论个人信息保护制度的建立

摘 要：在电子商务中发展过程中，对个人信息的依赖程度日益加深。由于对个人信息的非法利用给信息主体造成了严重的影响，这直接影响到消费者对电子商务的信赖，制约了电子商务的健康发展。通过分析个人信息在计算机网络条件下所面临的风险，针对中国个人信息保护所面临的困难，以个人信息保护和信息自由流动平衡为原则，提出建立个人信息利用和保护制度的建议。

关键词：个人信息保护；个人信息流动；立法进程；行业自律

中图分类号：D92 文献标志码：A 文章编号：1673-291X（2012）12-0232-03

一、个人信息安全面临的风险

一般认为，个人信息是指包括姓名、性别、年龄、血型、健康状况、人种等可以直接或间接识别该个人的资料。网络条件下的个人信息同时具有人格权和财产权的双重属性。

随着数字技术的发展，人们收集、处理和利用信息的能力急剧加强；而在网络中，不同电脑的连接可以实现信息的即时取得。计算机网络技术在处理与传递信息方面所表现出来的巨大能力，把个人信息置于危险境地。个人信息在计算机网络条件下主要面临着以下风险：

（一）个人信息的非法收集

1.侵犯通信自由。电子邮件已成为一种重要的通信方式。无论是公务、商务还是私人性质的电子邮件在传输的过程中，都存在被拦截的可能。2006年8月，浙江律师郭力由于所发送邮件地址非正常外泄导致其邮件内容被链接，在百度上搜索可以看到其向某单位电子邮箱发送的私人求职邮件，包括其所带附件的全文[1]。

2.被要求填写过于详细的个人信息。目前各网站或其他服务性行业很普遍的做法，就是消费者在上网浏览或者购物以及办理银行卡等的时候，需要填写含有大量的个人信息的一系列表格，而这些表格中的个人信息过于详尽，而且所收集的个人信息是不是已经超过了需要的范围，对于经营者收集个人信息的目的及对收集到的个人信息采用何种安全保障，都是消费者难以知悉和控制。

3.恶意跟踪、收集个人信息。人们在上网时，网站运营商运用软件，可以轻松地跟踪网络用户，收集并记录其兴趣爱好，用户浏览的网站、消费习惯、阅读习惯、通讯记录甚至信用记录等，再经过整理、信息比对，可以形成详细的个人信息档案。这些个人信息经过收集者的加工，可能被用于信息主体提供个人信息目的之外的用途。

4.侵入计算机系统获取个人信息。网络上存在着通过黑客和病毒等形式进行的非法个人信息收集。这种情况下个人信息面临着更大的风险。虽然各种安全措施大量使用，侵入计算机系统的事件仍然层出不穷。2011年7月19日，中国互联网络信息中心（CNNIC）了《第28次中国互联网络发展状况统计报告》显示，2011年上半年，有过账号或密码被盗经历的网民达到1.21亿人，占24.9%，较2010年增加3.1个百分点。删除、修改、窃取个人数据不但针对网络用户的个人电脑，而且以储存在政府、企业或者私人资料库中的个人数据为主要目标。

（二）个人信息的非法利用

1.不当泄露。经营者在向消费者收集个人信息的时候，往往会保证对个人数据的安全负责。但是，网络环境下存在太多的未知因素，导致消费者的个人信息不当泄露，就可能导致意想不到的后果。

2.恶意传播。计算机网络为恶意传播提供了比传统条件下更加通畅的渠道和更为有效的武器。利用传播个人隐私，吸引人们的关注，提高网站点击率，是一些网站增加经济效益的惯用方式。

3．为商业目的而使用。商家把网上收集到的个人信息经过数据加工、数据挖掘等方法得到有商业价值的信息。经营者希望通过对消费者的个人数据分析，有针对性地为消费者提供服务，进一步开拓市场，是无可指责的。但关键在于消费者这种服务往往既不知情，更无法选择是否接受该服务。

（三）个人信息的非法交易

电子商务中的个人信息不但具有价值，更有成为商品的可能。充斥网络的出售个人信息的广告提醒网民个人信息的非法交易已经形成了一个产业。一旦个人数据的交易完成，消费者的隐私权以及其他相关利益都将受到进一步严重侵犯。2011年曝光了一起北京最大的非法出售、提供、获取个人信息案，揭开个人信息交易这一隐秘市场的冰山一角。电信公司的工作人员利用工作之便，将手机用户的定位信息、电话清单、姓名和家庭地址等个人信息非法出卖给私家侦探，导致手机用户在不知情的情况下被定位跟踪，严重侵害了信息主体的权益[2]。

面对信息技术的广泛应用、面对强大的收集和处理主体，个人权利陷入岌岌可危的境地，个人信息的保护也越发困难。

二、个人信息保护存在的困难

中国目前个人信息安全问题严峻，消费者维权难问题突出，个人信息保护存在以下困难:

1.法律法规的制约缺位。目前，世界上已有许多国际组织、国家和地区进行了个人信息安全立法。各国对个人信息的名称有所不同，主要有“个人隐私”、“个人资料”和“个人信息”等，但都是为了保护个人信息上所承载的人格利益或隐私利益。中国的个人信息安全立法关于个人信息保护条款散见于《刑法修正案（七）》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》、《侵权责任法》等法律法规中，《个人信息保护法》的立法工作在2003年曾一度启动，此后数次传出该法即将出台的消息，但如今仍处于搁置中。而在目前有关案例中，涉及个人信息侵权问题主要只能依据有关隐私权保护的法律条文寻求法律的救济，但个人信息与传统隐私权存在着较大差异，而在诉讼中个人信息侵权也存在着举证等方面的困难。因此，在司法实践中因个人信息泄漏而导致的损失很难得到相应赔偿。

2.网站存在着大量安全漏洞。建立各种安全机制需要投入大量资金，在缺乏一个有效立法制度的情况下，互联网企业并不愿花大量资金投入到网络安全。很多大网站并没有安全防护措施，因为他们认为网站服务是第一位的，即使丢失个人信息也不是自己的责任。根据国际数据公司（IDC）2010的数据，对12个国家2 850家公司开展的一项调查结果显示，目前国外信息安全投入占整体IT信息投入的比例为14.5%，但在中国这一数字仅为6.5% [3]。

3.个人信息保护的专门机构缺失。在监管机关层面，中国缺乏明确的专门的个人信息保护机构，而以欧盟为例，27个成员国每个国家都有一个专门的信息保护机构。

4.自我个人信息保护意识薄弱。中国在传统上对个人信息保护的重视程度不够，而由于目前人数众多的网民在个人信息安全方面的知识欠缺和意识薄弱，这也加大了个人信息泄露的风险。

5.个人信息泄露的渠道较多。除了在网络交易过程中个人信息泄露外，企事业单位更掌握着其员工和客户的大量个人信息，而有关行政机关在执行其职能过程中也掌握了大量的个人信息。由于法律监管的缺失导致这些企业和单位存在着个人信息泄露的严重风险，而在曝光的案例中，很多大规模的个人信息泄露的源头正是这些企业和单位。

三、中国建立个人信息保护制度的建议

电子商务的发展依赖于商业机构对个人信息资源的开发利用。从事电子商务的商家一般必须要收集个人信息才能进行交易 [4]。但是，个人信息所体现的是公民的人格利益，个人信息的收集、处理或利用直接关系到个人信息主体的人格尊严。同时，信息主体如果对个人信息安全存在疑虑也会对其参与电子商务的带来消极影响。因此只有在个人信息保护和信息自由流动带来的利益之间取得平衡，建立起完善的个人信息利用和保护制度，电子商务才能得到长远发展。

1.加快《个人信息法》立法进程。首先，该法的基本原则是平衡个人信息权与国家利益、行业利益之间的关系。即既要考虑到个人信息安全，又要保障信息的正常流动。其次，要明确个人信息的内容。应纳入保护范围的个人信息主要包括：特定个人信息（姓名、性别、出生日期、身份证号码）、敏感信息（包括、婚姻、家庭、职业、病历、收入、个人经历）、邮件地址、IP 地址、账号与密码、网页浏览习惯、消费记录等等凡是能够直接或间接识别个人的资料均应纳入。第三，必须在立法上明确个人信息的法律地位，并对网络经营者和消费者在保护个人信息安全方面的权利和义务做出详细规定。 一方面，应该根据国际组合和其他国家的立法经验，明确信息主体享有对个人信息的控制权，他人收集、使用其个人信息必须经本人同意，本人有权掌控信息的用途，并可以及时更正及删除信息，当个人利益遭受损失时，能够通过各种正当的途径获得救济。另一方面，要明确网络经营者有在网站表明有关个人信息收集、利用和处理规则的义务，明确告知消费者收集的目的所在，并且保证按照该目的使用个人信息；采取适当的步骤和技术措施保护消费者个人信息的安全；除非法律另有规定，未经信息主体的明确同意，经营者不得向第三方提供个人信息。

2.建立经营者行业自律制度。要建立网站经营者行业自律组织，行业自律组织要制定行业标准加强对行业的监管，完善工作人员的从业规范，制定严格统一的行业保密规定，定期对行业企业的信息保护工作进行检查，形成有力的常态监督机制。这样做的目的也是为了加强个人信息保护，促进个人信息的有序流动，促进电子商务的健康发展。

3.明确个人信息保护的机构职能。国家设立专门的个人信息保护机构负责个人信息的保护工作以及对侵犯个人信息权的违法行为进行监管和及时处理。个人信息保护机构应该通过制定有关个人信息安全政策，加强对信息管理者的监督，以促进个人信息的保护。

4.建立网站信息安全准入、评级和报备制度。非法侵犯消费者个人信息安全的各种技术手段层出不穷，个人信息安全在技术层面面临着巨大的风险，应此鼓励保护个人信息安全的技术发展也是个人信息保护的重要一环。对各类网站应该设立较高的网络信息安全门槛，并实行安全等级的评定公示和定期的报告备案制度，以加强对网站信息安全的监督管理。

5.提高消费者个人信息保护意识。欧盟 ENISA（European Network and Information Security Agency欧洲网络与信息安全局）在一份题为《提高信息安全意识（Awareness Raising）》的文件中指出：“大量的研究报告表明，在所有的信息安全系统框架中，人这个要素往往是其最薄弱的环节。只有革新人们陈旧的安全观念和认知文化，才能真正减少信息安全可能存在的隐患。”“具备高度信息安全意识的个人和有效的安全措施，被视作信息系统和网络安全的第一道防线。因此，信息安全体系的所有参与者，包括信息技术业内人士、与信息安全攸关的利益方以及信息系统的最终用户群乃至用户个体，都应担负起提高安全意识，维护信息安全的责任。”因此，政府有关机构及消费者协会应当通过宣传树立捍卫公民的个人信息安全的观念，使公民认识到自己的权利，懂得保护自己权利的方法。

6.加强对掌握个人信息的企事业单位及有关行政机关的内部管理和外部监督。企业应做好教育培训工作，增强企事业员工特别是有机会接触用户个人信息的关键岗位员工以及企业经营管理人员、有关行政机关工作人员的信息安全意识，完善信息安全保护措施，严格规范信息的查询、修改程序，并对重点岗位的电脑进行严密的安全设置和全程的技术监控，形成预防与打击泄露客户信息行为的有效机制；政府有关部门要加强对重点企事业单位和行政机关的信息安全的监督和监控。

参考文献：

[1] gb.省略/18964/2008/01/14/1545@1911931.htm.

[2] www.省略/xwzx/kjxw/t20110920_768820.htm.

[3] finance.省略/chanjing/sdbd/20120116/095511210854.shtml.

[4] [美]阿丽塔·L.艾伦，理查德·C.托克音顿.美国隐私法——学说、判例与立法[M].北京:中国民族法制出版社，2004:242.