全国人大代表、中国移动广东公司总经理钟天华指出，2013年下半年，74.1%的国内网民遇到过信息安全问题，因信息安全事件而造成的个人经济损失达196.3亿元

　　法治周末见习记者 仇飞

　　3月11日，是北京某高校法学院2014年博士考生提交报考材料的日子。

　　提交材料后，李明(化名)一边下楼，一边寻思着制定临考前的复习计划。一阵短信铃声打断了李明的思路，李明拿出手机瞟了一眼后立即将这条短信删除了。

　　记者询问李明后得知，短信的内容是倒卖博士考试答案的。李明已经不止一次收到同类短信：“自从去年报名后，隔几天就能收到这种垃圾短信，我都删了。”

　　李明很无奈，不知道发信者是如何弄到自己的报考信息的。但李明的遭遇并非个例，他身边的朋友几乎“人人中枪”。

　　“房屋装潢短信、汇款诈骗短信、保险推销电话、理财产品推销电话、莫名其妙的垃圾邮件……这些骚扰信息还总是在你有需求的时候接踵而至。”李明向法治周末记者列举着自己听说过的“骚扰内容”。

　　李明及其朋友遇到的这种信息泄露现象，已经是信息化社会的顽疾之一，也是近几年两会的常热话题。今年两会上，很多代表、委员呼吁尽快出台个人信息保护法，整治个人信息滥用乱象。

　　“谁动了我的信息”

　　今年年初，上海浦东法院受理了国内首例个人信息泄露维权案。

　　据相关媒体报道，去年10月，一份名为“2000万开房数据”的资料在网络上流传。两位在上海从事信息安全工作的白领王金龙和张威很轻易就下载到了该数据库，由于工作原因，两人经常到外地出差，当他们查找自己的信息时，发现包括姓名、身份证号、性别、出生年月日、手机号及注册邮箱在内的详细个人信息都一览无余。

　　“谁动了我的信息？”两人决定查找侵权者，但让他们担心的是法律在信息安全保护上的不足以及个人维权的无奈。

　　最终，王金龙和张威委托上海市律师协会电子商务与网络法律委员会主任商建刚和同事黄海东律师，起诉导致自己个人信息泄露的浙江慧达驿站公司和自己入住的汉庭酒店。

　　通过分析，王金龙完成了《上海市民信息泄露情况分析报告》，该报告显示，在2000万个人信息中，经过过滤，去除一些无效或重复的信息，可以得到约1800余万条个人准确的身份信息，涉及上海户籍人口为86万多人。按上海市户籍人口1400万计算，有86万上海人信息泄露，相当于每17个上海人中，有一人的身份信息被泄露。

　　全国人大代表、中国移动通信集团浙江有限公司董事长郑杰在接受记者采访时谈到，调研显示，超过60%的被访者遭遇过个人信息被盗用，这一数字还在持续增长。

　　全国人大代表、中国移动广东公司总经理钟天华指出，2013年下半年，74.1%的国内网民遇到过信息安全问题，因信息安全事件而造成的个人经济损失达196.3亿元。

　　中国互联网信息中心去年12月发布的《2013年中国网民信息安全状况研究报告》也显示，整体上我国信息安全环境不容乐观，有74.1%的网民在此前半年内遇到过安全事件，总人数达4.38亿。

　　“信息泄露、个人信息被滥用、网络信息安全环境不容乐观”，这些充满负面成分的词语基本描述了公民个人信息的现状，是谁动了公民的个人信息？

　　2012年中国社科院发布的《法治蓝皮书》显示，个人信息被泄露的渠道很多：电信运营商、银行、中介机构、房地产开发商、保险公司、航空公司、互联网公司以及各类零售商等各种企业、机构出于经营需要，逐渐形成并积累了各自的用户或者消费者信息数据库，其中涉及用户的大量个人基本信息。

　　2012年《法治蓝皮书》将我国个人信息泄露情况大致归纳为三大类：过度收集个人信息、擅自披露个人信息和擅自提供个人信息。

　　郑杰分析认为，当前消费者个人信息被滥用主要表现为四类情形：一是经营者对经营活动中收集的消费者个人信息存在诸多管理漏洞，如中国人寿80万份保单数据泄露等；二是经营者将经营活动中掌握的个人信息进行买卖获取非法利益，形成个人信息买卖的地下产业，包括房主、股民、商务人士、车主、电信用户信息等；三是经营者过度收集个人信息，并对采集到的个人数据未经许可进行二次开发利用，为细分市场、制定营销战略提供依据，进而对重点人群定向强制推销；四是经营者擅自公开、传播敏感性个人信息。

　　全国政协委员、联想集团董事长兼CEO杨元庆则指出，个人信息安全保护意识不强也是导致信息泄露的原因之一。比如每个智能手机上装有大量应用，当用户安装应用或者是升级应用时都会被问一大堆问题，而用户大多都没有认真读这些要求，但实际上这些要求很多是要你授权它获取你的信息，有些可能是它需要的，而有些是超出它需要的范畴的。

　　信息泄露 维权艰难

　　王金龙和张威的诉讼维权之路尚无结果。

　　代理律师商建刚谈到，消费者入住酒店，与酒店形成合同关系。合同法规定了合同双方之间有保密义务。酒店没有妥善保管消费者信息，致使泄露，应承担违约责任。同时，侵权责任法中也规定，一方未尽到安全保障义务，对他人造成损害的，应当承担侵权责任。

　　商建刚认为，浙江慧达驿站公司为酒店提供技术系统服务，因此该公司对消费者信息有安全保障义务，如泄露也要承担侵权责任。

　　但相关法律人士指出，公民对个人信息的保密越来越被动，一旦因身份信息泄露而造成人身或财产损失，想维权都找不出具体明确的侵权人。我国民事诉讼实行的是“谁主张，谁举证”，即便是个人揣测到是哪家机构或哪个部门泄露的信息，个人举证也很难做到。

　　上述法律人士认为，侵犯个人隐私权应承担的责任多为停止侵害、消除影响，而获得精神损害赔偿的难度非常大。这样一来，由于受害者诉讼成本过高，也缺少法律援助，所以就算赢了官司，也很难得到适当赔偿。

　　当记者向李明询问遇到网站泄露个人信息怎么办时，李明告诉记者：“我会要求相关网站删除自己的信息，查询谁是泄露者，或者向有关部门举报。除非情况特别严重，我不会选择诉讼，因为诉讼成本太高了。”

　　2012年4月新华网披露的工信部科学技术情报研究所的调查结果显示，只有一成网友在个人信息遭泄后会选择诉讼，首要原因是“调查取证困难”。

　　上述法律人士告诉记者，个人信息保护不够，既源于企业不负责任的泄密，也因为缺乏明确的监管主体。在用户信息泄露事件中，公安机关可以依据相关规定对运营商处以行政处罚，相关管理部门和用户也可依据相关法律追究运营商的行政或民事责任。

　　记者了解到，目前，我国已出台与网络相关的法律、法规和规章共计两百多部，其中，涉及个人信息保护方面的法律有将近40部，法规有30部，已有12个省市出台相关地方法规、规章。除了承担信息安全监管工作的工信部，公安部、国家保密局、国家密码管理局、卫计委、食品药品监督管理局、银监会、证监会等部门都有规章文件涉及个人信息保护。

　　但是，这些对个人信息保护方面的立法散见于法律法规之中，缺乏系统性，实际操作上存在较多问题。

　　2009年，刑法修正案(七)确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名，首次将公民个人信息纳入刑法保护范畴，规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。

　　但众多法律界人士认为，该法只是原则性条款，并未明确该罪的具体界定标准，缺乏可操作性。而且刑法未明确该罪的具体界定标准，譬如犯罪主体除“国家机关或者金融、电信、交通、教育、医疗等单位”外，还存在着互联网公司、房地产公司、物业公司、汽车厂商、宾馆酒店、会计师事务所等掌握个人信息的机构和单位。

　　对此，全国人大代表、湖北省政协副主席吕忠梅认为，侵害他人的信息隐私或滥用他人信息的案件越来越多，亟须明确相关各方面的法律权利、责任及任务；政府机构为提高行政效率而进行的信息共享，同样亟须得到法律的规范。

　　个人信息保护立法停摆

　　2003年，国务院信息化工作办公室委托中国社科院法学研究所个人数据保护法研究课题组承担“个人数据保护法”比较研究课题及草拟一份专家建议稿。

　　2005年，近8万字的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》完成。

　　2006年，《2006-2020年国家信息化发展战略》明确提出，要加快推进信息化法制建设，妥善处理相关法律法规制定、修改、废止之间的关系，制定和完善信息基础设施、电子商务、电子政务、信息安全、政府信息公开、个人信息保护等方面的法律法规，创造信息化发展的良好法治环境。

　　2008年，个人信息保护法草案呈交国务院。

　　至此，学界与官方之间推动个人信息保护法出台的“互动”戛然而止。

　　2012年12月28日，全国人大常委会通过了关于加强网络信息保护的决定。该决定明确规定：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。”

　　2013年2月1日，我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》实施。该标准最显著的特点是规定个人敏感信息在收集和利用之前，必须首先获得个人信息主体明确授权。

　　吕忠梅告诉法治周末记者：“加强网络信息保护的决定没有可操作性，里面有一条叫‘信息遗忘的权利’，比如上小学时打架写了一份检讨书，我现在请求将这条信息删除，可是我应该找谁删除、符合什么条件才可以删除都没有规定。另外还规定打击泄露信息的人，但什么情况下能启动调查程序、谁有保密义务也没有规定。”

　　吕忠梅认为个人信息保护立法迟滞的原因在于，个人信息保护立法涉及很多复杂问题。如保密到什么程度；实名制对个人信息保密限度与国家安全、社会秩序稳定之间的界限怎么确定等。

　　吕忠梅指出：“公权力和私权利的界限是立法难点，对私权利保护的度在哪里，公权力何时可以介入，何时不能介入。”

　　将于今年3月15日实施的新消费者权益保护法首次将个人信息列入保护范围，规定经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集个人信息的目的、方式和范围，并经消费者同意；经营者对收集的消费者个人信息必须严格保密，不得泄露、出售或向他人非法提供；在发生或者可能发生信息泄露或丢失的情况下，应当立即采取补救措施。

　　但是，吕忠梅认为，如何落实消费者个人信息的权益保护，仍然需要制定一些细则。

　　保护信息个人安全最受关注

　　今年全国两会期间，人民网与360新闻合作推出《两会热搜榜》栏目，持续展示最受网民关注的代表委员、提案、新闻热词和转载榜。榜单显示，3月10日最受关注议案提案的榜首是“制定个人信息保护法保护信息安全”。

　　郑杰建议，通过个人信息保护法立法，维护个人信息安全，保障和推进大数据战略的发展。具体地，要明确法律适用范围，机构和个人掌握个人信息的，无论是否从事营利性行为，均需要遵守个人信息保护法；要明确对个人信息保管者的义务要求，包括收集、使用个人信息应当遵循合法、正当、必要的原则；要明确对收集、使用、保管个人信息规则的公示、告知义务等；明确有权查询个人信息的机构及其程序；明确法律责任，提高侵害个人信息安全的违法成本。

　　吕忠梅认为，当公民感受到危害的时候，他的个人信息已经经过了好几道手，意识到信息被泄露时，已经过去了很长时间，查找源头相当困难。希望有一个专门的信息管理系统，所有需要采集信息时都能显示，这样就能找到信息泄露的源头。

　　吕忠梅谈到，分而散之、各管一摊的直接后果就造成了个人信息保护力度的弱化。现在对个人信息的保护层级不够，部门规章仅仅限定在部门业务范围之内，无法管理职责范围之外的东西。而且，在保护个人信息时，不同的部门、不同的行业之间如何协调对接，如何分配各自的权利义务，现在并没有明确的规定。

　　对此，吕忠梅建议，首先应明确个人信息作为个人隐私权的一部分应当受到保护；其次对于信息的采集、保存、保管、保密等明确规定；除此之外，还要规定政府部门如何监管、泄密者如何打击等。

　　钟天华直言，应当构建个人信息安全保护的四道“防火墙”：第一道“防火墙”是个人信息安全保护的制度体系，推动个人信息安全保护法尽快立法；第二道“防火墙”是个人信息服务行业的规范和监管；第三道“防火墙”是个人信息安全保护的技术能力；第四道“防火墙”是全社会的个人信息保护意识。

　　全国人大代表、南京邮电大学校长杨震则认为：“信息社会已经成为一个虚拟社会，跟实体社会一样，需要一个完善的个人信息保护法。谁有权采集，谁有权查看，谁有权使用，是监管部门要考虑的一个重大课题。我前期也跟腾讯等互联网运营商进行过深入交流，我们就出台个人信息安全保护法的问题达成了很多共识。”

　　杨震还表示，去年8月，国务院出台了关于促进信息消费扩大内需的若干意见，建议加快信息消费进程。

　　吕忠梅向记者预测了在个人信息保护立法过程中会存在的难点和障碍，她告诉记者：“怎么实施监管，监管体制机制如何建立是难点；新技术不断出现，立法滞后，立法如何做到既具有超前性又具有可操作性也是难点。”