我国个人信息保护立法的现状及公安信息立法的思考,法理学论文

我们国家个人信息保护立法的现在状况及公安信息立法的思考,法理学论文公安信息化经过20年多年的建设历程，积累了大量公安内部和外部及社会信息资源，近年来公安机关在信息应用经过中，经常碰到公民个人信息被泄密、误录、冒用、买卖、滥用现象，由于公安信息立法相对滞后，使得基层民警信息应用无章可循，处理非常棘手。怎样有效合理利用公安信息资源，相关立法是当前面临急迫解决的问题。一、公安信息应用的困惑我们国家公安系统2001年实现了11.3亿人口数据的计算机管理，仅2001年，其全国人口信息管理系统就为全国公安机关提供查询服务780万人次，为群众查询服务460万人次，协助破案20.4万起。但由于国家个人信息保卫方面的立法迟迟没有出台，导致公民个人信息被泄密、误录、冒用、买卖、滥用现象随之发生，加上公安机关缺乏信息应用规程，由此带来了公安信息应用的很多困惑。〔一〕个人信息被冒用重庆文某因吸毒、贩毒被捕后，冒用了28岁女子胡亚〔重庆市巴南区大江邮政储蓄所工作〕的身份信息，警方据此将错误信息记载在公安部的网站上，致使胡亚成了吸毒人员。胡亚曾向重庆巴南区公安分局提交过修改吸毒、贩毒记录的申请材料，然而8年来，这些不良记录一直未被取消，胡亚一直跟警方交涉要求更正。错误的身份信息究竟能不能修改？当时派出所的讲法是没有权限改，公民身份信息一旦进入公安部网站，若要修改，必须层层审批，最终上报公安部，得到批准后方能更改。胡亚事件直至2018年被媒体曝光后，才引起了警方高度重视，重庆市立即启动问责机制。12小时内，胡亚被误录的身份信息得到彻底修正，负有直接领导责任的公安分局局长被停职。胡亚事件讲明公安网站信息入口缺乏信息审核、信息校验、信息更正规程，基层民警处理无法可依，易出现警察不作为、推诿扯皮。〔二〕个人信息被误传深圳市民郭女士在银行办理业务时意外发现，网上登录她的身份信息照片竟然是她的儿子。银行负责人解释，由于这套系统是由公安部制作的，银行方面无权修改。他们只能将情况上报至银行保护部门，再由人民银行向公安部门协调。于是郭女士便前往户籍地的派出所，查询深圳市常住人口信息，结果显示郭女士及其儿子全部信息与他们身份证原件完全一致，并无错误过失。只是全国公民身份信息核查系统发生错误。公安部门解释可能系照片扫描时出错，由于基层派出所在将照片信息扫描到部级信息库时，照片不是和名字及其他身份信息一并扫描，而是照片统一扫描后再逐一对号入座，一旦有疏忽便有可能导致郭女士的错误。这种错误操作由谁负责复查、由谁负责修正，公安机关至今缺乏统一规定。(三〕个人信息被误录一直本本分分做生意，也没有犯罪前科的张某某，到昆明开会时入住宾馆，却忽然被警方带走，到派出所后发现自个从2007年起就成了网上登记的在逃吸毒人员！经过近一年讨清白的漫漫长路，尽管相关部门给张某某出具了几份答复，都证明张某某的清白，但他讲：时至今日，网上还有记录，一纸证明管什么用？什么时候，我的错误信息才能删除？什么时候，才能还我一个安静的生活？这种后果由谁来负？公安机关缺乏信息数据可追溯机制，发现问题不能及时追溯错误原因，同时法律缺乏个人信息保卫的救济机制，对遭到损害的当事人不能通过司法途径寻求救济。〔四〕个人信息被买卖2018年7月下旬，苏某利用在温州苍南县某交警中队当协警的身份，屡次窃取民警的公安数字身份证书，登录公安内网全国交通管理信息查询系统，非法窃取车主信息，然后转卖郑某、刘某。苏某共盗取55多万条车主信息，然后将华而不实17多万条私家车车主信息以每条0.2元的价格卖出，获利3.57万元。公安内部信息之所以能非法窃取，一方面讲明基层民警缺乏人防观念，未建立良好的保密制度和环境；另一方面技术防备存有漏洞，在信息访问权限方面容易使非法人员钻空子。〔五〕个人信息被泄露广东江先生在一次网上交通违章查询时，发如今广东省公安厅交通管理局政务服务网上，输入自个的车牌号及车架号的后六位就可对个人信息进行查询并更改。由于车架号基本都在汽车的前挡风玻璃处，想要知道一辆车的车架号，能够讲轻而易举。广州羊城晚报记者走访多个停车场发现，几乎所有的车辆都可容易找到车架号，尤其是一些小型汽车。记者登录广东省公安厅交通管理局的政务服务网，除了可对个人信息查询外，还能够对自个爱车的某些信息，如交通违法、车辆核实以及交通事故等进行查询。也就是讲，不法之徒只要拥有车牌号码以及车架号，便可轻松获知别人信息。省公安厅交通管理局政务服务网是一个便民服务网站，既要考虑方便群众，又要考虑信息保密程度，处理好两者的关系需要把握一个度字，对这个度的把握上省公安厅交通管理局还在不断地探寻求索着。二、我们国家个人信息保卫立法的现在状况信息立法是指国家机关按照法定职权和程序在信息领域进行的制定、修改、补充和废止规范性法律文件以及认可法律规范的专有活动，是信息领域法律、行政法规、地方性法规、自治条例、单行条例、部门规章、地方规章等的制定、修改、补充和废止活动的总称。〔一〕个人信息保卫缺失系统立法从当前来看，我们国家没有一部专门保卫公民的个人信息和隐私的法律。现行的法律法规仅有一些个人信息保卫的原则性、概括性的条款，且这个条款的内容笼统而模糊，存在个人信息内涵不清楚明晰、个人信息收集处理程序不完备、执法手段、处理惩罚措施缺乏等问题。在司法实践中，很难直接运用或者不能直接保卫公民的权利。中国工业和信息化部2020年4月12日公布,(信息安全技术公共及商用服务信息系统个人信息保卫指南〕已编制完成,现已作为指导性技术文件通过全国信息安全标准化技术委员会主任办公会审议,正根据国家标准审批程序上报国家标准化管理委员会批准。这项标准明确要求,处理个人信息应当具有特定、明确和合理的目的,应当在个人信息主体知情的情况下获得个人信息主体的同意,应当在达成个人信息使用目的之后删除个人信息。这项标准最显着的特点是将个人信息分为个人一般信息和个人敏感信息,并提出了默许同意和明示同意的概念。对于个人一般信息的处理能够建立在默许同意的基础上,只要个人信息主体没有明确表示反对,便可收集和利用。但对于个人敏感信息,则需要建立在明示同意的基础上,在收集和利用之前,必须首先获得个人信息主体明确的受权。这项标准还正式提出了处理个人信息时应当遵循的八项基本原则,即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确,划分了收集、加工、转移、删除四个环节,并针对每一个环节提出了落实八项基本原则的详细要求。〔二〕个人信息保卫已进入国内各省市立法视野1.江苏率先立法保卫个人信息。2018年9月23日，江苏省十一届人大常委会第二十四次会议上通过的(江苏省信息化条例〕，并于2020年1月1日起正式施行，此(条例〕在国内率先对个人信息保卫进行立法，被有关人士以为具有里程碑意义。该(条例〕在第二十四条规定：任何单位和个人不得非法披露所采集的信息，不得将获取的公民、法人和其他组织的信息出售或者以其他方式非法提供应别人，不得以窃取、购买等方式非法获取上述信息。条例同时增加了法律责任，规定：违背本条例第二十四条规定，非法披露、出售、提供信息，或者以窃取、购买等方式非法获取信息的，由县级以上地方人民信息化主管部门责令其删除信息，没收违法所得，对单位处以十万元以上五十万元下面罚款，对个人处以一万元以上五万元下面罚款；构成违背治安管理行为的，由公安机关依法给予治安管理处理惩罚；构成犯罪的，依法追查刑事责任。,这意味着非法倒卖个人信息，不光卖方，连买方在内，都将遭到处理惩罚。将来在江苏省，包括国家机关在内的所有单位、个人，一旦牵涉出售、非法提供、披露、窃取、买卖公民个人信息的行为，都有追查其责任的条款，都有法可依。2.深圳个人信息保卫立法呼之欲出。2018年深圳两会期间，张丽杰律师等14名人大代表联名提交了(关于加快深圳市个人信息保卫立法的议案〕。由于个人信息保卫牵涉法律关系多、立法难度大，该议案引起了社会各界的高度关注。2018年4月，市人大常委会正式委托深圳市律师协会进行深圳市个人信息保卫立法调研。市律师协会个人信息立法项目组历时300多天完成的长达151页(关于深圳市个人信息保卫立法可行性和必要性的调研报告〕，全面梳理了当下我们国家个人信息保卫的法律法规，在分析借鉴欧美国家及港澳台地区个人信息保卫的先进经历体验的基础上，提出了深圳个人信息保卫立法的主要制度。在立法调研中，金融、电信、交通、教育、医疗等部门是民众关注的焦点，受访者普遍要求立法对这些部门搜集使用公民个人信息加强监管。市律师协会个人信息立法项目组提出，企业、和公共事业部门搜集公民个人信息的行为，将被围上防火墙：建议设置信息收集使用的行政许可关卡，对擅自搜集使用行为进行行政处理惩罚。据悉，2018年11月(调研报告〕已提交市人大常委会，假如顺利通过，深圳个人信息保卫将正式进入立法阶段，估计很快能制定出深圳个人信息保卫立法草案。三、公安信息立法的设想与国外比拟，我们国家公安机关拥有的公民个人信息数据库数目最多，存储的公民个人信息量也最大。怎样规范公安机关信息应用，加强公民个人信息保卫力度，保障信息化工作中的数据质量，推进公安信息立法的进程势在必行。〔一〕公安信息立法的内容1．总则。该部分应包括公安信息立法的目的、适用范围、立法根据、基本原则、情报信息机构的设置及职责、情报信息人员的任职条件及其权利义务等。2.信息采集应规定信息采集的内容、手段、程序；信息采集主管部门认定和相关部门职责分工，信息采集主体的权利和责任；基础信息采集的审核程序；个人信息采集处理、更正的申报制度；信息公开与保密的标准界定；信息公开登记制度；公民提供信息奖励机制等内容。3.信息数据管理应规定信息数据管理的主体、职责、权利〔信息决定权、信息保密权、信息查询权、信息更正权、信息封存权、信息删除权等〕和义务、基本原则、安全保障等一系列问题。可借鉴法国的经历体验。如审查管理个人数据方面，个人信息的收集与处理通常需要向法国个人数据保卫机构申报或获得许可。对于敏感数据及档案都由该机构审查，不遵守相关规定可能面临行政或刑事制裁。该机构为控制信息应用，能够进入所有工作场合，进入信息项目或数据库，要求所需文件及复印。其监控信息系统安全，保证已采取相关措施阻止数据库被改变或泄漏给其别人。在数据安全方面，数据处理负责人必须采取与数据性质相适应的物理安全措施与信息系统安全措施。违背该规定可能被处于最高30万欧元的罚款及5年的监禁。同时，法国信息保卫立法明确规定了数据处理者的权利与义务。在法国，开展个人数据处理业务的机构统称数据处理者，他们必须履行以下义务：向国家信息与自由委员会申报有关的个人数据处理，部分数据处理需要得到许可；维护公民的信息自由权；保证个人数据的安全性和保密性，不得误解个人数据或者向无关的第三人泄露数据；接受委员会的现场检查等。4.信息应用。应规定信息应用的目的、主体及其权利、义务；信息分享的范围及程序；信息公开与否的裁决主体；信息公开的范围和程序；内网平台分享交换制度等内容。5.法律责任。明确规定对于在信息工作经过中各个主体，包括相应的机关、团体及个人，违法各自的职责、滥用权利、距不履行义务的各种行为应当承当的法律责任。还需规定社会监督机制和违法行为司法救济机制等内容。如法国个人信息保卫法的制裁权规定：国家信息与自由委员会对于违背相关法律者能够罚款最高至30万欧元或5年监禁。〔二〕制定公安信息化数据质量管理行业标准针对当下公安信息化建设和应用中，信息数据错误过失、缺项、虚假、重复、误录等突出问题，保证公安法规范准确，公安部科技信息化局制订出公安信息化数据质量管理行业标准。该标准用于规范公安机关信息化数据质量管理工作，旨在通过明确公安机关信息化数据质量管理职责，运用当代质量管理的方式方法，在单位内部建立起系统性的质量管理体系，对影响信息化数据质量的关键流程和重要环节施行控制，以实现信息化数据质量的不断提升。公安信息化数据质量管理体系运行形式如此图1所示。【图1】1.管理职责〔1〕组织领导各级公安机关主要领导是本单位公安信息化数据质量工作的最高管理者，应对本单位与数据质量工作相关的职责作出规定；应对建立、施行、保持和持续改良数据质量管理体系做出详细布置。〔2〕质量负责人各级公安机关应由本单位分管信息化工作的领导担任数据质量负责人，详细职责为：①确保根据本标准的要求，建立、施行、保持并持续改良数据质量管理体系；②向最高管理者报告数据质量管理体系的绩效和改良需求；③负责与数据质量管理工作有关的外部联络工作。〔3〕质量管理部门各级公安机关应明确本单位的信息化工作数据质量管理部门。质量管理部门在质量负责人领导下详细承当数据质量管理日常工作。〔4〕数据事权部门各级公安机关数据事权部门〔即对所采集或生成的数据具备解释权的公安机关内设机构〕对所负责建设和管理的信息系统数据承当相应质量责任。2.规划与设计通过规划数据质量管理体系、数据质量流程控制方式方法及改良数据质量的技术方案和评审要求等，为提高数据质量提供保证。通过建立保障机制，如建立资源保障机制和相应能力及培训保障，为施行、保持并持续改良质量管理体系提供适宜的资源保障和确保相关人员能够胜任数据质量管理工作，保证所采集数据的质量。3.施行与流程控制〔1〕数据采集通过对①文件和文件控制；②记录控制；③数据流程与流程控制〔数据采集、数据审核、数据校验、数据标记、数据更正控制〕，从数据采集源头开场疏理数据流向，辨别影响数据质量的数据流程，明确数据采集流程的工序、内容和岗位职责，编制程序文件和相应的作业指导文件。保证信息化工作中的数据质量。〔2〕数据供方管理通过对非本单位采集的数据来源加以辨别，对于公安信息网络以外的数据供方制定相应的管理措施，以保证所提供数据的质量。〔3〕数据质量追溯通过审计日志等方式对构成的数据进行唯一性标识。应编制文件，建立数据可追溯机制，使数据质量能够追溯。〔4〕申投诉管理应编制文件以建立相应机制，对外部受众的数据质量申投诉进行有效管理。〔5〕数据质量反应公安机关在数据应用经过中，应建立相应措施和机制，对所用数据质量进行评价，及时向数据提供单位反应质量问题，促进数据质量的提高。应用经过的评价应包括对所采集数据的完好性、准确性、鲜活性和规范性的评价。4.监测与考核〔1〕监测可建立数据质量监测机制，采取相应措施对数据的完好性、逻辑性等进行检测。