随着网络的日益普及,百姓与网络已经密不可分,2014年1月中国互联网络信息中心第33次《中国互联网络发展状况统计报告》显示,截至2013年12月,中国网民规模达6.18亿,其中,手机网民规模达5亿,互联网普及率为45.8% [1]。而早在2008年,中国网民绝对数量已经超过美国,跃居世界第一位。伴随着网络用户数量的快速增长,互联网个人信息安全问题也备受关注,近年来互联网用户信息泄露事件时有发生,据不完全统计,仅2010年至2013年,就先后有360、开发者社区CSDN、中国人寿、腾讯QQ、圆通快递等多家用户信息被大量泄露[2],给用户带来了严重的不良影响甚至危害。这些问题的出现引起我们对网络信息安全的关注,也促使我们探究问题背后的深层次原因。除了技术漏洞、道德问题以及监管责任之外,一个重要的原因法律规范模糊导致违法成本过低,某些寻求不法利益者利用了这一点。
事实上,我国自上世纪90年代以来,先后出台多部涉及互联网个人信息安全的法规、条例、办法,如《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《互联网网络安全信息通报实施办法》、《计算机信息网络国际联网安全保护管理办法》、《全国人民代表大会常务委员会关于维护互联网安全的决定》、《互联网电子邮件服务管理办法》、《通信网络安全防护管理办法》、《电信和互联网用户个人信息保护规定》,以及2012年12月通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》[3]等,这些法规、条例、办法从不同侧面对互联网参与行为主体的活动进行了规范。同时,宪法、刑法、国家安全法、国家秘密法、治安管理处罚条例、商用密码管理条例等法律、法规在信息安全方面提供了一定的法律依据,如1999年刑法修正案第285条和第286条分别规定了违反国家规定非法入侵计算机信息系统罪和破坏计算机信息系统罪。2011年2月25日最新修正版刑法对第285条内容进行了修正,增加了“违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”这段内容。此外,北京、四川、黑龙江等十余个省市也出台了信息系统安全保护、病毒预防和控制等方面的地方性法规,可以看出,互联网个人信息安全已经引起了立法界的较高程度的关注,可以说,我国已经在互联网个人信息安全立法方面建立了基本框架。
但是,纵观专门涉及互联网个人信息安全的法规、条例、办法,有几方面特点:从颁布者来看,多为国务院、工业和信息化部、公安部等行政部门,这种部门法规的效力和权威要低于国家法律;从内容来看,对侵害互联网个人信息安全的行为的界定、处置依据尚比较模糊,对各类互联网参与主体的责任划分不够清晰明确,特别是对互联网信息企业在信息安全方面人员、设备投入没有明确的规定,难以适应当前严峻的互联网个人信息安全形势;从实施效果来看,部分法规、办法仍停留在说教层面,具体实践中没有得到很好地执行,例如,互联网信息企业没有履行应有的安全管理责任。部分法规在执行力度上还不够,甚至停留在说教层面。以工信部2013年6月28日审议通过的《电信和互联网用户个人信息保护规定》为例,该法规对电信业务经营者防止用户个人信息出现泄露等问题的措施规定比较粗略,没有建立可以充分量化的标准,因而在具体检查监管中就缺乏依据,同时,对于违法后法律责任界定上,也缺乏量化标准,没有充分考虑到互联网信息的迅速传播性和扩散性。另外,刑法中也没有对破坏互联网个人信息安全的行为如制造病毒、传播恶意软件,利用互联网个人信息从事非法活动的相关法律责任和处罚办法进行细化。
最重要的是,我国个人信息安全专门法立法进程比较缓慢, 2005年,有关专家完成《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》。2008年,《个人信息保护法》草案呈交国务院[4]。然而此法至今未予出台,实际立法过程中仍存在诸多困难和挑战,这不得不说是一个遗憾。
我们不妨了解一下互联网信息技术比较发达的美国在互联网个人信息安全方面的立法状况,虽然美国的法律属于普通法系,但仍然可以找到诸多关于互联个人信息保护的单行法,如1986年颁布的《电子通信隐私法》,1997年颁布的《联邦互联网隐私保护法》《数字隐私法》,1998年颁布的《儿童在线隐私保护法》等,《健康保险流通和责任法案》《格翰姆 —布莱利法》还对医疗数据收集,金融机构数据共享方面进行了法律约束,还积极推行行业自律与立法规范相结合的安全港模式[5][6][7],这些专门针对互联网个人信息安全的法律和行动,较为全面地保护了公民的互联网信息安全。当然,“9.11”事件发生后,《美国爱国者法案》以防止恐怖主义的名义,扩张了美国警察机关的权限,警察机关有权搜索电话、电子邮件通讯、医疗、财务和其他种类的记录,某种程度构成了对个人信息安全的威胁。
从美国的立法状况我们可以看出,尽管美国存在着国家机构对公民个人信息拥有超级权限的问题,但是其在对互联网个人信息安全保护立法的分类较为细致,立法思路较为超前,通过注重企业的参与,值得我们学习。
相对而言,我国尚未形成比较完善的互联网个人信息安全保护法律体系,保护个人信息的专门法尚未出台,部门法规定比较模糊,刑法有关内容也存在网络环境下犯罪法律关系主体需要进一步扩展、犯罪客观方面尚不健全、此罪与彼罪的界限需要进一步厘清等问题[8]。可以说我们的立法工作还需要进一步紧跟当前实际,适当加快进度,争取早日形成统一的、全国性的专门法律,并在刑法及相关部门法中体现最新内容,规范互联网经营者、监管者、使用者多个主体的行为,特别是强化互联网经营者的安全责任,为公民个人信息安全提供坚强的法律保障。
(责任编辑:安博涛)
