摘 要：在電子商務(wù)中發(fā)展過程中，對個人信息的依賴程度日益加深。由于對個人信息的非法利用給信息主體造成了嚴(yán)重的影響，這直接影響到消費(fèi)者對電子商務(wù)的信賴，制約了電子商務(wù)的健康發(fā)展。通過分析個人信息在計算機(jī)網(wǎng)絡(luò)條件下所面臨的風(fēng)險，針對中國個人信息保護(hù)所面臨的困難，以個人信息保護(hù)和信息自由流動平衡為原則，提出建立個人信息利用和保護(hù)制度的建議。

關(guān)鍵詞：個人信息保護(hù)；個人信息流動；立法進(jìn)程；行業(yè)自律

中圖分類號：D92 文獻(xiàn)標(biāo)志碼：A 文章編號：1673-291X（2012）12-0232-03

一、個人信息安全面臨的風(fēng)險

一般認(rèn)為，個人信息是指包括姓名、性別、年齡、血型、健康狀況、人種等可以直接或間接識別該個人的資料。網(wǎng)絡(luò)條件下的個人信息同時具有人格權(quán)和財產(chǎn)權(quán)的雙重屬性。

隨著數(shù)字技術(shù)的發(fā)展，人們收集、處理和利用信息的能力急劇加強(qiáng)；而在網(wǎng)絡(luò)中，不同電腦的連接可以實(shí)現(xiàn)信息的即時取得。計算機(jī)網(wǎng)絡(luò)技術(shù)在處理與傳遞信息方面所表現(xiàn)出來的巨大能力，把個人信息置于危險境地。個人信息在計算機(jī)網(wǎng)絡(luò)條件下主要面臨著以下風(fēng)險：

（一）個人信息的非法收集

1.侵犯通信自由。電子郵件已成為一種重要的通信方式。無論是公務(wù)、商務(wù)還是私人性質(zhì)的電子郵件在傳輸?shù)倪^程中，都存在被攔截的可能。2006年8月，浙江律師郭力由于所發(fā)送郵件地址非正常外泄導(dǎo)致其郵件內(nèi)容被鏈接，在百度上搜索可以看到其向某單位電子郵箱發(fā)送的私人求職郵件，包括其所帶附件的全文[1]。

2.被要求填寫過于詳細(xì)的個人信息。目前各網(wǎng)站或其他服務(wù)性行業(yè)很普遍的做法，就是消費(fèi)者在上網(wǎng)瀏覽或者購物以及辦理銀行卡等的時候，需要填寫含有大量的個人信息的一系列表格，而這些表格中的個人信息過于詳盡，而且所收集的個人信息是不是已經(jīng)超過了需要的范圍，對于經(jīng)營者收集個人信息的目的及對收集到的個人信息采用何種安全保障，都是消費(fèi)者難以知悉和控制。

3.惡意跟蹤、收集個人信息。人們在上網(wǎng)時，網(wǎng)站運(yùn)營商運(yùn)用軟件，可以輕松地跟蹤網(wǎng)絡(luò)用戶，收集并記錄其興趣愛好，用戶瀏覽的網(wǎng)站、消費(fèi)習(xí)慣、閱讀習(xí)慣、通訊記錄甚至信用記錄等，再經(jīng)過整理、信息比對，可以形成詳細(xì)的個人信息檔案。這些個人信息經(jīng)過收集者的加工，可能被用于信息主體提供個人信息目的之外的用途。

4.侵入計算機(jī)系統(tǒng)獲取個人信息。網(wǎng)絡(luò)上存在著通過黑客和病毒等形式進(jìn)行的非法個人信息收集。這種情況下個人信息面臨著更大的風(fēng)險。雖然各種安全措施大量使用，侵入計算機(jī)系統(tǒng)的事件仍然層出不窮。2011年7月19日，中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）發(fā)布了《第28次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》顯示，2011年上半年，有過賬號或密碼被盜經(jīng)歷的網(wǎng)民達(dá)到1.21億人，占24.9%，較2010年增加3.1個百分點(diǎn)。刪除、修改、竊取個人數(shù)據(jù)不但針對網(wǎng)絡(luò)用戶的個人電腦，而且以儲存在政府、企業(yè)或者私人資料庫中的個人數(shù)據(jù)為主要目標(biāo)。

（二）個人信息的非法利用

1.不當(dāng)泄露。經(jīng)營者在向消費(fèi)者收集個人信息的時候，往往會保證對個人數(shù)據(jù)的安全負(fù)責(zé)。但是，網(wǎng)絡(luò)環(huán)境下存在太多的未知因素，導(dǎo)致消費(fèi)者的個人信息不當(dāng)泄露，就可能導(dǎo)致意想不到的后果。

2.惡意傳播。計算機(jī)網(wǎng)絡(luò)為惡意傳播提供了比傳統(tǒng)條件下更加通暢的渠道和更為有效的武器。利用傳播個人隱私，吸引人們的關(guān)注，提高網(wǎng)站點(diǎn)擊率，是一些網(wǎng)站增加經(jīng)濟(jì)效益的慣用方式。

3．為商業(yè)目的而使用。商家把網(wǎng)上收集到的個人信息經(jīng)過數(shù)據(jù)加工、數(shù)據(jù)挖掘等方法得到有商業(yè)價值的信息。經(jīng)營者希望通過對消費(fèi)者的個人數(shù)據(jù)分析，有針對性地為消費(fèi)者提供服務(wù)，進(jìn)一步開拓市場，是無可指責(zé)的。但關(guān)鍵在于消費(fèi)者這種服務(wù)往往既不知情，更無法選擇是否接受該服務(wù)。

（三）個人信息的非法交易

電子商務(wù)中的個人信息不但具有價值，更有成為商品的可能。充斥網(wǎng)絡(luò)的出售個人信息的廣告提醒網(wǎng)民個人信息的非法交易已經(jīng)形成了一個產(chǎn)業(yè)。一旦個人數(shù)據(jù)的交易完成，消費(fèi)者的隱私權(quán)以及其他相關(guān)利益都將受到進(jìn)一步嚴(yán)重侵犯。2011年曝光了一起北京最大的非法出售、提供、獲取個人信息案，揭開個人信息交易這一隱秘市場的冰山一角。電信公司的工作人員利用工作之便，將手機(jī)用戶的定位信息、電話清單、姓名和家庭地址等個人信息非法出賣給私家偵探，導(dǎo)致手機(jī)用戶在不知情的情況下被定位跟蹤，嚴(yán)重侵害了信息主體的權(quán)益[2]。

面對信息技術(shù)的廣泛應(yīng)用、面對強(qiáng)大的收集和處理主體，個人權(quán)利陷入岌岌可危的境地，個人信息的保護(hù)也越發(fā)困難。

二、個人信息保護(hù)存在的困難

中國目前個人信息安全問題嚴(yán)峻，消費(fèi)者維權(quán)難問題突出，個人信息保護(hù)存在以下困難:

1.法律法規(guī)的制約缺位。目前，世界上已有許多國際組織、國家和地區(qū)進(jìn)行了個人信息安全立法。各國對個人信息的名稱有所不同，主要有“個人隱私”、“個人資料”和“個人信息”等，但都是為了保護(hù)個人信息上所承載的人格利益或隱私利益。中國的個人信息安全立法關(guān)于個人信息保護(hù)條款散見于《刑法修正案（七）》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《侵權(quán)責(zé)任法》等法律法規(guī)中，《個人信息保護(hù)法》的立法工作在2003年曾一度啟動，此后數(shù)次傳出該法即將出臺的消息，但如今仍處于擱置中。而在目前有關(guān)案例中，涉及個人信息侵權(quán)問題主要只能依據(jù)有關(guān)隱私權(quán)保護(hù)的法律條文尋求法律的救濟(jì)，但個人信息與傳統(tǒng)隱私權(quán)存在著較大差異，而在訴訟中個人信息侵權(quán)也存在著舉證等方面的困難。因此，在司法實(shí)踐中因個人信息泄漏而導(dǎo)致的損失很難得到相應(yīng)賠償。

2.網(wǎng)站存在著大量安全漏洞。建立各種安全機(jī)制需要投入大量資金，在缺乏一個有效立法制度的情況下，互聯(lián)網(wǎng)企業(yè)并不愿花大量資金投入到網(wǎng)絡(luò)安全。很多大網(wǎng)站并沒有安全防護(hù)措施，因?yàn)樗麄冋J(rèn)為網(wǎng)站服務(wù)是第一位的，即使丟失個人信息也不是自己的責(zé)任。根據(jù)國際數(shù)據(jù)公司（IDC）2010的數(shù)據(jù)，對12個國家2 850家公司開展的一項(xiàng)調(diào)查結(jié)果顯示，目前國外信息安全投入占整體IT信息投入的比例為14.5%，但在中國這一數(shù)字僅為6.5% [3]。

3.個人信息保護(hù)的專門機(jī)構(gòu)缺失。在監(jiān)管機(jī)關(guān)層面，中國缺乏明確的專門的個人信息保護(hù)機(jī)構(gòu)，而以歐盟為例，27個成員國每個國家都有一個專門的信息保護(hù)機(jī)構(gòu)。

4.自我個人信息保護(hù)意識薄弱。中國在傳統(tǒng)上對個人信息保護(hù)的重視程度不夠，而由于目前人數(shù)眾多的網(wǎng)民在個人信息安全方面的知識欠缺和意識薄弱，這也加大了個人信息泄露的風(fēng)險。

5.個人信息泄露的渠道較多。除了在網(wǎng)絡(luò)交易過程中個人信息泄露外，企事業(yè)單位更掌握著其員工和客戶的大量個人信息，而有關(guān)行政機(jī)關(guān)在執(zhí)行其職能過程中也掌握了大量的個人信息。由于法律監(jiān)管的缺失導(dǎo)致這些企業(yè)和單位存在著個人信息泄露的嚴(yán)重風(fēng)險，而在曝光的案例中，很多大規(guī)模的個人信息泄露的源頭正是這些企業(yè)和單位。

三、中國建立個人信息保護(hù)制度的建議

電子商務(wù)的發(fā)展依賴于商業(yè)機(jī)構(gòu)對個人信息資源的開發(fā)利用。從事電子商務(wù)的商家一般必須要收集個人信息才能進(jìn)行交易 [4]。但是，個人信息所體現(xiàn)的是公民的人格利益，個人信息的收集、處理或利用直接關(guān)系到個人信息主體的人格尊嚴(yán)。同時，信息主體如果對個人信息安全存在疑慮也會對其參與電子商務(wù)的帶來消極影響。因此只有在個人信息保護(hù)和信息自由流動帶來的利益之間取得平衡，建立起完善的個人信息利用和保護(hù)制度，電子商務(wù)才能得到長遠(yuǎn)發(fā)展。

1.加快《個人信息法》立法進(jìn)程。首先，該法的基本原則是平衡個人信息權(quán)與國家利益、行業(yè)利益之間的關(guān)系。即既要考慮到個人信息安全，又要保障信息的正常流動。其次，要明確個人信息的內(nèi)容。應(yīng)納入保護(hù)范圍的個人信息主要包括：特定個人信息（姓名、性別、出生日期、身份證號碼）、敏感信息（包括宗教信仰、婚姻、家庭、職業(yè)、病歷、收入、個人經(jīng)歷）、郵件地址、IP 地址、賬號與密碼、網(wǎng)頁瀏覽習(xí)慣、消費(fèi)記錄等等凡是能夠直接或間接識別個人的資料均應(yīng)納入。第三，必須在立法上明確個人信息的法律地位，并對網(wǎng)絡(luò)經(jīng)營者和消費(fèi)者在保護(hù)個人信息安全方面的權(quán)利和義務(wù)做出詳細(xì)規(guī)定。 一方面，應(yīng)該根據(jù)國際組合和其他國家的立法經(jīng)驗(yàn)，明確信息主體享有對個人信息的控制權(quán)，他人收集、使用其個人信息必須經(jīng)本人同意，本人有權(quán)掌控信息的用途，并可以及時更正及刪除信息，當(dāng)個人利益遭受損失時，能夠通過各種正當(dāng)?shù)耐緩将@得救濟(jì)。另一方面，要明確網(wǎng)絡(luò)經(jīng)營者有在網(wǎng)站表明有關(guān)個人信息收集、利用和處理規(guī)則的義務(wù)，明確告知消費(fèi)者收集的目的所在，并且保證按照該目的使用個人信息；采取適當(dāng)?shù)牟襟E和技術(shù)措施保護(hù)消費(fèi)者個人信息的安全；除非法律另有規(guī)定，未經(jīng)信息主體的明確同意，經(jīng)營者不得向第三方提供個人信息。

2.建立經(jīng)營者行業(yè)自律制度。要建立網(wǎng)站經(jīng)營者行業(yè)自律組織，行業(yè)自律組織要制定行業(yè)標(biāo)準(zhǔn)加強(qiáng)對行業(yè)的監(jiān)管，完善工作人員的從業(yè)規(guī)范，制定嚴(yán)格統(tǒng)一的行業(yè)保密規(guī)定，定期對行業(yè)企業(yè)的信息保護(hù)工作進(jìn)行檢查，形成有力的常態(tài)監(jiān)督機(jī)制。這樣做的目的也是為了加強(qiáng)個人信息保護(hù)，促進(jìn)個人信息的有序流動，促進(jìn)電子商務(wù)的健康發(fā)展。

3.明確個人信息保護(hù)的機(jī)構(gòu)職能。國家設(shè)立專門的個人信息保護(hù)機(jī)構(gòu)負(fù)責(zé)個人信息的保護(hù)工作以及對侵犯個人信息權(quán)的違法行為進(jìn)行監(jiān)管和及時處理。個人信息保護(hù)機(jī)構(gòu)應(yīng)該通過制定有關(guān)個人信息安全政策，加強(qiáng)對信息管理者的監(jiān)督，以促進(jìn)個人信息的保護(hù)。

4.建立網(wǎng)站信息安全準(zhǔn)入、評級和報備制度。非法侵犯消費(fèi)者個人信息安全的各種技術(shù)手段層出不窮，個人信息安全在技術(shù)層面面臨著巨大的風(fēng)險，應(yīng)此鼓勵保護(hù)個人信息安全的技術(shù)發(fā)展也是個人信息保護(hù)的重要一環(huán)。對各類網(wǎng)站應(yīng)該設(shè)立較高的網(wǎng)絡(luò)信息安全門檻，并實(shí)行安全等級的評定公示和定期的報告?zhèn)浒钢贫龋约訌?qiáng)對網(wǎng)站信息安全的監(jiān)督管理。

5.提高消費(fèi)者個人信息保護(hù)意識。歐盟 ENISA（European Network and Information Security Agency歐洲網(wǎng)絡(luò)與信息安全局）在一份題為《提高信息安全意識（Awareness Raising）》的文件中指出：“大量的研究報告表明，在所有的信息安全系統(tǒng)框架中，人這個要素往往是其最薄弱的環(huán)節(jié)。只有革新人們陳舊的安全觀念和認(rèn)知文化，才能真正減少信息安全可能存在的隱患?！薄熬邆涓叨刃畔踩庾R的個人和有效的安全措施，被視作信息系統(tǒng)和網(wǎng)絡(luò)安全的第一道防線。因此，信息安全體系的所有參與者，包括信息技術(shù)業(yè)內(nèi)人士、與信息安全攸關(guān)的利益方以及信息系統(tǒng)的最終用戶群乃至用戶個體，都應(yīng)擔(dān)負(fù)起提高安全意識，維護(hù)信息安全的責(zé)任。”因此，政府有關(guān)機(jī)構(gòu)及消費(fèi)者協(xié)會應(yīng)當(dāng)通過宣傳樹立捍衛(wèi)公民的個人信息安全的觀念，使公民認(rèn)識到自己的權(quán)利，懂得保護(hù)自己權(quán)利的方法。

6.加強(qiáng)對掌握個人信息的企事業(yè)單位及有關(guān)行政機(jī)關(guān)的內(nèi)部管理和外部監(jiān)督。企業(yè)應(yīng)做好教育培訓(xùn)工作，增強(qiáng)企事業(yè)員工特別是有機(jī)會接觸用戶個人信息的關(guān)鍵崗位員工以及企業(yè)經(jīng)營管理人員、有關(guān)行政機(jī)關(guān)工作人員的信息安全意識，完善信息安全保護(hù)措施，嚴(yán)格規(guī)范信息的查詢、修改程序，并對重點(diǎn)崗位的電腦進(jìn)行嚴(yán)密的安全設(shè)置和全程的技術(shù)監(jiān)控，形成預(yù)防與打擊泄露客戶信息行為的有效機(jī)制；政府有關(guān)部門要加強(qiáng)對重點(diǎn)企事業(yè)單位和行政機(jī)關(guān)的信息安全的監(jiān)督和監(jiān)控。

參考文獻(xiàn)：

[1] http://gb.cri.cn/18964/2008/01/14/1545@1911931.htm.

[2] http://www.ncnews.com.cn/xwzx/kjxw/t20110920_768820.htm.

[3] http://finance.sina.com.cn/chanjing/sdbd/20120116/095511210854.shtml.

[4] [美]阿麗塔·L.艾倫，理查德·C.托克音頓.美國隱私法——學(xué)說、判例與立法[M].北京:中國民族法制出版社，2004:242.

[責(zé)任編輯 王玉妹]