个人信息保护现状调研报告.docx
《个人信息保护现状调研报告.docx》由会员分享,可在线阅读,更多相关《个人信息保护现状调研报告.docx(16页珍藏版)》请在冰豆网上搜索。
个人信息保护现状调研报告
个人信息保护现状调研报告
为了全面了解中国个人信息保护的现状及其所面临的问题,配合立法工作,2007年9月~2008年12月,中国社会科学院法学研究所课题组针对中国个人信息保护的现状以及公众对个人信息保护的意识,在北京、成都、青岛、西安4个城市进行了调研。
除了文献分析外,调研组采取了访谈、座谈及问卷调查等多种调研方式。
在问卷调查中,调研组共分发了1240份问卷,回收了938份有效问卷。
下面是对调研数据和文献的一些分析结果。
一中国个人信息保护的现状
(一)中国个人信息的滥用状况
个人信息是单独或者与其他信息结合后可以识别特定个人的信息,对其的收集、保存、处理、利用早已有之,但直到信息化社会到来,作为一种非常有利用价值的东西,信息受到了空前的重视,滥用个人信息的问题也日趋严重。
在中国,随着信息处理和存储传输技术的不断发展,个人信息滥用的形式逐渐多样化。
基于当前中国已经出现的各种实例,个人信息的滥用大致可以归纳为以下几种情形。
1.过度收集个人信息
有关机构超出所办理业务的需要,收集大量非必要或者完全无关的个人信息。
比如,一些商家在办理积分卡时,要求客户提供身份证号码、工作机构、受教育程度、婚姻状况、子女状况等信息;一些银行要求申办其信用卡的客户提供个人党派信息、配偶资料乃至联系人资料等。
2.擅自披露个人信息
有关机构未获法律授权、未经本人许可或者超出必要限度地披露他人个人信息。
比如,一些地方对行人、非机动车交通违法人员的姓名、家庭住址、工作单位以及违法行为进行公示;[1]有些银行通过网站、有关媒体披露欠款者的姓名、证件号码、通信地址等信息;[2]有的学校在校园网上公示师生缺勤的原因,[3]或者擅自公布贫困生的详细情况。
[4]
3.擅自提供个人信息
有关机构在未经法律授权或者本人同意的情况下,将所掌握的个人信息提供给其他机构。
比如,银行、保险公司、航空公司等机构之间未经客户授权或者超出授权范围共享客户信息。
4.非法买卖个人信息
近年来,社会上出现了大量兜售房主信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息的现象,并形成了一个新兴的产业。
在此情形下,个人信息的滥用至少有两种可能:
其一,个人在办理购房、购车手续、住院接受治疗或者从事其他活动之后,相关信息被有关机构或者其工作人员卖给房屋中介、保险公司、母婴用品企业、广告公司等;其二,很多专门从事个人信息倒卖的个人或者商家将买受或者借有关机构管理不善而窃取的个人信息进行汇总编辑,再以一定的价格批量买卖。
5.超目的使用个人信息
有关机构超出收集个人信息时所明示的目的使用个人信息。
比如,企业以进行售后服务为目的收集个人信息,但日后却用来向客户推销;银行利用客户办理储蓄、信用卡所提供的信息,日后以电话、短信形式向其推销各类理财产品。
6.保管不善
有关机构不能尽到妥善保管的义务,导致所掌握的个人信息被遗失、泄露。
比如,某高校就发生过数千名学生和老师的电子学籍管理系统账号和密码外泄的事件。
[5]而医疗机构将病历卡挂在住院病人床头、将化验单放在检验室门口任由患者和家属自取的做法也属于保管不善。
过去,也曾经发生过因用人机构未妥善保管应聘资料致使应聘者被骗丧命的案件。
[6]
7.掌握的信息不准确
有关机构所收集、保存的个人信息有误,影响当事人正常办理有关的业务。
比如,由于公安机关掌握的身份证号码重号,导致公民无法正常办理业务。
又比如,银行掌握的个人信贷信息有误,致使当事人因此被列入欠债的“黑名单”。
8.个人信息被冒用
在本人不知情的情况下,其个人信息被他人冒用办理有关的业务。
比如,冒用他人身份证件,办理银行开户业务、[7]电信入网业务、驾照申办业务等。
(二)中国个人信息保护的法制状况
目前,中国尚没有制定专门的个人信息保护法,[8]相关规范散见于各个层级的法律、法规、规章以下的规范性文件以及行业规范(以下简称“法规等规范”)之中。
所采用的术语涉及“个人信息”、“隐私”、“私隐”、“个人数据”、“个人资料”、“个人档案”等。
迄今为止出台的法规等规范中,出现频率较高的依次是隐私、个人档案、个人信息、个人资料、个人数据、私隐。
1980~1999年出台的法规以及各类规范中涉及个人信息保护的规定相对较少。
从1999年开始,新制定的法规等规范中涉及个人信息保护的规定明显增加。
比如,部门规章类的数量从1999年一年出台约10件到2006年一年出台约40件,每年新制定的规范件数都达到了两位数。
1.中国个人信息保护规定的特点
(1)个人信息保护的规定主要集中于法律位阶不高的法规等规范之中。
个人信息保护的大部分规定主要集中在地方性法规、部门规章、地方政府规章乃至其他规范性文件和行业规范中。
其中,由国务院部门发布的规章等规范性文件约有683件,由地方立法机构等发布的地方性规范约有2883件,而法律以及国务院发布的法规等规范则仅有约65件。
(2)对个人信息的界定正在趋于明确。
各类法规等规范中大量使用的是“隐私”一词,但是,其内涵与外延并不明确。
而近年来出台的法规等规范则开始使用“个人信息”概念,有的还明确规定了其范围。
比如,有的使用了有关部门因执行公务而接触的“个人信息”的表述(比如,《居民身份证法》、《护照法》等);有的将个人信息限定于可以识别特定个人的信息(比如,《个人信用信息基础数据库管理暂行办法》第4条);有的甚至以列举的形式规定个人信息的范围(如《山东省消费者权益保护条例》第17条第2款[9])。
(3)涉及个人信息保护的规定正趋于完善。
中国大部分的法规等规范一般还只是限于要求有关主体不得泄露所掌握的个人信息,但是,近年来,一些新制定的法规等规范开始更加注重个人在个人信息处理过程中的权利和地位。
比如,禁止收集与特定业务无关的个人信息(如《山东省消费者权益保护条例》第17条第1款),收集个人信息应经过本人同意(如《深圳市个人信用征信及信用评级管理办法》第7条),允许信息主体查询、请求更正本人的个人信息(如《政府信息公开条例》第25条)等。
(4)滥用个人信息的法律责任正在趋于严格。
过去,大部分的法规等规范缺乏关于个人信息滥用行为法律责任的规定。
近年来,一些法规等规范逐步加大了对违法处理个人信息行为的处罚力度,引入了行政处罚(如《执业医师法》第37条、《律师法》第48条、《未成年人保护法》第69条)、[10]行政处分(如《护照法》第20条)乃至刑事处罚(如《公证法》第13条)。
2008年8月提请全国人大常委会审议的《刑法修正案(七)》草案还拟对国家机关或者金融、电信、交通、教育、医疗等机构的工作人员违法处理个人信息的行为设定刑事处罚。
2.现行个人信息保护规定存在的问题
(1)个人信息保护尚缺乏专门性规定。
个人信息处理活动应当遵循怎样的原则、信息主体在个人信息处理活动中享有哪些权利、对滥用个人信息的信息处理者如何予以制裁、由什么机构负责执法,这些都无法通过现有的零星规定得到解决。
(2)个人信息主体的权利并没有得到全面确认。
现行的各类规定一般仅限于禁止泄露个人信息,但是,个人信息主体在信息收集、保存、利用中的知情权、同意权、请求更正错误信息和删除不必要信息乃至获得救济的权利等都几乎没有得到确认。
(3)缺乏有效的执法和救济机制。
当前,并没有明确的机构负责对个人信息处理行为进行监督,个人信息遭受滥用的公众基本处于投诉无门的境地。
个人与个人信息处理者之间存在信息、地位的不对称,依靠个人的力量往往很难取得有力的证据。
个人信息滥用所引发的纠纷涉案金额一般较低,但通过诉讼等渠道寻求解决的成本却相对较高,这也是导致各类法规等规范所确立的制度无法得到很好落实的原因。
二中国个人信息保护的公众意识
通过在4个城市发放调查问卷,我们试图了解中国公众对个人信息保护的认知程度及倾向性、个人信息滥用的基本状况、个人信息保护机制现状等问题,以便为中国未来的立法活动提供参考。
(一)公众对个人信息保护制度的认知程度
公众对于他人收集自己的个人信息拥有知情权,包括要求告知收集了哪些信息、收集与使用目的等。
从调查结果看,现实中每次都仔细去了解个人信息处理者处理个人信息相关规定的人还比较少,仅占所有有效回答的9.7%(见图1)。
图1接受调查的公众对个人信息收集者处理个人信息规定的关注程度
关于个人在个人信息处理过程中所享有的权利,绝大多数接受调查的公众认为,其有权要求收集信息的机构告知收集信息的用途以及掌握了自己哪些信息,有权请求其更正所掌握的错误信息并删除无关的信息,甚至请求其赔偿因滥用自己的个人信息而给自己造成的损失。
但是,对于是否有权拒绝提供信息,有一部分接受调查的公众认为自己没有此权利(见图2)。
图2接受调查的公众对自己在个人信息处理方面所享有权利的认识
(二)个人信息遭受滥用的情况及其危害
在接受调查的公众中,有42.5%的人表示,曾经遇到过有关机构不当处理其个人信息的情况。
这一数据仅在一定程度上反映出那些明确感受到自身个人信息遭受滥用的公众的情况,却并不能够反映出那些虽遭受滥用、但自己尚不知情的公众的情况。
接受调查的公众普遍认为,有关机构在处理个人信息过程中,存在如下问题:
不明确告知个人信息的用途;很多信息与所要办理的业务无相关性;个人无权选择是否提供信息,地位十分被动;有关机构超出原有的目的使用个人信息;有关机构擅自将个人信息泄露给其他机构或个人;有关机构的个人信息保管机制不健全,存在信息被泄露、篡改的可能(见图3)。
课题组进行的另外一项调查显示,上述情况还涉及政府机关。
比如,有些政府机关在为实施政府信息公开制度而设计的“依申请公开申请表”中,除了个人姓名、联系方式、所申请信息的描述等外,还要求申请人提供身份证号码、住所、工作机构等信息,后者与申请公开政府信息并不相关。
图3接受调查的公众认为有关机构处理个人信息存在的问题
很多接受调查的公众希望有关机构能够删除本人的部分或者全部个人信息,其理由大体包括:
有关机构掌握信息未经本人同意;不再接受其服务,故不希望其继续掌握自己的信息;有关机构经常以电话、邮件等方式骚扰自己的正常生活;担心其不能很好地保护自己的个人信息(见图4)。
图4接受调查的公众希望有关机构删除其个人信息的理由
很显然,人们希望有关机构删除自己的个人信息,主要是因为对其缺乏信任,尤其是频频遇到个人信息被滥用的问题。
比如,有相当多接受调查的公众收到过陌生的推销电话,且对方能够准确地说出自己的姓名等信息;有一部分接受调查的公众遇到过有关机构随意放置自己的信息,或者因有关机构所掌握的信息不准确而无法办理有关业务的情况;有少数接受调查的公众或者家人的姓名、住址、电话、照片等曾被擅自公开在网络、媒体上,甚至遇到过个人信息被冒用的情况(见图5)。
图5接受调查的公众个人信息遭受滥用的情形
接受调查的公众普遍认为,个人信息的滥用正在威胁着自己的生活安宁、生命财产安全,令自己感到压力或者心情不快(见图6)。
图6接受调查的公众对个人信息滥用危害的认识
面对日趋严重的个人信息滥用现象,接受调查的公众均认为,各类企业在处理个人信息时应当约束自身行为,健全内部管理机制,妥善保管所掌握的个人信息,防止信息泄露,更要加强对自身内部人员的管理,防止其利用工作之便滥用个人信息。
而且,多数人希望企业能够在收集个人信息过程中,向个人明示其个人信息保护措施,尤其是要设置并明示企业接受相关投诉的渠道,赔偿因不当处理个人信息而给个人造成的损害(见图7)。
图7接受调查的公众希望企业在个人信息保护方面采取的举措
对于政府机关,接受调查的公众普遍认为,政府机关应以身作则,规范本机关处理个人信息的行为(占99.7%),加强对本机关掌握的个人信息的保管(占100%),严格管理和规范政府机关
升级会员 