個人信息買賣亂象的有效治理

摘要：個人信息的經濟價值日益凸顯，在信息處理成本愈來愈低的情況下，個人信息被非法買賣以牟取暴利已嚴重危害了到個人權利和社會安全。本文從個人信息買賣泛濫背后深層原因進行分析，進而提出個人信息保護的有效治理措施。

關鍵詞：個人信息買賣 原因 有效治理

很多人可能都有此經歷，剛在某網站購買商品后，各種產品促銷廣告、地產中介、金融私募等諸如此類的電話、短信蜂擁而至。人們不明白為什么別人擁有自已如此詳細的個人信息資料，不禁要問：“誰動了我的個人信息？”個人信息泄露并非一個很新鮮的話題，但因為沒有引起各方面的重視，近幾年個人信息買賣愈加頻繁，呈現多樣性，從而引發了個人信息安全危機。因此，高度重視和積極應對個人信息買賣顯得尤為緊迫和必要。

一、我國個人信息買賣亂象背后的原因

（一）立法不足

早在2003年，國務院信息辦就委托中國社科院法學所承擔《個人數據保護法》的研究課題，并草擬一份專家建議稿。2005年，近8萬字的《中華人民共和國個人信息保護法（專家建議稿）及立法研究報告》完成。但時至今日，這部法律仍未出臺。

目前，只有我國最新修正或出臺的憲法、民法通則、合同法、居民身份證法、檔案法、民事訴訟法、刑事訴訟法、行政訴訟法、商業銀行法、互聯網電子郵件服務管理辦法、個人信用信息基礎數據庫金融機構用戶管理辦法、短信息服務規范等法律法規的相關條款中才有不同程度地涉及個人信息保護的立法問題。[1]然而，上述法律法規并不能對個人信息提供有效的保護，主要存在以下問題：第一，法律性文件過于原則。第二，現行法律保護的范圍過于狹窄。第三，可操作性差。第四，沒有救濟機制和補償機制。

（二）政府監管責任的缺失

政府既是信息的制造者，也是信息的傳播者和接受者，同時具備信源、信道、信宿的角色。而在個人信息保護實踐當中，現行政府沒有徹實履行其監管職責，表現在：其一，缺少一個專門的個人資料保護機構。沒有權威的保護機構，就沒有執法機構，也沒有相應的職責主體。其二，沒有重視個人信息被嚴重侵害的意識。我國政府出于安全的考慮控制全國大部分的信息資源，但對于個人信息在商業中被濫用沒有給予足夠的認識及重視。其三，執法力度弱。執法機構很少作出對信息處理者泄露、濫用個人信息資料作出懲戒，即使有，程度也輕。

（三）個人信息保護的意識淡泊

我國關于隱私權保護的文化基礎薄弱，人們習慣于坦誠相見的美德，并以遮遮掩掩為羞恥。加上封建王權與傳統文化相結合極力抹殺個人意識，致使公民的隱私權意識淡泊。另外，我國進入到信息時代較晚，關于個人信息的巨大的管理與商業價值還不為人們所意識，個人信息大多被無意識的泄露出去。

（四）事后救濟渠道不順暢

從理論上講，個人信息遭受侵害的個人可以通過訴訟等途徑主張個人權利，包括請求停止侵害、恢復原狀、履行義務、賠償損失等。但很多情況下，公民很難知道自已的個人信息被誰濫用、如何濫用的。不僅如此，個人面對擁有雄厚實力的機構，在尋求救濟的時候，既沒有充足的財力，又缺乏足夠的專業知識。因此很多人在訴訟中遇到困難或根本不愿進行投訴。

二、個人信息保護的有效治理

（一）統一立法是最權威最保障的方法

加強個人信息保護，最關鍵的是確立個人信息保護的基本法律制度。必須盡快制定一部統一的《個人信息保護法》，其中明確規定的內容包括：個人信息的界定、適用范圍、保護原則；個人信息搜集數據的法律依據、法定程序與范圍、搜集目的及告知義務等；信息主體享有的權利；信息披露及使用的目的、范圍和程序、相關主體的法律責任及救濟方式等。

（二）加強政府監管責任，建立行政監管制度

從信息化的長期發展和國外的經驗考慮，最好是設立一個獨立的信息保護機構，全面負責信息資源管理與監督方面的工作。這也有利于建立個人信息執法全球機制，與國外個人信息執行機構的協調以及對企業全球守法規制的調控，都找到了主要的連結點。資料保護機構要求賦予廣泛的職權，如審計、調查、制裁、監督和執行權。[2] 建立行政監管制度，其一是登記制度，指個人信息處理機構在處理個人信息之前，須向主管機構通報包括信息外理者、信息主體、信息接收者等情況及安全措施。政府機關將用戶的信息安全作為開辦網絡信息服務業的許可條件之一，通過市場準入的門檻，將不夠保證用戶信息安全的經營主體拒之門外。其二是監督制度，執法機構有權主動或者按照信息主體的投訴對各種信息處理行為進行監督檢查，可以進入信息處理者辦公場所進行檢查，可以命令信息處理者采取停止處理、刪除、修改等措施以保護公民個人信息[3]。專門機構還應加大執法力度，針對目前泛濫的個人信息買賣進行查處，追究其法律責任與行政責任。

（三）政府加強指導與鼓勵，完善行業自律

政府要加強行政指導，正確引導各行各業，尤其是大量涉及個人信息的行業完善行業自律。完善行業自律還要注意幾點問題：第一，行業自律組織要分布合理化。第二，理順自律組織與政府的關系。政府要給予自律組織充分的自主權，但又要加強監督與考核評價。第三，推行個人信息保護認證計劃。可以借鑒美國商務網絡財團和電子前線基金會共同發起的非營利網絡隱私認證機構TRUSTe、美國子公司BBBonline實行的網絡隱私認證計劃。要求張貼隱私認證標示的網站，必須遵守網上在線收集、利用個人信息的行為規則，并接受某種形式的監督管理。[4]

（四）加強宣傳教育，提高公民個人信息保護意識

政府與企業組織進行組織內部的基本宣傳、業務宣傳及面向外部的社會宣傳。基本宣傳和業務宣傳包括個人信息保護的相關法規、處理方法、安全措施等。社會宣傳，可以通過宣傳資料及各種網絡媒介（網站、博客等），或培訓教育，向公眾宣傳相關法規、個人信息主體權益、信息管理者的義務及保護措施。公民本人也應提高警惕，謹慎控制個人信息，只有在確認所提供信息能得到保護的前提下，才決定是否提供有關信息。

（五）建立事后救濟制度

為處理個人信息保護的糾紛，有必要設定相應的救濟機制。許多國家和地區基本上都針對個人信息保護中有關糾紛的特殊性而設計了相應的制度。在歐洲，合法權益因他人的個人信息處理活動受到侵害的當事人可以通過司法途徑尋求救濟。法諺：“沒有救濟就沒有權利”。

參考文獻：

[1]翟峰.個人信息保護亟待法律補缺[J].秘書，2009（8）：4

[2]孔令杰.個人資料隱私的法律保護[M].湖北：武漢大學出版社，2009.248

[3]呂艷濱.信息法治：政府治理新視角[M].北京：社會科學文獻出版社，2009.245

[4]郎慶斌，孫毅，楊莉. 個人信息保護概論[M].北京：人民出版社，2008.79