侵犯个人信息 应承担法律责任

【深圳商报】记者 张惠屏 屈宏伟

 

---

针对我国个人信息保护方面存在的极大不足，张丽杰代表向记者透露，立法项目组在调研中提出了一些制度性的建议，当中包括三个方面：

一是明确个人信息的合理使用制度。

个人信息持有人和使用人的权利主要体现在对依法获得的个人信息进行合理使用。所谓合理使用就是在法律允许的范围内，以正当的目的和合适的方式使用个人信息。个人信息持有者和使用人的限制主要体现在几个方面：一是收集及利用个人信息目的特定和限制。目的须明确具体，而且合法，在收集信息时必须说明其收集信息的目的。二是采集信息的限制。信息持有者必须用正当合法的手段和程序制作、保有、使用和公开个人信息。没有信息主体的特别许可，信息持有者不能公开他人信息。三是持有和使用已记录信息的限制。主要表现在通知义务和保证义务。通知义务是指信息持有者在获取信息后，必须向本人告知该信息被置于哪个系统、这些信息常规使用的方式、对这些信息使用的保存方式和他人获取该信息的方式和程序等等。

二是建立侵害个人信息的补偿和惩罚机制。

个人信息保护如果没有有效的救济机制，那么该法即是空洞许诺。个人信息保护的救济措施主要通过规定侵权人应承担的法律责任来补偿受害人的损失。任何人侵犯个人信息控制权及其他相关权利的应当承担相应的法律责任。包括民事责任、行政责任和刑事责任。个人信息使用的个人和机构违法获取个人信息，或者非法使用个人信息及未采用合理保密措施，给他人造成损失的，须承担民事损害赔偿责任。除了承担民事责任外，还应当由其上级部门对有关责任人员给予一定的行政处分。造成严重社会危害性，触犯刑法的，还应当追究有关责任人员的刑事责任。

三是设置个人信息保护的监督机构。

欧盟《个人数据保护指令》第28条的规定，其成员国应当设立一个或多个专门的机构负责独立地监督个人信息保护法的实施，凡制定的法律、法规中涉及个人信息的，有关部门应当咨询该机构的意见；同时，该机构享有相应的调查权、依照职权或者有关当事人的申请而对相应的违法行为进行查处的权力以及通过介入诉讼维护法律实施的权力等。根据这样的规定，采取欧洲立法模式的国家均设立了相应的主管机构。