個人信息保護立法進程緩慢 專家稱維權依舊有招

　　近日，據一些媒體報道，國內安全漏洞監測平臺烏云發布報告稱，如家等酒店使用了某網絡公司開發的酒店wifi管理、認證管理系統，并且酒店客戶的信息被存儲在該網絡公司的服務器上，但是，由于該系統存在漏洞，酒店客戶個人信息面臨被泄露的風險。這意味著，酒店客戶的姓名、身份證號碼、入住和離開酒店的時間等信息，都有可能被黑客輕松截獲。由此，個人信息保護問題再次引發了社會公眾的關注。

　　在當今的信息社會，一方面個人隱私以及對個人信息的控制權需要保護，另一方面，對信息的合理需求和使用也無法回避。有業內人士就此指出，對個人信息的保護并不是絕對的，而是需要進行一定的利益平衡，特別是在信息技術不斷變革的情況下，對于平衡度的把握需要較高的立法技巧和遠見。

　　而不爭的事實是，關于個人信息被濫用、被侵犯的消息屢見報端，但是各方都積極呼吁的有關個人信息保護的綜合性、基礎性立法，即個人信息保護法卻一直難以出臺。

　　北京航空航天大學法學院副教授、商法與經濟法研究中心副主任周學峰指出，從形式來看，我國目前尚未有個人信息保護法之類的專門性法律，而且在短期內該法也可能難以出臺，但是，這并不意味著我國不存在保護個人信息的實質意義上的法律規范。而在專門的立法出臺之前，在現行法律框架下，一旦個人信息被人侵犯，還是可以有救濟手段的。如果公民發現其個人信息遭到了泄露或被濫用，可以在現有的法律框架下，通過法律解釋的方法，來維護自己的合法權益。

　　個人信息保護立法進程慢原因多

　　“據我所知，早在十年前，國務院有關部門曾就個人信息保護法的立法問題委托中國社科院的一些專家進行研究，這些專家曾在2005年左右提出過一份個人信息保護法專家意見稿，但是，個人信息保護法一直未被列入正式的立法日程?！敝軐W峰分析認為，個人信息保護法一直難以出臺，主要有以下原因：

　　首先，我國立法機關的立法任務非常繁重，立法有輕重緩急之分，特別是在去年全國人大常委會剛剛通過了《關于加強網絡信息保護的決定》，就目前的情況來看，可能尚有更為重要的法律需要制定。

　　其次，一項立法草案需要達到一定的成熟程度才能順利通過。從這個角度來講，個人信息保護還有一些問題需要進行研究、協調和解決。例如，數據挖掘技術是近些年才出現的一項信息技術，它的出現對于個人信息的采集和使用規則亦提出了挑戰。

　　第三，個人信息保護法是一部個人信息保護的基礎性法律，它不僅規范金融機構、電信機構等對個人信息的獲取和使用，政府機構對個人信息的獲取和使用亦應受其約束。因此，在立法時需要征集多部門的意見并進行協調，這些亦會導致立法進程緩慢。

　　雖未有單獨立法但仍有救濟途徑

　　《法制日報》記者在采訪中發現，在個人信息保護領域，我國許多省市都已經制定了有關個人信息保護的地方性法規。此外，全國人大常委會、國務院及其部委也制定了若干專門領域的個人信息保護規定。例如，在網絡信息保護方面，有《全國人民代表大會常務委員會關于加強網絡信息保護的決定》、工信部制定的《電信和互聯網用戶個人信息保護規定》；在金融信息保護方面，國務院制定了征信業管理條例等。另外，我國刑法亦規定有“非法獲取個人信息罪”和“非法買賣、提供公民個人信息罪”。

　　結合此次酒店客戶個人信息存在泄露風險一事，周學峰指出，網絡公司應該預見到，如果其所提供的信息系統有缺陷，將會導致所存儲的個人信息受到嚴重泄露，因此，網絡公司負有保障其提供的信息系統具備安全性的義務。當然，這種安全性應當是一種合理的安全性，而不是絕對的安全性。在判斷網絡公司是否盡到了安全保障義務時，可以參照工業和信息化部于2013年7月制定的《電信和互聯網用戶個人信息保護規定》。除此以外，《信息安全技術、公共及商用服務信息系統個人信息保護指南》作為我國首個個人信息保護的國家標準，雖然不具有法律上的強制約束效力，但具有指南性，亦可作為衡量互聯網企業是否有過失的參考性標準。

　　此外，據了解，從世界范圍來看，目前關于個人信息保護立法存在兩種立法模式，一種是集中立法模式，如歐盟的《個人信息保護指令》；另一種則是分散的立法模式，例如，美國并不存在像歐盟《個人信息保護指令》那樣的一部法典，而是分散在若干部法規之中。周學峰認為，如果我們要采取集中立法的模式，歐盟的《個人信息保護指令》可以作為借鑒的對象。

　　受害人可依據現行法律進行索賠

　　針對仍在不斷持續發酵的酒店客戶個人信息存在泄露風險一事，周學峰分析認為，僅就這一個案而言，即便現在我國尚無專門的個人信息保護法，也并不存在“無法可依”的情況。如果真的發生了酒店客戶個人信息泄露事件，受害人是可以依據現行法律進行索賠的。

　　首先，在酒店住宿的客戶與酒店之間存在合同關系，酒店負有保障其客戶的人身和財產安全的義務，這其中應包括酒店所收集的客戶個人信息的安全。此種義務屬于合同當事人的附隨義務，即使合同中未對此明確地約定，當事人亦可主張。因此，當酒店違反了合同義務時，客戶可依據合同法向酒店主張違約責任。

　　其次，客戶可依據侵權責任法主張酒店未盡到安全保障義務，從而要求損害賠償。酒店的這一義務是法定的。根據《全國人民代表大會常務委員會關于加強網絡信息保護的決定》第四條的規定，酒店有義務采取技術措施和其他必要措施，確保信息安全，防止其所收集的公民個人電子信息泄露。值得一提的是，依據侵權責任法，當發生黑客入侵酒店信息系統獲取客戶個人信息時，黑客作為直接加害人應承擔首要的賠償責任，而酒店僅承擔與其過錯相應的補充責任。另外，此次事件中，酒店的信息系統是從某網絡公司采購的，并且酒店客戶的個人信息是存儲在該網絡公司服務器上的，因此，酒店在對其客戶進行賠償后，可基于合同關系再向網絡公司主張賠償。(記者朱寧寧)