论文部分内容阅读
摘 要:“人肉搜索”是公民行使监督权、批评权的一种体现,在一定程度上促进了社会民主和正义,促进了社会进步。但这种监督和批评很容易变成网络暴力,应从法律角度加以规制。我国目前对于个人信息保护的法律规定仍有欠缺,可借鉴国外的做法从立法上加以完善,包括公民享有个人信息权、信息使用者的义务、权利的救济等方面内容。
关键词:人肉搜索 个人信息权 义务 保护 立法
一、“人肉搜索”概述
“人肉搜索”即人肉搜索引擎,是指利用人工参与来提供信息的一种机制,强调搜索过程的互动。①即通过网络提出问题,由人工参与解答,工作原理与常见的机器搜索引擎的功能一样,因其信息搜集方式有了更多人力的参与而被形象地称为“人肉搜索”。
中国“人肉搜索”的起源,以2001年猫扑网(http://www.mop.com)出现的微软“陈自瑶事件”为标志。2001 年某日,有网友在猫扑网上贴出一照片,并声称此人为其女友,但立即有网友指出,此人真实身份乃号称“微软第一美女”的陈自瑶女士,并公布了陈自瑶的大部分个人信息。此后,这种信息传播方式日益凸显。
“人肉搜索”大致可以分为发起阶段、搜索阶段、事实清晰阶段、评价阶段、延伸阶段,每一阶段的内容都涉及到“被人肉者”的个人信息。发起阶段提出的问题提供最初的线索,如一张照片;搜索阶段,网民以不同心态参与进来,运用自身能力进行搜索,此时信息开始急速膨胀;事实清晰阶段是前一阶段的讨论与印证的结果;评价阶段,网民对已经得出的结论进行讨论评价,即对于所了解的事实真相发表自己的看法,形成了强大的网络舆论力量;延伸阶段,“人肉搜索”所产生的影响向现实生活延伸,形成网下舆论力量,被搜索者于现实生活中就可能遭受谩骂、滋扰,甚至是人身攻击。
“人肉搜索”的出现有其积极的一面,是公民行使监督权、批评权的一种体现,这在一定程度上促进了社会民主和正义,促进了社会进步。但这种监督和批评很容易变成网络暴力,而网络暴力的形成与被搜索者个人信息无限制公开有密切关系。因此,从法律视角看,规范这种现象就涉及到公民个人信息的保护问题。
二、个人信息概述
关于个人信息的概念,国际上有个人信息“隐私说”和个人信息“识别说”两种观点。“隐私说”中的个人信息指个人不愿向外透露或是个人认为对其来说是敏感的信息。“识别说”认为,个人信息是指一切可以识别本人的信息的总和,包括了一个人生理的、智力的、社会的、经济的等各方面信息。②采用“识别说”更符合我国的实际情况。中国社科院学者周汉华的观点很好地说明了这一点:“国际社会谈及个人信息时往往将其与个人隐私权等同,这是由这些国家的隐私权观念所决定的,但是在我国隐私权观念下,个人信息并不能完全与隐私权相提并论,隐私权仅仅是作为个人信息保护的逻辑前提和主要目的。”③
目前在我国,尚无权威部门发布统计披露个人信息被侵犯的形式和状况。但从一些案例中,可以得出目前我国对于个人信息的保护存在某种程度的失控状态,如“数万宝宝刚出生个人信息已被卖”“京东大量用户信息遭泄露,数百个人信息网上裸奔”“浦发银行涉嫌滥用消费者个人信息”等。④不单是个人或组织,一些公共部门也存在不当行为,如某些政府部门、金融机构、企事业单位等在办理业务过程中均要求提供身份证件,但由于这些机构大多没有建立妥善保管使用个人信息的机制,容易导致个人信息外泄。
针对这些侵犯个人信息的不同表现形式,在立法保护时要有针对性,这样才能全面有效地治理这些侵权行为。如何完善立法,可以借鉴国外的一些做法。
三、国外相关立法分析与比较
据学者统计,迄今为止,世界上已经制定了个人信息保护法律的国家和地区超过了50个。⑤对于个人信息保护的模式,各国政府由于对个人利益和产业利益的权衡取舍不同,存在着两种完全不同的政策倾向:一是以美国为代表的行业自律模式,一是以欧盟为代表的立法规制模式。另外,国际组织如经济合作与发展组织(OECD)亦通过相关的规定来对个人信息进行保护。
1.美国对个人信息的保护
1974年的美国《隐私权法》是规范联邦政府收集与处理个人信息的立法,是美国保护信息隐私的根本大法。除此之外,1966年《联邦信息公开法》也被认为是保护个人信息隐私的主要法律之一。该法规定涉及人事和医疗的个人信息以及以执行法律为目的所收集的个人信息,如果公开构成个人隐私侵害,应禁止公开。
不过,总体而言,对于个人信息及隐私权的保护,美国更倾向于业界自律。1997年美国总统公布的《全球电子商务框架报告》彰显了美国对个人信息保护主导行业自律的态度。报告中指出,美国政府应当避免对电子商务活动作出不适当的限制,必须坚持市场导向原则,发挥私人部门的主导作用。⑥所谓行业自律模式,“是由公司或者产业实体制定行业的行为规章或行为指引,为行业的网络隐私保护提供示范的行为模式”。⑦
行业自律模式的优势在于:一方面,可以避免在信息科技急速发展之中国家过早立法限制信息科技在社会的应用,也可以避免政府选择某种技术作标准导致立法的偏差;另一方面,不同的行业对个人信息的收集与处理是不同的,行业自律可以增强个人信息保护的针对性。然而,行业自律模式也有着明显的缺陷,如强制力缺乏、普遍性不足、对消费者保护不利、合法性质疑、实效不理想等,这些缺陷一直是学者们诟病的焦点。
2.欧盟对个人信息的法律保护
欧盟《个人数据保护指令》1998年正式生效,该指令立法目标之一是保护个人信息处理过程中自然人的基本权利和自由。作为欧盟个人信息保护方面最重要的立法文件,《个人数据保护指令》的适用范围相当广泛,既适用于商业机构和自然人,也适用于政府机构。该指令确定了处理个人信息的数项基本规范,以供各会员国在制订或修正国内法时作为依据。这些只是欧盟最低保护下限,各会员国可以制订更高的标准。2002年6月欧盟理事会批准并由欧洲议事会全体表决通过了《隐私与电子通讯指令》修正案,与《个人数据保护指令》相比,更加具体,前者只是提供基本的法律保护框架,而后者提供更加具体的规则,并且适用具有优先性。⑧ 3.经济合作与发展组织对个人信息的保护
1980年,经济合作与发展组织(OECD)理事会批准通过了《关于隐私保护与个人资料跨国流通的指针的建议》,其宗旨在于规范个人信息的利用,促进个人信息的自由流通,平衡个人信息保护与全球经济增长的需要。该指针内容虽然仅仅是为个人资料保护提供参考而没有法律约束力,但仍然在全球范围内产生了巨大影响,特别是OECD在建议书第二章中提倡的八项原则己经成为国际上制订个人信息保护文件的通行标准。⑨
四、我国个人信息保护现状
我国个人信息保护制度建设起步较晚,到目前为止仍没有建立独立的个人信息保护法或在某部法律、法规中用专门的篇章来规定对个人信息的保护,因此,对个人信息的保护只能依据零散的相关法律、法规及司法解释。
1.《宪法》的原则性规定
我国《宪法》第38条规定:“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”第40条规定:“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”这两条规定对个人信息保护做出了原则性阐述,也为其他部门法或法规、规章保护个人信息提供了最根本的依据。
2.《民法通则》的间接保护规定
我国《民法通则》并没有提出隐私权概念,没有将隐私权作为一项独立的人格权予以保护,仅在第101条规定:“公民、法人享有名誉权,公民的人格尊严受法律保护,禁止用侮辱、诽谤等方式损害公民、法人的名誉。”
3.《侵权责任法》的保护规定
《中华人民共和国侵权责任法》第36条规定:“网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。”第62条规定:“医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。”
4.《刑法》的保护规定
在《中华人民共和国刑法修正案(七)》出台以前,《刑法》仅就严重侵犯个人隐私或名誉的行为规定了侮辱罪和诽谤罪两大罪名,并没有就侵犯个人信息的行为予以直接规定。2009年2月28日通过的《中华人民共和国刑法修正案(七)》,明确在《刑法》第253条后补充:“国家机关或者金融、电信……等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他责任人员,依照该款的规定处罚。”侵犯个人信息权入罪,反映了我国加大个人信息保护的力度,但是该补充规定,对犯罪主体、客观行为的限定缩小了个人信息保护的范围,同时也未就情节严重做出一个确切的界定。
5.其他部门法的规定
在一些涉及特殊群体权利保护的部门法中,也有个人信息保护的相关规定,这些保护仅限于特殊群体而不是普通大众,如《中华人民共和国未成年人保护法》第30条、《中华人民共和国妇女权益保障法》第39条。
6.其他
在有关互联网、电子计算机等行业的专门规章里面,也规定了一些关于网络隐私权保护的零星规定。如信息产业部2000年发布施行的《互联网电子公告服务管理规定》规定:“电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意,不得向他人泄露,违反此类规定者,由电信管理机构责令改正,给商务用户造成损害或者损失的,依法承担法律责任。”此外还有《计算机信息网络国际联网安全保护管理办法》第7条的规定等。这些部门规定基本上都提到了对隐私和其他合法活动予以保护,但是没有给“隐私和其他活动”的具体概念以及客体所应该包含的内容做一个界定,也没有明确规定关于网络服务提供者的责任以及实际侵权人的责任问题。
五、完善我国个人信息保护的立法构想
1.立法模式
当前,个人信息保护立法己于全球普遍展开,制订我国的个人信息保护法,应当注意与国际准则接轨。上文介绍了以欧盟为代表的立法规制模式,以及以美国为代表的行业自律模式。笔者赞成以立法规制模式为主,同时重视行业自律模式的作用。主要是因为:首先,我国是成文法国家,现行的立法和司法解释构成了我国的法律体系,采取立法模式顺应我国的社会背景,并且具有法律上的强制执行力,能够有效保护个人权利。其次,当前我国隐私权保护的法律基础比较薄弱,普遍缺乏尊重和保护他人权利的意识,采取自律的方式无异于缘木求鱼,缺乏相应的制度与人文基础。再次,行业自律缺乏统一的严格的标准。其实当前各个商家尤其是网站基本上都有相应的信息保护规则,承诺保护个人的信息权利,但这些规定呈现参差不齐的状态,没有统一的标准,而且,能否被真正执行也存在疑问。
2.立法的基本原则
结合国外尤其是OECD立法经验,我国未来的个人信息保护立法可以采取以下原则:
(1)直接原则。个人信息原则上应该直接向本人收集。
(2)目的明确原则。个人信息在收集之前就必须有明确的特定目的,必须在事先确定的目的范围内使用所收集的个人信息,禁止超出目的范围使用个人信息。
(3)收集手段合法原则。信息的收集须依合法及公正的手段,个人信息的取得方法必须是合法、公正的,且应该通知信息主体并取得其同意。
(4)内容准确原则。收集个人信息应该遵从其特定目的,在特定目的范围内必须保持准确、相关、适时、完整。
(5)公开原则。对个人信息的收集、处理与利用一般应保持公开,本人有权知悉个人信息的收集与利用情况。
(6)信息主体参与原则。当事人可以向信息持有者确认是否持有关于自己的信息,信息持有者应允许当事人查询、修改及补充关于自己的信息。如果信息持有者不予以接受前述查询、更改、补充等请求,允许当事人异议直至最后请求司法救济。 (7)安全保护原则。个人信息收集和使用的机构必须采取一切可能的措施,保障所收集的个人信息在存储和传输过程中的安全,避免个人信息的泄漏、意外灭失和不当使用。
(8)责任原则。持有个人信息的个人或机构,如果使个人受到不利影响或损失,应负损害赔偿责任。
3.主要内容
根据前述的个人信息保护原则,笔者认为我国个人信息保护法的主要内容应当包括以下几方面。
(1)公民享有个人信息权。个人信息权首先应当包括个人信息决定权,即决定个人信息是否能够被收集、处理和利用以及以何种方式、目的,在多大范围内被收集、利用的权利。其次是个人信息获取权,指公民通过一定方式从有关部门获取关于本人的各项信息的权利。第三是个人信息使用情况知悉权,指本人有了解自身信息被使用的情况的权利。第四是个人信息更正权,指个人有要求信息所有者修改、补充、删除不正确信息的权利,以维护本人的权益。以上列出了个人信息权的几项主要内容,另外,还应该包括获得报酬权、获得救济权,等等。这一权利的内涵与外延随着实践的发展也在不断丰富。
(2)信息使用者的义务。信息使用者分为公共部门与非公共部门。不论公共部门还是非公共部门,首先要履行的是限制使用目的的义务,指信息使用者必须在一定的范围内使用该信息,未经信息本人的允许不能擅自改变使用目的与范围。其次,告知义务,指信息使用者使用公民的个人信息应当事先征得其本人的同意,并将使用目的、范围等情况告知信息本人。信息使用者还应当向信息本人和社会公开信息使用情况。信息本人通过申请,能够通过一定形式获个人信息收集、处理的情况,社会中第三人通过一定程序,依据法定事由,可以要求有关部门公开有关信息。当然,对于涉及公共利益和个人隐私的信息除外。与上文权利内容一样,义务内容也会随着社会的发展不断发展,在此只列出了几项基本的义务。
(3)权利的救济。依据实践中侵犯个人信息权利的性质不同,主要有行政、民事、刑事三种救济途径。针对行政机关在收集、存储、使用、传播等处理个人信息的过程中,违反法律规定,侵犯行政相对人个人信息权时应当诉诸行政救济手段。公民或法人损害个人信息权的行为如果造成信息本人经济损失或精神损害,应当承担民事责任。对于严重侵犯个人信息权触犯刑法的行为,应当追究刑事责任。
总之,随着信息技术以及互联网的发展,个人信息的收集、处理与利用变得越来越容易,这对人与人、人与社会之间的关系产生了重大影响,个人信息保护问题越来越成为一件必须面对并解决的问题。我国目前存在对个人信息的保护,但还远远不够,通过立法弥补存在的不足,是必然的趋势。完善立法要在借鉴他国经验的基础上,深入分析研究本国的实际情况,制订出适应需要的个人信息保护法。
注 释
①叶柳呈 《“人肉搜索”与隐私权的保护》,载《法制与社会》,2012年第4期。
②齐爱民 《个人信息保护法研究》,载《河北法学》,2008年第4期。
③周汉华 《个人信息保护:公民的一项基本权利》,http://www.civillaw.com.cn/qqf/weizhang.asp?id=21222,访问日期2012年6月11日。
④笔者于2012年6月15日在百度里输入“个人信息”这一关键词,出现的新闻报道。
⑤周汉华 《个人信息保护前沿问题研究》,法律出版社,2006年版,第220页。
⑥张新宝 《互联网上的侵权行为研究》,中国人民大学出版社,2003年版,第202页。
⑦蒋坡 《国际信息政策法律比较》,法律出版社,2001年版,第443页。
⑧[德]库勒著,旷野 杨会永等译 《欧洲数据保护法:公司遵守与管制》,法律出版社,2008年版,第26~29页。
⑨齐爱民 《中国信息立法研究》,武汉大学出版社,2009年版,第55~56页。
(作者单位:中国传媒大学政治与法律学院)
(本文编辑:宁黎黎)
关键词:人肉搜索 个人信息权 义务 保护 立法
一、“人肉搜索”概述
“人肉搜索”即人肉搜索引擎,是指利用人工参与来提供信息的一种机制,强调搜索过程的互动。①即通过网络提出问题,由人工参与解答,工作原理与常见的机器搜索引擎的功能一样,因其信息搜集方式有了更多人力的参与而被形象地称为“人肉搜索”。
中国“人肉搜索”的起源,以2001年猫扑网(http://www.mop.com)出现的微软“陈自瑶事件”为标志。2001 年某日,有网友在猫扑网上贴出一照片,并声称此人为其女友,但立即有网友指出,此人真实身份乃号称“微软第一美女”的陈自瑶女士,并公布了陈自瑶的大部分个人信息。此后,这种信息传播方式日益凸显。
“人肉搜索”大致可以分为发起阶段、搜索阶段、事实清晰阶段、评价阶段、延伸阶段,每一阶段的内容都涉及到“被人肉者”的个人信息。发起阶段提出的问题提供最初的线索,如一张照片;搜索阶段,网民以不同心态参与进来,运用自身能力进行搜索,此时信息开始急速膨胀;事实清晰阶段是前一阶段的讨论与印证的结果;评价阶段,网民对已经得出的结论进行讨论评价,即对于所了解的事实真相发表自己的看法,形成了强大的网络舆论力量;延伸阶段,“人肉搜索”所产生的影响向现实生活延伸,形成网下舆论力量,被搜索者于现实生活中就可能遭受谩骂、滋扰,甚至是人身攻击。
“人肉搜索”的出现有其积极的一面,是公民行使监督权、批评权的一种体现,这在一定程度上促进了社会民主和正义,促进了社会进步。但这种监督和批评很容易变成网络暴力,而网络暴力的形成与被搜索者个人信息无限制公开有密切关系。因此,从法律视角看,规范这种现象就涉及到公民个人信息的保护问题。
二、个人信息概述
关于个人信息的概念,国际上有个人信息“隐私说”和个人信息“识别说”两种观点。“隐私说”中的个人信息指个人不愿向外透露或是个人认为对其来说是敏感的信息。“识别说”认为,个人信息是指一切可以识别本人的信息的总和,包括了一个人生理的、智力的、社会的、经济的等各方面信息。②采用“识别说”更符合我国的实际情况。中国社科院学者周汉华的观点很好地说明了这一点:“国际社会谈及个人信息时往往将其与个人隐私权等同,这是由这些国家的隐私权观念所决定的,但是在我国隐私权观念下,个人信息并不能完全与隐私权相提并论,隐私权仅仅是作为个人信息保护的逻辑前提和主要目的。”③
目前在我国,尚无权威部门发布统计披露个人信息被侵犯的形式和状况。但从一些案例中,可以得出目前我国对于个人信息的保护存在某种程度的失控状态,如“数万宝宝刚出生个人信息已被卖”“京东大量用户信息遭泄露,数百个人信息网上裸奔”“浦发银行涉嫌滥用消费者个人信息”等。④不单是个人或组织,一些公共部门也存在不当行为,如某些政府部门、金融机构、企事业单位等在办理业务过程中均要求提供身份证件,但由于这些机构大多没有建立妥善保管使用个人信息的机制,容易导致个人信息外泄。
针对这些侵犯个人信息的不同表现形式,在立法保护时要有针对性,这样才能全面有效地治理这些侵权行为。如何完善立法,可以借鉴国外的一些做法。
三、国外相关立法分析与比较
据学者统计,迄今为止,世界上已经制定了个人信息保护法律的国家和地区超过了50个。⑤对于个人信息保护的模式,各国政府由于对个人利益和产业利益的权衡取舍不同,存在着两种完全不同的政策倾向:一是以美国为代表的行业自律模式,一是以欧盟为代表的立法规制模式。另外,国际组织如经济合作与发展组织(OECD)亦通过相关的规定来对个人信息进行保护。
1.美国对个人信息的保护
1974年的美国《隐私权法》是规范联邦政府收集与处理个人信息的立法,是美国保护信息隐私的根本大法。除此之外,1966年《联邦信息公开法》也被认为是保护个人信息隐私的主要法律之一。该法规定涉及人事和医疗的个人信息以及以执行法律为目的所收集的个人信息,如果公开构成个人隐私侵害,应禁止公开。
不过,总体而言,对于个人信息及隐私权的保护,美国更倾向于业界自律。1997年美国总统公布的《全球电子商务框架报告》彰显了美国对个人信息保护主导行业自律的态度。报告中指出,美国政府应当避免对电子商务活动作出不适当的限制,必须坚持市场导向原则,发挥私人部门的主导作用。⑥所谓行业自律模式,“是由公司或者产业实体制定行业的行为规章或行为指引,为行业的网络隐私保护提供示范的行为模式”。⑦
行业自律模式的优势在于:一方面,可以避免在信息科技急速发展之中国家过早立法限制信息科技在社会的应用,也可以避免政府选择某种技术作标准导致立法的偏差;另一方面,不同的行业对个人信息的收集与处理是不同的,行业自律可以增强个人信息保护的针对性。然而,行业自律模式也有着明显的缺陷,如强制力缺乏、普遍性不足、对消费者保护不利、合法性质疑、实效不理想等,这些缺陷一直是学者们诟病的焦点。
2.欧盟对个人信息的法律保护
欧盟《个人数据保护指令》1998年正式生效,该指令立法目标之一是保护个人信息处理过程中自然人的基本权利和自由。作为欧盟个人信息保护方面最重要的立法文件,《个人数据保护指令》的适用范围相当广泛,既适用于商业机构和自然人,也适用于政府机构。该指令确定了处理个人信息的数项基本规范,以供各会员国在制订或修正国内法时作为依据。这些只是欧盟最低保护下限,各会员国可以制订更高的标准。2002年6月欧盟理事会批准并由欧洲议事会全体表决通过了《隐私与电子通讯指令》修正案,与《个人数据保护指令》相比,更加具体,前者只是提供基本的法律保护框架,而后者提供更加具体的规则,并且适用具有优先性。⑧ 3.经济合作与发展组织对个人信息的保护
1980年,经济合作与发展组织(OECD)理事会批准通过了《关于隐私保护与个人资料跨国流通的指针的建议》,其宗旨在于规范个人信息的利用,促进个人信息的自由流通,平衡个人信息保护与全球经济增长的需要。该指针内容虽然仅仅是为个人资料保护提供参考而没有法律约束力,但仍然在全球范围内产生了巨大影响,特别是OECD在建议书第二章中提倡的八项原则己经成为国际上制订个人信息保护文件的通行标准。⑨
四、我国个人信息保护现状
我国个人信息保护制度建设起步较晚,到目前为止仍没有建立独立的个人信息保护法或在某部法律、法规中用专门的篇章来规定对个人信息的保护,因此,对个人信息的保护只能依据零散的相关法律、法规及司法解释。
1.《宪法》的原则性规定
我国《宪法》第38条规定:“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”第40条规定:“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”这两条规定对个人信息保护做出了原则性阐述,也为其他部门法或法规、规章保护个人信息提供了最根本的依据。
2.《民法通则》的间接保护规定
我国《民法通则》并没有提出隐私权概念,没有将隐私权作为一项独立的人格权予以保护,仅在第101条规定:“公民、法人享有名誉权,公民的人格尊严受法律保护,禁止用侮辱、诽谤等方式损害公民、法人的名誉。”
3.《侵权责任法》的保护规定
《中华人民共和国侵权责任法》第36条规定:“网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。”第62条规定:“医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。”
4.《刑法》的保护规定
在《中华人民共和国刑法修正案(七)》出台以前,《刑法》仅就严重侵犯个人隐私或名誉的行为规定了侮辱罪和诽谤罪两大罪名,并没有就侵犯个人信息的行为予以直接规定。2009年2月28日通过的《中华人民共和国刑法修正案(七)》,明确在《刑法》第253条后补充:“国家机关或者金融、电信……等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他责任人员,依照该款的规定处罚。”侵犯个人信息权入罪,反映了我国加大个人信息保护的力度,但是该补充规定,对犯罪主体、客观行为的限定缩小了个人信息保护的范围,同时也未就情节严重做出一个确切的界定。
5.其他部门法的规定
在一些涉及特殊群体权利保护的部门法中,也有个人信息保护的相关规定,这些保护仅限于特殊群体而不是普通大众,如《中华人民共和国未成年人保护法》第30条、《中华人民共和国妇女权益保障法》第39条。
6.其他
在有关互联网、电子计算机等行业的专门规章里面,也规定了一些关于网络隐私权保护的零星规定。如信息产业部2000年发布施行的《互联网电子公告服务管理规定》规定:“电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意,不得向他人泄露,违反此类规定者,由电信管理机构责令改正,给商务用户造成损害或者损失的,依法承担法律责任。”此外还有《计算机信息网络国际联网安全保护管理办法》第7条的规定等。这些部门规定基本上都提到了对隐私和其他合法活动予以保护,但是没有给“隐私和其他活动”的具体概念以及客体所应该包含的内容做一个界定,也没有明确规定关于网络服务提供者的责任以及实际侵权人的责任问题。
五、完善我国个人信息保护的立法构想
1.立法模式
当前,个人信息保护立法己于全球普遍展开,制订我国的个人信息保护法,应当注意与国际准则接轨。上文介绍了以欧盟为代表的立法规制模式,以及以美国为代表的行业自律模式。笔者赞成以立法规制模式为主,同时重视行业自律模式的作用。主要是因为:首先,我国是成文法国家,现行的立法和司法解释构成了我国的法律体系,采取立法模式顺应我国的社会背景,并且具有法律上的强制执行力,能够有效保护个人权利。其次,当前我国隐私权保护的法律基础比较薄弱,普遍缺乏尊重和保护他人权利的意识,采取自律的方式无异于缘木求鱼,缺乏相应的制度与人文基础。再次,行业自律缺乏统一的严格的标准。其实当前各个商家尤其是网站基本上都有相应的信息保护规则,承诺保护个人的信息权利,但这些规定呈现参差不齐的状态,没有统一的标准,而且,能否被真正执行也存在疑问。
2.立法的基本原则
结合国外尤其是OECD立法经验,我国未来的个人信息保护立法可以采取以下原则:
(1)直接原则。个人信息原则上应该直接向本人收集。
(2)目的明确原则。个人信息在收集之前就必须有明确的特定目的,必须在事先确定的目的范围内使用所收集的个人信息,禁止超出目的范围使用个人信息。
(3)收集手段合法原则。信息的收集须依合法及公正的手段,个人信息的取得方法必须是合法、公正的,且应该通知信息主体并取得其同意。
(4)内容准确原则。收集个人信息应该遵从其特定目的,在特定目的范围内必须保持准确、相关、适时、完整。
(5)公开原则。对个人信息的收集、处理与利用一般应保持公开,本人有权知悉个人信息的收集与利用情况。
(6)信息主体参与原则。当事人可以向信息持有者确认是否持有关于自己的信息,信息持有者应允许当事人查询、修改及补充关于自己的信息。如果信息持有者不予以接受前述查询、更改、补充等请求,允许当事人异议直至最后请求司法救济。 (7)安全保护原则。个人信息收集和使用的机构必须采取一切可能的措施,保障所收集的个人信息在存储和传输过程中的安全,避免个人信息的泄漏、意外灭失和不当使用。
(8)责任原则。持有个人信息的个人或机构,如果使个人受到不利影响或损失,应负损害赔偿责任。
3.主要内容
根据前述的个人信息保护原则,笔者认为我国个人信息保护法的主要内容应当包括以下几方面。
(1)公民享有个人信息权。个人信息权首先应当包括个人信息决定权,即决定个人信息是否能够被收集、处理和利用以及以何种方式、目的,在多大范围内被收集、利用的权利。其次是个人信息获取权,指公民通过一定方式从有关部门获取关于本人的各项信息的权利。第三是个人信息使用情况知悉权,指本人有了解自身信息被使用的情况的权利。第四是个人信息更正权,指个人有要求信息所有者修改、补充、删除不正确信息的权利,以维护本人的权益。以上列出了个人信息权的几项主要内容,另外,还应该包括获得报酬权、获得救济权,等等。这一权利的内涵与外延随着实践的发展也在不断丰富。
(2)信息使用者的义务。信息使用者分为公共部门与非公共部门。不论公共部门还是非公共部门,首先要履行的是限制使用目的的义务,指信息使用者必须在一定的范围内使用该信息,未经信息本人的允许不能擅自改变使用目的与范围。其次,告知义务,指信息使用者使用公民的个人信息应当事先征得其本人的同意,并将使用目的、范围等情况告知信息本人。信息使用者还应当向信息本人和社会公开信息使用情况。信息本人通过申请,能够通过一定形式获个人信息收集、处理的情况,社会中第三人通过一定程序,依据法定事由,可以要求有关部门公开有关信息。当然,对于涉及公共利益和个人隐私的信息除外。与上文权利内容一样,义务内容也会随着社会的发展不断发展,在此只列出了几项基本的义务。
(3)权利的救济。依据实践中侵犯个人信息权利的性质不同,主要有行政、民事、刑事三种救济途径。针对行政机关在收集、存储、使用、传播等处理个人信息的过程中,违反法律规定,侵犯行政相对人个人信息权时应当诉诸行政救济手段。公民或法人损害个人信息权的行为如果造成信息本人经济损失或精神损害,应当承担民事责任。对于严重侵犯个人信息权触犯刑法的行为,应当追究刑事责任。
总之,随着信息技术以及互联网的发展,个人信息的收集、处理与利用变得越来越容易,这对人与人、人与社会之间的关系产生了重大影响,个人信息保护问题越来越成为一件必须面对并解决的问题。我国目前存在对个人信息的保护,但还远远不够,通过立法弥补存在的不足,是必然的趋势。完善立法要在借鉴他国经验的基础上,深入分析研究本国的实际情况,制订出适应需要的个人信息保护法。
注 释
①叶柳呈 《“人肉搜索”与隐私权的保护》,载《法制与社会》,2012年第4期。
②齐爱民 《个人信息保护法研究》,载《河北法学》,2008年第4期。
③周汉华 《个人信息保护:公民的一项基本权利》,http://www.civillaw.com.cn/qqf/weizhang.asp?id=21222,访问日期2012年6月11日。
④笔者于2012年6月15日在百度里输入“个人信息”这一关键词,出现的新闻报道。
⑤周汉华 《个人信息保护前沿问题研究》,法律出版社,2006年版,第220页。
⑥张新宝 《互联网上的侵权行为研究》,中国人民大学出版社,2003年版,第202页。
⑦蒋坡 《国际信息政策法律比较》,法律出版社,2001年版,第443页。
⑧[德]库勒著,旷野 杨会永等译 《欧洲数据保护法:公司遵守与管制》,法律出版社,2008年版,第26~29页。
⑨齐爱民 《中国信息立法研究》,武汉大学出版社,2009年版,第55~56页。
(作者单位:中国传媒大学政治与法律学院)
(本文编辑:宁黎黎)