——“一法一办法”贯彻实施情况报告审议发言
一、消费者个人信息受侵害的现状
当前,消费者个人信息遭泄露、窃取、非法使用呈暴发式增长态势。
上个月,各大媒体铺天盖地报到,河南都市频道记者成功卧底一个盗刷银行卡的团伙,8000元买了台银行卡复制器。卖主通过QQ视频,远程教授银行卡复制器使用方法,十秒钟就可复制一张银行卡并成功取钱(洗钱)。随后记者购得完整的银行卡信息上百万条,信息包括卡号、姓名、开户行、卡内余额、密码、住址、电话等。其中上海市储户信息38000条,山西17500条,山东150000条,河南70600条等等,几乎涵盖了全国所有的省份,所有的城市,而且涉及到我们身边的各个银行。记者电话联系储户核实竟全都准确无误。
中国人民银行上海分行于2012年发布通报,某银行上海金桥支行在当年2-4月期间,上海宜信公司在该行未与客户发生业务关系的情况下,查询了银行3.2万余人个人信用报告,影响涉及全国多个地区。
中国之声2013年2月报道,消费者在中国人寿去注册汽车救援卡时,发现搜索信息栏中可以随意查找出投保人的信息,包括险种、手机号、身份证号和密码一应俱全。随后就有热心网友根据帖子中提供网址查询,发现数据库中公开的中国人寿保单多达近80万页,消费者向有关部门反映未果。
2013年9月北京公安部门,发现有消费者在某网上交易平台订购了机票之后,收到了一条其航班被取消的短信,要求其联系短信中所提供400开头的“客服号码”,消费者在通话过程中提供了个人银行账户,账户随即被扣款。
由中国消费者协会发布的《2014年度消费者个人信息网络安全状况报告》列举了几个案例:
—“支付宝”前员工被曝卖20G用户资料,此消息引发了用户对信息安全的关注,也令网络信息贩卖产业链浮现。一条价值较高的用户信息可以卖几十元。
—某漏洞报告平台2014年3月22日披露了携程网安全漏洞信息,称由于此漏洞,可能导致大量用户银行卡信息泄露。
—某漏洞报告平台报告称全国硕士考试报名信息遭泄露并被非法利用,出售的用户信息涉及130万考研用户。
—2014年12月,大量12306用户数据被泄露,公开传播的数据涉及13万多条,公安部门随后抓获了犯罪嫌疑人。
国家工商总局发布的《中国消费者权益保护年度报告(2015工商行政管理卷)》披露,上海一家主要销售p2p理财产品的公司在经营中涉嫌非法收集、使用消费者个人信息。涉及大量个人信息名单,电子文档达700兆,数量达一百万余条。部分信息通过网络平台购买,还有部分通过房产、金融、保险等相关从业人员收集。
中国互联网协会12321网络不良与垃圾信息举报受理中心发布《中国网民权益保护调查报告(2015)》显示,近一年来网民们因为垃圾信息、诈骗信息和个人信息泄露等,导致总体损失约805亿元,人均124元。
二、消费者个人信息泄漏的主要途径
个人信息已成为极为重要的社会资源,现代社会以追逐利益为本的商业化大潮已经渗透到社会的各个角落,对消费者的购买需求和购买能力的分析已成为商家制定营销战略的首要依据,个人信息越来越多的被商家加以利用来谋取巨大的经济利益。由此产生的个人信息的商业化利用不可避免的带来一系列的问题。
我们认为造成个人信息泄漏有以下几方面因素:
首先是商家不合理地收集消费者的个人信息。日常消费活动中,如果申请商场的消费积分卡,必须填写一份个人资料表,内容包含持卡人姓名、身份证号码、出生年月日、电话、单位名称等内容。这些个人资料大多与申请积分卡并无关系,但经营者的行为使得消费者想获得优惠的机会,就必须提供详细的个人信息。此类不合理地收集消费者的个人信息在网络世界更为常见,几乎所有的网上经营者都要求消费者登记自己的个人信息,有些还要求提供身份证号码、收入状况。同时,经营者却又往往不说明要求提供这些资料的真正原因、使用目的及处置方式,也不对消费者提供信息之后所享有的权利给予说明。经营者完全有可能收集多于实际所需的资料或者将收集到的资料用于消费者未曾预料的用途。如2011年央视“3.15”晚会中曝光的“消费者个人信息买卖案”中显示仅某个人信息买卖机构就掌握了数万名消费者的个人信息。
其次是商家不当的泄漏消费者的个人信息。拥有消费者个人信息的经营者在未征得消费者同意的情况下,主动将此个人信息不恰当地泄漏或公之于众。最常被泄露的个人信息分别是联系方式、证件号码、职业情况、收入和财产情况以及医疗档案。据业内人士介绍,在网络上目前有五类个人信息最为抢手,它们分别是:股民信息、新楼盘业主信息、私车车主信息、企业老板与经理人信息以及新生婴儿信息。
第三是商家非法交易消费者的个人信息。市场经济条件下,消费者的个人信息都可能成为有价值的商业信息。对部分商家来说,这些信息谁掌握得越多,谁就拥有更多的潜在消费者。因此,掌握个人信息的经营者在未征得消费者同意的情况下,为谋取一定利益就将收集到的消费者的各种个人信息倒卖给需求者。目前,个人信息的交易主要有两种方式:一种方式是公司之间相互交换个人信息,这种形式被商家称为“在有限范围内与合作伙伴共享信息”。另外一种方式是个人信息的买卖,商家将自己所掌握的个人信息明码标价,公开出售给信息需求者。
第四是不法分子利用网络漏洞,通过木马病毒等恶意软件非法窃取用户信息。另外也有消费者缺乏个人信息保护意识、疏忽大意造成的信息泄露。
消费者个人信息泄露,给消费者可能带来极大危害,但当前个人信息泄露维权中的最大问题是取证困难。对于商家获取的个人信息,普通消费者难以分辨其于何时何地所留。比如是购房还是购车,是办理银行卡还是手机实名制时登记的。加之租房、住宿、搭乘飞机、旅游以及交谈等形形色色的日常活动都涉及个人信息,很少有人能有意识的了解自己一段时间内到底透露了多少,那种防不胜防的感觉,让消费者非常无奈,消费者维权不易,甚至有些得不偿失。银行卡信息的泄露和存款的不翼而飞,更是让所有人恐惧。
三、目前我国对消费者个人信息保护相关法律规定
由于社会观念、信息产业、科学技术以及立法规划等方面的原因,我国很长一段时间以来没有认识到保护个人信息的重要性,因此直到目前为止,我国还没有制定专门的个人信息保护方面的法律。当然,这并不意味着我国目前对个人信息不进行保护。
(1)宪法方面的保护
我国宪法明确“国家尊重和保障人权”,个人信息权利是我国公民基本权利之一。宪法第40条规定“中华人民共和国公民的通信自由和通信秘密受法律的保护”,这是宪法涉及个人信息权利直接保护条款。另外宪法第41条关于公民诉愿权的规定、第47条关于公民文化活动权的规定、第51条关于公民自由权利的限制方面的规定,是间接保护个人信息权利的规定。
(2)民法方面的保护
我国民法同样没有个人信息权的概念,对于个人信息的民法保护依据主要见于民法有关人格权、名誉权、隐私权以及侵权责任方面的规定。《民法通则》第100条关于公民肖像权的规定、第101条关于公民名誉权的规定以及第102条关于公民荣誉权的规定是民法上对宪法中公民基本人权的具体确认。《民法通则》明确规定了我国民法以保护名誉权的方式来保护我国公民的隐私权,这是隐私权在我国民法司法解释中的首次亮相。但是,《民法通则》作为我国民事基本法,始终没有对隐私权做出明确的规定。2009年12月通过的《侵权责任法》第2条明确了隐私权的具体人格权的法律属性,并规定除了具体人格权外的民事权益也受到保护。个人信息侵权在民事侵权方面有了法律依据。
(3)刑法方面的保护
刑法从惩罚犯罪的角度对侵害个人信息行为规定了严厉的刑事责任。与宪法、民法相比,我国刑法第四章的侵犯公民人身权利、民主权利罪中,设置了诽谤罪、侵害通信自由罪以及私自开拆、隐匿、毁弃邮件、电报罪等。另外,《刑法修正案(七)》中明确规定了“非法提供个人信息罪”,将严重侵犯个人信息行为入罪,是我国在个人信息保护方面的重大突破。
(4)消费者权益保护法
全新的《消费者权益保护法》中,中国公民的个人信息受保护权益正式被确认。即:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意;经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息”。此条款的制定针对现实中个人信息泄露、骚扰信息泛滥的情况,本条规定明确了经营者收集、使用消费者个人信息的原则。
新《消法》同时规定,“经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施”、“经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息”。这就规范了经营者对所收集个人信息的保密义务,并且限制了商业信息的发送,对于保护消费者权益具有积极意义。
同时,一旦出现了泄露了个人信息的情况,新《消法》第五十条规定,“经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失”。
此次新《消法》的修订,加大了对消费者个人信息的保护力度,建立了对个人信息保护的完整制度。以法律确定要求经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。
(5)《信息安全技术公共及商用服务信息系统个人信息保护指南》
这是我国首个个人信息保护国家标准。该标准最显著的特点是规定个人敏感信息在收集和利用之前,必须首先获得个人信息主体明确授权,并提出默许同意和明示同意的概念。该指南规定,对于个人一般信息的处理可以建立在默许同意的基础上,只要个人信息主体没有明确表示反对,便可收集和利用;对于个人敏感信息,则需要建立在明示同意的基础上,在收集和利用之前,必须首先获得个人信息主体明确的授权。该指南明确要求,处理个人信息应有特定、明确和合理的目的,并在个人信息主体知情的情况下获得个人信息主体的同意,在达成个人信息使用目的之后删除个人信息。这项标准还提出了处理个人信息时应当遵循的八项基本原则,即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。该指南的出台意味着我国个人信息保护工作正式进入“有标可依”阶段。
(6)其他法律法规的规定
《全国人大常委会关于加强网络信息保护的决定》侧重保护公民身份与隐私的电子信息,加强网络管理。
在程序法中,我国三大诉讼法都对个人隐私保护作出了规定。对特殊人群的隐私保护方面,如《妇女权益保护法》和《未成年人保护法》,对妇女、未成年人的名誉权、隐私权等进行特殊保护。对于特殊行业或者领域的隐私保护,有《执业医师法》、《监狱法》等作出了规定。一些单行法,如《行政许可法》、《居民身份证法》、《档案法》、《统计法》等,对公民隐私权的保护也作出了相应的规定。
综上所述,我国对消费者个人信息保护法律方面有以下特点:(1)就法律的适用范围而言,保护个人信息的法律条款数量较为有限、适用范围相对狭窄,没有专门的针对所有信息控制人均适用的统一的个人信息保护法;(2)就个人信息的法律保护手段而言,重“刑事处罚”和“行政管理”,轻“民事确权”与“民事归责”,导致个人信息遭受侵害后,即使侵权行为人最终遭致刑事处罚或行政处罚,但信息主体的财产及非财产损失却得不到任何实质性的补偿;(3)就法律的可操作性而言,大部分规定缺乏可操作性,许多条款仅仅规定了对个人信息的保密义务,而没有规定违背该义务的后果;(4)就法律的体系性而言,现有规定之间缺乏体系上的呼应,给人一种“杂乱无章”、“群龙无首”的感觉,不利于法律的适用;(5)就法律条款的具体内容而言,大部分条款通常仅对个人信息保护问题轻描淡写、一带而过,往往未能揭示个人信息保护的立法理由、个人信息保护的基本原则、信息主体的权利、个人信息收集、处理、利用及传递的规则、个人信息保护的执行机制及监督机制等个人信息保护法应当具备的重要内容。(6) 就保护个人信息的观念而言,我国法律对个人信息的直接保护是近几年来的新近发展,在较长时间内由于对个人信息保护的重要意义缺乏正确认识而仅对个人信息采取了有限的间接保护措施。
三、消费者个人信息保护方面的建议
由于我国目前对保护消费者个人信息还没有专门立法,为了更有效地保护消费者个人信息,我们提出如下建议。
(一)《江苏省消费者权益保护条例》(征求意见稿)增加损失赔偿条款
《江苏省消费者权益保护条例》征求意见稿已经发布,建议在《条例》的法律责任章节中增加对侵害消费者个人信息权益的经营者民事责任的追偿的条款。借鉴台湾地区《个人资料保护法》的立法经验,在法律责任章节增加:经营者侵害消费者个人信息保护权益的,如消费者所受损失可以厘清的,按实际损失赔偿。如果无法确定其个人信息受侵害损失的,设立最低赔偿金额500元或更高金额,以遏制经营者侵害消费者个人信息的行为。
(二)建立行政监督管理机构和制度
有效的个人信息保护行政监督制度是消费者个人信息权利的重要保障。由于个人信息保护和各种信息专门技术紧密相关,需要各信息处理主体达到相应的技术安全标准,因此建立独立的技术过硬的专门监督机构才能达到良好的监督效果。网络上有的信息发布几分钟就被删除或屏蔽了,这说明我们的网络监管能力和水平是不低的,希望把这个能力更多地用于保护公民个人信息和财产。
(三)督促企业履行消费者信息保护主体责任
目前消费者个人信息被泄漏日益严重,很大程度上也源于企业“第一责任人”的责任意识淡薄。要推动企业建立严格规范的客户信息管理机制,落实企业对消费者信息保护的法定义务,强制企业采取有效的制度和技术措施,从源头做好客户个人信息保护工作。
(四)充分发挥行业自律作用
目前我国个人信息保护工作处于初级阶段,在缺乏具有针对性和统一性的个人信息保护法的情况下,应该充分利用行业主管部门和行业组织的监管优势,制定行业客户信息管理规范,将对客户信息的保护纳入企业诚信管理,加强各行业企业的个人信息保护的自律性,以达到整个行业的企业个人信息保护水平的总体提高。
(五)加大宣传力度,增强消费者自我保护意识
借助各种媒体,宣传消费者个人信息泄露的危害,公布消费者个人信息权益受到侵害时的维权途径,教授消费者保护个人信息的方法和手段,增强消费者自我保护意识。