市公安局刑侦总队三支队相关人员介绍,从2009年到2017年,上海市共判决侵犯公民信息安全案件815起。该人员表示公安在保障个人信息安全的工作中,也遇到一些难题。根据《刑法》第二百五十三条的规定,出售或者非法提供给他人个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。法律对严重侵犯个人信息的行为加以制裁,那么情节相对较轻的行为,应该如何处理?该人员表示目前行政处罚在个人信息保护上还是空白。此外,目前对泄露个人信息的处罚主要针对个人,对没尽到保护责任的单位还没有处罚措施。
座谈会上专家表示,个人信息保护面临个人维权举证难,刑事打击不足,行政处罚缺失,法院量刑较轻等几个方面的难题。面对难题如何求解?胡传平代表建议本市尽快出台地方性个人信息保护条例和技术标准。例如规定互联网企业不能明文留存用户个人身份信息,对于可识别个人身份的信息应当加以加密、脱敏存储,以及建立网络身份认证制度等。
将于2017年6月1日实施的《中华人民共和国网络安全法》第四章“网络信息安全”,也对个人信息的保护进行规定。此外,其他一些法律、法规,也有关信息安全保护的规定。然而虽然法律上已有一些规定,但是对现实中的难题并不能很好地解决,胡传平代表认为已有的法律规定较为宏观,针对性不强,可操作性也不强。
如何对个人信息安全进行地方性立法?与会专家以欧盟和美国立法为例,认为立法首先要确定价值取向:在数据安全与数据自由流动之间如何选择,如何平衡。个人信息的范围如何确定也是立法先要解决的问题。此外专家建议,针对行政管理缺失的问题,立法之前可以研究行政管理对个人信息安全如何贯彻,如何执法,在此基础上再研究制定地方法规。
