专家:徐玉玉案,泄露信息企业与机关应担责
前段时间,徐玉玉被电话诈骗走了上大学的费用9900元,伤心欲绝而心脏骤停,最后不幸离世。这再次将公众的关注焦点汇集到了个人信息安全和个人数据保护问题上来,成为时下热门话题。徐玉玉案发后9天,警方即告破案。公安机关对该影响重大的案件投入巨大的精力,并不能降低国民在日常生活中遭受的个人信息泄露和受骗风险。有的法科学生在当地司法局报考司法考试后,会在近半年乃至更久时间内持续受到司考培训机构的电话和短信广告骚扰;人们到电信服务公司实名办理手机卡后,往往会莫名受到各种公司或机构的电话和短信骚扰……面对各种信息诈骗案件层出不穷的现状,只有完善现有责任追究机制,才能恰当地赔偿受害消费者,精准地惩处有关责任方,有效地威慑潜在加害者。而确定相关责任主体的范围,则是启动责任追究机制的第一步。
现有法规将责任主体限定于诈骗行为实施者,难以起到抑制信息诈骗、保护信息安全、维护消费者权益的作用。那么,信息泄露到底应该责归何方呢?
应将有关行政机关和企业作为连带责任人
有关行政机关以国家、社会安全为由,要求公民在众多涉及行政管理的事项中提供个人信息;有关企业以安全监管和便利服务为由,要求消费者提供个人信息,甚至网络服务运营商通过相应格式合同条款默认消费者同意将有关个人信息供其“使用”。这些掌握个人信息的源头,却出于获取不当利益的动机向他人提供本应由其保护的个人信息,这是造成个人信息遭到泄露并滥用的根本因素。因此,在立法和执法时,对于此种泄露个人信息的行为应当加大处罚、惩处力度,并制定详尽的个人救济制度以便利公民寻求司法救济或者自力救济。
有人可能会说,这些行政机关或公司收集个人信息的出发点是好的,只不过是因为内部工作人员泄露或者他人通过不法途径盗用了信息,因此这些行政机关或公司不应承担主要责任。无可否认,他们可能是基于合法目的或者正当理由收集了公民的个人信息,但若他们不付出相应的代价对这些信息进行保护,进而加大内部工作人员或他人泄露、获取信息的成本,则违背了他们收集个人信息的最初目的或者理由(维护国家社会安全、服务公民或消费者),因为他们的“不作为”或者“少作为”使得公民信息、合法权益和公共利益遭到了损害。
人们基于信任向这些行政机关和公司提供信息,或者辜负了人们的信任,不仅违背了基本的契约精神,而且破坏了诚信社会赖以构建的秩序基础。所谓“能力所在,职责所在”,意味着有能力收集信息者,也不要推诿于其他原因而不承担相应的职责,而只享受获得个人信息带来的单方面便利。
因此,不论是依据现有法律,还是在未来的立法过程中,都应当加重有关行政部门和企业保护个人信息的义务,对于未尽相应义务者应当施加更为严厉的处罚。此外,受害者在主张寻求救济时,应当默认地将有关行政机关和企业作为连带责任人,并进行举证责任倒置,而由后者主张其已尽了合理的注意义务。相对于普通个人和消费者而言,这些行政机关在人力、专业程度、财力上都处于强势地位,应当在现代社会承当与其能力相应的责任。
信息诈骗的追责范围
除了前述有关行政机关和公司外,实施电信骚扰、诈骗的主体形形色色。其中,有组织程度完善的专门公司,有偶尔为之的个人,也有以之为业的专职人员。然而,公安机关仅在面对徐玉玉案等重大案件时积极作为是不够的,司法机关和征信部门应当联合构建防御机制,尽可能地避免这些人类“病毒”侵害个人和社会秩序。
举例而言,公安机关、检察院和法院以及金融、交通、海关等部门应当建立相关的信息共享机制,将由某部门处罚的涉案企业或人员列入“黑名单”后,其他部门即对其进行重点监控。由于我国某些行政机关和企业在侵害个人信息案件中扮演了源头的角色,司法、立法和党政机关应当对这些行政机关和企业加紧监督和管制,以免一小撮分子破坏了党和政府的威信和可信度。对于侵害个人信息的企业或个人,应当加重处罚力度;对于侵害个人信息的有关行政机关,不仅应让该机关和主要负责人承担法律责任,还应就其对党和政府形象的抹黑让其承担相应的政治责任。
此外,中央也应当在“顶层设计”层面对侵害个人信息问题予以关注和回应,并进行相应的“顶层设计”,以免违法乱纪分子混杂于良善人民之中为非作歹。
反思“技术中立”抗辩事由
信息泄露事件发生后,电信、网络服务商往往会以“技术中立”为由抗辩追责主张,认为自己不过是通信、网络技术提供方,不应对技术服务以外的他人诈骗行为承担责任。这种说法于理于法都站不住脚。当我们将目光从现实社会转向信息空间时,电信通信、互联网不仅是中立的技术,还是资源/能力、权力/责任的角逐场域,“技术中立”的内涵也应有相应的调整。
电子通信、互联网技术发展至今,服务提供方和使用方的认知、技术、资源方面的差距越来越大,普通人凭一己之力通常难以越过这道鸿沟。在服务提供商、消费者和潜在加害人三方构成的场域中,除了潜在加害人自我克制之外,服务提供商有丰富的技术经验、专业人员和行业知识管控信息泄露风险,而消费者在依照同服务商订立的协议提交个人信息之后,对该信息的保管和流向无能为力。这种情况下,“能力越大,责任越大”的原则自然应当发挥作用,让风险控制责任归于控制成本更少者。
在前数字化时代,电信、邮政、交通、民政、公安等有关部门掌握的个人信息往往保存于纸质载体,他人获得这些信息费时费力;如今,有关部门通常会把个人信息数字化而储存在电脑服务器中,手指大小的U盘即可装下整个图书馆的信息,他人通过黑客技术更能在瞬间窃取这些信息。此时,有关部门信息储存成本下降,信息安全保障责任增加,这不仅是由于它们有着更多的资源和能力控制信息泄露的风险,还因为它们是百姓信任的权威主管机关,有受人民委托服务公共利益的义务。
让服务提供商甚至有关行政部门就信息泄露事实对电信诈骗承担连带责任,没有推翻而是调整了“技术中立”抗辩,使得它更能适应信息泄露风险猛增的大数据时代。信息技术不过是方便人们交流沟通的工具,可程序代码是一系列人机互动的协议,网络运行也离不开服务提供商所雇程序员对代码序列的编写。
既然后者确立了网络世界的运行规则,它们也扮演了现实社会中行政机关的角色,有维持安全网络秩序这一技术服务之外的“网络公共服务”义务,而信息保障是网络秩序的重要内容。用户不仅依照同服务商订立的明示协议使用信息服务,在数字世界中还同服务商之间存在默示协议,后者是基于用户对服务商的信任而产生的,赋予服务商信息收集和合理使用权利的同时,更使得它们负有保障信息安全、维护网络秩序的义务。
(作者系北京市社会科学院、中国社会科学院法学所博士后研究人员)
页:
[1]