個人信息保護(hù)立法進(jìn)程緩慢 專家稱維權(quán)依舊有招

　　近日，據(jù)一些媒體報(bào)道，國內(nèi)安全漏洞監(jiān)測平臺烏云發(fā)布報(bào)告稱，如家等酒店使用了某網(wǎng)絡(luò)公司開發(fā)的酒店wifi管理、認(rèn)證管理系統(tǒng)，并且酒店客戶的信息被存儲在該網(wǎng)絡(luò)公司的服務(wù)器上，但是，由于該系統(tǒng)存在漏洞，酒店客戶個人信息面臨被泄露的風(fēng)險(xiǎn)。這意味著，酒店客戶的姓名、身份證號碼、入住和離開酒店的時間等信息，都有可能被黑客輕松截獲。由此，個人信息保護(hù)問題再次引發(fā)了社會公眾的關(guān)注。

　　在當(dāng)今的信息社會，一方面?zhèn)€人隱私以及對個人信息的控制權(quán)需要保護(hù)，另一方面，對信息的合理需求和使用也無法回避。有業(yè)內(nèi)人士就此指出，對個人信息的保護(hù)并不是絕對的，而是需要進(jìn)行一定的利益平衡，特別是在信息技術(shù)不斷變革的情況下，對于平衡度的把握需要較高的立法技巧和遠(yuǎn)見。

　　而不爭的事實(shí)是，關(guān)于個人信息被濫用、被侵犯的消息屢見報(bào)端，但是各方都積極呼吁的有關(guān)個人信息保護(hù)的綜合性、基礎(chǔ)性立法，即個人信息保護(hù)法卻一直難以出臺。

　　北京航空航天大學(xué)法學(xué)院副教授、商法與經(jīng)濟(jì)法研究中心副主任周學(xué)峰指出，從形式來看，我國目前尚未有個人信息保護(hù)法之類的專門性法律，而且在短期內(nèi)該法也可能難以出臺，但是，這并不意味著我國不存在保護(hù)個人信息的實(shí)質(zhì)意義上的法律規(guī)范。而在專門的立法出臺之前，在現(xiàn)行法律框架下，一旦個人信息被人侵犯，還是可以有救濟(jì)手段的。如果公民發(fā)現(xiàn)其個人信息遭到了泄露或被濫用，可以在現(xiàn)有的法律框架下，通過法律解釋的方法，來維護(hù)自己的合法權(quán)益。

　　個人信息保護(hù)立法進(jìn)程慢原因多

　　“據(jù)我所知，早在十年前，國務(wù)院有關(guān)部門曾就個人信息保護(hù)法的立法問題委托中國社科院的一些專家進(jìn)行研究，這些專家曾在2005年左右提出過一份個人信息保護(hù)法專家意見稿，但是，個人信息保護(hù)法一直未被列入正式的立法日程。”周學(xué)峰分析認(rèn)為，個人信息保護(hù)法一直難以出臺，主要有以下原因：

　　首先，我國立法機(jī)關(guān)的立法任務(wù)非常繁重，立法有輕重緩急之分，特別是在去年全國人大常委會剛剛通過了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，就目前的情況來看，可能尚有更為重要的法律需要制定。

　　其次，一項(xiàng)立法草案需要達(dá)到一定的成熟程度才能順利通過。從這個角度來講，個人信息保護(hù)還有一些問題需要進(jìn)行研究、協(xié)調(diào)和解決。例如，數(shù)據(jù)挖掘技術(shù)是近些年才出現(xiàn)的一項(xiàng)信息技術(shù)，它的出現(xiàn)對于個人信息的采集和使用規(guī)則亦提出了挑戰(zhàn)。

　　第三，個人信息保護(hù)法是一部個人信息保護(hù)的基礎(chǔ)性法律，它不僅規(guī)范金融機(jī)構(gòu)、電信機(jī)構(gòu)等對個人信息的獲取和使用，政府機(jī)構(gòu)對個人信息的獲取和使用亦應(yīng)受其約束。因此，在立法時需要征集多部門的意見并進(jìn)行協(xié)調(diào)，這些亦會導(dǎo)致立法進(jìn)程緩慢。

　　雖未有單獨(dú)立法但仍有救濟(jì)途徑

　　《法制日報(bào)》記者在采訪中發(fā)現(xiàn)，在個人信息保護(hù)領(lǐng)域，我國許多省市都已經(jīng)制定了有關(guān)個人信息保護(hù)的地方性法規(guī)。此外，全國人大常委會、國務(wù)院及其部委也制定了若干專門領(lǐng)域的個人信息保護(hù)規(guī)定。例如，在網(wǎng)絡(luò)信息保護(hù)方面，有《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、工信部制定的《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》；在金融信息保護(hù)方面，國務(wù)院制定了征信業(yè)管理?xiàng)l例等。另外，我國刑法亦規(guī)定有“非法獲取個人信息罪”和“非法買賣、提供公民個人信息罪”。

　　結(jié)合此次酒店客戶個人信息存在泄露風(fēng)險(xiǎn)一事，周學(xué)峰指出，網(wǎng)絡(luò)公司應(yīng)該預(yù)見到，如果其所提供的信息系統(tǒng)有缺陷，將會導(dǎo)致所存儲的個人信息受到嚴(yán)重泄露，因此，網(wǎng)絡(luò)公司負(fù)有保障其提供的信息系統(tǒng)具備安全性的義務(wù)。當(dāng)然，這種安全性應(yīng)當(dāng)是一種合理的安全性，而不是絕對的安全性。在判斷網(wǎng)絡(luò)公司是否盡到了安全保障義務(wù)時，可以參照工業(yè)和信息化部于2013年7月制定的《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》。除此以外，《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》作為我國首個個人信息保護(hù)的國家標(biāo)準(zhǔn)，雖然不具有法律上的強(qiáng)制約束效力，但具有指南性，亦可作為衡量互聯(lián)網(wǎng)企業(yè)是否有過失的參考性標(biāo)準(zhǔn)。

　　此外，據(jù)了解，從世界范圍來看，目前關(guān)于個人信息保護(hù)立法存在兩種立法模式，一種是集中立法模式，如歐盟的《個人信息保護(hù)指令》；另一種則是分散的立法模式，例如，美國并不存在像歐盟《個人信息保護(hù)指令》那樣的一部法典，而是分散在若干部法規(guī)之中。周學(xué)峰認(rèn)為，如果我們要采取集中立法的模式，歐盟的《個人信息保護(hù)指令》可以作為借鑒的對象。

　　受害人可依據(jù)現(xiàn)行法律進(jìn)行索賠

　　針對仍在不斷持續(xù)發(fā)酵的酒店客戶個人信息存在泄露風(fēng)險(xiǎn)一事，周學(xué)峰分析認(rèn)為，僅就這一個案而言，即便現(xiàn)在我國尚無專門的個人信息保護(hù)法，也并不存在“無法可依”的情況。如果真的發(fā)生了酒店客戶個人信息泄露事件，受害人是可以依據(jù)現(xiàn)行法律進(jìn)行索賠的。

　　首先，在酒店住宿的客戶與酒店之間存在合同關(guān)系，酒店負(fù)有保障其客戶的人身和財(cái)產(chǎn)安全的義務(wù)，這其中應(yīng)包括酒店所收集的客戶個人信息的安全。此種義務(wù)屬于合同當(dāng)事人的附隨義務(wù)，即使合同中未對此明確地約定，當(dāng)事人亦可主張。因此，當(dāng)酒店違反了合同義務(wù)時，客戶可依據(jù)合同法向酒店主張違約責(zé)任。

　　其次，客戶可依據(jù)侵權(quán)責(zé)任法主張酒店未盡到安全保障義務(wù)，從而要求損害賠償。酒店的這一義務(wù)是法定的。根據(jù)《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第四條的規(guī)定，酒店有義務(wù)采取技術(shù)措施和其他必要措施，確保信息安全，防止其所收集的公民個人電子信息泄露。值得一提的是，依據(jù)侵權(quán)責(zé)任法，當(dāng)發(fā)生黑客入侵酒店信息系統(tǒng)獲取客戶個人信息時，黑客作為直接加害人應(yīng)承擔(dān)首要的賠償責(zé)任，而酒店僅承擔(dān)與其過錯相應(yīng)的補(bǔ)充責(zé)任。另外，此次事件中，酒店的信息系統(tǒng)是從某網(wǎng)絡(luò)公司采購的，并且酒店客戶的個人信息是存儲在該網(wǎng)絡(luò)公司服務(wù)器上的，因此，酒店在對其客戶進(jìn)行賠償后，可基于合同關(guān)系再向網(wǎng)絡(luò)公司主張賠償。(記者朱寧寧)