个人信息保护立法还没有时间表企业成泄密主渠道

发布时间：2020-03-10 10:58:24 阅读：次来源：钢坯厂家

A5交易A5任务 SEO诊断淘宝客站长团购

个人信息保护不够，既源于企业不负责任的泄密，也由于缺少明确的监管主体。(插图/阿东)

个人信息保护不够，既源于企业不负责任的泄密，也由于缺少明确的监管主体。已有12个省市出台相干地方法规、规章，但个人信息保护立法还没有进入程序

本刊记者/赵杰 (发自北京)

个人信息保护再有新进展，由工业和信息部直属的中国软件评测中心牵头起草、旨在规范社会公共服务机构和企业个人信息保护的1纸文件近日正式通过评审，正报批国家标准。

依照正常程序，今年年内会正式推行。该中心副主任高炽扬在接受《中国新闻周刊》采访时说，这份名为《信息安全技术、公共及商用服务信息系统个人信息保护指南》(下称指南)的文件起草前后用时四年多，其发布迈出了个人信息保护标准体系建设的第一步，也为立法工作做了大量前期铺垫，有助于未来法律的落地。

至于立法，高炽扬坦言，就其了解的情况，还有大量工作要做，此前的专家建议稿还有待修改完善。因此，该法律进入立法程序还没有时间表。

一样承当个人信息保护相干标准研究和制定的中国电子技术标准化研究院信息技术研究中心主任杨建军也告知《中国新闻周刊》，《指南》只是一个指导性技术文件，距离立法出台尚遥远，并不是其间有人所说立法工作万事俱备，指日可待，但是它可为立法提供相干基本原则。

企业成泄密主渠道

就《指南》的现实意义，工信部安全调和司副司长欧阳武指出，其能为行业展开自律工作提供参考，为企业处理个人信息制定行为准则。

个人信息泄漏问题更多地产生在公共及商业服务行业和企业。高炽扬根据其调研情况告知《中国新闻周刊》，当下很多企业扮演着个人信息管理者和获得者角色，其中有些存在不当使用个人信息行动;还有些知道问题严重，但由于法律缺位无从下手解决。而个人信息泄漏事件有70%??80%的比例属于内部管理不当而至。

在4月6日刚刚由河北省政府提交该省人大常委会初次审议的《河北省信息化条例(草案)》中，这类企业被明确为金融、保险、电信、供水、供电、供气、医疗、物业、房产中介和其他掌握公众信息的单位。

承当该草案起草工作的河北省工业和信息化厅政策法规处处长刘永青在接受《中国新闻周刊》采访时认为，目前由于个人信息泄漏已对个人生活构成不良影响，各种垃圾短信、邮件、骚扰电话等让老百姓不堪其扰。通过长时间调研，他们在法规起草中将上述机构列为主要规范对象。

近些年因企业泄漏个人信息而引发的案件也迅速增多。北京市朝阳法院就对其2007年以来审理的多起相干案件作了总结，并深入调研构成报告《电信部门工作人员非法泄漏公民个人信息情况应予关注》。

据该法院提供给《中国新闻周刊》的报告，电信部门工作人员泄漏公民个人信息主要存在4种途径：通过工作平台查询取得客户办理业务时保存的姓名、身份证号码、住址等个人信息，并非法提供给他人;通过内部授权指令查询取得客户的通话记录、短信内容等通讯信息，非法售与他人;凭仗特殊权限，通过GPRS定位系统，私自帮助他人跟踪定位客户所处位置;未经机主同意，强迫修改客服密码后将新密码提供给他人。

电信部门在客户信息的保护方面也有漏洞：多数运营商将客户信息列为商业秘密，仅从保护本单位经济利益角度加以管理和保护;相干规章制度中唯一禁止性规范，缺少责任条款，约束力不足;欠缺有效的保密和监管措施。

企业对个人信息保护的规章多数不规范。曾于2003年参与个人信息保护法专家建议稿起草的北京科技大学教授梅绍祖，告知《中国新闻周刊》，由于法律缺失，有些企业分不清对错，还有企业故意钻空子，何况没有法律，很多企业出于利益斟酌，就不会有主动性。

监管主体仍模糊

去年，工信部曾拜托有关部门对互联网有关信息进行测评，包括个人信息转移、监督机制和执行情况等8类，涵盖电子商务、论坛博客、银行等7类105家网站的隐私政策。结果显示网站的个人信息保护不够。

梅绍祖向《中国新闻周刊》描写了个人信息泄漏的几种主要途径：网站被攻破，数据库遭侵;内部管理不严，掌握数据者有意无意泄密;一些机构出于利益斟酌交易数据;数据传输进程中遭盗取。分析根本原因，他认为是立法缺失致使事故责任不明确、监督主体和执法部门不确定。

监督责任主体的明确是杨建军口中目前困惑最大的一个内容。他坦言，目前个人信息保护的相干工作由其主管单位工信部进行，但是具体的监管、执法职责尚不明确，而此困难的解决只有寄希望于立法程序的启动。

2009年刑法修正案(7)弥补了该领域的空白，明确了出售、非法提供公民个人信息罪非法获得公民个人信息罪罪名，首次将公民个人信息纳入刑法保护范畴。但梅绍祖认为，该法只是原则性条款，并未明确该罪的具体界定标准，缺少可操作性。

中国社科院法学所研究员周汉华也指出，《刑法》和《侵权责任法》都属于事后救济，要对网络安全和个人信息进行全流程监管才更有效。现实中，执法主体缺少是个人信息被滥用的重要缘由。

要对个人信息保护最好的办法还是立法。欧阳武认为，要通过法律明确组织和个人在处理信息进程中的责任，建立个人信息的监管体制，明确侵害他人隐私的行政处罚的制度和责任。

高炽扬更强调个人信息管理者的责任，要规范个人信息处理的流程，并且要落实责任，管控信息系统个人信息处理的风险。并且，一旦搜集了个人信息，就要建立一套保护制度，明确责任人。

作为企业代表的360总裁齐向东在其间举行的2012年个人信息保护大会上则提出，个人信息保护不是某一家的事，应该是政府、网站、安全公司三位一体，和网民一起构建一个完全的保护隐私体系。

立法还没有时间表

不管是个人信息保护工作主管单位工信部的副部长杨学山，还是承当标准研究的高炽扬和杨建军，再到专家层面的梅绍祖和在地方负责相应工作的刘永青，在谈及个人信息保护工作时，无一例外希望加快个人信息保护法的立法进程。

北京市朝阳法院在上述报告中提出的第一条建议是，应加快公民个人信息保护立法，明确公民个人信息使用进程中的相干权利和义务，对泄漏个人信息的各种行动设定相应的法律责任。

高炽扬指出，国际上在个人信息保护领域的普遍做法是立法+标准，而标准体系框架的建立要在立法大框架下进行才最理想。但是，根据中国现状，只能采取标准先行，为立法做准备铺垫。

其实，个人信息保护法的立法工作早在约十年前就已启动，2003年4月，国务院信息化办公室对该立法研究课题首次部署，两年后，由周汉华牵头、梅绍祖等参与的该法专家建议稿就已提交给国务院法制办。但是，至今未入立法程序。

梅绍祖告知《中国新闻周刊》，自己其实不清楚该法立法迟迟不能推动的真正缘由。技术和文本应该是到位了，立法的紧迫性也有，也许各个层面感受不同，立法机关其实不觉得立法时机成熟。杨建军也指出，国家从整体动身斟酌，需要有全盘的立法计划，该法未被纳入立法程序证明其还没有足够成熟完善。

杨学山在上述会议上也明确表达个人信息保护已成为社会的迫切问题观点，并强调要在个人信息立法上努力尽快使其进入正式程序。虽然一样承认紧迫性，但是高炽扬的观点和梅绍祖并不尽相同。他说就其了解的情况，该法的立法还有很多工作要做，2005年的版本在现在看来有很多内容其实不完善，要做进一步修改。因此，据我所知，立法程序的启动不会很快。

其实，理论层面的意见也并不是一致。有人将个人信息保护归为隐私权的私权范畴;有人坚持其为公权的观点。周汉华即提出大家在认识上必须明确这是一个公权，存在一个独立的个人信息保护法的领域。

另外还存在地方、部门与中央的关系问题。刘永青告知《中国新闻周刊》，河北省之所以出台上述条例，就是由于没有上位法，地方却遇到实际问题，工信部就支持各地先行探索。据悉，目前全国有12个省市已出台相干法规、规章。

周汉华认为对此值得探讨，由于中国的立法权限划分明确，地方的先行先试要处理好多种关系，难免产生不必要的负面作用。梅绍祖则表示聊胜于无，地方先根据本身情况把一些工作做起来，纵然有其局限性，但可以在没有上位法的情况下解决一些紧急问题。