■ 现状
40部法律难约束个人信息泄露
工信部电子科技情报研究所副所长刘九如统计,目前有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定,医疗信息规定,个人信用管理办法等。
“针对个人信息的法律法规并不少,然而内容较为分散、法律法规层级偏低。”刘九如说。
刑法修正案(七)被认为是个人信息立法的标志性事件之一。
2009年,刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。
但是,这一犯罪主体是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。除此之外,还存在着互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位。
诸多法律界人士认为,刑法未明确该罪的具体界定标准,这一条款还有进一步改进和完善的空间。
另外,专家认为法律中对信息泄露者惩罚机制不够。
前段时间,警方破获CSDN(微博)(即中国软件开发联盟)的600多万条用户名和密码泄露案件,“目前为止对网站的处罚只是提出行政警告,太轻了,这种处罚几乎没有威慑力。”北京科技大学经管学院教授梅绍祖说。
梅绍祖认为,如果在国外,这样的大规模用户信息泄露,至少应该有经济处罚。
2009年,《侵权责任法》的通过,使“人肉搜索”侵犯受害人权利的责任认定有了法律的统一规制,如果网站无视受害人提出的屏蔽、删除要求,就要承担连带责任。
但是,社科院法学所研究员周汉华说,《刑法》和《侵权责任法》都属于事后救济,在网络时代要对网络安全以及个人信息进行全流程的监管才更为有效。
个人信息安全法未入立法程序
《个人信息安全法》并非从未尝试破冰。
工业和信息化部副部长杨学山回忆,2003年的4月,国务院信息化办公室专门对个人信息立法研究课题进行部署,2005年《个人信息保护法》专家意见稿已经提交。不过这项立法建议一直未能进入正式的立法程序。
参与此次专家意见稿的梅绍祖说,当时文本已从国务院信息化办公室上报到国务院法制办,此次未能进入正式立法程序的原因很复杂,主要是“从紧迫性上讲还没太关注这个问题”。
梅绍祖承认,凡事总有轻重缓急,有关部门会综合考虑,但考虑到目前我国发生的个人信息泄露和被盗、个人隐私侵犯以及个人信息交易的事件愈演愈烈的现实,再发展下去可能会影响到整个社会经济活动,“我觉得紧迫性早就有了,可能各个层面感觉不一样,有人觉得没那么紧迫”。
工信部副部长杨学山力主加快立法。
他说,个人信息保护实行面广,一定要从法的角度规范,才能使这项工作在法律上有依据。
“这几年我们和大家一起在个人信息立法尽快进入正式程序正在努力。”杨学山说,在大家的努力下,“尤其是在今天个人信息保护已经成为社会迫切的问题,立法的进程就会加快”。