中国江苏网 江苏拟立法保护个人隐私 买卖私人信息将重罚 个人信息被泄露,甚至被卖给相关机构,这已不是新鲜事,个人信息的保护处于法律真空地带。 20日,《江苏省信息化条例(草案修改稿)》(以下简称“草案修改稿”)在江苏省十一届人大常委会第二十四次会议提交审议。针对个人信息的泄露、非法买卖等乱象,草案修改稿明文规定,任何单位和个人不得将提供服务过程中获取的公民、法人和其他组织的信息,出售或者以其他方式非法提供给他人,或者以窃取、购买等方式非法获取上述信息。否则,就会被追究相应的法律责任。律师认为,在地方法规中提出个人信息的保护,有重要“里程碑意义”。 现状 个人信息网上叫卖,乱象亟待规范 市民买车、买房、考驾照、参加各种各样的培训……都会在登记时留下姓名、联系方式等个人信息。你当时并不在意,可当你收到很多汽车销售商、保险公司、楼盘、商场、培训机构等的主动推销短信后,也许就会想到自己的信息是否在哪个环节被泄露了。 此前媒体报道过,有网络黑客将重庆两家知名二手房中介公司的上百万套房源信息搞到手,除了将信息卖给别的中介,还放到网上叫卖。这不禁让人忧虑。 可不少法律界人士也表示,除非个人信息泄露造成比较严重的后果,否则很少有人想到为自己维权,而国家现有的法律中也没有明确规定。 不过,地方立法则释放出了积极信号。 草案修改稿 禁止出售、泄露、窃取、购买个人信息 今年5月24日,省十一届人大常委会第二十二次会议上,委员们就对《江苏省信息化条例(草案)》进行了审议。尤其在信息安全保障方面,不少委员认为,对于网上散布不实信息、利用信息平台进行欺诈、利用网络非法泄露个人隐私等行为,草案应增加相关内容。所以,这次的草案修改稿中,个人信息的保护成为修改的关键。 《江苏省信息化条例》草案修改稿中第二十二条规定,国家机关应当遵循一个数据一个来源和谁采集、谁更新、谁负责的原则,在各自职责范围内做好信息采集、维护、更新,不得重复采集、多头采集。第二十三条第三款是修改内容最多的,原内容是“未经信息提供方同意,任何单位和个人不得披露所采集的信息”,而新修改的内容则更加细化:“任何单位和个人不得将提供服务过程中获取的公民、法人和其他组织的信息,出售或者以其他方式非法提供给他人,或者以窃取、购买等方式非法获取上述信息。” 草案修改稿中,还增加了相应法律责任。如果违反以上条款的,“由县级以上地方人民政府信息化主管部门责令其删除信息,没收违法所得,对单位处以十万元以上五十万元以下罚款,对个人处以一万元以上五万元以下罚款;构成违反治安管理行为的,由公安机关依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。” 以前,严重的出售个人信息的行为,可能会受到刑法惩戒。在这次的草案修改稿中,明确了“购买”个人信息也是明令禁止的,任何单位或者个人不得以窃取、购买等方式非法获取个人信息。 律师解读 明确了信息化主管部门的处罚职权 对于这次草案修改的内容,记者采访了江苏汇商律师事务所的吕剑峰律师。其实谈到个人隐私信息的保护,吕剑峰特别有发言权。去年年底,吕剑峰报考在职研究生考试,后来发现自己的手机号等个人信息被泄露,他认为报名网站主管机构、以及在报名过程中相关机构难辞其咎,于是将相关联的三家单位一起告上法庭。今年8月初,他的这场隐私维权官司开庭审理,不过遗憾的是,至今法院还没有判决。 谈到《江苏省信息化条例(草案修改稿)》中有关个人信息保护的内容,吕剑峰律师坦言,其意义非同寻常。“我个人来看,这个规定应该是国内第一次,以地方性法规的形式,对个人电子数据信息的保护立法,所以具有里程碑意义。”吕剑峰说,目前我国许多地方政府对于个人信息的保护,仅是在其制订的《信用信息征集和使用管理办法》中有所规定,但对于非信用信息的保护,却一直没有明确的法律规定。吕剑峰律师说:“我认为,这个规定是个人信息领域法律保护的‘第一法’,具有开创性意义。” 此外,他在解读有关个人信息保护的这几条规定时还指出,草案修改稿明确了信息化主管部门的处罚职权。“一旦触犯,对单位、对个人罚款多少,都有明确的处罚,这增加了相关单位和个人的违法成本。” 热议 依法保护个人信息面临两大难题 1.对责任人罚了款,对受害人却没有补偿 20日有媒体披露了北京最大的非法出售、提供、获取个人信息案。该案中,调查公司通过“1000元定位一个月”的方式,帮忙调查别人。而为他们提供个人信息的,是几家通信运营商的员工,他们将手机用户的定位信息、电话清单、姓名和地址等个人信息非法卖给私家侦探,用以调查婚外情和讨债。 在吕剑峰看来,出卖个人信息的刑事案件,犯罪分子尚可以被刑法惩戒,而没达到犯罪情节的,很多人或许就没那么在意。“对于很多深受垃圾信息困扰的普通人来说,打官司毕竟成本太高,不现实。” 吕剑峰认为,目前这项地方性立法中,并没有明确将个人信息权利作为民事权益来保护。 “比如相关部门会对责任单位、个人进行罚款,可作为信息遭遇泄露的个人受害者呢,却没有半点民事补偿。”吕剑峰说,现有的受害人只能依据《侵权责任法》要求停止侵权,比如删除个人信息、保证今后不会再发生信息泄露等,只有其人身权利受到严重侵害时,才可能主张精神损害赔偿。 吕剑峰认为,赋予当事人请求赔偿权,比赋予信息化主管机关的行政处罚权更有效。 2.主管部门权责多大?如何调查取证? 在法律责任的追究中,草案修改稿称,主要是“县级以上地方人民政府信息化主管部门”,由这个部门责令删除信息、没收违法所得、处以罚款等。但到底这个“信息化主管部门”的权责多大?却并没有明确限定,如何查证也是问题。 “按常规来讲,应是地方政府信息化主管部门进行调查、取证,确定违法事实。”吕剑峰说,假如某政府部门被指泄露个人信息,那么信息化主管部门是否有权对该部门进行调查?能否直接取证?这都是问题。 所以对于此类案件的调查取证,他认为最好的方式是举证责任倒置。“即当事人信息遭到泄露,应当由信息保管方或者信息最终获取方举证,证明没有泄露,或者其获取信息是获得信息所有权人同意的。” |