近日,据一些媒体报道,国内安全漏洞监测平台乌云发布报告称,如家等酒店使用了某网络公司开发的酒店wifi管理、认证管理系统,并且酒店客户的信息被存储在该网络公司的服务器上,但是,由于该系统存在漏洞,酒店客户个人信息面临被泄露的风险。这意味着,酒店客户的姓名、身份证号码、入住和离开酒店的时间等信息,都有可能被黑客轻松截获。由此,个人信息保护问题再次引发了社会公众的关注。
在当今的信息社会,一方面个人隐私以及对个人信息的控制权需要保护,另一方面,对信息的合理需求和使用也无法回避。有业内人士就此指出,对个人信息的保护并不是绝对的,而是需要进行一定的利益平衡,特别是在信息技术不断变革的情况下,对于平衡度的把握需要较高的立法技巧和远见。
而不争的事实是,关于个人信息被滥用、被侵犯的消息屡见报端,但是各方都积极呼吁的有关个人信息保护的综合性、基础性立法,即个人信息保护法却一直难以出台。
北京航空航天大学法学院副教授、商法与经济法研究中心副主任周学峰指出,从形式来看,我国目前尚未有个人信息保护法之类的专门性法律,而且在短期内该法也可能难以出台,但是,这并不意味着我国不存在保护个人信息的实质意义上的法律规范。而在专门的立法出台之前,在现行法律框架下,一旦个人信息被人侵犯,还是可以有救济手段的。如果公民发现其个人信息遭到了泄露或被滥用,可以在现有的法律框架下,通过法律解释的方法,来维护自己的合法权益。
个人信息保护立法进程慢原因多
“据我所知,早在十年前,国务院有关部门曾就个人信息保护法的立法问题委托中国社科院的一些专家进行研究,这些专家曾在2005年左右提出过一份个人信息保护法专家意见稿,但是,个人信息保护法一直未被列入正式的立法日程。”周学峰分析认为,个人信息保护法一直难以出台,主要有以下原因:
首先,我国立法机关的立法任务非常繁重,立法有轻重缓急之分,特别是在去年全国人大常委会刚刚通过了《关于加强网络信息保护的决定》,就目前的情况来看,可能尚有更为重要的法律需要制定。
其次,一项立法草案需要达到一定的成熟程度才能顺利通过。从这个角度来讲,个人信息保护还有一些问题需要进行研究、协调和解决。例如,数据挖掘技术是近些年才出现的一项信息技术,它的出现对于个人信息的采集和使用规则亦提出了挑战。
第三,个人信息保护法是一部个人信息保护的基础性法律,它不仅规范金融机构、电信机构等对个人信息的获取和使用,政府机构对个人信息的获取和使用亦应受其约束。因此,在立法时需要征集多部门的意见并进行协调,这些亦会导致立法进程缓慢。
虽未有单独立法但仍有救济途径
《法制日报》记者在采访中发现,在个人信息保护领域,我国许多省市都已经制定了有关个人信息保护的地方性法规。此外,全国人大常委会、国务院及其部委也制定了若干专门领域的个人信息保护规定。例如,在网络信息保护方面,有《全国人民代表大会常务委员会关于加强网络信息保护的决定》、工信部制定的《电信和互联网用户个人信息保护规定》;在金融信息保护方面,国务院制定了征信业管理条例等。另外,我国刑法亦规定有“非法获取个人信息罪”和“非法买卖、提供公民个人信息罪”。
结合此次酒店客户个人信息存在泄露风险一事,周学峰指出,网络公司应该预见到,如果其所提供的信息系统有缺陷,将会导致所存储的个人信息受到严重泄露,因此,网络公司负有保障其提供的信息系统具备安全性的义务。当然,这种安全性应当是一种合理的安全性,而不是绝对的安全性。在判断网络公司是否尽到了安全保障义务时,可以参照工业和信息化部于2013年7月制定的《电信和互联网用户个人信息保护规定》。除此以外,《信息安全技术、公共及商用服务信息系统个人信息保护指南》作为我国首个个人信息保护的国家标准,虽然不具有法律上的强制约束效力,但具有指南性,亦可作为衡量互联网企业是否有过失的参考性标准。
此外,据了解,从世界范围来看,目前关于个人信息保护立法存在两种立法模式,一种是集中立法模式,如欧盟的《个人信息保护指令》;另一种则是分散的立法模式,例如,美国并不存在像欧盟《个人信息保护指令》那样的一部法典,而是分散在若干部法规之中。周学峰认为,如果我们要采取集中立法的模式,欧盟的《个人信息保护指令》可以作为借鉴的对象。
受害人可依据现行法律进行索赔
针对仍在不断持续发酵的酒店客户个人信息存在泄露风险一事,周学峰分析认为,仅就这一个案而言,即便现在我国尚无专门的个人信息保护法,也并不存在“无法可依”的情况。如果真的发生了酒店客户个人信息泄露事件,受害人是可以依据现行法律进行索赔的。
首先,在酒店住宿的客户与酒店之间存在合同关系,酒店负有保障其客户的人身和财产安全的义务,这其中应包括酒店所收集的客户个人信息的安全。此种义务属于合同当事人的附随义务,即使合同中未对此明确地约定,当事人亦可主张。因此,当酒店违反了合同义务时,客户可依据合同法向酒店主张违约责任。
其次,客户可依据侵权责任法主张酒店未尽到安全保障义务,从而要求损害赔偿。酒店的这一义务是法定的。根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》第四条的规定,酒店有义务采取技术措施和其他必要措施,确保信息安全,防止其所收集的公民个人电子信息泄露。值得一提的是,依据侵权责任法,当发生黑客入侵酒店信息系统获取客户个人信息时,黑客作为直接加害人应承担首要的赔偿责任,而酒店仅承担与其过错相应的补充责任。另外,此次事件中,酒店的信息系统是从某网络公司采购的,并且酒店客户的个人信息是存储在该网络公司服务器上的,因此,酒店在对其客户进行赔偿后,可基于合同关系再向网络公司主张赔偿。(记者朱宁宁)