个人信息保护立法问题研究
来源:UC论文网2016-06-30 09:58
摘要:
随着我国社会信息化进程的不断推进,个人信息的收集、处理和利用为社会管理提供了有效的信息资源。信息技术使得批量处理和传递个人信息更加快捷,同时也使保护个人信息成为一
随着信息技术的发展和进步,个人信息在信息化社会被广泛地收集、使用和处理。个人信息的商业价值和管理价值越来越被人们重视。作为能够识别具体个人的信息,它的收集、分类管理和共享,不仅广泛地应用于新产品的研发、销售,也为社区管理和人们的生活提供了便利条件。但是,管理不当和恶意使用个人信息也给信息主体带来了不利影响,甚至给信息主体的人身安全、财产安全和活动自由造成隐患。近年来,个人信息侵权行为并未得到法律的有效规制。就目前我国的立法现状而言,相关法律虽然规定了一些有关个人信息保护的条文,但是分散立法缺乏系统性。面对日益严重的个人信息侵权现状,有必要对个人信息的概念和法律属性进行理论研究,对国外个人信息保护的立法实践和成功经验进行借鉴,以促进我国个人信息保护法律体系的建立。
一、我国个人信息保护的现状
2014年9月至12月,本课题组针对我国个人信息保护的现状,在河南省郑州市、新乡市、焦作市3座城市进行了调研,总的调研结果可以归纳为以下四个方面。
(一)实践中存在侵害个人信息的行为
第一,非法收集和使用个人信息。如有的企业以售后服务为借口,非法收集、使用个人信息,日后却用来向客户推销商品。第二,非法向第三方提供个人信息。如银行、保险公司等在未获得法律授权或客户本人同意的前提下,向第三方提供其掌握的客户个人信息。第三,非法披露个人信息。有的信息处理机构在未获得法律法规授权的情况下,或者在未经个人信息主体许可的前提下,披露该人的个人信息。如医疗器械和药品的广告主披露患者的个人信息,甚至篡改治疗效果等信息。第四,非法买卖个人信息。如有的孕产妇的个人信息被医疗机构或其职工卖给保险公同、孕婴用品商家等。第五,技术、管理措施不完善导致有关机构掌握的个人信息被泄露、遗失等。如有些医疗机构在其检验科窗口公然放置许多患者的化验单,他人可随意翻看。第六,有关机构掌握的个人信息不准确,没有及时更新,甚至被张冠李戴等。第七,个人信息被冒用。如有些人冒用他人的身份证到银行办理开户手续等。
(二)信息主体的自我保护意识强弱不一
第一,在被调査者中经常在因特网上搜索与自己有关信息的人只占1%,绝大部分人选择偶尔有或者是没有。第二,每次都详细了解个人信息控制人收集或使用个人信息目的的仅占8.1%。第三,对于公众在个人信息处理过程中应当享有的权利,有90.6%的人认为有权要求被告知个人信息的用途、被告知收集者掌握的个人信息,有权要求更正错误信息。在个人信息受到侵害后,认为权利人有权要求损害赔偿的占83%,认为有权拒绝提供个人信息的人占52%,原因是在某些情况下如果不按照要求提供个人信息,就无法办理相应的业务。第四,个人信息被滥用的问题H益严重。在接受调查者中,有86.7%的人接听过推销商品的陌生电话,有38%的人在生活中遇到过自己的个人信息被相关组织不法侵害的情况。第五,被调查者认为公共机构应依法规范信息处理行为并加强对其收集的个人信息的安全管理的占100%,认为企业应当健全内部管理机制,加强内部人员管理的占95%。第六,由于我国还未建立个人信息保护救济机制,因个人信息被侵害而进行投诉和提起诉讼的人仅占3%,其原因主要是不知道应该向哪个机构投诉、无法确定责任承担者或取证困难等。因此,被调査者普遍认为应加大个人信息保护的力度。
(三)信息控制人的自律意识较差第一,在被调査者(包括公共机构和企业、商家等)中,有65%的人认为只要客户不明确反对,收集一些不必要或者与业务无关的信息应该不属于侵权。第二,有15.1%的人认为实践中很少有受害人因个人信息被侵害而进行投诉或提起诉讼,因此没必要在收集、处理个人信息时过分谨慎。第三,有15%的人认为个人信息受害人一般也只是精神上受到损害,对此许多受害人并不知情或并不十分在意。第四,超过95%的人认为在履行职务或工作中,侵害个人信息的主要原因是缺乏相关法律的明确规定。
被调査者提出了个人信息保护方面的建议:第一,进行个人信息保护专项立法。第二,建立专门的个人信息保护的执行机构和监督机构。第三,健全侵害个人信息的救济机制,尤其是要找到民事救济的途径,其中包括精神损害赔偿。
综上所述,在具体实践中个人信息被滥用的现象比较普遍,公民信息自我保护意识在不断增强,而信息处理人的行为尚无法律规制。
二、个人信息保护立法的可行性
在我国宪法中,已经有关于人格权和个人信息保护的相关规定。《中华人民共和国宪法》明确规定,公民人格权尊严不受侵犯和公民在通信过程中的个人信息受到法律保护。这是个人信息保护立法的宪法基础。
散见于各种法律中关于个人信息保护的条款,则是个人信息立法的法律基础。《中华人民共和国民法通则》确认姓名权、名誉权、肖像权三种权利的不可侵犯性,《中华人民共和国侵权责任法》也明确了对上述权利遭受侵害时给予救济,《中华人民共和国居民身份证法》则对公权力领域的身份证使用行为做出了详细规定,使保护身份证中包含的个人信息有了法律依据。身份证中包含了持证人常住户口所在地、生日、性别等较多信息,《中华人民共和国居民身份证法》规定公安机关和人民警察泄露因执法而获得的个人信息,应当承担行政责任或者其他法律责任。目前,散见于我国法律中的相关法律条文,为开展个人信息保护法的立法工作奠定了基础。
三、我国个人信息保护立法的建议
(一)对立法涉及的几个基本问题的澄清
1.法律保护客体的称谓
世界各国及各地区在立法中对个人信息保护客体的称谓各有不同,主要有“个人资料”“个人数据”“个人信息”“个人隐私”四种称谓。将个人信息称作“个人隐私”的,主要是以美国为代表的英美法系国家,而大陆法系国家多将个人信息称作“个人资料”“个人数据”或“个人信息”,其主要原因就是大陆法系国家没有类似于美国的范围宽泛的隐私权的概念,其主要通过人格权对个人信息加以保护。我国属于大陆法系国家,基于我国法律传统和使用习惯,个人资料或个人数据涵盖范围过窄,在个人信息的保护上自然也就采用了“个人信息”这一概念。
2.个人信息的界定
“隐私型”学说认为,个人信息指多数人不愿向外透露的,或是对个人极敏感而不愿让他人知道的信息。“识别型”学说认为,个人信息指自然人的姓名、性别、出生日期、民族、身份证号码、遗传特征、指纹、职业、婚姻状况、家庭状况、教育状况、健康状况、财务状况、社会活动及其他可以识别个人的客观信息[1]。“隐私型”学说是在信息主体特定的情况下谈论信息本人的隐私的,这一学说表明,个人信息是绝对不允许被他人或组织收集和处理的。“隐私型”学说将个人信息等同于个人隐私,将个人信息界定得过于狭窄了,因此,个人信息保护的范围巳经失去了探讨的意义。“识别型”学说将个人信息分解成若干信息要素,只有通过综合识别,才能确定信息本人。因此,个人信息保护法所保障的个人信息远远大于传统隐私权所涉及的隐私事项[2]。笔者认为“识别型”学说更能体现个人信息的内涵,只有将个人信息的范围确定为可以识别的信息,对其保护才有意义。
姓名、肖像、指纹、DNA、身份证等信息可以直接识别信息主体。间接识别信息主体的个人信息虽然不能单独识别信息主体是谁,但将这些信息与其他信息组合后可以得出指向某个特定个人的直接识别信息,比如性别、身高、体重、爱好、受教育状况、财务状况、社会活动等。个人信息包括姓名、性别、年龄、血型等可以直接识别或间接识别信息主体的一切信息。
3.信息本人与信息处理人的范围界定
信息本人是指个人信息的来源人,信息处理人是指收集、处理、控制、利用信息的人。二者作为权利消长的对立双方,其权利义务关系是个人信息法律规范的内容。信息本人是个人信息保护法律关系中的弱势群体,是权利易受到侵害的一方,在个人信息保护法律关系中他与信息处理人相对应,是权利的享有者。目前,学界对信息本人的适用范围是有争议的。有的人认为信息本人仅指自然人,有的人认为信息本人还应该包括死者、法人、胎儿等。目前世界绝大多数国家的立法例均将个人信息保护的主体限定于自然人,只有奥地利、挪威、卢森堡等极少数国家将法人作为信息保护的主体在法律中加以规定。根据我国现行法律规定,法人的信息主要由民法和反不正当竞争法进行保护。死者的个人信息应归属死者近亲属利益的保护,胎儿的信息应归属胎儿母亲的个人信息。综上所述,笔者认为信息本人的适用范围应限定为自然人。
在具体实践中,信息处理人包括公共机构和非公共机构,二者都有可能掌握大量的个人信息,也都有可能因个人信息收集、处理或利用行为而给信息本人带来损害。从这一点上讲,二者并无本质差别。从法律层面上讲,人为地把二者分开,并不适合我国的社会现实。因此,在我国进行个人信息保护立法时,应将公共机构、非公共机构以及个人均纳人信息管理人的范围。这样,既能够充分考虑公共机构和非公共机构处理个人信息的共性,还可以节约立法成本。
(二)信息本人的权利范围
信息本人享有权利的范围和方式直接决定了个人信息受保护的程度。从性质上讲,个人信息权是一种具体人格权,属于人身权的范畴。但是,在信息社会中个人信息作为一种无形资产,可以通过其交换和使用带来经济利益,因此,个人信息权利中隐含有财产性权利,具有间接的财产权属性。特别是随着市场经济的发展,个人信息权的财产权属性将会越来越明显。为了使自然人的人格得到全面保护,我国在进行个人信息立法时,应包括査阅、更正、封锁、请求制给复制本、请求删除、请求告知等一系列和保护个人信息相关的权能。这样,信息本人既享有财产权利,也享有人身权利。关于权利的规定方式,比较法上有不同的立法例,建议我国在规定信息本人享有的权利时,采用集中列举式的规定。
(三)信息本人的权利的救济机制
信息本人权利的实现不仅要靠法律的明确规定,更有赖于信息处理人严格履行使用、处理个人信息的义务。当前,我国掌握个人信息的多是管理公共事务和提供公共服务的公共机构与组织。因此,我国应建立相应的监督体制,设立相应的监督机关,并赋予监督机关履行监督职责相应的职权,对信息处理人处理信息的权力进行监督。国外的个人信息立法均对监督机构做出了明确规定。当然,由于各国或各地区的法律传统不同,个人信息保护监督机制的构建模式也有所区别。有些国家(如美国、日本、韩国)采用分立的监督体制,对信息处理人进行区分监督管理,对公共机构与组织的信息处理由专门的监督机关进行监督,对非公共机构与组织的信息处理主要倡导和依靠行业自律机构进行监督。有些国家(如欧盟成员国)则采用综合监督体制,设立统一的、专职的监督机关。欧盟成员国的有关规定值得我国借鉴,我国应采纳综合监督机制,设立统一的、专职的信息处理监督机关,对监督职责、职权和程序予以统一规范。如果法律法规对公共机构组织处理信息的监督另有规定的,那么该规定应该比个人信息保护立法中的监督更为严格。
无救济则无权利,救济是权利实现的最后屏障。在个人信息保护立法中,公民信息权利的救济规范是不可或缺的部分,立法需设置充分的救济途径,这是保障公民信息权利实现的关键。纵观各国个人信息立法实践并结合我国国情,对公民信息权的救济方式应包括行政复议、行政诉讼以及民事诉讼三种方式。信息处理人如果属于承担公共管理职能的公众机构,则其在个人信息的收集、处理、利用时,应严格按照法律规范来约束自己的行为,只有在法律明确授权的情况下,才能进行个人信息的收集、处理、利用,若信息本人的权利受到侵害,受害人可以采用行政复议和行政诉讼的方式寻求救济。如果行政处理人属于非公众机构,则法律不应对其规定较为严格的义务。作为普通民事主体,个人信息处理是按照市场机制进行的商业行为,若个人信息受到侵犯,可以通过民事诉讼进行救济,按照市场成本原则去约束行政处理人的违法行为。当然,个人信息保护专门立法还需要与《政府信息公开条例》《行政复议法》《行政诉讼法》等法律法规进行有效衔接,这样的救济机制才是完善或健全的。
(四)侵犯个人信息的法律责任
近年来,电信诈骗案件在我国大量出现,涉及诸多领域,如利用网络上同学录中的同学信息进行诈骗的、利用子女信息编造事故诈骗子女父母的、利用车辆牌照信息进行退税诈骗的等。这些诈骗案件不仅侵害了信息本人的财产权利,还给信息本人增加了巨大的精神负担。根据实践中个人信息日益遭受严重侵害的现状,应当在立法中明确侵犯个人信息应承担的综合责任,除了对信息本人应承担的民事赔偿责任外,还应增加其刑事责任,以建立更为科学完整的法律责任体系。个人信息虽然不具有直接的财产内容,但具有财产价值。那种以商业为目的擅自使用个人信息的行为,就是一种侵权行为。如果做出这种侵权行为,就必须承担民事赔偿责任,包括精神损害赔偿。鉴于目前我国个人信息遭受侵害的现状,只有对情节严重的侵权行为给予刑事制裁,才能加大对侵权违法行为的震慑力度。2009年全国人大常委会通过的《中华人民共和国刑法修正案(七)》明确规定,国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违法处理个人信息可构成犯罪,追究刑事责任。该条款对非法利用个人信息所进行的犯罪行为起到了震慑作用。当然,该条款也应继续完善,例如它对信息处理者这一主体的限制过于狭窄,应扩大到非法收集和利用个人信息的网络公司、酒店、律师事务所等主体。
四、特殊行业领域的个人信息保护
个人信息保护的立法宗旨是保护信息本人的合法权利,促进信息资源的有效利用,它主要是通过规范信息处理者的行为来保障个人信息权利的。任何权利都是相对的,为了避免滥用个人信息权,在一些特殊行业领域,当个人信息权利和社会公共权力发生冲突时,可以对个人信息权利进行适当的限制。在具体实践中主要表现为以下领域:第一,银行业和电信业采用的实名登记制。第二,医疗卫生行业对患者信息的获取。第三,新闻媒体行业的工作人员对违法者的违法行为的曝光。新闻媒体应本着真实的基本原则进行核实,在未经当事人核实之前,不得播出。第四,政府网站对行政处罚行为的公开。第五,中央银行对个人征信信息的管理等。在这些领域,当个人信息权和隐私权涉及公共利益和公共管理秩序时,个人信息权就应受到适当限制。但是,限制的程度和范围还应根据不同行业的实际情况进行科学规范。只有找到个人信息有效流动、保护个人隐私和保护社会公共利益之间的契合点,才能实现个人信息权利和社会公共组织信息处理之间的平衡。
个人信息保护的立法宗旨是保护信息本人的合法权利,促进信息资源的有效利用,它主要是通过规范信息处理者的行为来保障个人信息权利的。任何权利都是相对的,为了避免滥用个人信息权,在一些特殊行业领域,当个人信息权利和社会公共权力发生冲突时,可以对个人信息权利进行适当的限制。在具体实践中主要表现为以下领域:第一,银行业和电信业采用的实名登记制。第二,医疗卫生行业对患者信息的获取。第三,新闻媒体行业的工作人员对违法者的违法行为的曝光。新闻媒体应本着真实的基本原则进行核实,在未经当事人核实之前,不得播出。第四,政府网站对行政处罚行为的公开。第五,中央银行对个人征信信息的管理等。在这些领域,当个人信息权和隐私权涉及公共利益和公共管理秩序时,个人信息权就应受到适当限制。但是,限制的程度和范围还应根据不同行业的实际情况进行科学规范。只有找到个人信息有效流动、保护个人隐私和保护社会公共利益之间的契合点,才能实现个人信息权利和社会公共组织信息处理之间的平衡。
五、完善配套法律法规
在保护个人信息方面,除了制定《个人信息保护法》以外,还应该完善相关配套的法律法规。一方面,要加强《个人信息保护法》与《民事诉讼法》《行政诉讼法》《国家赔偿法》《刑法》等法律的衔接,有效地对个人信息权进行救济;另一方面,要健全《新闻法》《记者法》《刑事诉讼法》《行政信息公开条例》《官员个人及家庭财产申报制度》等相关法律法规,形成个人信息保护的立法体系。
通过调研我们发现,日趋严重的侵害个人信息行为的发生与公众的个人信息权利意识淡薄也有直接关系。在我国,个人信息权利长期被忽视,因此需要增强公民的个人信息保护的权利意识和培养公民保护个人信息的行为习惯,从信息形成源头开始,避免个人信息的泄露。个人信息保护是全社会的责任,只有国家机关、社会组织、公民个人共同努力,建立和完善立法、执法、司法和监督等体系,才能有效地保护个人信息,构建和谐信息社会。
孟莉
(新乡学院政法系,河南新乡453003)
