个人信息泄露频发 医疗、网购、房地产等领域成重灾区(2)

　　上海市信息安全行业协会会长谈剑锋表示，个人生物特征数据具有唯一性和不可再生性，一旦被窃取，无法追回并变更，将对个人隐私保护带来极大的、不可逆的风险。

责任主体内部监管失守，司法救济渠道不畅，多重原因造成个人信息安全领域乱象丛生

　　过度收集、随意使用、非法窃取、公然贩卖……造成一系列个人信息安全乱象背后的深层原因是什么？记者梳理发现，从政府职能部门到民营企业，能够接触到公民个人信息的主体多元而广泛，但是许多关口都出现了不同程度的监管失守。

　　就国家机关而言，收集公民个人信息是出于公共利益和社会管理的需要，然而一些部门在管理制度层面存在漏洞，加上相关工作人员履职不力，导致不规范存储、随意共享等问题时有发生。更有甚者利用职务之便将手中掌握的公民个人信息提供给他人，从中谋取利益。

　　“公权力如何管理好手中的个人信息，如何对其加以限制约束，是个绕不开的问题。”国家监委特约监察员、清华大学法学院教授周光权说。

　　从企业层面看，一些社会责任意识薄弱的企业将商业利益凌驾于社会利益之上，不愿履行个人信息数据相关责任，有的还借助漏洞对个人信息进行违规收集。记者从工业和信息化部获悉，截至3月12日，仍有117款涉及违规收集或使用个人信息的APP尚未完成整改。

　　“网络服务商提供的用户协议、服务条款通常不直接显示且冗长繁琐，关于个人信息收集的范围、保留时限、处理方式等重要条款难以识别且不尽合理，用户在这种情况下作出同意决定的真实性、自愿性大打折扣。”全国人大常委会委员刘修文说。

　　而在外部打击方面，在过去近20年里，中国法律体系中对公民个人信息权益的保护长期处于碎片化状态，相关条款散见于一些法律法规和规范性文件中，部分条款之间存在相互冲突的情况，导致出现认定、管理、处罚等标准难以统一，执法部门权限职责不清，司法救济渠道不畅等问题。

全面加强个人信息法律保护，推动解决痛点难点问题

　　尽快完善相关数据标准和有关规范，推进相关立法工作，是进一步加强个人信息保护法治保障的客观要求，也是维护网络空间良好生态的现实需要。

　　2021年1月1日，《中华人民共和国民法典》正式实施。记者注意到，《民法典》将人格权独立成编，以“隐私权和个人信息保护”专章方式，对隐私权和个人信息的定义、保护原则、法律责任、主体权利、信息处理等问题作出规定。多位专家表示，《民法典》从民事基本法的角度对个人信息保护作出详细规定，具有开创意义，有助于从法治层面推动解决痛点难点问题。

　　针对此前个人信息概念界定模糊的问题，《民法典》第1034条明确，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

　　中国人民大学法学院教授刘俊海表示，对个人信息进行“精准画像”，是保护自然人权利、遏制信息侵权的基础，而规范个人信息的收集和处理则是实行保护的关键，“《民法典》第1035条明确了处理个人信息应当遵循的原则：合法、正当、必要，不得过度处理，且需符合征得该自然人或者其监护人同意等4项具体条件。”

　　值得注意的是，《民法典》虽已勾勒出基础的个人信息保护框架，但其主要聚焦的是遭受侵害后的法律救济问题，若要进一步增强法律规范的系统性、针对性，依然需要对个人信息保护进行专门立法。

　　“制定专门的个人信息保护法，不是单纯地增加一部法律，而是要解决目前面临的难题，同时还要考虑今后新技术发展带来的知情同意方式的变化。”周光权告诉记者，日前提请全国人大常委会审议的《个人信息保护法(草案)》从立法的角度对数字时代的突出问题进行了规制，“譬如平台不能向用户仅推送个性化信息及广告；所收集的个人图像、个人身份特征信息只能是维护公共安全所必需，不得公开或者向他人提供，等等。”