亟须制定统一的个人信息保护法
王悦群
信息安全是国家安全的重要组成部分,随着网络技术的快速发展和大数据的广泛应用,互联网信息数据以几何速度增长和积累,个人信息保护的新型问题引起了社会的广泛关注。
加强立法,出台个人信息保护法
当前,我国多部法律法规及规章均涉及到对个人信息的保护。民法总则第111条从禁止侵害的角度出发保护个人信息,但对管理社会群体行为无法约束;网络安全法对网络信息的收集和保管进行规制,但对个人信息保护作用有限;刑法仅仅规定了信息犯罪与惩罚的规则,但这种犯罪仍然没有得到有效的遏制。从目前的立法状况看,我国需要出台个人信息保护法,从源头保护入手,建立科学的信息保护体系。制定统一的个人信息保护法是我国个人信息保护和社会经济发展的现实需求,有利于从国家层面确立基本制度,明确公民个人对其信息享有的基本权利,企业收集和使用个人信息的基本规范,并对数据跨境流动规则等基本问题作出回应;同时,也有利于促进我国互联网产业做大做强。制定个人信息保护法不仅能加强我国公民个人权利的保护,更能为我国互联网企业开拓海外市场提供良好的信誉保证。
建立健全社会管理制度,提高政府治理水平。中国已经进入信息社会,政府需要履行法定职责,收集和掌握公民的大量个人信息,各个职能部门都在不断地建立有关公民户籍、不动产、车辆、医疗等大型计算机数据库。政府应采取保护公民个人信息的相应措施,增加保障个人信息安全技术的资金投入,加快信息安全技术研发,及时修复和更新传统的漏洞缺陷,实时监控数据安全,加大预防力度,改进安全系统,防止黑客入侵。同时,应当实施引入企业和人才激励政策,鼓励开发高安全性的新产品和新技术,提高个人信息保护的能力,维护社会稳定和国家安全。
加强行业自律,完善互联网行业自律机制
在统一的个人信息保护立法的基础上,加强移动互联网行业和相关从业人员的自律,是保护个人信息的重要措施。首先,行业组织应充分发挥自身的积极作用,制定细化和完善的行业标准和争议解决机制,明确惩罚和激励规则,提高个人信息保护的可操作性,赋予行业自律机制一定的法律效力。其次,成立专门的个人信息保护行业组织,承担起向全行业宣传保护个人信息重要性的责任。同时加强和媒体的合作,发动媒体、大众一同监督行业自身是否对用户的个人信息进行了严格保护,对于已经造成或可能造成的侵权问题及时处理,提升行业公信力。
加强个人信息技术保护屏障,培养企业员工职业素养
移动互联网企业应加强技术创新,通过技术手段保障用户的个人信息安全:在个人信息加工上,要进行脱敏处理,避免用户的个人信息被第三方识别、定位;在个人信息保存上,要注意内部隔离,避免存储载体丢失导致用户个人信息意外泄漏;在个人信息共享上,应当引入第三方专业评估,分析个人信息在商业价值和侵权可能性之间的风险,建立应急处理机制,从制度上保证用户个人信息不被侵害。此外,移动互联网企业还应加强培养自身员工的职业素养,避免出现员工恶意盗取或无意泄露用户个人信息等情况。
加强宣传,提高公民个人信息保护意识
相对于法律规制与行业自律对公民个人信息的被动保护,主动的安全意识能够帮助互联网用户避免个人信息被侵害事件的发生。公民应建立起自我控制、自我选择和自我防卫的综合体系,主动加强个人信息控制,提升自身的网络安全素养,减少在社交平台上的真实信息披露等;主动了解网站经营方的个人信息保护条款政策,明晰其信息收集的方式范围、使用用途和使用时间、个人信息泄露的补救赔偿措施等情况,在此基础上作出自主选择;采取措施主动保护个人信息,如通过安装安全软件保障设备数据安全,通过媒体手段曝光隐私侵权现象,通过法律手段保护其合法权益等。
(王悦群 作者为全国政协委员、天津市人民检察院副检察长)