中国社会科学院3月2日发布2009年“法治蓝皮书”。蓝皮书指出,随着信息处理和存储技术的不断发展,我国个人信息滥用问题日趋严重,社会对个人信息保护立法的需求越来越迫切。
2007年9月~2008年12月,中国社科院法学研究所针对个人信息保护现状专门组成课题组,在北京、成都、青岛、西安4个城市进行调研,结果让课题组成员颇为“惊心”。他们将我国个人信息滥用情况大致归纳为如下类别:
第一种是过度收集个人信息。有关机构超出所办理业务的需要,收集大量非必要或完全无关的个人信息。比如,一些商家在办理积分卡时,要求客户提供身份证号码、工作机构、受教育程度、婚姻状况、子女状况等信息;一些银行要求申办信用卡的客户提供个人党派信息、配偶资料乃至联系人资料等。
第二种是擅自披露个人信息。有关机构未获法律授权、未经本人许可或者超出必要限度地披露他人个人信息。比如,一些地方对行人、非机动车交通违法人员的姓名、家庭住址、工作单位以及违法行为进行公示;有些银行通过网站、有关媒体披露欠款者的姓名、证件号码、通信地址等信息;有的学校在校园网上公示师生缺勤的原因,或者擅自公布贫困生的详细情况。
第三种是擅自提供个人信息。有关机构在未经法律授权或者本人同意的情况下,将所掌握的个人信息提供给其他机构。比如,银行、保险公司、航空公司等机构之间未经客户授权或者超出授权范围共享客户信息。
更为恶劣的还有非法买卖个人信息。调查发现,社会上出现了大量兜售房主信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息的现象,并形成了一个新兴的产业。比如,个人在办理购房、购车、住院等手续之后,相关信息被有关机构或其工作人员卖给房屋中介、保险公司、母婴用品企业、广告公司等。
调查发现,虽然绝大多数人认为自己有权了解个人信息的存在情况,如果滥用造成损失可以请求赔偿,但在是否有权拒绝提供信息上,不少人认为自己没有这个权利。
42.5%的受访者对课题组表示,曾遇到过有关机构不当处理其个人信息的情况。不过,课题组认为,这一数据仅在一定程度上反映出那些明确感受到自身个人信息被滥用的公众的情况,并不能够反映出那些自身个人信息虽被滥用、但自己尚不知情的公众的情况。
受访者普遍感到,有关机构在处理个人信息过程中问题不少。例如不明确告知个人信息的用途;很多信息与所要办理的业务无相关性;有关机构超出原有的目的使用个人信息;有关机构的个人信息保管机制不健全,存在信息被泄露、篡改的可能等。这种情况在政府机关也相当数量地存在着。
在调查过程中,很多受访者表达了希望有关机构删除本人的部分或者全部信息的想法。因为他们或者不再接受其服务,或者经常遭受电话、邮件的骚扰。“个人信息被滥用正在威胁着我的生活安宁、生命财产安全,令自己感到压力或者心情不愉快。”一位受访者说。
需要注意的是,在个人信息曾被滥用的被调查者中,仅有4%左右的人进行过投诉或提起过诉讼。导致公众在进行投诉、诉讼时遇到困难或不愿意投诉、提起诉讼的因素有:无法确定哪些机构应承担责任、无法确定向什么机构投诉或者以谁为对象提起诉讼、无法获得有力的证据、投诉或者诉讼成本过高等。
即便采取了投诉或者诉讼等救济手段,也仅有8.1%的人获得了救济或者达到了目的,其他的或者因为处理个人信息的机构推诿、搪塞而不了了之,或者因为预料到无法通过投诉或诉讼获得救济而中途放弃。
课题组认为,这种结果和现行个人信息保护规定存在缺陷关系很大。由于个人信息保护尚缺乏专门性规定,个人信息处理活动应当遵循怎样的原则、信息主体在个人信息处理活动中享有哪些权利、对滥用个人信息的信息处理者如何予以制裁、由什么机构负责执法等,都存在疑问。
另外,现行的各类规定一般仅限于禁止泄露个人信息,但是,个人信息主体在信息收集、保存、利用中的知情权、同意权、请求更正错误信息和删除不必要信息乃至获得救济的权利等,几乎都没有得到确认。
调查中,几乎所有接受调查的公众都赞成加强个人信息保护的立法工作(占99.3%),希望政府机关能够加强个人信息保护执法,严厉打击滥用个人信息的现象(占99.3%),设立专门机构负责对滥用个人信息的行为进行查处(占93.8%)。
2 月28日,十一届全国人大常委会第七次会议表决通过的刑法修正案(七)增加了相关条款,规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
课题组认为,加强个人信息保护,最关键的是确立个人信息保护的基本法律制度。通过设定刑事责任来加大对滥用个人信息的打击力度固然重要,但是,如果不能确立个人信息保护的基本制度来对个人信息处理行为进行有效的管制,则很难从根本上遏制滥用个人信息的问题。