肖少啟
(韶關學院法學院,廣東韶關 512005)
我國個人信息法律保護的困境與對策
肖少啟
(韶關學院法學院,廣東韶關 512005)
個人信息權是一項基本的人權。由于法律的規(guī)定較為分散和簡略,權利主體在個人信息泄露時難以獲得法律的有效救濟。對于個人信息采取何種保護模式,學界見仁見智。為了充分地保護個人信息權,維護數(shù)字社會的信息安全,我國亟需制定一部統(tǒng)一的個人信息保護法,確立科學的基本原則,準確界定個人信息法律關系的客體制度,同時構建健全的權利制度保障體系。
個人信息;法律保護;權利救濟;立法完善
現(xiàn)實生活中,“共享客戶資源”在商業(yè)界幾乎是公開的秘密。同時,隨著傳感器網(wǎng)絡技術、生物識別技術、射頻識別技術等高科技的發(fā)展,個人身份識別、電子病歷信息、遠距醫(yī)療記錄、交通訊息、各種消費資金賬戶信息載體與日常生活層面應用的異類結合,都會造成個人信息的大量流通與運用,尤其是在虛擬網(wǎng)路的推波助瀾作用下,個人信息被濫用、私權被侵害的程度達到無以復加的程度。個人信息一旦泄露,信息主體將難以進行數(shù)據(jù)恢復并掌控信息資料的下游濫用。如果信息被不法分子利用,潛在的危害如賬戶失竊、身份盜用、詐騙、綁架等嚴重的刑事犯罪將接踵而至。自20世紀50年代起,西方發(fā)達國家開始關注個人信息保護問題,通過立法確立了旨趣異同的個人信息法律保護模式。我國《人格權法》的起草和制定工作正如火如荼地展開,個人信息保護的立法亦隨之被提上了議事日程。本文擬就個人信息法律保護相關問題略陳管見,以求教于大家。
從某種意義上說,個人信息是國家的一種戰(zhàn)略資源。然而,前不久,我國發(fā)生了十億條個人信息被盜,公民信息泄露程度“觸目驚心”①參見: 10億條個人信息是如何被偷的? 網(wǎng)址: http://news.xinhuanet.com/legal/2013-03/15/c_115042338.htm.。頻頻發(fā)生的個人信息泄露事件,不僅侵犯了信息主體的隱私權,也給其生活造成嚴重困擾。在互聯(lián)網(wǎng)時代,信息傳輸迅速而且范圍甚廣,使得個人信息保護面臨更加嚴峻的安全形勢,建立互聯(lián)網(wǎng)個人信息保護制度成為人們的呼聲。
我國目前尚未制定個人信息保護的專門法律,雖然有近四十部法律、三十余部法規(guī),以及近二百部規(guī)章涉及個人信息保護,然而這些涉及個人信息保護的內(nèi)容較為分散、權責不明晰或者存在部門規(guī)章效力層級偏低等問題。2013年2月1日,我國首個“個人信息保護”的國家標準即《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》(下稱《指南》)正式實施。盡管這意味著我國個人信息保護工作進入了“有標可依”階段,但其畢竟只是一個標準,尚缺乏法律約束力,而且效力層級較低,不足以震懾違法犯罪行為。2013年4月10日,工業(yè)和信息化部公布了《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》和《電話用戶真實身份信息登記規(guī)定》兩個征求意見稿,旨在規(guī)范電信和互聯(lián)網(wǎng)企業(yè)合法、正當?shù)厥占褪褂糜脩魝€人信息,確保用戶個人信息安全。然而,它們也同樣面臨《指南》同樣的問題。從表面上看,信息法保護的是個人信息;但實質(zhì)上,它不僅保護個人的隱私、自由和自治,事關個人人格的健全發(fā)展,它還具有重大的社會價值,關系到個人信息的公平、合理、高效流轉(zhuǎn)。資料保護的個人和社會雙重價值及資料保護問題的個人和社會雙重屬性,使得資料保護法跨越了公法與私法的界限,涉足憲法、刑法、行政法和民法等部門法,任何一部傳統(tǒng)的部門法單憑一己之力均無法完成個人信息法治化流轉(zhuǎn)的使命。這就要求制定一部專門的資料保護法,使它成為規(guī)制個人資料收集、使用、加工和散播等整個信息流轉(zhuǎn)過程的基礎性法律。因此,我國亟需出臺的不是針對某個領域、行業(yè)或某類資料處理的條例、管理辦法、指導意見、行為守則,也不只是對刑法、行政法和民法中涉及資料保護的部分進行簡單的修補,最亟需的是憲法指導下的一部個人資料保護法[1]。
當前,就個人信息保護而言,存在兩種立法體制,即歐盟的統(tǒng)一立法模式和美國的分散立法模式,這兩種倫理框架很大程度上明確了現(xiàn)代信息法的基本走向。美國信息法的立足點是實用主義,強調(diào)的是信息的實用價值,它所采取的是分散立法和行業(yè)自律相結合的模式。而歐盟信息法則以道義論作為其理論基礎,該種立法體制側(cè)重的是對個人信息提供保護,堅持個體自治的價值。1996年,歐盟通過了《數(shù)據(jù)保護指令》,從而在歐盟國家確立了隱私權立法的基本原則,其立法背景和基本理念迥異于美國。歐盟將隱私權視為基本的人權,因而政治上務必解決。歐盟《數(shù)據(jù)保護指令》對個人信息提供了廣泛的保護手段和救濟措施,該綜合性方法與美國形成了鮮明的對比,后者只在各種狹窄的范圍內(nèi)規(guī)范隱私權,而且主要是通過市場而不是法律來解決隱私權的保護問題。歐盟各成員國基本上都制定了較為全面的信息保護法,一并調(diào)整和規(guī)范公私領域中的信息處理行為。
德國《聯(lián)邦資料保護法》在大陸法系國家最具代表性。該法于1977年頒布,采取的是統(tǒng)一立法模式,對個人信息保護進行統(tǒng)一規(guī)范、統(tǒng)一保護。1982年“人口普查案”成為德國個人信息保護發(fā)展的里程碑。之后,德國開始重新修訂聯(lián)邦資料保護法,1990年頒布施行,該法獲得了理論界和司法實務界的一致好評。首先,聯(lián)邦資料保護法構建了嚴謹?shù)脑瓌t體系。該法規(guī)定了公開原則、目的明確原則、直接原則、更正原則、安全保護原則、限制利用原則等。其次,在監(jiān)督機制方面,德國設置了外部的監(jiān)督機構和內(nèi)部的監(jiān)督機構雙軌制模式。外部監(jiān)督機構即個人資料保護委員負責對公務機關收集或處理個人資料的情況進行監(jiān)管,個人資料保護委員一般由法官或者大學教授擔任,任職比較穩(wěn)定;內(nèi)部監(jiān)督機構即資料保護人則負責對非公務機關處理個人資料的行為進行監(jiān)督,資料保護人一般由各單位自行選任,其任命的基本條件是必須具有良好的品行和必要的專業(yè)知識。再次,聯(lián)邦資料保護法確立了雙軌制損害賠償制度。德國聯(lián)邦資料保護法將對個人信息的侵權行為分為行政侵權行為和民事侵權行為兩大類。在此基礎上,聯(lián)邦資料保護法明確區(qū)分和界定了基于這兩種侵權行為而發(fā)生的損害賠償,分別規(guī)定了迥異的歸責原則及賠償范圍。進言之,對基于行政侵權行為而發(fā)生的損害賠償,聯(lián)邦資料保護法明確規(guī)定應適用無過錯責任原則,就賠償范圍而言,該法明確設定了最高限額;對基于民事侵權行為而發(fā)生的損害賠償則應適用過錯責任原則,在賠償范圍方面則實行全額賠償,沒有最高限額的限制。為了因應歐盟《數(shù)據(jù)保護指令》并達到后者的最低要求,2001年德國對《聯(lián)邦資料保護法》進行了小幅度的修改。作為一次迫不得已、匆匆忙忙的改革的產(chǎn)物,這部法律帶有明顯的臨時性。按照個人信息保護法元老西米蒂斯的說法,立法者是懷揣著“不久之后將其取而代之的意圖”通過改革法案的①參見: Banisar D. The Right to Information and Privacy: Balancing Rights and Managing Conflicts. Available at SSRN: http://ssrn.com/abstract=1786473 or http://dx.doi.org/10.2139/ssrn.1786473.。
如前所述,個人信息是國家的一種重要戰(zhàn)略資源。鑒于我國尚未制定公民個人信息保護的專門法律,對于公民個人信息究竟提供何種法律保護或救濟途徑,學界進行了積極的探索,先后涌現(xiàn)了“刑法保護說”、“侵權法保護說”、“隱私權客體說”及“人格權客體說”等幾種主張。眾所周知,刑法保護和侵權法保護都屬于事后救濟,在互聯(lián)網(wǎng)時代需要對網(wǎng)絡安全以及個人信息進行全流程的監(jiān)管才更為有效?!半[私權客體說”源于美國,我國亦有不少支持者。一般認為,個人信息權與隱私權是兩個不同的權益范疇,兩者具有不可調(diào)和性。隨著越來越多的國家進行相關的立法,隱私權法和個人信息權法之間的關系目前引起了全球范圍內(nèi)相當大的討論。由于利益和價值的多元化需求,二者之間必然會存在某些交叉重疊,也不可避免會導致一些沖突。同時,人格權保護模式也有其先天的不足。毫無疑問,個人信息權就其主要內(nèi)容和特征而言,在民事權利體系中,應當屬于人格權的范疇。個人信息權應當作為一項獨立的權利來對待,此種權利常常被稱為“信息自決權”[2]。筆者認為,采用人格權的保護模式來保護個人信息無疑是正確的選擇,但人格權與個人信息權亦是兩個不同的權益范疇,二者既有交叉重疊的部分,也有不兼容之處。申言之,我們在制定“人格權法”的同時,亦需要一部獨立的“個人信息保護法”。
(一)理念的彰顯:我國個人信息保護法基本原則的確立
個人信息保護法基本原則體現(xiàn)了信息法的基本價值和理念,集中反映了信息法立法的宗旨和目的,對各項信息法律制度和信息法規(guī)范起統(tǒng)帥和指導作用,也是指導我們立法和司法實踐活動的基本準則。就個人信息保護而言,經(jīng)濟合作與發(fā)展組織(OECD)和亞太經(jīng)合組織先后頒布了《關于保護隱私和個人數(shù)據(jù)跨國流通指南》(1980年)和《亞太經(jīng)合組織隱私權保護框架》(2005年),這兩部公約都相應地確立了個人信息保護的原則性規(guī)定,對全球各國和地區(qū)的個人信息保護立法產(chǎn)生了直接的影響,它們都以此為依據(jù)制定本國和地區(qū)的個人信息保護法,并在此基礎上不斷進行補充和完善。在此基礎上,我國學界和實務部門對于個人信息保護法的基本原則也進行了較為充分的研究,大致形成了共識。一般認為,我國個人信息法的基本原則主要包括以下幾個方面,即公開告知原則、個人同意原則、質(zhì)量保證原則、安全保障原則、誠信履行原則。在信息社會,對個人信息進行立法保護并不是為了限制個人信息的自由流動,而是要對個人信息的流動依法進行管理和規(guī)范,以期實現(xiàn)個人信息能夠在合法、合理的狀態(tài)下流動,保障個人信息的有效、正確和安全。毋庸置疑,前述基本原則彰顯了個人信息法的人文精神和人文關懷,也體現(xiàn)了對個人信息的規(guī)范化管理。申言之,我們在充分保護個人信息的同時,也要實現(xiàn)社會信息資源的最優(yōu)化配置,既要讓個人信息真正實現(xiàn)其自身價值,又能更好地為社會公眾服務,從而在信息主體和社會公眾之間實現(xiàn)某種動態(tài)的利益平衡。
(二)權利的邊界:個人信息法律關系客體制度的厘定
個人信息法律關系的客體,是指個人信息法律關系中信息主體之間享有的民事權利和承擔的民事義務所共同指向的對象。具體地說,個人信息法律關系的客體指的就是信息主體的個人信息。當前,在個人信息的定義上,有概括型、概括列舉型和識別型三種模式。概括型就是單獨使用概括的方法描述個人信息的定義方式,列舉型是單獨使用列舉的方法界定個人信息的定義模式。單獨使用列舉型定義的立法十分少見,而大部分采取混合型定義模式或者概括型定義模式。識別型模式就是以識別為核心要素對個人信息進行界定的定義方式。相比較而言,識別型定義是目前國際和國內(nèi)立法采用較多的個人信息定義方式[3]109。盡管《指南》對“個人信息”進行了定義,但其僅僅局限于“計算機數(shù)據(jù)”,并不具有高度涵蓋性,從而缺乏普適性。筆者認為,我們可以在參考《侵權責任法》第2條立法模式的基礎上采取識別型定義法,即我國《個人信息保護法》中所講的“個人信息”是指“自然人姓名、出生日期、身份證號碼、健康狀況、基因、指紋、婚姻家庭、教育、職業(yè)、醫(yī)療、聯(lián)絡方式、財務情況、社會活動以及護照號碼等能以直接或間接方式識別該個人的信息?!?/p>
需要指出的是,《指南》將個人信息進一步區(qū)分為個人敏感信息和個人一般信息。一般來說,國際上對個人敏感信息大致有列舉法、目的法及情境法三種立法體制。我國《指南》采取了情境法模式。從理論上講,情境法是一種很靈活的方法,但采取這種立法模式將在很大程度上導致對敏感信息的認定不能確定,因為“敏感性”的判斷標準并不受法律條款本身的限制。進言之,敏感信息可能涵蓋任何信息或數(shù)據(jù),從而使得敏感信息的外延被無限擴大了。隨著互聯(lián)網(wǎng)的迅猛發(fā)展,個人敏感信息與個人一般信息之間的區(qū)別變得越來越模糊了。從歐盟數(shù)據(jù)指令和德國、瑞典及英國等國家數(shù)據(jù)保護法的適用來分析,在網(wǎng)絡環(huán)境下,將個人敏感信息與個人一般信息區(qū)分開來是一個很大的挑戰(zhàn),效果也不甚理想。筆者認為,我國未來的“個人信息保護法”是否有必要進一步區(qū)分個人敏感信息與個人一般信息,值得進一步研究[4]。
(三)權利的保障:個人信息權利救濟制度體系的構建
“無救濟即無權利”。如果要使信息主體的合法權益得到有效的法律保護,那么個人信息保護法中就應該明確規(guī)定對信息主體權利的相關救濟制度。首先,歸責原則的確定。一方面,國家機關違反法律規(guī)定,導致個人信息遭到非法收集、處理、利用或者導致其他侵害行為發(fā)生的,應該承擔無過錯責任。很多國家或地區(qū)的法律都進行了類似的規(guī)定。另一方面,非國家機關對其民事侵權行為導致?lián)p害后果發(fā)生的,應承擔過錯責任。例如,我國臺灣“個人資料保護法”第29條規(guī)定:“非公務機關違反本法規(guī)定,致個人資料遭不法搜集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限?!雹賲⒁? http://finance.cnyes.com/Content/20130301/KH6M5P9AN8CS6.shtml?c=detail其次,確立雙軌制損害賠償制度及損害賠償額的計算方法。一般地,對個人信息的侵權行為可以進一步區(qū)分為行政侵權行為和民事侵權行為兩大類?;谶@兩種侵權行為,我們可以在借鑒域外先進立法經(jīng)驗的基礎上,引進雙軌制損害賠償制度。進言之,對基于行政侵權行為而發(fā)生的損害賠償,法律可以設定最高限額的賠償范圍;對基于民事侵權行為而發(fā)生的損害賠償則實行全額賠償,法律不必設定最高限額的賠償范圍。盡管我國《侵權責任法》第 20條對侵害他人人身權益造成財產(chǎn)損失的損害賠償制度進行了較為詳盡的規(guī)定,但現(xiàn)實生活中,針對個人信息權的侵害,往往很難確定具體的損害賠償數(shù)額。有學者指出,個人信息保護法往往通過定額賠償制度來計算損害;但計算機處理個人信息的規(guī)模宏大,由于限定了最高額賠償,可能使得一些超過了最高賠償額的損害無法得到賠償。在此情況下,應允許當事人依據(jù)民法主張賠償全部損害[3]184。最后,精神損害賠償?shù)奶岢?。實踐中,個人信息經(jīng)常被濫用,進而發(fā)生身份盜用、詐騙、跟蹤(stalking)、不正當營銷活動以及對信息主體進行監(jiān)視等。這些濫用行為將會導致一些實質(zhì)性損害的發(fā)生,例如經(jīng)濟上的損失、情緒困擾,甚至身體暴力等。尤其是,身份盜用對于受害人而言簡直就是一場夢靨(nightmare)。犯罪分子通過使用受害人的個人信息獲得貸款,公開詐騙賬戶,侵占受害人賬戶中的財產(chǎn)。當身份盜用發(fā)生之后,受害者的個人檔案因為錯誤信息而被玷污——債務未清償、交通違法、逮捕以及其他令其名聲掃地的信息。因為犯罪分子盜用受害人的個人信息,執(zhí)法數(shù)據(jù)庫有時將受害者的名字與盜用者的犯罪活動聯(lián)系起來。前述侵權行為不僅給權利人造成財產(chǎn)損失,也會導致精神損害。筆者認為,當義務主體違反法律規(guī)定,導致個人信息遭到非法采集、處理、利用或者導致其他侵害情形的發(fā)生,造成信息主體嚴重精神損害的,被侵權人可以根據(jù)法律的規(guī)定請求精神損害賠償。
當前,個人信息泄露已成為一個極為嚴重的社會問題,備受社會各階層的高度關注,保護個人信息呼聲日甚。諸多原因給個人信息泄露創(chuàng)造了一個幾乎沒有“違法成本”的現(xiàn)實環(huán)境。對此,通過行政權力介入保護,顯然有必要。從某種意義上講,行政處罰有點集體維權的味道,可以迅速阻止一些影響面廣、涉及人數(shù)多的侵權行為。但對個人信息保護,單靠行政保護,顯然不夠,必須要有法律之下的權利介入。在《個人信息保護法》遲遲不能出臺的情況下,一些地方嘗試用地方法規(guī)加強個人信息保護,無疑是值得肯定的。但由于地方立法的局限,地方(政府)大都只能在行政方面加大對侵害個人信息行為的監(jiān)管和處罰力度。換句話說,地方(政府)只能依靠行政權來保護個人信息。這會有一定效果,但顯然不夠。畢竟,權利的長期缺失,其實正是個人信息保護的最大軟肋,也是個人信息泄露泛濫的最主要原因。因此,個人信息保護立法,在加強行政保護的同時,更要加強法律保護,唯有權利堅挺起來,個人信息才能真正地受到尊重和得到良好的保護[5]。同時,必須指出的是,個人信息法律保護有其深厚的倫理基礎,其理論的基石是信息主體(information entity)概念。原子世界充斥著信息、信息客體和信息主體,如果我們從網(wǎng)絡的視角來看,這個世界就是一個二進制世界(world of bits)。這樣一種倫理原則體系顯然對法律原理產(chǎn)生了相當大的影響。作為一套正式適用的道德規(guī)范,法律最終植根于一些框架性的指導原則,而信息倫理規(guī)范則提供了這樣的原則。從廣義上講,信息倫理規(guī)范可能適用于法律的所有領域,適用于原子世界里有關管理和規(guī)范現(xiàn)實生活的所有規(guī)則。但在信息法領域和法律原則中,它越來越關注的是位(bits)而不是原子,信息倫理規(guī)范得到了直接的適用。正如信息倫理規(guī)范源于計算機倫理規(guī)范一樣,將信息倫理規(guī)范適用于法律規(guī)范體系自然而然就形成了信息法的適用問題。申言之,在我國個人信息法缺位的情形下,法院司法實踐活動對保護信息主體的權益至關重要。正如博登海默教授所指出的,理性通常允許采納幾個有效的解決方法,然而面對該問題的法官卻必須設法用斬釘截鐵的手段去解決這種棘手問題[6]。令人欣慰的是,2010年11月,最高人民法院頒發(fā)了《關于案例指導工作的規(guī)定》。從理論上來說,這一《規(guī)定》解決了在此之前的司法實踐中一直存在的一個重大困惑,即對于法律沒有明文規(guī)定的民事糾紛,法院不愿也不敢作出裁判,從而導致對包括個人信息權爭議在內(nèi)的相當數(shù)量的民事糾紛無法獲得司法裁決,當事人受到侵害的權益無法得到司法救濟和保護。這也就意味著,盡管我國個人信息保護法尚未制定,但當信息主體的個人信息權受到侵害時,《規(guī)定》對權利主體進行司法救濟提供了一種現(xiàn)實的可能性。最高人民法院發(fā)布的這個《規(guī)定》對構建具有中國特色的案例指導制度意義巨大,必將對審判實踐、法學理論研究和法學教育產(chǎn)生深遠的影響,稱其為“一個具有劃時代意義的標志”毫不為過[7]。
[1] 孔令杰. 制定《個人資料保護法》的理論基礎與立法構想[J]. 重慶社會科學, 2009, (9): 96-99.
[2] 王利明. 論個人信息權在人格權法中的地位[J]. 蘇州大學學報, 2012, (6): 68-75.
[3] 齊愛民. 私法視野下的信息[M]. 重慶: 重慶大學出版社, 2012.
[4] 肖少啟, 韓登池. 論我國個人信息法律保護的制度構建[J], 中南大學學報, 2013: (4): 75-80.
[5] 李迎春. 對個人信息加強行政保護還遠遠不夠[EB/OL]. [2013-03-27]. http://news.sina.com.cn/o/2012-11-07/ 061925524745.shtml.
[6] 博登海默. 法理學: 法律哲學與法律方法[M]. 鄧正來, 譯. 北京: 中國政法大學出版社, 2004: 584.
[7] 王利明. 我國案例指導制度若干問題研究[J]. 法學, 2012, (1): 71-80.
Difficulties and Countermeasures for Legal Protection of Our Personal Information
XIAO Shaoqi
(School of Law, Shaoguan University, Shaoguan, China 512005)
The right of personal information is a basic human right. Owing to the fact that the legal provisions are scattered and are too brief, it is difficult for the subjects to obtain effective legal relief upon the leakage of their personal information. Academia has different opinions about the mode of personal information protection. In order to fully guarantee the right of personal information and ensure information security in the digital society, our urgent task is to formulate a consolidated statute to protect personal information, in which we are supposed to establish scientific principles, accurately define the object in the legal relationship of personal information, and construct sound right security systems.
Personal Information; Legal Protection; Right Relief; Legislative Perfection
D924.34
A
1674-3555(2014)02-0053-06
10.3875/j.issn.1674-3555.2014.02.008 本文的PDF文件可以從xuebao.wzu.edu.cn獲得
(編輯:付昌玲)
2013-04-03
國家社會科學基金項目(12XFX021);中央高校基本科研業(yè)務費科研專項人文社會科學類重大項目(CDJKXB12001)
肖少啟(1970- ),男,湖南衡陽人,講師,博士研究生,研究方向:民法學及法學理論