个人信息买卖乱象的有效治理

摘要：个人信息的经济价值日益凸显，在信息处理成本愈来愈低的情况下，个人信息被非法买卖以牟取暴利已严重危害了到个人权利和社会安全。本文从个人信息买卖泛滥背后深层原因进行分析，进而提出个人信息保护的有效治理措施。

关键词：个人信息买卖 原因 有效治理

很多人可能都有此经历，刚在某网站购买商品后，各种产品促销广告、地产中介、金融私募等诸如此类的电话、短信蜂拥而至。人们不明白为什么别人拥有自已如此详细的个人信息资料，不禁要问：“谁动了我的个人信息？”个人信息泄露并非一个很新鲜的话题，但因为没有引起各方面的重视，近几年个人信息买卖愈加频繁，呈现多样性，从而引发了个人信息安全危机。因此，高度重视和积极应对个人信息买卖显得尤为紧迫和必要。

一、我国个人信息买卖乱象背后的原因

（一）立法不足

早在2003年，国务院信息办就委托中国社科院法学所承担《个人数据保护法》的研究课题，并草拟一份专家建议稿。2005年，近8万字的《中华人民共和国个人信息保护法（专家建议稿）及立法研究报告》完成。但时至今日，这部法律仍未出台。

目前，只有我国最新修正或出台的宪法、民法通则、合同法、居民身份证法、档案法、民事诉讼法、刑事诉讼法、行政诉讼法、商业银行法、互联网电子邮件服务管理办法、个人信用信息基础数据库金融机构用户管理办法、短信息服务规范等法律法规的相关条款中才有不同程度地涉及个人信息保护的立法问题。[1]然而，上述法律法规并不能对个人信息提供有效的保护，主要存在以下问题：第一，法律性文件过于原则。第二，现行法律保护的范围过于狭窄。第三，可操作性差。第四，没有救济机制和补偿机制。

（二）政府监管责任的缺失

政府既是信息的制造者，也是信息的传播者和接受者，同时具备信源、信道、信宿的角色。而在个人信息保护实践当中，现行政府没有彻实履行其监管职责，表现在：其一，缺少一个专门的个人资料保护机构。没有权威的保护机构，就没有执法机构，也没有相应的职责主体。其二，没有重视个人信息被严重侵害的意识。我国政府出于安全的考虑控制全国大部分的信息资源，但对于个人信息在商业中被滥用没有给予足够的认识及重视。其三，执法力度弱。执法机构很少作出对信息处理者泄露、滥用个人信息资料作出惩戒，即使有，程度也轻。

（三）个人信息保护的意识淡泊

我国关于隐私权保护的文化基础薄弱，人们习惯于坦诚相见的美德，并以遮遮掩掩为羞耻。加上封建王权与传统文化相结合极力抹杀个人意识，致使公民的隐私权意识淡泊。另外，我国进入到信息时代较晚，关于个人信息的巨大的管理与商业价值还不为人们所意识，个人信息大多被无意识的泄露出去。

（四）事后救济渠道不顺畅

从理论上讲，个人信息遭受侵害的个人可以通过诉讼等途径主张个人权利，包括请求停止侵害、恢复原状、履行义务、赔偿损失等。但很多情况下，公民很难知道自已的个人信息被谁滥用、如何滥用的。不仅如此，个人面对拥有雄厚实力的机构，在寻求救济的时候，既没有充足的财力，又缺乏足够的专业知识。因此很多人在诉讼中遇到困难或根本不愿进行投诉。

二、个人信息保护的有效治理

（一）统一立法是最权威最保障的方法

加强个人信息保护，最关键的是确立个人信息保护的基本法律制度。必须尽快制定一部统一的《个人信息保护法》，其中明确规定的内容包括：个人信息的界定、适用范围、保护原则；个人信息搜集数据的法律依据、法定程序与范围、搜集目的及告知义务等；信息主体享有的权利；信息披露及使用的目的、范围和程序、相关主体的法律责任及救济方式等。

（二）加强政府监管责任，建立行政监管制度

从信息化的长期发展和国外的经验考虑，最好是设立一个独立的信息保护机构，全面负责信息资源管理与监督方面的工作。这也有利于建立个人信息执法全球机制，与国外个人信息执行机构的协调以及对企业全球守法规制的调控，都找到了主要的连结点。资料保护机构要求赋予广泛的职权，如审计、调查、制裁、监督和执行权。[2] 建立行政监管制度，其一是登记制度，指个人信息处理机构在处理个人信息之前，须向主管机构通报包括信息外理者、信息主体、信息接收者等情况及安全措施。政府机关将用户的信息安全作为开办网络信息服务业的许可条件之一，通过市场准入的门槛，将不够保证用户信息安全的经营主体拒之门外。其二是监督制度，执法机构有权主动或者按照信息主体的投诉对各种信息处理行为进行监督检查，可以进入信息处理者办公场所进行检查，可以命令信息处理者采取停止处理、删除、修改等措施以保护公民个人信息[3]。专门机构还应加大执法力度，针对目前泛滥的个人信息买卖进行查处，追究其法律责任与行政责任。

（三）政府加强指导与鼓励，完善行业自律

政府要加强行政指导，正确引导各行各业，尤其是大量涉及个人信息的行业完善行业自律。完善行业自律还要注意几点问题：第一，行业自律组织要分布合理化。第二，理顺自律组织与政府的关系。政府要给予自律组织充分的自，但又要加强监督与考核评价。第三，推行个人信息保护认证计划。可以借鉴美国商务网络财团和电子前线基金会共同发起的非营利网络隐私认证机构TRUSTe、美国子公司BBBonline实行的网络隐私认证计划。要求张贴隐私认证标示的网站，必须遵守网上在线收集、利用个人信息的行为规则，并接受某种形式的监督管理。[4]

（四）加强宣传教育,提高公民个人信息保护意识

政府与企业组织进行组织内部的基本宣传、业务宣传及面向外部的社会宣传。基本宣传和业务宣传包括个人信息保护的相关法规、处理方法、安全措施等。社会宣传，可以通过宣传资料及各种网络媒介（网站、博客等），或培训教育，向公众宣传相关法规、个人信息主体权益、信息管理者的义务及保护措施。公民本人也应提高警惕，谨慎控制个人信息，只有在确认所提供信息能得到保护的前提下，才决定是否提供有关信息。

（五）建立事后救济制度

为处理个人信息保护的纠纷，有必要设定相应的救济机制。许多国家和地区基本上都针对个人信息保护中有关纠纷的特殊性而设计了相应的制度。在欧洲，合法权益因他人的个人信息处理活动受到侵害的当事人可以通过司法途径寻求救济。法谚：“没有救济就没有权利”。

参考文献：

[1]翟峰.个人信息保护亟待法律补缺[J].秘书，2009（8）：4

[2]孔令杰.个人资料隐私的法律保护[M].湖北：武汉大学出版社，2009.248

[3]吕艳滨.信息法治：政府治理新视角[M].北京：社会科学文献出版社，2009.245

[4]郎庆斌,孙毅，杨莉. 个人信息保护概论[M].北京：人民出版社，2008.79