1. 个人信息概述
在《个人信息保护法》中,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息[1]。《网络安全法》《数据安全法》等都强调了“可识别性”作为个人信息的判断标准,即个人信息能够关联到特定自然人的身份,成为能够将个人与其他人进行区分的符号系统[2]。
2. 网络环境下个人信息侵权现状
随着网络技术的飞速发展,随之而来的各种问题也层出不穷,特别是个人信息安全问题。网络技术的发展使得个人信息的收集、使用变得更加容易,同时也增加了信息泄露的风险。不法分子可以通过网络技术获取、传播甚至售卖个人信息。网络技术的开放性和技术性,使得个人信息在网络环境中更容易受到侵害,隐私权的保护面临更大的挑战。
2.1. 网络环境下侵犯个人信息的具体表现
个人信息的非法收集。网络经营者或商业公司未经用户同意收集个人信息,例如使用跟踪Cookies记录用户活动,或将用户的个人信息出售或泄露给第三方。
个人信息的非法使用。网络服务提供者在未经用户同意的情况下不合理使用或超出许可范围滥用用户信息,如将用户信息用于商业广告或传递给其他公司谋利。
个人信息的非法披露。通过互联网公开、传播或转让他人的隐私信息,包括个人生活细节、通讯内容等,未经本人授权即进行散布。
个人信息的非法访问。未经允许进入私人网上信息领域收集、窃取他人信息资料,例如黑客攻击个人邮箱、社交媒体账户等以获取个人信息。
个人信息的非法交易。专门从事网上调查业务的商业公司将用户个人信息资料转让、出卖给其他公司以谋利,或用于其他商业目的。
个人信息的非法监控。某些软硬件设备供应商在产品中设计监视功能,如处理器中的“安全序号”监视用户往来信息,使用户个人信息受到不法侵害。
2.2. 侵犯个人信息带来的危害
对个人利益的损害。第一,直接财产损失。比如个人信息泄露可能导致身份盗窃,盗贼利用这些信息进行贷款或开设虚假账户,可能被不法分子用于电信诈骗等犯罪活动,数据显示2023年全国公安机关共破获电信网络诈骗案件43.7万起[3]。银行卡号、密码等被泄露后,可能会导致信用卡被盗刷,给受害者带来严重的经济负担。第二,非经济利益受损。信息泄露可能使公民名誉受损。网民还可能面对层出不穷的骚扰,丧失对信息安全的信心,引起恐慌。第三,人身安全威胁。个人信息的泄露还可能对个人的人身安全构成威胁。不法分子可以利用收集到的个人信息对信息主体进行跟踪,实施绑架、勒索、甚至是暴力犯罪等违法犯罪行为,造成严重后果。第四,人格权受侵害。一些重要的私密性个人信息一旦被泄露,不但信息主体的名誉权受损,连家人也会遭受伤害。
对组织利益的损害。首先,企业或遭受财产损失。企业内部都会建立自己的办公系统,方便员工发送报表、文字资料、交易信息,还有企业内部的员工情况、会议记录、项目策划等一系列商业秘密,这些信息一旦被泄露,企业将面临巨大的财产损失。另外,互联网信誉受损,电子商务发展也会受到阻碍。维护互联网环境安全,就是为电子商务行业的发展保驾护航。
对国家利益的损害。第一,违法犯罪事件增加。网络犯罪的手段越来越高超,国家治理信息安全工作负担加重。第二,政府信用被透支。多地政府网站在信息公开中出现过泄露公民个人隐私的情况。2021年,某市政府公布的一份城乡特困公示,详细列出了城乡特困人员所属的街道(乡镇)、社区、姓名、性别、详细身份证号、特困类别和每月供养金额[4]。第三,危害国家安全。国家重要领导人和军队领导的个人信息涉及国家安全,很多境外势力通过互联网的手段对领导人进行追踪监控,包括金融行业和通讯行业等重点行业的信息资料,严重威胁着国家安全[5]。
3. 网络环境下个人信息法律保护的现状与不足
3.1. 相关法律规制的概述
2012年的《关于加强信息保护的决定》确定了初步的个人信息保护的框架和轮廓理论。提出大数据时代下的信息收集者、处理者不得贩卖、篡改和出卖公民的个人信息,并且规定了责任承担。
2014年的《中华人民共和国消费者权益保护法》关注消费当中的信息安全问题。如确定了信息收集者要经过消费者个体的知情同意制度,规定了经营者侵害消费者的个人信息权利应承担相应的赔偿责任。
2017年的《网络安全法》旨在保障网络安全,维护网络空间主权和国家安全。规定信息收集者不应超出所收集的范围,搜集个人信息时,建立防火墙,避免出现泄露、出卖、非法利用个人信息的情况[6]。
2019年的《电子商务法》旨在保障电子商务各方主体的合法权益,强调互联网交易中的商户之间的信息保护。例如当用户申请注销账户时,电商平台应当立即删除该用户的个人信息,依照法律、行政法规的规定或者双方约定保存的情况除外。
2021年1月1日《民法典》生效。《民法典》总则明确规定自然人的个人信息受法律保护,公民或者组织使用他人信息时,必须按照法律的相关规定获取,以确保自然人信息的安全[7]。《民法典》中对于保护自然人个人信息的法条并不多。
2021年11月1日起施行的《个人信息保护法》,在《民法典》的基础上对个人信息的保护进一步细化并扩大了其范畴。其规定了敏感的个人信息以及死者的个人信息同样受到法律的保护,还规定个人信息受到侵犯后采取民事、行政、刑事责任相结合的救济方式,为权利人维护权利提供了多元化的救济途径。
3.2. 网络环境下个人信息法律保护的不足
在互联网大数据时代,《个人信息保护法》《网络安全法》还有《数据安全法》等法律为个人信息保护做出巨大贡献,也为数字经济在我国的健康发展提供了强有力的保障。但目前我国个人信息的法律保护仍面临着多方面的挑战。
3.2.1. 相关法律法规不完善
现行的个人信息保护相关法律如《个人信息保护法》等,尚未形成完整体系。一方面,相关法律法规条款相对原则、抽象,缺乏对实际的操作性,不能全面覆盖并解决日益增长的个人信息纠纷问题。另一方面,数字时代的信息技术快速发展,人们面临各种侵权威胁,个人信息保护的境况处在不断地变化之中,已有的法律规定在适应现实变化的需求方面存在不足,对新兴问题的处理显得力不从心。因此,我国的个人信息立法也需要与时俱进。例如,保险行业“影子代理人”将个人信息传输给黑产,利用海量信息存储和使用,牟取利益。《民法典》对保险代理人提出了信息安保义务,但保险代理人的行为规范散见在部门规章和规范性文件中,位阶较低,处罚力度实属有限。刑法保护薄弱。我国对侵犯公民个人信息的刑事犯罪,缺乏统一的认定标准和操作规范。这不仅使得犯罪分子有机可乘,也使得审判实务中出现同案不同判的现象,未能有效发挥应有的警示作用。
忽视行政诉讼在个人信息保护中的作用。个人行踪信息侵权行为具有隐蔽性,信息主体自身的维权能力又严重不足,举证难,诉讼难度大。这个时候,个人信息保护民事公益诉讼制度就显得尤为重要。我国《个人信息保护法》第70条创新性地引入了公益诉讼制度。但是由于我国个人信息保护领域中公益诉讼制度起步较晚,实际案例少,再加上立法规定的原则性与抽象性,该制度在实践中的运行效果并不理想,有必要持续优化和完善我国的个人信息保护民事公益诉讼制度[8]。
3.2.2. 监管和规范不足
监管主体不明确。在网络环境下,个人信息的保护涉及多个部门,我国现行法律并未对监管职权的具体行使机关进行明确,监管部门的职责分工不明确,往往导致多头监管、分工不明、职权模糊、消极监管等问题,降低了监管效率和效果。
技术更新迅速。互联网技术日新月异,监管技术和方法可能跟不上技术发展的步伐,导致原本有效的监管手段变得不再适用,无法及时发现和制止侵权行为。
国际协作不足。网络空间无国界,个人信息保护需要国际间的合作与协调。当前的国际协作机制尚不完善,难以形成有效的全球治理结构,对于跨国个人信息侵权行为的监管尤为困难。
行业自律不足。网络环境下,行业自律的执行力和约束力不足,难以实现全面有效的个人信息保护。比如很多平台发布的隐私政策,只有用户点击“同意”选项,才能完成注册并继续使用[9]。
3.2.3. 公众意识不足
个人信息保护意识薄弱。随着数字时代背景下新媒体和互联网的快速发展,人们热衷于通过网络生活而实现共享的娱乐体验。公众在网上发布信息和图片时,相关信息可能被二次利用,用于广告推荐、产品定位等,产生交易价值。大量用户在享受网络服务的同时,对个人信息泄露问题重视不足,在安装软件或在公共网络领域内进行相关活动时,可能会不经意同意信息获取的相关保密协定,缺乏个人信息保护意识,导致个人信息权受到超预期范围的侵犯。
教育宣传不足。关于个人信息保护的教育和宣传力度不够,未能形成覆盖所有人群的有效宣传教育体系,特别是对于老年人、儿童等特殊群体的保护意识培养还有待加强。
应急处理意识不强。面对个人信息泄露等安全事件,公众往往缺乏应急处理的意识和能力,不知道如何采取措施减少损失,也不清楚如何通过法律手段维护自己的权利。
4. 网络环境下个人信息法律保护的完善建议
4.1. 细化和完善配套法律法规
推进立法精细化。我国现行法律,虽然制定了大量公民信息不受侵害的相关规定,却过于笼统,需进一步通过立法来细化和完善相关规定。如《个人信息保护法》第四十五条规定了公民享有信息可携带权,即用户的个人信息可以实现跨平台流转。该项权利的客体、行使条件和方式,以及信息处理者帮助迁移信息数据义务均未做出明确规定。由于该项权利涉及多个主体,例如个人信息主体、个人信息处理者、新的个人信息接收者等主体,如果没有明确的法律规定,将会导致这些主体之间的利益冲突[10]。《网络安全法》中的一些实施细则同样有必要进行完善。一方面,建议对个人信息保护责任主体、内容予以明确,在网络消费中,个人信息责任主体主要涉及网络运营商、电商平台、第三方数据处理者等。责任内容主要涉及收集、处理、传递个人信息所应当履行的义务,以及违规行为所应当承担的法律责任等。另一方面,需要建立配套完善的个人信息保护机制,加大对个人信息安全管理、技术防护力度,并建立更加完善的个人信息保护制度、流程,加大对各种违规行为的惩戒力度等。除了针对新兴的信息处理活动制定特定的法律条款,增强法律的前瞻性和适应性外,还需统一侵犯个人信息犯罪的量刑标准,建立明确的认定标准和操作规范,提升法律的威慑力。
健全行政诉讼制度。首先,扩大行政诉讼的受案范围,允许个人信息所有者就行政部门对个人信息权的侵害提起行政诉讼。其次,通过司法实践对行政部门侵犯个人信息权的界限进行规定。应当确定行政机关侵犯个人信息权益的指导性案例,作为司法的参照和依据。最后,要推广个人信息集体诉讼制度和公益诉讼制度。个人信息处理者对个人信息的侵犯事前难防范、事中难制止、事后难查询,个人提起诉讼的负担极大。我国公益诉讼的起诉方是检察机关,检察机关的专业能力和社会资源可以解决个人信息诉讼中面临的困难。因而,需要更好促进个人信息民事公益诉讼与私益诉讼的衔接。
4.2. 加强执法监督
坚持严厉问责。在不断完善法律法规的同时,还要进一步加大执法力度,对各种侵害行为进行严厉惩处,如此才能够起到警示作用,切实维护公民个人信息安全。侵害个人信息权的行为加大侵权成本。网络环境中,个人信息违法收集和滥用行为之所以屡禁不止,是因为违法成本较低。很多时候即便识别不法分子的违法行为,也很难对其进行及时规制,并起到相应的警示作用,导致不法分子在巨大的利益面前无视法律法规,通过铤而走险的方式侵害公民个人信息权。
明确监管主体。设计独立监管机构,主要负责监督和管理公民个人信息权违法乱纪行为。要明确划分监管部门的职责分工,加强部门间的协调合作,避免监管空白或重复,提升监管效率。充分发挥企业监管作用。信息时代下,越来越多高新技术企业应运而生,这些企业是收集公民个人信息的主体,也是常见的个人信息侵害者。需通过鼓励、引导等方式,充分调动企业监管积极性[10]。
更新监管技术手段。在现代科技急速发展的时代背景下,侵害个人信息的行为日益呈现出技术性和突发性特点,使得个人信息保护课题具有更强的专业性和复杂性。独立监管机构还可以通过设立专门的技术岗位、建立专业的技术机构以及聘请技术专家等多种方式,进一步增强其专业技术实力。采用大数据分析、人工智能等现代技术手段,提高监管的准确性和时效性。同时,鼓励行业内部建立自律机制,推动企业履行个人信息保护的责任。
加强国际合作。个人信息保护是全球性的问题,需要加强国际间的合作与协调,形成有效的全球治理结构,特别是跨国个人信息侵权行为的监管要进行国际合作。具体来说,可以由独立监管机构作为个人信息控制者或处理者的主要对话者,负责处理数据跨境流动的相关事宜,与他国的个人数据保护机关进行有效的沟通协调,以减少各国在数据跨境合作方面的分歧和困难,推动形成更加顺畅和高效的数据流通机制。
4.3. 提高公众的个人信息保护意识
加强宣传教育。首先,相关政府职能部门应借助传统媒体、新媒体等媒介平台,加大对个人信息自我保护的宣传力度,增强消费者在网络环境下的隐私防范意识。同时,也应多渠道教育网民,全面了解个人信息保护法规,提高保护意识,在网络交易时仔细审查个人信息条款,警惕不合理的信息收集行为。此外,也要注意教育消费者文明使用互联网,不转发或泄露他人隐私信息,不随意收集发布他人个人信息,尊重他人隐私权,防止人肉搜索等悲剧发生,共同构建和谐网络环境[11]。
根据普法宣传教育的实际情况,依照法制教育活动的主体、内容、受众等不同,采取灵活多样的形式,以差异化的方式进行普法宣传教育,可达到事半功倍的法制教育效果。在实际的法制宣传教育活动中,可以采取以下方式:
其一,“主体多元”方式。首先,在开展个人信息保护法制宣传教育活动时,工商、医疗、电信、通讯、金融、保险等部门在各自的工作职责内,向各自的行政相对人广泛宣传个人信息保护方面的知识。其次,政法机关在各自的工作范围内履行普法教育的责任。公安机关、检察机关、法院、司法行政机关等政法机关,在相应的工作职责内履行相应的普法教育活动。最后,教师及特殊教育工作者,在专业化的宣传教育中,要充分发挥自己的教育特长,为国家建设培养法律意识健全的人才。
其二,“文化融合”方式。在司法行政部门的主导下,联合文艺和宣传等部门,创作并演出小品、舞蹈等文艺节目,或者制作针对个人信息侵权预防的宣传片。通过这些娱乐节目或公益电影专题宣传片等形式,使人们在轻松愉悦的氛围中学习法律知识,潜移默化地提升法律素养,增强法律意识。
最后,注意“受众差异”。社区和乡村居民、在校学生、残疾人及其他特殊弱势群体、被监管人员等不同群体,由于工作、生活、学习等生活状态不同,个体差异很大,必须根据这些受众群体的不同,采用不同的法制宣传教育形式[12]。