光明日报 近年来,公民个人信息遭泄露的事件频频发生,给许多人的生活造成严重困扰。立法保护公民个人信息刻不容缓。目前,世界上已经有50多个国家制定了个人信息法体系,例如美国的《隐私法》、《电子通信隐私法》、《互联网保护个人隐私的政策》,欧盟的《关于保护自动化处理过程中个人数据的条例》,经合组织的《关于保护隐私和个人数据跨国流通指南》,日本的《个人信息保护法》等。我国目前针对个人信息的法律法规并不少,有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定、医疗信息规定、个人信用管理办法等,但是相关保护条款内容不集中、阐述不清晰、适用不明确、范围受局限、处罚不具体,因而可操作性差。2009年,《刑法修正案(七)》确定了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”罪名,首次将公民个人信息纳入刑法保护范畴,规定要追究泄露、窃取和售卖公民个人信息行为的刑事责任。但对哪些信息属于“公民个人信息”,什么是“非法获取”,何种情形构成“情节严重”等,仍旧没有作出明确规定。因此,应当通过立法对我国的个人信息保护法律制度进行完善。 合理选择个人信息保护的立法模式 我国目前尚未出台对个人信息进行保护的专门立法。大家对于个人信息应通过专门的立法进行保护已经取得了相当的共识,但对于应采用哪种立法模式这一问题,还没有达成一致意见。由于英美法系国家多将个人信息保护纳入隐私权保护,大陆法系国家则多采用一般人格权理论对个人信息加以保护,因此,在立法模式上存在着以欧洲大陆法系为代表的统一立法模式和以美国为代表的英美法系的分散立法模式。两者的关键不同点在于,是否将公共部门和私营机构收集、储存和处理个人信息的行为放在一部法律文件内进行调整。分散立法模式对个人隐私权的法律保护主要划分为公、私两个领域,分别采用不同的保护方式:在私人领域,主要通过从业者的自我约束和相关协会的监督管理来保护公民的个人隐私安全;在公共领域,则制定大量的单行法规来规范政府行为,保护公民隐私权。这种立法模式通过分散立法的方式对不同领域的隐私权采用不同的保护方式,有效避免了国家立法对个人信息正常流动的过早干预,但是缺乏合理的争端解决机制,行业自律在实践中的效果不佳。统一立法模式就是主要通过国家综合立法来确立个人信息保护的原则、具体制度和措施。综合立法个人信息保护模式使得对个人信息的保护更加详尽、具体,但这种保护模式法律规定不够灵活,相对于迅速变化发展的个人信息有一定的滞后性。不论是统一立法模式还是分散立法模式,都有其合理的地方。但比较好的选择是分别吸取其有益的经验,并结合本国的国情作出具体的制度设计。基于此种考虑,我们认为我国宜采用行业自律与立法规制相结合、综合立法占主导地位的个人信息法律保护模式。这种保护模式要求:首先,制定《个人信息保护法》作为个人信息保护基本法,在其中规定国家、公共团体和私营组织有关个人信息的行为规范,制定完善的法律措施来界定信息自由流动的底线,并以此作为个人信息使用的最基本的行为准则;其次,制定相关单行法作为个人信息保护辅助立法,在其中设定行业自律性规范或要求个人信息控制人作出单方承诺,在整个社会中倡导行业自律的重要性。个人信息保护需要的不仅是一部宏观意义上的“母法”,更要求构建起一个微观性的法律法规体系,只有这样,才能为公民个人信息权提供全面而细致入微的法律保障。 确定个人信息保护的法律理念 在立法理念上,经合组织的《关于保护隐私和个人数据跨国流通指南》和亚太经合组织的《亚太经合组织隐私权保护框架》确立了个人信息保护的一些原则性规定,成为相关国家和地区个人信息保护立法的基本理念。在此基础上,美国将保护网络隐私权作为一项基本理念提出。欧盟又在《欧盟数据保护指令》中提出了对数据和隐私保护的基本理念。笔者认为,个人信息保护立法的基本理念至少应当包括如下几个方面:一是应当进行利益比较。法律在多种利益主体之间进行利益分配时应对各种利益进行比较而作出均衡取舍,就是利益比较。个人信息保护法的利益比较,就是要在保护个人信息隐私的同时,也应该能增进社会安定、经济发展与信息的自由流动。二是限制收集个人信息。为了对个人信息的有效保护,限制收集要求除非法律允许或授权,或者取得信息主体的同意,否则不得收集、处理、利用个人信息。也就是说个人信息原则上应该直接向本人收集,只有本人才有权决定是否提供其个人信息。三是个人信息利用必须诚信。对个人信息收集、利用目的必须非常明确,并必须根据诚实信用的基本原则在明确的利用目的范围内处理个人信息,严加限制对第三人转移相关个人信息。这要求信息控制人收集和利用个人信息的主体资格必须取得相关有权机构的许可。四是个人信息收集必须全程公开。全程公开并非指个人信息内容公开,而是要求对个人信息的收集、存储、处理、利用和转移等过程一般应保持公开,本人有权知悉个人信息的收集与利用情况。五是增进个人信息合理流通。在信息化社会,信息流动处于重要的地位。法律必须在确认个人信息权益的同时,体现和保障更多人的更多信息获取自由,否则其正当性就值得怀疑。因此,法律必须在利益比较的前提下,增进个人信息合理流通,对个人信息权益保护予以适当的限制,包括法律基于效率、社会及他人利益的维护和当事人自身利益而增进个人信息在一定范围内的合理流通。 完善个人信息法律的核心内容 在明确了我国进行个人信息保护立法的模式选择和个人信息保护立法所应当遵循的基本理念的基础上,笔者认为,我国的个人信息保护立法的核心内容至少有以下几个方面: 第一,合理界定个人信息的范围。个人信息保护立法首先面临着信息种类和范围的界定。个人信息是一个不周延的概念。从世界各国立法情况来看,对个人信息的称谓并不一致,有的采用“个人资料”,有的采用“个人隐私”。从宏观上讲,凡一切与公民个人相关的资讯都应属于个人信息,但对于立法而言,只能将其中的部分信息纳入保护范围。笔者认为可以借鉴欧盟1995年《数据保护指令》的规定,为受法律保护的个人信息设置具体的标准,把与一个身份已被识别或者可被识别的自然人相关的任何信息界定为个人信息,而不是排列出个人信息的具体类别,这样更便于法律的灵活适用。 第二,明确个人信息法律保护的内容。个人信息法律保护的内容主要是关于个人信息持有人或使用人的权利义务体系,应当包括两个部分:一是特定领域内被允许合理使用个人信息的人的权利义务。这部分信息持有者对这些个人信息的持有是合理、合法的,他们在使用这些个人信息的时候必须承担相应的义务来确保这些信息的安全,否则就要承担相应的法律责任。二是持有不能被他人知晓的个人信息的人的权利义务,例如医生由于职业原因知晓病人的个人信息等,这类人在知晓这些信息之后也必须保证这些个人信息的安全。 第三,规定个人信息保护的事前监管机制。通过立法统一规范个人信息收集、处理和利用程序,具体设定国家公权力的相关监管职责,明确违背职责和保密义务的各种具体法律后果,防止对公民个人信息不必要的采集和使用行为,最大限度地减小公民个人信息被泄露、盗取的可能。对于什么机构、什么情况下可以收集哪些公民个人信息,立法应该作出详细规定,任何单位或个人收集和使用公民个人信息都应该事先报法定的监管部门批准,从源头上断绝个人信息被非法获取、使用的可能。 第四,完善个人信息保护的事后救济制度。法律必须对个人信息提供周全的保护,既要提供事前防范机制也要提供事后救济制度。笔者认为,个人信息保护立法除了规定通常的最终司法救济制度之外,还可以在行政制度方面设立类似韩国个人信息调解委员会或者澳大利亚隐私专员这样专门处理申诉、投诉的机构,规定具体的申诉、投诉程序,接受公民个人信息权利侵害的申诉和投诉。这样可以从行政和司法两个层面对公民个人信息权利受到的侵害进行法律救济,便于公民在进行法律救济的时候选择更方便于自己的途径。(张 林) (作者单位:华中科技大学法学院) |