依法治国和消费者个人信息保护国际研讨会会议纪要
图:研讨会现场。
编者按 近年来,个人隐私遭泄露事件频发,个人信息保护已成为各方高度关注的焦点问题。7月22日,由中国国家工商总局、德国联邦司法和消费者保护部、巴西司法部共同主办的“依法治国和消费者个人信息保护国际研讨会”在京举办。会议针对世界以及我国消费者个人信息保护等问题开展讨论,特别是在互联网时代的背景下,如何保护消费者的个人信息等进行了交流。与会专家代表就我国消费者个人信息保护的法律制度、实践等问题进行探讨,为我国消费者个人信息保护建言献策。
■本报记者 田珍祥 整理/摄
完善执法体制
中国社科院法学所研究员 周汉华
1993年制定的《消费者权益保护法》并没有规定任何隐私或者个人信息保护方面的内容,但是进入21世纪以后,一些地方省市制定的消费者权益保护地方性法规普遍增加了对消费者个人信息加以保护的内容。
截至今年1月底,共有9部法律、5部行政法规、12件司法解释采用个人信息概念。2014年实施的新《消费者权益保护法》并未采取传统民法以姓名权、肖像权及隐私权为框架保护个人信息的方式,而是明确将个人信息得到保护的权利列为消费者的一项单独的基本权利,全面突出强调了消费者个人信息保护方面的内容,具体涉及第十四条和第二十九条等条款。
我国个人信息保护执法体制规定非常全面,构筑了从民事责任(赔偿、集团诉讼、公益诉讼)、行政责任(罚款、拘留)到刑事责任的完整责任链条,众多不同主体均可以成为执法主体。
目前来看,我国个人信息保护执法体制有3种:一是行政执法,它是一种权力分散型的执法体制;二是民事责任追究体制;三是刑事责任追究体制。
然而,在个人信息保护执法实践中还面临以下几个问题:一是民事执法成本高、收益低、胜诉难。目前以经营者侵犯消费者个人信息权为由提起的民事诉讼数量非常有限,而我国对于消费者隐私权(名誉权)保护的司法案例相对更为丰富。二是行政执法普遍面临取证难、定性难、调解难,执法权限分散,以及消费者的咨询、投诉数量少等问题。三是刑事执法存在个人信息犯罪被其他犯罪吸收以及“苍蝇易打、老虎难逮”等现象。
因此,总体而言,我国消费者个人信息保护制度与法律规定在实践中没有发挥太大作用,消费者个人信息基本处于不设防状态。上述严峻现实表明,必须加快制定专门的《个人信息保护法》,明确行为规范,确立更为有效的执法体制,具体内容包括:明确调整范围;设计统一行政执法体制;确立梯度立法原则;保障信息处理过程透明、主动保护;保证用户享有真正的选择权和知情权;通过技术手段,实现信息保护;发育行业自律与第三方认证等柔性机制等。
提出新立法要求
国家互联网信息办公室政策法规局副局长 李长喜
从立法实践和立法完善来说,我国针对个人信息保护上的立法概况是,超过200部法律、法规和规章涉及个人信息保护。
在个人信息收集方面,法律规定了一个基本原则:合法、正当、必要。收集使用规则是:未经用户同意,不得收集使用用户个人信息;明确告知用户收集、使用信息的目的、方式和范围,查询、更正信息的渠道以及拒绝提供信息的后果等事项;不得收集其提供服务所必需以外的用户个人信息或者将信息用于提供服务之外的目的;不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。用户终止使用服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、窜改或者毁损,不得出售或者非法向他人提供等。
在个人信息保护要求方面,《关于加强网络信息保护的决定》明确:信息收集者应当采取技术措施或者其他必要的保护措施;不得以窃取或者其他非法的方式获取公民个人电子信息;严格保密,不得泄漏、窜改、损毁;不得出售或者非法向他人提供公民个人电子信息。
《电信和互联网用户个人信息保护规定》也对电信业务经营者、互联网信息服务提供者应当采取的措施防止用户个人信息泄露、毁损、窜改或者丢失做出了规定。
在法律责任方面,《消费者权益保护法》规定,经营者侵害消费者人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的,除承担相应的民事责任外,其他有关法律、法规对处罚机关和处罚方式有规定的,依照法律、法规的规定执行。《电信和互联网用户个人信息保护规定》则设定了警告、罚款等处罚措施。
个人信息价值挖掘加剧了滥用行为,也同样加剧了保护需求,这就对立法提出了新的要求。立法架构上,还需要出台构建个人信息保护的基础性法律制度以及行政法规、部门规章,明确个人信息保护的制度和要求。
加强行政执法力度
国家工商总局消费者权益保护局局长 杨红灿
我国一直重视个人信息保护包括消费者个人信息保护工作,从立法、司法、行政执法、社会监督等各个方面,都加大了工作力度,包括建立和完善消费者个人信息保护的法律法规体系,积极创新消费维权体制机制,切实保护消费者的合法权益。
消费者个人信息保护执法方面涉及多个部门,如公安部、工信部、国家互联网办公室、中国人民银行、银监会、证监会、保监会、国家旅游局等与消费者密切相关的部门,都有监管的职责,需要进一步加强协作配合。
目前国家工商总局是负责市场监管和行政执法的直属机构,是负责消费者权益保护工作的主要部门之一,同样也负有消费者个人信息保护的相关职责。在消费者个人信息保护方面需要做好多方面工作:
一是加强立法立规工作。目前已经出台了《侵害消费者权益行为处罚办法》,具体细化了《消法》关于消费者个人信息保护的规定,明确了消费者个人信息的定义,明确了工商部门对侵害消费者个人信息的行为进行行政处罚。此外,还出台了《网络交易管理办法》对网络交易中涉及的消费者个人信息保护做出了明确的规定。
二是加强行政执法。各级工商和市场监管部门将依据法律法规、部门规章,加大对侵害消费者个人信息行为的查处工作,同时充分发挥12315的作用,及时受理和处理消费者的投诉,认真梳理案件线索,对侵害消费者个人信息的违法行为,及时进行立案查处。目前,浙江、江苏、上海等多地工商部门都依法查处了侵害消费者个人信息的违法案件。但是由于新《消法》颁布实施的时间较短等因素,查处侵害消费者个人信息的行政执法的力度有待进一步加强。
三是加强消费教育引导。一方面加大对经营者的教育工作,约谈经营者使其能诚信经营,合法收集和使用消费者的个人信息,并加强对收集消费者个人信息的技术保护措施,确保不泄露。在发生或者可能发生泄露的情况下,立即采取措施;另一方面是加大对消费者的宣传教育引导,通过案例警示等多种途径,宣传消费者个人信息保护的重要性,提高消费者的自我保护意识和能力。
明确责任强化自律
中国消费者协会秘书长 常宇
互联网大背景之下,保护消费者个人信息已经成为焦点问题。中国消费者协会从多个方面保护消费者的个人信息:推动立法层面,如新《消法》第二十九条明确提出保护消费者个人信息;发布消费警示提示及研究报告,如今年3月13日发布了《2014年度消费者个人信息网络安全报告》;受理相关投诉;举办论坛及研讨会等。
消费者个人信息在互联网环境下易被侵害的原因主要包括:网络信息传播速度快、范围广,消费者个人信息轻易获取;网络环境下个人信息收集手段日益隐蔽;网络搜索功能日益强大,消费者个人信息更加容易被整合;获取交易信息渠道方便;网络服务商对于收集与存储的海量消费者个人信息数据,在保护方面缺乏足够投入。
消费者在个人信息保护面临防范难、举证难、索赔难等诸多困难,需要动员社会各方力量,尽快从制度建设、法律措施、企业责任、消费者自我防范等多方面筑牢保护的藩篱。
针对保障消费者个人信息网络安全问题,有以下几点对策及建议:
一是明确网络服务商对保障消费者个人信息网络安全的企业责任。网络服务商使用消费者个人信息应坚持的基本原则包括:目的明确原则、最少够用原则、公开告知原则、个人同意原则、质量保证原则、安全保障原则、诚信履行原则、责任明确原则。企业应全面建立完善有效的消费者个人信息收集、保护机制,从技术层面提高针对消费者个人信息保护方面的创新及保障能力和水平。
二是明确互联网企业应承担的社会责任,强化保护消费者个人信息的行业自律水平。比如制定相关标准推动企业自律,完善行业制度;强化行业法律意识与伦理准则。
三是制定统一的《个人信息保护法》,并在此基础上形成公法与私法、实体法与程序法协调运行的公民个人信息保护的完整法律规范体系。
四是设立专门的个人信息保护行政机构,建立与其他部门之间的协调机制,清晰的权力划分,明确的监管责任,做好对消费者个人信息的行政保护。
五是提高消费者个人信息自我保护意识与素质。
扭转维权难局面
中国人民大学法学院教授 张新宝
从立法角度看,虽然我国多部法律法规,尤其是新《消法》明确为消费者个人信息提供法律保护,但实践中我国消费者个人信息保护现状并不乐观,维权难和处罚少是消费者个人信息泄露和滥用泛滥的重要原因之一。
其一,消费者举证责任过重。在诉讼中,不论是合同之诉还是侵权之诉,消费者都必须举证证明经营者存在相应的违法事实,这实际上是要求消费者证明其个人信息泄露或滥用的事实与经营者的行为之间存在因果关系。实践中,消费者往往很难完成此项举证责任。
新《消法》实施后,实践中曾有消费者在购买机票后收到包含具体航班信息的诈骗短信而起诉航空公司泄露其个人信息的案件。在该案中,法院即以“被告不是掌握原告个人信息的唯一介体,原告未能提供证据证明系被告导致其个人信息泄露”为由,驳回原告诉讼请求。
其二,消费者公益诉讼难度大。近年来,我国曝光了多起大规模消费者个人信息遭泄露事件,如如家等酒店开房记录泄露、12306用户信息泄露以及圆通倒卖快递单号等事件中,所涉及的消费者个人信息都是数以万计,此类事件的共同特点是受害消费者人数众多且分散,而具体到每个受害人,其所受影响甚微,这使得单个消费者往往只好放任其权利受侵害而无所作为。我国《消法》中“消费者保护组织”的范畴中涵盖了“其他消费者组织”,建议在关键的消费者公益诉讼起诉资格设定上,可以根据实践情况,综合考虑章程宗旨、资金、专业人员、社会信誉等多方面合理设定条件,拓展消费者公益起诉主体范围。
其三,经营者处罚尚需落实。我国目前多个行政部门的职能对个人信息保护的监督与管理都有所涉及,这就使得在具体个人信息安全事件出现时,可能出现多部门互相推诿的情形发生。在未来消费者个人信息行政保护的实践中,国家工商总局应当会同工信部、公安部等部门进一步明确个人信息保护行政调查与处罚的分工与协作,以落实行政处罚力度与实效,提升消费者个人信息保护水平。