公共部门信息增值利用中的个人信息保护立法研究,本文主要内容关键词为:个人信息论文,部门论文,信息论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
1 我国个人信息保护现有法律保障体系
在我国现有法律体系中,已有不少相关法律、法规以及规章中对个人信息予以保护并对相关侵权行为进行了规范。作为国家具有最高法律效力的法,我国《宪法》中的第38条,第39条以及第40条强调了对个人的人格尊严,个人信息权利的保护。由此可见我国法律界对于个人信息保护的重视。
我国法律对个人信息的保护也做出了相关的规定。《民法通则》中第100条,第101条,第140条中对个人的肖像权、名誉权、姓名权进行保护。《中华人民共和国刑法》中的第243条,第245条,第246条对诬告陷害,非法搜查、非法入侵,侮辱、诽谤,通信自由,私自开拆、隐匿、毁弃邮件、电报,非法窃听和偷拍等对个人隐私权和个人信息造成侵害的行为进行了界定并对相关适用的法律进行了规范。《民事诉讼法》中第66条,第120条中规定了对个人隐私在法庭审理可以申请不公开。《刑事诉讼法》中第85条,第93条,第109条中要求报案人、控告人、举报人的姓名权和行为保密,以及不公开审理个人隐私案件,未满18岁不公开审理,对公诉各方个人信息的保密性和隐私权予以保护。
此外,在一些相关的特别法中,对个人信息的保护也做出了具体规定。如《中华人民共和国未成年人保护法》中的第30条以及《预防未成年人犯罪法》中的第45条强调了对未成年人个人隐私进行保护;《妇女权益保障法》中第39条强调了对妇女的名誉权和人格尊严的保护;《消费者权益保护法》中第25条强调了对消费者的隐私权和个人信息的保护。《计算机信息网络国际联网安全保护管理办法》中第4条,第7条对涉及个人信息保护的权责予以规范。
2 现有法律体系在个人信息增值利用中存在的问题
2.1 对个人信息增值利用发展障碍
从国内的视角来看,个人信息主要是以名誉权的方式保护,却没有将隐私权作为基本权进行保护,同时可以发现对完备的个人信息保护的缺失。虽然我国在2005年就启动了制定我国个人信息保护法的立法程序,先后有专家学者提交了建议稿,但是并未审批出台我国的《个人信息保护法》。这些举措虽然表明我国对个人信息的保护已提上议程,但目前立法的缺失已经是阻碍公共部门信息增值利用的最大障碍。这样的缺失对维护国家经济福利,医疗卫生等公共利益、财政利益、社会保护以及政府信息资源的增值利用产生了严重壁垒,严重制约了我国中共中央办公厅、国务院办公厅《关于加强信息资源开发利用工作的若干意见》(中办发[2004]34号)所倡导的政府信息资源开发利用的发展。
从国际视角来看,与欧盟进行个人数据合作流动的第三国必须通过欧盟委员会的充分性保护标准,因此,各个国家和地区开始制定和完善自己的个人信息保护法,来满足欧盟的要求。但是目前为止只有为数不多的国家满足欧盟提出的充分性标准。美国为了与欧盟达成充分性保护标准,就安全港协议谈判了近两年,最后在2007年欧盟批准了该协议,但是一旦救济被证明不充分,将重新开启谈判协议[1]。可以看出,对国际社会来说,对个人信息的保护和流动的要求非常高,没有完整充分的个人信息保护体系是很难开展对个人信息增值利用的国际合作。
2.2 个人信息增值利用中的实施障碍
目前在我国,公共部门在对个人信息的增值利用过程中所依赖的是公共部门自身的自我管理和自我监督模式。法律对一些公共部门在个人信息保护中的权责问题进行规范时,仅仅对公共部门中相关工作人员和管理人员的权责进行规范,如《律师法》中的第33条,第44条,以及《律师职业道德和执业纪律规范》第9条要求律师不得泄露当事人隐私,对当事人的隐私进行保护;《统计法》中的第14条要求保护私人、家庭单项调查材料,非经本人许可,不能泄露;《证券法》中的第38条,《中华人民共和国商业银行法》中的第29条以及《个人信用信息基础数据库金融机构用户管理办法》中的第7条,第8条,第10条要求金融机构对于客户的账户信息、交易信息等个人信息予以保护;《中华人民共和国居民身份证法》中第19条要求公安机关必须对个人身份证相关的个人信息予以保护,不得泄露、非法变更或故意登载虚假信息;《中华人民共和国档案法》中第14条,第15条,第16条对我国档案管理中的保管、加密、利用、销毁等行为予以规范。然而,并未设立监管机制。上述模式虽然对公共部门增值利用中个人信息的保护具有一定效用,但是在实际过程中,难以实现有效管理。
尽管我国《刑法修正案》新增加的第253条中,明确对国家机关、医疗、交通、金融、电信等公共部门的工作人员恶意泄露个人信息的行为进行严厉的处罚,但是在法律的实施过程中,并未指定个人信息的实际监管部门。公共部门的信息增值利用中个人信息的收集、保存、传播和利用通常会涉及实施上述行为的公共部门本身的利益。因此,社会难以依赖由公共部门自身实施的自我监督机制。除此之外,由于公共部门的个人信息增值利用中个人信息泄露或者被滥用的受害者和相关公共部门在公共资源和能力上的非对等性,受害者依赖法律和相关制度获取救济的难度往往很大,难以保障受害者的合法权益。
3 欧美公共部门信息增值利用中的个人信息保护立法现状
3.1 欧盟
1)个人信息立法保护实践。20世纪80年代开始,隐私权在欧盟具有基本人权的地位。但是对于个人信息保护的法案建设,欧盟采取的是一种全面综合的立法模式,有明确而详尽的法律来保护[2]。由于特殊的历史背景,二战期间,纳粹的行为对欧洲人影响较大,因此在对个人信息的保护上,欧洲人显得颇为谨慎。在1981年,斯特拉斯堡就制定了第108号《有关个人数据自动化处理之个人保护公约》[3],在2001年为了使各国监管机构独立履行职责,加强信息流动和对人权的保护增加了一个附加协议书。
随着欧洲议会和欧盟理事会1995年10月24日制定的《关于涉及个人数据处理的个人保护以及此种数据自由流动的指令(95/46/EC)》,这是欧盟数据保护规章的核心。其制定了一系列所有的成员国实施的原则和规则[3]。该指令第一条的目标指出要保护个人的基本权利,并确保了信息要在各成员国中自由流动。在考虑个人利益和公共利益的时候,该指令第13条规定了例外和限制,充分体现了个人信息虽然是一项基本权利应受到保护但不是绝对保密,可以在使用的范围上进行控制。这样可以促进公共利益的开发,实现个人利益和公共利益的平衡。
欧盟在保护个人信息时采取了有效的监督方式,其中第28条建立了监管机构,第29条,第30条构建了设计个人数据处理时保护个人信息的工作组。这些部门独立于其他机关存在,被赋予调查权、有效干涉权和提交诉讼的权力。在救济方面,第22条,第23条以及第24条分别就司法救济,责任和制裁进行了解释。说明任何人都可以在个人权利被侵害时提交给监督机构审查,但依然同时享受司法救济权,然而对侵权行为也是有责任判断,对确实违反了相应规定的行为进行制裁。
2)公共部门信息中个人信息增值利用立法。欧盟委员会1999年出版了绿皮书《公共部门信息:欧洲的关键资源》。欧盟议会和理事会于2003年通过了《公共部门信息再利用指令》,该指令奠定了欧盟政府信息增值开发的法律依据,极大促进了欧盟政府信息增值开发的速度和强度[4]。针对增值利用中的个人信息问题,在该指令中,第21条指出要充分地实施和应用第95/46/EC号文件来保护处理个人数据和自由。同时,该指令中的指导第5条指明“个人数据”采用95/46/EC中第2款(a)所定义的。这说明,在公共部门信息再利用中,欧盟采取的是以95/46/EC为主导的一种保护模式。
另外,经济合作与发展组织(OECD)在1980年制定了关于隐私保护与个人数据跨界流动的指导方针[3]。针对国内适用、实施,国际适用、合作,满足个人数据自由流动与合法限制。在这之后,欧盟为了欧共体机构和组织关于保障个人信息保护和信息流动以及给个人提供法律上可以强制执行的权利,为了明确欧共体机构和组织数据处理的义务,以及创立一个独立监管机构来监控其行为,欧洲议会和欧盟理事会2000年12月18日增订了《关于欧共体机构和组织个人数据处理的个人保护以及此类数据自由流动的规章》(欧共体规章第45号/2001)。而后,针对通信机密性,欧洲议会和欧盟理事会2002年7月12日通过了《关于电子通信领域个人数据处理和隐私保护的指令》(2002/58/EC号)。
3.2 美国
1)个人信息立法保护实践。在美国,关于个人信息的法律保护问题,缺乏一个综合、统一的立法[5]。1890年,哈佛大学法学院的Samuel D.Warren和Louis D.Brandies在Harvard Law Review第4期上发表了The Right of Privacy[6]一文,从侵权行为法的角度,建立了隐私权存在的依据,提出了对于隐私权的讨论,并认为其是一种不受干扰的权利(Right to be Let Alone)。根据隐私权的理论,美国将个人信息作为一种隐私的形式进行保护,在1974年12月31日,美国参众两院通过了《隐私法》(The Privacy Act)。该法是美国第一部规范公共部门处理个人记录,包括对个人信息的收集、使用、公开和保密等,既保护个人的隐私信息又平衡了公共利益,提出在信息收集的目的范围内对信息的使用。在使用的原则上,以信息自由流动为目标,考虑到对个人有实质性侵害的情况下再用法律规制[7]。但是该法没有设立专门的监督机构,只是设立了具有研究、咨询性质的隐私权保护研究委员会。如果个人受到侵害,该法还提出了民事救济的方案,包括有行政救济和司法救济。
与此同时,美国还针对特定信息制定了一系列的法律来完善并保障个人信息的安全,包括《公平信用报告法》、《家庭教育权和隐私法》、《电子基金转移法》、《有线通信隐私政策法》、《电子通信隐私法》、《录像带隐私保护法》、《计算机比对和隐私权保护法》、《公开信用报告法革新法》、《电信法》、《儿童上网隐私保护法》。
2)公共部门信息中个人信息增值利用立法。《信息自由法》(Freedom of Information Act)于1967年6月5日由美国总统批准,同年7月6日(美国独立纪念日)施行,是规定美国联邦政府各机构公开政府信息的法律。该法是美国当代行政法中有关个人了解权的一项重要法律制度。《阳光下的政府法》(Government in the Sunshine Act)是对合议制机关的会议公开。这两部法律对《隐私法》而言互为补充,在政府文件和会议中不公开的信息可以按照《隐私法》的相关条例公开,实现最大限度地公开政府信息,而在《隐私法》中又限制公开政府信息中个人信息[8]。
除了《信息自由法》和《阳光下的政府法》之外,对公共部门的信息利用和增值利用美国又相继推出一些法案进行补充。1975年,美国国会成立了联邦文书委员会(Commission on Federal Paperwork)。根据联邦文书委员会的报告和建议,1980年美国国会通过关于联邦政府的信息搜集、维护、使用和传递服务的《文书削减法》(Paperwork Reduction Act of 1980),1985年12月24日,管理与预算局正式发布了A-130号通告(Circular No.A-130),即《联邦信息资源的管理》(The Management of Federal Information Resources)。其中第7条第g款规定在联邦政府涉及个人信息的相关行为时,个人的隐私权必须得到保护。在第8条政策中,信息管理政策所包含的第一个问题:“联邦政府机构应当如何实施信息管理行为”的回答,第i条指出考虑他们行为对个人隐私权的影响,并保证适当的法律和技术保障被实施;第3个问题“政府机构如何保障信息系统安全”中b部分第8条指出保障个人信息的处理必须与相关的政府政策和机构政策一致。在1989年和1990年图书馆信息科学国家委员会(NCLIS)提出了《美国的公共信息准则》并且以这些政府信息作为政府决策的基础,用来创造、使用、传播和保存公共信息。其中第4条原则是,联邦政府应当维护个人的隐私权,包括那些信息被联邦政府记录的人。
不仅如此,针对互联网特定的领域,制定了行业自律的模式,形成颁发许可证来完善立法不足之处,如建议性的行业指引(Suggestive Industry Guidelines),网络隐私认证计划(Online Privacy Seal Program)[9]等。但是上述自律模式往往难以达到预期效果,如建议性的行业指引不具有强制执行力,只是为隐私保护提供一个范本作为参考,而网络隐私认证计划的救济形式比较单一,只能提交联邦贸易委员会审议,并没有具体的法制规定。
4 建立具有我国特色的个人信息保护法律体系的建议
从我国目前的实际情况看,虽然立法机构对于个人信息的保护非常重视,但是由于我国法律体系相对于欧美发达国家发展时间相对较短,法律法规的设立相对不完善,在很多部门法中,对于个人信息保护的规范有所欠缺。各公共部门对个人信息保护的重视程度不足。特别是近年来信息化的高速发展更加凸显了法律发展的滞后。
欧盟国家保护个人信息最重要的法律是《个人数据保护指令》,其中包括了所有个人数据处理方面的规定。截至2007年,已有26个成员国制定了本国相应的法律,并且具有相当完善的保护个人数据和隐私的规定。与欧洲不同,美国并未对个人信息的保护单独立法。与此同时,美国鼓励和促进信息的利用和发展。美国不采取严格立法是不希望苛刻的立法条文影响到整个信息资源利用的发展。借鉴欧美成熟的政府信息增值利用机制以及个人信息保护的方式时,我国立法者应充分结合我国国情来制定相关法律。
其一,将隐私权的概念加入宪法之中,作为人权的基本权利之一。美国是隐私法的发源地,隐私权作为一种宪法权利存在。然而越来越多的国家明确了隐私权作为人的基本权利的存在。1994年法国在原有的宪法(1958年制定的)的基础上,确认了隐私权的地位;在爱尔兰的宪法中并未明确隐私权的地位,但是在最高法院裁决,宪法中个人权利的条款中有隐私权存在。在我国,隐私权虽然没有全然出现在宪法中,以名誉权的方式保护,然而,将隐私权作为一种基本人权列入宪法的保护中仍显得非常必要,因为隐私权已经从民事权利上升到宪法上的基本人权。隐私权基本人权地位的建立,可以使个人信息在公共部门增值利用中得到充分利用且保障个人信息利用的合法性。
其二,建立完整的个人信息保护法。按照欧盟的方式建立一部完整的系统的个人信息保护法是可取的,然而公共部门信息中的个人信息具有极大的社会价值和商业价值。这样既促进了公共部门信息的公开和再利用,又保护了个人信息。同时兼顾了双重责任,一方面协调个人信息保护,另一方面促进个人信息数据的流动。值得一提的是,数据主体对个人信息的处理是有权拒绝的,但是仍然有限制性开放,比如对国家安全、国防、公共安全,刑事犯罪以及成员国重大的经济利益或财政利益等。它根据特殊的需要对该禁止使用例外来证明其使用的正当性。因此,在法律中要尽量平衡社会公共利益和个人的权利及利益。在监督机构和救济方面,是立法需要深究的一个问题,需要如欧盟一样设立一个专门的监督机构对个人信息的保护进行监督管理。当个人信息受到威胁时候,采取救济措施,挽回个人的权利。
其三,针对高敏感信息单独特别立法。美国把儿童信息、医疗信息以及财务信息作为高敏感数据进行立法。与设立普通法相比,特别法能够更好地针对不同的保护对象的特征进行立法与保护,针对高敏感信息本身的特殊性,将高敏感信息与普通个人信息进行区分,进而给予更加严格的保护。在我国,针对特殊群体设立特别法也有先例,如《未成年人保护法》等。这种特别法的设立正是针对类似的情况。因此,将高敏感信息进行细化分类,并设立特别法予以严格保护,这种方法对于保护如青少年个人信息、健康信息、金融信息等高敏感信息是有效并且可行的。
其四,规范行业。美国“完全开放”政策以隐私法为主导,采取行业自律来对立法的不足进行补充,进行针对性保护和保障信息自由流通。没有行业自律,单靠政府的立法,会产生高额的社会执法成本。在我国,存在很多民间和官方组织的行业协会,但是,行业自律的权威性和专业性受到考验。因此,应采取政府机构指导行业协会的工作并定期进行检查和监督。同时,行业协会应在政府和业内进行良性沟通和互动,承担个人信息处理和保护的协调责任。
其五,加入国际组织。在与国际交往日益密切的今天,任何一个国家都不可能孤立地发展,信息等生产要素的全球范围内配置,个人信息也不例外,在国家与国家之间进行贸易合作时,需要达成一致的保护和流动策略。加入国际组织,有利于营造良好的国际影响,在国际关系中掌握主动。通过加入国际组织,让个人信息保护政策更为灵活和更具有适应性。
收稿日期:2010-12-06