我国迄今为止尚未颁行专门的个人信息保护法律,企业收集、利用个人信息仍缺乏基本的法律规范,这就使得一些企业往往只注重对个人信息的收集与利用,而没有太大的动力保护用户的个人信息。在此背景下,就不能仅通过传统的商业原则约束企业的行为,而应当将保护个人信息界定为企业的社会责任,以防止企业为片面追求利润的最大化而忽略用户个人信息的保护。同时,企业保护个人信息的社会责任不能仅停留在观念层面,而应当确立相关的行业规则和行为规范,将相关个人信息保护的技术标准、商业道德等转化为具有法律拘束力的行为规则。具体而言,主要应当从如下方面具体落实企业保护个人信息的社会责任。
第一,企业在收集个人信息时,应当坚持合法性和合目的性原则。合法性是指个人信息的收集必须符合法律规定,不得采用非法手段收集个人信息。合目的性原则是指对个人信息的收集不得超出事先确定的目的。现在许多企业都在以各种名目收集用户的个人信息,如办理手机卡、办理银行业务、发快递,甚至下载软件等,都需要提供个人的身份信息、家庭住址等,企业收集这些信息有些是基于法律、法规的要求,有些则是以“业务需要”等名目进行收集的。因此,从实践来看,除银行、通信等大企业外,其他许多企业也都掌握了大量的公民个人信息,这些都给公民个人信息安全带来了威胁,有必要通过合法性、合目的性等原则,有效规范企业收集个人信息的行为。
第二,在信息的储存阶段,企业应当遵循信息安全原则,切实保障个人信息安全。企业在收集用户个人信息后,应当采取相应的措施,确保个人信息的安全,防止个人信息的泄露。一般而言,企业泄露个人信息的途径主要有两个:一是主动“泄露”,如企业将其所收集的个人信息打包出售;二是行为人的“盗取”。无论是哪种原因导致用户个人信息泄露,实际上都是企业没有尽到相关信息保护义务的结果。企业未尽到信息安全保障义务,造成信息主体损失的,受害人有权请求企业承担赔偿责任。例如,就最近发生的某高校教师卖房款被骗案件而言,如果能够证实其个人信息是由银行一方泄露的,则受害人有权请求银行承担赔偿责任。
第三,在信息的利用阶段,企业应当遵循最少利用原则、知情同意原则。最少利用原则,即在可用可不用个人信息时,应当尽量不用;在可多用可少用时,应当尽量少用,以尽量减少对个人信息的不当利用,而且企业应当以匿名化或者脱名化的方式利用个人信息。同时,企业在利用个人信息时,应当取得个人的同意。从实践来看,一些企业在与用户订立合同时,往往利用其订约优势地位,借用格式条款的方式,概括取得对个人信息的收集和利用权。为切实保障用户的个人信息权利,应当有效规范此类格式条款。此外,企业在利用个人信息时,也不得侵害个人的其他权利。例如,实践中经常出现这样的情形,在网上随便检索某种商品或者服务,很快就会有很多广告推送扑面而来,这表明,在用户检索商品和服务时,其购物癖好、购买能力等相关信息已经被相关的网络服务提供者收集,并被用于投放定向广告。此种做法实际上已经侵扰了私人生活的安宁,侵害了个人的隐私权,应属于对个人信息的不当利用。
互联网具有一种无限放大效应,个人信息一旦在互联网上泄露,即可瞬间在全球范围内传播,损害后果也将被无限放大。因此,个人信息安全问题比以往任何一个时代都更为突出,强化对个人信息的保护已成为社会共识。企业既是个人信息收集的第一线,也是个人信息泄露的重灾区,鉴于企业在个人信息的收集、保护与利用方面具有诸多技术优势,而且一些企业,本身已经掌握了大量的个人信息,其在某种程度上已经具有了一定的公共服务职能,应当主动承担起保护个人信息的社会责任,以不断提高个人信息保护的水平。
(作者单位:中央民族大学法学院)
事业单位标识证书
京公网安备 11010102001556号
已有0人发表了评论