个人信息公益性增值利用的对策研究,本文主要内容关键词为:个人信息论文,公益性论文,对策研究论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
个人信息已成为当今社会最重要的资源,有极大的利用价值。为了充分实现信息资源在社会发展中的作用,中共中央办公厅、国务院办公厅颁发了《关于加强信息资源开发利用工作的若干意见》(下文简称《意见》),支持鼓励加强信息资源的公益性开发利用。但是由于对个人信息如何开发利用缺少经验,大量的个人信息处于闲置状态,造成资源的浪费;更由于缺少制度性的规范,个人信息在使用过程中造成的隐私泄露、非法交易等问题时有发生。因此,如何合理的对个人信息进行公益性增值利用,已成为一个亟待解决的问题。
1 个人信息及其利用现状
1.1 个人信息的界定
个人信息的概念始于1968年联合国“国际人权会议”提出的“资料保护”[1]。但国内外对于个人信息的称谓并不统一。中国社会科学院法学研究所研究员周汉华领衔的课题组起草完成的《中华人民共和国个人信息保护法(专家建议稿)》,使用的是“个人信息”[2]。我国台湾学者范江真微也主张使用“个人信息”(information relating to individuals)[3];陈起行则主张称为“个人隐私”(personal privacy)[4];许文义建议使用“个人资料”或“个人数据”(personal data)[5]。
本文认为,使用“个人信息”为好。个人信息是指为个人所拥有或控制的与其人格有关(即不愿意为外人所知)的全部信息,它包括姓名、电话、住址、手机号码、邮箱、健康、遗传、信用、收入等各种信息。个人隐私是指与公共利益无关的私人事宜。个人隐私可分为私人信息、私人空间,私人活动三种形式,它们对隐私从不同角度进行描述,共同构成当代隐私内容和形式的完整统一。个人数据是已经识别或可以识别的与个人相关的所有资料,可以被计算机系统识别、存储、加工处理,它包括姓名性别等自然状况、受教育程度、宗教信仰等社会背景以及婚姻状况等家庭基本情况。个人信息包括了个人隐私,它是具有属性特征的个人数据和经过加工处理的个人数据的集合,是个人数据的载体。
1.2 个人信息利用现状
个人信息是社会的基本资源,不仅具有重要的人格价值,也是商业活动中重要的决策依据,因此,个人信息也具有重要的利用价值。所谓个人信息的利用,是指使用人为实现一定的目的,将经合法收集的个人数据信息经过一定的处理或者未予处理,对内或对外进行使用。通常有两种方式,一是为了实现社会利益目的的使用,如户籍管理中的个人信息登记,公共安全管理中的个人身份识别,医疗诊断中的个人信息收集等。由于这种利用与政府等公共部门的公共事务有关,所以其利用实际上是为了完成公共任务的需要,一旦完成了公共任务,政府与公共部门就不能再超出其职能范围使用。还有一种就是商务活动中的使用,如电子商务中的个人信息注册,保险活动中的个人信息收集,银行活动中的个人信息分析等。除此之外,个人信息仍具有重要的价值。我们将个人信息在政府与公共部门公共任务之外的使用称为增值利用。在欧盟,被称为“再利用”[6]。个人信息的再利用在欧盟等国有很完善的制度规范,但在我国还处于初级阶段,相关法律还在制定之中。
2 个人信息利用的障碍
2.1 个人信息数据源的垄断
我国公民大量个人信息的“原材料”要么掌握在与政府相关的部门手中,如公安、法院、人事、劳动保障等部门,要么掌握在银行、保险、通信等机构中,处于一种非常零散的状态。公民的个人信息在不同部门有不同的标准,而各部门间的个人信息的数据档案又是相互封闭的,每个部门在面对人员的增加或减少等问题时,都要经过一个繁琐冗长的过程,费时又费力。即使同在银行部门,各银行间也有不同的标准,他们对个人的信用信息的评估各有一套标准,相互之间难以衡量,结果也缺乏可比性。
2.2 信息的非法使用阻碍了个人信息开发利用进程
个人信息的需求面很广,目前,我国个人信息使用市场很不规范,个人信息被滥用情况比较普遍,售卖个人信息和“转让”收集个人信息的情况也并不少见。现今市场上对个人信息的需求程度非常大,许多公司都希望掌握客户的手机号码、电子邮箱、家庭住址等个人信息,这样,他们可以通过向客户发送短信、电子邮件、优惠信息等方式来提高公司的知名度;为了保证雇员努力工作,不给公司带来麻烦,多方了解雇员的个人信息被雇主们认为是最明智的事先预防措施;更有些公司将这些个人信息作为其资产的一部分,在破产清算时用来抵债。此外,用户在网上为获取一定的服务而输入的个人信息以及因浏览网页而被跟踪取得的信息,其所有权究竟属于谁,在网络经营者的心目中并没有一个明确的概念。为了避免法律纠纷,越来越多的经营者决定把收集用户信息的“权利”转让给第三方。当然,第三方需要向网站支付一定的费用,名为“广告费”,实则就是为了获取用户的个人信息所支付的费用。
2.3 个人信息保护不足
《个人信息保护法》还在研究之中。对个人信息的收集、开放、使用和披露,特别是对个人信息和个人隐私没有法律上明确的界定。目前我国已有的有关个人信息保护的规定也只是散见于有关电信、互联网服务、征信等方面的行政法规、政府规章中,且这些法律规定无法应对现实情况的复杂性和可操作性。
此外,在个人征信方面,也存在着不足。我国个人信用征信制度的建设发端于金融机构对个人信用的评定,但是因为我国个人信用征信制度建设滞后,金融机构对用户个人信用的不了解,因此在信用卡、住房、汽车等贷款业务的中,金融机构不得不以繁琐的手续来进行严格的信用审查,阻碍了我国信贷消费的发展。其实,个人信贷业务可以为银行带来巨大的利润,西方发达国家银行的个人信贷业务带来的利润占总利润的50%-70%[7]。还有一些提供后付费服务的公用事业企业,如水、电、气等企业,也要面对欠费用户。他们建立了所谓的“黑名单”,但是这种“黑名单”只是在企业内部有一定的惩戒作用,若将其在媒体上公布,必将引起争议。
2.4 缺乏合理的定价和授权机制
对个人信息的采集、开放和使用,都应遵循有偿交换的原则,提供方可以依规定向采集和使用方收取一定的费用。但是这个费用如何收取,以什么标准收取,目前没有明确的规定。
信息主体将他的个人信息授权给使用方,使用方有何种权利和义务,信息主体又有何种权利和义务,使用方是否有权将信息主体的个人信息授权给第三方使用,若可以,信息主体又是否应该从第三方获取相关费用,或者该从使用方获取相关费用;若使用方擅自将个人信息的使用权授权给第三方,信息主体是否该获取一定得赔偿费用,该费用是由使用方还是第三方支付等等,都是我们所要思考的问题。
3 国际上个人信息再利用的借鉴
3.1 信息再利用的法律规范
个人信息的再利用涉及个人隐私、个人信息的安全、个人信息的权利归属、个人信息的定价等许多方面。欧洲有许多法律从不同方面对个人信息的再利用进行了明确规定。如德国于1970年颁布的世界上最早的《个人信息保护法》,主要规范政府机关在利用公众的个人信息数据时应承担的责任。1977年出台了针对消费者信用信息再利用的《联邦信息保护法》,规定了能够储存、处理、传送和重复利用的信息类型,并规定在储存、传递、修改和删除等对个人信息再利用的过程中,禁止不经本人同意或法律授权而滥用。欧盟于1995年10月24日通过了《数据保护指令》,通常称为“一般指令”,至1998年10月24日该指令已经在所有成员国中实施,指令中特别规范了对跨国个人数据的保护和个人数据再利用的行为,如允许成员国向有充分保护水平的第三国传输个人数据以充分实现数据利用的效益,促进成员国的知识增长,但对于缺乏这种保护水平的第三国,则不允许向其传输个人数据。经济与合作发展组织(OECD)在《关于隐私保护与个人数据跨界流动的指导方针》中明确提出安全保障原则,应当采取合理的安全保障措施,为个人信息再利用过程提供充分的数据保护,以防止数据丢失或者被未经授权地获取、销毁、使用、修改或披露[8]。英国《数据保护法》规定不允许以欺骗手段从数据主体处取得信息,取得个人信息必须经过有关的个人同意;只有为特定的和合法的目的,才能持有个人数据;使用或透露个人数据不得与持有数据的目的相冲突。法国《信息、档案和个人权利法》规定,收集、处理和使用个人数据时不得损害数据主体的人格、身份或其私生活,还规定机构必须公布构建数据库用于搜集资料的授权证明、构建目的及数据库类型等信息,此外,该法还对在信用调查中个人具有的权利做出了较为详尽的规定。西班牙也为防止公、私部门非法交易个人数据和非法再利用个人数据出台了《个人数据自动传递规定法》。该法规定,为防止公共或私营部门对其所拥有的个人数据交易进行非法交易,除非获得有关团体的同意,否则不得将包含有个人数据的文档用于其他目的。匈牙利《个人数据保护与公共利益数据披露法》规定对被列为国家或官方机密的个人数据,应予以特别保护,以防未经授权而被获取、修改、披露、删除、损坏或销毁[8]。欧盟议会和理事会于2003年11月17日通过了《公共部门信息再利用指令》(下文简称《指令》)对信息再利用的范围进行了严格的界定,还对信息再利用的对象、利用条件、时效性、产生的费用等方面做了详细的规定。该指令对公共部门的信息再利用做了较为全面的规范,具有里程碑的意义,也为欧盟公共部门信息再利用奠定了法律基础。
美国很早就意识到个人信息再利用的重要意义,通过颁布一系列法律来规范个人数据的采集、存储、加工、传播及再利用的活动,其目的在于最大限度减少或避免个人信息再利用过程中产生的不利影响,充分发挥其对公众个人及社会的价值。美国《文书削减法》中对政府机构对有关公民个人或组织进行的信息采集程序做了严格的要求,指派联邦管理与预算局统筹负责信息采集和利用的活动,要求实现个人信息数据效用最大化[9]。《A-130号通告》指出,政府信息是一种有重要价值的国家资源,充分利用私营部门的信息能够获利,此外,国家可以通过传播政府信息获利[10]。《阳光下的政府法》指出,公众有权取得关于联邦政府决策过程的最充分的、可以使用的信息,联邦政府要向公众提供信息,同时保护个人的各项权利和政府履行其责任的能力[11]。从以上法案中可以看出,美国倡导和鼓励私营部门对公共部门的信息进行商业性开发[12]。《信息自由法》确立了公众提出信息请求和获取政府信息的程序[13]。《隐私法》规定了美国联邦政府机构收集和使用个人信息的权限范围,并规定不得在未经当事人同意的情况下使用任何有关当事人的资料[14]。《金融隐私权利法案》旨在限制联邦政府取得银行客户资料和记录的权利,但该法案仅对联邦机构取得金融信息进行了限制,并未限制私人第三方、商业机构或当地政府,而且该法案也没有提供任何民事救济,因而无助于对受害者的救济[15]。《金融服务现代化法》中也通过专门的条款规定了对非公开的个人信息的保护[16]。
加拿大《隐私法》旨在确保个人信息披露及公开的安全性,避免因滥用个人信息而造成侵权;并规定政府机构可以向查询者提供有关本人的个人信息。《个人信息保护与电子文件法》主要用于加强对私营部门所拥有的个人信息的保护。
3.2 信息再利用的实践
1924年“图尔尼尔”案(Tournier)[17]中,图尔尼尔在银行开设账户后透支,但是未能按时还款。银行为了取得图尔尼尔的地址和电话,与其雇主联系,并向其雇主透露图尔尼尔透支的原因可能是因为参与赌马,结果导致其雇主坚决不延长和图尔尼尔的劳动合同。于是,图尔尼尔以银行违反了对客户的金融隐私保护为由对其提起诉讼。最后法院判定银行应承担赔偿责任。该案首开英美国家对金融隐私权负有保护义务的判例法之先河。
美联邦政府于2009年5月21日开通“一站式”政府数据下载网站data.gov。该网站一方面建立政府公开数据集目录,另一方面把政府数据原封不动地免费交给社会,让企业和公众充分利用政府的信息,开发出各种各样的信息服务。data.gov上线时共有47个数据集,但至2009年底已有超过17万个数据集,包括农业、艺术、金融、教育健康等[18]。
英国政府认识到,政府不仅应该公开数据,还要鼓励公众对这些数据进行再利用,以获得增值。2010年1月,“万维网之父”蒂姆·伯纳斯·李(Tim Berners Lee)揭开了英国政府数据公开门户网站的帷幕。该网站公布了近3000项数据,如:英格兰和威尔士地区的堕胎率,北爱尔兰道路交通事故的受伤人数,公寓偶然性失火的统计数字,成年人急性病的统计报告等各种各样的宏观数据统计[19]。该网站开发出来的应用程序也很多,如房价搜索引擎、图解政府预算开支、举报路面凹坑等。这些应用程序可以用来监督政府、向公众提供生活信息。由此可见,政府信息的再利用,既有社会价值,又有商业价值。
4 个人信息增值利用应采取的对策
针对我国个人信息利用的现状及其存在的障碍,在吸取了欧美等国先进的立法及实践的基础上,本文提出了以下几点对策建议。
4.1 鼓励个人信息的公益性利用
《意见》在具体措施第三条中明确指出要加强信息资源的公益性开发利用和服务。要求对具有经济和社会价值、允许加工利用的政务信息资源,应鼓励社会力量进行增值开发利用。有关部门要规范社会化增值开发利用工作。欧盟《指令》鼓励各成员国创造在线获取索引获取信息以促进再利用;且指出,公共部门的文献要对公众可用,公众不仅要关注政治决策,还要关注立法和行政决策,这是民主的一个基本原则。
在我国,鼓励个人信息的公益性利用是可行的,如政府部门可以通过对个人信息的统计分析,来分析民情、改进政策;也可以通过向其他部门开放统计结果来获得信息的增值;医疗机构可以通过对患者信息档案的分析,来研发新的医疗药品。个人信息的公益性利用也是必需的,如司法部门因案件需要,对公民的个人信息进行调阅、摘录和复制;医疗部门因治疗的需要,使用患者的医疗病历;保险机构因赔付或拒绝赔付与患者有关的事务需要,了解患者的诊治情况。在个人信息的公益性利用过程中,首先要建立统一的数据标准,实现各部门间信息的共享,这样可以避免各部门间进行个人信息采集的重复劳动,也可以减轻采集过程的成本;其次要明确个人信息的权利归属;还要做好个人信息系统的安全保密工作,这主要是从技术手段上对个人信息加以保护;最后要做好责任承担和救济措施,即当公共利益和个人利益发生冲突时,既要保证公共利益不受损失,又要保证公民的个人利益完好,一旦发生纠纷,要做好相应的法律救济措施。
4.2 规范个人信息的商业利用
个人信息在商业活动中的使用也是不可避免的,如在保险、银行、电子商务、信用、旅行等商业活动中,个人信息的收集与应用是业务活动中不可缺少的环节。本文认为,应对商业利用中的个人信息进行规范,处理好个人利益和社会利益的矛盾。如保险公司应在利益均衡的基础上,做到既能充分利用投保人的个人信息,又不损害保险公司的利益;银行可以为客户建立网上银行服务,帮助客户处理业务、进行理财以及处理信贷的申请,研究设计可供客户使用的个性化理财服务或产品;电子商务的经营者可以通过对个人信息的分析得出该消费群体的偏好以改进经营策略,为消费者提供更好的服务。当然,在商业利用的过程中,当社会公共管理有需要时,也应为公共利益提供其所掌握的有关个人信息。在商业活动中,首先要明确规定有可能成为交易对象的个人信息的种类和内容,并在利用前得到信息主体明确的、书面的同意;其次要规范交易个人信息的行为,尽量减少售卖和“转让”个人信息的情况;同时在立法方面要强调金融机构对客户的保密义务,而不是强调金融机构获取客户个人信息的权利,并建立相应的救济措施。
4.3 个人信息公益性利用纳入个人信息保护法
在信息时代,通过行政立法来对个人信息利用过程中的个人信息进行保护显得尤为重要。建立兼具行政法意义和民事法意义的个人信息保护法已成为世界各国立法发展的趋势。国际上关于个人信息保护的相关法律主要有德国的《联邦数据保护法》、英国的《数据保护法》、瑞典的《个人数据保护法》、西班牙的《个人数据保护基本法》、匈牙利的《个人数据保护与公共利益披露法案》、美国的《隐私权法》、《金融隐私权法》、加拿大的《信息获取法》、日本的《行政机关计算机处理个人信息保护法》、《个人信息保护法》、《信息公开法》等。立法保护的优势在于确立个人信息保护的各项基本原则、具体的法律制度以及相应的司法或行政救济措施。
我国台湾及香港地区早就出台了有关个人信息保护的法律,如台湾1995年《电脑处理个人资料保护法》,1996年《电脑处理个人资料保护法实行细则》,香港1996年《个人资料(私隐)条例》。我们已于2005年启动了《个人信息保护法》的立法程序,但是至今仍未出台。2008年提交至国务院的草案规定了拥有个人信息的企业与团体应承担的法律责任,除犯罪、税收记录及媒体调查外,禁止任何团体在未经个人同意的前提下,将个人信息泄露给第三方。本文认为,该法应明确规定个人信息保护的内容,清晰界定个人信息利用过程中个人信息保护的范围;明确规定个人信息保护的例外情形,即信息披露,包括信息披露程度及信息披露程序;明确规定信息主体的权利,包括知情权、报酬获得权、赔偿请求权等;明确权利救济机制,实现司法救济、行政救济和民事救济的有机统一。
4.4 建立权威的个人信用征信系统
据国家工商总局统计,因信用缺失导致经济秩序混乱造成的无效成本,已占到我国GDP的10%-20%,直接和间接的经济损失每年高达5000亿元,这种损失还在按每年10%的速度递增[20]。我们可以通过建立权威的个人征信系统来弥补这些损失。目前,我国较为完善的个人征信机构和系统主要有中国人民银行征信服务中心及其个人信用征信基础数据库、上海资信有限公司和上海市个人信用联合征信系统以及中国鹏元资信评估有限公司和深圳个人信用征信系统。但是这些系统在对个人信息的收集、利用等方面还存在缺陷,我们可以在这些实践经验的基础上,建立全国性统一的个人信用征信系统,达到资源的共享,通过征信机构对个人信用信息进行专业的分析和管理,来提高信息的增值利用的价值。首先,要明确规定个人信用信息的收集范围,对个人的负面信息可以设置一个底线,只要人们在保留期限内改正错误,就应该予以消除。其次,要做好政府信息公开,统一公共信息(如犯罪记录、违法记录和潜水记录等)的开放方式。此外,还可以建立分散的个人信用信息的收集机制,以提高征信机构收集分散的个人信用信息的积极性。这样,既有利于增强消费者信心,为消费信用长期持续、健康的增长创造条件;也使得市场交易的双方能够以最低的成本物色到最合适的交易伙伴。
4.5 建立合理的定价和授权机制
《意见》指出要确定公益性信息机构认定标准并规范其服务行为,形成合理的定价机制。我国《政府信息公开条例》强调只能在特定情况下收取成本费用。这对于鼓励个人信息公益性开发利用具有重要意义。欧盟《指令》中要求收费不得超过收集、生产、再生产和传播文献的总成本。同时,赞成根据商业或非商业目的采取不同的收费标准。另外,从信息经济学的方法来看,对于信息产品的定价基本有以下三种做法:以成本为导向、以需求为导向和以竞争为导向的定价方法。本文认为,对于个人信息的定价,可以在其收集、加工等成本的基础上,根据市场的需求,并在一定程度上考虑竞争者的价格因素,加上收取一定的利润来进行定价。也就是应遵循公益性服务的定价原则。
欧盟《指令》中提出了许可证的措施,鼓励公共部门在线提供标准的许可证,且对申请许可证的答复时间有明确规定。本文认为,个人信息的公益性利用应获得授权,可以综合使用整体授权和个别授权两种方法。一般情况下,在收集个人信息时可以附加地、非强制性地与被收集人签订相应的授权合同,依靠合同来规范收集人和被收集人之间的义务。当某种授权合同没有规定的情况发生时,如需要将某些人的个人信息投入到非公共部门的领域应用时,则应另行与被收集人取得联系并获得专门的授权。
收稿日期:2010-07-04
标签:个人信用论文; 个人信用信息基础数据库论文; 个人信息保护法论文; 法律论文; 银行论文;