案 由:关于完善立法,加强公民个人信息保护的提案
审查意见:建议国务院交由主办单位全国人大常委会法工委会同工业和信息化部办理
提 案 人:致公党中央
主 题 词:网络安全,立法
提案形式:党派提案
内 容:
目前,我国个人信息泄露情况较为严重。2012年5月,中国电子信息产业发展研究院、中国软件评测中心联合发布了《公众个人信息保护意识调研报告》,报告显示,超过60%的被访者遇到过个人信息被盗用的情况。在一定程度上导致了电信诈骗、敲诈勒索、绑架和非法讨债等犯罪屡打不绝,甚至有些已经出现了向黑社会性质组织转化的趋势,严重危害了社会秩序。
2012年12月28日,全国人大常委会发布《关于加强网络信息保护的决定》(以下简称《决定》),对于保护网络信息安全,保障公民、法人和其他组织的合法权益,维护国家安全和社会公共利益起到了积极作用。但这一《决定》也不可避免的存在着一些不足,如立法级别较低,属于全国人大常委会发布的决定,没有以“……法”的形式来命名,在效力层级上偏低;涉及领域还较单一,主要针对电子信息的保护;条文较为简单,只有十二个条文,内容上还很不完善;配套制度尚不健全等。为进一步完善相关法律,保证其有效实施,全面实现对公民个人信息保护,推动法治国家、诚信社会的建设,特提出以下建议:
一、扩大公民个人信息法律保护的范围
从名称和内容来看,《决定》主要规范的是网络信息的保护,虽然把握到了当前个人信息保护的焦点问题,但不容忽视的是公民个人信息泄露渠道较为广泛,现有《决定》的保障范围还是偏于狭窄。在我国,手机号码等注册需要实名,网站注册及购物都需要填写详细个人信息,购买车票需要实名制,这些都成为可能泄露个人信息的源头;而银行、保险公司、各类中介、教育机构乃至政府部门和医院也都有可能是泄露个人信息的源头。2012年2月份,公安部对北京、河北、山西等20个重点省市开展的针对依赖公民个人信息的下游犯罪的专项行动中,挖出非法出售公民个人信息的“源头”44个,这44个信息源头中,涉及电信、工商、银行、司法、公安、民政等多个领域,既有公务员,也有公司职员,既有正式干部,也有临时雇用人员。
二、完善内容,强化程序规定
《决定》只有十二个条文,内容上还需完善。如第二条要求“明示收集、使用信息的目的、方式和范围,并经被收集者同意”,那么,明示、征得同意是该书面进行还是口头也可以?是需要专门通知还是只要列明在合同、声明、服务条款之中即算履行义务?具体如何操作不明确。再如第八条规定,受害公民“有权要求网络服务提供者删除有关信息……”等,但对于其操作细节同样缺乏规定,如这一要求应以什么方式提出?网络服务者是否有权验证其个人身份和信息以及如何验证?对这一要求网络服务者应根据什么标准来验证并确认?对审查确认的应在多长时间内删除?这些都没有规定。在程序上的缺失可能会导致在操作中有多种选择,而不同选择所带来的警示作用、所起的效果以及对责任人的约束都是不同的,影响法律文件的实施效果。
三、明确执法主体,健全责任机制
1、明确执法责任主体。《决定》中在提到执法主体时,基本都以“有关部门”(如第十条)、“有关主管部门”(如第九条)等来指称,这样会造成职责不明,执法机关相互推诿扯皮,而受害人或举报人等不知向哪里举报、控告等弊端。可考虑加以完善,直接确定执法机关,至少应点明相关机构的性质,如公安机关网监部门、互联网监管机构等,明确执法主体和责任主体。可考虑在《决定》总则部分做出明确规定,具体可参考国务院近期颁布的《征信业管理条例》中总则第四条的做法。
2、完善执法程序。在《决定》第九条规定,有关部门接到举报、控告后“应当依法及时处理”,但具体该如何处理,办理哪些手续、开具何种公文、在多长时间内办理、如何向举报和控告人反馈等都没有规定,有必要尽快加以完善。
3、细化处罚措施,防止行政权力滥用。《决定》第十一条对违反决定的行为笼统做了责任规定,列举了从警告、罚款、没收违法所得,到吊销许可证、取消备案、关闭网站、禁止继续从业等一系列的处罚措施,然而对每一种措施具体对应的违法行为及其违法程度却没有规定,从立法技术的角度来看属授权范围过大,缺乏层次,有可能会引起实践中执法标准不统一、滥用职权等问题。
四、尽快制定统一的《个人信息保护法》
现有的规定及新发布的《决定》虽然对个人信息保护都起到了积极作用,但存在规定较为分散、内容涵盖面不足、立法效力不高等问题。有必要制定统一、系统的《个人信息保护法》,从立法宗旨、基本概念、信息资源主管部门、基本原则、适用范围;个人信息收集主体、收集范围、收集程序、部门或组织告知义务、个人信息的储存与使用、更改程序、共享程序、行业自律机制;损害赔偿、法律责任(民事、行政、刑事)、附则等方面做出明确规定,整合现有分散、零碎的保护规范,统一规制个人信息收集、保存和利用行为,有效保护公民个人信息,保障公民权益,推动信息社会的持续健康发展。
来源:中国政协网
