【周汉华】:网友朋友们,大家好!很高兴和大家交流个人信息保护的问题。
【黄子河】:大家好,非常高兴能有机会来人民网和各位网友关于个人信息保护的相关情况进行交流。
■ 公共企事业单位和一些政府机构成为当前信息泄露的主要渠道
[网友枫笛]:个人信息最容易被盗取的渠道有哪些?能否请二位介绍一下,也好让大家引以为鉴。
【周汉华】:从国际社会的经验来看,以及从我们国家的各种渠道反映的情况来看,那些公共企事业单位,比如银行、医院、通讯公司、保险公司等等,以及掌握了个人信息的某一些政府机构,比如婚姻登记机构等,往往是信息泄露最主要的渠道,这主要是因为这些主体要提供公共服务,或者要履行法定职能,就自然地拥有大量的个人信息。因此,也成为个人信息泄露的主要渠道。而且这种泄露的危害也特别大,因为它涉及的人群特别广,造成的损害特别大,所以我们知道几年前在英国内政部丢了两张光盘,其中有近两千万人的个人信息被泄露。我们也知道香港八达通地铁公司泄露了八达通卡个人用户信息,有几百万人的个人信息被泄露,这都导致了大量的重大损失。从最近国内的案例情况来看,比如说几个大的电信运营商,通过提供个人信息的方式发送垃圾短信,也造成了非常重大的个人信息泄露的案例。所以,公共企事业单位和某一些政府机构,现在是泄露信息的主要渠道。除此之外,现在有一些小的公司,比如侦探公司、咨询调查公司等等。他们专门以获取个人信息并加以转售为主要的商业模式,他们就成了一个中间的“批发站”,也成为泄露个人信息很大的一个隐患。我们国家最近这些年,在这个方面也是发现和制裁了一批这样的公司或者个人。
【黄子河】:网站是很常用的,还有中介组织,中介组织现在虽然不是网络传播,但也是大量的。还有一些为个人服务的机构,比如医疗、银行、汽车销售、保险。我知道的还有内部信息交换,像一个共享平台一样,信息都是相互交换的。我知道很多培训机构其实是信息交换的,比如到我这儿来培训英语或者数学,有的不是同类学校,但是都有适龄的学生的信息交换。像这些是很难防备的。
[网友枫笛]:个人信息安全都包括哪些方面?
【黄子河】:按照标准讲,个人信息保护关键是要讲清楚是哪些相关的角色,它沿着什么生命周期的过程,遵循什么样的原则开展个人信息保护。也就是说,我们谈到的个人信息主体、个人信息管理者、个人信息获得者在生命周期中的收集、加工、转移、删除这四个环节按照八项原则落实,这就是个人信息保护相关的环节。
具体会约束什么呢?既会约束到在管理层面上需要什么样的制度,在技术上需要什么样的防护手段,以及采用什么样的指标体系对保护的状况进行评估评价,这是整个个人信息保护相关的内容。
[网友依稀红颜美少年]:个人信息保护中的个人信息包括哪些信息呢?而且现在信息泄露事件中,往往很难找到泄露源,该如何解决?
【黄子河】:个人信息在标准中强调了一个分类,这是以往标准中包括国际上还没有明确出来的,但我们认为是至关重要的。首先要分敏感信息和一般信息,哪些是敏感,哪些是一般的,根据不同的行业,不同的应用和不同的人群,存在这巨大的差异。我们通常来讲个人信息包括的是身份信息、位置信息、财务信息等等,更进一步地来解释,只要这些信息能够独立地指向一个自然人,或者和其他信息结合在一起指向一个人的都是个人信息的内容。
■ 法治与行业自律作用并举发挥 确保个人信息得到全面保护
[网友大辽]:光制订国家标准还是不够的,还应该早日立法推动个人信息安全保护,嘉宾同意吗?
【周汉华】:这位网友的这个观点是非常正确的,我们对于即将要出台的标准要一分为二地分析。
一个方面,这是我们国内第一次制定类似的行业标准,它比较全面地规范了个人信息处理的全流程活动,必然会对改变我们对个人信息保护的观念,提高个人信息保护的意识,都起到很重要的作用。如果能够有效地加以推动,会使我们的行业自律机制得到很大的发展,对此我们抱有很大的期望。
但是,另外一个方面,还要看到这个指南还只是一个推荐性的标准,甚至还不是强制性标准。作为推荐性的标准,它的实施取决于相关行业主体的自愿地配合,某种程度上说是缺乏强制实施的强制力的。那么,如果没有立法,这些规定的实施就缺乏威慑手段。所以需要在行业自律的同时,加快个人信息保护法的制定,并且还要加强行政执法,以及刑事和民事法律制度。2009年刑法修正案(七)已经将非法提供或者非法获取公民个人信息作为犯罪规定下来,我们的民事法律制度也确立了民事救济的渠道, 因此,个人信息要真正得到全面的保护,必须同时发挥法治的作用与行业自律的作用,也要调动全社会参与的积极性,这样才能够真正有效地保护个人信息。
[E政21476号]:建议尽快就个人信息安全保护立法,对泄露个人信息的机构进行罚款、吊销执照等法律制裁。http://ezheng.people.com.cn/proposalPostDetail.do?id=486099&boardId=1
【周汉华】:这个网友的建议是非常好的,其实从欧盟的情况来看,这两种制裁手段都是存在的,是属于典型的行政法律责任的追究,在我们国家居民身份证法其实还规定了10日以上15日以下的行政拘留,也是一种行政法律责任。除此之外,根据刑法修正案(七)还可以处3年以下的有期徒刑或者拘役。另外,根据侵权责任法和相关的民事法律规定,还可以通过民事诉讼的方式来请求损害赔偿。欧盟在目前的讨论当中,为了加重违法者的法律责任,酝酿最高可以处公司上年总营业额的5%的罚款,所以我们看到对于泄露个人信息的出发是系统的、全面的,也是非常严密的。当然,目前立法方面还存在很多缺陷,还需要加快立法的进程。
[主持人]:个人信息保护方面国外有什么做法?制订标准时我们是不是有所参照?
【黄子河】:国外是两大体系,以美国为体系的强调的是行业自律,更多是强调在保护下如何使用好个人信息。这一方面确实加强了我们对于信息的利用,但是一方面也看到个人信息泄露的情况比较严重。另外一方面是在欧盟的情况,欧盟的做法是强调统一立法,同时更强调如何加强保护,尤其是个人信息向境外流动的保护。在实际情况来看,保护的情况比较好,但确实它的使用会造成一些问题。就我们国家来看,实际上我们觉得在标准制订方面,乃至今后的工作中需要把两者有机结合在一起,有法律的约束,但要按照我们的情况更多开展行业自律。也就是说,个人信息保护不是使得个人信息不能得到使用,而是要找合理的乃至合法的才可以进行使用。这里我们从欧盟尤其要关注到个人信息向境外的流动,要加强管理。而这一点实际上也是国际上通行的做法,比如借鉴欧盟的信息港概念,它的境外信息流动时要统一在信息港进行统一检验、统一出口,以及对境外机构进行统一的要求和检验,这对我们来说是一个借鉴。在标准方面,国际标准也在制订过程中,我们也参考了相关的前期研究资料,对我们的标准制订是一个比较好的参考。可以看到,我们的标准应该说还是走在前面的。
[网友达摩剑仙]:周汉华主任,今年3·15晚会,央视曝光了上海罗维邓白氏倒卖大量个人信息的问题,其实现在这个现象在中国很普遍,您认为立法能有效阻止这种歪风么?你领衔的《个人信息保护法》研究有何进展?《个人信息保护法》能为我们普通公众提供怎样的保障?
【周汉华】:我刚才讲过在信息时代,信息能够带来巨大的经济利益,正是因为这个原因,才使一些主体,尤其是商家能够置法律和商业导致于不顾,铤而走险,通过滥用个人信息来谋取巨额利润,从这个意义上说,徒法不足以自行,仅仅靠立法,当然是不可能完全改变这种局面的。这种经验在其他领域,其实我们已经有很多的先例,很多法律制定了之后,执行的效果并不好。法律不是万能的,但是没有法律是万万不能的。我们现在的个人信息滥用的状况这么严重,根源之一就在于我们立法的缺位。使这些违法者能够无法无天地大肆滥用个人信息,侵犯个人权利,因此我们要加快立法的进程,确立基本的原则和制度。通过立法,建立专门的行政执法机制。在实践当中有效地遏制信息滥用的行为。除了立法之外,还要有其他的各种社会治理的机制。比如说,行业自律也是不可或缺的。作为大的企业应该从企业社会责任的角度提高个人信息保护的意识,从提高竞争力的角度加强自身的制度建设。国外有研究表明大公司每一次的个人信息泄露都会导致15%左右的客户流失。所以,对于企业来说,加强个人信息保护也是有利于企业的长期经营的,能够建立企业的良好社会形象和客户关系。再比如,有效的社会参与对于个人信息的保护也具有重要的作用。比如最近这几年的“3·15”晚会披露的个人信息滥用的事例,以及媒体对个人信息保护问题的关注,都迅速地改变了全社会对这个问题的认识,对于加强个人信息保护都有不可或缺的作用。所以,我的结论是我们在立法和加强执法的同时,同时还要与多种社会治理的机制并举,这样才能够开创个人信息保护的新局面。
我们一直在研究个人信息保护法,也和国际同行进行了广泛的交流,其实也参与了行业标准的起草,目前我们正在密切地跟踪研究美国以及欧盟在这个领域的最新的发展,也在关注其他国家,尤其是发展中国家和转型国家,在这个领域的进展情况,也希望能够对国家的立法起到更大的作用。希望以后有机会跟网友多交流。
[网友孙亚非]:请问嘉宾:社会越文明越发达,越重视个人信息的保护,是吗?
【周汉华】:这是一个很有意思的问题,其实个人信息保护是一个亘古以来就有的老问题,所以我们孔夫子说过非礼勿听、非礼勿视、非礼勿言,其实里面就已经有对个人隐私权利保护的含义。在西方的法律文化里面也有对个人隐私权保护的传统,从这个意义上来说,任何一个社会都需要保护个人信息,不仅仅只是说发达国家、发达社会。
但是,另一方面,我们又确实看到随着信息化、随着网络时代的来临,个人信息保护比任何时候都变得更为迫切,这是因为网络时代是一个“数字化生存”的时代,信息就是财产,信息就是主体的符号。在网络时代,个人信息保护就比任何时候更加迫切,也更加复杂,现在国际社会正在讨论的一个流行词汇是“云计算”,还有一个词是“大数据”,所谓Big Data,大数据和过去的信息不一样,它是数量庞大,而且带有智能,通过数据的挖掘就能够产生很多分析的结果,而且能够被众多主体共享和使用。这就使传统的个人信息保护的模式在网络环境下、在云计算的环境下面临着深刻的挑战,各国目前正在讨论的就是如何建立一个适应这种时代需要的个人信息保护的有效体制和机制。可以说,我们现在正处在深刻的历史变革时期,个人信息既带来了巨大的便利,但也带来了前所未有的挑战。所以从这个意义上说,社会越发达,个人信息越需要保护。
■ 出台个人信息保护的国家标准是行业自律机制的有益尝试
[网友一天一地一广仔]:请问嘉宾,能否谈谈我国个人信息保护的现状?出台个人信息保护国家标准能达到和实现哪些目的?
【黄子河】:个人信息保护的现状,可以看到我们国家现在个人信息保护的个人诉求在提升,但与国外相比,最大的差距在于个人的意识方面有非常大的差距。另外,我们现在确实缺乏整体性的法律框架,以及整体性的标准对它进行支撑。所以对个人信息保护虽然重视,但缺乏必要的整体性法律和技术性手段。
我举个例子,大家经常去很多地方办事要填表,填表时经常会要求把身份信息、教育信息、职业信息填上去,这个东西是不是有必要?这就是我们讲的收集中是不是目的明确的,是不是最小够用的。另外,我们再举一个例子,比如我们去一个公司应聘,他让我们填一张表,从应聘角度讲收集个人相关的信息,尤其是职业信息是必要的,但是如果没有在这个地方工作,是不是把我的东西真的有效删除了,还是这些纸就卖给收废品的了,这些信息后续如何保护?这都是经常会遇到的问题,大家为什么经常会收到骚扰电话,就是由于类似的信息被不当使用或者是无意把它流失出去了。
我们出台这个标准实际上是希望能够对个人信息主体、个人信息管理者、个人信息获得者以及相应的行业主管部门提供一个有效的技术手段,相应的个人知道如何保护,行业企业如何开展自律,政府行政主管部门能够了解现状,能够开展相应的保护工作,所以这个标准就在于此。
【周汉华】:应该说我们国家的个人信息保护的现状是不容乐观的,甚至面临很严峻的形势。我记得人民日报和人民网曾经在几年前做过网友在线调查,大概90%左右的网友曾经遭遇过个人信息被泄露的遭遇。这次软件测评中心的调查也再一次发现个人信息被泄露的情况是非常严重的。最近几年,每年的“3·15”晚会披露的案例都或多或少涉及到个人信息保护方面的问题,一些电信公司、一些营销公司都在赤裸裸地滥用个人信息,造成了很坏的社会影响。所以出台个人信息保护的国家标准是行业自律机制的一个有益尝试,可以通过这种方式改变市场主体的观念和行为模式,以期达到加强对个人信息保护的目的。当然,刚才已经讲过了这个标准还只是一个行业的推荐性标准,它的有效实施还取决于市场主体的积极配合和支持,也取决于我们的管理部门积极的推动。
[网友忽闪闪]:请问黄主任,个人信息保护国家标准此时出台的背景是什么?
【黄子河】:个人信息保护从现在的情况来看,被恶意地收集乃至不当使用的情况,应该说越来越严重了。这些情况确实是因为我们在这方面有非常大的经济利益的原因,所以个人信息保护标准是非常必要的。另外现在来看,实际上个人信息保护几个方面相关的角色都需要相应的技术手段。
首先,个人一方面对于个人信息保护可能没有自我保护的意识,或者想保护也不知道采取什么样的标准该怎么来保护自己,这是对于个人。
第二类,对于企业,也就是个人信息管理者或者个人信息获得者,他在收集个人信息时,在对个人信息进行加工时,在转移以及进行处理,包括最后删除的时候,他也会遇到问题,从好的地方讲,也不知道该怎么做,怎么样把个人信息保护好。从不好的地方说,对他这些行为也没有要求。
第三,从政府来看,实际上政府主管部门也非常希望能够了解社会上各个行业的个人信息保护情况,但是采用什么样的指标体系对保护情况进行了解,之前是缺乏的。因此,个人信息保护的标准出台对这三个方面来说都有非常好的作用。
[网友嘎丽阿妲]:确保个人信息安全,请问两位嘉宾,您认为当下最需要做的是哪方面?也就是最关键的措施。
【黄子河】:出台了个人信息保护的指南,这个指南出来之后有两个方面的工作需要做:
第一,个人信息的管理者,按照指南的要求来做好自己的管理相关工作。特别是在保护政策的落实方面,因为现在有一些网站、软件制订了一些个人信息保护的政策,但是从技术手段等各方面的落实情况来看并不是太好。
第二,要加强监督检查,对个人信息保护做得好的机构要进行鼓励,把做得不好的曝光。这两方面的工作应该进一步推动。
[网友新禅宗一派]:工信部正在牵头起草的《信息安全技术、公共及商用服务信息系统个人信息保护指南》即使通过也没啥实际作用,因为它并非国家强制执行?另外从法规颁布到现实保护,需要有效的执行和监督,嘉宾认为在中国可以如何操作好?
【周汉华】:我想个人信息保护是一个系统工程,万事开头难,工信部牵头起草这个标准,迈出了可喜的第一步,相关各方,尤其是立法机关应该在这个基础上加快法律的制定进程。我们的行政管理机关应该积极地履行自己的职责,更加重视个人信息保护的执法。我们的媒体、学界以及整个社会其实也都责无旁贷,都需要从各自的角度推动这个事业的发展。只要能够形成合力,哪怕第一步并不完美,我们的这个进程也会非常扎实,目标会非常清晰。
(责任编辑:)
