作规定的,依照有关法律、行政法规和国家有关规定执行。 实名制是一种近年才开始兴起的制度,即在办理和进行某项业务时需要提供有效的能证明个人身份的证件或资料,但是,它作为一个通用词汇并为我国大众所知晓,是在实施储蓄实名制之后。现在,我国已经实施或处于试行阶段的实名制制度主要有储蓄实名制、手机实名制、书号实名制、博客实名制、网吧实名制、火车票实名制等。
二、手机实名制的含义
所谓手机实名制是指手机号码的实名登记制度,是通过电信运营商对用户的有效身份进行登记,加强用户的实名制管理的一项制度。即申请移动业务(包括小灵通)的消费者在购买卡号时,须持本人有效身份证件,营运商对证件严格核验并复印登记,确保所用手机号码与真实身份一一对应。 具体而言,要求移动通信运营商在办理申请者(无论是个人还是集体用户)手机入网手续时,对用户的相关身份证件进行审查。申请者为个人用户的,应当出示有关个人身份证件;可指下述类别的证件:身份证、户口簿、军人身份证件、武装警察身份证件;香港、澳门居民,为港澳居民往来内地通行证;台湾居民,为台湾居民来往大陆通行证或者其他有效旅行证件;外国公民,为护照或法律规定的其他有效身份证件。对于企业客户来说,应登记单位名称、单位地址和有效联系方式、经办人有效证件类别、有效证件所载姓名和编号。实名登记的有效证件是指单位注册登记证照原件或盖单位公章的注册证照复印件。由此便可保证手机号码的各个使用环节能够辨别用户身份,使信息者、使用者与最终用户能够获得真实的身份验证,从而达到有效划分信息内容权责的目的。
当前,手机实名制的推行不可回避地面临了诸如手机实名制直接援引的法律依据的缺乏、实名用户个人信息如何保障、身份确认的操作性、未实名用户的补入登记及相关配套措施和实名操作的监管等方面的问题操作困难。所以,实施手机实名制并让其逐步规范化操作,为社会大众谋取福利,必须将这个问题上升到制度层面来加以健全。面对当前我国手机实名制直接法律依据缺失,相关配套措施无法同步的现状。
三、完善用户个人信息管理的相关规定
由于许多支持手机实名制的消费者都表示出了对个人信息保障的担忧,由此可以预见未来消费者选择营运商的标准不再仅限于资费和服务,营运商对隐私的保护能力也将成为其重要考虑因素。因此,明确电信运营商及其人的保密义务,保证对手机用户的个人信息的使用正当性,以及对用户个人信息查询的程序规范等在手机实名制的推行中显得愈加重要。所以,营运商除认真贯彻实施手机实名制,更应该妥善、安全的保管好用户的个人信息,并严格规范个人信息的使用及查询程序,才能在未来的电信市场占得优势。具体而言,主要从三个方面进行开展:
第一,鼓励手机用户与营运商订立保障信息安全的“契约”,由电信营运商对手机用户作出承诺,保证手机用户的个人信息的保密性和准确性,未经手机用户允许不能为他人所获取,否则将要承担相应的责任和义务。由此,电信运营商必须积极配合主管部门,一是规范信息录入工作,对自有渠道和合作渠道进行严格规范的管理,在制度上杜绝泄密隐患;二是加强信息泄密惩罚力度,根据“谁管理谁负责”的原则,加强对有关泄露公众用户个人信息的责任部门和责任人的惩罚。通过“契约”的签订,使实名用户的个人信息又多了一重保障,一旦发生个人信息被泄漏的情况,注意保留、收集相关证据,并可以追究对方的违约责任,从而保障自己的权利。
第二,完善个人信息查询的相关规定,从程序上加强对用户个人信息的保护力度。相关主管部门应该对个人信息的查询机制作出明文规定,除司法机关和行政机关在必要的情况下,才能通过法定程序,对个人信息进行查询外,并对查询主体、查询范围、信息利用范围做出明确规定,监控查询过程,完善泄露个人信息的责任机制。当然不同地区可以在因地制宜制定不同的手机用户个人信息查询规范。
第三,加快网络安全相关立法,避免由于网络自身安全问题导致数据流失引发泄密问题。毫无疑问,随着手机实名制的实行,手机用户的个人信息将大量存储于营运商手中,电信运营商的网络的承载量将会增加,随即将会相应增加营运商的网络成本和网络安全压力。但是,手机实名制的确立在于保障通信网络安全,作为执行方的营运商在这个政策中必须承担相应的社会责任,因此面对手机实名用户庞大的个人信息,营运商因该加大投入,以保障网络安全,尽量杜绝因网络安全因素导致的个人信息泄露。
除此之外,通信主管部门应该要求电信运营商及其机构必须对用户的注册信息进行保密,不得滥用于注册和管理手机用户所必须之外的其他用途,并对手机实名用户的个人信息进行“透明化”管理,将手机用户个人信息的存储方式、使用情况、查询程序等由管理专员告知手机用户,使之接收消费者的监督,这样才能真正遏制实名制带来的风险和弊端,防止非法泄露和利用用户的个人资料,切实保护好用户的个人信息。
四、 完善手机实名制监管制度
手机实名制的实施可以营造良好的通信环境,打击收集犯罪,保障通信安全。它牵涉到实名登记和实名核实两个环节,除了完善其法律依据和加强实名用户信息保护外,还需要有严格的配套监管措施保驾护航才能有效运行。
(一)完善手机实名制监管规范
在多家运营企业竞争的市场环境下,“实名登记”工作的落实和各运营企业的同步性紧密相关,因此对手机实名制的监管显得更加重要。我国手机实名制采取的是在以国务院工信部为主导的政府指导型模式,所以监管也当然应由工信部牵头,地方通信主管部门分别开展,具体而言,首先,需明确监管执法主体与执行主体。实名制的监管应该采取监管执法主体和执行主体相分离的方式。手机实名制监管的执法主体是工业和信息化部,而执行主体则是各地通信管理部门;并且手机实名制的监管离不开基础电信运营商的配合。其次,建立手机码号流转登记制度。在《通信短信息服务管理规定》中可以设立专门的章节,规定手机卡转让必须到电信运营商的营业厅进行转让登记,对于登记的主体、登记的期限、登记的途径和不登记的法律后果做出明确规定,这样就可以有效遏制手机码号流转后用于非法用途。
一、中国隐私权保护之立法现状
(一)刑法外保护
1.宪法保护。我国现行《宪法》并没有直接对隐私权保护作出规定,但间接体现该立场的有第37、38、39、40条等,这些条文不仅对隐私权保护提供了宪法依据,而且从根本法的高度表明了国家的重视程度。其中第38条被视为是隐私权宪法保护的母法性条款。
2.民事法保护。我国《民法通则》第101条规定了“公民的人格尊严受法律保护”,却并没有直接以“隐私权”一词进行明确规定,这也为随后出台的一系列司法解释留足了空间。所幸,2010年生效的《侵权责任法》第2条明确提出了独立的隐私权保护,真正为隐私权保护制度“正名”。
3.程序法保护。我国《民事诉讼法》第66条、第120条,《刑事诉讼法》第152条、《行政诉讼法》第45条中均不同程度的规定了具体的隐私保护措施,以有效保障公民的隐私权益。
4.其他部门法保护。《治安管理处罚法》第42条、《未成年人保护法》第30条、《律师法》第33条、《妇女权益保障法》第40、42条、《统计法》第17条等也均对公民隐私权保护进行了不同程度的规定。
(二)刑法保护
隐私权在中国刑法中也同样没有以独立性权利的姿态出现过,更没有诸如“侵犯公民隐私权罪”之类的罪名,笔者赞成王立志博士关于隐私权刑法保护罪名的分类:
1.核心性的隐私犯罪。主要包括《刑法》第245条非法侵入他人住宅罪、非法搜查罪,第252条侵犯通信自由罪,第253条第1款邮政工作人员私自开拆、隐匿、毁弃邮件、电报罪等。
2.上游性的隐私犯罪。主要包括《刑法》第283条非法生产、销售间谍专用器材罪,第284条非法使用窃听、窃照专用器材罪等。
3.附带性的隐私犯罪。主要包括《刑法》第177条第2款窃取、收买或者非法提供他人信用卡信息资料罪,第246条侮辱罪,第286条破坏计算机信息系统罪以及《刑法修正案(七)》新增的非法获取计算机信息系统数据罪、非法控制计算机信息系统罪、非法获取公民个人信息罪、出售、非法提供公民个人信息罪等。
二、中国隐私权刑法保护之不足
(一)立法体系分散
关于隐私权保护的罪名分别散见于侵犯公民人身权利、民主权利罪、破坏社会主义市场经济秩序罪、和妨害社会管理秩序罪等章节中,相较于世界各主要国家的立法,在系统性与合理性上均有一定差距。例如我国台湾地区刑法中对隐私权的立法就比较集中,其刑法典第28条专门规定了妨害秘密罪,下设妨害书信秘密罪、窥视窃听窃录罪(“璩美凤条款”)、便利窥视窃听窃录罪、持有他人秘密罪等7个子罪名;在美国,对于隐私权的刑法保护除了《模范刑法典》在第250.4条、第250.12条和第221.2条的详细规定外,还分别通过单行的1974年《隐私权法》、1984年的《惩治计算机与滥用法》、1986年的《电子通讯隐私法》、2005年的《视频窥阴预防法》等规范进行了系统规定。
(二)适用范围狭窄
随着电子信息技术的突飞猛进,政府行政管理以及金融、电信、医疗等社会公共服务领域在履行职务或经营业务时,都通过大量手段积累了丰富的公民个人信息,此举对于提高工作效率固然增益不少,但同时也为成批量泄露个人隐私带来极大风险,甚至已经严重影响到公民的私人生活。基于此,《刑法修正案(七)》及时捕获了隐私犯罪的新气息,针对此类新型犯罪,在第7条专门对“国家机关、金融、电信、交通、教育、医疗等公共服务部门或单位的工作人员”故意泄露公民个人信息的行为进行了犯罪化处理,此举无疑在立法及实践上前进了一大步。但实务中,泄露公民个人信息的远非仅上述单位的工作人员,一些物流企业、中介公司、市场调查公司等单位也是泄露公民隐私的重要主体,对此亦应纳入犯罪主体范畴。
此外,电子邮件已经成为当代人重要的一种通讯手段,网络黑客可以很轻易的获取乃至篡改他人的电邮密码,而《刑法》第245条中侵犯通信自由罪却并未对电子邮件予以保护,修正案中以为对其加以弥补;目前市场上充斥着大量的复制他人手机卡、刺探他人QQ及MSN聊天记录等监听、窃听软件,其制作之精美、隐蔽性之高令人叹为观止,受害人在不知情的情况下隐私已被泄露殆尽,而《刑法》第283条中的间谍器材却并未将此类软件囊括在内,立法之滞后、适用范围之狭窄可见一斑。
(三)单位犯罪缺乏
实践中,掌握公民大量隐私的诸如银行、医院、保险公司、电信运营商、房地产企业等法人或非法人组织,为其业务拓展或营利直接或变相泄露个人隐私的不法行为屡屡发生,刑法修正案(七)第7条对此亦作出了回应,在非法泄露他人隐私犯罪中首次设置了单位犯罪,但对于实际上完全可能由单位实施的非法生产、销售间谍器材罪、非法侵入他人电脑系统犯罪的设置上,刑法的规定仍然是一片空白,相较于英国、德国等的“禁止未经登记许可掌握私人数据罪”等的法人责任,中国隐私权刑法保护中的单位犯罪设置仍然不尽完善。
(四)惩罚方式单一
对于隐私权犯罪的刑事处罚,常见的无外乎是自由刑和罚金刑,此外还辅之以一定的对物的保安处分措施,尤其是罚金刑,不论英美法系还是大陆法系,绝大部分都设置了不同数额的罚金刑,甚至将其作为唯一的刑罚措施。例如美国1986年《电子通讯隐私法》第2511条不仅规定了一定的主刑,还规定要没收非法监听装置,并且在某些情况下禁止对截取装置的生产、传播和拥有。相较于我国刑法中大多采用短期自由刑、相对缺少罚金刑、缺失对物的保安处分的立法现状,其惩罚手段过于单一,从而影响其惩治预防效果。
三、中国隐私权刑法保护之立法完善
(一)独立设置侵犯隐私犯罪
相较于《德国刑法》第15章“侵害私人生活和秘密犯罪”、《日本刑法》第13章“侵犯秘密罪”、《澳门特区刑法典》第7章“侵犯受保护之私人生活方面的犯罪”以及美国单行《隐私权法》等专门性章节或单行法律的规定,我国对隐私权刑法保护的规范显得过于稀疏、分散,从立法完善的角度出发,建议在时机成熟时先行通过单行《隐私权保护法》对隐私权的含义、内容、保护措施等进行详细、独立的规定,在承认隐私权独立地位的前提下,将相对成熟的隐私权刑法保护措施集中起来,以单行刑法的方式进行系统规制。
(二)严重隐私侵权入罪化
鉴于刑法典对利用拥有监听、窃录功能的日常电子器材犯罪行为的遗漏,建议对利用MP3及手机等日常电子器材进行偷拍、偷听他人隐私并大范围泄露的行为,通过盗取公民电邮密码、QQ或MSN账号及密码等手段非法获取他人私隐信息甚至散播的行为,在公共卫生间、试衣间、酒店房间等公共场所非法设置监控装置或窃听设备等行为,网络经营者、市场调查公司、中介组织、房地产公司等非法收购、出卖或散布他人隐私、为散布隐私提供便利条件等行为,编制、贩卖、散布非法监控及监听软件的行为,以及国家机关及金融、电信、交通、教育、医疗等单位工作人员过失泄露公民个人信息并造成严重后果的行为列入刑事处罚体系。
(三)增设单位犯罪
在互联网时代,手机在人们的生活中已经越来越重要。手机从最初打电话或发短信的通讯工具向着发微博微信、上社区、移动办公的方向快速发展,俨然成为一台随身携带的小电脑。中国互联网络信息中心的《第27次中国互联网络发展状况统计报告》显示,我国手机网民规模达3.03亿,并有望在2014年超越PC网民。面对如此庞大的用户群和高速发展的智能手机平台,笔者不禁要问我们的手机安全吗?
在前不久央视2013年的3.15晚会上,曝光了安卓系统收集软件获取用户信息行为。报道援引的是复旦大学的研究成果。通过复旦大学对300多款安卓应用软件进行研究,其中超过 80%的应用软件涉嫌私自获取用户信息。报道称,大多数安卓软件开发企业和移动互联网开发公司,在用户不知情的情况下获取用户位置、通讯录等信息,并将这些信息传送到自己服务器,甚至是不明的第三方单位。例如蓝盒子科技公司等通过在软件收集用户信息,可以获得用户手机的串号、地理位置,甚至会诱导用户去填手机号码、上传头像,读取之后上传到服务器在后台软件上可以看到。就在少数人获得经济利益的同时,手机用户们面临的是垃圾短信、骚扰和诈骗电话等个人信息权和隐私权被侵犯的诸多问题。由此笔者不得不认真思索关于手机信息安全保护的问题。
一、公民手机信息的界定
在信息社会,“起决定作用的生产要素不再是资本而是信息,如何配置信息在很大程度上决定着市场竞争和资源配置的效率”。学术界关于个人信息的界定也存在很大分歧,笔者认为较为合理的定义是指人们一旦掌握该信息或者将该信息与其他信息相结合即可判断出信息主体,或者主体的范围和状态权。例如通过个人姓名、住址、出生日期、身份证号、医疗记录、人事记录、照片等单独或与其他信息对照可以识别特定的个人的信息。手机个人信息包括用户的位置信息、通讯信息、账号密码信息以及存储文件信息等几个种类。其中,通讯信息包括通讯录、通话记录、短信等,手机内存储文件信息包括用户的照片、录音、视频等文件。此外,手机的一些硬件信息,比如IMEI号(手机串号)、无线网卡的Mac地址、硬件配置信息也都属于个人信息的范畴。除了一部分用户愿意公开的信息之外,大部分信息涉及到用户个人的隐私,隐私的基本涵义是指“当事人不愿或不便让他人知道的个人信息,当事人不愿或不便他人干涉的私事,或者当事人不愿或不便他人侵入的领域”。手机个人信息权指对于上述信息的收集、处理或利用直接关系到信息主体的人格尊严,涉及一般人格利益的,手机用户对其依法享有的支配、控制并排除他人侵害的权利。
二、个人信息保护现状
目前世界各国都比较重视对个人信息权的法律保护,对个人信息权的保护自然是为手机信息权保护提供了依据。事实上,国外对个人信息的法律保护一开始都是以对隐私权的保护作为基础和逻辑起点的。综观各国信息保护的立法模式,有诸多值得我们借鉴的经验。
(一)国外
美国和德国个人信息保护相关的立法较成熟。美国作为英美法系的代表,个人信息权保护的立法没有进行统一立法,而是采用分散式立法模式,其相关法律规定都是散见于诸多法案中。联邦最高法院对构成《人权法案》的多项修正案进行解释,为各种个人隐私提供了宪上的保护依据。同时受自由传统和多元化社会结构的影响,长期以来形成了自律的传统和习惯,所以美国个人信息保护立法基本上采取了行业自律机制为主导的模式。美国国会1974年通过的《隐私权法》是美国保障公民个人信息的最重要的基本法律。之后《金融隐私权法》、《网上隐私保护法》、《录像带隐私保护法》、《驾驶员隐私保护法》等法律对个人信息的其他方面提供了具体的保护。
相比较而言,德国是典型的大陆法系国家,其个人信息保护法当然采取的是统一立法模式。国会于1970 年制定了《资料保护法草案》并于1977年正式生效,该法立法旨意在于在个人资料处理过程中对个人隐私给予统一而充分的保护和使个人资料处理行为合法化。之后1990年修正后的《联邦个人资料保护法》将国家安全机关对个人资料的收集与处理纳入个人资料保护法,其第1条规定:“本法之目的在于保护个人免于因个人信息的传输造成人格权侵害。”因此也得到了理论界与司法界的认同。
而日本个人信息保护的立法模式则是综合了德国模式和美国模式的优点,并结合了本国的行业自律情况和立法。2003年5月通过的系列个人信息保护法案,通称“个人信息保护五联法”。根据这一法律,日本还制定了多项法律和条例,为个人信息保护中遇到的各种具体问题提供法律保护依据。
(三)我国个人信息保护现状
2012年有份来自半月谈网和半月谈社情民意调查中心关于《公民如何保护个人信息权》的调查,调查结果显示有近一半的网民表示在生活中很担心个人信息被泄露;而30%的网民表示,曾经遭遇多次个人信息被泄露的情况。为此,审视我国个人信息保护现状尤显重要。
我国香港特别行政区为了避免在国际贸易中处于不利地位于1996年实施了《个人资料私隐条例》,随着互联网和电子商务的发展,新的问题不断出现,特别是“八达通事件”之后,香港又进一步修订和完善了《个人资料(私隐)条例》,并于今年4月1日开始实施新的条例,对商业机构滥用客户资料的进行严厉处罚。
内地自2003年已开始组织起草《个人信息保护法(专家建议稿)》,但并未通过实施。所以到目前为止我国没有个人信息保护方面的专门立法,有关个人信息保护方面的规定散见于宪法及各项法律法规中。
宪法上,《宪法》第三十八条、三十九和四十条中分别规定了公民的人格尊严、住宅不受侵犯,公民的通信自由和通信内容受法律保护,不受侵犯。这些都为个人信息受宪法保护提供了依据。
基本法上,《民法通则》第一百条、一百零一条和一百零二条中分别规定了公民享有的肖像权、名誉权和荣誉权以及公民的人格尊严受法律保护。在2001 年《最高人民法院关于确定民事侵权精神赔偿责任若干问题的解释》中对侵犯个人死者隐私信息的行为也进行了规定。《刑法》、《刑法修正案(七)》也将涉及侵害公民信息权的多项行为列为犯罪。在行政法方面,《身份证法》、《护照法》、《税收征收管理法》、《统计法》中都规定了国家职能机关对公民个人信息的保密义务。
诸如《商业银行法》、《证券法》、《律师法》、《拍卖法》、《执业医师法》、《传染病防治法》等经济法、社会法中都规定了从业人员对用户个人信息的保密义务。《未成年人保护法》和《妇女权益保障法》中也规定了未成年人和妇女的人格尊严和名誉不受侵害。
三、手机信息易受侵犯之原因及对策分析
(一)现实中手机个人信息极易被侵犯的原因
第一,立法上的缺位。现行信息立法还不完善,缺乏系统性,没有形成严谨的体系,存在有关信息权保护的条款散见于各项法律法规及规章制度中,要么过于原则要么调整范围过窄,因而迫切需要制定一部专门针对公民隐私权保护或个人信息安全维护的法律,对其加以协调和统一。
第二,行业自律不够。我国社会主义市场经济的发展必然要求行业协会的发达,通过依法有权采集公民个人信息的机构(如工商局、医院、电信公司等)成立起有组织、约束力强的行业协会,我们就可以在一定程度上约束其从业人员的违法侵害个人信息权的行为。但是目前行业协会存在着数量少、管理水平落后的问题,社会上非法买卖个人信息牟利诸如大量兜售房主信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息等侵犯个人信息权甚至是隐私权的现象,也与掌握公民个人信息的运营商、服务商等管理不到位有很大的关系。
第三,公民信息保护意识淡薄。多数手机用户对于手机操作系统的复杂性不了解或是禁不住免费软件的诱惑给自己的信息带来极大的安全隐患。南开大学有关专家表示,与普通电脑相比,智能手机自身信息安全防范的能力弱,用户信息更容易被盗取。以市场占有量最大的安卓系统为例,其核心技术掌握在美国谷歌公司手中,这对国内智能手机用户的信息安全构成威胁。同时安卓系统采取的是免费的市场策略,导致中低端智能手机和便携式电脑大量使用安卓系统。复旦大学计算机科学技术学院的调查报告称研究团队抽查一款主流智能手机系统的300余款应用软件,发现58%的软件存在泄漏用户隐私的可能。而这种情况多数手机用户是不知情的,即使发现了也往往不愿考虑通过法律手段来加以救济。
(二)保护个人信息的对策
(一)人事档案内容不全。尽管目前学校人事档案管理水平已经有所提高,但是还存在着很多的问题,其中人事档案内容不全、所包含的信息量较少是其中的一项主要的问题。中学阶段的人事档案包含很多内容,包括人物自传、基本信息、考核资料、职评材料、职务信息、个人奖惩等内容,内容包含的信息不全,不具有很强的实用性,无法满足实际需要。档案中涉及的教学情况较为简单,个人教学能力的描述,职务内容和个人的技能专业等情况描述的很少,这样就会导致学校对教职工的信息了解的很少,在利用教职工时缺乏参考依据,给学校的人事管理带来不便。
(二)学校对人事档案管理缺乏专业性,管理分散。一般情况下学校的人事档案不是单独管理的,而是由上级部门统一管理和收集,有些中学将人事档案依据管理职能的不同分配到不同的部门,比如教务部门的人事档案包括教职工的业务能力,获奖情况和教学的内容等,科研部门的人事档案主要负责科研项目的确定,论文的发表等内容,行政部门的人事档案则主要是负责人员的招聘和选拔,职称评定、年度考核等。这样的人事档案管理不但无法综合利用,而且会导致档案管理过于分散,很容易使学校的人事档案丢失。
(三)人事档案的管理还存在着硬件滞后的特点。目前中学的人事档案管理的方式比较落后,还是纸质的形式,管理的手段和技术都落后,缺乏创新。还有一些中学的人事档案在计算机里,没有进行分类整合,查询和利用起来比较困难和繁琐,一些人事档案的查找只能够人工查询,信息落后,导致了资源的浪费。还有些学校储存档案的环境较差,档案储存室的门不严实,经常有外人随意进出。或者是档案处于潮湿的环境,容易受到损坏。
二、中学人事档案管理模式优化措施
(一)加强档案归档制度,使学校的人事档案更加完善。人事档案工作政策性、专业性很强,从实际情况看,需要专门的部门、专业的人员、用专业的手段来管理。为此我校成立了专门的档案室,负责全校教职工的人事档案管理。其次是制定档案室的管理制度,明确人事档案的归档范围,杜绝范围外的材料进档或范围内材料漏档的情况发生。学校人事档案中制定教学登记表,登记表中记录教职工的详细情况,包括教师的教学情况,工作能力,教师的学术研究内容和情况,这个登记表可以准确反映出教师的个人能力和教师的学术水平等。与此同时,还应该增加学校教职工的奖惩情况以及培训情况,充分了解教职工的业务能力。此外,为了提高人事档案的实用性,增加人事档案管理的有效性,学校应该利用信息化技术和手段,促进人事档案地位的建立,为学校对教职工的评价工作作出铺垫,使教职工有竞争的压力,有利于提高教职工的竞争意识,促进学校教职工队伍整体素质的提高。
中图分类号:F253.9 文献标识码:A
Abstract: The development of economic globalization and the“internet plus”strategy to accelerate the development of cross-border E-commerce, the rapid development of cross-border E-commerce promotes the rapid development of the third party payment. This paper first introduces the research background of the third party cross-border payments. Then with the“third party cross-border payment platform”as the theme of the design of the questionnaire survey, combined with relevant information on the status of the third party payment platform for cross-border analysis. Finally, in order to better solve the problem of the rapid development of the third party cross-border payment platform, and promote the healthy development of cross-border E-commerce, we put forward the corresponding countermeasures and suggestions to the relevant government departments and the third party cross-border payment institutions.
Key words: cross-border E-commerce; third party payment platform; ali pay
1 第三方跨境支付的研究背景
跨境电子商务是一种传统国际贸易网络化电子化的新型贸易方式,它依托于电子商务平台,将境内外的买家和卖家牢牢联系在一起,从而实现共同盈利的目的。相关研究显示,我国目前跨境电子商务的消费者群体大概在1.3亿[1]。在这种方式下,不同国家和地区间的交易双方通过互联网及相关信息平台实现交易。跨境电子商务以企业和消费者间的交易(B2C)为主,操作流程与国内电子支付基本相同,主要区别在于跨境电子商务具有国际性。跨境电商经历了从信息服务到在线交易,再到全产业链服务的产业转型。根据海关总署数据显示,2016年跨境电商交易规模预计达到6.5万亿[2]。跨境电商与第三方跨境支付存在着紧密的联系,跨境支付是跨境电商不可或缺的环节,而跨境电商规模的不断扩大进一步的推动了第三方跨境支付的快速发展。2008~2016年跨境电商占进出口总额比重如图1所示。
2 第三方跨境支付平台的发展现状
2.1 问卷调查分析
2.1.1 基本情况介绍
目前,国内领先的第三方支付平台有支付宝、财付通等。为了了解顾客在跨境购物时使用第三方支付的情况,本文以“第三方跨境支付平台”为主题,设计了一份调查问卷。随机发给不同年龄,不同行业,不同受教育程度的人群进行填写,调查问卷共120份,收回有效问卷116份。填写该调查问卷的网购人群中,男性占54.17%,女性占45.83%。年龄在23岁至30岁之间的人群占80.83%,其他人群占19.17%。受教育程度为专科的人数占3.33%,本科的人数占66.67%,硕士及以上的占30.00%。
2.1.2 跨境购物基本情况分析
在填写该调查问卷的网购人群中,曾经有过网上跨境购物经历的人数占21.55%,78.45%的受访者没有跨境购物过。顾客在跨境购物时选择的支付方式最多的是用支付宝支付,然后才选择微信支付和网银(不经过第三方支付)支付等,选择银联钱包和云闪付的人很少。网上跨境购物的消费大概占可支配收入的比例如图2所示。
从图2我们可以发现,网上跨境购物支出占可支配收入的比例在10%以下的人数占总人数的68%,10%至19%的人数占总人数的28%,20%至29%的人数占总人数的4%。
综上,可以看出跨境购物目前的发展还不是很成熟,虽然网上购物早已是潮流,可是跨境购物才刚刚兴起,还有很多人没有体验过跨境购物,跨境购物在未来有很大的成长空间。第三方跨境支付机构要想在跨境网购方面获得更大的收益,就必须要在最短的时间内采取相应的措施,赶在竞争对手之前快速的占领市场,获得尽可能多的市场份额。
2.2 四大主流第三方支付平台相关介绍
近年来,第三方跨境支付平台逐渐增多,竞争逐渐加剧。目前涉及第三方跨境支付的主要平_有支付宝、财付通、银联钱包、微信Pay pal等。本报告从各个方面收集了相关资料,对以上四种主流第三方支付平台作了相关介绍。具体见表1。
3 第三方跨境支付平台存在的问题
3.1 信息安全不完善,容易造成信息泄露
(1)在人民银行制定的《关于上海市支付机构开展人民币支付业务的实施意见》中指出,只要是上海市注册成立的支付机构以及外地支付机构在自贸区设立的分公司,凡是取得互联网业务许可的,均可从事该业务[9]。可见第三方跨境支付平台的准入门槛很低,随着第三方跨境支付平台的增多,这些企业存取的大量消费者个人信息,交易信息等容易发生信息泄漏。因为第三方跨境支付服务是通过网络在境内消费者、第三方支付、境外商家、相关银行之间发生关系。交易过程的某个环节出现问题,都可能导致信息泄露的发生。那些信息安全做的不完善的企业,容易造成消费者的信息泄露,给消费者带来伤害。
(2)由于第三方跨境支付企业的准入门槛低,导致第三方支付企业太多,消费者没有相应的能力来准确判断第三方支付企业的合法性,容易被钓鱼网站骗取个人信息,同时一些不法分子也通过仿造合法的第三方支付企业网站,骗取大量的消费者个人信息,然后从事非法活动。
3.2 跨境资金流动风险
(1)第三方支付机构利用监管漏洞进行违规操作。国内的第三方支付企业可以与国外的银行合作,通过账号共享等方式,实现跨境的支付,而目前我国没有相关的法律法规及一些合适的措施对境外的机构进行监督和管理,一些第三方支付企业利用监管漏洞进行违规操作,实现跨境资金的流动,这给跨境电子商务的健康发展造成一定的影响[10]。
(2)信息审核不全面。第三方跨境支付中,交易方的购汇、结汇业务均由第三方支付机构完成,银行并不了解国内买方及国外卖方的真实交易背景,也无法查找交易双方的准确身份信息,因此难以进行相关的审核。同时虚拟货币的广泛使用使有关部门和第三方跨境支付机构对交易双方资金来源的监管更加困难,犯罪分子通过这种途径进行境外的黑钱转移,洗钱活动等。
3.3 相关法律法规不完善
(1)第三方支付机构在资金清算,支付结算方面和金融机构有着同样的职能,但是却不属于金融机构。在电子支付服务监管问题上,中国人民银行是支付体系的法定监管机构。在跨境支付问题上,外汇管理局及其分支机构是法定监管者。同时,由于第三方支付机构提供的支付服务属于非金融机构支付范畴,所以还要受国家发改委和工信部的监管[11]。第三方跨境支付企业受多个部门的同时监管时,由于相关法律法规的不完善可能会导致监管出现混乱的状况。
(2)网上跨境交易买卖双方通常不见面,也相互不认识,在沟通有限的情况下,双方的信用难以得到保障,第三方支付企业不能对每一个交易者进行详细准确的审核,交易双方可能存在虚假交易或者非法活动,目前相关法律法规不完善的情况会加速非法活动的蔓延。
4 对策及建议
4.1 对相关监管部门的建议
(1)提高市场准入机制。目前加入第三方跨境支付机构的门槛较低,随着第三方跨境支付平台的增多,这些企业存储的大量的消费者个人信息很容易泄露,给消费者带来伤害。所以,有关部门应该进一步地出台相关法律法规,限制那些信息安全保护措施不完善的第三方支付机构的加入,对于那些已经加入的第三方跨境支付机构要加强监管,完善相关的法律法规,快速完善在客户发生信息泄露时,相关机构面临哪些处罚等相关监管规定,必要时对造成信息泄漏的第三方支付机构负责人追究法律责任,保护消费者利益。
(2)推广试点跨境第三方支付机构。为了更好地控制风险,促进第三方跨境支付机构的稳步发展。可先让有一定规模的、风险控制措施较完备的第三方支付机构开展跨境支付业务试点,针对具有真实背景的跨境互联网交易提供服务。外汇管理局则要对先行企业做好辅导工作,指导企业在外汇管理框架内建立健全各项内控制度,同时还要注意根据企业具体业务开展情况,不断调整监管措施,总结监管经验,为将来第三方跨境支付的全面发展打好基础。
(3)制定监管措施,完善相关法律法规。政府有关部门在充分肯定跨境电子商务与第三方支付行业发展的积极意义的同时,大力做好调查研究,找准风险点,制定具有合适的、具体的、可操作的监管措施,制定完善的相关法律法规,促进第三方跨境支付行业的平稳发展。
4.2 对第三方跨境支付机构的建议
4.2.1 第三方支付机构要加强信息的审核
第三方跨境支付中,交易双方的购汇、结汇业务均由第三方支付机构完成,银行并不了解国内与国外买卖双方的真实交易情况,也无法查找交易双方的准确身份信息,而且虚拟货币的广泛使用使有关部门和第三方支付企业对交易双方资金来源的监管更加困难。为了防范犯罪分子通过这种途径进行境外的黑钱转移,洗钱活动等。所以,要求第三方跨境支付机构加强对每一个交易双方身份信息的审核(必须实名认证及提供相关的一些能证明其真实身份的材料等)。
4.2.2 重视客户信息安全,构建安全技术保障体系
(1)第三方跨境支付机构的支付账户上储存的大量客户个人信息、支付信息、交易信息、社交信息等,这些信息暴露于网络之中,如果安全保障系统不够健全,很容易造成信息泄露,给消费者的资金安全、信息安全等造成威胁。对于客户信息的保护应采取切实有效的措施,确保支付平台没有设计漏洞,修复应用程序中存在安全漏洞,防止客户信息被恶意窃取,并严格管理系统的运行管理,确保客户信息的存储安全。
(2)第三方跨境支付机构应加强安全检查,及时修复安全漏洞;加大网络安全设施建设力度,加强网络边界防护,实施网络安全域控制;加强软件开发控制,对软件进行安全测评和漏洞扫描。即使这样也不存在绝对的安全,所以要时刻监控系统的运行情况,组建技术团队或委托专业安全服务机构对系统进行安全测评。
5 结束语
跨境电子商务的迅速发展,推动了第三方跨境支付的迅猛发展,但是第三方跨境支付的迅猛发展也带来了许多安全隐患。本文先是对第三方跨境支付机构的现状通过相关资料和问卷调查进行了说明,然后对其迅速发展带来的安全隐患进行了进一步的分析,最后针对第三方跨境支付平台存在的问题,分别给有关监管部门和第三方支付机构提出相应的对策和建议。因为目前境内的第三方跨境支付平台众多,涉足跨境电子商务业务的企业正在积极探索新的电商模式,不断地进行支付技术的革新和战略改革,以适应快速变化的市场,所以新的电子商务模式的探索将是下一个研究重点。
参考文献:
[1] 刘亚伶. 关于跨境电子商务政策的思考[J]. 知识经济,2016(4):68-69.
[2] 徐萌萌. 中国跨境电商发展的现状及问题研究――基于阿里巴巴的SWOT分析[D]. 合肥:安徽大学(硕士学位论文),2016.
[3] 任曙明,张静,赵立强. 第三方支付产业的内涵、特征与分类[J]. 商业研究,2013(3):96-101.
[4] 姚宁. 基于移动平台的第三方支付模式研究――以C公司金融支付为例[D]. 上海:华东理工大学(硕士学位论文),2016.
[5] 王箐箐. 我国第三方支付发展的研究[D]. 广州:广东外语外贸大学(硕士学位论文),2015.
[6] 曲创,朱兴珍. 垄断势力的行政获取与高额利润的市场获得――对银联身份变迁的双边市场解读[J]. 产业经济研究,2015(1):101-110.
[7] 李艳华. 第三方支付企业的创新特征及其演化研究――以支付宝为例[J]. 中国商贸,2012(12):63-64.
[8] 李琳琳. 第三方支付平台的定价研究[D]. 大连:大连理工大学(硕士学位论文),2013.
一、个人信息概述
(一)个人信息的概念
个人信息,又称“个人资料”或“个人数据”,指一切与个人有关的信息。依我国现行规定,个人信息属于隐私权的内容,对个人信息的侵害视为侵害隐私权。该规定存在不足,隐私权内容包括私人信息、私人生活和私人领域,这里的私人信息是狭义上的、仅指涉及隐私利益的,而我们通常所说的个人信息是广义上的。个人信息与隐私是交叉关系,隐私权制度不足以保护个人信息,我们应从广义的角度理解个人信息的概念。
对个人信息的定义有两种方法:一是概括主义的方式,如Wack教授认为,“个人信息是由那些与个人有关的、有理由期待信息主体认为是秘密的或敏感的,因此想要阻止或至少限制他人收集、处理或传播的事实、信息或观点组成的。”二是列举加概括主义的方式,如周汉华教授主持的《中华人民共和国个人信息保护法(专家建议稿)》规定,“个人信息是指个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可以识别的个人的信息。” 本文赞同第二种方法,所谓个人信息,是指自然人的姓名、住址、出生日期、身份证号码、联系方式、学历、职业等单独或者与其他资料相结合能够将本人识别出来的,本人不愿为不特定人所获知的个人资料。
(二)个人信息的特征
由个人信息的定义,可以看出其具有以下特征:
第一,主体是自然人。个人信息涉及人格尊严与人格发展,其主体限于自然人。胎儿、死者和法人是否能成为个人信息的主体?本文持否定态度。就胎儿而言,在其出生之前可视为母亲的个人信息受到侵害。就死者而言,其固然享有个人信息,但死者基于其个人信息而享有的权利因其死亡而消灭。死者的人格利益由其近亲属予以保护,财产利益归属于其继承人。就法人而言,其也有自己的信息,但是法人的信息更多地体现在商业利益上,如商业秘密。
第二,个人信息具有可识别性。所谓识别性,即个人信息本身“存在着某一个客观之确定可能性”或“任何人可以从知悉资料本身进而确定某关系人或事”之意义。识别性与信息消除认识不确定性的功能紧密联系在一起。由于个人信息具有可识别性,因此,他人可通过直接或间接的方式来识别特定的信息主体。
第三,个人信息具有无形性。信息的无形性并非仅仅意指信息的看不见、摸不着和无从掌控,而同时意指信息本身是一系列的符号系统,通过资料或数据的形式能够通过编码和媒介再现,能够为人们所识别。个人信息有部分是外在的,如身高、性别等;有部分是内在的,需借助一定的载体才得以体现,如声音、指纹、DNA等信息。
二、个人信息保护的比较法考察
(一)美国
美国以隐私权理论为基础保护个人信息。隐私一词最早由Warren和Brandeis提出,后Prosser教授为界定隐私侵权,将其分为四类侵权行为:⑴非法侵入原告的隐居或私人事务;⑵泄露原告令人尴尬的私人事实;⑶在公众场合将原告置于错误地位的宣传;⑷盗用原告的姓名或肖像。现通说认为隐私侵权行为法已不能有效地发挥作用(尤其在信息时代,因大量收集、使用和保存个人信息而导致侵权需要进行赔偿),主要体现在两方面:一是他们没有提供Warren和Brandeis所预想的针对媒体侵权而采取的保护方式;二是他们不能适用于新的隐私问题,如商业公司过度收集、使用和泄露个人信息。
美国对个人信息,更关注其自由流通,因而不同领域保护方式有异。在公共领域,美国1974年通过的《隐私权法》对政府机构收集、使用个人信息作了详细的规定,以此规范联邦政府的行为,平衡私权保护与个人信息有效利用之间的关系。但该法只适用于联邦部会以上的机构,而不及于部会以下的机构或州政府的各级行政机构,更不及于民间企业组织,其规范对象受到很大的限制,未能实现功能最大化。此外,没有设立相应的监督机构确保该法的实施,不能有效保护个人信息。在非公共领域方面,美国实行“在法律的支持之下高度依赖市场力量和个人行为”。该种行业自律模式,需要建立第三方独立的监督执行机制,包括申诉机制、评估机制、争端解决机制、制裁机制等,保障行业自律的公信度和执行力度。但这种模式没有统一的标准,缺乏有力的法律支撑,即使获得隐私认证,也不能保证不会侵害个人隐私。
(二)德国
德国制定个人信息保护法的宪法基础是信息自决权理论,民法基础是人格权理论。英美法上“隐私权”的内涵正是德国等大陆法系关于“一般人格权”的观念。根据一般人格权理论,在信息时代普遍对公民个人信息进行收集、处理和传输的情形下,保护公民人格权的关键体现在德国1990年《联邦数据保护法》第1条之规定:“本法之目的在于保护个人免于因个人信息的传输造成人格权侵害。”
在信息侵权方面,德国1990年《联邦数据保护法》作了相关规定,如第二部分规定“公务机关的资料处理”,第三部分规定“非公务机关和参与竞争的公法上的企业的资料处理”。前者涉及行政侵权,后者涉及民事侵权。保护法对由此发生的损害赔偿做出明确的区分,规定了不同的归责原则和赔偿范围:基于行政侵权发生的损害赔偿适用无过错责任原则及最高限额赔偿,因为该赔偿制度的本质是对损失的负担或弥补,而不是对行为或原因的评价。基于民事侵权发生的损害赔偿则适用过错责任原则及全额赔偿,因为民事主体地位平等,如果个人已尽其法定注意义务,可免负侵权责任。
三、我国个人信息保护的现状及完善
(一)现状分析
我国《民法通则》对姓名权、肖像权、名誉权等作了一般规定,间接保护个人信息。2009年《侵权责任法》首次承认隐私权,并保护有隐私利益的个人信息,这与美国法上将一切个人信息都作为隐私来保护及德国通过专门立法保护个人信息的方式均不同。对个人信息保护,就公共部门而言,其对个人信息的关注是基于管理的需要,更强调个人提供信息的义务而非信息主体的权利,如未经主体同意公共部门相互交换使用个人信息的行为,构成对公民个人信息的侵害。就非公共部门而言,鉴于个人信息的巨大价值,除部分商业网站会提供相对较为详细的隐私保护政策外,大多数非公共部门并没有单方面向相对人提供个人信息保护政策。此外,司法实践中最大的问题是受害人因举证困难而败诉。
总体而言,我国缺乏统一的、专门规范个人信息保护的法律制度。因此,对个人信息及侵权行为的界定、信息的合法使用及侵权行为的法律责任等根本性问题,缺少必要的法律进行规范,不利于充分保护。
(二)完善建议
1.确立个人信息权
个人信息权不同于隐私权,法律应视它为一项独立的权利。所谓个人信息权,是指信息主体对与自己有关的、可通过一定途径来识别个人的一切信息享有使用和控制的权利。该权利主体包括信息所有人、持有人和控制人,内容包括信息自主权、保密权、查询权、修改权、决断权及报酬请求权。就个人信息的立法基础而言,较之于美国的隐私权理论,德国法上的一般人格权制度对我国更有借鉴意义。一般人格权是以人格尊严、人格平等、人身自由为内容的、具有高度概括性和权利集合性特点的权利。[5]毫无疑问,个人信息权具有人格权的属性,但其属于一般人格权还是具体人格权?本文认为,我国宜采用具体人格权制度,这样既可避免一般人格权的抽象性,又实现了对个人信息所具有的人身和财产属性的全面保护。
2.由《侵权责任法》予以救济
【中图分类号】D926 【文献标识码】A
我国网络购物的现状及其特点
随着信息技术突飞猛进的发展,互联网的应用渗透到生活中的方方面面,人们的许多传统行为模式受到来自互联网的冲击。作为时代的新兴产物,网络购物越来越受到消费者的推崇,据中国互联网络信息中心的《2013年中国网络购物市场研究报告》显示:2013年网络购物市场继续快速向前发展,交易金额达到1.85万亿元,较2012年增长40.9%。由此可见,网络购物已逐步得到了广大消费者的认可。
与传统购物方式相比,网络购物具有以下几方面的特点:
价格更优惠,购物更自由。与实体经营相比,网购中经营者和消费者之间省去了许多中间环节,减少了差价,使得很多消费者往往能买到比商场便宜的商品,尤其是随着网购的发展,很多的商品生产厂商直接在网上开店,给消费者带来了更多价格上的实惠。同时,网络购物不受时间、地域的限制,消费者购物更自由,摆脱了商场营业时间的限制,在任何时间都可以随意挑选自己的商品,也节约了许多购物成本,这种全天候的购物方式给消费者带来了极大的便利。
商品品种繁多,选择性更强。网络购物摆脱了地域上的限制,只要有互联网的地方,所有的商品都可以在网络上进行售卖,小到针线,大到农产品、家用电器等,可以说全国各地甚至世界各地的特产都能在网上购买,对于消费者而言,大大增强了所购商品的种类。以往为挑选物美价廉的商品,消费者会“货比三家”,但现在在网络购物中,由于网络的发达,同一种商品有来自全国各地的经营者在销售,我们可以“货比十家”、“货比几十家”,这也给消费者提供了更多选择的机会。
服务更便捷,更有特色。网络购物中,消费者看不到实实在在的商品,会对所购商品的质量、性能等产生顾虑,担心所购商品“名不副实”,为了打消这种顾虑,有的经营者会让消费者先验货,满意后再付款;有的会承诺七天无理由退换,甚至更长的时间;在付款方式上,承诺可以货到付款,分期付款;有的卖家会提高送货速度,承诺6小时内快速送达等。为提高竞争力,网络购物中越来越多的便捷服务被推出,在一定程度上促进了网络购物的进一步发展。
网购中消费者隐私权保护的必要性
网络购物是在一种虚拟的环境下进行的,为了享受网购带来的方便与快捷服务,作为对价,消费者必然要提供自己大量的个人隐私信息,在注册会员、进行快捷支付、接收快递送货上门等过程中会泄露自己最为隐蔽的姓名、家庭住址或单位、手机联系方式、银行账号与密码等,如果没有好好保护并适当运用,就很容易侵犯到消费者的隐私利益,甚至会带来一些安全隐患。对于经营者而言,消费者的个人信息具有了一定的商品化的特点,除了具有身份特征,更重要的是具有财产特征,能为经营者带来直接或间接的财富,通过对消费者个人信息的收集或利用,能更好地了解消费者的实际需求,使其制定更具体、更有针对性的营销策略,为消费者提供更好的商品和更具特色的服务,从而获得更大的市场发展空间。
由于消费者个人信息背后隐藏着巨大经济利益,有些商家会为了攫取商业利润,不当收集、使用消费者个人信息,甚至随意泄露、变卖所掌握的消费者个人信息,使得消费者隐私权保护面临巨大威胁。近年来随着网络维权意识的提高,消费者也逐步意识到网络购物中隐私权保护的重要性,会比较慎重对待与谨慎处理一些个人信息。同时,整个社会与政府部门也关注到了网购中消费者隐私权保护的重要性。世界各国都在加快制定旨在保护网络购物中消费者信息隐私安全方面的政策,2012年2月23日,奥巴马政府公布了最新的《全球数字经济下隐私保护和创新推动的框架》,展示了美国政府对电子商务消费者隐私加大立法保护的决心。①我国在2014年政府工作报告中也明确提出了要“鼓励电子商务创新发展,维护网络安全”。但总体而言,我国目前消费者隐私权保护仍处于比较落后的阶段,加强网络购物中消费者隐私权保护,对于提升消费者对网络购物的信心,促进我国整个网络购物交易的健康发展有着重要意义。
网购中消费者隐私权保护存在的问题
消费者信息安全意识薄弱。我国的网络购物发展速度是惊人的,每年“双十一”不断刷新的交易额显示了消费者对于网络购物的热捧,与热情高涨的网购行为相比,消费者对于个人信息安全及隐私权保护的意识却很淡薄。网购的性质使得消费者必须提供自己极其隐蔽的个人基本信息,随着竞争不断加剧,经营者会推出许多更方便、更优质的服务和更具吸引力的优惠,如购物打折或提供赠品等,在刺激消费的同时客观上又会使消费者提供更多的个人信息。在网络购物的起步阶段,消费者由于被利益吸引,并没有太多关注个人信息安全和隐私权保护的问题,已出现了一些由于网购导致个人信息泄露而造成的不利影响,如由于网上银行账号密码被盗遭受经济损失等,甚至还出现了由于家庭住址的泄露而使个人及家人的人身安全受到威胁的案件。由此可见,目前我国消费者虽已开始有所关注网购中个人隐私问题,但绝大多数消费者的个人信息安全意识仍比较薄弱,亟需加强。
隐私保护的行业自律机制存在不足。由于发展较晚,我国网络经营者在保护消费者信息安全上普遍做的不是很好,而且目前我国电子商务企业也没有针对消费者隐私权保护的完善的自律机制。一般来说,电子商务企业对消费者的隐私保护的关键还在于企业自身对此的态度,网络购物中消费者最重要的信息会为网络经营者带来巨大的利益,通过对与其交易的消费群体个人信息进行收集、整理和分析,可以更好地提供有针对性的服务,从而扩大市场份额,获取巨大利润,正因为这样,网络经营者往往会主动收集消费者全面的个人信息,甚至有的会采用一些私密的网络技术手段。但在收集、使用消费者个人信息的同时,网络经营者对于所掌握的个人信息保护却不太重视,导致不良泄露,甚至有的不良商家一旦使用完后会公然明码标价出售手里的客户信息,以谋取利益,而且由于互联网的特殊性,这种信息极易被广泛地扩散出去,从而侵犯消费者的信息安全和个人隐私。加强网络购物中的隐私权保护,必须完善我国目前电子商务行业在消费者隐私权保护方面的自律机制,使其意识到消费者隐私权保护与其经济利益不但不会冲突,反而应该是共赢的,经营者在消费者信息安全和隐私保护方面的投入不但不会影响其利益,反而会增强消费者对其信任度,提高商业信誉。
对消费者隐私权保护的立法不完善。目前,在我国《民法通则》中还没有明确的关于隐私权的规定,在2013年10月最新修订的《消费者权益保护法》中首次明确了经营者的个人信息保密义务。近年来,我国相继出台了一些涉及网络交易消费者信息安全和隐私保护的部门规章和地方性法规,如2010年5月31日,国家工商总局颁布的《网络商品交易及有关服务行为管理暂行办法》,是我国第一部规范网络商品交易及有关服务的行政规章,其中第十六条中规定了网络商品经营者和网络服务经营者对收集的消费者信息,负有安全保管、合理使用、限期持有和妥善销毁义务。第二十五条规定提供网络交易平台服务的经营者应当采取必要措施保护涉及经营者商业秘密或消费者个人信息的数据资料信息的安全。非经交易当事人同意,不得向任何第三方披露、转让、出租或出售交易当事人名单、交易记录等涉及经营者商业秘密或消费者个人信息的数据。
可以看出,我国关于网络购物中消费者隐私保护的立法仍有不足,主要表现为一方面体系不完整,缺乏统一规划。作为上位法的《民法通则》没有相关规定,即使各地方已经意识到保护消费者隐私权的重要性并积极立法制定各自的地方性法规,但实践中可能由于认识的偏差和各自地方利益考虑难免会出现许多不一致的地方,因此,对于网购消费者隐私保护的立法,应提高其立法层次,完善其立法体系;另一方面现有立法过于简单,缺乏可操作性。在已有的涉及网购个人信息安全和消费者隐私权保护的法律、法规中,内容都不是很详细,缺乏网购中消费者隐私权的全面界定,以及经营者的相关义务,也没有明确侵犯隐私权的法律责任和相应的法律救济方式等,因此在完善相关立法时也应注重具体内容的细化,提高可操作性,便于消费者维权。
完善消费者隐私权保护的措施
增强消费者信息隐私权保护意识。我国已有越来越多的人加入了网购大军的行列,在目前我国网络立法及电子商务行业自律制度还不完善的今天,要想保护好消费者个人信息安全及隐私权必须首先从消费者自身开始,加强消费者对隐私权保护的意识。首先,在网络购物中,不要轻易地透露自己的个人真实信息,了解自己对个人信息所拥有的权利,确有必要透露个人相关真实信息给经营者时,要知道信息的收集者是谁,收集信息的用途或目的是什么,这些信息是如何被使用和保存;其次,消费者应了解目前国内关于消费者信息隐私权保护的相关法律,了解有哪些权利已明确纳入到国家法律保护的范畴以及保护的程度;最后,当个人信息确定被经营者非法收集利用,甚至非法转卖时,应积极维权,尽可能通过有关途径甚至司法途径维护自己的合法权益。
完善隐私权保护行业自律机制。由于起步较晚,我国目前没有专门针对网络消费者隐私权保护的行业自律机制,借鉴美国等国外行业自律模式,完善我国隐私权保护行业自律机制,可从以下几方面入手:
第一,成立针对网络消费者隐私权保护的自律组织。该组织一方面应对消费者的网络交易提供关于信息隐私权保护方面的指导,让其明确其所享有的各项权利,如有权知道自己的个人信息是谁用什么方式收集,在什么情况可以使用以及当有人非法收集、使用和泄露自己的隐私信息时应如何处理等;同时,该组织也应通过其宣传提高消费者在维护个人信息上的维权意识,并针对成员企业在消费者隐私权保护方面提供指导,为其在收集、使用、披露消费者个人信息过程中如何尽可能保护消费者隐私权提出详细可行的指导性政策,与其签订非强制性的企业网络隐私保护协议,要求企业根据自身情况制定自己的隐私政策并及时予以公布,并督促其积极实现自己的隐私政策或隐私声明。
第二,网络经营者应积极制定隐私政策并严格履行。近年来,我国逐步有企业制订了隐私政策,让消费者了解相关隐私政策的同时,拥有一定的选择权。为加强网购经营者与消费者之间的信任,网络经营者一方面应积极制订隐私政策,从个人信息收集、处理、披露等方面让消费者了解其相关信息,且隐私政策应尽可能全面、详细,让消费者容易理解而不是模糊甚至晦涩难懂。同时隐私政策相当于网络经营者对消费者的一个承诺,一旦消费者与其进行交易,就相当于二者之间达成的一个协议,网络经营者应积极履行,严格按照隐私政策的内容保障消费者的隐私权,诚实守信,与消费者建立良好的网络交易关系。
第三,完善行业信用评价等级机制。为进一步加强行业自律,中国互联网协会专门成立了中国互联网协会信用评价中心,负责建立评价体系,从2008年以来,至今已有百度、腾讯等300家国内企业获得了A级(良好)以上信用等级,但总体而言我国行业信用评价等级机制仍需完善。一方面要扩大其参与范围,由于是非强制性的,企业只有自愿申报才能对其信用进行等级评价,因此,绝大多数中等型电子商务企业和个体网络经营者并没有纳入进行,对于整体行业信用评价不利。应通过积极宣传和引导扩大参评的范围,让其意识到良好的信用等级将会为其带来各种利益,如作为对企业融资,获得政府资助,享受税收优惠等的参考依据,更重要的是好的信用等级将赢得消费者信任,获取长远利益;另一方面,即使已经加入进来的电子商务企业,对其进行评价时,由于对网络消费者信息隐私权关注度以前不高,在我国现有的行业信用评价等级制度中,对于消费者隐私权保护力度的因素考虑较少,网购中信息隐私权保护力度所占比重也不重。即使获得了AAA的企业未必在隐私权保护方面做得很好,因此,今后在对网络经营者进行信用评价时,应着重考虑其对隐私权保护的力度,具体包括是否有完备的详细的隐私权政策,是否积极严格地履行其隐私政策或声明,消费者对其评价和满意度等方面进行参考,对于做得比较好的企业,除了颁发信用等级证书外,还可给予隐私认证标志,让网购消费者一目了然,积极识别信任度高的经营者进行交易。
完善我国网购中消费者隐私权保护的相关立法。虽然我国网购业务发展迅速,但与之配套的立法并没有相应的跟进,需进一步完善其立法体系,最重要的是明确隐私权的法律地位。为提高立法等级,在制订民法典时,应增加关于隐私权的内容,对隐私权进行界定,对涉及交易中消费者隐私权的问题做出保障性规定,为其保护奠定一定的立法基础。同时还应对《消费者权益保护法》、《产品质量法》等相关衔接法律进一步完善,更为直接地规定消费者隐私权保护涉及的一些具体法律问题,这样,既有如民法这样的一般法对一些重要的原则性内容作统一的规定,又相应有如《消费者权益保护法》等其他配套法律作为特别法作为有效补充,同时各部门规章、地方性法规可出台一些更详细、针对性更强的实施细则,从而使整个消费者隐私权保护立法体系更为严密。
目前,我国大多数立法规定都是一些原则性规定,比较粗略,而且绝大多数并没有涉及到网络交易中侵犯了消费者隐私权将承担的责任方式,导致司法实践发生纠纷后消费者很难真正地去维权。目前通过诉讼解决与网络经营者之间信息安全及隐私权纠纷的案例极少,因此在积极完善立法体系的同时,还应考虑具体的法律法规的可操作性,尽可能从实体上全面明确网络经营者的义务,明确侵犯消费者隐私权后其具体的责任方式,从而更好地保护消费者隐私,促进网络经济的繁荣和健康发展。
(作者分别为武汉工商学院文法学院讲师,武汉大学国际教育学院副教授;本文系现代物流与商务湖北省协同创新中心2013年度“现代农产品电子商务中个人信息安全及隐私权保护问题研究”成果,项目编号:2011A201316)