工业和信息化部电信研究院
丁道勤
近年来,随着互联网和信息技术的飞速发展和广泛应用,电话号码、邮箱、住址、照片、影像、账号密码、社会关系、财产状况等个人信息被不当收集、恶意泄露、随意篡改甚至非法出售的现象时有发生。中国社科院3月2日发布了《中国法治发展报告》,报告显示,目前社会上出现了大量兜售房主信息、股民信息、车主信息、患者信息的现象,并形成了一个新的产业,我国个人信息被滥用的问题日趋严重。
个人信息保护意识逐渐增强
由于金融、电信、交通、教育、医疗等相关行业涉及公民个人信息较多,这些行业内的企业或者机构超出其职权范围或业务目的随意收集个人信息的现象随处可见。随着用户个人和相关机构乃至社会各界的个人信息保护意识逐渐增强,现阶段个人信息安全问题引发了全社会的高度关注。
今年“3·15”央视晚会的主题是“3·15,有你更有力量”,在“3·15”央视晚会上,个人信息安全被重点关注。央视调查发现,山东移动部分分公司利用短信群发器和基站向用户发送垃圾短信牟利,并向合作伙伴出售山东及全国手机用户信息。应该说,中央电视台多年来持续报道信息服务行业侵犯个人信息的消息,例如,2006年下半年以来,以《新闻联播》为代表的栏目针对“垃圾短信”的有关情况进行连续报道,2008年针对分众无线滥发广告短信也进行了铺天盖地的报道。“3·15”央视晚会的报道进一步加剧了人们对电信运营商非法滥用个人信息、侵犯用户合法权益的担忧。
如何区分短信广告和“垃圾短信”?
要构筑个人信息的法律保护体系,必须首先明确个人信息的定义及保护范围。从法律层面上看,个人信息的保护主要表现在对隐私权的保护。隐私权是个人能保留独处而不受外界侵扰的权利,也即自然人就自己个人私事、个人信息等生活领域内的情事不为他人知悉,禁止他人干涉的权利。一般认为,个人信息,简言之就是一切可以识别本人的信息的总和。
何为“垃圾短信”?短信息广告业务的发送过程一般涉及到四个主体,一是发送短信的运营商(包括通过合法或非法途径获取手机号码的单位或个人,如被央视曝光的分众无线等)、提供短信息服务的电信运营商(如中国移动、中国联通)、短信的接收者(普通手机用户)以及短信推销需求方(即那些需要通过短信向用户提供推销信息的人)。在短信息广告业务中,由发送短信的运营商和电信运营商共同分享短信推销需求方所创造的利润。这是一个抛弃传统传媒(如电视台、网站和纸质报刊媒体)的巨大市场。
在个人信息法律保护体系缺失的情况下,短信息广告业务市场存在很多不规范的情形。尽管打击“垃圾短信”的呼声很高,但“垃圾短信”还是一个很模糊的概念,这也使得人们经常将短信广告业务和“垃圾短信”相混淆。目前,尚无法律文件对“垃圾短信”做出明确性定义,中国移动上海分公司这样定义“垃圾短信”:凡用户没有定制过的包含有欺骗、色情等内容并且是外地手机或小灵通发送的短信均为“垃圾短信”。中国移动上海分公司还将“垃圾短信”分为四类:第一类是骚扰型,多是一些无聊的恶作剧;第二类是欺诈性,多是想骗取用户钱财,如中奖信息;第三类是非法广告短信,如出售黑车、麻醉枪之类;第四类是SP违规群发,误导用户定制短信业务,发送号码多为SP接入代码。这个定义固然存在很多明显的缺点,如定义的内涵不明确、没有明确的法律依据、对短信广告要求过高等,但此界定也算是业界的一个有益尝试——试图将短信广告业务和“垃圾短信”区分开来。
电视台频繁高调地向短信广告开战有违媒体中立原则,传统媒体如电视台或纸质报刊媒体也有可能存在非法收集并滥用个人信息的情形,例如,任何一个家庭观看电视节目的具体内容、时间、频次等可以被数字电视运营商精确地记录下来,由此收集观众的喜好、活动规律、消费水平、教育程度等信息。但是,无论如何,金融、电信、交通、教育、医疗等行业的企业出售个人信息谋利的行为都是违法的,也违背了基本的商业道德。
亟需增强可操作性
自20世纪60年代,世界各国已普遍意识到民众私生活的重要性,纷纷制定个人信息保护法律,例如,欧盟不仅制定了具有普遍适用性的综合性个人信息保护的法令,同时又配套制定了适用于电子通信行业的个人数据保护法令,确立了个人数据保护的基本原则。
我国缺乏系统的个人信息保护法律,有关个人信息保护的法律法规比较零散。近年来,随着互联网的发展,我国也逐渐重视个人信息的保护,如最近通过的《刑法第修正案(七)》专门针对国家机关或金融、电信、交通、教育、医疗等涉及公民个人信息较多的相关行业或单位规定保护公民个人信息的法律责任,严打泄露或非法获取公民个人信息行为。但是《刑法第修正案(七)》中对公民个人信息保护的规定仍过于模糊,而且一般泄露行为如果不构成犯罪则无法用《刑法》来惩治,所以仅凭《刑法》仍很难从根本上防止个人信息的泄露。
我国应该在确立个人信息保护法律基本原则之下制定更为具体的具备可操作性的保护个人信息的法律法规,区分一般个人信息保护和特殊领域个人信息保护,分别进行立法。例如,明确规定个人信息的收集处理和利用的相关程序,在个人信息的获取和使用上要给予必要的限制:任何组织或机构不得以欺骗手段获取通信信息,只能为特定的和合法的目的,才能搜集或持有通信信息;组织或机构搜集通信信息时必须征得本人的同意,个人在通信信息被搜集前应被告知该搜集的方式、范围、地点及目的;个人有权选择是否愿意让自己的通信信息被他人利用及再利用,有权更改或删除已提供的个人信息数据;组织或机构获得某些未成年人的通信信息必须征得其监护人的同意;在没有经过本人同意的前提下,禁止以任何形式买卖或转让通信信息,禁止将通信信息用于与搜集目的无关的商业营销。金融、电信、交通、教育、医疗等企业不应以收集、转让个人信息资料作为其营业收入,也不应以提供免费信息服务作为任意使用用户个人信息的条件。
总之,个人信息被滥用的最根本原因在于企业商业道德的沦丧和整个社会公民意识的缺失。因此,在完善保护个人信息的相关法律法规的同时,需要提高整个社会的公民意识,唯有如此才能有效防止个人信息泄露和非法滥用。
