2017年全国两会开幕在即,全国政协委员施杰表示,他已完成题为《关于对我国公民个人信息保护进行立法的建议》的提案,呼吁通过专门立法保护公民个人信息。
在大数据时代,个人信息保护早已不是新鲜话题,时不时就会有相关案例或者数据敲响警钟。对这个问题,似乎人人都觉得很重要,但具体到怎么保护,却又拿不出特别好的方案。“严厉打击”说起来解气,但到底打击谁,怎么打击,确实需要从立法层面,好好梳理现存的问题,从而为治理创造基础条件。
以去年备受关注的徐玉玉案为例,我们可以发现个人信息保护的一些难点。该案的过程并不复杂,有犯罪分子通过技术手段攻击了“山东省2016高考网上报名信息系统”,然后盗取包括徐玉玉在内的大量考生报名信息。这些信息被卖给了犯罪嫌疑人,犯罪嫌疑人冒充政府工作人员,通过电话诈骗徐玉玉9000多元,导致她猝死。
这起案件因为导致当事人死亡,再加上引发舆论的轩然大波,所以在破案和后续的法律追责上,可能会表现出异乎寻常的效率和力度。但更普遍的情形,如果只是诈骗几千块钱,当事人没有付出生命代价的话,根本不会引起相关部门特别的重视,破案就很困难。因为利用个人信息实施诈骗和出卖个人信息的,往往不是同一伙人,个人信息几经倒手售卖,通常很难锁定最初盗取个人信息的罪魁祸首。取证难,是个人信息保护中面临的主要问题之一。
徐玉玉案中还有个特殊的地方,犯罪嫌疑人是通过技术手段攻击官方系统,而现实不乏很多案例,是掌握公民信息的公职人员,以内外勾结的方式泄露个人信息。要取证调查清楚这些内幕和利益链,显然非常困难。当然,即便是官方系统被黑客攻击,掌控大量公民信息的部门是不是全无责任,有没有充分尽到管理和防护责任,也还需要进一步调查。这背后的根本问题,是掌控公民个人信息的源头部门,该承担的责任边界到底是什么。根据泄露信息的不同类型,这些部门分别承担怎样的责任,有没有清晰合理的规定。
取证难、责任界定难等问题,现实而迫切,需要经过专业讨论,形成法治化的解决方案。如果不能把需要保护的个人信息进行清晰的界定,将掌控个人信息的相关部门、企业及公职人员的责任厘定清楚,那信息保护就会持续步履维艰,执法部门看个案关注度“下菜碟”:关注度高的个案,严打猛打,而关注度不那么高的案件,受害者可能面临维权无门的窘境。
所以,施杰委员的提案值得相关部门重视。个人信息保护的立法呼吁已持续多年,进展缓慢可能和涉及太多利益群体的博弈相关。在大数据时代,个人信息或数据越来越被政府部门或企业深度使用,很多问题确实不可能拍脑袋决定,而需要更多的公共讨论。立法不可能一蹴而就,但早日将立法提上议事日程,有利于形成稳定的法治预期,营造良性的法治环境。