近日媒体报道,因被诈骗学费而去世的18岁的临沂姑娘徐玉玉尸骨未寒,惊悉8月23日凌晨,来自临沭县的大二学生宋振宁也在遭遇电信诈骗后,心脏骤停,不幸离世!
亲属称,该学生在去世前接到诈骗电话,并被骗去数额不等的现金,其父母因伤心过度住进医院。
初步一看,此类悲剧是电信诈骗,而其根源,是个人信息或数据保护的问题。当前看来,我国在这方面存在如下一些问题:
一、宏大叙事过多,个人保障不足
个人信息保护或隐私保护是互联网时代人们耳熟能详,也是炙手可热的话题。但为什么要保护个人信息?这一终极追问在当下的中国值得人们思考。
个人信息价值被认识的开端,也是掠夺与侵害的开端。人类历史上第一次恶意利用个人信息的时间发生在纳粹德国,德国纳粹运用IBM生产的电脑将人口普查中获得的有关犹太人的个人信息,尤其是针对种族和宗教等敏感性信息,进行自动化处理和分类,以便准确和快速地将犹太人关入集中营。
同一时期,美国政府非法利用户籍资料跟踪和调查美籍日裔,于是个人信息保护立法率先在欧洲和美国拉开帷幕。时至今日,欧盟将个人信息保护更多提高到人权保障的层面,而美国更多注重与消费者保护的层面,但其核心还是个体。从中可以看出其立法价值的导向,立法价值导向导致不同制度设计。
而我国历史上缺乏个人信息保护的传统,近年来学习欧美立法等,但目前个人信息保护的价值更多体现在国家安全的价值理念上。目前正在进行的网络安全法立法对个人信息保护大书特书可以看出,国家安全已经日益成为我国个人信息保护的立法导向。在此理念下的个人信息保护制度,难免宏大叙事,某种意义上忽视对于个体的保障。
二、叠床架屋严重,正本清源不足
我国目前不是缺乏个人信息保护的立法,相反是太多了,且有叠床架屋之嫌。就直接规定个人信息保护立法而言,目前从法律、部门规章、国家标准、行业标准等方面都频频涉及。
《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》、《信息安全技术公共及商用服务信息系统个人信息保护指南》等都专门做了规定。另外,在金融、医疗、教育等行业也有个人信息保护的行业性规定。
我国除了前述直接明确提出对个人信息加以保护的立法以外,还存在一些通过保护“人格尊严、个人隐私、个人秘密”等与个人信息相关的范畴进而保护个人信息的法律。我国宪法规定“公民的人格尊严不受侵犯”,“公民住宅不受侵犯”,“公民享有通信自由和通信秘密的权利”,“国家尊重和保障人权”等。另外,刑法、民法等规范中都频频涉及个人信息保护。但总体而言,目前立法概念不统一、重复交叉,叠床架屋现象颇为严重。
三、九龙治水失序,制度效度不足
到底谁是个人信息的监管部门?欧盟立法规定每个成员国都应该规定一个或多个机关,以负责监督在其领域内根据该指令所采取的规定的实施情况。这些机关应该完全独立地行使所赋予它的职能。
个人信息保护的监督机构负责对个人信息处理进行登记和管理,有权对公共机关和私人机构实施的个人信息处理行为进行审计和调查,并对违法行为提出警告、建议或进行处罚和制裁。监督机关享有广泛的权力,包括调查权、有效地干预权、司法建议权等。因此,欧盟各国都有专门的个人信息保护机关——个人数据保护局。
在美国,对隐私(或称为“隐私信息”、“私人信息隐私”)的保护是消费者权益保护的核心内容,因此,对隐私保护的监督管理属于联邦消费者保护监督管理机构的职责范围。
反观我国,目前几乎所有部门都有个人信息保护的权力,可谓九龙治水。各个部委在其部门立法都会“政治正确”地写上个人信息保护的时髦条款,但实践中却会发现,很多时候成了一种点缀。
以互联网行业为例,从法律规定来看,工信部可以管,网信办可以管、商务部可以管,工商总局也可以管,除此之外,事实上还有很多“有关部门”,不胜枚举。
徒法不足以自行。当我们今天探讨大数据时代的隐私保护等前沿问题时,却发现实践中最普遍的倒卖手机号现象却如火如荼,大行其道。买了房,马上有人问要不要装修,装修好了,马上有人问要不要买家具,家具买了,马上有人问要不要保洁。
前文提到的两个悲剧,核心就是倒卖个人手机号,包括其他一些基本信息,与大数据无关,与人工智能也无关,相信与国家安全也无关。试问,我们有那么多立法,那么多监管机构,为什么最基本的倒卖手机号都无法打击呢?在当前的环境下,个体对此类现象往往束手无策,以至于酿成前文所说的悲剧,确实值得我们深思。也许个人信息保护的问题只是一个缩影,我国当前很多制度建设的缩影。