自2015年《刑法修正案九》颁布后,侵犯公民个人信息已经入罪,其规定了新的侵犯公民个人信息罪罪名,并加重处罚,最高可判7年。
“但目前有罪行为类型仍相对偏窄,对于非法‘处理’个人信息等具有同等法益侵害性的行为涵盖范围有限。”北京师范大学刑事法律科学研究院副教授吴沈括说。此外,对侵害个人信息的民事维权、行政诉讼都存在现实障碍。
“如果不及时制定个人信息保护法,尤其会对互联网产业、电商平台以及大数据产业造成危害。同时,对侵害个人信息权的行为听之任之,又会造成网民生活的不安宁。”重庆大学法学院教授齐爱民说。
企业泄露个人信息举证难
2009年,《刑法修正案(七)》增加了出售、非法提供公民个人信息罪,以及非法获取公民个人信息罪两个罪名。2015年的《刑法修正案(九)》将两项罪名归并为一项,合称侵犯公民个人信息罪。
此外,侵犯公民个人信息犯罪多了“情节特别严重”的情形。过去,情节严重的,最高判处三年以下有期徒刑;现在,情节特别严重的,最高可以判到七年。
“应该说该条文经过刑法修正案(七)和刑法修正案(九)的改革,已经有了相当的改进。”吴沈括说。
但值得注意的是,尽管规定了7年的最高刑罚,但司法实践中的量刑普遍偏低。21世纪经济报道记者在中国裁判文书网查询2015年底以来判决的多个侵犯公民个人信息罪案例,量刑普遍在2年以下,还有的被判决免予刑事处罚。
“现在电信诈骗已经是专业化的精细分工,实施诈骗的人,基本不是泄露和收集信息的人。一个快递小哥,销售了5000个快递信息,这能判他多大的罪?”电信专家项立刚告诉记者。
相比于买卖个人信息的不法分子,社会对泄露个人信息的企业和部门更为不满。“对于泄露个人信息且造成严重影响的行为,在符合犯罪构成的情形下可能予以刑事处罚。此外,泄露信息的事实本身还可能构成其他严重犯罪的帮助行为。”吴沈括说。
但在中国裁判文书网上,还检索不到单位被判侵犯个人信息罪的案例,只有一起自诉案件最终被判不予受理。
个人信息遭泄露后的民事维权同样艰难。开房信息泄露、机票退订诈骗等事件发生后,有受害人起诉酒店或航空公司,但均遭败诉。
举证难是信息泄露维权者的普遍难题,“侵权诉讼需要原告证明因果关系,这个比较有难度。”中国政法大学传播法研究中心研究员朱巍说。
“法院往往以被泄露信息的消费者不能证明酒店或网站是唯一泄露其信息的途径为由,不支持原告的请求。”一名曾代理类似案件的律师告诉记者。
由于电信网络诈骗案的频发多发,公安机关往往无力应对,一些小额受害人在报案时会遭遇不立案或无回复。“当有类似遭遇时,我认为报案人可以向人民法院起诉公安机关,要求其履行法定职责,因为公安机关属于政府部门,其接受人民群众报案也应是行政行为。”全国律协行政法专业委员会执行委员王才亮说。
“但现实中,有的公安机关往往声称自己的行为属于刑事侦查行为,造成法院无法受理报案人的行政诉讼,导致报案人在无法立案或长期没有回复后得不到救济。”王才亮告诉记者。
个人信息保护立法进程多艰
“我国目前关于个人信息保护的法律规范十分零散,而且规范所处的效力位阶普遍较低。譬如《电信和互联网用户个人信息保护规定》属于部门规章,又如广东与上海等沿海省市对个人信息保护的规范属于地方性法规。”齐爱民说。
“当然也有位阶较高的规范,譬如刑法第九修正案以及消费者权益保护法。然而这些规范或者调整对象有限,或者主要被用于制裁犯罪,因此很难被用来维护信息主体的权益以及信息社会的安全。”齐爱民说。
正在审议之中的《网络安全法(草案)》包含了大量个人信息保护的条款。“网络安全法和个人信息保护是有区别的,如果存在交集,可能体现在如何规范个人信息的跨境流动。”亚太网络法律研究中心主任刘德良说。
“从严格意义上讲,个人信息保护非《网络安全法》的立法任务,把个人信息保护加进去,是对严峻的个人信息泄露形势疲于应付的结果。”齐爱民说。
齐爱民认为有必要制定一部《个人信息保护法》,赋予主体自由支配并排除他人侵害的权利,同时通过系统的制度设计来防止他人侵权。