评论：近40部法律难止个人信息泄露

　　记载着个人电话、家庭住址以及真实姓名的快递单，正成为某些快递物流从业人员的生财之道。近日有多家媒体报道，快递单信息正被大面积泄露，这些快递单部分被淘宝卖家买来刷信誉，还有一些被不法分子买来做信息源实施诈骗或者敲诈勒索等犯罪活动。

　　个人信息安全涉及到每一个人的隐私权和安全感。信息泄露会给公民的日常生活带来巨大困扰，甚至还会危害公民的人身和财产安全。去年7月，福建厦门的一名女白领遭入室抢劫被杀害，凶手就是通过快递单上透露的信息找上门来的。

　　企业存在“主动泄密”情况

　　个人信息由于它本身所具有的巨大商业价值，使得一些不法分子在利益驱动下，采取种种手段非法获取、买卖公民个人信息，并且形成了黑色产业链。据工信部调研显示，近八成的个人信息泄露源自信息所有者的内部作案。许多机构保存有客户的姓名、地址、电话等各种个人信息，但却没有在传、存、使用和销毁等环节建立起保护隐私的完整机制。对于这些机构的某些员工而言，他们可以很轻松地拿到个人信息卖钱，而不用付出额外劳动。

　　企业有责任和义务保护用户的信息安全，然而用户的哪些信息需要保护、如何保护，法律没有明确标准。尽管大部分企业在不同程度上采取了保护个人信息的措施，但很难保证这些措施在各个环节都能够得到落实。

　　此外，我国法律对信息泄露者惩罚机制较弱，缺乏威慑力。在中国软件开发联盟600多万条用户名和密码泄露案件中，警方发现安全管理制度和技术保护措施落实不到位是造成用户信息泄露的主要原因，但对网站的处罚只是提出行政警告。

　　在信息泄露中，最让公众担忧的是某些软件提供商的主动泄密行为——在用户毫不知情的情况下，利用技术优势窃取用户信息，并将信息与广告商分享并从中获利，实现商业利益最大化。在国外，这样做将会承担非常大的经济和法律风险。如在今年8月，美国监管部门要求谷歌支付2250万美元民事罚款，原因是谷歌绕过苹果公司Safari浏览器的隐私设置收集网民的上网信息，并据此展示针对性的广告。

　　法律监管尚存“主体”漏洞

　　尽管我国目前已经有近40部法律、30部法规和近200项部门规章涉及个人信息保护，但大部分规定均采用了十分原则的表述，大多无法作为直接定案的依据，可操作性差。就法律的体系而言，我国法律对个人信息的保护散见在众多规范性法律文件中，内容缺乏统一性，相互之间也缺乏衔接，不利于法律的适用。就法律的效力而言，大多数是一些位阶比较低的行政法规、地方性法规、部门规章等，缺乏权威性，不利于此类问题的处理。

　　2009年2月28日第十一届全国人民代表大会常务委员会第七次会议通过《中华人民共和国刑法修正案(七)》，增加了个人信息犯罪的规定，这是个人信息立法的标志性事件之一。根据该修正案规定，在刑法第253条后增加一条，其内容为：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取、收买或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。”

　　然而在现实生活中，除了刑法所规定的主体之外，房地产公司、物业公司、中介机构、教育辅导机构、酒店、物流公司等机构甚至个人，将公民个人信息出售、非法提供给他人并造成严重后果的现象屡见不鲜，但是这些主体却没有被纳入刑法规定的范围之内。

　　在个人信息保护缺少专门法律规范时，企业的自律成为保护个人信息另外一个重要手段。据悉，我国首部保护网上个人信息的行业规范《信息安全技术公共及商用服务信息系统个人信息保护指南》已经编制完成即将发布，该指南对个人信息的处理包括收集、加工、转移和删除四个主要环节，其中还提出了个人信息保护的原则。这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。然而，该指南并非国家强制性标准，只具有引导作用，没有严厉的处罚措施，要求企业严格按照这一标准来保护用户的信息安全依然难以实现。

　　应尽快制定个人信息保护法