时间:2022-09-23 00:40:21
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇个人信息保护论文范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
内容提要:行政主体收集、处理和利用个人信息是一种行政事实行为。我国应尽快制定个人信息保护法,明确信息主体有权要求行政机关不能随意处理个人信息,公开对其个人信息的收集和利用,规定个人信息保护的范围、原则、监督和救济制度。利益衡量是目前协调个人信息保护与行政信息公开的适当方法。
随着行政权的扩张和行政活动的日益复杂,行政机关通过各种行政活动收集、处理和利用着大量的个人信息,同时也对个人信息构成了极大的威胁。传统行政信息公开制度的建构只是通过信息公开法中的例外规定来实现对个人信息的保护,忽视了行政机关对个人信息的侵犯。依据联合国指南规定的“不得用非法或者不合理的方法收集、处理个人信息,也不得以与联合国的目的和原则相违背的目的利用个人信息”,我国对个人信息的保护制度应当顺应历史潮流作适当调整。
一、行政主体收集、处理和利用个人信息的要件
个人信息是可以识别本人的一切信息的总和。作为管理的基础、决策的依据,个人信息是政府活动不可或缺的重要资源。行政机关收集、处理和利用个人信息在行政活动中是非常必要的。行政主体对个人信息的收集、处理和利用是行政事实行为。它是行政主体基于职权而实施的,是运用行政权力的结果。由于对个人信息的收集、处理和利用不能产生、变更和消灭行政法律关系,因此它不是行政行为。但是行政主体收集、处理和利用个人信息时仍然要遵循一定的规则,符合特定的条件。
(一)有法律依据行政主体收集、处理和利用个人信息是行政事实行为,从较抽象的角度来讲,任何公权力都应以追求公共利益为其目的,如果一个公权力行为不以公共利益为目的,则该行为就失去了正当性基础。公益是行政作用所无法免于考虑的,国家机关之作为倘若背离公益,将失去其正当性。[1]而判断行政机关的行为是否符合公共利益,就在于行政机关的行为是否符合宪法和法律。例如,《城市居民最低生活保障条例》第7条第2款规定,县级人民政府民政部门以及街道办事处和镇人民政府,为审批城市居民最低生活保障待遇的需要,可以通过入户调查、邻里访问以及信函索证等各种方式对申请人的家庭经济状况和实际生活水平进行调查核实。申请人及有关单位、组织或者个人都应当接受调查,如实提供有关情况。在此,行政法规授权县级人民政府民政部门、街道办事处和镇人民政府,对城市低保申请人有关经济状况和生活水平的个人信息进行收集,以保证履行好行政给付职责,保障城市居民基本生活。
(二)特定的职责事务或特定的社会公共事务管理的目的
《突发公共卫生事件应急条例》第39条第1款规定,医疗卫生机构应当对因突发事件致病的人员提供医疗救护和现场救援,对就诊病人必须接诊治疗,并书写详细、完整的病历记录,对需要转送的病人,应当按照规定将病人及其病历记录的复印件转送至接诊的或者指定的医疗机构。此时,行政法授权医疗卫生机构收集患者和疑似病人的健康状况的个人信息,从而能及时地救治病人,有效地控制和消除突发公共事件的危害,保障公众身体健康和生命安全,履行好维护正常社会秩序的行政职责。特定目的要件蕴含着比例原则的要求。比例原则是大陆法系限制自由裁量权的重要理论。按照一般的理解,比例原则要求手段和目的的协调,严格禁止一切为达成目的不择手段的国家行为。[2]比例原则要求行政机关实施行政行为时,在实现某一目的的各种不同方法中应运用其中最适当的方法;在不违背或减弱所追求目的的效果的前提下,应尽可能地选择对相对人造成损害最小的方法;行政机关对公民个人利益的干预不得超过实现行政目的所追求的公共利益,两者之间必须符合比例或者相称。尽管行政主体收集、处理和利用个人信息有法律的授权,但是法律对行政主体收集、处理和利用个人信息的范围、条件、程序等方面的规定往往不明确、具体,行政主体在遵守行政法规范的同时也就具有了一定的选择、裁量的余地。根据比例原则,行政主体为履行特定行政职责而依法收集、处理和利用个人信息时,只能收集履行行政职责的特定目的范围内的个人信息,不能收集其他不相关的个人信息,不能对收集的个人信息进行特定目的之外的处理和利用。
(三)告知或经个人信息主体的同意
美国隐私权法规定了禁止公开的原则,规定行政机关在公开个人的记录以前必须首先通知被记录的人,征求他的意见,在没有取得个人的书面同意以前不能公开关于他的记录。有学者认为国家机关的管理性收集行为必须通知个人信息主体,国家机关的服务性收集行为则必须经过资料本人的同意。[3]该观点认为管理性的收集行为是国家机关履行职责的需要,相对人只有配合的义务而无拒绝的权利,国家行政机关只须履行告知程序即可,包括事前告知和事后告知。行政机关的服务性收集更多地是为私人主体的利益,与公共利益关系不大,应遵循意思自治原则,要有信息主体的同意才能进行。由于收集、处理和利用个人信息对信息主体个人权益关系重大,信息主体的同意原则上应以书面形式作出,以满足保存和举证的需要。同时,也应允许特殊情况下非书面的形式。如紧急情况下进行个人信息收集时,可以是口头同意,事后再补做书面同意。
(四)保证个人信息的正确、完整、最新、安全和隐秘
个人信息反映信息主体的人格形象,不正确、不完整和不时新的个人信息将影响行政决定的正确性和合理性。因此,行政机关在对任何人作决定时,其所运用的档案的记录,均应保持正确、完整及最新,以使其在作出决定之时,能合理保证对该个人具有相当的公正性。此外,行政机关应当采取适当的行政性、技术性及物理性保障措施,保障记录的安全与保密,防止可能对记录的安全与完整造成的任何潜在的威胁与损害,因为,这些威胁或损害可能会对记录所涉及的个人造成实质性危害、妨碍、不便或不公正影响。
二、建立我国个人信息的行政法保护制度
(一)制定个人信息保护法是当务之急
行政信息公开法、个人信息保护法和行政程序法是构成行政信息公开制度的主要法律。[4]行政信息公开法适用于全部政府信息,而个人信息保护法只适用于个人信息。信息公开是对社会公众的公开,而个人信息保护法中的个人信息仅对信息主体公开,对社会公众则是限制公开。所以,从行政机关将所持有的个人信息对信息主体公开这个角度来说,个人信息保护法属于行政公开法律范畴。同时,行政机关收集、处理和利用个人信息的整个程序不仅向信息主体而且也向社会公众公开。传统的行政信息公开制度在建构上,对个人信息权的保护是作为行政信息公开的例外存在的,侧重于从保护个人信息权不被行政机关以外的主体侵犯的角度来规定个人信息不予以公开。随着行政权的扩张和行政活动的日趋复杂,行政机关对个人活动的控制范围和对个人提供服务的范围都达到了前所未有的程度。行政机关通过各种行政活动收集了大量的个人信息,特别是随着信息技术的发展,行政机关收集、处理和利用个人信息的能力更是空前提高,行政活动对个人信息权已构成极大的威胁。传统的行政信息公开制度由于忽视行政机关对个人信息的侵犯而需要调整。信息主体有权要求行政机关不能随意处理个人信息,并要求公开对其个人信息的收集和利用。行政机关处理个人信息的整个程序应该向社会公开。信息技术的发展提高了行政机关行政信息处理的效率,同时也对行政机关的行政信息公开提出了更高的要求。对个人信息的保护也由信息公开法中的例外规定发展为个人信息保护的专项立法。可见,制定个人信息保护法是解决行政信息公开与个人信息权之间的矛盾、完善行政信息公开制度的重要途径。
(二)个人信息保护与行政信息公开的协调
尽管行政信息公开法和个人信息保护法都属于行政信息公开法律的范畴。但是,知情权与个人信息权的对立是不可避免的,两者构成一对矛盾。如何处理它们之间的关系成为必须解决的实际问题。
利益衡量的方法不失为解决个人信息权与知情权的冲突的明智之举。协调两种权利的冲突就必须解决好不同利益之间的关系,即在公众的了解利益和个人信息的人格利益之间进行取舍。适用利益衡量方法的前提是两种利益互为矛盾,其中一方面利益的实现可能导致另一方面利益的减损。利益衡量的方法通过对两种利益的估量和平衡,选择价值更高的利益。如果公众的了解利益比个人信息之上的人格利益明显重要,则行政机关就应该公开其掌握的个人信息,反之则不予公开。根据个别比较衡量论,当个人信息权与知情权两种价值发生冲突时,依据具体个案,分析公民了解的利益和个人信息之上的人格利益所受到的损害,将二者衡量比较,当保护前者利益较大时承认公民的知情权;当保护后者所获利益较大时尊重个人信息权。个别比较平衡论中标准的随意性过大而显不足。界限确定衡量论认为,知情权是绝对价值,保障公民对国家政治信息的知情权占首要地位;而其他人权是相对价值,其自由可以在一定程度上予以限制。[5]该理论是基于对权利本质的分析。从权利本质上看,个人信息权是一项民事权利,它通过赋予信息主体支配与控制其个人信息的权利来保护信息主体存之于个人信息上的人格利益。知情权主要是一种政治权利和社会权利,与行政信息公开制度相关的知情权更表现出政治权利的属性。在现代社会,随着民主政治的发展,公民对政治的参与度日益提高,知情权所体现的是公益性,它要求整个社会更加透明和开放,要求人们能有更多的机会了解和参与政治,而个人信息权具有个人性,与公共利益无关。因此,在知情权与个人信息权的对抗中,由于前者代表了社会公共利益、体现了更高的利益价值而占据上风。当某项个人信息涉及到公共利益时,对个人信息权进行限制、将个人信息予以公开则成为必然。当然,对公民知情权的优先考虑并不意味着漠视个人信息权。当个人信息的公开纯属满足个人的需要而与公共利益无关时,应该适当保护个人信息权而牺牲知情权。
三)通过立法完善我国的个人信息保护制度
美国将个人信息划分为公共领域和非公共领域分别进行保护,公共领域的立法主要是规制政府收集、处理和利用个人信息的行为,防止政府对个人信息隐私权的侵犯;在非公共领域,各行业和领域中的个人信息分别由不同的联邦法规通过普通法和侵权行为法予以保护,同时以建议性的行业指引、网络隐私认证计划、技术保护等行业自律形式增强个人信息保护的针对性。[6]这种模式尽管有其优点,但存在不足:分散立法易导致欠缺整体规划,法治不统一,司法不协调;行业规范缺乏国家强制力的保障,实施效果不理想;普遍性不足,很多企业游离于行业规范之外;投诉和争端解决机制不完善。同时,美国的行业自律是建立在行业组织高度发达且与政府互动明显的基础上。我国显无这一基础,故行业自律模式不符我国国情。多数欧洲国家则认为尽管政府机关收集、处理和利用个人信息时与非政府机关存在一些不同的行为规则,但是仍存在许多共性,而且公私领域在保护个人信息权的价值目标上是一致的,也都遵循同样的基本原则,因此通过制定专门的个人信息保护的单行法,对公、私领域中的个人信息保护进行统一规范。结合我国的法律体制和法律传统,我国的个人信息保护应借鉴欧洲国家的立法模式,进行统一规范、统一立法,主要内容应包括个人信息的一般规定,个人信息保护的基本原则,国家机关、非国家机关对个人信息的收集、处理和利用,以及监督和救济等方面。尤其应该注意以下问题:
1.个人信息保护的范围
法律保护的范围应及于一切个人信息。在过去手工收集和处理个人信息的技术条件下,个人信息受到的威胁并不突出。随着计算机技术的发展和互联网技术的应用,这种威胁已变得十分现实和严重。因此,不少有关个人信息保护的立法仅对电脑处理的个人信息进行规范,如美国、英国、日本、我国台湾地区等。而一些国家的立法则对自动化处理与人工处理的个人信息进行同时规范,如德国、荷兰等。笔者认为,尽管电脑处理的个人信息更容易受到侵害,但不能因此而忽视人工处理和半自动系统处理的个人信息。个人信息立法应给以个人信息全面保护。
2.个人信息保护的基本原则
我国的个人信息保护法也应明确规定个人信息保护的基本原则,作为个人信息保护法的指导思想,同时也用来弥补具体规则的不足。借鉴国际立法经验,个人信息保护法总体上应体现合法兼正当的原则,具体应规定以下原则:
(1)合法原则。行政主体行为的目的、方式、程序、内容均不能违反法律的规定。
(2)直接收集原则。个人信息的收集,原则上应该直接向信息主体收集。现代信息技术使得对个人信息的收集具有隐蔽性,该原则有利于实现信息主体对其个人信息的直接支配和控制。这是个人信息决定权的要求,同时也有利于信息主体获得知悉权。
(3)目的明确原则。个人信息在收集时必须有明确的目的,禁止超出目的范围而收集、处理和利用个人信息。对于行政机关来说,必须在行使行政职权、履行行政职责所需的目的范围内收集、处理和利用个人信息。行政机关应告知信息主体信息收集的目的。
(4)公开原则。一般应对个人信息的收集、处理和利用保持公开,使信息主体了解其个人信息被收集、处理和利用的情况。当然,“公开”并非指将个人信息的内容向公众公开,而是指将个人信息的收集、处理和利用的情况向信息主体公开,否则将违背个人信息保护的目的。
(5)完整正确原则。信息处理主体应保持所持有的个人信息的完整、准确和时新,信息主体对错误、有瑕疵的个人信息有要求更正的权利。当然,信息主体的更正权仅在于维护其个人信息的正确、完整与时新,其行使更正权的程序与内容应当受到适当的限制。
(6)安全原则。行政主体应采取安全保护措施,防止个人信息泄露、灭失和不正当使用。
3.个人信息保护的监督机关
个人信息保护监督机关的设置有独立的监督机关和原行政机关自行监督两种情形。法律授权的独立监督机构固然有利于个人信息保护监督职责的履行,但设置新的机构涉及机构和人员的编制,需要必须的工作条件和经费,这显然不符合机构精简的原则,与我国行政管理体制改革的方向不符。而由原行政机关自行监督,属于行为主体自己行为自己监督,其不足亦是显而易见的。为解决这一问题,可以立足于我国现有的行政复议制度,把行政复议机关作为个人信息保护监督机关,赋予其相应的职权。行政复议本身具有监督行政的属性,行政复议机关一般是作为被申请人的行政机关的上一级机关或所属的一级政府,行政复议机关与作为被申请人的行政机关是一种领导与被领导的关系,或者是业务指导、主管的关系。因此,由信息处理主体的行政复议机关进行个人信息保护的监督,比信息处理主体的自行监督会有更好的效果。依《行政复议法》的规定,由行政复议机关的内部机构履行复议职责。而实践中,一级政府和政府工作部门分别由其法制部门和内部的法制机构具体履行复议职责。复议机构工作人员的相对专业性和专职性也有利于其胜任个人信息保护的监督工作。结合各国个人信息保护法的规定,我国个人信息保护监督机关的职责应包括以下内容:对个人信息保护法的执行进行一般性监督;进行个人信息保护的研究和咨询;并定期提交工作报告。
4.对信息主体的救济
“无救济则无权利”。要使信息主体的合法权利切实得到维护,则个人信息保护法中应明确对信息主体的救济。例如,应当明确规定,信息主体公开、修改其个人信息的请求遭到行政主体的拒绝时,可以申请行政复议。行政复议机关未予以处理或者对行政复议的结果不服时,信息主体还可以提起行政诉讼。《行政复议法》和《行政诉讼法》都将受理案件的范围限定于行政主体的具体行政行为。《行政复议法》第6条列举了可以申请行政复议的案件。其中第9项和第10项规定,相对人申请行政机关履行保护人身权利、财产权利、受教育权利的法定职责,行政机关没有依法履行的以及相对人认为行政机关的其他具体行政行为侵犯其它合法权益的。《行政诉讼法》第11条也对受案范围进行了规定。其中第1款第5项和第8项规定,相对人申请行政机关履行保护人身权、财产权的法定职责,行政机关拒绝履行或者不予答复的以及认为行政机关侵犯其他人身权、财产权的。第2款规定,除前款规定外,人民法院受理法律、法规规定可以提讼的其他行政案件。行政主体对信息主体的公开申请、修改申请拒绝或不予答复时,信息主体的个人信息权将受到影响,行政主体的拒绝决定属于具体行政行为,不予答复属于行政不作为。因此,依据我国现有的行政复议制度和行政诉讼制度,信息主体可以获得救济。个人信息保护法应规定信息主体因行政主体违法收集、处理和利用个人信息的行为遭受损害的,给予行政赔偿。
注释:
[1]城仲模:《行政法之一般法律原则》(二),三民书局1999年版,第167页。
[2]肖金明:《原则与制度———比较行政法的角度》,山东大学出版社2004年版,第185页。时,可以是口头同意,事后再补做书面同意。
[3]齐爱民:《个人资料保护法原理及其跨国流通法律问题研究》,武汉大学出版社2004年版,第80页。
[4]张明杰:《开放的政府———政府信息公开法律制度研究》,中国政法大学出版社2003年版,第17页。
论文关键词 个人信息 保护模式 行政法 结构调整 细化分析
我国政府在布置行政活动过程中,经常利用各类人员信息进行线索搜集,这已经造成个人隐私权力的全面限制结果。依照过往行政信息公开标准进行探析,大部分活动也只是利用公开法范围外部标准进行特定资料管理,涉及侵权行为大多数是不予理睬的。联合国早已明文规定,任何部门不得以任何理由处理公民个人信息,尤其是在违背当事人动机需求前提下。因此,我国也必须针对这一归控制度进行适当的结构调整、规范,避免越界操作行为的滋生、扩散现象。
一、 行政管理主体依法处理个人信息的前提条件论述
所谓的个人信息内容其实就是能够识别特定人员任何特征的线索资料,联合管理、决策指标进行透析,这部分隐私内容已经成为政府活动必不可少的支撑媒介。不可否认,行政机关在特殊情况下实施个人信息收集、整编是不可避免的,这是职务特征决定的事实。这种行为需要联合行政职权作为依托要素,并结合实际权力进行补充。因为针对这部分内容进行利用不可与行政法律产生关联,可以明确的断定,这类行为的确超出行政行为的界定范围。但如若处理过程中遵守必要规则,符合人员需求标准,就基本可以构成默认处置渠道。
(一) 法律依据的支持
尽管上述言辞有所犀利,但是针对中国特色社会主体框架来讲,行政管理部门在规整个人信息过程中基本依照行政规则进行谨慎处理。根据抽象思维判断,公民核心权力其实是围绕公共利益行使的,一旦说任何权力基础超出公共利益的规范界限,则此类行为就自然失去正当性维系优势。公益内涵目前已经成为行政疏通过程中不可回避的要点,国家监管单位如若对公益理念视若无睹,同样不能贯彻任何正当存在的价值意义。在断定行政机关行为能否满足公益标准环节中,要跟随行政机关主体进行宪法标准对比、验证。
(二) 特定职务规划的动机形态论述
单纯凭借医疗卫生单位收集患者健康资料的行为进行论述,因为相关细节掌握得足够及时,才能将公共事件危害状况揭示完全,最终保障公民的生命健康安全权力,维持行政职责的贯彻成果。所以,关于某种特定目的,其实就是联合原则比例进行偏移情势探测,这种比例探析手段属于我国大陆地区实施自由限量权政策的必要基础。联合大众视角审视,这种比例、目的之间的角逐,会针对任何不责手段的国家越权行为进行监察。此类原则标准主张管制主体在施展行政管理动作过程中,要配合多种调试途径进行客观鉴定,尽量在迎合单位公民需求标准的基础上,进行后期损害效应最轻的方案选取;关于公民主体利益的干涉作用要谨遵对待,进而保证分散元素的交接比例能够满足相称指标。虽然管制部门在进行个人信息法律授权基础上实施特定处理行为,但是法律毕竟无法照顾到任何细小动作,因此行政主体自身便拥有着适当的裁量空间。联合比例规划标准验证,行政管制人员履行必要干涉职责行为中,只能针对事先规定的范围进行搜索,至于任何不相关内容都不能轻易挖掘、触碰。
(三)告知个人信息主体相关处理细节
西方先进隐私权利保护法则规定:行政单位在进行公民个人信息公开化处理前期需要及时告知被探测主体,并取得其同意方可布置以下内容;如若对方并未做出任何回应举动,便不能公开任何记录资料。部分学术人员认为国家机关在实施管理性收集策略环节中应该遵守这一准则。因为任何管理行为都是归控机关履行内部职责的重要途径,相对人其实只能遵照义务标准尽量配合,实际并无回绝余地可言,行政部门在开展这部分告知程序环节中,可具体联合事前、事后两类途径掘进。管制主体在开发服务性信息收集工作中,大部分是迎合被测验主体利益,因此单位自制原则要得到主体认证才会生效。因为个人信息利用直接关乎特定主体的权益优势,因此在承接同意报告上要尽量运用书面资料作为凭证,进而为后期保存、举证提供适用渠道;另外,在特殊情况下可以适当放宽政策,允许非书面形式的介入,包括事态紧急状况下,采取口头应答与适当的拖延行为是可以的。
(四)稳固个人信息的安全性、隐秘性地位
个人信息是反映主体性格、形象最为有力的依据,如若处理过程中产生任何遗漏现象都多少会制约行政决策的科学性地位。所以,行政管制主体在实施任何决策时,其具体应用的档案资料必须要维持最新、最完整的状态,保证后期做出决定时能够具备必要的公正性特征。另外,行政机关在规划保障措施时,需要配合技术、物理元素进行有机整合,保障记录结果的安全、隐秘特征,规避任何安全隐患滋生。这样的危害将给个人学习、生活带来一切不变后果,因此斟酌处理绝不是空穴来潮之举。
二、 涉及我国个人信息行政法管理制度的建设细节解析
[论文关键词]个人信息;个人信息权;归责原则;损害赔偿
一、个人信息概述
(一)个人信息的概念
个人信息,又称“个人资料”或“个人数据”,指一切与个人有关的信息。依我国现行规定,个人信息属于隐私权的内容,对个人信息的侵害视为侵害隐私权。该规定存在不足,隐私权内容包括私人信息、私人生活和私人领域,这里的私人信息是狭义上的、仅指涉及隐私利益的,而我们通常所说的个人信息是广义上的。个人信息与隐私是交叉关系,隐私权制度不足以保护个人信息,我们应从广义的角度理解个人信息的概念。
对个人信息的定义有两种方法:一是概括主义的方式,如Wack教授认为,“个人信息是由那些与个人有关的、有理由期待信息主体认为是秘密的或敏感的,因此想要阻止或至少限制他人收集、处理或传播的事实、信息或观点组成的。”二是列举加概括主义的方式,如周汉华教授主持的《中华人民共和国个人信息保护法(专家建议稿)》规定,“个人信息是指个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可以识别的个人的信息。” 本文赞同第二种方法,所谓个人信息,是指自然人的姓名、住址、出生日期、身份证号码、联系方式、学历、职业等单独或者与其他资料相结合能够将本人识别出来的,本人不愿为不特定人所获知的个人资料。
(二)个人信息的特征
由个人信息的定义,可以看出其具有以下特征:
第一,主体是自然人。个人信息涉及人格尊严与人格发展,其主体限于自然人。胎儿、死者和法人是否能成为个人信息的主体?本文持否定态度。就胎儿而言,在其出生之前可视为母亲的个人信息受到侵害。就死者而言,其固然享有个人信息,但死者基于其个人信息而享有的权利因其死亡而消灭。死者的人格利益由其近亲属予以保护,财产利益归属于其继承人。就法人而言,其也有自己的信息,但是法人的信息更多地体现在商业利益上,如商业秘密。
第二,个人信息具有可识别性。所谓识别性,即个人信息本身“存在着某一个客观之确定可能性”或“任何人可以从知悉资料本身进而确定某关系人或事”之意义。识别性与信息消除认识不确定性的功能紧密联系在一起。由于个人信息具有可识别性,因此,他人可通过直接或间接的方式来识别特定的信息主体。
第三,个人信息具有无形性。信息的无形性并非仅仅意指信息的看不见、摸不着和无从掌控,而同时意指信息本身是一系列的符号系统,通过资料或数据的形式能够通过编码和媒介再现,能够为人们所识别。个人信息有部分是外在的,如身高、性别等;有部分是内在的,需借助一定的载体才得以体现,如声音、指纹、DNA等信息。
二、个人信息保护的比较法考察
(一)美国
美国以隐私权理论为基础保护个人信息。隐私一词最早由Warren和Brandeis提出,后Prosser教授为界定隐私侵权,将其分为四类侵权行为:⑴非法侵入原告的隐居或私人事务;⑵泄露原告令人尴尬的私人事实;⑶在公众场合将原告置于错误地位的宣传;⑷盗用原告的姓名或肖像。现通说认为隐私侵权行为法已不能有效地发挥作用(尤其在信息时代,因大量收集、使用和保存个人信息而导致侵权需要进行赔偿),主要体现在两方面:一是他们没有提供Warren和Brandeis所预想的针对媒体侵权而采取的保护方式;二是他们不能适用于新的隐私问题,如商业公司过度收集、使用和泄露个人信息。
美国对个人信息,更关注其自由流通,因而不同领域保护方式有异。在公共领域,美国1974年通过的《隐私权法》对政府机构收集、使用个人信息作了详细的规定,以此规范联邦政府的行为,平衡私权保护与个人信息有效利用之间的关系。但该法只适用于联邦部会以上的机构,而不及于部会以下的机构或州政府的各级行政机构,更不及于民间企业组织,其规范对象受到很大的限制,未能实现功能最大化。此外,没有设立相应的监督机构确保该法的实施,不能有效保护个人信息。在非公共领域方面,美国实行“在法律的支持之下高度依赖市场力量和个人行为”。该种行业自律模式,需要建立第三方独立的监督执行机制,包括申诉机制、评估机制、争端解决机制、制裁机制等,保障行业自律的公信度和执行力度。但这种模式没有统一的标准,缺乏有力的法律支撑,即使获得隐私认证,也不能保证不会侵害个人隐私。
(二)德国
德国制定个人信息保护法的宪法基础是信息自决权理论,民法基础是人格权理论。英美法上“隐私权”的内涵正是德国等大陆法系关于“一般人格权”的观念。根据一般人格权理论,在信息时代普遍对公民个人信息进行收集、处理和传输的情形下,保护公民人格权的关键体现在德国1990年《联邦数据保护法》第1条之规定:“本法之目的在于保护个人免于因个人信息的传输造成人格权侵害。”
在信息侵权方面,德国1990年《联邦数据保护法》作了相关规定,如第二部分规定“公务机关的资料处理”,第三部分规定“非公务机关和参与竞争的公法上的企业的资料处理”。前者涉及行政侵权,后者涉及民事侵权。保护法对由此发生的损害赔偿做出明确的区分,规定了不同的归责原则和赔偿范围:基于行政侵权发生的损害赔偿适用无过错责任原则及最高限额赔偿,因为该赔偿制度的本质是对损失的负担或弥补,而不是对行为或原因的评价。基于民事侵权发生的损害赔偿则适用过错责任原则及全额赔偿,因为民事主体地位平等,如果个人已尽其法定注意义务,可免负侵权责任。
三、我国个人信息保护的现状及完善
(一)现状分析
我国《民法通则》对姓名权、肖像权、名誉权等作了一般规定,间接保护个人信息。2009年《侵权责任法》首次承认隐私权,并保护有隐私利益的个人信息,这与美国法上将一切个人信息都作为隐私来保护及德国通过专门立法保护个人信息的方式均不同。对个人信息保护,就公共部门而言,其对个人信息的关注是基于管理的需要,更强调个人提供信息的义务而非信息主体的权利,如未经主体同意公共部门相互交换使用个人信息的行为,构成对公民个人信息的侵害。就非公共部门而言,鉴于个人信息的巨大价值,除部分商业网站会提供相对较为详细的隐私保护政策外,大多数非公共部门并没有单方面向相对人提供个人信息保护政策。此外,司法实践中最大的问题是受害人因举证困难而败诉。
总体而言,我国缺乏统一的、专门规范个人信息保护的法律制度。因此,对个人信息及侵权行为的界定、信息的合法使用及侵权行为的法律责任等根本性问题,缺少必要的法律进行规范,不利于充分保护。
(二)完善建议
1.确立个人信息权
个人信息权不同于隐私权,法律应视它为一项独立的权利。所谓个人信息权,是指信息主体对与自己有关的、可通过一定途径来识别个人的一切信息享有使用和控制的权利。该权利主体包括信息所有人、持有人和控制人,内容包括信息自主权、保密权、查询权、修改权、决断权及报酬请求权。就个人信息的立法基础而言,较之于美国的隐私权理论,德国法上的一般人格权制度对我国更有借鉴意义。一般人格权是以人格尊严、人格平等、人身自由为内容的、具有高度概括性和权利集合性特点的权利。[5]毫无疑问,个人信息权具有人格权的属性,但其属于一般人格权还是具体人格权?本文认为,我国宜采用具体人格权制度,这样既可避免一般人格权的抽象性,又实现了对个人信息所具有的人身和财产属性的全面保护。
2.由《侵权责任法》予以救济
就归责原则而言,国家机关侵害个人信息权的,一般表现为国家机关工作人员违反法律的规定收集、使用、保存个人信息,或者未经权利主体同意,将信息在不同的部门之间交流。该情形属行政侵权范围,应承担无过错责任。对于非国家机关的侵权行为,可借鉴德国的立法,采用过错推定责任原则,实行举证责任倒置。 这有利于解决实践中因受害人举证不能而败诉的问题。
论文关键词 公民 个人信息 刑法保护
随着信息时代的到来,人们在日常的工作和生活中都会运用到各种信息,可以说信息已然深入到人们生活的各个部分。不可否认的是信息化的发展可以在一定程度上推动社会经济的发展,但是其中所延伸的问题仍旧不容忽视。 通过目前的情况来看,一些人采取非正当的手段来获取公民个人的信息,从事信息兜售业务,这几年这种现象已经十分严重,逐渐演变成一种社会问题。个人信息的泄露不仅影响到了人们的正常工作和生活,同时还会导致他们遭受一定的经济损失。基于这种情况,加强对公民个人信息的刑法保护是非常有必要的。但是当前我国法律中并没有针对性的法律法规,现行的法律条款无法发挥应有的约束力,同时其可操作性也不高。因而我们更加需要深入研究公民个人信息的保护问题,采取有效的方式和手段为公民提供有力的保障。
一、 公民个人信息的基本概述
(一)个人信息的含义
在实际的工作和生活中,个人信息的表现形式是非常多样的,同时和人们的工作与生活有着紧密的联系。现阶段我国并没有制定相关的法律,从实际的情况来看,我国公民个人信息保护意识相较而言是比较薄弱的,个人信息滥用和随意公开的现象尤为严重。各国对于个人信息界定有着些微的区别,综合而言个人信息主要指的是与个人相关的资料和数据。个人信息主要包括了两方面的内容,也就是公民自身所产生的信息以及他人对个人的评价信息等。 个人信息所涉及的内容是比较多的,因而公民个人信息的刑法保护问题需要引起社会公众的关注和重视。
(二)个人信息的基本特征
个人信息的特征比较明确,主要包括以下几个方面。首先是信息的主体性。其主要指的是个人信息是归属于某个独立的主体,这个主体拥有法律所赋予的权利和义务。通过对这些信息的管理和分析,就能够直接有效的定位信息的主体。其中就涉及到了信息的管理者和拥有者,管理者拥有的知识管理权,并不能改变个人信息的根本属性;而作为信息的拥有者本身,会因为个人的变化而发生相应的变化。因而个人信息的主体特征是其基础特征。其次是信息的可识别性。通过个人信息可以准确的分辨出信息的主体,在个人信息中有能够直接判断主体的信息,也有间接判断的信息,其中能够直接进行判断的信息的差异性是非常明显的。 最后就是个人信息的价值性。这种特征主要体现在信息主体在人格和财产等方面的信息,其实质就是社会资源,这种信息能够创造出一定的利润和价值,个人信息的价值性特征也是尤为明显的。
二、 加强公民个人信息刑法保护的必要性
(一) 惩治个人信息侵犯行为的需要
通过实际的案例我们可以了解到公民个人信息受到侵犯所造成的影响是非常大的,因而需要对这种行为进行惩罚。对于这些行为本身而言也有一定的差异,对于违法程度较轻的行为可以采用民事手段或者是行政手段对行为主体进行惩治。然而对于利用个人信息实行诈骗活动的行为有涉及到其他罪行,这个时候就需要用刑法来进行严厉的处罚,防止这种行为的进一步扩散。当其他法律无法对某种犯罪行为进行约束的时候,刑法的威慑力不容忽视。 从目前的情况来看,侵犯个人信息行为已经愈演愈烈,并且造成了严重的影响。而个人的信息安全对社会的稳定发展有着重要的意义,这种行为在一定程度上已经制约了社会经济的健康发展,因此公民个人信息的刑法保护有着一定的必要性。
(二)完善法律调控功能的需要
通过对我国现行法律的研究,在行政法律中有相关的条款涉及到公民个人信息保护的内容,其中也明确了侵犯个人信息行为应当承担的相关责任。但是在刑法中,并没有与之相对应的条款对这种行为进行约束。因而在司法实践的过程中,很多犯罪行为已经对社会造成了严重的危害,但是刑法中并没有涉及到该类犯罪行为,导致行政法律的相关条款失去了其原有的约束力。在我国刑法的立法结构中,刑事责任的确定需要根据刑法的规定来执行,目前刑法并没有对公民个人信息予以相应的保护。在社会不断发展的过程中,个人信息安全的重要性逐渐凸显出来,在这种情况下我们需要完善相关法律来保障公民的基本权益。在刑法中应当对此类行为进行补充,从而与行政法律相互协调,而对于特别严重的犯罪行为也应当纳入到刑法中,这样才能有效的发挥法律的作用对公民个人信息进行全面的保护。
(三)世界立法的必然趋势
刑法相对于其他法律来说具有更强的约束力,能够对犯罪行为予以沉重的打击。根据世界其他国家的立法情况来看,已经逐渐将公民个人信息保护纳入到刑法范围中。 对于侵犯个人信息的行为需要承担刑事责任已然成为世界各国的普遍做法,这种方式也取得了一定成果。因而我国在制定相关法律的时候,可以借鉴他国的成功经验,使得我国刑法的立法结构更趋完善。
三、现阶段我国公民信息保护存在的问题
(一)公民的个人信息保护意识比较薄弱
在人们的潜意识里,个人信息仅仅是身份的证明,并没有涉及到其他的问题。然而随着社会的发展,我国的计算机应用水平有了明显的提升,在这样的环境下,人们的个人信息就有了新的属性,也就是财产属性。基于目前的情况,公民个人信息的价值呈现持续上升的趋势,个人信息的收集和利用受到了社会各界的广泛重视。但是从信息保护安全的角度来说,公民在这方面的意识是比较薄弱的,社会中的很多方式都能够获取公民的个人信息,他们对信息保护并没有引起足够的重视,导致公民信息泄露的情况十分严重。但是在信息泄露以后,很多公民都不知道通过何种方式去维护自己的合法权益,最终遭受了更大的损失。
(二) 多样化的个人信息侵犯方式
在实际的案例中,个人信息受到侵犯的方式呈现多样化的形式发展。通过总结和归纳,信息窃取和信息滥用是现阶段侵犯公民个人信息的主要方式。首先是信息窃取,也就是盗用公民的个人信息。我国相关规定已经明确指出盗窃个人信息是违法行为。这种方式主要是通过互联网以及电话的方式来获取的,这种行为已经严重威胁到了人们的财产安全。然后则是信息滥用,主要指的是没有通过公民的同意就使用公民的个人信息。这种行为同样具有严重的危害性,需要承担相应的法律责任。除此以外,还有信息诈骗、信息污染等侵犯方式,这些行为已经构成犯罪,对社会造成了严重的危害。
(三) 个人信息侵犯行为的主体逐渐复杂化
随着信息化时代的到来,侵犯公民个人信息的行为主体也愈加复杂。首先是政府的相关工作人员。政府相关部门所收集和储存的个人信息是非常全面的,这就具备了向其他机构非法提供个人信息的条件。同时在实施的过程中也是较为容易的,通过实际案例来看这种情况是存在的。其次是商业机构,现阶段很多商业机构通过各种方式收集到了公民的个人信息,但是这些机构并没有对信息保护引起应有的重视,甚至很多商业机构将个人信息泄露给其他非法机构,造成了严重的危害。最后就是公民个人,网络黑客运用相关技术大量的盗取个人信息以获取利益,导致公民既是侵犯行为的执行者,也是最终的受害者。
四、完善我国公民个人信息刑法保护的有效对策
(一)明确规定公民个人信息的范围
在我国现行的刑法中并没有对公民个人信息的范围作出明确的界定,这主要是因为我国刑法理论中对公民个人信息的研究并不多,同时缺乏相应的经验。但是个人信息没有明确的界定,在司法实践中会造成一定的困扰。根据世界各国的相关立法来看,大多数都已经规定了个人信息的具体范围。因而我国在对公民个人信息实行刑法保护的时候,可以参考这些国家的立法规定,然后根据我国当前的实际情况,具体的列出公民个人信息的类型和范围。公民个人信息范围的确定是实行刑法保护的重要基础,最终才能达到保障公民合法利益的目的。
(二)建立全面的刑罚体系
如果犯罪行为所稻城的社会危害越大,行为主体就应当受到更大的刑罚。这是我国刑罚的基本原则,因而需要应用到我国公民个人信息犯罪的刑罚体系中。由于侵犯个人信息行为多样,所造成了社会危害也不仅相同,因而在构建刑罚体系的时候应有轻重的区别,这样才能真正的发挥想法在公民个人信息保护中的作用。同时在刑罚体系中应当适当的添加资格刑,例如作为信息收集的主体如果在犯罪以后将剥夺其以后从事该项工作的资格。除此以外,作为信息保护的主体,需要承担信息保密的义务,一旦出现信息泄露的情况需要承担相应的责任。
论文关键词:个人信用征信 隐私权 立法保护
一、个人信用征信和隐私权保护基础理论
(一)个人信用征信的含义
个人信用征信,是指依法设立的个人信用征信机构对个人的信用信息进行采集、加工,并根据用户要求提供个人信用信息查询和评估服务的活动。
个人信用征信体系包含四方面的主体:(1)个人信息主体:(2)提供信用信息者;(3)依法设立的信用征信机构:(4)个人信用信息的使用者。在这四方面主体中处于核心地位的是信用征信机构,方面它从信息提供者处收集个人信用信息,另一方面将整理加工后的个人信用信息以消费者报告的形式出售给信息使用者。
(二)个人信用征信与隐私权保护的冲突
在个人信用征信的整个过程中,第一步是通过不同的方式,提供者收集到关于相对人的各种信息,并且根据约定或法定的方式提供给合法的信用征信机构:第二步就是个人信用征信机构通过特定的方式对信息进行整合、分类、加工以及筛选,按照信息提供者的要求提供相关的信用评估报告。这上述的过程中,存在着两方面的利益,一个就是个人对其自身信息享有的隐私权、安全权等,一个就是提供者、征信机构以及社会对个人信用的期待的要求,这两方面在实践中难免会引起冲突。
个人信用征信与隐私权的冲突具体表现在以下几个方面:个人信息保密权与信息提供者向征信机构提供,征信机构出售个人信用报告之间的冲突;个人信息支配权与信息提供者、征信机构对个人信用信息的支配;个人信息知情权与征信机构对信息的内部管理;个人信息更正权与征信机构对信息的采集、加工权;个人信息安全权与征信机构对信息的存储与传播。
(三)在个人信用征信过程中保护公民隐私权的重要意义
在个人信用体系立法中加强对隐私权的保护具有重要的意义。现代市场经济一定程度上是信用经济,对市场主体征信并将其信息公开成为经济社会发展的必然趋势。在此过程中,避免信息提供者、征信机构和用户利用便利条件侵犯消费者隐私,成为个人信用征信法律制度建设中无法回避的首要问题。但是我们面临的现状是:我国目前在个人信用征信领域对于隐私权保护的立法还很不完善,个人信用系统存在很大风险。从根本上讲,征信立法的基本目的是为了保证信用信息披露公开、透明的同时最大程度地保护消费者个人隐私权不受侵犯。因此,在个人信用体系建设立法中必须注重对隐私权的法律保护。
二、我国个人信用征信隐私权保护的现状及缺陷
(一)个人信用征信隐私权保护的现状
我国现行法律尚未明确规定隐私权概念,作为国家根本法的宪法和基本法的民法未将隐私权规定为独立人格权加以保护,我国刑法中也没有设立侵害隐私权罪的罪名,只是在某些法律条文中包含了保护隐私权的精神,这就很难形成一个健全的隐私权法律保护体系,这使得个人信用征信中隐私权保护成了无源之水。在个人信用征信方面,只有一些地方性法规、部门规章做了规定。法律上对个人信用征信隐私权的保护是不全面的。在个人信用活动中,隐私权保护也存在许多问题:尽管个人信用信息基础数据库已经实现了全国联网,但只向联网的金融机构提供查询服务,还不能向社会其他部门开放。
(二)个人信用征信隐私权保护的缺陷
1.征信立法建设严重滞后
目前我国尚没有一部全国性的规范信用信息的法律,除《国家保密法》没有法律明确界定在社会经济生活中哪些征信数据不可以向公众开放,哪些数据可以公开以及公开的程序、对象等。由于缺乏相关的法律规定,在现实生活中很容易发生信用信息泄露和滥用的情形,侵犯信用主体的隐私权。目前我国个人信用制度中比较有代表性的法规是《上海市个人信用联合征信试点办法》和《深圳市个人信用征信及评级管理办法》,一方面立法层次低;另一方面法规只简易的规定了隐私权保护的原则和大体框架,没有专门的隐私权保护条款,不具有可操作性。此外,现行法规只注重权利被侵犯后的救济问题,却很少关注事先预防,这使得公民的个人隐私权无法得到全面的保护。
2.征信管理机构运作不规范,管理混乱
目前有关个人征信的地方性法规、部门规章侧重于对征信机构的管理,对于信用信息提供者、信用信息使用者则规制较少,管理的厚此薄彼为不法利用信用信息造成漏洞。同时全国征信管理机构的管理权限并不明确,使征信机构管理混乱。人民银行、商务部、工商总局、财政部、海关总署、各地方政府均有对征信方面的管理权,也有相应的管理机构和管理系统。但对征信机构经营管理的规定几乎没有,各征信系统和征信服务机构各行其是。
3.欠缺对不良信用信息的科学界定
对不良信用信息的科学合理界定是保护信用主体个人信用隐私的前提和基础。我国现行个人信用征信相关法规、部门规章都对不良信用信息规定了强制公开的期限,但是对什么是不良的信用信息却没有做出界定。以《深圳市个人信用征信及评级管理办法》和《江苏省个人信用征信管理暂行办法》为例,其条文中都没有明确“不良信用信息”定义。《上海市个人信用征信管理试行办法》规定了不良信用信息的概念,表述为:不良信用信息是指恶意拖欠数额较大款项的信息,具体拖欠数额,由市征信办会同有关部门确定并予公布。很显然这个定义是简单而粗放的,并没有对不良信用信息做出科学界定。
三、加强我国个人信用征信体系中对隐私权保护的立法建议
(一)加快立法填补法律空白,完善信用隐私保护法律体系
个人信用征信体系的建设首先是相关制度的建设。在个人信用征信体系视野下保护公民信息隐私权,尤其需要填补法律空白形成体系。
首先,在民事基本法律中明确隐私权作为独立人格权的地位。在将来出台的《中华人民共和国民法典》中将隐私权作为一项独立的人格权加以规定,同时还要对信用权作出明确、具体的规定,以配合个人征信法律体系中隐私权法律保护的完善:其次,尽快出台对个人信息权利予以保护的专门法律,即《中华人民共和国个人信息保护法》,明确规定个人信用信息的范围和征信机构不得采集的个人信息范围。再次,针对个人信用征信行业专门立法。最后,制定《政府信息公开法》,对散布于银行、税务、工商等机构数据的公开制定统一的法律,确保征信机构合法、快速获得相关数据。
(二)明确个人征信制度申隐私权的具体保护措施
1.明确征信信息的范围。法律应明确界定征信机构获取个人信用信息的范围,与信用相关的个人信息应当只限于三类:(1)表明被征信主体信用能力的个人身份信息:(2)表明被征信主体履约意愿的信用记录和公共事业缴费记录:(3)影响被征信主体信用评价的处罚记录。另外还应对非征信信息做出禁止性列举。对影响个人信用状况的违法犯罪记录,应设立专门条款对有关机关存储、使用、透露这些信息做出实体和程序上的限制,防止有关机关滥用权力侵犯个人隐私权。
2.严格规范个人信用信息征集程序。个人信用服务部门是以赢利为目的的机构,在法律规范下,通过向合法用户提供个人信用调查报告以获取利润。如果对个人信用信息征集程序规范不严,征信机构在利益趋势下很容易侵犯信用主体的隐私权。因此在个人信用信息的征集中,要严格依法规范征信程序,征信方法要公正、合法,对法定例外的信息进行征集时须经信息主体本人同意,以保护信息主体的隐私权不被非法侵害。
3.依法规范个人信用信息的使用。一方面依法限制个人信用信息的使用目的:另一方面,规范征信机构提供个人信用记录的条件,除法律规定的强制性提供信息外,征信机构提供个人信用信息时应事先征得被征信者的同意。除此之外,还应保证当事人对本人个人信用记录的知情权。
4.明确个人信息主体的权利和征信相关机构的义务。明确个人信息主体的个人信息保密权、个人信息利用权、个人信息更正权、个人信息权益救济权等基本权利。同时必须明确征信机构的义务,例如安全保密义务、保证个人信息准确、及时、完整的义务及保证信息主体有知情权和异议权的义务等。
5.完善隐私权的保障救济机制。完善的个人征信体系,应建立对消费者隐私权的多重保障救济机制。首先是要建立内部的行业协会,通过行业协会进行内部的监督,制定相关的自律制度、进行必要的行业检查,做到尊重和保护公民隐私权的目的:其次通过立法的形式建立针对性的官方信用征信机构监管部门,利用国家的权力对相关的市场进行监督,并JJu强对违法行为的处罚:再次赋予相关公民的法律上的救济权利,可是使消费者能够通过法律的形式保护自身的合法权益:最后就是坚持违法必究的原则,对构成犯罪的要对其追究刑事责任。
(三)加强征信监管
在法律不健全的背景下,我国的征信监管制度存在诸多缺陷,没有统一的征信监管机构,监管的具体环节程序混乱、监管粗放,无法对信息主体隐私权进行预防性保护。因而完善我国征信监管制度势在必行:第一,可以提高征信监管机构的市场准入门槛以规范征信机构的设立,监督基础设施是否完备、人员配置是否规范、执业目的是否合理等,通过限制征信机构的硬性条件来强化对隐私权的保护。第二,征信监管机构通过对征信机构的经营流程,特别是评估程序的监管有效杜绝征信机构对被征信主体做出不公正客观的信用评价。第三,加强对信用使用主体的使用目的监管,设立专门投诉部门,做到救济的顺畅。
内容提要: 个人信息商品化系人格权立法中的重要议题,直接与间接个人信息在商品化机理和保护路径上存在较大差异。直接个人信息商品化就是传统意义上的人格权商品化,其机理类似于商标之品牌功能; 通过从精神损害赔偿到财产损害赔偿之发展,其二元利益构成得到明确承认,直接个人信息保护路径应适用财产规则实现权利。间接个人信息商品化之机理在于其具有消除“不确定性”、识别目标之效用; 为平衡人格权益保护与信息自由,间接个人信息保护路径应运用责任规则与候补性合同规则,遭遇被动商品化时一般须诉诸精神损害赔偿。
社会主义法律体系形成后,“民事立法的下一阶段就是要加快制定人格权法。”[1]该法之制定,个人信息商品化自是重要议题。对于个人信息,我国多沿袭大陆法系传统,在人格权项下研究,个人信息商品化实际指向人格权商品化问题。笔者认为,个人信息商品化应当区分直接与间接个人信息,二者各自在商品化机理和保护路径上存在较大差别,笔者愿略陈管见,求教大方。
一、直接与间接个人信息之划分
( 一) 个人信息之界定
个人信息在有关国际组织或各国、地区立法上有不同称谓,包括“个人数据”、“个人信息”、“信息隐私”、“个人资料”等,我国学界也是几种称谓并行。其实正如学者所指出,“概念的不同主要是源于不同的法律传统和使用习惯,实质上并不影响法律的内容”。除非引文必要,本文一律使用“个人信息”概念。
法律概念之明确通常有三种方法: 概括主义、列举主义和例示主义,个人信息之界定多采概括或例示,但无论哪种均强调个人信息之直接或间接识别性。采概括者如德国《联邦个人信息保护法》,“个人信息是指任何关于得识别或可得识别自然人的属人或属事的信息”; 采例示者如我国台湾地区“个人资料保护法”( 2010 年 5 月 26 日修订) 规定,“个人资料: 指自然人之姓名、出生年月日、国民身份证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其它得以直接或间接方式识别该个人之数据”。个人信息作为得识别或可得识别、直接或者间接识别个人身份之信息,其“可识别”与“可得识别”性、“直接识别”与“间接识别”性,正是直接与间接个人信息划分之依据。
( 二) 直接与间接个人信息之外延
个人信息之“识别”,指能够将个人信息与信息主体建立起确定联系。由此,识别之主体、手段对于识别能力至为重要: 专家可以通过上网 IP 找到信息主体,普通民众却难做到; DNA 鉴定可从人体组织锁定信息主体,一般手段却无能为力。作为最重要、影响最为广泛的国际立法,欧盟《个人数据保护指令》( 95/46/EC) 陈述第 26 段指出,“任何人都可能成为合法的识别主体”,强调识别主体的一般性; 同时强调识别之“可能性( like-ly) ”与“合理性( reasonably) ”。笔者认为,在“识别”之标准上,应当借鉴以上规定,强调识别之主体、手段的一般性。
按照得否直接识别出信息主体,个人信息有直接与间接个人信息之划分。直接个人信息凭单一信息即可识别出信息主体,无须借助与其他信息的结合; 间接个人信息难以据单一信息识别出信息主体,该信息必须与其他信息相结合。有学者认为,肖像、姓名、身份证号码、社会保险号码等具有唯一性属于直接个人信息; 性别、身高、指纹、婚姻、家庭、教育、职业、病历、基因、性生活、犯罪前科、联络方式、财务情况、上网纪录等可以归于间接个人信息,须通过若干信息或信息片段的串联比对,方能与特定个人之身份相联系。97
笔者认为以上外延划分存在问题,直接个人信息识别特征应当具一定“外显性”,强调一般民众运用一般手段即可识别,身份证号码、社会保险号码虽具唯一性但缺乏外显性,一组数字如果不与其他信息串联比对特别是与姓名相结合往往不具识别价值,识别时尚须信息数据库或者其他个人信息之印证,所以宜归为间接个人信息。同样如指纹信息、DNA 信息虽与信息主体具唯一对应性,因须特殊识别主体或手段( 鉴定专家、鉴定仪器) ,同样不应归于直接个人信息。一般来说,直接个人信息只包括个人姓名、肖像、特殊身体形象、声音等,剩余信息一般属于间接个人信息。直接个人信息对应着传统精神性人格权; 而间接个人信息权益“应属于一般人格权”。虽然所有个人信息都同信息主体之人格尊严具有重要关联,蕴含人格利益,但在面对“商品化”时,直接与间接个人信息存在较大差异,这正是划分之价值所在。
二、直接个人信息之商品化
学者一般认为,人格权商品化是指“因社会经济活动的扩大,科技的发展,特定人格权( 尤其是姓名权及肖像权) 既已进入市场而商业化,如作为杂志的封面人物,推销商品或出版写真等,具有一定经济利益的内涵,应肯定其具有财产权的性质。”对照可以发现,我们迄今所谓“人格权商品化”,实际上仅对精神性人格权而未含物质性人格权,指直接个人信息尚未涉及间接个人信息。
( 一) 直接个人信息商品化之机理: “名人就是人格化的商标”
有学者指出,随着消费社会的到来,商品客观价值日益“同质化”,通过商业符号化来增加主观价值,成为企业参与竞争的重要策略。“诸如肖像、姓名等人格特征如商标标识一样,通过宣传、使用,可在其身份特征的本义之外,建立起纯属产权排斥本义的‘消费符号’。名人人格也是驰名符号,它的各种特征也可以用作商标,成为商家垄断市场压抑竞争的利器。就其商标化的人格( 醒目的消费符号位置和无期限的商品化权能) 而言,也可以说,名人就是人格化的商标”。
人格权商品化一般发生于名人身上,以暗示其对该商品或服务的支持,其所适用的只是直接个人信息充任“第二商标”的情形。人物的名气越大,转化为财产利益的可能性就越大,越有可能为他人所侵害,法律的保护也就愈加必要; 而非知名人物的商业开发价值很低,其难以起到符号的甄别和显示作用、为商家带来直接经济利益少,侵害的几率也小,以至于有些学者根本不承认普通民众拥有人格权商品化。[10]笔者认为,直接个人信息商品化属人人有份,只是由于条件限制普通人未能实现出来而已。
( 二) 直接个人信息商品化之逐步承认: 从精神损害赔偿到财产损害赔偿
英美法系对于个人信息( 隐私) 之商品化,美国法“公开权( Right of publicity) ”制度最为成熟。1953 年 Haelan Laboratories v. Topps ChewingGum,Inc. 案中,法官明确提出了公开权概念,通过后续先例和美国法学会《侵权法重述( 第二次) 》的整理,公开权正式从隐私权脱胎,专门保护人格因素中的商业利益,属于人格符号化、商品化的产物。[11]
而大陆法系囿于制定法传统,对于直接个人信息商品化之承认要曲折繁复得多。大陆法系传统人格权被认为系专属性精神利益,具绝对性、不可转让性和不可继承性,[12]立法并不认可直接个人信息商品化。但面对商品化潮流之势不可挡,以德国法为代表的立法逐步通过精神损害赔偿管道,明确规定侵害肖像权、姓名权等所获得的利益应在确定精神损害赔偿数额时予以考量,“侵权人获利”因素的引入正是为了解决人格权商品化产生的经济利益剥夺问题。[13]我国《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》( 法释[2001]7 号) 也采以上处理方式。
对直接个人信息商品化之完整承认应有三个标志: 得许可他人使用、得继承、受侵害时得主张财产损害赔偿。根据德国《艺术着作权法》,肖像权得被许可使用、继承,受到侵害得请求财产损害赔偿; 对于姓名权法院虽尚未明定得许可使用,但1987 年 Nena Case ( BGH GRUR 1987,128. ) 和1999 年着名的“Marlene Dietrich 案 ( BGH NJW2000,2195) ”实际允许了财产利益之继承。[14]我国实务中,对于肖像、姓名等的许可使用并不存在障碍; 但从鲁迅之子周海婴提起的几起鲁迅肖像权诉讼来看,能否被继承存有疑义。(对于这一问题的阐述,具体参见胡喜盈、顾惠民: 《肖像权能否继承》,载于《人民网》,http: / / people. com. cn/GB/channel1/11/20001115 /313812. html,2011 年 11 月 10 日访问。)至于被强制商品化后得否主张财产损害赔偿,已为 2010 年7 月 1 日施行的《侵权责任法》解决。[15]该法第 20条规定所确立的“受害人损失”、“侵权人获利”和“法院酌定”的三择一计算,实际承认了某些精神性人格权的双重利益构成。[16]通过三择一计算,我国对直接个人信息财产利益的保护在借道精神损害赔偿之外,又铺就了财产损害赔偿之路,前者尚属间接保护,后者已是直接保护。当然,受害人享有对两种请求权竞合时的选择权。如此处理已经大大超前于大陆法系其他国家和地区的立法和实务做法,而已与美国法上公开权的保护力度相当,同时相较美国法通过隐私权与公开权分别保护人格利益与财产利益的做法更胜一筹。
关键词:电子商务;隐私权;互联网
中图分类号:F715文献标识码:A
一、电子商务环境下侵犯个人隐私权的行为方式
隐私权是人的基本权利之一,是人们自身尊严、权利、价值的体现,人们要求在社会生活和人际交往中,得以尊重、保护隐私权。
人类历史上第一次明确提出隐私权的概念要追溯到1890年,美国法学家路易斯•布兰蒂斯(Louis D. Brandis)和塞缪尔•沃伦(Samuel D. Warren)在《哈佛法律评论》上发表了论文《隐私权》(The Right to Privacy),指出“在任何情况下,每一个人都有被赋予决定自己所有的事情不公之于众的权利,都有不受他人干涉打扰的权利,保护个人的著作以及其他智慧和情感产物的理念,是为隐私权,而隐私权是人格权的重要组成部分”。[1] 从此,世界各国开始认识到人应享有隐私权,在法律中逐渐确认公民隐私权为基本的人格权并加以法律保护。
一般认为,个人隐私“是一种与公共利益、群体利益无关的,当事人不愿他人知道或他人不便知道的个人信息,当事人不愿他人干涉或他人不便干涉的个人私事和当事人不愿他人侵入或他人不便侵入的个人领域。”[2] 隐私权是一种基本的人格权,指公民“享有的私人生活安宁与私人信息依法受到保护,不被他人非法骚扰、知悉、利用和公开的一种人格权。”[3]
在网络商业化的现代社会,不少商家积极开拓电子商务经营模式的同时,在经济利益驱动下,利用先进的网络技术,未经网络用户许可使用其个人资料,甚至还出现了专门收集、出售个人信息的网站。这种现象反映了个人信息隐含着巨大的经济利益,也导致了网络使用者的个人隐于被动曝光的境地。在电子商务环境下,侵犯个人隐私权的行为方式主要表现为:
1.电子商务企业或个人未经许可或授权,擅自在互联网的公开板块宣扬、公布、传播或转让他人隐私信息;截获、复制他人正在传递的电子信息;进入他人网络空间或打开他人的电子邮箱窃取、收集、篡改他人信息等。
2.网络服务提供商将其管理的网站用户的电子邮箱转移或关闭,造成客户邮件内容丢失,导致泄露个人隐私、商业秘密;收集用户个人信息后超出许可范围滥用用户个人信息,甚至以营利为目的将信息转让给他人,造成用户个人信息的泄漏、公开或传播;对网民在网站上发表的公开宣扬他人隐私的言论,不能及时发现并采取相应措施予以删除或屏蔽。
3.从事网络调查业务的商业公司使用具有跟踪功能的cookies工具非法获取、利用他人信息。Cookies软件可以自动跟踪、记录网络用户在网络上访问的站点,下载、复制用户在网上操作和活动的内容,并将详细资料回馈给商业公司,公司可据此收集大量网络用户的个人信息,建立庞大的用户信息资料库,然后以营利为目的或是出于其他商业目的,转让、出售用户个人信息资料给其他公司,导致大量信息资料被泄漏,商业广告、垃圾邮件充斥网络用户的电子邮箱或其他个人网络领域。
4.网络软硬件设备制造商设计、生产的产品具有收集用户信息资料的功能,如英特尔公司1999年曾经在其设计生产的奔腾Ⅲ处理器中植入“安全序号”。每个使用该处理器的计算机在互联网中的身份极易识别,从而可以监视用户在互联网上来往信息的踪迹,致使计算机用户的私人信息在不知不觉中受到跟踪、监视。
5.黑客通过制造、传播计算机病毒对一些网站进行攻击,非法获取大量个人信息。
6.网络的所有者或管理者通过网络中心监视或窃听局域网内的其他电脑,监控网内人员的电子邮件或其他信息。
二、电子商务时代我国保护隐私权的法律缺陷
1.我国的民事法律未确定隐私权为独立的人格权,只能适用间接保护方法。
我国基本法《宪法》38条至40条规定:“公民的人格尊严不受侵犯”,“公民的住宅不受侵犯”,“公民的通信自由和通信秘密受法律保护”。宪法的这些条文是保护公民隐私权的基本原则。但宪法是母法,只为下位法提供指导原则,而不能作为司法实践的具体法律依据。
我国民事基本法律《民法通则》未将隐私权规定为公民的人格权之一。1988年最高人民法院颁布《关于贯彻执行〈中华人民共和国民法通则〉若干问题的意见(试行)》,第140条规定“以书面、口头等形式宣扬他人隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。”仍未将隐私权视为一种独立的人格权,而是设定为侵害名誉权的表现形式。
最高人民法院于2001年颁布的《关于确定民事侵权精神损害赔偿责任若干问题的解释》第1条提出了侵犯隐私权的行为可以适用精神损害赔偿,这体现了立法进步。众多侵犯隐私权行为通常会令受害者个人空间受到干扰,生活安宁遭到破坏,在无形中令其精神受到侵害,向侵权人要求精神损害赔偿是非常必要的,也是法律应当赋予给受害人的权利。但遗憾的是由于司法解释本身的局限性,其最终无法在条文中确定隐私权为一项独立的人格权。
此外,在我国法律实践中,对公民隐私权的保护方式是:把隐私权纳入名誉权等其他人格权的范畴实施间接保护,且要达到“名誉受到损害”的后果,才被认定为侵害名誉权,追究侵权人的民事责任。
不言而喻,隐私权与名誉权虽皆属人格权,但是完全不同性质的两种权利,两者并不互相依存:名誉权侧重于保护民事主体的名誉,以有关民事主体名誉的事实表述是否真实、引起的社会评价是否适当作为评判标准;隐私权则侧重保护民事主体的私人生活安宁以及私人秘密信息不受侵犯。一些行为虽然侵犯了他人的隐私权,却不一定致使他人的名誉权受损害,例如在网络中未经许可大量投放垃圾邮件,只是严重扰乱了他人的生活安宁;又如网络公司以营利为目的将收集的用户个人信息资料出售给其他公司,导致用户信息资料在网络曝光,也没有侵犯到名誉权。
法律将保护隐私权与保护其他人格权利捆绑在一起,缺乏对公民隐私权的直接保护,导致的后果是无法切实保护公民的隐私权,受侵害者请求司法救济、得到法律支持的可能性大大降低,也纵容了众多侵犯他人隐私权的行为泛滥,不利于营造电子商务发展所需的合理秩序和公平竞争环境。
2.我国的刑事法律保护个人隐私权的范围过于狭窄。
我国刑法中虽然有侵犯商业秘密罪,而涉及侵犯公民隐私权方面的犯罪仅在第252条、253条有所规定,确认的是宪法赋予的“公民享有通信自由和通信秘密受法律保护”的权利,但侵犯通信自由罪和私自开拆、隐匿、毁弃邮件、电报罪只是众多严重侵害隐私权行为的冰山一角。显然刑法保护隐私权的范围过于狭窄,令不少受到严重侵犯隐私权的受害人无法得到刑事救济。
3.我国保护电子商务中隐私权的行政法规过于零散且不系统,可操作性不强。
我国《计算机信息网络国际联网管理暂行规定实施办法》第18条规定:“不得擅自进入未经许可的计算机系统,篡改他人信息;不得在网络上散发恶意信息,冒用他人名义发出信息,侵犯他人隐私;不得制造、传播计算机病毒及从事其它侵犯网络和他人合法权益的活动。”
《计算机信息网络国际联网安全保护管理办法》第7条规定:“用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。”
《互联网电子公告服务管理规定》第12条规定:“电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意不得向他人泄露,但法律另有规定的除外。”
可见,从宪法到基本法律、行政法规、部门规章,我国至今仍没有一部法律法规直接将公民隐私权确定为一项独立的人格权利,仅在一些法律法规中散布着间接保护隐私权的规定,内容零散且不系统,在司法实践中可操作性不强,网络用户由于隐私权随时可能被侵害而逐渐对网络产生不信任感,这是非常不利于规范网络运营秩序、促进电子商务健康发展的。
三、从法律层面完善电子商务环境下隐私权的保护制度
在电子商务时代,大多数企业或个人都通过互联网交流和传递各种数据信息。由于我国目前的法律对网络隐私权保护非常欠缺,给网络运作带来诸多的不安定因素。电子商务的发展需要公平合理、诚实信用的交易环境,除应通过网络技术手段实行技术保护外,还应当完善隐私权保护的法律制度,通过法律途径令侵权者承担相应的侵权责任。笔者经过思考和研究,提出以下立法建议以抛砖引玉:
1.在民事法律中应确立隐私权为一项独立的人格权予以直接保护。
(1)明确隐私权法律关系的主体。
隐私权作为一种独立的人格权利,其主体应是享有隐私权利的自然人,而法人的“隐私”应属商业秘密,已有相关民事或刑事法律制度予以保护,法人不适合作为隐私权的主体。
(2)明确隐私权法律关系的客体。
隐私权的客体可以采用列举方式明确适用范围,以增强相关法律法规的可操作性。隐私权一般包含以下三个方面:
第一,个人信息。主要包含个人基本情况,如姓名,年龄,性别,电话号码,家庭住址,健康状况,医疗档案,身体缺陷,女性三围,财产状况,,过去经历(尤其犯罪记录)等;
第二,私人活动。如工作状况,社交活动,朋友交往,商务交易,夫妻生活,婚外恋等;
第三,私人领域,也称作私人空间,如私人日记、家庭居室,还有个人身体的隐秘部位,如人体生殖器和性器官等。
(3)明确隐私权法律关系的权利范畴。
从电子商务的角度,可在以下方面界定隐私权的权利范畴:
首先,享有人身自由,个人空间与活动不受他人干扰的权利。网络用户应有权禁止他人未经许可或授权侵入私人的网络领域,对个人信息资料进行不适当的窥探、泄漏、干涉,或截取、篡改、监视自己的电子邮件等行为,保证自己不受他人干扰,维持生活安宁。
其次,对个人隐私信息具有支配权。这是隐私权的核心内容,它包括:知情权,知道他人为何要收集自己的个人信息,收集了哪些信息,将用作何种用途,有无他人分享这些信息等;选择权,选择个人信息资料是否允许他人收集和使用,选择使用用途和分享对象等;修改权,通过合理途径访问个人资料并修改错误信息或删除数据,以保证个人信息资料的准确与完整的修改权等。
第三,对他人非法侵权的请求权。在权利人发现他人有非法侵犯自己隐私权情形时,具有要求他人停止侵权、赔礼道歉以及承担其他侵权责任的请求权。
第四,请求司法救济权。在隐私权被侵犯时,权利人有权通过法律途径实现自我保护,追究侵权人的侵权责任。
2.侵犯隐私权的归责原则可适用过错推定责任。
对于侵犯隐私权民事责任的归责原则可以适用过错推定责任,即适用举证责任倒置的原则:由作为被告的侵权人来证明自己的侵权行为没有主观过错,否则推定被告具有过错,应承担侵权责任。
这是由于权利人对隐私权侵权行为的发生通常是不知情的,权利人很难取证证明被告有侵权的主观过错,因此不应适用“谁主张,谁举证”的一般规则。
但是,在网络如此发达的现代社会,有些侵权人可能只是实施了网络传递信息的行为,但对此行为是否侵犯他人权利可能并不知情,没有侵权的主观故意;再者,很多网络服务提供商在经营过程中,因为信息技术的有限性,可能无法精准的筛选出有侵权嫌疑的信息,又因为非法律专业人士,无从判断侵权与否,所以若适用无过错归责原则追究侵权者的侵权责任欠缺公平性。
3.对于因侵犯隐私权而严重影响个人生活,甚至造成恶劣社会影响的侵权行为可以适用刑罚予以制裁,因此需要完善刑法的内容。
在电子商务时代,加强对隐私权的法律保护有利于促进电子商务的欣欣向荣,对促进信息网络产业的长远发展是非常必要的也。鉴于信息技术的飞速发展,立法上还应充分考虑电子商务的技术要求和发展前景。具有足够的前瞻性。
当然,除了通过完善法律体系对电子商务环境下的隐私权实行保护,还应当建立起有效的网络行业自律机制,网络使用者也应从自身出发,增强网络隐私权的自我保护意识。
作者单位:广东工贸职业技术学院工商系
参考文献
[1]徐爱国.哈佛法律评论[M].北京:法律出版社,2005.5.