时间:2022-06-15 08:53:14
导语:在个人信息保护论文的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了一篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
现代信息社会的发展,使个人信息的资源性日益彰显,个人信息的保护也越来越受到重视。加强对个人信息的保护,促进个人信息的合法运用,首先需要对个人信息进行准确的定位,是在传统民法体系内保护,还是以特别法的形式予以补充,目前还处于争议阶段。本文将从个人信息的性质,以及个人信息与相关权利的区别入手,来探讨个人信息的商业运用及其法律保护途径。
一、个人信息的法律性质
个人信息,有的学者将其称为个人资料;有的干脆将其称为隐私。其实,个人资料和隐私这两个概念都不够准确,均不能表达所要保护的对象。首先,信息和资料之间是有差别的,资料是代表人、事、时、地的一种符号序列(不以文字为限),是一种客观事实状态;信息是指资料经过处理后可以提供为人所用的内容,能够直接起到识别的功能[1](P13),是有价值的,只有具有一定价值的资料才能够作为资源,也才能够成为法律保护的对象,属于法律的价值判断范畴。正因为信息和资料所指称的对象有差别,所以,并不是所有的个人资料都能够成为保护的对象,只有具有价值的能够为人所用的资料,也就是信息,才能够成为被保护的客体。其次,隐私这个概念,来源于英文“Private”,对于这个词是否应该翻译为隐私,还值得进一步研究。但一般认为,隐私是一个人内心深处的不愿向外界透露的信息,而且这个信息一旦泄露则会给他人的声誉造成一定的影响。因此,隐私只是相当于个人信息中的敏感信息,而不包括琐细信息(注:以个人信息是否涉及个人隐私为准,个人信息可以分为敏感个人信息和琐细个人信息。参见齐爱民主编:《个人资料保护法原理及其跨国流通法律问题研究》,武汉大学出版社2004年版,第6页。)。由此可见,资料和隐私,一个所指称的范围过宽,一个则过窄,均不如个人信息准确。个人信息这一概念准确地表达了所要保护对象的特点,具有识别效果和资源价值。因此,个人信息是指可以直接或者间接识别该个人的资料。现代社会个人信息占有量往往与一个企业的竞争力有着非常密切的联系。个人信息商业运用的法律保护问题被提上议事日程。
首先需要对个人信息的权利性质有一个明确的认定,才能够把握法律保护的方法和途径。对于个人信息的性质有不同的看法,有的人认为个人信息属于物的范畴,适用所有权的保护模式[2]。有的人认为个人信息属于隐私利益,应该适用隐私权来保护个人信息[3]。有的人则认为,个人信息的收集、处理与利用涉及该个人的人格尊严,个人信息所体现的利益是公民人格利益的一部分,这一利益是一种独立的、新型的法律利益,应该被赋予新的权利,这一权利就是资料权[4](P109)。资料权从权利归属来看,属于人格权的一种,人格权是资料权的上位权利[4](P115)。笔者认为,个人信息的拥有者对个人信息所享有的权利,在权利归属上并不是人格权的一种,而是一种新型的独立的权利。首先,从权利内容上看,人格权的典型特征就是不直接表现为财产利益,而个人信息权的行使往往是为实现直接或者间接的财产利益。其次,从权利的表现方式来看,人格权一般都表现为消极的不受侵害的权利,相对人仅在法律规定的范围内负有不为一定行为的义务,而个人信息权在很多情况下都表现为该个人对其信息予以自由支配和控制的积极性权利,该个人得以完全基于自己的意思自由地行使该权利,该权利表现为确认、了解个人信息的存储、利用与流通情况,并排除第三人对信息的不法侵害。再次,从权利的行使情况来看,人格权是与人身密不可分的,人格权不能转让,不能作为交易的客体,而个人信息权的一个显著特点就是个人信息能够作为商业交易的对象,而且在市场经济条件下,个人信息的商业运用将成为个人信息权的主要实现途径。最后,从救济方式来看,对人格权的保护通常采用事后救济的方式来实现,而对个人信息权的保护是采用事前防范和事后救济相结合的方式来达到的。显然,个人信息权与人格权是不同的权利类型,尽管隐私权也是保护个人信息的,但隐私权所保护的个人信息范围非常有限,仅限于一些可能对本人造成损害的敏感信息,而且隐私权的保护仅仅是从精神利益角度出发所作出的规定,所以,以隐私权来实现对个人信息保护的设想是行不通的。那么,个人信息能否通过所有权的模式来保护呢?也不行,因为个人信息权与所有权毕竟是不同性质的权利类型。首先,从权利的设立目的来看,所有权是为确保权利主体对物本身的占有、使用、收益和处分,物本身就体现了所有权的价值,具有直接的财产利益。而个人信息权的设立则是为了保护个人信息不受他人的侵害,个人信息的商业化运用虽然也表现一定的财产利益,但个人信息的立法宗旨仍然是以保护人格独立和人的尊严为终极目标,个人信息的价值也具有不确定性,其价值的实现有赖于不同的商业运作模式。其次,从权利客体来看,所有权的客体为物,而作为个人信息权客体的个人信息则不具备物的一般特性。再次,从权利行使方式来看,所有权人在正常情况下都能够以自己的意思来直接实现对物的支配,而个人信息权人在很多情况下,要实现对个人信息的控制和管理,则必须通过请求他人为或者不为一定行为,如确认、了解个人信息的存储、利用和流通情况。最后,从侵害后的救济方式来看,所有权人可以通过行使物权请求权来恢复对物的支配,不受时效限制;而个人信息权人在受到侵害以后,只能够通过请求对方承担违约责任或者损害赔偿责任,不存在恢复原状的问题,而且受到时效的限制。
个人信息权之所以是一种独立的权利类型,不仅因为其与所有权、人格权都存在重大差异,更重要的是,个人信息权形成了自己特有的权利内容。个人信息权的权利主要表现为:第一,个人信息决定权。指本人有权决定个人信息是否被收集与利用或者进行更新,以及个人信息在什么领域、基于何种目的、以何种方式被处理。第二,信息保密权。是指本人得以请求信息处理主体保持信息隐秘性的权利。对个人信息的保密途径一般来说有两种,一是自律,一是他律。他律是指通过政策、法律等消极手段间接地约束信息处理主体的行为,解决信息内容被截取或者泄露的责任分担问题。自律则是由信息处理主体主动采取保密措施来防止信息内容被截取或者泄露,为信息的收集和处理提供了安全的环境,自律是个人信息保密权得以实现的基础和保障。第三,信息查询权。是指个人请求信息处理主体告知对其个人信息进行收集处理的相关情况,有的学者也将其称为请求告知权[5](P121)。信息查询权是个人信息权得以实现的关键所在,个人要实现对信息的支配和控制,必须首先了解哪些个人信息被收集,这些信息又是如何被处理和利用的,才可能知道这些信息是否保持完整,是否准确适时。第四,信息更正权。是指本人在发现其个人信息错误、不完整或者过时时,可以请求信息处理主体更正和补充的权利。一般来说,行使更正权的事由有三类,即信息不准确、不完整、不从新。我们此处的更正权包括了补充权。信息更正权中最有争议的就是个人信息中有关本人价值判断的内容,本人能否请求更正或者补充,从个人信息的客观性来看,有关个人价值判断的内容如果本人能够举出充分的相反证据,可以予以更正或者补充,但在没有充分证据的时候,是不能够变更或者补充的。第五,信息封锁权。是指在法定或者约定的事由出现时,本人得以请求信息主体以一定方式暂时停止信息处理的权利。第六,信息删除权。是指在法定或者约定的事由出现时,本人得以请求信息处理主体删除其个人信息的权利。信息封锁权与信息删除权存在许多相似之处,一般来说,个人信息不完整或者不准确,可以行使封锁权;而在个人信息收集目的实现的情况下,则可以行使删除权。第七,信息报酬请求权。是指本人在因其个人信息被收集、处理与利用的情况下的一项信息处理主体请求支付对价的权利。
综上所述,个人信息权不仅不能归入人格权,也不能够归入物权的范畴,个人信息权在权利属性上看,是一种独立的复合性权利,具有人格和财产的双重属性,而且已经形成了自己独有的权利内容,应以民事特别法的形式对之予以保护。
二、个人信息商业运用的现状
个人信息商业运用的前提是个人信息的收集,个人信息的收集按照收集的主体,可以分为“公的部门”的收集即由国家机关为主体进行的信息收集,和“私的部门”的收集即由非国家机关为主体进行的信息收集。由国家机关进行的信息收集活动一般是由国家机关依职权或者执行国家公共事务的需要按照规定程序进行的,在此我们不作讨论(注:当然,对于国家机关所收集的个人信息也存在如何合理使用的问题。2003年5月8日《南方周末》法治版刊载了一篇《建行贿人资料库供招标方遏腐败——宁波检察院悄砸行贿商饭碗》。在该篇报道中,宁波市北仑区检察院率先建立了建筑行业的行贿人员“黑名单”,“黑名单”中既包括已经被判行贿罪的行贿人,也包括虽未判刑,但行贿数额巨大的人员,甚至将那些检察机关已经掌握行贿事实,但本人还未交待或者拒不承认的人员也列入其中,这些对于行贿人来说都是保密的,也就是说这些个人信息是通过间接的方法获得的。北仑区检察院使用这些个人信息为社会提供“诚信咨询”,招标单位可以事先向其咨询投标人是否存在行贿的污点,检察院将审查结果予以反馈;对长期与该院合作的国家机关或者特大型国企提供部分行贿人名单;还对反贪部门以及有关的法纪部门的侦查行为提供必要的资料帮助。这种做法迅速在宁波市检察院系统推广,并将范围扩大到医药行业和政府采购领域。本来检察机关为了预防犯罪在其权限和工作必须的范围内收集、利用个人信息是法律所允许的,但其扩大个人信息的使用范围,虽然在目的上是为了遏制腐败行为,但毕竟是在无法律依据的情况下凭借公权力介入私法秩序,这种行为本身值得商榷,同时反映出我国个人信息合理运用的法律问题亟需解决。)。个人信息的商业运用主要发生在由非国家机关收集个人信息的场合。非国家机关收集个人信息一般都是出于营利目的,非国家机关收集个人信息的营利性就决定其可能在商业利润的驱使下肆意收集、传输个人信息而践踏个人信息权。为规范非国家机关的信息收集行为和信息利用行为,就需要对非国家机关的信息运用情况有一定的了解。下面就目前几个典型的涉及个人信息收集和运用的非国家机关对于个人信息的收集和运用情况予以介绍。
第一,网络商家对于网民个人信息的收集和处理。无论是在线电子交易还是传统商务经营,企业在激烈的竞争中都学会一项关键的营销策略,即锁定顾客群体,提供个人导向服务,巩固消费者与商家自身之间的关系与忠诚度。网络空间给商家们提供了方便快捷、成本低廉的收集顾客个人信息和挖掘潜在顾客群体的平台。经营者收集个人资料的方式基本上有两种:一是消费者主动提供个人信息,二是消费者并没有主动提供信息,是由网络商家利用信息技术在消费者不知情的情况下收集个人信息。消费者主动提供个人信息,通常是商务网站以登录网站、加入会员的例行程序或者提供优惠等方式要求消费者提供个人信息,消费者一般有选择接受或者拒绝的权利(注:这种方式从程序上看,虽然是尊重了消费者的意愿,属于个人信息的合理收集,但不排除有些网络商家在收集过程中,可能会采取一些隐蔽性的欺骗手段;或者虽然赋予消费者选择接受或者拒绝的权利,商家有时候会通过文字游戏使得消费者忽略该项权利的行使,以默示推定或者行为认可的方式来视为其已经接受;或者收集的信息的使用超越事先承诺的范围,这都在事实上对个人信息权造成侵害。)。个人信息权遭受侵害的最大威胁就是商家未经消费者的同意而利用信息技术收集个人信息的情况,此时的个人信息完全处于失控的状态。目前,网络商家经常通过“网络小甜饼”(cookies)及其他一些追踪软件,来追踪消费者的网上行为,收集其个人兴趣和偏好。利用cookies技术,网站的服务商能够在消费者访问网站时,在消费者的电脑中以文本文件的形式设置信息代码,该信息代码对于每一个上网的消费者来说都具有唯一性、识别性,而且只有网站服务商才能够识别。只要消费者随后再次访问该站点,就可以被识别出来。网站还可以通过隐藏的导航电子软件收集被访问网站的信息,包括哪些网站被访问,哪些信息被下载,哪种类型的浏览器被使用,以及消费者所上过的网站网址[6](P95)。通过网站所记录的这些信息,我们就能够知晓该消费者的e-mail、ID号码、消费习惯、阅读习惯等兴趣和爱好,甚至可以知晓其信用记录和通信记录,进一步核证其交际范围和能力。信息社会中,个人信息是有价的,个人信息的交易也日渐成为一件有利可图的事情,有些网络商家除了将这些信息作为自己广告宣传和营销的资源外,还可能将这些资源作为交易的对象。对商家来说,谁掌握的个人信息越多,谁就拥有越多的潜在消费者。因此,众多商家普遍存在“信息饥渴症”,不惜通过各种手段来窃取或者购买他人的个人信息。而通过网络可以低成本获得个人准确而详尽的信息。商家往往对个人信息进行仔细的分析,然后有的放矢,甚至有可能采取有差别的价格,把无差别的产品卖给不同的顾客,如果对这类现象不加以规范,低成本、高利润的引诱就会使越来越多的商家效仿,个人信息权就无法保障,我们就要遭受大量垃圾信息的干扰。由于个人信息的充分暴露,商家对你的消费情况了如指掌,有时还会使个人遭受网上歧视。当网上企业知道消费者的消费历史和习惯时,便可以选择性地服务某些消费者。比如,当网上销售商通过你的个人信息查知你并不是一个十分阔绰的消费者时,他们会先服务其他人,而要你在客户服务热线上久等,你甚至对这种不公平待遇全然不知。有的网络商家就根据他们所收集的客户信息,把客户分成不同等级,而最低等级的客户就只能最后得到服务。
第二,医院在提供医疗服务的过程中,收集了大量关于生理、疾病、生育等方面的个人信息。我国现行法律、法规对医疗机构如何处理和对待患者的个人信息缺乏系统完善的规范,仅一句概括式的宣传意义上的“为患者保密”,这是远不能适应信息社会发展需要的。尤其是在现代社会,医疗技术日益发达,有些医疗技术的实施可能会影响人伦关系,如人工授精技术虽然解决了因生殖能力所带来的困扰,但同时也引发了人工授精子女日后可能因为寻找生理父亲所可能引发的一系列人伦和法律问题,如实施人工授精技术的医疗机构应该如何记录和保存该信息,哪些相关人员可以查阅有关信息,由信息泄露所导致的损害应该向谁进行赔偿,由谁进行赔偿,如何赔偿,这些都需要进行规定。再如,现在许多人进行美容整形手术,还有的甚至进行变性手术,实施这些手术的机构是否应该对这些信息进行保密,采取何种措施在多大范围内进行保密,都是亟需进行研究的问题。现在比较普遍存在的现象是医疗机构将患者的个人信息卖给药商、保险公司,有的医院将产妇的信息出售给婴儿用品公司、奶粉商等,获得这些信息的商家还可能将这些信息再次整理出售给各级教育培训机构以及与孩子成长各个阶段密切相关的各个商家,个人信息的价值得到了最大限度的挖掘,而我们个人的正常生活将因此受到无穷的干扰。
第三,金融机构和电信机构也是个人信息的汇集地。为保护金融活动参与人的利益,《储蓄管理条例》、《信用卡业务管理办法》、《网上证券委托暂行管理办法》等相关法规都对金融机构的个人信息保密义务作了相应的规定。但这些规定都缺乏操作实效,这些义务的履行有赖于金融机构业务流程的规范,金融工作人员即使泄露信息,也无法查证,而且当事人也很少对金融机构的业务活动是否侵犯其个人金融信息提出疑问。电信机构为社会公众提供各种电信服务项目,事关通信的机密性,如果电信机构对服务客户的通信进行收听、窃听、存储或者其他形式的监听或者监视,将会对客户的隐私构成巨大的威胁,有时甚至会被有些商家作为不正当竞争的手段使用,比如,某些关键性的电话谈判,就可能被竞争对手通过监听的办法截取,从而先发制人。
综上所述,我国个人信息的商业运用尚无相关法律法规有效规范,对个人信息权的保护构成巨大的威胁。
三、个人信息商业运用的法律保护
从目前个人信息商业运用的现状来看,可从以下几个方面入手,加强对个人信息商业运用的法律保护。
首先,个人信息商业运用的法律保护离不开专门法律的调整,当务之急就是制定个人信息保护法。个人信息保护法的立法原则必须遵循信息社会发展的规律,在保证个人信息自由流通的前提下,对个人信息的商业运用加以合理的限制。很多国际组织认为,个人信息保护原则是个人信息保护法的核心内容(注:经济合作与发展组织理事会于1980年9月23日通过《关于隐私保护与个人信息跨国流通的指针》,以及联合国于1990年12月14日通过的《关于自动信息档案中个人信息的指南》中都持这种看法。)。个人信息的保护原则的重要性可见一斑。综观世界个人信息立法较为完善的美国、德国,个人信息的立法一般来说应坚持以下几个原则:第一,直接原则。即个人信息的收集原则上应坚持向本人收集,间接获得的个人信息具有获得上的不正当性,不能够被利用和处理。第二,目的明确原则。指个人信息收集和利用时必须有明确目的,禁止公务机关和非公务机关超出目的范围收集、储存和利用个人信息。第三,安全保护原则。指个人信息的收集和利用主体必须采取相应措施保护个人信息的安全,避免可能发生的个人信息的泄漏、意外灭失和不当使用。第四,公开原则。指对个人信息的收集、利用和处理,一般应保持公开,本人有权利知悉个人信息的收集、利用和处理情况。第五,耕种原则。指为了保护个人信息的完整和正确,本人有权利对个人信息进行适时修正。个人信息保护法还必须明确保护对象,如1990年德国资料法第3条第1项规定:“个人资料是指可以直接或者间接识别自然人的任何资料”。该条规定就将个人资料保护的主体限定于自然人范围,排除了法人和其他组织。我国个人信息保护法的保护对象也应仅限于自然人(注:仅限于自然人的规定,从表面看起来非常简单,事实上有关自然人的问题还很多,比如,自然人是否包括死者,是否包括胎儿,以及以后可能出现的克隆人等。),有关法人或者其他组织的信息可以通过商业秘密法和反不正当竞争法予以规制。有关自然人的个人信息应该区分琐细个人信息和敏感个人信息,并针对各自不同的特点规定不同的收集、利用和处理模式。个人信息法规范的重点应该在于信息收集人、处理人和利用人的权利义务、个人信息权人的权利义务、责任追究机制和赔偿标准以及个人信息商业运用的监督机制。
其次,加强业界自律。法律尽管可以规定个人信息应该如何被合法收集和运用,但法律只能够起到外部约束的作用,很多情况下,侵犯个人信息权的行为仍然防不胜防。ISP业者、征信者、直销业者以及其他销售业者等涉及个人信息的行业可以通过订立行业成员应遵守的收集个人信息应该遵守的行为标准和同业惯例,鼓励行业成员与消费者个人达成信息处理的契约,根据行业惯例,行业成员应该措辞清楚地在网页或者明显的位置公开其信息收集的原则,或者张贴有关的隐私政策,并明确告知个人信息收集和使用的目的,使消费者可以明确自己的信息将得到如何的保护和处理,再来选择是否提供个人信息。业界自律可以通过取消成员资格或者某种具有商标性质的认证来作为督促或者惩罚手段,来达到约束行业成员自觉遵守个人信息保护的目的。
再次,可以借助市场机制的作用来缓解商家和消费者在个人信息权上的激烈矛盾。由于个人信息保护法实行的是直接原则,未经消费者同意,商家是不能够收集消费者的个人信息的,然而要直接取得消费者的同意是非常困难的,消费者没有义务来配合商家的任何商业目的的实现。例如,某全球性公司在一次直销活动中,消费者最高的回复率仅为52%,且是在以免费电影票吸引消费者回函的情形下才得以达成的(注:详见王郁琦:《“电脑处理个人资料保护法”与个人资料的商业利用》注释7,载《信息法务透析》1996年3月。)。所以,商家可以通过提供一些诱因,来吸引消费者提供个人信息,如提供免费阅览、提供赠品等方式来换取消费者个人信息。在此种情况下,消费者可以认识到自己的个人信息是有经济价值的,是否通过提供个人信息来换取利益,由自己衡量得失后作出决定。比如,欲出售订户名单给广告业者作邮寄名单的杂志社,就可以拟定两种不同的订阅费率供消费者选择:一种属于正常费率,适于要求对个人信息予以保密的订户;一种是较正常费率更为优惠的费率,适于同意将个人信息作商业利用的订户。如果订户觉得两种费率的差价利益大于因信息作为商业利用可能带来的不便,那他就会选择后一种优惠费率。相反,如果经验告诉消费者,个人信息的商业利用会给自己带来无尽的烦恼,也就是说,信息收集主体没有严格按照承诺兑现隐私政策的话,那么,消费者就可能放弃这些优惠而选择保密个人信息,这样就不利于信息的自由流通。市场机制的采用一方面有助于克服信息收集的程序困难,同时也给商家提出了更高的要求,必须执行严格的隐私政策,才能带给消费者实际利益并在优胜劣汰的竞争中生存下去。
最后,必须对消费者进行自我保护教育。通过宣传和示范,让广大的消费者树立个人信息保护的观念。在购物时,商家时常要求我们填写一些有关个人信息的卡片,如姓名、住址、联系电话等,有的商家甚至要求登记信用卡号、银行账号等,并引诱你说是为了便于参加抽奖或者累积积分换奖。此时我们一定要提高警惕,谨慎控制个人信息,要在详细了解该商家所执行的隐私政策,并确认自己所提供的个人信息能否得到保护的前提下再决定是否提供相关信息。尤其是在网上购物时,尽量选择访问个人信息保护比较完善的站点,不轻易泄露个人信息,尤其是信用卡号、银行账号以及手机号码,能够匿名的尽量匿名,能够设置密码的一定要加密,条件允许的情况下,还可以通过采用先进的信息技术建立个人信息的防护屏障。在发生个人信息被侵犯的情况下,要积极主张权利,从而推动个人信息权保护的进程。
一、个人信息行政法保护的内容
(一)个人信息主体的权利
1.信息决定权:在我国,自然人对自己的个人信息享有支配的权力,此权利具有排他性。
2.信息更正权:若信息所有权者发现自己的个人信息存在错登记或遗漏时,其有权要求相关机构对其个人信息进行及时更正或补充。
3.信息告知权:信息告知权指的是当信息所有者的个人信息被收集后,信息所有者有权知道其个人信息被何种机构或个人所使用、保存,并有权知悉其被收集信息的用途。
4.信息删除权:当信息所有者脱离该信息管理机构的法律范围,其有权要求使用主体或管理机构删除其个人信息。
二、我国个人信息行政法保护中出现的问题
(一)基本原则模糊
目前我国的个人信息行政立法还不够完善,只有在部分机构的规章制度中体现出保护个人信息的条款,因此,我们要借鉴欧美发达国家的立法观念,加强对个人信息保护方面的立法力度。
(二)立法模式和法律规范不健全
目前我国在个人信息保护立法模式上,有以下观念:(1)建议采取综合性立法模式;(2)建议采取统一的立法模式。在制定个人信息保护法律时,需要依据我国宪法实施,而个人信息却处于公法与私法间,没有固定模式对其定位。
我国在个人信息保护方面没有一个健全的法律体系,部分与其相关的法律条款,一般源于对个人隐私的保护法规,分散性强。因此,我国应加强对个人信息保护的行政立法,不断完善个人信息保护的法律体系。
三、完善我国个人信息行政法保护制度的措施
(一)确立个人信息行政法保护的基本原则
1.尊重人权原则:我国宪法规定需尊重和保障公民的基本权利,国家机关及其工作人员在工作中需秉承尊重人权的原则,尊重人权在个人信息保护的行政立法中起到的指引作用,同时也保障公民的知悉权,体现出国家在践行“以人为本”上的力度。
2.保障人权:我国在个人信息行政立法中,主要以维护信息所有者的人格尊严为基础,并切实保障信息主体的各项基本权利,因此,在制定个人信息的保护法律条款时,不得损坏公民的其他权益。
3.比例原则:在个人信息的收集和使用过程中,当个人利益与公众利益发生冲突时,应按照适度的比例来进行处理,既不过分侧重于公众利益,也不过多偏向于个人利益。
(二)健全相关法律制度
1.完善监督管理制度
建立健全的监督管理制度,充分利用行政机关的权利,保障公民的个人信息权利,维护其个人信息安全,方法有:⑴建立公开透明的监督管理体制,公众参与个人信息保护的监督,设立热线电话和和联网监督渠道;由专门的国家行政机关对相关的信息使用者进行监督,促使其依法办事、履行相应的义务。
2.完善政府信息公开制度
在个人信息保护上应不断完善信息公开制度,增加信息的透明度,扩大公众知悉权,并制定相应的标准,以确保信息在公开透明的情况下也不损害相关人员的个人信息受保护的权利,以便于更好地落实信息公开制度。
3.完善个人信息处罚制度
完善个人信息处罚制度,加强对信息使用主体的监管力度,若信息使用主体在信息操作过程中有违规违法行为,应严格按照处罚制度予以处罚,确保个人信息的保护权不被侵害。
四、结语
针对目前我国个人信息行政法保护中存在的不足,我国应加强相关方面的行政立法和完善监督管理体制,设立专门的监督管理机构,进行实时有效的监督。增加个人信息管理的透明度,让群众参与监督,运用多种监督管理手段,力求做到公正、公开,确保公民的个人信息受到法律的保护。
作者:朱珈宇 单位:郑州大学法学院
摘要:个人信息保护法的客体是个人信息,个人信息体现的是一种基本人权。个人信息法律保护应遵循一定的原则,对特殊行业和领域应制定特别的法律规范,并实行行业自律。
关键词:个人信息;个人信息权;立法
一、个人信息的界定
目前全球已经有50个国家或地区制定和颁布了个人信息保护法。各国或是地区在法律中对个人信息的称谓有所不同,如“个人数据”、“个人资料”、“个人隐私”、“个人信息”。采用“个人数据”称谓的采用“个人资料”称谓的,如1977年德国的《联邦资料保护法》。采用“个人隐私”称谓的,如1974年美国的《隐私权法》。采用“个人信息”称谓的,如2003年日本的《个人信息保护法》。
“个人数据”和“个人资料”的英文均为“PersonData”,两个称谓只是中文的翻译不同而已。“个人数据”指与已识别或可识别的与个人(自然人,又称数据主体)相关的任何资料。“个人信息”指自然人的姓名、出生年月日、身份证号码、户籍、遗传特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动及其他可以识别该个人的信息。
个人数据(资料)与个人信息的区别如下:首先。个人数据(资料)侧重于客观形式,而个人信息偏重于数据或是资料所反映的内容。从资料和信息的内在关系看,资料是信息的载体,信息是资料表现的内容。从这个角度理解,数据(资料)是信息的表现形式,信息是数据(资料)所体现的内容。其次,个人信息的表现形式是多种多样,并不一定表现为个人数据(资料)形式,不以个人数据(资料)的物化形式存在的个人信息是大量的。最后,数据是一个偏技术性的概念,一般认为个人数据是指与个人相关的任何资料,也包括家庭的一些相关情况等。信息则是指经过处理后得到的数据。其与数据最大的区别在于它经过了处理过程。
随着个人信息保护法的发展,人们越来越多地开始使用“个人信息”这一概念。这是因为立法的目的在于保护个人数据或是个人资料所反映出来的个人信息,而不是简单保护个人数据或个人资料本身。而保护个人信息的目的是为了保护个人信息所能识别的自然人。简而言之,保护个人数据或是资料的目的就在于保护个人信息所指向的个人。因此,“个人信息”一词更能体现个人信息保护法的立法本意。
“个人隐私”的称谓主要出现在英美法系之中。1890年两位著名的美国法学家萨缪尔·D·沃伦和路易斯·D·布兰戴斯在《哈佛法律评论》上发表了著名的《隐私权》(TheRighttoPrivacy)一文,随后隐私权的内容在法学研究、立法和司法领域得到了认可和逐步扩展。关于隐私的定义。学界也是众说纷纭。有学者认为,隐私是指公民的私人生活安宁不受他人非法干扰。私人信息不受他人非法搜集、刺探和公开等。隐私权,是指公民享有的私人生活安宁和私人信息受到法律保护,不被他人非法侵扰、知悉、搜集、利用和公开等的一种人格权。还有的学者认为,隐私不仅包括私人生活安宁不受他人非法干扰,私人信息保密不受他人非法搜集、刺探和公开,还包括对个人私事的决定。由此可见,隐私主要是指那些私密的,不愿公开的个人信息。如果我们选择个人隐私这一概念,就相当于将不涉及隐私利益的个人信息都排除了在了法律保护的大门之外,显然是不足取。
二、个人信息权利的属性
立法中所体现出来的个人信息权利的属性是不尽相同的,大致有三种:
(一)隐私权
典型代表是美国法,认为对个人信息享有的权利是一种隐私利益。对其保护应当采取保护隐私权的权利形式。1974年美国参众两院通过了《隐私权法》,主要规制政府机构理个人信息的行为。1980年经济合作与发展组织(OrganizationforEconomicCooperationandDevelopment,简称OECD)通过了《OECD关于隐私保护与个人数据跨疆界流动的指导原则的建议书》(GuidelinesontheProtectionofPrivacyandTransborderFlowsofPersonalData,OECD),该法律文件除了跟美国《隐私权法》一样在标题中就清楚标示为隐私,文件中也多处提到,如第二条,“这些指导原则适用于个人数据,不管其是属于公共领域还是私人领域。因为处理方式或者因为他们的性质或被使用的语境。他们对隐私和个人自由构成危险。”我国香港个人资料(隐私)条例也采隐私权说,其绪言指出:“本条例旨在个人资料方面保障个人的隐私。并就附带事宜及相关事宜订定条文。”
(二)人格权
典型代表是德国法。认为个人信息体现的是一种人格利益,对其保护应采用人格权的保护形式。德国1977年《联邦个人资料保护法》规定,个人信息保护的目的是保护个人隐私。但是由于隐私权说与德国整个法律文化不相协调,在1983年被德国联邦宪法法院《人口普查案判决》推翻。该判决认为资料何种情况下是敏感的不能只依其是否触及隐私而论。德国1990年修改后的《联邦资料保护法》第一章“一般条款”第一条规定:“本法旨在保护个人的人格权,使其不因个人资料的处置而遭受侵害。该法的目的是为了保护个人人格权在个人信息处理时免受侵害。”我国台湾地区《计算机处理个人数据保护法》在总则部分第一条规定:“为规范计算机处理个人数据,以避免人格权受侵害,并促进个人资料之合理利用,特制定‘本法’。”
(三)基本人权
国际组织多采此说。认为个人信息体现的是一种基本人权,即关于个人基本权利和自由的综合权利。欧洲议会公约在绪言中指出:“考虑到在自动化处理条件下个人资料跨国流通的不断发展,需要扩大对个人权利和基本自由。特别是隐私权的保护。”欧盟95指令绪言规定,“各成员国对于个人权利和自由特别是隐私权,在个人数据处理过程中不同的保护措施可能会阻止这些数据在成员国之间的传送。”联合国指南第一条规定:“不得用非法或者不合理的方法收集、处理个人信息,也不得以与联合国宪章的目的和原则相违背的目的利用个人信息。”联合国宪章的目的和原则体现的是对人的权利和自由的保障。
我国将来制定个人信息保护法时,应如何定位个人信息权利的法律属性呢?笔者认为:首先不宜定性为隐私权,这是因为采取该种界定不能全面地保护我国的个人信息。其次,人格权属性也应排除。一般人格权是指公民和法人享有的,概括人格独立、人格自由、人格尊严全部内容的一般人格利益。并由此产生和规定具体人格权的人的基本权利。个人对其本人信息的权利其实是一种个人信息控制权,即个人对自己的何种信息被何种组织以何种方式收集、储存、使用等的一种决定权。显然人格权的外延囊括不了个人信息控制权。最后,为了与我国现有法律体系相协调,也为了更全面的保护个人信息权利,我国宜采用基本人权说。
三、个人信息保护的基本原则
不管是英美法系还是大陆法系国家均在其个人信息保护法中对个人信息保护原则做了明确规定。借鉴国外经验,我国个人信息保护法应规定以下基本原则:
(一)信息质量
信息处理者应该在拥有合法权限的前提下,依照法定的程序获取和传播(包括)信息。收集信息是基于特定的目的,在取得信息之前目的已经明确化。之后的储存和使用行为必须受到先前收集时特定目的的约束,行为应该与特定目的具有充分而不多余的关系。数据管理者有义务保证储存的信息是准确的,并且随着时间的推移应当保持信息的适时更新。信息应以信息主体可以进行访问的方式进行储存,且信息的储存时间不应超过储存信息所必须的期限。
(二)信息处理的合法性
信息处理者在保证信息质量的前提下,需经信息主体同意,才可以对个人信息进行处理,法律另有规定的除外。除外情况有处理数据是履行法定义务的要求;为了保护信息主体的重大利益所必须;履行与信息主体之间合同所必要的;进行信息处理不损害法律所保护的权利且管理者对信息处理具有法律上的利益等。不管依哪种前提对个人信息进行处理。在处理之前管理者应该告知信息主体相关事项,包括处理个人信息的目的与方法;提供信息是否是强制义务,拒绝提供的法律后果;信息的使用范围,信息接收者的身份类别;信息主体享有确认、更改、删除、获得信息和拒绝处理信息的权利;个人信息控制着的身份和住所或营业场所所在地等。
(三)信息公开
信息处理者要使得信息主体能够了解和掌握以下内容:自己的哪些信息当前被管理者所控制、正在或将被采取何种方式的处理行为、处理的主要目的是什么、信息控制人的身份及其住所地或是营业场所。具体到政府部门而言,信息公开原则的内容为:上级行政部门接到下级行政部门呈报的个人信息档案以后,将其分类目录在政府公报上公布;保管个人信息档案部门的负责人有义务将个人信息目录制作成个人信息簿供一般人阅览:任何人都拥有请求阅览关于自己个人信息的权利,有关不供阅览的理由应予以记载;管理部门在接受阅览请求后合理期限内必须做出答复;对行政部门做出不能公开,即不可阅览决定有异议时,可以提出意见,并根据行政复议法提出异议申请,或根据行政诉讼法提起诉讼;信息主体可以要求管理部门对保管信息的内容做出订正。
(四)信息安全
为了保证个人信息的安全。信息处理者应当采取适当的技术上和组织上的安全措施。保证个人信息免受意外的、未经授权的访问、修改、丢失、破坏或损害,以及其他未经授权的个人信息处理的需要。在要求信息处理者采取技术或是组织上的安全措施时要考虑其现有的技术水平以及采取措施的成本,同时结合其所控制信息的性质和潜在的危险,采取的措施既可以保证信息的安全又不会给管理者造成很大的负担。任何能够访问信息的管理者及其授权的人员必须在有管理者的明确指示下才能对数据进行处理,法律法规要求履行的强制性义务除外。此外信息处理者的工作人员在工作期间及工作结束后的一定时期内应该负有保密义务,不得非法泄露其工作时所接触到的个人信息。
四、特殊行业的特别立法和行业自律
(一)特殊行业的特别立法
将个人信息的保护纳入法治的轨道,是社会和经济发展的需要,但是不同的行业和领域对个人信息的使用情况是各不相同的,因此对所有行业适用整齐划一的措施是不现实的,这样就需要针对特定的行业和领域制定特别的法律规范。这些领域包括医疗、电信、网络、征信、金融、统计等。例如,个人医疗信息除了用于患者个人的康复外,还被用于医学教育及医学研究等,可以促进医疗水平的提高和医学界的发展,具有很强的公益性,鉴于其特殊性对其进行特殊规定是必不可少的。我国个人信息的网络立法保护很零散,有《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国电信条例》、《互联网信息服务管理办法》、《互联网电子邮件管理办法》。缺少专门立法;仅规制个人信息的不当泄露和通信自由及通信秘密受到侵害,对于个人信息的收集、持有、使用等环节没有相应的管理保护机制除了《侵权责任法》外,我国还应进行专门的网络立法,规定网络个人信息保护。我国的个人信用服务业正在逐步发展,但是目前尚没有一部直接规范个人信用服务机构及业务的专门法律。个人信用服务行业缺乏统一的法律规范。我们需要通过特别立法将信用信息的采集、加工、生产、销售、使用的全过程加以规范。
(二)行业自律
尽管我国行业自律机制比较弱,但是我们应该看到我国一直存在行业自律,且在不断发展,国家应该在加大个人信息保护立法力度的同时,鼓励提倡行业进行自律。因为行业自律机制是个人信息保护制度中不可缺少的一个环节,如果政府机关与行业协会之间形成良性互动,那么行业自律组织在个人信息保护领域将能够起到非常重要的作用。
关键词:行政主体/个人信息/行政信息/信息公开/个人信息保护法
内容提要:行政主体收集、处理和利用个人信息是一种行政事实行为。我国应尽快制定个人信息保护法,明确信息主体有权要求行政机关不能随意处理个人信息,公开对其个人信息的收集和利用,规定个人信息保护的范围、原则、监督和救济制度。利益衡量是目前协调个人信息保护与行政信息公开的适当方法。
随着行政权的扩张和行政活动的日益复杂,行政机关通过各种行政活动收集、处理和利用着大量的个人信息,同时也对个人信息构成了极大的威胁。传统行政信息公开制度的建构只是通过信息公开法中的例外规定来实现对个人信息的保护,忽视了行政机关对个人信息的侵犯。依据联合国指南规定的“不得用非法或者不合理的方法收集、处理个人信息,也不得以与联合国宪章的目的和原则相违背的目的利用个人信息”,我国对个人信息的保护制度应当顺应历史潮流作适当调整。
一、行政主体收集、处理和利用个人信息的要件
个人信息是可以识别本人的一切信息的总和。作为管理的基础、决策的依据,个人信息是政府活动不可或缺的重要资源。行政机关收集、处理和利用个人信息在行政活动中是非常必要的。行政主体对个人信息的收集、处理和利用是行政事实行为。它是行政主体基于职权而实施的,是运用行政权力的结果。由于对个人信息的收集、处理和利用不能产生、变更和消灭行政法律关系,因此它不是行政行为。但是行政主体收集、处理和利用个人信息时仍然要遵循一定的规则,符合特定的条件。
(一)有法律依据行政主体收集、处理和利用个人信息是行政事实行为,从较抽象的角度来讲,任何公权力都应以追求公共利益为其目的,如果一个公权力行为不以公共利益为目的,则该行为就失去了正当性基础。公益是行政作用所无法免于考虑的,国家机关之作为倘若背离公益,将失去其正当性。[1]而判断行政机关的行为是否符合公共利益,就在于行政机关的行为是否符合宪法和法律。例如,《城市居民最低生活保障条例》第7条第2款规定,县级人民政府民政部门以及街道办事处和镇人民政府,为审批城市居民最低生活保障待遇的需要,可以通过入户调查、邻里访问以及信函索证等各种方式对申请人的家庭经济状况和实际生活水平进行调查核实。申请人及有关单位、组织或者个人都应当接受调查,如实提供有关情况。在此,行政法规授权县级人民政府民政部门、街道办事处和镇人民政府,对城市低保申请人有关经济状况和生活水平的个人信息进行收集,以保证履行好行政给付职责,保障城市居民基本生活。
(二)特定的职责事务或特定的社会公共事务管理的目的
《突发公共卫生事件应急条例》第39条第1款规定,医疗卫生机构应当对因突发事件致病的人员提供医疗救护和现场救援,对就诊病人必须接诊治疗,并书写详细、完整的病历记录,对需要转送的病人,应当按照规定将病人及其病历记录的复印件转送至接诊的或者指定的医疗机构。此时,行政法授权医疗卫生机构收集患者和疑似病人的健康状况的个人信息,从而能及时地救治病人,有效地控制和消除突发公共事件的危害,保障公众身体健康和生命安全,履行好维护正常社会秩序的行政职责。特定目的要件蕴含着比例原则的要求。比例原则是大陆法系限制自由裁量权的重要理论。按照一般的理解,比例原则要求手段和目的的协调,严格禁止一切为达成目的不择手段的国家行为。[2]比例原则要求行政机关实施行政行为时,在实现某一目的的各种不同方法中应运用其中最适当的方法;在不违背或减弱所追求目的的效果的前提下,应尽可能地选择对相对人造成损害最小的方法;行政机关对公民个人利益的干预不得超过实现行政目的所追求的公共利益,两者之间必须符合比例或者相称。尽管行政主体收集、处理和利用个人信息有法律的授权,但是法律对行政主体收集、处理和利用个人信息的范围、条件、程序等方面的规定往往不明确、具体,行政主体在遵守行政法规范的同时也就具有了一定的选择、裁量的余地。根据比例原则,行政主体为履行特定行政职责而依法收集、处理和利用个人信息时,只能收集履行行政职责的特定目的范围内的个人信息,不能收集其他不相关的个人信息,不能对收集的个人信息进行特定目的之外的处理和利用。
(三)告知或经个人信息主体的同意
美国隐私权法规定了禁止公开的原则,规定行政机关在公开个人的记录以前必须首先通知被记录的人,征求他的意见,在没有取得个人的书面同意以前不能公开关于他的记录。有学者认为国家机关的管理性收集行为必须通知个人信息主体,国家机关的服务性收集行为则必须经过资料本人的同意。[3]该观点认为管理性的收集行为是国家机关履行职责的需要,相对人只有配合的义务而无拒绝的权利,国家行政机关只须履行告知程序即可,包括事前告知和事后告知。行政机关的服务性收集更多地是为私人主体的利益,与公共利益关系不大,应遵循意思自治原则,要有信息主体的同意才能进行。由于收集、处理和利用个人信息对信息主体个人权益关系重大,信息主体的同意原则上应以书面形式作出,以满足保存和举证的需要。同时,也应允许特殊情况下非书面的形式。如紧急情况下进行个人信息收集时,可以是口头同意,事后再补做书面同意。
(四)保证个人信息的正确、完整、最新、安全和隐秘
个人信息反映信息主体的人格形象,不正确、不完整和不时新的个人信息将影响行政决定的正确性和合理性。因此,行政机关在对任何人作决定时,其所运用的档案的记录,均应保持正确、完整及最新,以使其在作出决定之时,能合理保证对该个人具有相当的公正性。此外,行政机关应当采取适当的行政性、技术性及物理性保障措施,保障记录的安全与保密,防止可能对记录的安全与完整造成的任何潜在的威胁与损害,因为,这些威胁或损害可能会对记录所涉及的个人造成实质性危害、妨碍、不便或不公正影响。
二、建立我国个人信息的行政法保护制度
(一)制定个人信息保护法是当务之急
行政信息公开法、个人信息保护法和行政程序法是构成行政信息公开制度的主要法律。[4]行政信息公开法适用于全部政府信息,而个人信息保护法只适用于个人信息。信息公开是对社会公众的公开,而个人信息保护法中的个人信息仅对信息主体公开,对社会公众则是限制公开。所以,从行政机关将所持有的个人信息对信息主体公开这个角度来说,个人信息保护法属于行政公开法律范畴。同时,行政机关收集、处理和利用个人信息的整个程序不仅向信息主体而且也向社会公众公开。传统的行政信息公开制度在建构上,对个人信息权的保护是作为行政信息公开的例外存在的,侧重于从保护个人信息权不被行政机关以外的主体侵犯的角度来规定个人信息不予以公开。随着行政权的扩张和行政活动的日趋复杂,行政机关对个人活动的控制范围和对个人提供服务的范围都达到了前所未有的程度。行政机关通过各种行政活动收集了大量的个人信息,特别是随着信息技术的发展,行政机关收集、处理和利用个人信息的能力更是空前提高,行政活动对个人信息权已构成极大的威胁。传统的行政信息公开制度由于忽视行政机关对个人信息的侵犯而需要调整。信息主体有权要求行政机关不能随意处理个人信息,并要求公开对其个人信息的收集和利用。行政机关处理个人信息的整个程序应该向社会公开。信息技术的发展提高了行政机关行政信息处理的效率,同时也对行政机关的行政信息公开提出了更高的要求。对个人信息的保护也由信息公开法中的例外规定发展为个人信息保护的专项立法。可见,制定个人信息保护法是解决行政信息公开与个人信息权之间的矛盾、完善行政信息公开制度的重要途径。
(二)个人信息保护与行政信息公开的协调
尽管行政信息公开法和个人信息保护法都属于行政信息公开法律的范畴。但是,知情权与个人信息权的对立是不可避免的,两者构成一对矛盾。如何处理它们之间的关系成为必须解决的实际问题。
利益衡量的方法不失为解决个人信息权与知情权的冲突的明智之举。协调两种权利的冲突就必须解决好不同利益之间的关系,即在公众的了解利益和个人信息的人格利益之间进行取舍。适用利益衡量方法的前提是两种利益互为矛盾,其中一方面利益的实现可能导致另一方面利益的减损。利益衡量的方法通过对两种利益的估量和平衡,选择价值更高的利益。如果公众的了解利益比个人信息之上的人格利益明显重要,则行政机关就应该公开其掌握的个人信息,反之则不予公开。根据个别比较衡量论,当个人信息权与知情权两种价值发生冲突时,依据具体个案,分析公民了解的利益和个人信息之上的人格利益所受到的损害,将二者衡量比较,当保护前者利益较大时承认公民的知情权;当保护后者所获利益较大时尊重个人信息权。个别比较平衡论中标准的随意性过大而显不足。界限确定衡量论认为,知情权是绝对价值,保障公民对国家政治信息的知情权占首要地位;而其他人权是相对价值,其自由可以在一定程度上予以限制。[5]该理论是基于对权利本质的分析。从权利本质上看,个人信息权是一项民事权利,它通过赋予信息主体支配与控制其个人信息的权利来保护信息主体存之于个人信息上的人格利益。知情权主要是一种政治权利和社会权利,与行政信息公开制度相关的知情权更表现出政治权利的属性。在现代社会,随着民主政治的发展,公民对政治的参与度日益提高,知情权所体现的是公益性,它要求整个社会更加透明和开放,要求人们能有更多的机会了解和参与政治,而个人信息权具有个人性,与公共利益无关。因此,在知情权与个人信息权的对抗中,由于前者代表了社会公共利益、体现了更高的利益价值而占据上风。当某项个人信息涉及到公共利益时,对个人信息权进行限制、将个人信息予以公开则成为必然。当然,对公民知情权的优先考虑并不意味着漠视个人信息权。当个人信息的公开纯属满足个人的需要而与公共利益无关时,应该适当保护个人信息权而牺牲知情权。
三)通过立法完善我国的个人信息保护制度
美国将个人信息划分为公共领域和非公共领域分别进行保护,公共领域的立法主要是规制政府收集、处理和利用个人信息的行为,防止政府对个人信息隐私权的侵犯;在非公共领域,各行业和领域中的个人信息分别由不同的联邦法规通过普通法和侵权行为法予以保护,同时以建议性的行业指引、网络隐私认证计划、技术保护等行业自律形式增强个人信息保护的针对性。[6]这种模式尽管有其优点,但存在不足:分散立法易导致欠缺整体规划,法治不统一,司法不协调;行业规范缺乏国家强制力的保障,实施效果不理想;普遍性不足,很多企业游离于行业规范之外;投诉和争端解决机制不完善。同时,美国的行业自律是建立在行业组织高度发达且与政府互动明显的基础上。我国显无这一基础,故行业自律模式不符我国国情。多数欧洲国家则认为尽管政府机关收集、处理和利用个人信息时与非政府机关存在一些不同的行为规则,但是仍存在许多共性,而且公私领域在保护个人信息权的价值目标上是一致的,也都遵循同样的基本原则,因此通过制定专门的个人信息保护的单行法,对公、私领域中的个人信息保护进行统一规范。结合我国的法律体制和法律传统,我国的个人信息保护应借鉴欧洲国家的立法模式,进行统一规范、统一立法,主要内容应包括个人信息的一般规定,个人信息保护的基本原则,国家机关、非国家机关对个人信息的收集、处理和利用,以及监督和救济等方面。尤其应该注意以下问题:
1.个人信息保护的范围
法律保护的范围应及于一切个人信息。在过去手工收集和处理个人信息的技术条件下,个人信息受到的威胁并不突出。随着计算机技术的发展和互联网技术的应用,这种威胁已变得十分现实和严重。因此,不少有关个人信息保护的立法仅对电脑处理的个人信息进行规范,如美国、英国、日本、我国台湾地区等。而一些国家的立法则对自动化处理与人工处理的个人信息进行同时规范,如德国、荷兰等。笔者认为,尽管电脑处理的个人信息更容易受到侵害,但不能因此而忽视人工处理和半自动系统处理的个人信息。个人信息立法应给以个人信息全面保护。
2.个人信息保护的基本原则
我国的个人信息保护法也应明确规定个人信息保护的基本原则,作为个人信息保护法的指导思想,同时也用来弥补具体规则的不足。借鉴国际立法经验,个人信息保护法总体上应体现合法兼正当的原则,具体应规定以下原则:
(1)合法原则。行政主体行为的目的、方式、程序、内容均不能违反法律的规定。
(2)直接收集原则。个人信息的收集,原则上应该直接向信息主体收集。现代信息技术使得对个人信息的收集具有隐蔽性,该原则有利于实现信息主体对其个人信息的直接支配和控制。这是个人信息决定权的要求,同时也有利于信息主体获得知悉权。
(3)目的明确原则。个人信息在收集时必须有明确的目的,禁止超出目的范围而收集、处理和利用个人信息。对于行政机关来说,必须在行使行政职权、履行行政职责所需的目的范围内收集、处理和利用个人信息。行政机关应告知信息主体信息收集的目的。
(4)公开原则。一般应对个人信息的收集、处理和利用保持公开,使信息主体了解其个人信息被收集、处理和利用的情况。当然,“公开”并非指将个人信息的内容向公众公开,而是指将个人信息的收集、处理和利用的情况向信息主体公开,否则将违背个人信息保护的目的。
(5)完整正确原则。信息处理主体应保持所持有的个人信息的完整、准确和时新,信息主体对错误、有瑕疵的个人信息有要求更正的权利。当然,信息主体的更正权仅在于维护其个人信息的正确、完整与时新,其行使更正权的程序与内容应当受到适当的限制。
(6)安全原则。行政主体应采取安全保护措施,防止个人信息泄露、灭失和不正当使用。
3.个人信息保护的监督机关
个人信息保护监督机关的设置有独立的监督机关和原行政机关自行监督两种情形。法律授权的独立监督机构固然有利于个人信息保护监督职责的履行,但设置新的机构涉及机构和人员的编制,需要必须的工作条件和经费,这显然不符合机构精简的原则,与我国行政管理体制改革的方向不符。而由原行政机关自行监督,属于行为主体自己行为自己监督,其不足亦是显而易见的。为解决这一问题,可以立足于我国现有的行政复议制度,把行政复议机关作为个人信息保护监督机关,赋予其相应的职权。行政复议本身具有监督行政的属性,行政复议机关一般是作为被申请人的行政机关的上一级机关或所属的一级政府,行政复议机关与作为被申请人的行政机关是一种领导与被领导的关系,或者是业务指导、主管的关系。因此,由信息处理主体的行政复议机关进行个人信息保护的监督,比信息处理主体的自行监督会有更好的效果。依《行政复议法》的规定,由行政复议机关的内部机构履行复议职责。而实践中,一级政府和政府工作部门分别由其法制部门和内部的法制机构具体履行复议职责。复议机构工作人员的相对专业性和专职性也有利于其胜任个人信息保护的监督工作。结合各国个人信息保护法的规定,我国个人信息保护监督机关的职责应包括以下内容:对个人信息保护法的执行进行一般性监督;进行个人信息保护的研究和咨询;并定期提交工作报告。
4.对信息主体的救济
“无救济则无权利”。要使信息主体的合法权利切实得到维护,则个人信息保护法中应明确对信息主体的救济。例如,应当明确规定,信息主体公开、修改其个人信息的请求遭到行政主体的拒绝时,可以申请行政复议。行政复议机关未予以处理或者对行政复议的结果不服时,信息主体还可以提起行政诉讼。《行政复议法》和《行政诉讼法》都将受理案件的范围限定于行政主体的具体行政行为。《行政复议法》第6条列举了可以申请行政复议的案件。其中第9项和第10项规定,相对人申请行政机关履行保护人身权利、财产权利、受教育权利的法定职责,行政机关没有依法履行的以及相对人认为行政机关的其他具体行政行为侵犯其它合法权益的。《行政诉讼法》第11条也对受案范围进行了规定。其中第1款第5项和第8项规定,相对人申请行政机关履行保护人身权、财产权的法定职责,行政机关拒绝履行或者不予答复的以及认为行政机关侵犯其他人身权、财产权的。第2款规定,除前款规定外,人民法院受理法律、法规规定可以提起诉讼的其他行政案件。行政主体对信息主体的公开申请、修改申请拒绝或不予答复时,信息主体的个人信息权将受到影响,行政主体的拒绝决定属于具体行政行为,不予答复属于行政不作为。因此,依据我国现有的行政复议制度和行政诉讼制度,信息主体可以获得救济。个人信息保护法应规定信息主体因行政主体违法收集、处理和利用个人信息的行为遭受损害的,给予行政赔偿。
摘要本文介绍了美国《隐私权法》的立法原则、适用范围、个人记录公开的限制和登记、公民查询与修改个人记录的权利、对行政机关的限制与要求、免除适用的规定、该法与美国《信息自由法》的关系;论述了我国研究和借鉴国外隐私权保护的法律法规,强化政府信息法制建设力度,在确保国家和公共利益的前提下依法保护公民个人信息的必要性。
关键词隐私权法个人信息信息公开信息安全政府
1974年12月31日,美国参众两院通过了《隐私权法》(ThePrivacyAct)[1],1979年,美国第96届国会修订《联邦行政程序法》时将其编入《美国法典》第五编"政府组织与雇员",形成第552a节。该法又称《私生活秘密法》,是美国行政法中保护公民隐私权和了解权的一项重要法律。就政府机构对个人信息的采集、使用、公开和保密问题作出了详细规定,以此规范联邦政府处理个人信息的行为,平衡公共利益与个人隐私权之间的矛盾。
1立法原则
《隐私权法》立法的基本原则是:
①行政机关不应该保有秘密的个人信息记录;
②个人有权知道自己被行政机关记录的个人信息及其使用情况;
③为某一目的而采集的公民个人信息,未经本人许可,不得用于其他目的;
④个人有权查询和请求修改关于自己的个人信息记录;
⑤任何采集、保有、使用或传播个人信息的机构,必须保证该信息可靠地用于既定目的,合理地预防该信息的滥用。
2适用范围
《隐私权法》对该法出现的"机关"、"人"和"记录"等概念的适用范围做出限定。
2.1机关(agency)
该法中的"机关",包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司,以及行政部门的其他机构,包括总统执行机构在内。该法也适用于不受总统控制的独立行政机关,但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。
2.2人(individual)
该法中的"人",是指"美国公民或在美国依法享有永久居留权的外国人"。
2.3记录(record)
该法中的"记录",是指包含在某一记录系统中的个人记录。记录系统是指"在行政机关控制之下的任何记录的集合体,其中信息的检索是以个人的姓名或某些可识别的数字、符号或其他个人标识为依据"。个人记录是指"行政机关根据公民的姓名或其他标识而记载的一项或一组信息"。其中,"其他标识"包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码,以及其他一切能够用于识别某一特定个人的标识。个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的记载。
3记录公开的限制和登记
3.1禁止公开的原则
行政机关在尚未取得公民的书面许可以前,不得公开关于此人的记录。
3.2例外
《隐私权法》规定了行政机关可以公开个人记录,无需本人同意的12种例外情况。
⑴为执行公务在机关内部使用个人记录;
⑵根据《信息自由法》(theFreedomofInformationAct)公开个人记录;
⑶记录的使用目的与其制作目的相容、没有冲突,即所谓"常规使用";
⑷向人口普查局提供个人记录;
⑸以不能识别出特定个人的形式,向其他机关提供作为统计研究之用的个人记录;
⑹向国家档案局提供具有历史价值或其他特别意义值得长期保存的个人记录;
⑺为了执法目的向其他机关提供个人记录;
⑻在紧急情况下,为了某人的健康或安全而使用个人记录;
⑼向国会及其委员会提供个人记录;
⑽向总审计长及其代表提供执行公务所需的个人记录;
⑾根据法院的命令提供个人记录;
⑿向消费者资信能力报道机构提供作为其他行政机关收取债务参考之用的个人记录。
3.3记录公开的登记
行政机关根据上述例外公开个人记录时,除机关内部使用和依《信息自由法》公开的情况外,其他各项公开必须将公开的时间、性质、目的、获取记录者的姓名和地址登记在案,并至少保存5年。除非是向执法机关公开,被记录者有权取得行政机关制作的关于本人记录公开情况的登记。
4公民查询与修改记录的权利
《隐私权法》规定,个人有权知道行政机关是否保本人记录以及记录的内容,并要求得到复制品。除非此项记录符合该法规定的免除适用情况,或者系行政机关为起诉某人而编制,行政机关不得拒绝个人的请求。个人认为关于自己的记录不准确、不完整或已过时,可以请求行政机关修改或删除。个人请求修改的信息限于记录中的事实,不包括意见在内。
5对行政机关的限制和要求
5.1采集信息的限制
⑴行政机关必须用正当合法的手段和程序制作、保有、使用和公开个人记录。
⑵行政机关搜集个人信息,如果可能导致对被记录者作出不利的决定时,必须尽可能地由其本人提供。
⑶行政机关要求提供个人信息时,必须对提供信息者说明下列事项:
①行政机构要求提供信息的法律依据,以及个人是否必须公开这项信息;
②该项信息主要用于什么目的;
③该项信息的常规使用;
④个人全部或部分地拒绝提供行政机关所需信息的法律后果。
5.2保有和使用记录的限制和要求
⑴行政机关建立或修改个人记录系统时,必须在《联邦登记》上公布下列事项:
①系统的名称与地点;
②系统中包括哪一类人的记录;
③该系统收集了哪一类信息;
④这些记录的常规使用是什么,包括使用目的和使用者类型;
⑤行政机关对这些记录的保存、获取和控制政策以及保存的方式;
⑥该记录系统的负责人;
⑦个人查询记录系统中是否包括自己的记录时,行政机关答复的程序;
⑧个人查询如何获取自己的记录,如何质疑该记录时,行政机关答复的程序;
⑨系统中记录来源的类别。
⑵行政机关只能在执行职务相关和必要的范围内,保有个人记录。
⑶保有个人记录的行政机关必须保证记录的准确性、适时性和完整性。
⑷美国宪法修正案第1条规定公民享有宗教自由、言论自由、集会自由等基本权利。个人的宗教信仰、政治信仰和行政机关执行公务无关,禁止行政机关保有这些方面的个人记录。
⑸行政机关所保有的个人记录,在诉讼程序中,由于法院的命令而对其他人强制公开时,行政机关有义务通知被记录人。
⑹行政机关必须建立行政的、技术的和物质的安全保障措施,以保障个人记录的安全、完整和不被泄漏,并防止其它可能对被记录者产生损害的危险。
⑺为了确保《隐私权法》的执行,行政机关必须规定个人行使权利的程序。
6免除适用的规定
个人隐私权只在符合公共利益的范围以内受到保护。为了在公共利益与个人利益之间寻
求平衡,除了前面提到的12种"例外"情况,《隐私权法》还作出了"免除"的规定。
所谓免除,是指行政机关在一定的情况下,可以不适用《隐私权法》的某些要求和限制。即在一定的条件下,保有个人记录的行政机关,对被记录的个人可以免除公开的义务,可以不提供他所查询的记录,不进行他所要求的修改,或者免除法律为行政机关规定的某些义务和要求。法律在免除行政机关适用某些保护个人权利的条款的同时,给予行政机构一定的自由裁量权,不限制行政机关适用这些条款。免除分为两种,即普遍免除(generalexemptions)
和特定免除(specificexemptions)。
6.1普遍免除
"普遍免除"是指《隐私权法》中的全部规定,除了法律所排除的几项基本规定以外,其余各项规定,行政机关均可免受限制。
6.1.1免除范围
能够适用普遍免除的行政机关对其保有的个人记录系统,除下列必须履行的基本义务和要求外,可以免除《隐私权法》对行政机关规定的绝大部分限制和要求:
①被记录人的同意权;
②登记公开的数目和保存登记的义务;
③在《联邦登记》上公布的义务;
④保持记录正确性的要求;
⑤对保有涉及宪法修正案第1条公民基本权利的个人记录的限制;
⑥建立保护个人记录安全的行政与技术措施的要求;
⑦改变常规使用时进行公告的义务;
⑧违反法律的刑事责任。
6.1.2适用机关
普遍免除只适用于中央情报局和以执行刑法为主要职能的机关所保有的个人记录。
6.2特定免除
"特定免除"是指行政机关只能免除法律特别规定的几项限制。
6.2.1免除范围
特定免除只能免除适用《隐私权法》中的少数条款。行政机关对本机关中可以适用特定免除的个人记录系统,免除适用《隐私权法》中规定的下列限制或要求:
①个人查询和获取本人记录的权利;
②个人查询和获取本人记录公开情况记载的权利;
③行政机关只能保有与执行公务相关和必需的信息;
④行政机关在《联邦登记》上公布个人查询该机关记录系统中是否含有、如何取得关于本人信息的办法,以及该系统中的各类信息来源;
④行政机关规定个人取得、要求修改本人记录的办法。
上述5项免除的共同特点是免除行政机关对被记录的个人公开关于他的记录。
6.2.2适用记录
特定免除不限制适用的机关,但只能适用于行政机关记录系统中以下7种关于个人的记录。
①涉及到根据总统的行政命令明确划定为国防或外交秘密的个人记录;
②以执法为目的而编制的个人记录;
③以保卫总统、副总统、其他重要官员、外国来访元首为主要任务的安全机关所保有的个人记录;
④人口普查记录和其他纯粹以统计为目的而编制和使用的个人记录;
⑤以决定个人是否宜于任用、签订合同、接触保密资料为目的而编制的调查材料;
⑥文职官员在使用和晋升过程中的考核材料;
⑦可能暴露信息来源的军官晋升考核时所用的资料。
7与《信息自由法》的关系
《信息自由法》是规定美国联邦政府各机构公开政府信息的法律。该法于1967年6月5日由美国总统批准,同年7月6日(美国独立纪念日)施行,是美国当代行政法中有关公民了解权的一项重要法律制度。根据这一法律,政府信息公开是原则,不公开是例外。公民享有从政府的档案馆、手稿馆、图书馆、报刊、杂志、电台、电视台、情报所、科研所获得信息,并利用信息的权利[2]。
《隐私权法》规范行政机关处理个人记录的行为,规定个人记录必须对本人公开和对第三者限制公开的原则,与《信息自由法》同属于行政公开法的范畴。和《信息自由法》的不同之处在于:《隐私权法》只适用于个人记录,而《信息自由法》适用于全部政府记录;《隐私权法》着重保护公民的个人隐私权,而《信息自由法》着重保护公众的了解权;《隐私权法》企图限制某些政府文件的公开,而《信息自由法》则寻求政府文件最大限度的公开。
这两个法律互为补充,关系密切,但在适用上互相独立。行政机关对个人记录系统的公开,同时受这两个法律的支配。一个法律中免除公开的规定,不适用于另一个法律。行政机关不能依据《信息自由法》中免除公开的规定,拒绝向个人提供他在《隐私权法》中可以得到的文件。《信息自由法》规定不能对公众提供的文件,不一定是《隐私权法》规定不能对个人提供的文件;行政机关也不得根据《隐私权法》的规定,拒绝提供《信息自由法》中公众可以得到的文件。《信息自由法》兼容除《隐私权法》外的其他法律对某一文件不得公开的规定。公众根据《信息自由法》或《隐私权法》要求行政机关提供文件,而行政机关要拒绝提供时,只能依据该法本身免除公开的条款。
8思考与启示
政府信息的公开是民主社会的特征之一。一方面,公众有权根据自己的意愿从政府那里获取信息;另一方面,政府有义务提供各种条件,保证公众平等利用政府机构控制的信息。在保证国家安全和利益、公民隐私不受侵犯的前提下,保障公民的了解权,即知情权,是对公民人权的一种尊重,也是民主社会健康发展的必要条件。
随着信息化社会的到来,特别是网络化的计算机系统和大型数据库的建立,大量涉及金融、医疗、保险、财产、家庭等方面的个人信息集中掌握在政府部门手中,随时都有可能发生个人信息失控的情况。公民的个人信息一旦被他人非法获取,或者信息持有者未经公民本人授权擅自将这些数据用于职责以外的其他目的,就很容易对公民的隐私权甚至人身安全造成侵害。
对公民的个人信息进行法律保护,其实质是在确保国家和公共利益的原则下,赋予公民对个人信息传播的控制权[3]。然而,对于政府机构所掌握的个人信息,我国目前尚没有专门的法律予以保护。因此,笔者认为,研究和借鉴发达国家、地区和国际组织关于个人信息保护的有关法规,对于改进和完善我国政府信息公开的法律环境,推进民主与法制建设,保护公民的切身利益,都具有重要的现实意义。
论文摘要 在信息社会中,个人信息的保护对于个人信息的安全性起到至关重要的作用。本文分析了个人信息的界定与民法性质以及各国立法模式的区别,得出我国个人信息的民法保护应该借鉴立法主导模式的结论,同时提出我国在立法过程中应对个人信息本人以及信息收集者或使用者的权利和义务以及侵害个人信息的民事责任等给予明确的规定。
论文关键词 个人信息 隐私权 一般人格权 保护模式
个人信息在现代社会中具有非常重要的资源作用,其作为一个法律概念是随着信息社会的发展而出现的。个人信息,是指一个人生理的、心理的、智力的、个体的、社会的、经济的、文化的以及家庭等一切可以识别本人信息的总和。近半个世纪以来,个人信息的法律保护问题随着信息科技的发展而成为日益突出的问题,在科技发展迅猛的今天,个人信息的保护已具有重要的意义。目前,对于个人信息的保护已经在各个主要发达国家展开,美国、西欧等一些国家已经出台了个人信息保护的专项立法,但是其远未覆盖全球大多数国家。在我国大陆地区,目前还没有出台个人信息保护的专项立法,这使得在信息处理和传播技术广泛应用的信息社会,个人信息处理和传播行为得不到规制,致使信息主体的利益经常受到侵害。个人信息的保护不完善,将会导致人与人之间的信任危机,进而阻碍社会的发展。因此,在我国亟待对个人信息进行立法保护。
一、个人信息的界定及民法性质分析
(一)个人信息的定义
个人信息保护前,我们必须对个人信息进行科学的界定。目前,由于各个国家在法律传统和法律习惯上的不同,对个人信息的界定也不一致,但是这并不影响法律的内容。
1.关联型定义
在个人信息定义中,德国法强调“个人关联型”,根据《个人资料保护法》中规定,在不能确定所收集资料的关联方的情况下,该法将不受调整。关联型定义强调信息主体特定,而且对于个人信息的界定过宽,这导致在实践中对个人信息的侵害的行为被放纵。
2.隐私型定义
在个人信息定义中,美国等国家采用隐私性定义。美国parent教授认为:“个人信息是指社会中多数所不愿向外透露者或者是个人极敏感而不愿他人知道者”。隐私型定义在著名的《隐私权》的发表之后被不断丰富和发展,调整了包括私人秘密、姓名、肖像、私生活以及不实形象等,并且扩展到私人生活的各个方面。
3.识别型定义
各国对于个人信息的界定中,欧盟1995颁布的《个人数据保护指令》属于典型的识别型定义。识别型定义同前两种定义相比,其所划定的范围更加科学、宽严适度,因而也为国内多数学者赞同。但是任何一种定义也存在其不足和缺陷,识别型定义也不例外。在个人信息的判断方面,识别型定义优势很难通过一条或者少量信息作出判断,而是需要汇总多方面的信息才能够作出。此外,识别性的判断也受到所处环境改变的影响。
(二)个人信息的法律特征
1.个人信息能够直接或者间接地识别主体身份
直接识别是指不需要借助个人的姓名、肖像及身份证号码等信息就能够识别出信息主体身份,而间接识别则需要个人性别、兴趣、学历等其他信息的辅助才能识别出信息主体身份。
2.个人信息的内容具有多样性
目前,随着社会的不断发展,个人信息涵盖的内容也在不断地丰富,涵盖了新的内容,主要有个人的身份信息、健康状况,个人的信用和财产状况以及活动踪迹等。
3.个人信息的主体是自然人
目前,对于个人信息主体的限定,大多数国家的法律限定为自然人,而对于法人是否能成为个人信息的主体尚存在争论,有一些国家将保护的主体扩张到了法人。笔者认为,个人信息的主体只能是自然人,主要是因为:第一,自然人和法人在保护范围和内容上存在很大差异,不易将法人认定为信息主体;第二,由于个人信息和法人信息体现的价值功用不同,应该由不同的法律分别保护;第三,如果对企业的信息流通进行限制,从立法成本和执行成本方面来看会增大交易成本。
(三)个人信息的民法性质分析
1.个人信息的权利基础
个人信息应受民法保护已经被广泛认可,但是立法需要诸多理论方面的支撑,进而我们需要对个人信息的民法性质必须理清。一般情况下,认定个人信息保护权利的基础为人格权,可以具有财产属性。大陆发行确立了姓名权、肖像权、名誉权制度,将姓名、肖像、名誉都纳入到具体的人格权中而进行保护。隐私权范围比美国法上的隐私权范围要小的多,只是与具体人格权并列的一种人格权。大陆法系的人格权制度相当于英美法系的隐私权制度。目前我国的立法基本上沿袭了大陆法系的模式,没有将隐私权作为一项独立的人格权,当隐私受到侵害时需通过名誉权制度来救济,如果我国在个人信息保护立法时照搬英美法系将隐私权作为个人信息的基础,势必造成理论上的错乱。
2.个人信息的财产属性
随着网络与信息技术的发展,个人信息已经开始成为一种商品,能够在不同的主体之间进行交易,其所体现的巨大经济价值越来越明显。具体而言,个人信息财产化主要体现在以下两个方面。
第一,个人信息的直接商品化。个人信息的直接商品化是指个人信息本人或者使用者出于商业目的而将其拥有的个人信息以商品的方式进行转让的现象。一般情况下,个人信息直接商品化可分为两种情况。一种是个人信息本人为了获取利益而对其个人信息进行出售。另一种是除个人信息本人以外的信息占有者为了经济利益而对其他人个人信息进行出售。
第二,个人信息的二次开发利用。主体在对其掌握的个人信息进行挖掘、分析、加工的过程中,能够实现对个人信息的二次开发利用。,通常情况下多采取数据库的形式通过反映某种群体的通行而满足自身或者使用者的需要。一般情况下,数据库的个人信息比单独某个人的个人信息具有更大的商业价值。
二、个人信息法律保护的必要性与两种保护模式
(一)个人信息法律保护的必要性
1.个人信息保护是信息时代保护自然人的需要
一段时期内,各国没有足够重视对个人信息的保护。进入信息社会后,随着信息处理和创办技术的不断发展,个人信息保护的问题变得日益突出。随着信息技术的普及以及国家的角色逐渐向福利国家转变,每个人从出生到死亡,其个人信息一直处于政府的管理和监控之中,几乎到了无孔不入的程度。虽然政府对个人信息的掌握能够使政府工作更加高效和便捷,但是由于这些信息往往会脱离信息主体的控制,所以信息主体很容易受到来自精神上以及财产上的损害。
民间机构出于经营目的,会对个人信息进行收集,在个人信息收集时存在着信息主体知道的收集和信息主体不知道的收集两种情况。信息主体知道的收集能够确保信息主体的在知悉的情况下对其进行一定的控制,然而信息主体知道的收集或者不知道的收集,都面临着个人信息在信息处理过程中的种种危险。
2.个人信息保护是信息时代促进贸易与合作的需要
在现代信息社会,个人信息保护一定程度上限制了信息服务贸易的发展。目前,各个国家对信息服务贸易采取的限制措施主要有限制信息产业的外国投资、施行贸易保护政策以及通过个人资料保护严格控制资料跨国流通。在进行个人信息保护立法时,应当对于禁止收集人民在参与各种民主政治活动时形成的信息,同时赋予当事人查阅、修改自己档案记录的权利,充分保障当事人表述自由、通信自由等政治自由。
(二)个人信息的一般保护模式和民法保护模式
目前,各个过节已经充分意识到个人信息保护的必要性,也在一些基本原则上达成了共识。(1)合法合理原则,即个人信息的搜集、处理和使用都必须合法合理;(2)准确性原则,对于个人信息进行处理时,相关人员应确保个人信息的准确性、适当性、完整性以及最新性;(3)目的明确原则;(4)当事人查阅原则,即当事人具有知悉其个人资料是否被处理的权利,同时有权对其个人资料的不准确或非法的部分进行适当的改正和删除;(5)无歧视原则,即不能因为当事人的种族、肤色、宗教等的差异性而对其个人资料进行自动化处理;(6)安全原则,即应当保证个人资料安全性,防止其丢失和破损。
1.个人信息的一般保护模式
(1)自律主导模式。自律主导模式突出市场的作用,在对个人信息的收集、传播和存储过程中,通过契约的方式来约定交易双方的权利和义务。但是自律主导模式由于缺少对公共秩序的考虑,使得个人信息本人对于特定个人信息使用和处理的同意在法律上是否具有合法性受到质疑。在个人信息保护领域,美国是这种模式的典型代表。美国对此的基本立场是,政府作为国家机关,应该是社会的服务者,政府权力的使用应当审慎,不能过分干预市场,从而为企业发展创造一个相对宽松的环境,但是更深层次的原因则是为了维持其网络霸权地位和巩固贸易霸权地位,维护其国家利益。
(2)立法主导模式。与美国不同的是,欧盟在个人信息保护方面采取了立法主导的模式,其深层次原因在于欧洲国家在经历了两次世界大战以后,国家非常重视对公民权利的保护,而且欧洲公民对于政府非常信赖,认为政府是实现社会保护的必要前提。立法主导模式有覆盖范围广、规制程度深、执行机构健全的特点,使得这种立法能够全面严格的保护个人信息。
2.个人信息的民法保护模式
(1)一般保护模式的启示。自律主导模式和立法主导模式都有各自的优缺点。自律主导模式虽然能够为企业的发展提供自由的环境,但是却把个人信息的保护寄托于市场机制下,使得个人信息的保护面临市场失灵的风险和挑战,而个人很难真正控制他人对其个人信息的使用,而商家也难以在保护个人信息方面花费很大成本。民法力求通过私法自治实现一种有序的社会状态,强调主体意思自由应当受到尊重。目前,我国的信息市场还不健全、主体间力量不均衡,也不具备美国那样完备的隐私立法,况且我国还未建立隐私权制度。综合考虑以上原因,为了弥补我国在个人信息民法保护方面的不足,我国应该采取统一立法的模式。
(2)我国个人信息的民法保护应注意的问题。我国的信息安全立法正处在不断发展的过程中,目前还存在着诸多问题,使得距离确保个人信息安全、构筑严密的信息安全立法体系还有很大差距。因此,我国在个人信息的民法保护规制的制定方面,应该协调好多社会经济发展状况和法律体系的关系,具体做好以下两个方面:其一,立法规制应与职场自律平衡;其二,个人信息保护与行业发展相平衡。
三、国个人信息民法保护的现状
目前,我国个人信息的民法保护分散于民法、商法等一些部门法的相关法律规范中,还没有形成一部统一的、综合性的、完善的关于个人信息保护的法律,对个人信息的界定不清楚,使得对个人信息的保护相当薄弱,也无法规范政府以及其他组织的行为,而只能寄希望于行业自律,使得对于个人信息的保护处于一种缺乏约束的状态之下,这也导致了在信息化高度发展的当今社会,公民对于自己个人信息被非法使用的情况毫无知觉,同时行政机关也在对相关人的管理中无故收集、传递了很多不必要的信息。因此,为了突破传统的民法保护,我国亟待建立一套完善的个人信息保护的法律。
四、国个人信息民法保护的立法构想
个人信息保护作为民法的特别领域,适用于民法的一般规定,但是个人信息民法保护也有其特殊性的规定。市场主体强势与弱势力量的不均衡是个人信息市场存在的主要问题,因此在我国的个人信息立法中,如何调整这种状态特别重要。在这方面我国可以借鉴国外的成熟经验,在保证信息市场发展下实现个人信息不通主体间的平衡。
(一)对个人信息保护的权利义务主体进行规定
对于个人信息权利和义务如何分配,需要法律确定个人信息的相关主体,个人信息本人与其他信息提供者应是授权与使用的关系,信息的持有者可以在信息本人授权的范围内将个人信息提供给第三人,信息的收集者和使用者可以分为公共部门和非公共部门。公共部门对于信息的收集或者使用必须限制在职权行为或者职权范围之内,而非公共部门在收集人格信息时则必须在得到相关部门的批准,以保护个人信息的安全性。
(二)明确规定个人信息本人的权利
赋予个人信息本人权利是个人信息民法保护的核心,也有着积极的意义,各国在个人信息保护立法中也均有相关的规定。个人信息主体的权利涵盖个人信息的收集、存储、传播以及修改等过程,个人信息保护是为了实现保护个人信息与促进信息流通和社会进步的平衡,因此在赋予个人信息本人权利的同时也需要对其权利进行限制,以防止个人依靠个人信息本人的权利来绝对排除他人对其信息的使用。通常情况下,个人信息本人的权利包括以下几个方面:(1)决定权,决定权是个人信息权利体系的核心内容和首要权利,其适用对象包括未收集的个人信息和已经被收集的个人信息;(2)查询权,个人信息查询权也称信息知情权,是指本人有权利查询其个人信息及有关的处理情况;(3)更正权,是指个人信息本人有权要求信息收集者、使用者对个人信息中不正确、不完整或已经过时的信息进行更正或补充;(4)封锁权,信息本人可以要求其特定信息不得再被大众或者特定主体查询或者使用,但是个人信息控制者尚可保有这些记录;(5)删除权,个人信息权利人或合法提供者有要求删除有关资料的权利。
(三)对个人信息收集者和使用者的义务进行规定
仅仅通过赋予个人信息本人权利,在个人信息本人权益保护方面是远远不够的,还需要明确规定个人信息收集者、使用的义务。个人信息的收集者和使用者的义务主要有以下内容:(1)说明与提示义务;(2)合理使用义务;(3)合理的注意义务;(4)侵权发生后的补救义务。
(四)对侵害个人信息的民事责任进行规定
要使个人信息权利人的各项权益能够实现,我们必须对侵害个人信息的民事责任进行相应的规定。目前,对于侵害个人信息的民事责任的归责原则,学界普遍认同过错责任的原则,这一原则能够在为个人信息产业发展创造宽松环境的同时对个人信息本人的权益进行保护。
五、结论
过去,我国对于个人信息保护的重要性认识不足,使得在信息时代个人信息遭受侵害的现象相当严重,然而随着社会的发展,我国个人信息民法保护已经历了从无到有,不断发展的过程。目前,我国个人信息的民法保护既具备理论基础,又具有现实必要性,立法的时机已经基本成熟,相应的立法程序也已经启动。在立法过程中我国政府应当借鉴国外经验,构建起完善的个人信息民法保护制度。
论文摘要 《刑法修正案(七)》增加了侵犯公民个人信息罪,法律属性决定了公民个人信息的不容侵犯性,是刑法保护公民个人信息的前提。我国公民个人信息刑法保护存在三个方面的问题,罪名的设置有待商榷、“情节严重”标准模糊和相关附属刑法有待完善。我国公民个人信息刑法保护的完善也需要从前述的三个方面着手。
论文关键词 公民个人信息 刑法保护 侵犯公民个人信息罪
公民个人信息是公民社会交往的符号,公民个人信息的保护与公民隐私权的保护是相伴而生的。随着信息化的发展,许多掌握公民个人信息的行业由于监管失利导致很多信息被泄漏。公民个人信息的泄漏给公民个人及整个社会造成了严重的危害,而这种危害已经超过了民事法律规范调整的范围。我国《刑法修正案(七)》增加了侵犯公民个人信息罪,从而为保护公民个人信息提供了刑法依据。但是侵犯公民个人信息罪在适用中产生了很多问题,本文以此作为写作目标,展开分析。
一、公民个人信息刑法保护概述
(一)公民个人信息的法律解读
《中华人民共和国个人信息保护法(专家建议稿)》将个人信息定位为“个人姓名、住址、出生日期、身份证号码、医疗记录、认识记录、照片等单独或与其他信息对照可以识别特定的个人的信息。”据此,公民个人信息具有社会属性,但公民个人信息权又属于公民基本权利,并与人格利益密不可分,因而公民个人信息同时具有法律属性。而正是基于此,公民个人信息权与公民隐私权密不可分,公民隐私是个人信息中的隐秘信息,因而不被外人所知,公民个人信息成为他人识别公民的重要标志。同时,公民个人信息具有价值特征,因而能够为掌握个人信息的人带来经济利益,而价值特征成为不法分子揭露、出卖公民信息的诱因。可识别性和价值特征决定了公民个人信息被划分为两个层次,一是生活状态下的公民个人信息,另一个是法律权利状态下的公民个人信息,第一个层次强调公民个人信息在社会交往中的作用,即强调公民个人信息的社会属性;第二个层次强调公民个人信息在法律上的地位,即强调公民个人信息的法律属性。因此,法律属性决定了公民个人信息的不容侵犯性,是刑法保护公民个人信息的前提。
(二)公民个人信息刑法保护的必要性分析
刑法是调整社会关系的最后手段,“刑罚是严重损害公民权益的强制方法,”利用刑法保护公民信息具有一定的必要性。首先,从现实层面来讲,公民个人信息保护隐患突出。某些行业基于管理或者业务需要掌握着大量的公民个人信息,但受利益驱动,这些行业的从业人员会将自己掌握的个人信息出卖给他人。如此一来,公民个人信息在当今的信息社会便显得不安全。其次,从立法层面上讲,公民个人信息立法应严厉化。利用刑法保护公民个人信息具有紧迫性,故意揭露、窃取或者出卖公民个人信息的行为人在主观上具有恶,这种恶已经超出了民法或者行政法调整的范围。因而,借助刑法这一严厉的调整方法能够压制行为人心中的恶,同时风险社会也要求刑事立法具有前瞻性。最后,从公民权利保护角度处罚,借助刑法保护公民个人信息迎合了公民权保障的需要。公民个人信息权是公民权的组成部分,而权利的行使一方面需要恪守法律的现有规定,另一方面权利的行使不以侵犯他人自由为前提。因此,通过刑事手段保护公民个人信息一方面规范公民个人信息权的行使,另一方面对侵犯公民个人信息的行为进行惩治。
二、我国公民个人信息刑法保护存在的问题
(一)罪名的设置有待商榷
由于没有相关的司法解释对本罪的罪名进行明确的解释,导致了基层司法部门在适用本罪时产生了两种方式:一是将本罪笼统地界定为侵犯公民个人信息罪;二是将本罪拆分为两个罪名,即窃取、非法获取公民个人信息罪和出售、非法提供公民个人信息罪。显然,后一种方式将本罪拆分为两个罪名,即本罪成为一个选择性的罪名,行为人实施了侵犯公民个人信息的行为后很有可能按照数罪进行处罚。笔者认为,后一种界定方式不能涵盖侵犯公民个人信息的全部犯罪行为。本罪存在的另一问题是,将本罪增设在邮政工作人员私自开拆、隐匿、毁弃邮件、电报罪之后会对本罪适用的独立性造成影响。例如,邮政工作人员私拆信件也会对公民个人信息造成侵犯,将本罪增设在《刑法》第253条之后有重复立法之嫌。
(二)“情节严重”标准模糊
侵犯公民个人信息罪使用了“情节严重”这一罪量要素,而“情节严重”本身具有模糊性,加之没有相关的司法解释对侵犯公民个人信息罪的“情节严重”进行说明,便造成了“情节严重”适用困难。我国有多项罪名使用了“情节严重”,而司法机关也出台了相应的司法解释对“情节严重”进行补充。例如《人民检察院直接受理立案侦查案件立案标准的规定》对故意泄露国家秘密罪的严重情节进行了量化,只要泄露三项以上的国家秘密即构成“情节严重。”相比较而言,我国至今还没有颁布相关的司法解释对侵犯公民个人信息罪中的“情节严重”进行说明。而在这类司法解释出台之前,司法机关的工作人员只能根据自己的经验对“情节严重”进行判定,例如从公民个人信息本身的特殊性质判断是否构成“情节严重”,一般而言,公众人物的个人信息相较于普通民众而言具有更大的经济价值。尽管凭借司法经验对“情节严重”进行判断在一定程度上缓解了“情节严重”的适用困难,但是值得一提的是,这种经验判断因没有上升到法律层面而缺乏统一性,从而产生高昂的判断成本。
(三)相关附属刑法有待完善
尽管刑法已经增设了侵犯公民个人信息罪,但是公民个人信息保护的广度和深度仍存在一定的问题,而焦点在于与本罪相关的附属刑法亟待完善。刑法条文仅对侵犯公民个人信息的行为进行了抽象性的规定,根据行业划分公民个人信息保护的范围及标准必然导致公民个人信息保护的不全面性。其他附属行为在与《刑法》的衔接上仍存在空挡的问题,例如各个银行对员工保护客户信息的要求不同,只有银行业的巨头才可能细化这种保护标准或者方式(中国工商银行员工行为准则将保护客户信息作为员工的一项基本义务)。而在交通、教育、电信等其他行业,也存在类似的问题,在经济利益的驱使下行业从业人员往往会牺牲公民个人信息的保护而寻求经济利益的最大化。由于缺乏完善的行业监督立法,与侵犯公民个人信息相关的附属刑法有待进一步完善。
三、我国公民个人信息刑法保护的完善
(一)罪名设立的明确化
由于侵犯公民个人信息罪能够包容所有侵犯公民个人信息的行为,因而没有必要将本罪拆分两个罪名。同时,为了使得侵犯公民个人信息罪在罪名设置上更加明确化和独立化,有必要将本罪从第253条中独立出来,单成一条罪名。同时,本罪明确化和独立化的前提是公民个人信息权的明确化和独立化。在增设侵犯公民个人信息罪之前,还没有一部生效的法律文件将公民个人信息权作为一项独立的公民权利加以规定。立法对公民个人信息权的“漠视”是公民个人信息刑法保护不力的重要原因。笔者认为,刑法首次以立法的形式保护公民个人信息是立法的一项创举,但是必须将公民个人信息权独立化作为今后其他领域立法的重要议题。
(二)增强“情节严重”的适用性
侵犯公民个人信息罪危害结果影响的周期是十分漫长的,公民个人信息在被侵犯后,原来的信息主体随即陷入了一种不稳定状态,其生活的环境随时都有可能被侵扰。从这一角度出发,应将侵犯公民个人信息罪作为抽象危险犯进行设置,而不作为实害犯加以规定。尽管这样做提高了侵犯公民个人信息罪的入罪门槛,但是危险状态却可以成为认定本罪犯罪情节的考量因素,对于危险状态的判断完全可以凭借正常人的社会经验。因此,可以使得侵犯公民个人信息罪的认定更为便捷。此外,笔者认为,有必要仿照泄露国家秘密罪的做法,出台相关的司法解释对“情节严重”进一步细化。
(三)加强公民个人信息的附属刑法立法
加强公民个人信息的附属刑法立法建设需要从以下两个方面入手,首先,需要建立公民个人信息保护的双轨制立法模式,刑法不会顾及到行业管理的各个方面,因而需要各个行业严于律己,制定自己的行业自律标准。“所谓自律,就是作为社会组成的个体要自我约束,自我控制,把个体的所作所为主动地纳入诚实守信的道德范畴。”而只有通过刑事立法和行业立法这种双轨制的立法模式,才能有效保护公民个人信息。其次,需要完善侵犯公民个人信息行政处罚与刑事处罚的衔接,从本质上说侵犯公民个人信息的犯罪行为是行业管理活动中的越轨行为。由于行政机关在处理侵犯公民个人信息的违法行为方面具有一定的优势地位,因而应充分发挥行政处罚的积极作用,使得公民个人信息行政处罚与刑事处罚顺畅衔接。
浅论我国公民个人信息的刑法保护作者:陈静方
摘 要 《刑法修正案(七)》增加了侵犯公民个人信息罪,法律属性决定了公民个人信息的不容侵犯性,是刑法保护公民个人信息的前提。我国公民个人信息刑法保护存在三个方面的问题,罪名的设置有待商榷、“情节严重”标准模糊和相关附属刑法有待完善。我国公民个人信息刑法保护的完善也需要从前述的三个方面着手。
关键词 公民个人信息 刑法保护 侵犯公民个人信息罪
公民个人信息是公民社会交往的符号,公民个人信息的保护与公民隐私权的保护是相伴而生的。随着信息化的发展,许多掌握公民个人信息的行业由于监管失利导致很多信息被泄漏。公民个人信息的泄漏给公民个人及整个社会造成了严重的危害,而这种危害已经超过了民事法律规范调整的范围。我国《刑法修正案(七)》增加了侵犯公民个人信息罪,从而为保护公民个人信息提供了刑法依据。但是侵犯公民个人信息罪在适用中产生了很多问题,本文以此作为写作目标,展开分析。
一、公民个人信息刑法保护概述
(一)公民个人信息的法律解读
《中华人民共和国个人信息保护法(专家建议稿)》将个人信息定位为“个人姓名、住址、出生日期、身份证号码、医疗记录、认识记录、照片等单独或与其他信息对照可以识别特定的个人的信息。”据此,公民个人信息具有社会属性,但公民个人信息权又属于公民基本权利,并与人格利益密不可分,因而公民个人信息同时具有法律属性。而正是基于此,公民个人信息权与公民隐私权密不可分,公民隐私是个人信息中的隐秘信息,因而不被外人所知,公民个人信息成为他人识别公民的重要标志。同时,公民个人信息具有价值特征,因而能够为掌握个人信息的人带来经济利益,而价值特征成为不法分子揭露、出卖公民信息的诱因。可识别性和价值特征决定了公民个人信息被划分为两个层次,一是生活状态下的公民个人信息,另一个是法律权利状态下的公民个人信息,第一个层次强调公民个人信息在社会交往中的作用,即强调公民个人信息的社会属性;第二个层次强调公民个人信息在法律上的地位,即强调公民个人信息的法律属性。因此,法律属性决定了公民个人信息的不容侵犯性,是刑法保护公民个人信息的前提。
(二)公民个人信息刑法保护的必要性分析
刑法是调整社会关系的最后手段,“刑罚是严重损害公民权益的强制方法,”利用刑法保护公民信息具有一定的必要性。首先,从现实层面来讲,公民个人信息保护隐患突出。某些行业基于管理或者业务需要掌握着大量的公民个人信息,但受利益驱动,这些行业的从业人员会将自己掌握的个人信息出卖给他人。如此一来,公民个人信息在当今的信息社会便显得不安全。其次,从立法层面上讲,公民个人信息立法应严厉化。利用刑法保护公民个人信息具有紧迫性,故意揭露、窃取或者出卖公民个人信息的行为人在主观上具有恶,这种恶已经超出了民法或者行政法调整的范围。因而,借助刑法这一严厉的调整方法能够压制行为人心中的恶,同时风险社会也要求刑事立法具有前瞻性。最后,从公民权利保护角度处罚,借助刑法保护公民个人信息迎合了公民权保障的需要。公民个人信息权是公民权的组成部分,而权利的行使一方面需要恪守法律的现有规定,另一方面权利的行使不以侵犯他人自由为前提。因此,通过刑事手段保护公民个人信息一方面规范公民个人信息权的行使,另一方面对侵犯公民个人信息的行为进行惩治。
二、我国公民个人信息刑法保护存在的问题
(一)罪名的设置有待商榷
由于没有相关的司法解释对本罪的罪名进行明确的解释,导致了基层司法部门在适用本罪时产生了两种方式:一是将本罪笼统地界定为侵犯公民个人信息罪;二是将本罪拆分为两个罪名,即窃取、非法获取公民个人信息罪和出售、非法提供公民个人信息罪。显然,后一种方式将本罪拆分为两个罪名,即本罪成为一个选择性的罪名,行为人实施了侵犯公民个人信息的行为后很有可能按照数罪进行处罚。笔者认为,后一种界定方式不能涵盖侵犯公民个人信息的全部犯罪行为。本罪存在的另一问题是,将本罪增设在邮政工作人员私自开拆、隐匿、毁弃邮件、电报罪之后会对本罪适用的独立性造成影响。例如,邮政工作人员私拆信件也会对公民个人信息造成侵犯,将本罪增设在《刑法》第253条之后有重复立法之嫌。
(二)“情节严重”标准模糊
侵犯公民个人信息罪使用了“情节严重”这一罪量要素,而“情节严重”本身具有模糊性,加之没有相关的司法解释对侵犯公民个人信息罪的“情节严重”进行说明,便造成了“情节严重”适用困难。我国有多项罪名使用了“情节严重”,而司法机关也出台了相应的司法解释对“情节严重”进行补充。例如《人民检察院直接受理立案侦查案件立案标准的规定》对故意泄露国家秘密罪的严重情节进行了量化,只要泄露三项以上的国家秘密即构成“情节严重。”相比较而言,我国至今还没有颁布相关的司法解释对侵犯公民个人信息罪中的“情节严重”进行说明。而在这类司法解释出台之前,司法机关的工作人员只能根据自己的经验对“情节严重”进行判定,例如从公民个人信息本身的特殊性质判断是否构成“情节严重”,一般而言,公众人物的个人信息相较于普通民众而言具有更大的经济价值。尽管凭借司法经验对“情节严重”进行判断在一定程度上缓解了“情节严重”的适用困难,但是值得一提的是,这种经验判断因没有上升到法律层面而缺乏统一性,从而产生高昂的判断成本。
(三)相关附属刑法有待完善
尽管刑法已经增设了侵犯公民个人信息罪,但是公民个人信息保护的广度和深度仍存在一定的问题,而焦点在于与本罪相关的附属刑法亟待完善。刑法条文仅对侵犯公民个人信息的行为进行了抽象性的规定,根据行业划分公民个人信息保护的范围及标准必然导致公民个人信息保护的不全面性。其他附属行为在与《刑法》的衔接上仍存在空挡的问题,例如各个银行对员工保护客户信息的要求不同,只有银行业的巨头才可能细化这种保护标准或者方式(中国工商银行员工行为准则将保护客户信息作为员工的一项基本义务)。而在交通、教育、电信等其他行业,也存在类似的问题,在经济利益的驱使下行业从业人员往往会牺牲公民个人信息的保护而寻求经济利益的最大化。由于缺乏完善的行业监督立法,与侵犯公民个人信息相关的附属刑法有待进一步完善。
三、我国公民个人信息刑法保护的完善
(一)罪名设立的明确化
由于侵犯公民个人信息罪能够包容所有侵犯公民个人信息的行为,因而没有必要将本罪拆分两个罪名。同时,为了使得侵犯公民个人信息罪在罪名设置上更加明确化和独立化,有必要将本罪从第253条中独立出来,单成一条罪名。同时,本罪明确化和独立化的前提是公民个人信息权的明确化和独立化。在增设侵犯公民个人信息罪之前,还没有一部生效的法律文件将公民个人信息权作为一项独立的公民权利加以规定。立法对公民个人信息权的
“漠视”是公民个人信息刑法保护不力的重要原因。笔者认为,刑法首次以立法的形式保护公民个人信息是立法的一项创举,但是必须将公民个人信息权独立化作为今后其他领域立法的重要议题。
(二)增强“情节严重”的适用性
侵犯公民个人信息罪危害结果影响的周期是十分漫长的,公民个人信息在被侵犯后,原来的信息主体随即陷入了一种不稳定状态,其生活的环境随时都有可能被侵扰。从这一角度出发,应将侵犯公民个人信息罪作为抽象危险犯进行设置,而不作为实害犯加以规定。尽管这样做提高了侵犯公民个人信息罪的入罪门槛,但是危险状态却可以成为认定本罪犯罪情节的考量因素,对于危险状态的判断完全可以凭借正常人的社会经验。因此,可以使得侵犯公民个人信息罪的认定更为便捷。此外,笔者认为,有必要仿照泄露国家秘密罪的做法,出台相关的司法解释对“情节严重”进一步细化。
(三)加强公民个人信息的附属刑法立法
加强公民个人信息的附属刑法立法建设需要从以下两个方面入手,首先,需要建立公民个人信息保护的双轨制立法模式,刑法不会顾及到行业管理的各个方面,因而需要各个行业严于律己,制定自己的行业自律标准。“所谓自律,就是作为社会组成的个体要自我约束,自我控制,把个体的所作所为主动地纳入诚实守信的道德范畴。”而只有通过刑事立法和行业立法这种双轨制的立法模式,才能有效保护公民个人信息。其次,需要完善侵犯公民个人信息行政处罚与刑事处罚的衔接,从本质上说侵犯公民个人信息的犯罪行为是行业管理活动中的越轨行为。由于行政机关在处理侵犯公民个人信息的违法行为方面具有一定的优势地位,因而应充分发挥行政处罚的积极作用,使得公民个人信息行政处罚与刑事处罚顺畅衔接。