保护公民信息应制定《基本法》

随着网络信息技术发展，个人信息的整理、收集和传输变得越来越容易,一些电信、金融、保险、医疗、房地产等服务行业在提供服务过程中获得的公民个人信息被非法泄露的情况时有发生，对公民人身财产安全造成严重威胁。更突出的是，公民的通信方式、财产状况、家庭信息、健康状况等个人社会身份信息成为随意买卖的“商品”，致使公民遭受无休止的电话、信息骚扰，公众对个人信息法律保护呼声越来越高，应尽快制定统一的《个人信息保护基本法》。

近日，全国信息安全标准化技术委员会在京举办座谈会。针对如何维护个人信息安全，中国全国信息安全标准化技术委员会透露，信息数据采集的“行为准则”正在报批过程中，我国信息数据采集之所以迫切需要一个“行为准则”，是因为公民个人信息泄露问题相当严峻。

有专家认为，巨量公民个人信息被泄露带来严重危害。电信诈骗屡打不绝的一个根本原因在于公民个人信息保护乏力，从而使不法分子能够利用这些信息进行“精准”诈骗，因此，仅依靠行业的自律是远远不够的，为保护公民个人信息制定专门的法律已刻不容缓。背景大数据时代公民信息保护面临挑战

随着移动互联网、云计算等新技术的飞速发展，人类步入大数据时代，随之而来的信息安全、信息滥用问题也日益严重，公民个人信息被不当使用或非法泄露的情况激增。据中国互联网协会发布的《中国网民权益保护调查报告(2015)》，63.4%的网民通话记录、网上购物记录等网上活动信息遭泄露;78.2%的网民个人身份信息曾被泄露，包括姓名、家庭住址、身份证号及工作单位等。

一项调查表明，银行信用卡客户数据泄露现象颇为严重，通过QQ群、微信等网络工具，仅花费5毛钱，就能买到包括姓名、电话、地址、工作单位、开户行等完整个人信息的一条信用卡开户数据。部分旧个人数据的报价，甚至低至“2000元10万条”。这些被泄露的个人信息成为欺诈陷阱、骚扰电话的重要源头。链接我国个人信息立法现状：效果不佳

我国目前关于个人信息的保护法律、法规、规章及司法解释非常有限，较为直接的立法保护法规主要有:工信部公布实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》、全国人大颁布实施的《刑法修正案》(七)、《侵权责任法》、《护照法》、《居民身份证法》、中国人民银行公布实施的《个人信用信息基础数据库管理暂行办法》等。此外在我国宪法、民法通则、民事诉讼法、刑事诉讼法等国家根本大法和基本法中也有关于个人信息保护一些较为笼统的规定，还有一些易被忽视的散见于部门法或者行政法规、规章、司法解释等，如《妇女权益保护法》、《政府信息公开条例》、《档案法》等。

在网络信息技术高速发展已进入大数据时代的今天，我国现有的法律法规在个人信息保护方面存在以下问题：1.概念不清、立法规定散乱。2.层次不一，大多效力级别不高。3.适应性差，不系统不全面。4.权责不明，相互之间缺乏协调。总之，我国个人信息保护尚没有构成完整的法律体系，现有的法律法规层次和效力低，呈现散、乱、偏的问题，严重制约了对公民个人信息的保护。因此，许多专家建议全国人大制定统一的全国性的法律，尽快出台公民个人信息保护基本法。案例

近期，北京市大兴区法院审理的京东用户信息被泄露案件是一个最新的例证。2014年12月至2015年1月，数百名京东用户遭遇信息泄露，精准的订单信息骗局随之而来，受骗用户损失少则数百上千元，多则数万元。

法院审理查明，泄露事件系京东3名内部员工所为，他们通过登录京东ERP办公系统，非法获取了京东商城用户个人信息9313条，并将上述信息售与他人，造成京东公司大量客户信息泄露。观点保护公民个人信息 不能仅靠行业自律

在大数据时代，公民不提供足够的信息会导致一些业务无法开展，也可能影响产业的进步，但究竟哪些信息是必要的，哪些信息不应该被采集，这中间有一个边界问题;在收集到了公民个人信息之后，作为采集的一方，如何确保这些信息不会被泄露乃至正常业务之外的非法利用，这又是一个内部管理和控制的问题;采集者往往只考虑自己一方的方便，容易产生“公民提供的信息越多越好”，而“内鬼”的出现常常使貌似严格的内部管理制度成为一纸空文。

因此，国家信息安全标准化技术委员会透露标准信息数据采集标准正在报批之中，但是这个标准不具备强制性，更像一个行业用以自律的制度，确保公民个人信息不被泄露和滥用，仅仅依靠行业的自律是远远不够的。

全面保护公民个人信息，法律的作用无疑首屈一指。虽然在现行法律体系中，并不是没有个人信息保护的条款，刑法中也有相关规定，但一来这些条款散布在多个法律法规之中，多头管理操作不易，二来刑法虽有威慑，但大多数侵害公民个人信息的行为往往由于达不到定罪量刑的标准而无法使用刑法惩处，所以，保护公民个人信息而专项立法应该启动。

如果进行专门立法，立法应明确公民个人信息的范围，将公民个人信息权作为一项独立的权利进行保护：公民个人信息除了公民的姓名、住址、电话、财产、职业、学历、家庭成员等信息以外，还包括指纹信息、交通信息、DNA信息，GPS信息、健康信息等内容。在明确了公民个人信息的概念和范围后，应将个人信息权作为一项独立的权利，对公民个人信息的收集、保管、使用、处理和传输的整个过程中所涉及的个人信息权保护作出明确规定。

此外，立法还应该明确哪些是公民个人信息收集的适当主体，收集公民个人信息应该限定在什么范围、经过哪些公开的程序，以及造成损害的赔偿和刑事法律责任等。

本期作者肖武钟海