随着互联网、智能手机、传感器、个人穿戴式设备等新技术的不断普及,我国的经济已经进入一个前所未有的“大数据”时代。数据作为有价值资产,不仅关乎商机,也关系到从政府到企业、社会以及每个人的生活。近年来,多起信息泄露事件不断刺激广大公众的神经。有调研报告显示,超过60%的被访者遭遇过个人信息被盗用,而这一数字仍在增长之中。由此可见,大数据时代对公民个人信息安全也提出了严峻的挑战。
郑杰在正在召开的全国人大会议上呼吁:个人信息保护不仅是一个基本权利问题,同时,也是加快大数据发展的必然前提。目前我国还未出台《个人信息保护法》,对个人信息的保护主要体现在与个人信息保护有关的法律法规中以及信息控制人的单方承诺或特定行业的自律规范,因此,尽快制定我国《个人信息保护法》刻不容缓。
郑杰表示:总体来看,当前消费者个人信息被滥用的问题,主要表现为四类情形:一是一些经营者对经营活动中收集的消费者个人信息在管理上存在诸多的安全漏洞,典型的如南航、东航、山东航空、深圳航空等多家国内知名航空公司被曝乘客信息泄露、连锁酒店顾客信息存在安全风险事件,中国人寿80万份保单数据泄露等;二是一些经营者将经营活动中掌握的个人信息进行买卖而获取非法利益,形成个人信息买卖的地下产业,例如目前社会出现的大量兜售房主信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息等,并形成了一个新兴的产业;三是经营者过度收集个人信息,并对采集到的个人数据未经许可进行的二次开发利用,为细分市场、制定营销战略提供依据,进而实施对重点人群或重点客户的定向强制推销;四是经营者擅自公开、传播敏感性个人信息,造成侵害他人人格尊严或利用非法收集到的消费者个人信息实施诈骗,包括发送诈骗信息、兜售假发票、假证件等。
总的来说,我国个人信息保护领域的立法缺乏系统性,对个人信息保护方面的立法散见于2012年全国人大常委会出台的《关于加强网络信息保护的决定》、2013年工信部《电信和互联网用户个人信息保护规定》、2013年新修订的《消费者权益保护法》(2014年3月15日实施)以及《刑法修正案》、《身份证法》、《护照法》等法律法规之中,但缺乏系统性,并且在实际的操作上还存在较多的问题。
在个人信息保护方面,通信行业很早就开始了相关的工作。浙江移动一直以来高度重视信息安全相关技术防护能力建设工作,分别部署了全网网络安全域及边界防护体系、防病毒体系、4A安全管理平台、安全管理平台等安全技术防护手段建设工作,基本建成了业务支撑网网络安全、系统安全、用户安全、数据安全等分层次的信息安全防护体系。2013年,公司全面推行实名制,对入网客户全面实施实名登记。前段时间工信部刚刚公布,国内全部电话(包括固定电话和移动电话)用户实名率已经达到了82.4%。
目前,信息保护已成国际共识。国外的做法大体可以归纳为三种方式:一种是对现有的个人信息保护统一立法进行修订。第二种是在现有的个人信息保护立法框架下,积极制定云计算、移动互联网等新业务的个人信息保护规则。第三种是继续完善现有的个人信息保护立法框架体系。
郑杰建议,从保障和推进“大数据”发展,维护个人信息的角度出发,《个人信息保护法》立法中要明确如下内容:
一是要明确法律适用范围。机构和个人掌握个人信息的,无论是否从事营利性行为,均需要遵守《个人信息保护法》。
二是要设立、确定专门监督管理机构。由于涉及多个政府部门的职权,应设立跨部门的个人信息保护委员会,从全局角度考虑,对个人信息保护进行统筹规划。个人信息主管部门应设置专门的网站和热线,便于公民及时举报。
三是要明确个人信息主体对个人信息的权利。个人信息主体有知情权,有权要求个人信息保管者公开所掌握的关于本人的个人信息。个人信息主体发现个人信息记录的内容不准确或有错误的,可以要求个人信息保管者更正或采取其他补救措施。被侵害的个人信息主体的合法权益受到损害的,可以向个人信息主管部门投诉,也可以向人民法院提起诉讼。
四是要明确对个人信息保管者的义务要求。主要包括:收集、使用个人信息应当遵循合法、正当、必要的原则;对收集、使用、保管个人信息的规则的公示、告知义务;对个人信息的保密义务和建立保密安全措施的义务;对终止业务关系的个人信息的删除义务;建立投诉处理机制的义务等。
五是要明确有权查询个人信息的机构及其程序。个人信息一般应限于公安机关、检察院、安全机关和人民法院在办理案件中遵照一定的手续才允许查询。对于敏感信息,一般仅应限于公安机关、检察院和安全机关在刑事案件或涉及国家安全的情况下才得查询。
六是要合理配置责任体系。通过刑罚、治安管理处罚、行政处罚的合理配置,加强对违法提供或使用个人信息者的责任;对过度收集个人信息的行为,应允许消费者投诉并给予行政处罚。