< 上一版     下一版 > PDF版

在校生“被入职”彰显信息安全隐患

作者:□特约撰稿 李洁 郑曦   时间:2018-09-27   字体【

  在校大学生“被入职”事件的本质是个人信息泄露。随着大数据时代的到来,有效维护公民个人信息权刻不容缓。目前,我国尚未形成完整的法律体系,缺乏保护个人信息的专门性法律法规,建议尽快制定专门法律、设立专门机构等。

 

建议完善个人信息保护立法及执法机制

 

 

 

  据《中国青年报》报道,常州大学怀德学院一学生近日在网上税务局发现自己任职于“江苏宏鑫保险代理有限公司”,且每月有工资记录,而其本人并未就职于此。此后,陆续有学生发现自己“被入职”。据调查,该公司冒用学校学生信息,虚报员工身份及工资记录,开具虚假工资,偷逃税款。截至媒体发稿,已有2600多名学生“被入职”,涉事企业至少有7家。

  此事件的本质在于个人信息泄露。随着大数据时代的到来,个人信息的经济价值被挖掘出来,特别是在商业活动中,个人信息的价值巨大,可以为企业的发展和管理提供数据支持,这也引发了部分机构对个人信息的非法使用。

   

加强个人信息保护刻不容缓

 

  因此,加强个人信息保护,规范收集、共享、使用个人信息的行为,有效维护公民个人信息权刻不容缓。一方面,保护个人信息是保障公民生命权、财产权的必要条件。根据媒体报道来看,个人信息泄露已经形成了从收集到出售的完整黑色商业链条,一些不法分子通过非法途径提供、利用个人信息。由此产生的下游犯罪纷繁复杂,极大地损害了公民的基本权利。另一方面,个人信息保护已成为国际社会的共同追求。从亚洲太平洋经济合作组织(英文缩写APEC)的《跨境隐私保护规则》,到欧盟的《通用数据保护条例》,以及美国的《澄清境外数据的合法使用法案》,无不体现出个人信息保护已经成为国际交往之间的重要议题,个人信息保护水平很可能成为新的贸易壁垒。因此加强对个人信息的保护有助于树立良好的国际形象,适应新的国际形势。

  国外对个人信息保护的研究已经日趋成熟。例如,1974年的美国《隐私法案》规定:“各联邦机构对于所建档存储的大量个人信息,只能在符合特定条件下,或已取得隐私当事人的书面同意时,才能揭露这些档案。若是机关工作人员非基于工作或职务需要以任何方式向无权接触信息的第三人泄露个人信息,它将违反刑法,对其定罪并处以5000美元以下的罚金。”2018525日,欧盟“史上最严”的个人信息保护法《通用数据保护条例》在欧盟全体成员国正式生效。此条例旨在加强对公民信息权利的保护,不仅扩展了“个人数据”的定义,将身体健康状况、政治观点等包括在内,还专门设立了欧洲数据保护委员会作为欧盟的独立监管机构,对成员国个人数据保护署的执法工作提出指导方针和建议,确保其在成员国境内的有效实施。

  我国法律同样重视保护个人信息权利。《中华人民共和国民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”201761日正式实施的《中华人民共和国网络安全法》也强调对个人信息的保护。

  

应完善个人信息保护机制

 

  尽管我国民法总则、网络安全法等法律中相关条文对个人信息的保护进行了规定,但这些法律较为分散,没有形成完整的法律体系,缺乏保护个人信息的专门性法律法规。笔者认为,立法的分散不利于现实操作中的管理和实施,会导致执行不力,各方难以确定自己的权利和义务范围。同时,缺乏统一的执行机构进行管理和监督。没有统一的执行机构会导致各部门之间交叉监管,部门职能不清晰,无法形成统一标准的常态化管理。我国应该以欧美先进经验为参考,完善个人信息保护的法律体系。

  首先,应尽快制定一部个人信息保护法。出台“个人信息保护法”,可以明确规定合理收集和使用个人信息的行为。在“个人信息”的定义方面,可以参考《通用数据保护条例》中“个人数据”的范围,作扩大解释,以适应不断发展的社会需求。对超出法律界限的行为进行重罚,增加危害个人信息安全的犯罪成本,充分发挥政府的监管作用。在个人信息的收集主体方面,将包括国家公权力在内的所有主体均纳入调整范围,任何侵犯个人权利的主体都要受到法律制裁,防止公民因政府信息公开或政府网站安全问题被泄露信息,而难以得到有效救济。

  其次,建立个人信息保护执法机构。目前,由工信部网络安全管理局和信息通信管理局负责相关信息管理职能,二者在职能分工上有所交叉,不够清晰,容易产生推诿或职责纠纷。可参照《通用数据保护条例》,建立专门的个人信息保护执法机构,避免多个机构重复执行,损害当事人权益,降低执法效率。同时,为机构提供强有力的技术和人才支持,利用最新信息技术追踪个人信息泄露源,准确打击泄露和出售公民个人信息的非法活动,有效防止个人信息的进一步传播;培养高素质的人才,规范执法行为,严格执法,切实维护和保护当事人的合法权益。

  最后,在个人信息保护法尚未出台的情况下,利用好现行法律进行追责。目前我国行政法、民法、刑法中都对个人信息权利作出了相关规定。应充分利用好行政法的事前预防功能,将信息利用行为限定在法律允许范围内。在公民权利受到侵犯而情节较轻,不构成犯罪时,追究责任人的民事责任,可责令其作出民事赔偿。在公民的人身权、财产权受到严重威胁或损害时,可考虑让刑法介入,对相关犯罪分子,按“侵犯公民个人信息罪”处理,量刑最高可达7年。对于相关责任人员,情节严重的,可按玩忽职守罪处理。对不同信息、不同行为合理采取不同的保护力度,尊重刑法的后置性,力求达到最大的社会效益。

  (作者分别系北京外国语大学法学院研究生,北京外国语大学法学院副教授)

< 上一篇     下一篇 >
Copyright © 2014-2021 民主与法制网电子报、杂志 www.mzyfz.com 版权所有.
京ICP备12043066号    Powered by mzyfz.com