發布時間:2022-06-15 08:53:14
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的1篇個人信息保護論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
現代信息社會的發展,使個人信息的資源性日益彰顯,個人信息的保護也越來越受到重視。加強對個人信息的保護,促進個人信息的合法運用,首先需要對個人信息進行準確的定位,是在傳統民法體系內保護,還是以特別法的形式予以補充,目前還處于爭議階段。本文將從個人信息的性質,以及個人信息與相關權利的區別入手,來探討個人信息的商業運用及其法律保護途徑。
一、個人信息的法律性質
個人信息,有的學者將其稱為個人資料;有的干脆將其稱為隱私。其實,個人資料和隱私這兩個概念都不夠準確,均不能表達所要保護的對象。首先,信息和資料之間是有差別的,資料是代表人、事、時、地的一種符號序列(不以文字為限),是一種客觀事實狀態;信息是指資料經過處理后可以提供為人所用的內容,能夠直接起到識別的功能[1](P13),是有價值的,只有具有一定價值的資料才能夠作為資源,也才能夠成為法律保護的對象,屬于法律的價值判斷范疇。正因為信息和資料所指稱的對象有差別,所以,并不是所有的個人資料都能夠成為保護的對象,只有具有價值的能夠為人所用的資料,也就是信息,才能夠成為被保護的客體。其次,隱私這個概念,來源于英文“Private”,對于這個詞是否應該翻譯為隱私,還值得進一步研究。但一般認為,隱私是一個人內心深處的不愿向外界透露的信息,而且這個信息一旦泄露則會給他人的聲譽造成一定的影響。因此,隱私只是相當于個人信息中的敏感信息,而不包括瑣細信息(注:以個人信息是否涉及個人隱私為準,個人信息可以分為敏感個人信息和瑣細個人信息。參見齊愛民主編:《個人資料保護法原理及其跨國流通法律問題研究》,武漢大學出版社2004年版,第6頁。)。由此可見,資料和隱私,一個所指稱的范圍過寬,一個則過窄,均不如個人信息準確。個人信息這一概念準確地表達了所要保護對象的特點,具有識別效果和資源價值。因此,個人信息是指可以直接或者間接識別該個人的資料。現代社會個人信息占有量往往與一個企業的競爭力有著非常密切的聯系。個人信息商業運用的法律保護問題被提上議事日程。
首先需要對個人信息的權利性質有一個明確的認定,才能夠把握法律保護的方法和途徑。對于個人信息的性質有不同的看法,有的人認為個人信息屬于物的范疇,適用所有權的保護模式[2]。有的人認為個人信息屬于隱私利益,應該適用隱私權來保護個人信息[3]。有的人則認為,個人信息的收集、處理與利用涉及該個人的人格尊嚴,個人信息所體現的利益是公民人格利益的一部分,這一利益是一種獨立的、新型的法律利益,應該被賦予新的權利,這一權利就是資料權[4](P109)。資料權從權利歸屬來看,屬于人格權的一種,人格權是資料權的上位權利[4](P115)。筆者認為,個人信息的擁有者對個人信息所享有的權利,在權利歸屬上并不是人格權的一種,而是一種新型的獨立的權利。首先,從權利內容上看,人格權的典型特征就是不直接表現為財產利益,而個人信息權的行使往往是為實現直接或者間接的財產利益。其次,從權利的表現方式來看,人格權一般都表現為消極的不受侵害的權利,相對人僅在法律規定的范圍內負有不為一定行為的義務,而個人信息權在很多情況下都表現為該個人對其信息予以自由支配和控制的積極性權利,該個人得以完全基于自己的意思自由地行使該權利,該權利表現為確認、了解個人信息的存儲、利用與流通情況,并排除第三人對信息的不法侵害。再次,從權利的行使情況來看,人格權是與人身密不可分的,人格權不能轉讓,不能作為交易的客體,而個人信息權的一個顯著特點就是個人信息能夠作為商業交易的對象,而且在市場經濟條件下,個人信息的商業運用將成為個人信息權的主要實現途徑。最后,從救濟方式來看,對人格權的保護通常采用事后救濟的方式來實現,而對個人信息權的保護是采用事前防范和事后救濟相結合的方式來達到的。顯然,個人信息權與人格權是不同的權利類型,盡管隱私權也是保護個人信息的,但隱私權所保護的個人信息范圍非常有限,僅限于一些可能對本人造成損害的敏感信息,而且隱私權的保護僅僅是從精神利益角度出發所作出的規定,所以,以隱私權來實現對個人信息保護的設想是行不通的。那么,個人信息能否通過所有權的模式來保護呢?也不行,因為個人信息權與所有權畢竟是不同性質的權利類型。首先,從權利的設立目的來看,所有權是為確保權利主體對物本身的占有、使用、收益和處分,物本身就體現了所有權的價值,具有直接的財產利益。而個人信息權的設立則是為了保護個人信息不受他人的侵害,個人信息的商業化運用雖然也表現一定的財產利益,但個人信息的立法宗旨仍然是以保護人格獨立和人的尊嚴為終極目標,個人信息的價值也具有不確定性,其價值的實現有賴于不同的商業運作模式。其次,從權利客體來看,所有權的客體為物,而作為個人信息權客體的個人信息則不具備物的一般特性。再次,從權利行使方式來看,所有權人在正常情況下都能夠以自己的意思來直接實現對物的支配,而個人信息權人在很多情況下,要實現對個人信息的控制和管理,則必須通過請求他人為或者不為一定行為,如確認、了解個人信息的存儲、利用和流通情況。最后,從侵害后的救濟方式來看,所有權人可以通過行使物權請求權來恢復對物的支配,不受時效限制;而個人信息權人在受到侵害以后,只能夠通過請求對方承擔違約責任或者損害賠償責任,不存在恢復原狀的問題,而且受到時效的限制。
個人信息權之所以是一種獨立的權利類型,不僅因為其與所有權、人格權都存在重大差異,更重要的是,個人信息權形成了自己特有的權利內容。個人信息權的權利主要表現為:第一,個人信息決定權。指本人有權決定個人信息是否被收集與利用或者進行更新,以及個人信息在什么領域、基于何種目的、以何種方式被處理。第二,信息保密權。是指本人得以請求信息處理主體保持信息隱秘性的權利。對個人信息的保密途徑一般來說有兩種,一是自律,一是他律。他律是指通過政策、法律等消極手段間接地約束信息處理主體的行為,解決信息內容被截取或者泄露的責任分擔問題。自律則是由信息處理主體主動采取保密措施來防止信息內容被截取或者泄露,為信息的收集和處理提供了安全的環境,自律是個人信息保密權得以實現的基礎和保障。第三,信息查詢權。是指個人請求信息處理主體告知對其個人信息進行收集處理的相關情況,有的學者也將其稱為請求告知權[5](P121)。信息查詢權是個人信息權得以實現的關鍵所在,個人要實現對信息的支配和控制,必須首先了解哪些個人信息被收集,這些信息又是如何被處理和利用的,才可能知道這些信息是否保持完整,是否準確適時。第四,信息更正權。是指本人在發現其個人信息錯誤、不完整或者過時時,可以請求信息處理主體更正和補充的權利。一般來說,行使更正權的事由有三類,即信息不準確、不完整、不從新。我們此處的更正權包括了補充權。信息更正權中最有爭議的就是個人信息中有關本人價值判斷的內容,本人能否請求更正或者補充,從個人信息的客觀性來看,有關個人價值判斷的內容如果本人能夠舉出充分的相反證據,可以予以更正或者補充,但在沒有充分證據的時候,是不能夠變更或者補充的。第五,信息封鎖權。是指在法定或者約定的事由出現時,本人得以請求信息主體以一定方式暫時停止信息處理的權利。第六,信息刪除權。是指在法定或者約定的事由出現時,本人得以請求信息處理主體刪除其個人信息的權利。信息封鎖權與信息刪除權存在許多相似之處,一般來說,個人信息不完整或者不準確,可以行使封鎖權;而在個人信息收集目的實現的情況下,則可以行使刪除權。第七,信息報酬請求權。是指本人在因其個人信息被收集、處理與利用的情況下的一項信息處理主體請求支付對價的權利。
綜上所述,個人信息權不僅不能歸入人格權,也不能夠歸入物權的范疇,個人信息權在權利屬性上看,是一種獨立的復合性權利,具有人格和財產的雙重屬性,而且已經形成了自己獨有的權利內容,應以民事特別法的形式對之予以保護。
二、個人信息商業運用的現狀
個人信息商業運用的前提是個人信息的收集,個人信息的收集按照收集的主體,可以分為“公的部門”的收集即由國家機關為主體進行的信息收集,和“私的部門”的收集即由非國家機關為主體進行的信息收集。由國家機關進行的信息收集活動一般是由國家機關依職權或者執行國家公共事務的需要按照規定程序進行的,在此我們不作討論(注:當然,對于國家機關所收集的個人信息也存在如何合理使用的問題。2003年5月8日《南方周末》法治版刊載了一篇《建行賄人資料庫供招標方遏腐敗——寧波檢察院悄砸行賄商飯碗》。在該篇報道中,寧波市北侖區檢察院率先建立了建筑行業的行賄人員“黑名單”,“黑名單”中既包括已經被判行賄罪的行賄人,也包括雖未判刑,但行賄數額巨大的人員,甚至將那些檢察機關已經掌握行賄事實,但本人還未交待或者拒不承認的人員也列入其中,這些對于行賄人來說都是保密的,也就是說這些個人信息是通過間接的方法獲得的。北侖區檢察院使用這些個人信息為社會提供“誠信咨詢”,招標單位可以事先向其咨詢投標人是否存在行賄的污點,檢察院將審查結果予以反饋;對長期與該院合作的國家機關或者特大型國企提供部分行賄人名單;還對反貪部門以及有關的法紀部門的偵查行為提供必要的資料幫助。這種做法迅速在寧波市檢察院系統推廣,并將范圍擴大到醫藥行業和政府采購領域。本來檢察機關為了預防犯罪在其權限和工作必須的范圍內收集、利用個人信息是法律所允許的,但其擴大個人信息的使用范圍,雖然在目的上是為了遏制腐敗行為,但畢竟是在無法律依據的情況下憑借公權力介入私法秩序,這種行為本身值得商榷,同時反映出我國個人信息合理運用的法律問題亟需解決。)。個人信息的商業運用主要發生在由非國家機關收集個人信息的場合。非國家機關收集個人信息一般都是出于營利目的,非國家機關收集個人信息的營利性就決定其可能在商業利潤的驅使下肆意收集、傳輸個人信息而踐踏個人信息權。為規范非國家機關的信息收集行為和信息利用行為,就需要對非國家機關的信息運用情況有一定的了解。下面就目前幾個典型的涉及個人信息收集和運用的非國家機關對于個人信息的收集和運用情況予以介紹。
第一,網絡商家對于網民個人信息的收集和處理。無論是在線電子交易還是傳統商務經營,企業在激烈的競爭中都學會一項關鍵的營銷策略,即鎖定顧客群體,提供個人導向服務,鞏固消費者與商家自身之間的關系與忠誠度。網絡空間給商家們提供了方便快捷、成本低廉的收集顧客個人信息和挖掘潛在顧客群體的平臺。經營者收集個人資料的方式基本上有兩種:一是消費者主動提供個人信息,二是消費者并沒有主動提供信息,是由網絡商家利用信息技術在消費者不知情的情況下收集個人信息。消費者主動提供個人信息,通常是商務網站以登錄網站、加入會員的例行程序或者提供優惠等方式要求消費者提供個人信息,消費者一般有選擇接受或者拒絕的權利(注:這種方式從程序上看,雖然是尊重了消費者的意愿,屬于個人信息的合理收集,但不排除有些網絡商家在收集過程中,可能會采取一些隱蔽性的欺騙手段;或者雖然賦予消費者選擇接受或者拒絕的權利,商家有時候會通過文字游戲使得消費者忽略該項權利的行使,以默示推定或者行為認可的方式來視為其已經接受;或者收集的信息的使用超越事先承諾的范圍,這都在事實上對個人信息權造成侵害。)。個人信息權遭受侵害的最大威脅就是商家未經消費者的同意而利用信息技術收集個人信息的情況,此時的個人信息完全處于失控的狀態。目前,網絡商家經常通過“網絡小甜餅”(cookies)及其他一些追蹤軟件,來追蹤消費者的網上行為,收集其個人興趣和偏好。利用cookies技術,網站的服務商能夠在消費者訪問網站時,在消費者的電腦中以文本文件的形式設置信息代碼,該信息代碼對于每一個上網的消費者來說都具有唯一性、識別性,而且只有網站服務商才能夠識別。只要消費者隨后再次訪問該站點,就可以被識別出來。網站還可以通過隱藏的導航電子軟件收集被訪問網站的信息,包括哪些網站被訪問,哪些信息被下載,哪種類型的瀏覽器被使用,以及消費者所上過的網站網址[6](P95)。通過網站所記錄的這些信息,我們就能夠知曉該消費者的e-mail、ID號碼、消費習慣、閱讀習慣等興趣和愛好,甚至可以知曉其信用記錄和通信記錄,進一步核證其交際范圍和能力。信息社會中,個人信息是有價的,個人信息的交易也日漸成為一件有利可圖的事情,有些網絡商家除了將這些信息作為自己廣告宣傳和營銷的資源外,還可能將這些資源作為交易的對象。對商家來說,誰掌握的個人信息越多,誰就擁有越多的潛在消費者。因此,眾多商家普遍存在“信息饑渴癥”,不惜通過各種手段來竊取或者購買他人的個人信息。而通過網絡可以低成本獲得個人準確而詳盡的信息。商家往往對個人信息進行仔細的分析,然后有的放矢,甚至有可能采取有差別的價格,把無差別的產品賣給不同的顧客,如果對這類現象不加以規范,低成本、高利潤的引誘就會使越來越多的商家效仿,個人信息權就無法保障,我們就要遭受大量垃圾信息的干擾。由于個人信息的充分暴露,商家對你的消費情況了如指掌,有時還會使個人遭受網上歧視。當網上企業知道消費者的消費歷史和習慣時,便可以選擇性地服務某些消費者。比如,當網上銷售商通過你的個人信息查知你并不是一個十分闊綽的消費者時,他們會先服務其他人,而要你在客戶服務熱線上久等,你甚至對這種不公平待遇全然不知。有的網絡商家就根據他們所收集的客戶信息,把客戶分成不同等級,而最低等級的客戶就只能最后得到服務。
第二,醫院在提供醫療服務的過程中,收集了大量關于生理、疾病、生育等方面的個人信息。我國現行法律、法規對醫療機構如何處理和對待患者的個人信息缺乏系統完善的規范,僅一句概括式的宣傳意義上的“為患者保密”,這是遠不能適應信息社會發展需要的。尤其是在現代社會,醫療技術日益發達,有些醫療技術的實施可能會影響人倫關系,如人工授精技術雖然解決了因生殖能力所帶來的困擾,但同時也引發了人工授精子女日后可能因為尋找生理父親所可能引發的一系列人倫和法律問題,如實施人工授精技術的醫療機構應該如何記錄和保存該信息,哪些相關人員可以查閱有關信息,由信息泄露所導致的損害應該向誰進行賠償,由誰進行賠償,如何賠償,這些都需要進行規定。再如,現在許多人進行美容整形手術,還有的甚至進行變性手術,實施這些手術的機構是否應該對這些信息進行保密,采取何種措施在多大范圍內進行保密,都是亟需進行研究的問題。現在比較普遍存在的現象是醫療機構將患者的個人信息賣給藥商、保險公司,有的醫院將產婦的信息出售給嬰兒用品公司、奶粉商等,獲得這些信息的商家還可能將這些信息再次整理出售給各級教育培訓機構以及與孩子成長各個階段密切相關的各個商家,個人信息的價值得到了最大限度的挖掘,而我們個人的正常生活將因此受到無窮的干擾。
第三,金融機構和電信機構也是個人信息的匯集地。為保護金融活動參與人的利益,《儲蓄管理條例》、《信用卡業務管理辦法》、《網上證券委托暫行管理辦法》等相關法規都對金融機構的個人信息保密義務作了相應的規定。但這些規定都缺乏操作實效,這些義務的履行有賴于金融機構業務流程的規范,金融工作人員即使泄露信息,也無法查證,而且當事人也很少對金融機構的業務活動是否侵犯其個人金融信息提出疑問。電信機構為社會公眾提供各種電信服務項目,事關通信的機密性,如果電信機構對服務客戶的通信進行收聽、竊聽、存儲或者其他形式的監聽或者監視,將會對客戶的隱私構成巨大的威脅,有時甚至會被有些商家作為不正當競爭的手段使用,比如,某些關鍵性的電話談判,就可能被競爭對手通過監聽的辦法截取,從而先發制人。
綜上所述,我國個人信息的商業運用尚無相關法律法規有效規范,對個人信息權的保護構成巨大的威脅。
三、個人信息商業運用的法律保護
從目前個人信息商業運用的現狀來看,可從以下幾個方面入手,加強對個人信息商業運用的法律保護。
首先,個人信息商業運用的法律保護離不開專門法律的調整,當務之急就是制定個人信息保護法。個人信息保護法的立法原則必須遵循信息社會發展的規律,在保證個人信息自由流通的前提下,對個人信息的商業運用加以合理的限制。很多國際組織認為,個人信息保護原則是個人信息保護法的優秀內容(注:經濟合作與發展組織理事會于1980年9月23日通過《關于隱私保護與個人信息跨國流通的指針》,以及聯合國于1990年12月14日通過的《關于自動信息檔案中個人信息的指南》中都持這種看法。)。個人信息的保護原則的重要性可見一斑。綜觀世界個人信息立法較為完善的美國、德國,個人信息的立法一般來說應堅持以下幾個原則:第一,直接原則。即個人信息的收集原則上應堅持向本人收集,間接獲得的個人信息具有獲得上的不正當性,不能夠被利用和處理。第二,目的明確原則。指個人信息收集和利用時必須有明確目的,禁止公務機關和非公務機關超出目的范圍收集、儲存和利用個人信息。第三,安全保護原則。指個人信息的收集和利用主體必須采取相應措施保護個人信息的安全,避免可能發生的個人信息的泄漏、意外滅失和不當使用。第四,公開原則。指對個人信息的收集、利用和處理,一般應保持公開,本人有權利知悉個人信息的收集、利用和處理情況。第五,耕種原則。指為了保護個人信息的完整和正確,本人有權利對個人信息進行適時修正。個人信息保護法還必須明確保護對象,如1990年德國資料法第3條第1項規定:“個人資料是指可以直接或者間接識別自然人的任何資料”。該條規定就將個人資料保護的主體限定于自然人范圍,排除了法人和其他組織。我國個人信息保護法的保護對象也應僅限于自然人(注:僅限于自然人的規定,從表面看起來非常簡單,事實上有關自然人的問題還很多,比如,自然人是否包括死者,是否包括胎兒,以及以后可能出現的克隆人等。),有關法人或者其他組織的信息可以通過商業秘密法和反不正當競爭法予以規制。有關自然人的個人信息應該區分瑣細個人信息和敏感個人信息,并針對各自不同的特點規定不同的收集、利用和處理模式。個人信息法規范的重點應該在于信息收集人、處理人和利用人的權利義務、個人信息權人的權利義務、責任追究機制和賠償標準以及個人信息商業運用的監督機制。
其次,加強業界自律。法律盡管可以規定個人信息應該如何被合法收集和運用,但法律只能夠起到外部約束的作用,很多情況下,侵犯個人信息權的行為仍然防不勝防。ISP業者、征信者、直銷業者以及其他銷售業者等涉及個人信息的行業可以通過訂立行業成員應遵守的收集個人信息應該遵守的行為標準和同業慣例,鼓勵行業成員與消費者個人達成信息處理的契約,根據行業慣例,行業成員應該措辭清楚地在網頁或者明顯的位置公開其信息收集的原則,或者張貼有關的隱私政策,并明確告知個人信息收集和使用的目的,使消費者可以明確自己的信息將得到如何的保護和處理,再來選擇是否提供個人信息。業界自律可以通過取消成員資格或者某種具有商標性質的認證來作為督促或者懲罰手段,來達到約束行業成員自覺遵守個人信息保護的目的。
再次,可以借助市場機制的作用來緩解商家和消費者在個人信息權上的激烈矛盾。由于個人信息保護法實行的是直接原則,未經消費者同意,商家是不能夠收集消費者的個人信息的,然而要直接取得消費者的同意是非常困難的,消費者沒有義務來配合商家的任何商業目的的實現。例如,某全球性公司在一次直銷活動中,消費者最高的回復率僅為52%,且是在以免費電影票吸引消費者回函的情形下才得以達成的(注:詳見王郁琦:《“電腦處理個人資料保護法”與個人資料的商業利用》注釋7,載《信息法務透析》1996年3月。)。所以,商家可以通過提供一些誘因,來吸引消費者提供個人信息,如提供免費閱覽、提供贈品等方式來換取消費者個人信息。在此種情況下,消費者可以認識到自己的個人信息是有經濟價值的,是否通過提供個人信息來換取利益,由自己衡量得失后作出決定。比如,欲出售訂戶名單給廣告業者作郵寄名單的雜志社,就可以擬定兩種不同的訂閱費率供消費者選擇:一種屬于正常費率,適于要求對個人信息予以保密的訂戶;一種是較正常費率更為優惠的費率,適于同意將個人信息作商業利用的訂戶。如果訂戶覺得兩種費率的差價利益大于因信息作為商業利用可能帶來的不便,那他就會選擇后一種優惠費率。相反,如果經驗告訴消費者,個人信息的商業利用會給自己帶來無盡的煩惱,也就是說,信息收集主體沒有嚴格按照承諾兌現隱私政策的話,那么,消費者就可能放棄這些優惠而選擇保密個人信息,這樣就不利于信息的自由流通。市場機制的采用一方面有助于克服信息收集的程序困難,同時也給商家提出了更高的要求,必須執行嚴格的隱私政策,才能帶給消費者實際利益并在優勝劣汰的競爭中生存下去。
最后,必須對消費者進行自我保護教育。通過宣傳和示范,讓廣大的消費者樹立個人信息保護的觀念。在購物時,商家時常要求我們填寫一些有關個人信息的卡片,如姓名、住址、聯系電話等,有的商家甚至要求登記信用卡號、銀行賬號等,并引誘你說是為了便于參加抽獎或者累積積分換獎。此時我們一定要提高警惕,謹慎控制個人信息,要在詳細了解該商家所執行的隱私政策,并確認自己所提供的個人信息能否得到保護的前提下再決定是否提供相關信息。尤其是在網上購物時,盡量選擇訪問個人信息保護比較完善的站點,不輕易泄露個人信息,尤其是信用卡號、銀行賬號以及手機號碼,能夠匿名的盡量匿名,能夠設置密碼的一定要加密,條件允許的情況下,還可以通過采用先進的信息技術建立個人信息的防護屏障。在發生個人信息被侵犯的情況下,要積極主張權利,從而推動個人信息權保護的進程。
一、個人信息行政法保護的內容
(一)個人信息主體的權利
1.信息決定權:在我國,自然人對自己的個人信息享有支配的權力,此權利具有排他性。
2.信息更正權:若信息所有權者發現自己的個人信息存在錯登記或遺漏時,其有權要求相關機構對其個人信息進行及時更正或補充。
3.信息告知權:信息告知權指的是當信息所有者的個人信息被收集后,信息所有者有權知道其個人信息被何種機構或個人所使用、保存,并有權知悉其被收集信息的用途。
4.信息刪除權:當信息所有者脫離該信息管理機構的法律范圍,其有權要求使用主體或管理機構刪除其個人信息。
二、我國個人信息行政法保護中出現的問題
(一)基本原則模糊
目前我國的個人信息行政立法還不夠完善,只有在部分機構的規章制度中體現出保護個人信息的條款,因此,我們要借鑒歐美發達國家的立法觀念,加強對個人信息保護方面的立法力度。
(二)立法模式和法律規范不健全
目前我國在個人信息保護立法模式上,有以下觀念:(1)建議采取綜合性立法模式;(2)建議采取統一的立法模式。在制定個人信息保護法律時,需要依據我國憲法實施,而個人信息卻處于公法與私法間,沒有固定模式對其定位。
我國在個人信息保護方面沒有一個健全的法律體系,部分與其相關的法律條款,一般源于對個人隱私的保護法規,分散性強。因此,我國應加強對個人信息保護的行政立法,不斷完善個人信息保護的法律體系。
三、完善我國個人信息行政法保護制度的措施
(一)確立個人信息行政法保護的基本原則
1.尊重人權原則:我國憲法規定需尊重和保障公民的基本權利,國家機關及其工作人員在工作中需秉承尊重人權的原則,尊重人權在個人信息保護的行政立法中起到的指引作用,同時也保障公民的知悉權,體現出國家在踐行“以人為本”上的力度。
2.保障人權:我國在個人信息行政立法中,主要以維護信息所有者的人格尊嚴為基礎,并切實保障信息主體的各項基本權利,因此,在制定個人信息的保護法律條款時,不得損壞公民的其他權益。
3.比例原則:在個人信息的收集和使用過程中,當個人利益與公眾利益發生沖突時,應按照適度的比例來進行處理,既不過分側重于公眾利益,也不過多偏向于個人利益。
(二)健全相關法律制度
1.完善監督管理制度
建立健全的監督管理制度,充分利用行政機關的權利,保障公民的個人信息權利,維護其個人信息安全,方法有:⑴建立公開透明的監督管理體制,公眾參與個人信息保護的監督,設立熱線電話和和聯網監督渠道;由專門的國家行政機關對相關的信息使用者進行監督,促使其依法辦事、履行相應的義務。
2.完善政府信息公開制度
在個人信息保護上應不斷完善信息公開制度,增加信息的透明度,擴大公眾知悉權,并制定相應的標準,以確保信息在公開透明的情況下也不損害相關人員的個人信息受保護的權利,以便于更好地落實信息公開制度。
3.完善個人信息處罰制度
完善個人信息處罰制度,加強對信息使用主體的監管力度,若信息使用主體在信息操作過程中有違規違法行為,應嚴格按照處罰制度予以處罰,確保個人信息的保護權不被侵害。
四、結語
針對目前我國個人信息行政法保護中存在的不足,我國應加強相關方面的行政立法和完善監督管理體制,設立專門的監督管理機構,進行實時有效的監督。增加個人信息管理的透明度,讓群眾參與監督,運用多種監督管理手段,力求做到公正、公開,確保公民的個人信息受到法律的保護。
作者:朱珈宇 單位:鄭州大學法學院
摘要:個人信息保護法的客體是個人信息,個人信息體現的是一種基本人權。個人信息法律保護應遵循一定的原則,對特殊行業和領域應制定特別的法律規范,并實行行業自律。
關鍵詞:個人信息;個人信息權;立法
一、個人信息的界定
目前全球已經有50個國家或地區制定和頒布了個人信息保護法。各國或是地區在法律中對個人信息的稱謂有所不同,如“個人數據”、“個人資料”、“個人隱私”、“個人信息”。采用“個人數據”稱謂的采用“個人資料”稱謂的,如1977年德國的《聯邦資料保護法》。采用“個人隱私”稱謂的,如1974年美國的《隱私權法》。采用“個人信息”稱謂的,如2003年日本的《個人信息保護法》。
“個人數據”和“個人資料”的英文均為“PersonData”,兩個稱謂只是中文的翻譯不同而已。“個人數據”指與已識別或可識別的與個人(自然人,又稱數據主體)相關的任何資料。“個人信息”指自然人的姓名、出生年月日、身份證號碼、戶籍、遺傳特征、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其他可以識別該個人的信息。
個人數據(資料)與個人信息的區別如下:首先。個人數據(資料)側重于客觀形式,而個人信息偏重于數據或是資料所反映的內容。從資料和信息的內在關系看,資料是信息的載體,信息是資料表現的內容。從這個角度理解,數據(資料)是信息的表現形式,信息是數據(資料)所體現的內容。其次,個人信息的表現形式是多種多樣,并不一定表現為個人數據(資料)形式,不以個人數據(資料)的物化形式存在的個人信息是大量的。最后,數據是一個偏技術性的概念,一般認為個人數據是指與個人相關的任何資料,也包括家庭的一些相關情況等。信息則是指經過處理后得到的數據。其與數據最大的區別在于它經過了處理過程。
隨著個人信息保護法的發展,人們越來越多地開始使用“個人信息”這一概念。這是因為立法的目的在于保護個人數據或是個人資料所反映出來的個人信息,而不是簡單保護個人數據或個人資料本身。而保護個人信息的目的是為了保護個人信息所能識別的自然人。簡而言之,保護個人數據或是資料的目的就在于保護個人信息所指向的個人。因此,“個人信息”一詞更能體現個人信息保護法的立法本意。
“個人隱私”的稱謂主要出現在英美法系之中。1890年兩位著名的美國法學家薩繆爾·D·沃倫和路易斯·D·布蘭戴斯在《哈佛法律評論》上發表了著名的《隱私權》(TheRighttoPrivacy)一文,隨后隱私權的內容在法學研究、立法和司法領域得到了認可和逐步擴展。關于隱私的定義。學界也是眾說紛紜。有學者認為,隱私是指公民的私人生活安寧不受他人非法干擾。私人信息不受他人非法搜集、刺探和公開等。隱私權,是指公民享有的私人生活安寧和私人信息受到法律保護,不被他人非法侵擾、知悉、搜集、利用和公開等的一種人格權。還有的學者認為,隱私不僅包括私人生活安寧不受他人非法干擾,私人信息保密不受他人非法搜集、刺探和公開,還包括對個人私事的決定。由此可見,隱私主要是指那些私密的,不愿公開的個人信息。如果我們選擇個人隱私這一概念,就相當于將不涉及隱私利益的個人信息都排除了在了法律保護的大門之外,顯然是不足取。
二、個人信息權利的屬性
立法中所體現出來的個人信息權利的屬性是不盡相同的,大致有三種:
(一)隱私權
典型代表是美國法,認為對個人信息享有的權利是一種隱私利益。對其保護應當采取保護隱私權的權利形式。1974年美國參眾兩院通過了《隱私權法》,主要規制政府機構理個人信息的行為。1980年經濟合作與發展組織(OrganizationforEconomicCooperationandDevelopment,簡稱OECD)通過了《OECD關于隱私保護與個人數據跨疆界流動的指導原則的建議書》(GuidelinesontheProtectionofPrivacyandTransborderFlowsofPersonalData,OECD),該法律文件除了跟美國《隱私權法》一樣在標題中就清楚標示為隱私,文件中也多處提到,如第二條,“這些指導原則適用于個人數據,不管其是屬于公共領域還是私人領域。因為處理方式或者因為他們的性質或被使用的語境。他們對隱私和個人自由構成危險。”我國香港個人資料(隱私)條例也采隱私權說,其緒言指出:“本條例旨在個人資料方面保障個人的隱私。并就附帶事宜及相關事宜訂定條文。”
(二)人格權
典型代表是德國法。認為個人信息體現的是一種人格利益,對其保護應采用人格權的保護形式。德國1977年《聯邦個人資料保護法》規定,個人信息保護的目的是保護個人隱私。但是由于隱私權說與德國整個法律文化不相協調,在1983年被德國聯邦憲法法院《人口普查案判決》推翻。該判決認為資料何種情況下是敏感的不能只依其是否觸及隱私而論。德國1990年修改后的《聯邦資料保護法》第一章“一般條款”第一條規定:“本法旨在保護個人的人格權,使其不因個人資料的處置而遭受侵害。該法的目的是為了保護個人人格權在個人信息處理時免受侵害。”我國臺灣地區《計算機處理個人數據保護法》在總則部分第一條規定:“為規范計算機處理個人數據,以避免人格權受侵害,并促進個人資料之合理利用,特制定‘本法’。”
(三)基本人權
國際組織多采此說。認為個人信息體現的是一種基本人權,即關于個人基本權利和自由的綜合權利。歐洲議會公約在緒言中指出:“考慮到在自動化處理條件下個人資料跨國流通的不斷發展,需要擴大對個人權利和基本自由。特別是隱私權的保護。”歐盟95指令緒言規定,“各成員國對于個人權利和自由特別是隱私權,在個人數據處理過程中不同的保護措施可能會阻止這些數據在成員國之間的傳送。”聯合國指南第一條規定:“不得用非法或者不合理的方法收集、處理個人信息,也不得以與聯合國憲章的目的和原則相違背的目的利用個人信息。”聯合國憲章的目的和原則體現的是對人的權利和自由的保障。
我國將來制定個人信息保護法時,應如何定位個人信息權利的法律屬性呢?筆者認為:首先不宜定性為隱私權,這是因為采取該種界定不能全面地保護我國的個人信息。其次,人格權屬性也應排除。一般人格權是指公民和法人享有的,概括人格獨立、人格自由、人格尊嚴全部內容的一般人格利益。并由此產生和規定具體人格權的人的基本權利。個人對其本人信息的權利其實是一種個人信息控制權,即個人對自己的何種信息被何種組織以何種方式收集、儲存、使用等的一種決定權。顯然人格權的外延囊括不了個人信息控制權。最后,為了與我國現有法律體系相協調,也為了更全面的保護個人信息權利,我國宜采用基本人權說。
三、個人信息保護的基本原則
不管是英美法系還是大陸法系國家均在其個人信息保護法中對個人信息保護原則做了明確規定。借鑒國外經驗,我國個人信息保護法應規定以下基本原則:
(一)信息質量
信息處理者應該在擁有合法權限的前提下,依照法定的程序獲取和傳播(包括)信息。收集信息是基于特定的目的,在取得信息之前目的已經明確化。之后的儲存和使用行為必須受到先前收集時特定目的的約束,行為應該與特定目的具有充分而不多余的關系。數據管理者有義務保證儲存的信息是準確的,并且隨著時間的推移應當保持信息的適時更新。信息應以信息主體可以進行訪問的方式進行儲存,且信息的儲存時間不應超過儲存信息所必須的期限。
(二)信息處理的合法性
信息處理者在保證信息質量的前提下,需經信息主體同意,才可以對個人信息進行處理,法律另有規定的除外。除外情況有處理數據是履行法定義務的要求;為了保護信息主體的重大利益所必須;履行與信息主體之間合同所必要的;進行信息處理不損害法律所保護的權利且管理者對信息處理具有法律上的利益等。不管依哪種前提對個人信息進行處理。在處理之前管理者應該告知信息主體相關事項,包括處理個人信息的目的與方法;提供信息是否是強制義務,拒絕提供的法律后果;信息的使用范圍,信息接收者的身份類別;信息主體享有確認、更改、刪除、獲得信息和拒絕處理信息的權利;個人信息控制著的身份和住所或營業場所所在地等。
(三)信息公開
信息處理者要使得信息主體能夠了解和掌握以下內容:自己的哪些信息當前被管理者所控制、正在或將被采取何種方式的處理行為、處理的主要目的是什么、信息控制人的身份及其住所地或是營業場所。具體到政府部門而言,信息公開原則的內容為:上級行政部門接到下級行政部門呈報的個人信息檔案以后,將其分類目錄在政府公報上公布;保管個人信息檔案部門的負責人有義務將個人信息目錄制作成個人信息簿供一般人閱覽:任何人都擁有請求閱覽關于自己個人信息的權利,有關不供閱覽的理由應予以記載;管理部門在接受閱覽請求后合理期限內必須做出答復;對行政部門做出不能公開,即不可閱覽決定有異議時,可以提出意見,并根據行政復議法提出異議申請,或根據行政訴訟法提起訴訟;信息主體可以要求管理部門對保管信息的內容做出訂正。
(四)信息安全
為了保證個人信息的安全。信息處理者應當采取適當的技術上和組織上的安全措施。保證個人信息免受意外的、未經授權的訪問、修改、丟失、破壞或損害,以及其他未經授權的個人信息處理的需要。在要求信息處理者采取技術或是組織上的安全措施時要考慮其現有的技術水平以及采取措施的成本,同時結合其所控制信息的性質和潛在的危險,采取的措施既可以保證信息的安全又不會給管理者造成很大的負擔。任何能夠訪問信息的管理者及其授權的人員必須在有管理者的明確指示下才能對數據進行處理,法律法規要求履行的強制性義務除外。此外信息處理者的工作人員在工作期間及工作結束后的一定時期內應該負有保密義務,不得非法泄露其工作時所接觸到的個人信息。
四、特殊行業的特別立法和行業自律
(一)特殊行業的特別立法
將個人信息的保護納入法治的軌道,是社會和經濟發展的需要,但是不同的行業和領域對個人信息的使用情況是各不相同的,因此對所有行業適用整齊劃一的措施是不現實的,這樣就需要針對特定的行業和領域制定特別的法律規范。這些領域包括醫療、電信、網絡、征信、金融、統計等。例如,個人醫療信息除了用于患者個人的康復外,還被用于醫學教育及醫學研究等,可以促進醫療水平的提高和醫學界的發展,具有很強的公益性,鑒于其特殊性對其進行特殊規定是必不可少的。我國個人信息的網絡立法保護很零散,有《全國人民代表大會常務委員會關于維護互聯網安全的決定》、《中華人民共和國電信條例》、《互聯網信息服務管理辦法》、《互聯網電子郵件管理辦法》。缺少專門立法;僅規制個人信息的不當泄露和通信自由及通信秘密受到侵害,對于個人信息的收集、持有、使用等環節沒有相應的管理保護機制除了《侵權責任法》外,我國還應進行專門的網絡立法,規定網絡個人信息保護。我國的個人信用服務業正在逐步發展,但是目前尚沒有一部直接規范個人信用服務機構及業務的專門法律。個人信用服務行業缺乏統一的法律規范。我們需要通過特別立法將信用信息的采集、加工、生產、銷售、使用的全過程加以規范。
(二)行業自律
盡管我國行業自律機制比較弱,但是我們應該看到我國一直存在行業自律,且在不斷發展,國家應該在加大個人信息保護立法力度的同時,鼓勵提倡行業進行自律。因為行業自律機制是個人信息保護制度中不可缺少的一個環節,如果政府機關與行業協會之間形成良性互動,那么行業自律組織在個人信息保護領域將能夠起到非常重要的作用。
關鍵詞:行政主體/個人信息/行政信息/信息公開/個人信息保護法
內容提要:行政主體收集、處理和利用個人信息是一種行政事實行為。我國應盡快制定個人信息保護法,明確信息主體有權要求行政機關不能隨意處理個人信息,公開對其個人信息的收集和利用,規定個人信息保護的范圍、原則、監督和救濟制度。利益衡量是目前協調個人信息保護與行政信息公開的適當方法。
隨著行政權的擴張和行政活動的日益復雜,行政機關通過各種行政活動收集、處理和利用著大量的個人信息,同時也對個人信息構成了極大的威脅。傳統行政信息公開制度的建構只是通過信息公開法中的例外規定來實現對個人信息的保護,忽視了行政機關對個人信息的侵犯。依據聯合國指南規定的“不得用非法或者不合理的方法收集、處理個人信息,也不得以與聯合國憲章的目的和原則相違背的目的利用個人信息”,我國對個人信息的保護制度應當順應歷史潮流作適當調整。
一、行政主體收集、處理和利用個人信息的要件
個人信息是可以識別本人的一切信息的總和。作為管理的基礎、決策的依據,個人信息是政府活動不可或缺的重要資源。行政機關收集、處理和利用個人信息在行政活動中是非常必要的。行政主體對個人信息的收集、處理和利用是行政事實行為。它是行政主體基于職權而實施的,是運用行政權力的結果。由于對個人信息的收集、處理和利用不能產生、變更和消滅行政法律關系,因此它不是行政行為。但是行政主體收集、處理和利用個人信息時仍然要遵循一定的規則,符合特定的條件。
(一)有法律依據行政主體收集、處理和利用個人信息是行政事實行為,從較抽象的角度來講,任何公權力都應以追求公共利益為其目的,如果一個公權力行為不以公共利益為目的,則該行為就失去了正當性基礎。公益是行政作用所無法免于考慮的,國家機關之作為倘若背離公益,將失去其正當性。[1]而判斷行政機關的行為是否符合公共利益,就在于行政機關的行為是否符合憲法和法律。例如,《城市居民最低生活保障條例》第7條第2款規定,縣級人民政府民政部門以及街道辦事處和鎮人民政府,為審批城市居民最低生活保障待遇的需要,可以通過入戶調查、鄰里訪問以及信函索證等各種方式對申請人的家庭經濟狀況和實際生活水平進行調查核實。申請人及有關單位、組織或者個人都應當接受調查,如實提供有關情況。在此,行政法規授權縣級人民政府民政部門、街道辦事處和鎮人民政府,對城市低保申請人有關經濟狀況和生活水平的個人信息進行收集,以保證履行好行政給付職責,保障城市居民基本生活。
(二)特定的職責事務或特定的社會公共事務管理的目的
《突發公共衛生事件應急條例》第39條第1款規定,醫療衛生機構應當對因突發事件致病的人員提供醫療救護和現場救援,對就診病人必須接診治療,并書寫詳細、完整的病歷記錄,對需要轉送的病人,應當按照規定將病人及其病歷記錄的復印件轉送至接診的或者指定的醫療機構。此時,行政法授權醫療衛生機構收集患者和疑似病人的健康狀況的個人信息,從而能及時地救治病人,有效地控制和消除突發公共事件的危害,保障公眾身體健康和生命安全,履行好維護正常社會秩序的行政職責。特定目的要件蘊含著比例原則的要求。比例原則是大陸法系限制自由裁量權的重要理論。按照一般的理解,比例原則要求手段和目的的協調,嚴格禁止一切為達成目的不擇手段的國家行為。[2]比例原則要求行政機關實施行政行為時,在實現某一目的的各種不同方法中應運用其中最適當的方法;在不違背或減弱所追求目的的效果的前提下,應盡可能地選擇對相對人造成損害最小的方法;行政機關對公民個人利益的干預不得超過實現行政目的所追求的公共利益,兩者之間必須符合比例或者相稱。盡管行政主體收集、處理和利用個人信息有法律的授權,但是法律對行政主體收集、處理和利用個人信息的范圍、條件、程序等方面的規定往往不明確、具體,行政主體在遵守行政法規范的同時也就具有了一定的選擇、裁量的余地。根據比例原則,行政主體為履行特定行政職責而依法收集、處理和利用個人信息時,只能收集履行行政職責的特定目的范圍內的個人信息,不能收集其他不相關的個人信息,不能對收集的個人信息進行特定目的之外的處理和利用。
(三)告知或經個人信息主體的同意
美國隱私權法規定了禁止公開的原則,規定行政機關在公開個人的記錄以前必須首先通知被記錄的人,征求他的意見,在沒有取得個人的書面同意以前不能公開關于他的記錄。有學者認為國家機關的管理性收集行為必須通知個人信息主體,國家機關的服務性收集行為則必須經過資料本人的同意。[3]該觀點認為管理性的收集行為是國家機關履行職責的需要,相對人只有配合的義務而無拒絕的權利,國家行政機關只須履行告知程序即可,包括事前告知和事后告知。行政機關的服務性收集更多地是為私人主體的利益,與公共利益關系不大,應遵循意思自治原則,要有信息主體的同意才能進行。由于收集、處理和利用個人信息對信息主體個人權益關系重大,信息主體的同意原則上應以書面形式作出,以滿足保存和舉證的需要。同時,也應允許特殊情況下非書面的形式。如緊急情況下進行個人信息收集時,可以是口頭同意,事后再補做書面同意。
(四)保證個人信息的正確、完整、最新、安全和隱秘
個人信息反映信息主體的人格形象,不正確、不完整和不時新的個人信息將影響行政決定的正確性和合理性。因此,行政機關在對任何人作決定時,其所運用的檔案的記錄,均應保持正確、完整及最新,以使其在作出決定之時,能合理保證對該個人具有相當的公正性。此外,行政機關應當采取適當的行政性、技術性及物理性保障措施,保障記錄的安全與保密,防止可能對記錄的安全與完整造成的任何潛在的威脅與損害,因為,這些威脅或損害可能會對記錄所涉及的個人造成實質性危害、妨礙、不便或不公正影響。
二、建立我國個人信息的行政法保護制度
(一)制定個人信息保護法是當務之急
行政信息公開法、個人信息保護法和行政程序法是構成行政信息公開制度的主要法律。[4]行政信息公開法適用于全部政府信息,而個人信息保護法只適用于個人信息。信息公開是對社會公眾的公開,而個人信息保護法中的個人信息僅對信息主體公開,對社會公眾則是限制公開。所以,從行政機關將所持有的個人信息對信息主體公開這個角度來說,個人信息保護法屬于行政公開法律范疇。同時,行政機關收集、處理和利用個人信息的整個程序不僅向信息主體而且也向社會公眾公開。傳統的行政信息公開制度在建構上,對個人信息權的保護是作為行政信息公開的例外存在的,側重于從保護個人信息權不被行政機關以外的主體侵犯的角度來規定個人信息不予以公開。隨著行政權的擴張和行政活動的日趨復雜,行政機關對個人活動的控制范圍和對個人提供服務的范圍都達到了前所未有的程度。行政機關通過各種行政活動收集了大量的個人信息,特別是隨著信息技術的發展,行政機關收集、處理和利用個人信息的能力更是空前提高,行政活動對個人信息權已構成極大的威脅。傳統的行政信息公開制度由于忽視行政機關對個人信息的侵犯而需要調整。信息主體有權要求行政機關不能隨意處理個人信息,并要求公開對其個人信息的收集和利用。行政機關處理個人信息的整個程序應該向社會公開。信息技術的發展提高了行政機關行政信息處理的效率,同時也對行政機關的行政信息公開提出了更高的要求。對個人信息的保護也由信息公開法中的例外規定發展為個人信息保護的專項立法。可見,制定個人信息保護法是解決行政信息公開與個人信息權之間的矛盾、完善行政信息公開制度的重要途徑。
(二)個人信息保護與行政信息公開的協調
盡管行政信息公開法和個人信息保護法都屬于行政信息公開法律的范疇。但是,知情權與個人信息權的對立是不可避免的,兩者構成一對矛盾。如何處理它們之間的關系成為必須解決的實際問題。
利益衡量的方法不失為解決個人信息權與知情權的沖突的明智之舉。協調兩種權利的沖突就必須解決好不同利益之間的關系,即在公眾的了解利益和個人信息的人格利益之間進行取舍。適用利益衡量方法的前提是兩種利益互為矛盾,其中一方面利益的實現可能導致另一方面利益的減損。利益衡量的方法通過對兩種利益的估量和平衡,選擇價值更高的利益。如果公眾的了解利益比個人信息之上的人格利益明顯重要,則行政機關就應該公開其掌握的個人信息,反之則不予公開。根據個別比較衡量論,當個人信息權與知情權兩種價值發生沖突時,依據具體個案,分析公民了解的利益和個人信息之上的人格利益所受到的損害,將二者衡量比較,當保護前者利益較大時承認公民的知情權;當保護后者所獲利益較大時尊重個人信息權。個別比較平衡論中標準的隨意性過大而顯不足。界限確定衡量論認為,知情權是絕對價值,保障公民對國家政治信息的知情權占首要地位;而其他人權是相對價值,其自由可以在一定程度上予以限制。[5]該理論是基于對權利本質的分析。從權利本質上看,個人信息權是一項民事權利,它通過賦予信息主體支配與控制其個人信息的權利來保護信息主體存之于個人信息上的人格利益。知情權主要是一種政治權利和社會權利,與行政信息公開制度相關的知情權更表現出政治權利的屬性。在現代社會,隨著民主政治的發展,公民對政治的參與度日益提高,知情權所體現的是公益性,它要求整個社會更加透明和開放,要求人們能有更多的機會了解和參與政治,而個人信息權具有個人性,與公共利益無關。因此,在知情權與個人信息權的對抗中,由于前者代表了社會公共利益、體現了更高的利益價值而占據上風。當某項個人信息涉及到公共利益時,對個人信息權進行限制、將個人信息予以公開則成為必然。當然,對公民知情權的優先考慮并不意味著漠視個人信息權。當個人信息的公開純屬滿足個人的需要而與公共利益無關時,應該適當保護個人信息權而犧牲知情權。
三)通過立法完善我國的個人信息保護制度
美國將個人信息劃分為公共領域和非公共領域分別進行保護,公共領域的立法主要是規制政府收集、處理和利用個人信息的行為,防止政府對個人信息隱私權的侵犯;在非公共領域,各行業和領域中的個人信息分別由不同的聯邦法規通過普通法和侵權行為法予以保護,同時以建議性的行業指引、網絡隱私認證計劃、技術保護等行業自律形式增強個人信息保護的針對性。[6]這種模式盡管有其優點,但存在不足:分散立法易導致欠缺整體規劃,法治不統一,司法不協調;行業規范缺乏國家強制力的保障,實施效果不理想;普遍性不足,很多企業游離于行業規范之外;投訴和爭端解決機制不完善。同時,美國的行業自律是建立在行業組織高度發達且與政府互動明顯的基礎上。我國顯無這一基礎,故行業自律模式不符我國國情。多數歐洲國家則認為盡管政府機關收集、處理和利用個人信息時與非政府機關存在一些不同的行為規則,但是仍存在許多共性,而且公私領域在保護個人信息權的價值目標上是一致的,也都遵循同樣的基本原則,因此通過制定專門的個人信息保護的單行法,對公、私領域中的個人信息保護進行統一規范。結合我國的法律體制和法律傳統,我國的個人信息保護應借鑒歐洲國家的立法模式,進行統一規范、統一立法,主要內容應包括個人信息的一般規定,個人信息保護的基本原則,國家機關、非國家機關對個人信息的收集、處理和利用,以及監督和救濟等方面。尤其應該注意以下問題:
1.個人信息保護的范圍
法律保護的范圍應及于一切個人信息。在過去手工收集和處理個人信息的技術條件下,個人信息受到的威脅并不突出。隨著計算機技術的發展和互聯網技術的應用,這種威脅已變得十分現實和嚴重。因此,不少有關個人信息保護的立法僅對電腦處理的個人信息進行規范,如美國、英國、日本、我國臺灣地區等。而一些國家的立法則對自動化處理與人工處理的個人信息進行同時規范,如德國、荷蘭等。筆者認為,盡管電腦處理的個人信息更容易受到侵害,但不能因此而忽視人工處理和半自動系統處理的個人信息。個人信息立法應給以個人信息全面保護。
2.個人信息保護的基本原則
我國的個人信息保護法也應明確規定個人信息保護的基本原則,作為個人信息保護法的指導思想,同時也用來彌補具體規則的不足。借鑒國際立法經驗,個人信息保護法總體上應體現合法兼正當的原則,具體應規定以下原則:
(1)合法原則。行政主體行為的目的、方式、程序、內容均不能違反法律的規定。
(2)直接收集原則。個人信息的收集,原則上應該直接向信息主體收集。現代信息技術使得對個人信息的收集具有隱蔽性,該原則有利于實現信息主體對其個人信息的直接支配和控制。這是個人信息決定權的要求,同時也有利于信息主體獲得知悉權。
(3)目的明確原則。個人信息在收集時必須有明確的目的,禁止超出目的范圍而收集、處理和利用個人信息。對于行政機關來說,必須在行使行政職權、履行行政職責所需的目的范圍內收集、處理和利用個人信息。行政機關應告知信息主體信息收集的目的。
(4)公開原則。一般應對個人信息的收集、處理和利用保持公開,使信息主體了解其個人信息被收集、處理和利用的情況。當然,“公開”并非指將個人信息的內容向公眾公開,而是指將個人信息的收集、處理和利用的情況向信息主體公開,否則將違背個人信息保護的目的。
(5)完整正確原則。信息處理主體應保持所持有的個人信息的完整、準確和時新,信息主體對錯誤、有瑕疵的個人信息有要求更正的權利。當然,信息主體的更正權僅在于維護其個人信息的正確、完整與時新,其行使更正權的程序與內容應當受到適當的限制。
(6)安全原則。行政主體應采取安全保護措施,防止個人信息泄露、滅失和不正當使用。
3.個人信息保護的監督機關
個人信息保護監督機關的設置有獨立的監督機關和原行政機關自行監督兩種情形。法律授權的獨立監督機構固然有利于個人信息保護監督職責的履行,但設置新的機構涉及機構和人員的編制,需要必須的工作條件和經費,這顯然不符合機構精簡的原則,與我國行政管理體制改革的方向不符。而由原行政機關自行監督,屬于行為主體自己行為自己監督,其不足亦是顯而易見的。為解決這一問題,可以立足于我國現有的行政復議制度,把行政復議機關作為個人信息保護監督機關,賦予其相應的職權。行政復議本身具有監督行政的屬性,行政復議機關一般是作為被申請人的行政機關的上一級機關或所屬的一級政府,行政復議機關與作為被申請人的行政機關是一種領導與被領導的關系,或者是業務指導、主管的關系。因此,由信息處理主體的行政復議機關進行個人信息保護的監督,比信息處理主體的自行監督會有更好的效果。依《行政復議法》的規定,由行政復議機關的內部機構履行復議職責。而實踐中,一級政府和政府工作部門分別由其法制部門和內部的法制機構具體履行復議職責。復議機構工作人員的相對專業性和專職性也有利于其勝任個人信息保護的監督工作。結合各國個人信息保護法的規定,我國個人信息保護監督機關的職責應包括以下內容:對個人信息保護法的執行進行一般性監督;進行個人信息保護的研究和咨詢;并定期提交工作報告。
4.對信息主體的救濟
“無救濟則無權利”。要使信息主體的合法權利切實得到維護,則個人信息保護法中應明確對信息主體的救濟。例如,應當明確規定,信息主體公開、修改其個人信息的請求遭到行政主體的拒絕時,可以申請行政復議。行政復議機關未予以處理或者對行政復議的結果不服時,信息主體還可以提起行政訴訟。《行政復議法》和《行政訴訟法》都將受理案件的范圍限定于行政主體的具體行政行為。《行政復議法》第6條列舉了可以申請行政復議的案件。其中第9項和第10項規定,相對人申請行政機關履行保護人身權利、財產權利、受教育權利的法定職責,行政機關沒有依法履行的以及相對人認為行政機關的其他具體行政行為侵犯其它合法權益的。《行政訴訟法》第11條也對受案范圍進行了規定。其中第1款第5項和第8項規定,相對人申請行政機關履行保護人身權、財產權的法定職責,行政機關拒絕履行或者不予答復的以及認為行政機關侵犯其他人身權、財產權的。第2款規定,除前款規定外,人民法院受理法律、法規規定可以提起訴訟的其他行政案件。行政主體對信息主體的公開申請、修改申請拒絕或不予答復時,信息主體的個人信息權將受到影響,行政主體的拒絕決定屬于具體行政行為,不予答復屬于行政不作為。因此,依據我國現有的行政復議制度和行政訴訟制度,信息主體可以獲得救濟。個人信息保護法應規定信息主體因行政主體違法收集、處理和利用個人信息的行為遭受損害的,給予行政賠償。
摘要本文介紹了美國《隱私權法》的立法原則、適用范圍、個人記錄公開的限制和登記、公民查詢與修改個人記錄的權利、對行政機關的限制與要求、免除適用的規定、該法與美國《信息自由法》的關系;論述了我國研究和借鑒國外隱私權保護的法律法規,強化政府信息法制建設力度,在確保國家和公共利益的前提下依法保護公民個人信息的必要性。
關鍵詞隱私權法個人信息信息公開信息安全政府
1974年12月31日,美國參眾兩院通過了《隱私權法》(ThePrivacyAct)[1],1979年,美國第96屆國會修訂《聯邦行政程序法》時將其編入《美國法典》第五編"政府組織與雇員",形成第552a節。該法又稱《私生活秘密法》,是美國行政法中保護公民隱私權和了解權的一項重要法律。就政府機構對個人信息的采集、使用、公開和保密問題作出了詳細規定,以此規范聯邦政府處理個人信息的行為,平衡公共利益與個人隱私權之間的矛盾。
1立法原則
《隱私權法》立法的基本原則是:
①行政機關不應該保有秘密的個人信息記錄;
②個人有權知道自己被行政機關記錄的個人信息及其使用情況;
③為某一目的而采集的公民個人信息,未經本人許可,不得用于其他目的;
④個人有權查詢和請求修改關于自己的個人信息記錄;
⑤任何采集、保有、使用或傳播個人信息的機構,必須保證該信息可靠地用于既定目的,合理地預防該信息的濫用。
2適用范圍
《隱私權法》對該法出現的"機關"、"人"和"記錄"等概念的適用范圍做出限定。
2.1機關(agency)
該法中的"機關",包括聯邦政府的行政各部、軍事部門、政府公司、政府控制的公司,以及行政部門的其他機構,包括總統執行機構在內。該法也適用于不受總統控制的獨立行政機關,但國會、隸屬于國會的機關和法院、州和地方政府的行政機關不適用該法。
2.2人(individual)
該法中的"人",是指"美國公民或在美國依法享有永久居留權的外國人"。
2.3記錄(record)
該法中的"記錄",是指包含在某一記錄系統中的個人記錄。記錄系統是指"在行政機關控制之下的任何記錄的集合體,其中信息的檢索是以個人的姓名或某些可識別的數字、符號或其他個人標識為依據"。個人記錄是指"行政機關根據公民的姓名或其他標識而記載的一項或一組信息"。其中,"其他標識"包括別名、相片、指紋、音紋、社會保障號碼、護照號碼、汽車執照號碼,以及其他一切能夠用于識別某一特定個人的標識。個人記錄涉及教育、經濟活動、醫療史、工作履歷以及其他一切關于個人情況的記載。
3記錄公開的限制和登記
3.1禁止公開的原則
行政機關在尚未取得公民的書面許可以前,不得公開關于此人的記錄。
3.2例外
《隱私權法》規定了行政機關可以公開個人記錄,無需本人同意的12種例外情況。
⑴為執行公務在機關內部使用個人記錄;
⑵根據《信息自由法》(theFreedomofInformationAct)公開個人記錄;
⑶記錄的使用目的與其制作目的相容、沒有沖突,即所謂"常規使用";
⑷向人口普查局提供個人記錄;
⑸以不能識別出特定個人的形式,向其他機關提供作為統計研究之用的個人記錄;
⑹向國家檔案局提供具有歷史價值或其他特別意義值得長期保存的個人記錄;
⑺為了執法目的向其他機關提供個人記錄;
⑻在緊急情況下,為了某人的健康或安全而使用個人記錄;
⑼向國會及其委員會提供個人記錄;
⑽向總審計長及其代表提供執行公務所需的個人記錄;
⑾根據法院的命令提供個人記錄;
⑿向消費者資信能力報道機構提供作為其他行政機關收取債務參考之用的個人記錄。
3.3記錄公開的登記
行政機關根據上述例外公開個人記錄時,除機關內部使用和依《信息自由法》公開的情況外,其他各項公開必須將公開的時間、性質、目的、獲取記錄者的姓名和地址登記在案,并至少保存5年。除非是向執法機關公開,被記錄者有權取得行政機關制作的關于本人記錄公開情況的登記。
4公民查詢與修改記錄的權利
《隱私權法》規定,個人有權知道行政機關是否保本人記錄以及記錄的內容,并要求得到復制品。除非此項記錄符合該法規定的免除適用情況,或者系行政機關為起訴某人而編制,行政機關不得拒絕個人的請求。個人認為關于自己的記錄不準確、不完整或已過時,可以請求行政機關修改或刪除。個人請求修改的信息限于記錄中的事實,不包括意見在內。
5對行政機關的限制和要求
5.1采集信息的限制
⑴行政機關必須用正當合法的手段和程序制作、保有、使用和公開個人記錄。
⑵行政機關搜集個人信息,如果可能導致對被記錄者作出不利的決定時,必須盡可能地由其本人提供。
⑶行政機關要求提供個人信息時,必須對提供信息者說明下列事項:
①行政機構要求提供信息的法律依據,以及個人是否必須公開這項信息;
②該項信息主要用于什么目的;
③該項信息的常規使用;
④個人全部或部分地拒絕提供行政機關所需信息的法律后果。
5.2保有和使用記錄的限制和要求
⑴行政機關建立或修改個人記錄系統時,必須在《聯邦登記》上公布下列事項:
①系統的名稱與地點;
②系統中包括哪一類人的記錄;
③該系統收集了哪一類信息;
④這些記錄的常規使用是什么,包括使用目的和使用者類型;
⑤行政機關對這些記錄的保存、獲取和控制政策以及保存的方式;
⑥該記錄系統的負責人;
⑦個人查詢記錄系統中是否包括自己的記錄時,行政機關答復的程序;
⑧個人查詢如何獲取自己的記錄,如何質疑該記錄時,行政機關答復的程序;
⑨系統中記錄來源的類別。
⑵行政機關只能在執行職務相關和必要的范圍內,保有個人記錄。
⑶保有個人記錄的行政機關必須保證記錄的準確性、適時性和完整性。
⑷美國憲法修正案第1條規定公民享有宗教自由、言論自由、集會自由等基本權利。個人的宗教信仰、政治信仰和行政機關執行公務無關,禁止行政機關保有這些方面的個人記錄。
⑸行政機關所保有的個人記錄,在訴訟程序中,由于法院的命令而對其他人強制公開時,行政機關有義務通知被記錄人。
⑹行政機關必須建立行政的、技術的和物質的安全保障措施,以保障個人記錄的安全、完整和不被泄漏,并防止其它可能對被記錄者產生損害的危險。
⑺為了確保《隱私權法》的執行,行政機關必須規定個人行使權利的程序。
6免除適用的規定
個人隱私權只在符合公共利益的范圍以內受到保護。為了在公共利益與個人利益之間尋
求平衡,除了前面提到的12種"例外"情況,《隱私權法》還作出了"免除"的規定。
所謂免除,是指行政機關在一定的情況下,可以不適用《隱私權法》的某些要求和限制。即在一定的條件下,保有個人記錄的行政機關,對被記錄的個人可以免除公開的義務,可以不提供他所查詢的記錄,不進行他所要求的修改,或者免除法律為行政機關規定的某些義務和要求。法律在免除行政機關適用某些保護個人權利的條款的同時,給予行政機構一定的自由裁量權,不限制行政機關適用這些條款。免除分為兩種,即普遍免除(generalexemptions)
和特定免除(specificexemptions)。
6.1普遍免除
"普遍免除"是指《隱私權法》中的全部規定,除了法律所排除的幾項基本規定以外,其余各項規定,行政機關均可免受限制。
6.1.1免除范圍
能夠適用普遍免除的行政機關對其保有的個人記錄系統,除下列必須履行的基本義務和要求外,可以免除《隱私權法》對行政機關規定的絕大部分限制和要求:
①被記錄人的同意權;
②登記公開的數目和保存登記的義務;
③在《聯邦登記》上公布的義務;
④保持記錄正確性的要求;
⑤對保有涉及憲法修正案第1條公民基本權利的個人記錄的限制;
⑥建立保護個人記錄安全的行政與技術措施的要求;
⑦改變常規使用時進行公告的義務;
⑧違反法律的刑事責任。
6.1.2適用機關
普遍免除只適用于中央情報局和以執行刑法為主要職能的機關所保有的個人記錄。
6.2特定免除
"特定免除"是指行政機關只能免除法律特別規定的幾項限制。
6.2.1免除范圍
特定免除只能免除適用《隱私權法》中的少數條款。行政機關對本機關中可以適用特定免除的個人記錄系統,免除適用《隱私權法》中規定的下列限制或要求:
①個人查詢和獲取本人記錄的權利;
②個人查詢和獲取本人記錄公開情況記載的權利;
③行政機關只能保有與執行公務相關和必需的信息;
④行政機關在《聯邦登記》上公布個人查詢該機關記錄系統中是否含有、如何取得關于本人信息的辦法,以及該系統中的各類信息來源;
④行政機關規定個人取得、要求修改本人記錄的辦法。
上述5項免除的共同特點是免除行政機關對被記錄的個人公開關于他的記錄。
6.2.2適用記錄
特定免除不限制適用的機關,但只能適用于行政機關記錄系統中以下7種關于個人的記錄。
①涉及到根據總統的行政命令明確劃定為國防或外交秘密的個人記錄;
②以執法為目的而編制的個人記錄;
③以保衛總統、副總統、其他重要官員、外國來訪元首為主要任務的安全機關所保有的個人記錄;
④人口普查記錄和其他純粹以統計為目的而編制和使用的個人記錄;
⑤以決定個人是否宜于任用、簽訂合同、接觸保密資料為目的而編制的調查材料;
⑥文職官員在使用和晉升過程中的考核材料;
⑦可能暴露信息來源的軍官晉升考核時所用的資料。
7與《信息自由法》的關系
《信息自由法》是規定美國聯邦政府各機構公開政府信息的法律。該法于1967年6月5日由美國總統批準,同年7月6日(美國獨立紀念日)施行,是美國當代行政法中有關公民了解權的一項重要法律制度。根據這一法律,政府信息公開是原則,不公開是例外。公民享有從政府的檔案館、手稿館、圖書館、報刊、雜志、電臺、電視臺、情報所、科研所獲得信息,并利用信息的權利[2]。
《隱私權法》規范行政機關處理個人記錄的行為,規定個人記錄必須對本人公開和對第三者限制公開的原則,與《信息自由法》同屬于行政公開法的范疇。和《信息自由法》的不同之處在于:《隱私權法》只適用于個人記錄,而《信息自由法》適用于全部政府記錄;《隱私權法》著重保護公民的個人隱私權,而《信息自由法》著重保護公眾的了解權;《隱私權法》企圖限制某些政府文件的公開,而《信息自由法》則尋求政府文件最大限度的公開。
這兩個法律互為補充,關系密切,但在適用上互相獨立。行政機關對個人記錄系統的公開,同時受這兩個法律的支配。一個法律中免除公開的規定,不適用于另一個法律。行政機關不能依據《信息自由法》中免除公開的規定,拒絕向個人提供他在《隱私權法》中可以得到的文件。《信息自由法》規定不能對公眾提供的文件,不一定是《隱私權法》規定不能對個人提供的文件;行政機關也不得根據《隱私權法》的規定,拒絕提供《信息自由法》中公眾可以得到的文件。《信息自由法》兼容除《隱私權法》外的其他法律對某一文件不得公開的規定。公眾根據《信息自由法》或《隱私權法》要求行政機關提供文件,而行政機關要拒絕提供時,只能依據該法本身免除公開的條款。
8思考與啟示
政府信息的公開是民主社會的特征之一。一方面,公眾有權根據自己的意愿從政府那里獲取信息;另一方面,政府有義務提供各種條件,保證公眾平等利用政府機構控制的信息。在保證國家安全和利益、公民隱私不受侵犯的前提下,保障公民的了解權,即知情權,是對公民人權的一種尊重,也是民主社會健康發展的必要條件。
隨著信息化社會的到來,特別是網絡化的計算機系統和大型數據庫的建立,大量涉及金融、醫療、保險、財產、家庭等方面的個人信息集中掌握在政府部門手中,隨時都有可能發生個人信息失控的情況。公民的個人信息一旦被他人非法獲取,或者信息持有者未經公民本人授權擅自將這些數據用于職責以外的其他目的,就很容易對公民的隱私權甚至人身安全造成侵害。
對公民的個人信息進行法律保護,其實質是在確保國家和公共利益的原則下,賦予公民對個人信息傳播的控制權[3]。然而,對于政府機構所掌握的個人信息,我國目前尚沒有專門的法律予以保護。因此,筆者認為,研究和借鑒發達國家、地區和國際組織關于個人信息保護的有關法規,對于改進和完善我國政府信息公開的法律環境,推進民主與法制建設,保護公民的切身利益,都具有重要的現實意義。
論文摘要 在信息社會中,個人信息的保護對于個人信息的安全性起到至關重要的作用。本文分析了個人信息的界定與民法性質以及各國立法模式的區別,得出我國個人信息的民法保護應該借鑒立法主導模式的結論,同時提出我國在立法過程中應對個人信息本人以及信息收集者或使用者的權利和義務以及侵害個人信息的民事責任等給予明確的規定。
論文關鍵詞 個人信息 隱私權 一般人格權 保護模式
個人信息在現代社會中具有非常重要的資源作用,其作為一個法律概念是隨著信息社會的發展而出現的。個人信息,是指一個人生理的、心理的、智力的、個體的、社會的、經濟的、文化的以及家庭等一切可以識別本人信息的總和。近半個世紀以來,個人信息的法律保護問題隨著信息科技的發展而成為日益突出的問題,在科技發展迅猛的今天,個人信息的保護已具有重要的意義。目前,對于個人信息的保護已經在各個主要發達國家展開,美國、西歐等一些國家已經出臺了個人信息保護的專項立法,但是其遠未覆蓋全球大多數國家。在我國大陸地區,目前還沒有出臺個人信息保護的專項立法,這使得在信息處理和傳播技術廣泛應用的信息社會,個人信息處理和傳播行為得不到規制,致使信息主體的利益經常受到侵害。個人信息的保護不完善,將會導致人與人之間的信任危機,進而阻礙社會的發展。因此,在我國亟待對個人信息進行立法保護。
一、個人信息的界定及民法性質分析
(一)個人信息的定義
個人信息保護前,我們必須對個人信息進行科學的界定。目前,由于各個國家在法律傳統和法律習慣上的不同,對個人信息的界定也不一致,但是這并不影響法律的內容。
1.關聯型定義
在個人信息定義中,德國法強調“個人關聯型”,根據《個人資料保護法》中規定,在不能確定所收集資料的關聯方的情況下,該法將不受調整。關聯型定義強調信息主體特定,而且對于個人信息的界定過寬,這導致在實踐中對個人信息的侵害的行為被放縱。
2.隱私型定義
在個人信息定義中,美國等國家采用隱私性定義。美國parent教授認為:“個人信息是指社會中多數所不愿向外透露者或者是個人極敏感而不愿他人知道者”。隱私型定義在著名的《隱私權》的發表之后被不斷豐富和發展,調整了包括私人秘密、姓名、肖像、私生活以及不實形象等,并且擴展到私人生活的各個方面。
3.識別型定義
各國對于個人信息的界定中,歐盟1995頒布的《個人數據保護指令》屬于典型的識別型定義。識別型定義同前兩種定義相比,其所劃定的范圍更加科學、寬嚴適度,因而也為國內多數學者贊同。但是任何一種定義也存在其不足和缺陷,識別型定義也不例外。在個人信息的判斷方面,識別型定義優勢很難通過一條或者少量信息作出判斷,而是需要匯總多方面的信息才能夠作出。此外,識別性的判斷也受到所處環境改變的影響。
(二)個人信息的法律特征
1.個人信息能夠直接或者間接地識別主體身份
直接識別是指不需要借助個人的姓名、肖像及身份證號碼等信息就能夠識別出信息主體身份,而間接識別則需要個人性別、興趣、學歷等其他信息的輔助才能識別出信息主體身份。
2.個人信息的內容具有多樣性
目前,隨著社會的不斷發展,個人信息涵蓋的內容也在不斷地豐富,涵蓋了新的內容,主要有個人的身份信息、健康狀況,個人的信用和財產狀況以及活動蹤跡等。
3.個人信息的主體是自然人
目前,對于個人信息主體的限定,大多數國家的法律限定為自然人,而對于法人是否能成為個人信息的主體尚存在爭論,有一些國家將保護的主體擴張到了法人。筆者認為,個人信息的主體只能是自然人,主要是因為:第一,自然人和法人在保護范圍和內容上存在很大差異,不易將法人認定為信息主體;第二,由于個人信息和法人信息體現的價值功用不同,應該由不同的法律分別保護;第三,如果對企業的信息流通進行限制,從立法成本和執行成本方面來看會增大交易成本。
(三)個人信息的民法性質分析
1.個人信息的權利基礎
個人信息應受民法保護已經被廣泛認可,但是立法需要諸多理論方面的支撐,進而我們需要對個人信息的民法性質必須理清。一般情況下,認定個人信息保護權利的基礎為人格權,可以具有財產屬性。大陸發行確立了姓名權、肖像權、名譽權制度,將姓名、肖像、名譽都納入到具體的人格權中而進行保護。隱私權范圍比美國法上的隱私權范圍要小的多,只是與具體人格權并列的一種人格權。大陸法系的人格權制度相當于英美法系的隱私權制度。目前我國的立法基本上沿襲了大陸法系的模式,沒有將隱私權作為一項獨立的人格權,當隱私受到侵害時需通過名譽權制度來救濟,如果我國在個人信息保護立法時照搬英美法系將隱私權作為個人信息的基礎,勢必造成理論上的錯亂。
2.個人信息的財產屬性
隨著網絡與信息技術的發展,個人信息已經開始成為一種商品,能夠在不同的主體之間進行交易,其所體現的巨大經濟價值越來越明顯。具體而言,個人信息財產化主要體現在以下兩個方面。
第一,個人信息的直接商品化。個人信息的直接商品化是指個人信息本人或者使用者出于商業目的而將其擁有的個人信息以商品的方式進行轉讓的現象。一般情況下,個人信息直接商品化可分為兩種情況。一種是個人信息本人為了獲取利益而對其個人信息進行出售。另一種是除個人信息本人以外的信息占有者為了經濟利益而對其他人個人信息進行出售。
第二,個人信息的二次開發利用。主體在對其掌握的個人信息進行挖掘、分析、加工的過程中,能夠實現對個人信息的二次開發利用。,通常情況下多采取數據庫的形式通過反映某種群體的通行而滿足自身或者使用者的需要。一般情況下,數據庫的個人信息比單獨某個人的個人信息具有更大的商業價值。
二、個人信息法律保護的必要性與兩種保護模式
(一)個人信息法律保護的必要性
1.個人信息保護是信息時代保護自然人的需要
一段時期內,各國沒有足夠重視對個人信息的保護。進入信息社會后,隨著信息處理和創辦技術的不斷發展,個人信息保護的問題變得日益突出。隨著信息技術的普及以及國家的角色逐漸向福利國家轉變,每個人從出生到死亡,其個人信息一直處于政府的管理和監控之中,幾乎到了無孔不入的程度。雖然政府對個人信息的掌握能夠使政府工作更加高效和便捷,但是由于這些信息往往會脫離信息主體的控制,所以信息主體很容易受到來自精神上以及財產上的損害。
民間機構出于經營目的,會對個人信息進行收集,在個人信息收集時存在著信息主體知道的收集和信息主體不知道的收集兩種情況。信息主體知道的收集能夠確保信息主體的在知悉的情況下對其進行一定的控制,然而信息主體知道的收集或者不知道的收集,都面臨著個人信息在信息處理過程中的種種危險。
2.個人信息保護是信息時代促進貿易與合作的需要
在現代信息社會,個人信息保護一定程度上限制了信息服務貿易的發展。目前,各個國家對信息服務貿易采取的限制措施主要有限制信息產業的外國投資、施行貿易保護政策以及通過個人資料保護嚴格控制資料跨國流通。在進行個人信息保護立法時,應當對于禁止收集人民在參與各種民主政治活動時形成的信息,同時賦予當事人查閱、修改自己檔案記錄的權利,充分保障當事人表述自由、通信自由等政治自由。
(二)個人信息的一般保護模式和民法保護模式
目前,各個過節已經充分意識到個人信息保護的必要性,也在一些基本原則上達成了共識。(1)合法合理原則,即個人信息的搜集、處理和使用都必須合法合理;(2)準確性原則,對于個人信息進行處理時,相關人員應確保個人信息的準確性、適當性、完整性以及最新性;(3)目的明確原則;(4)當事人查閱原則,即當事人具有知悉其個人資料是否被處理的權利,同時有權對其個人資料的不準確或非法的部分進行適當的改正和刪除;(5)無歧視原則,即不能因為當事人的種族、膚色、宗教等的差異性而對其個人資料進行自動化處理;(6)安全原則,即應當保證個人資料安全性,防止其丟失和破損。
1.個人信息的一般保護模式
(1)自律主導模式。自律主導模式突出市場的作用,在對個人信息的收集、傳播和存儲過程中,通過契約的方式來約定交易雙方的權利和義務。但是自律主導模式由于缺少對公共秩序的考慮,使得個人信息本人對于特定個人信息使用和處理的同意在法律上是否具有合法性受到質疑。在個人信息保護領域,美國是這種模式的典型代表。美國對此的基本立場是,政府作為國家機關,應該是社會的服務者,政府權力的使用應當審慎,不能過分干預市場,從而為企業發展創造一個相對寬松的環境,但是更深層次的原因則是為了維持其網絡霸權地位和鞏固貿易霸權地位,維護其國家利益。
(2)立法主導模式。與美國不同的是,歐盟在個人信息保護方面采取了立法主導的模式,其深層次原因在于歐洲國家在經歷了兩次世界大戰以后,國家非常重視對公民權利的保護,而且歐洲公民對于政府非常信賴,認為政府是實現社會保護的必要前提。立法主導模式有覆蓋范圍廣、規制程度深、執行機構健全的特點,使得這種立法能夠全面嚴格的保護個人信息。
2.個人信息的民法保護模式
(1)一般保護模式的啟示。自律主導模式和立法主導模式都有各自的優缺點。自律主導模式雖然能夠為企業的發展提供自由的環境,但是卻把個人信息的保護寄托于市場機制下,使得個人信息的保護面臨市場失靈的風險和挑戰,而個人很難真正控制他人對其個人信息的使用,而商家也難以在保護個人信息方面花費很大成本。民法力求通過私法自治實現一種有序的社會狀態,強調主體意思自由應當受到尊重。目前,我國的信息市場還不健全、主體間力量不均衡,也不具備美國那樣完備的隱私立法,況且我國還未建立隱私權制度。綜合考慮以上原因,為了彌補我國在個人信息民法保護方面的不足,我國應該采取統一立法的模式。
(2)我國個人信息的民法保護應注意的問題。我國的信息安全立法正處在不斷發展的過程中,目前還存在著諸多問題,使得距離確保個人信息安全、構筑嚴密的信息安全立法體系還有很大差距。因此,我國在個人信息的民法保護規制的制定方面,應該協調好多社會經濟發展狀況和法律體系的關系,具體做好以下兩個方面:其一,立法規制應與職場自律平衡;其二,個人信息保護與行業發展相平衡。
三、國個人信息民法保護的現狀
目前,我國個人信息的民法保護分散于民法、商法等一些部門法的相關法律規范中,還沒有形成一部統一的、綜合性的、完善的關于個人信息保護的法律,對個人信息的界定不清楚,使得對個人信息的保護相當薄弱,也無法規范政府以及其他組織的行為,而只能寄希望于行業自律,使得對于個人信息的保護處于一種缺乏約束的狀態之下,這也導致了在信息化高度發展的當今社會,公民對于自己個人信息被非法使用的情況毫無知覺,同時行政機關也在對相關人的管理中無故收集、傳遞了很多不必要的信息。因此,為了突破傳統的民法保護,我國亟待建立一套完善的個人信息保護的法律。
四、國個人信息民法保護的立法構想
個人信息保護作為民法的特別領域,適用于民法的一般規定,但是個人信息民法保護也有其特殊性的規定。市場主體強勢與弱勢力量的不均衡是個人信息市場存在的主要問題,因此在我國的個人信息立法中,如何調整這種狀態特別重要。在這方面我國可以借鑒國外的成熟經驗,在保證信息市場發展下實現個人信息不通主體間的平衡。
(一)對個人信息保護的權利義務主體進行規定
對于個人信息權利和義務如何分配,需要法律確定個人信息的相關主體,個人信息本人與其他信息提供者應是授權與使用的關系,信息的持有者可以在信息本人授權的范圍內將個人信息提供給第三人,信息的收集者和使用者可以分為公共部門和非公共部門。公共部門對于信息的收集或者使用必須限制在職權行為或者職權范圍之內,而非公共部門在收集人格信息時則必須在得到相關部門的批準,以保護個人信息的安全性。
(二)明確規定個人信息本人的權利
賦予個人信息本人權利是個人信息民法保護的優秀,也有著積極的意義,各國在個人信息保護立法中也均有相關的規定。個人信息主體的權利涵蓋個人信息的收集、存儲、傳播以及修改等過程,個人信息保護是為了實現保護個人信息與促進信息流通和社會進步的平衡,因此在賦予個人信息本人權利的同時也需要對其權利進行限制,以防止個人依靠個人信息本人的權利來絕對排除他人對其信息的使用。通常情況下,個人信息本人的權利包括以下幾個方面:(1)決定權,決定權是個人信息權利體系的優秀內容和首要權利,其適用對象包括未收集的個人信息和已經被收集的個人信息;(2)查詢權,個人信息查詢權也稱信息知情權,是指本人有權利查詢其個人信息及有關的處理情況;(3)更正權,是指個人信息本人有權要求信息收集者、使用者對個人信息中不正確、不完整或已經過時的信息進行更正或補充;(4)封鎖權,信息本人可以要求其特定信息不得再被大眾或者特定主體查詢或者使用,但是個人信息控制者尚可保有這些記錄;(5)刪除權,個人信息權利人或合法提供者有要求刪除有關資料的權利。
(三)對個人信息收集者和使用者的義務進行規定
僅僅通過賦予個人信息本人權利,在個人信息本人權益保護方面是遠遠不夠的,還需要明確規定個人信息收集者、使用的義務。個人信息的收集者和使用者的義務主要有以下內容:(1)說明與提示義務;(2)合理使用義務;(3)合理的注意義務;(4)侵權發生后的補救義務。
(四)對侵害個人信息的民事責任進行規定
要使個人信息權利人的各項權益能夠實現,我們必須對侵害個人信息的民事責任進行相應的規定。目前,對于侵害個人信息的民事責任的歸責原則,學界普遍認同過錯責任的原則,這一原則能夠在為個人信息產業發展創造寬松環境的同時對個人信息本人的權益進行保護。
五、結論
過去,我國對于個人信息保護的重要性認識不足,使得在信息時代個人信息遭受侵害的現象相當嚴重,然而隨著社會的發展,我國個人信息民法保護已經歷了從無到有,不斷發展的過程。目前,我國個人信息的民法保護既具備理論基礎,又具有現實必要性,立法的時機已經基本成熟,相應的立法程序也已經啟動。在立法過程中我國政府應當借鑒國外經驗,構建起完善的個人信息民法保護制度。
論文摘要 《刑法修正案(七)》增加了侵犯公民個人信息罪,法律屬性決定了公民個人信息的不容侵犯性,是刑法保護公民個人信息的前提。我國公民個人信息刑法保護存在三個方面的問題,罪名的設置有待商榷、“情節嚴重”標準模糊和相關附屬刑法有待完善。我國公民個人信息刑法保護的完善也需要從前述的三個方面著手。
論文關鍵詞 公民個人信息 刑法保護 侵犯公民個人信息罪
公民個人信息是公民社會交往的符號,公民個人信息的保護與公民隱私權的保護是相伴而生的。隨著信息化的發展,許多掌握公民個人信息的行業由于監管失利導致很多信息被泄漏。公民個人信息的泄漏給公民個人及整個社會造成了嚴重的危害,而這種危害已經超過了民事法律規范調整的范圍。我國《刑法修正案(七)》增加了侵犯公民個人信息罪,從而為保護公民個人信息提供了刑法依據。但是侵犯公民個人信息罪在適用中產生了很多問題,本文以此作為寫作目標,展開分析。
一、公民個人信息刑法保護概述
(一)公民個人信息的法律解讀
《中華人民共和國個人信息保護法(專家建議稿)》將個人信息定位為“個人姓名、住址、出生日期、身份證號碼、醫療記錄、認識記錄、照片等單獨或與其他信息對照可以識別特定的個人的信息。”據此,公民個人信息具有社會屬性,但公民個人信息權又屬于公民基本權利,并與人格利益密不可分,因而公民個人信息同時具有法律屬性。而正是基于此,公民個人信息權與公民隱私權密不可分,公民隱私是個人信息中的隱秘信息,因而不被外人所知,公民個人信息成為他人識別公民的重要標志。同時,公民個人信息具有價值特征,因而能夠為掌握個人信息的人帶來經濟利益,而價值特征成為不法分子揭露、出賣公民信息的誘因。可識別性和價值特征決定了公民個人信息被劃分為兩個層次,一是生活狀態下的公民個人信息,另一個是法律權利狀態下的公民個人信息,第一個層次強調公民個人信息在社會交往中的作用,即強調公民個人信息的社會屬性;第二個層次強調公民個人信息在法律上的地位,即強調公民個人信息的法律屬性。因此,法律屬性決定了公民個人信息的不容侵犯性,是刑法保護公民個人信息的前提。
(二)公民個人信息刑法保護的必要性分析
刑法是調整社會關系的最后手段,“刑罰是嚴重損害公民權益的強制方法,”利用刑法保護公民信息具有一定的必要性。首先,從現實層面來講,公民個人信息保護隱患突出。某些行業基于管理或者業務需要掌握著大量的公民個人信息,但受利益驅動,這些行業的從業人員會將自己掌握的個人信息出賣給他人。如此一來,公民個人信息在當今的信息社會便顯得不安全。其次,從立法層面上講,公民個人信息立法應嚴厲化。利用刑法保護公民個人信息具有緊迫性,故意揭露、竊取或者出賣公民個人信息的行為人在主觀上具有惡,這種惡已經超出了民法或者行政法調整的范圍。因而,借助刑法這一嚴厲的調整方法能夠壓制行為人心中的惡,同時風險社會也要求刑事立法具有前瞻性。最后,從公民權利保護角度處罰,借助刑法保護公民個人信息迎合了公民權保障的需要。公民個人信息權是公民權的組成部分,而權利的行使一方面需要恪守法律的現有規定,另一方面權利的行使不以侵犯他人自由為前提。因此,通過刑事手段保護公民個人信息一方面規范公民個人信息權的行使,另一方面對侵犯公民個人信息的行為進行懲治。
二、我國公民個人信息刑法保護存在的問題
(一)罪名的設置有待商榷
由于沒有相關的司法解釋對本罪的罪名進行明確的解釋,導致了基層司法部門在適用本罪時產生了兩種方式:一是將本罪籠統地界定為侵犯公民個人信息罪;二是將本罪拆分為兩個罪名,即竊取、非法獲取公民個人信息罪和出售、非法提供公民個人信息罪。顯然,后一種方式將本罪拆分為兩個罪名,即本罪成為一個選擇性的罪名,行為人實施了侵犯公民個人信息的行為后很有可能按照數罪進行處罰。筆者認為,后一種界定方式不能涵蓋侵犯公民個人信息的全部犯罪行為。本罪存在的另一問題是,將本罪增設在郵政工作人員私自開拆、隱匿、毀棄郵件、電報罪之后會對本罪適用的獨立性造成影響。例如,郵政工作人員私拆信件也會對公民個人信息造成侵犯,將本罪增設在《刑法》第253條之后有重復立法之嫌。
(二)“情節嚴重”標準模糊
侵犯公民個人信息罪使用了“情節嚴重”這一罪量要素,而“情節嚴重”本身具有模糊性,加之沒有相關的司法解釋對侵犯公民個人信息罪的“情節嚴重”進行說明,便造成了“情節嚴重”適用困難。我國有多項罪名使用了“情節嚴重”,而司法機關也出臺了相應的司法解釋對“情節嚴重”進行補充。例如《人民檢察院直接受理立案偵查案件立案標準的規定》對故意泄露國家秘密罪的嚴重情節進行了量化,只要泄露三項以上的國家秘密即構成“情節嚴重。”相比較而言,我國至今還沒有頒布相關的司法解釋對侵犯公民個人信息罪中的“情節嚴重”進行說明。而在這類司法解釋出臺之前,司法機關的工作人員只能根據自己的經驗對“情節嚴重”進行判定,例如從公民個人信息本身的特殊性質判斷是否構成“情節嚴重”,一般而言,公眾人物的個人信息相較于普通民眾而言具有更大的經濟價值。盡管憑借司法經驗對“情節嚴重”進行判斷在一定程度上緩解了“情節嚴重”的適用困難,但是值得一提的是,這種經驗判斷因沒有上升到法律層面而缺乏統一性,從而產生高昂的判斷成本。
(三)相關附屬刑法有待完善
盡管刑法已經增設了侵犯公民個人信息罪,但是公民個人信息保護的廣度和深度仍存在一定的問題,而焦點在于與本罪相關的附屬刑法亟待完善。刑法條文僅對侵犯公民個人信息的行為進行了抽象性的規定,根據行業劃分公民個人信息保護的范圍及標準必然導致公民個人信息保護的不全面性。其他附屬行為在與《刑法》的銜接上仍存在空擋的問題,例如各個銀行對員工保護客戶信息的要求不同,只有銀行業的巨頭才可能細化這種保護標準或者方式(中國工商銀行員工行為準則將保護客戶信息作為員工的一項基本義務)。而在交通、教育、電信等其他行業,也存在類似的問題,在經濟利益的驅使下行業從業人員往往會犧牲公民個人信息的保護而尋求經濟利益的最大化。由于缺乏完善的行業監督立法,與侵犯公民個人信息相關的附屬刑法有待進一步完善。
三、我國公民個人信息刑法保護的完善
(一)罪名設立的明確化
由于侵犯公民個人信息罪能夠包容所有侵犯公民個人信息的行為,因而沒有必要將本罪拆分兩個罪名。同時,為了使得侵犯公民個人信息罪在罪名設置上更加明確化和獨立化,有必要將本罪從第253條中獨立出來,單成一條罪名。同時,本罪明確化和獨立化的前提是公民個人信息權的明確化和獨立化。在增設侵犯公民個人信息罪之前,還沒有一部生效的法律文件將公民個人信息權作為一項獨立的公民權利加以規定。立法對公民個人信息權的“漠視”是公民個人信息刑法保護不力的重要原因。筆者認為,刑法首次以立法的形式保護公民個人信息是立法的一項創舉,但是必須將公民個人信息權獨立化作為今后其他領域立法的重要議題。
(二)增強“情節嚴重”的適用性
侵犯公民個人信息罪危害結果影響的周期是十分漫長的,公民個人信息在被侵犯后,原來的信息主體隨即陷入了一種不穩定狀態,其生活的環境隨時都有可能被侵擾。從這一角度出發,應將侵犯公民個人信息罪作為抽象危險犯進行設置,而不作為實害犯加以規定。盡管這樣做提高了侵犯公民個人信息罪的入罪門檻,但是危險狀態卻可以成為認定本罪犯罪情節的考量因素,對于危險狀態的判斷完全可以憑借正常人的社會經驗。因此,可以使得侵犯公民個人信息罪的認定更為便捷。此外,筆者認為,有必要仿照泄露國家秘密罪的做法,出臺相關的司法解釋對“情節嚴重”進一步細化。
(三)加強公民個人信息的附屬刑法立法
加強公民個人信息的附屬刑法立法建設需要從以下兩個方面入手,首先,需要建立公民個人信息保護的雙軌制立法模式,刑法不會顧及到行業管理的各個方面,因而需要各個行業嚴于律己,制定自己的行業自律標準。“所謂自律,就是作為社會組成的個體要自我約束,自我控制,把個體的所作所為主動地納入誠實守信的道德范疇。”而只有通過刑事立法和行業立法這種雙軌制的立法模式,才能有效保護公民個人信息。其次,需要完善侵犯公民個人信息行政處罰與刑事處罰的銜接,從本質上說侵犯公民個人信息的犯罪行為是行業管理活動中的越軌行為。由于行政機關在處理侵犯公民個人信息的違法行為方面具有一定的優勢地位,因而應充分發揮行政處罰的積極作用,使得公民個人信息行政處罰與刑事處罰順暢銜接。
淺論我國公民個人信息的刑法保護作者:陳靜方
摘 要 《刑法修正案(七)》增加了侵犯公民個人信息罪,法律屬性決定了公民個人信息的不容侵犯性,是刑法保護公民個人信息的前提。我國公民個人信息刑法保護存在三個方面的問題,罪名的設置有待商榷、“情節嚴重”標準模糊和相關附屬刑法有待完善。我國公民個人信息刑法保護的完善也需要從前述的三個方面著手。
關鍵詞 公民個人信息 刑法保護 侵犯公民個人信息罪
公民個人信息是公民社會交往的符號,公民個人信息的保護與公民隱私權的保護是相伴而生的。隨著信息化的發展,許多掌握公民個人信息的行業由于監管失利導致很多信息被泄漏。公民個人信息的泄漏給公民個人及整個社會造成了嚴重的危害,而這種危害已經超過了民事法律規范調整的范圍。我國《刑法修正案(七)》增加了侵犯公民個人信息罪,從而為保護公民個人信息提供了刑法依據。但是侵犯公民個人信息罪在適用中產生了很多問題,本文以此作為寫作目標,展開分析。
一、公民個人信息刑法保護概述
(一)公民個人信息的法律解讀
《中華人民共和國個人信息保護法(專家建議稿)》將個人信息定位為“個人姓名、住址、出生日期、身份證號碼、醫療記錄、認識記錄、照片等單獨或與其他信息對照可以識別特定的個人的信息。”據此,公民個人信息具有社會屬性,但公民個人信息權又屬于公民基本權利,并與人格利益密不可分,因而公民個人信息同時具有法律屬性。而正是基于此,公民個人信息權與公民隱私權密不可分,公民隱私是個人信息中的隱秘信息,因而不被外人所知,公民個人信息成為他人識別公民的重要標志。同時,公民個人信息具有價值特征,因而能夠為掌握個人信息的人帶來經濟利益,而價值特征成為不法分子揭露、出賣公民信息的誘因。可識別性和價值特征決定了公民個人信息被劃分為兩個層次,一是生活狀態下的公民個人信息,另一個是法律權利狀態下的公民個人信息,第一個層次強調公民個人信息在社會交往中的作用,即強調公民個人信息的社會屬性;第二個層次強調公民個人信息在法律上的地位,即強調公民個人信息的法律屬性。因此,法律屬性決定了公民個人信息的不容侵犯性,是刑法保護公民個人信息的前提。
(二)公民個人信息刑法保護的必要性分析
刑法是調整社會關系的最后手段,“刑罰是嚴重損害公民權益的強制方法,”利用刑法保護公民信息具有一定的必要性。首先,從現實層面來講,公民個人信息保護隱患突出。某些行業基于管理或者業務需要掌握著大量的公民個人信息,但受利益驅動,這些行業的從業人員會將自己掌握的個人信息出賣給他人。如此一來,公民個人信息在當今的信息社會便顯得不安全。其次,從立法層面上講,公民個人信息立法應嚴厲化。利用刑法保護公民個人信息具有緊迫性,故意揭露、竊取或者出賣公民個人信息的行為人在主觀上具有惡,這種惡已經超出了民法或者行政法調整的范圍。因而,借助刑法這一嚴厲的調整方法能夠壓制行為人心中的惡,同時風險社會也要求刑事立法具有前瞻性。最后,從公民權利保護角度處罰,借助刑法保護公民個人信息迎合了公民權保障的需要。公民個人信息權是公民權的組成部分,而權利的行使一方面需要恪守法律的現有規定,另一方面權利的行使不以侵犯他人自由為前提。因此,通過刑事手段保護公民個人信息一方面規范公民個人信息權的行使,另一方面對侵犯公民個人信息的行為進行懲治。
二、我國公民個人信息刑法保護存在的問題
(一)罪名的設置有待商榷
由于沒有相關的司法解釋對本罪的罪名進行明確的解釋,導致了基層司法部門在適用本罪時產生了兩種方式:一是將本罪籠統地界定為侵犯公民個人信息罪;二是將本罪拆分為兩個罪名,即竊取、非法獲取公民個人信息罪和出售、非法提供公民個人信息罪。顯然,后一種方式將本罪拆分為兩個罪名,即本罪成為一個選擇性的罪名,行為人實施了侵犯公民個人信息的行為后很有可能按照數罪進行處罰。筆者認為,后一種界定方式不能涵蓋侵犯公民個人信息的全部犯罪行為。本罪存在的另一問題是,將本罪增設在郵政工作人員私自開拆、隱匿、毀棄郵件、電報罪之后會對本罪適用的獨立性造成影響。例如,郵政工作人員私拆信件也會對公民個人信息造成侵犯,將本罪增設在《刑法》第253條之后有重復立法之嫌。
(二)“情節嚴重”標準模糊
侵犯公民個人信息罪使用了“情節嚴重”這一罪量要素,而“情節嚴重”本身具有模糊性,加之沒有相關的司法解釋對侵犯公民個人信息罪的“情節嚴重”進行說明,便造成了“情節嚴重”適用困難。我國有多項罪名使用了“情節嚴重”,而司法機關也出臺了相應的司法解釋對“情節嚴重”進行補充。例如《人民檢察院直接受理立案偵查案件立案標準的規定》對故意泄露國家秘密罪的嚴重情節進行了量化,只要泄露三項以上的國家秘密即構成“情節嚴重。”相比較而言,我國至今還沒有頒布相關的司法解釋對侵犯公民個人信息罪中的“情節嚴重”進行說明。而在這類司法解釋出臺之前,司法機關的工作人員只能根據自己的經驗對“情節嚴重”進行判定,例如從公民個人信息本身的特殊性質判斷是否構成“情節嚴重”,一般而言,公眾人物的個人信息相較于普通民眾而言具有更大的經濟價值。盡管憑借司法經驗對“情節嚴重”進行判斷在一定程度上緩解了“情節嚴重”的適用困難,但是值得一提的是,這種經驗判斷因沒有上升到法律層面而缺乏統一性,從而產生高昂的判斷成本。
(三)相關附屬刑法有待完善
盡管刑法已經增設了侵犯公民個人信息罪,但是公民個人信息保護的廣度和深度仍存在一定的問題,而焦點在于與本罪相關的附屬刑法亟待完善。刑法條文僅對侵犯公民個人信息的行為進行了抽象性的規定,根據行業劃分公民個人信息保護的范圍及標準必然導致公民個人信息保護的不全面性。其他附屬行為在與《刑法》的銜接上仍存在空擋的問題,例如各個銀行對員工保護客戶信息的要求不同,只有銀行業的巨頭才可能細化這種保護標準或者方式(中國工商銀行員工行為準則將保護客戶信息作為員工的一項基本義務)。而在交通、教育、電信等其他行業,也存在類似的問題,在經濟利益的驅使下行業從業人員往往會犧牲公民個人信息的保護而尋求經濟利益的最大化。由于缺乏完善的行業監督立法,與侵犯公民個人信息相關的附屬刑法有待進一步完善。
三、我國公民個人信息刑法保護的完善
(一)罪名設立的明確化
由于侵犯公民個人信息罪能夠包容所有侵犯公民個人信息的行為,因而沒有必要將本罪拆分兩個罪名。同時,為了使得侵犯公民個人信息罪在罪名設置上更加明確化和獨立化,有必要將本罪從第253條中獨立出來,單成一條罪名。同時,本罪明確化和獨立化的前提是公民個人信息權的明確化和獨立化。在增設侵犯公民個人信息罪之前,還沒有一部生效的法律文件將公民個人信息權作為一項獨立的公民權利加以規定。立法對公民個人信息權的
“漠視”是公民個人信息刑法保護不力的重要原因。筆者認為,刑法首次以立法的形式保護公民個人信息是立法的一項創舉,但是必須將公民個人信息權獨立化作為今后其他領域立法的重要議題。
(二)增強“情節嚴重”的適用性
侵犯公民個人信息罪危害結果影響的周期是十分漫長的,公民個人信息在被侵犯后,原來的信息主體隨即陷入了一種不穩定狀態,其生活的環境隨時都有可能被侵擾。從這一角度出發,應將侵犯公民個人信息罪作為抽象危險犯進行設置,而不作為實害犯加以規定。盡管這樣做提高了侵犯公民個人信息罪的入罪門檻,但是危險狀態卻可以成為認定本罪犯罪情節的考量因素,對于危險狀態的判斷完全可以憑借正常人的社會經驗。因此,可以使得侵犯公民個人信息罪的認定更為便捷。此外,筆者認為,有必要仿照泄露國家秘密罪的做法,出臺相關的司法解釋對“情節嚴重”進一步細化。
(三)加強公民個人信息的附屬刑法立法
加強公民個人信息的附屬刑法立法建設需要從以下兩個方面入手,首先,需要建立公民個人信息保護的雙軌制立法模式,刑法不會顧及到行業管理的各個方面,因而需要各個行業嚴于律己,制定自己的行業自律標準。“所謂自律,就是作為社會組成的個體要自我約束,自我控制,把個體的所作所為主動地納入誠實守信的道德范疇。”而只有通過刑事立法和行業立法這種雙軌制的立法模式,才能有效保護公民個人信息。其次,需要完善侵犯公民個人信息行政處罰與刑事處罰的銜接,從本質上說侵犯公民個人信息的犯罪行為是行業管理活動中的越軌行為。由于行政機關在處理侵犯公民個人信息的違法行為方面具有一定的優勢地位,因而應充分發揮行政處罰的積極作用,使得公民個人信息行政處罰與刑事處罰順暢銜接。
