法治评论

个人信息保护立法不宜过于分散

2016年12月27日 来源:法制日报

  根本的问题在于如何统筹立法专业与行业的一致性,以及实务中的尺度与力度的协调性。

  12月25日上午,十二届全国人大常委会第二十五次会议分组审议了电子商务法草案,有的常委会组成人员建议,加大对消费者个人信息保护的力度,还有的建议将快递物流纳入消费者信息保护主体。针对个人信息保护问题,草案专设一节规定电子商务经营主体要建立制度提升信息手段,防止信息泄漏、丢失、毁损,确保电子商务数据信息安全(12月26日澎湃新闻网)。

  从重视消费者个人信息安全的角度看,电子商务法中设计个人信息保护的条款的确是一种进步。但在立法实务中,又会面临很多问题,比如如何细化规则设计、处罚办法以及谁是执法主体、怎么推进行刑对接等实际问题。如果设计过细,可能变成个人信息保护法,让电子商务法名不副实。同时,个人信息保护缺少明确的上位法,许多待研究的问题,难以在电子商务法的立法实践中解决。受限于此,电子商务法中对个人信息保护的设计,只能是笼统的、粗线条的,探索的意义远大于实质性的保护。

  正因如此,审议中有委员认为,相关行业针对个人信息的保护,在监管和制约机制上应进一步完善,在可操作性上还应该进一步加强。此外,还有委员提出快递物流也应纳入到电子商务法的信息保护中来。这客观反映出个人信息保护专门立法与行业立法之间的矛盾。行业监管重视消费者信息保护没有错,但根本的问题在于如何统筹立法专业与行业的一致性,以及实务中的尺度与力度的协调性。

  特别是在个人信息保护尚未专门立法的前提下,缺少充分的制度设计与法则依据,很有可能导致针对公民个人信息保护的“划行而治”,导致法律依据的分散,管理执法尺度的紊乱,落入“九龙治水”的窠臼。毕竟,可能发生公民信息泄露的涉及广泛的行业,电子商务是其中的一个行业,还有金融、电信、教育、公安、社保、航空、铁路等众多行业。这些行业在立法或者修法中写入公民信息保护的规定,也是可行的,例如,物流快递中信息保护不能列入电子商务法来调节,在快递法中也可以列入。

  然而,行业立法不能也不可能越俎代庖,去解决针对所有个人信息保护的共性问题、通行准则,需要做的只是针对行业的特殊性,在遵循个人信息保护普遍规则、制度设计下,具有个性的小补丁。所以,尽管当前涉及公民个人信息泄露、交易的乱象丛生,给社会秩序带来了很大冲击,纳入法治的范畴尤为急迫,但是立法终究是一件严肃而严谨的事情,不宜头疼医头、脚痛医脚,还应着眼全局、通盘考虑。保护公民个人信息,立法是必由之路,当前真正需要的还是一部个人信息保护的专门法,加快此法的立法进程更值得期待。并且,实践也证明把行政监管与执法的权力集中到一个部门,比“划行而治”更节约行政资源、更富有治理效率。