隨著網(wǎng)絡(luò)的日益普及,百姓與網(wǎng)絡(luò)已經(jīng)密不可分,2014年1月中國互聯(lián)網(wǎng)絡(luò)信息中心第33次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示,截至2013年12月,中國網(wǎng)民規(guī)模達(dá)6.18億,其中,手機(jī)網(wǎng)民規(guī)模達(dá)5億,互聯(lián)網(wǎng)普及率為45.8% [1]。而早在2008年,中國網(wǎng)民絕對數(shù)量已經(jīng)超過美國,躍居世界第一位。伴隨著網(wǎng)絡(luò)用戶數(shù)量的快速增長,互聯(lián)網(wǎng)個人信息安全問題也備受關(guān)注,近年來互聯(lián)網(wǎng)用戶信息泄露事件時有發(fā)生,據(jù)不完全統(tǒng)計,僅2010年至2013年,就先后有360、開發(fā)者社區(qū)CSDN、中國人壽、騰訊QQ、圓通快遞等多家用戶信息被大量泄露[2],給用戶帶來了嚴(yán)重的不良影響甚至危害。這些問題的出現(xiàn)引起我們對網(wǎng)絡(luò)信息安全的關(guān)注,也促使我們探究問題背后的深層次原因。除了技術(shù)漏洞、道德問題以及監(jiān)管責(zé)任之外,一個重要的原因法律規(guī)范模糊導(dǎo)致違法成本過低,某些尋求不法利益者利用了這一點。
事實上,我國自上世紀(jì)90年代以來,先后出臺多部涉及互聯(lián)網(wǎng)個人信息安全的法規(guī)、條例、辦法,如《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計算機(jī)病毒防治管理辦法》、《互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報實施辦法》、《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《全國人民代表大會常務(wù)委員會關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》、《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》、《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》、《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》,以及2012年12月通過的《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》[3]等,這些法規(guī)、條例、辦法從不同側(cè)面對互聯(lián)網(wǎng)參與行為主體的活動進(jìn)行了規(guī)范。同時,憲法、刑法、國家安全法、國家秘密法、治安管理處罰條例、商用密碼管理條例等法律、法規(guī)在信息安全方面提供了一定的法律依據(jù),如1999年刑法修正案第285條和第286條分別規(guī)定了違反國家規(guī)定非法入侵計算機(jī)信息系統(tǒng)罪和破壞計算機(jī)信息系統(tǒng)罪。2011年2月25日最新修正版刑法對第285條內(nèi)容進(jìn)行了修正,增加了“違反國家規(guī)定,侵入前款規(guī)定以外的計算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段,獲取該計算機(jī)信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù),或者對該計算機(jī)信息系統(tǒng)實施非法控制,情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴(yán)重的,處三年以上七年以下有期徒刑,并處罰金。”這段內(nèi)容。此外,北京、四川、黑龍江等十余個省市也出臺了信息系統(tǒng)安全保護(hù)、病毒預(yù)防和控制等方面的地方性法規(guī),可以看出,互聯(lián)網(wǎng)個人信息安全已經(jīng)引起了立法界的較高程度的關(guān)注,可以說,我國已經(jīng)在互聯(lián)網(wǎng)個人信息安全立法方面建立了基本框架。
但是,縱觀專門涉及互聯(lián)網(wǎng)個人信息安全的法規(guī)、條例、辦法,有幾方面特點:從頒布者來看,多為國務(wù)院、工業(yè)和信息化部、公安部等行政部門,這種部門法規(guī)的效力和權(quán)威要低于國家法律;從內(nèi)容來看,對侵害互聯(lián)網(wǎng)個人信息安全的行為的界定、處置依據(jù)尚比較模糊,對各類互聯(lián)網(wǎng)參與主體的責(zé)任劃分不夠清晰明確,特別是對互聯(lián)網(wǎng)信息企業(yè)在信息安全方面人員、設(shè)備投入沒有明確的規(guī)定,難以適應(yīng)當(dāng)前嚴(yán)峻的互聯(lián)網(wǎng)個人信息安全形勢;從實施效果來看,部分法規(guī)、辦法仍停留在說教層面,具體實踐中沒有得到很好地執(zhí)行,例如,互聯(lián)網(wǎng)信息企業(yè)沒有履行應(yīng)有的安全管理責(zé)任。部分法規(guī)在執(zhí)行力度上還不夠,甚至停留在說教層面。以工信部2013年6月28日審議通過的《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》為例,該法規(guī)對電信業(yè)務(wù)經(jīng)營者防止用戶個人信息出現(xiàn)泄露等問題的措施規(guī)定比較粗略,沒有建立可以充分量化的標(biāo)準(zhǔn),因而在具體檢查監(jiān)管中就缺乏依據(jù),同時,對于違法后法律責(zé)任界定上,也缺乏量化標(biāo)準(zhǔn),沒有充分考慮到互聯(lián)網(wǎng)信息的迅速傳播性和擴(kuò)散性。另外,刑法中也沒有對破壞互聯(lián)網(wǎng)個人信息安全的行為如制造病毒、傳播惡意軟件,利用互聯(lián)網(wǎng)個人信息從事非法活動的相關(guān)法律責(zé)任和處罰辦法進(jìn)行細(xì)化。
最重要的是,我國個人信息安全專門法立法進(jìn)程比較緩慢, 2005年,有關(guān)專家完成《中華人民共和國個人信息保護(hù)法(專家建議稿)及立法研究報告》。2008年,《個人信息保護(hù)法》草案呈交國務(wù)院[4]。然而此法至今未予出臺,實際立法過程中仍存在諸多困難和挑戰(zhàn),這不得不說是一個遺憾。
我們不妨了解一下互聯(lián)網(wǎng)信息技術(shù)比較發(fā)達(dá)的美國在互聯(lián)網(wǎng)個人信息安全方面的立法狀況,雖然美國的法律屬于普通法系,但仍然可以找到諸多關(guān)于互聯(lián)個人信息保護(hù)的單行法,如1986年頒布的《電子通信隱私法》,1997年頒布的《聯(lián)邦互聯(lián)網(wǎng)隱私保護(hù)法》《數(shù)字隱私法》,1998年頒布的《兒童在線隱私保護(hù)法》等,《健康保險流通和責(zé)任法案》《格翰姆 —布萊利法》還對醫(yī)療數(shù)據(jù)收集,金融機(jī)構(gòu)數(shù)據(jù)共享方面進(jìn)行了法律約束,還積極推行行業(yè)自律與立法規(guī)范相結(jié)合的安全港模式[5][6][7],這些專門針對互聯(lián)網(wǎng)個人信息安全的法律和行動,較為全面地保護(hù)了公民的互聯(lián)網(wǎng)信息安全。當(dāng)然,“9.11”事件發(fā)生后,《美國愛國者法案》以防止恐怖主義的名義,擴(kuò)張了美國警察機(jī)關(guān)的權(quán)限,警察機(jī)關(guān)有權(quán)搜索電話、電子郵件通訊、醫(yī)療、財務(wù)和其他種類的記錄,某種程度構(gòu)成了對個人信息安全的威脅。
從美國的立法狀況我們可以看出,盡管美國存在著國家機(jī)構(gòu)對公民個人信息擁有超級權(quán)限的問題,但是其在對互聯(lián)網(wǎng)個人信息安全保護(hù)立法的分類較為細(xì)致,立法思路較為超前,通過注重企業(yè)的參與,值得我們學(xué)習(xí)。
相對而言,我國尚未形成比較完善的互聯(lián)網(wǎng)個人信息安全保護(hù)法律體系,保護(hù)個人信息的專門法尚未出臺,部門法規(guī)定比較模糊,刑法有關(guān)內(nèi)容也存在網(wǎng)絡(luò)環(huán)境下犯罪法律關(guān)系主體需要進(jìn)一步擴(kuò)展、犯罪客觀方面尚不健全、此罪與彼罪的界限需要進(jìn)一步厘清等問題[8]??梢哉f我們的立法工作還需要進(jìn)一步緊跟當(dāng)前實際,適當(dāng)加快進(jìn)度,爭取早日形成統(tǒng)一的、全國性的專門法律,并在刑法及相關(guān)部門法中體現(xiàn)最新內(nèi)容,規(guī)范互聯(lián)網(wǎng)經(jīng)營者、監(jiān)管者、使用者多個主體的行為,特別是強(qiáng)化互聯(lián)網(wǎng)經(jīng)營者的安全責(zé)任,為公民個人信息安全提供堅強(qiáng)的法律保障。