随着个人信息在买房、买车、通讯设备购买及安装、家装等领域的广泛采集,个人信息越来越被信息采集者滥用甚至用以买卖牟利……南京师范大学法学院姜涛博士认为,面对市场主体追逐高额利益、忽视社会公共利益情势,国家有关信息安全保护方面的法律需要更多地采用传统公法的手段对市场进行必要的干预,实现社会公共利益的最大化,保护公民的个人信息。从这个意义来看,《江苏省信息化条例》在我国信息安全法律制度上迈出了突破性的一步。
《条例》的第24条备受关注:任何单位和个人不得非法披露所采集的信息,不得将获取的公民、法人和其他组织的信息出售或者以其他方式非法提供给他人,不得以窃取、购买等方式非法获取上述信息。
刘克希解释说,个人信息的买卖是严格禁止的,不论是国家机关还是单位、个人,只要有买卖个人信息的行为,都是违法的,都要受到法律制裁。刘克希介绍,《条例》24条本来是《草案修改稿》的23条第三款,考虑到国家机关掌握大量个人信息,同样具有依法使用个人信息的责任,因此最终将其单独成条,国家机关和非国家机关共同适用。刘克希表示,国家机关有责任保护公民个人信息,国家机关也应当为侵犯个人信息的违法行为承担法律责任。
针对第24条内容,条例的43条规定了相关法律责任:非法披露、出售、提供信息,或者以窃取、购买等方式非法获取信息的,由县级以上政府信息化管理部门责令其删除信息,没收违法所得,对单位处以10万以上50万元以下罚款,对个人处以1万元以上5万元以下罚款;构成违反治安管理行为的,由公安机关给予治安管理处罚;构成犯罪的,依法追究刑事责任。
姜涛认为,《江苏省信息化条例》构筑了一个由行政处罚与刑事处罚为后盾的衔接点和安全网,但这一立法并没有规定与信息非法泄露或取得相关的民事救济途径。刘克希表示,条例中的责任条款主要是行政处罚,至于对信息被采集人的民事赔偿等问题,被采集人完全可以依据《侵权责任法》等法律通过民事诉讼来解决。