胡雁云

我國個人信息法律保護的模式選擇與制度建構

胡雁云

對個人信息進行有效的法律保護是世界各國的共識,具體采取何種保護模式則因各國的政治和文化傳統(tǒng)而異,目前在世界范圍內(nèi)產(chǎn)生較大影響的個人信息保護模式是美國的行業(yè)自律模式和歐盟的綜合立法模式。基于我國關于個人信息法律保護的現(xiàn)狀,我國應采取綜合立法為主、行業(yè)自律為輔的個人信息法律保護模式,確立《個人信息保護法》的綱領性地位,同時以單行法的形式對不同權利主體和保護主體的權利義務進行設定。

個人信息;法律保護;保護模式

20世紀 60年代以來,以電子計算機和網(wǎng)絡互聯(lián)技術為代表的信息技術革命極大地改變了人們的生活方式。通過數(shù)字化和網(wǎng)絡化的處理,信息總量呈現(xiàn)爆炸式的增長態(tài)勢,各種信息可以以多極化的方式傳遞,造成權利人對個人信息的控制能力降低。在我國,由于相關法律法規(guī)未能及時跟進,導致個人信息保護處于幾乎失范的狀態(tài),“人肉搜索”等侵犯個人隱私權的現(xiàn)象屢屢發(fā)生。本文擬對發(fā)達國家個人信息保護模式進行比較研究,在此基礎上對我國個人信息法律保護的模式選擇及具體制度構建進行探討,以期推動我國個人信息法律保護體系的完善和相關實踐的發(fā)展。

一、個人信息的含義及我國個人信息法律保護現(xiàn)狀

“信息 ”(Information)一詞源自拉丁文“infor matio”,《辭?！穼⑵涠x為“通信系統(tǒng)傳輸和處理的對象”,泛指消息和信號的具體內(nèi)容和意義。①個人信息是指具備內(nèi)容的可識別性和主體的特定性等特征,“據(jù)此能夠直接或間接識別出特定自然人身份而又與公共利益沒有直接關系的私有信息”②。世界各國立法中對個人信息的稱謂不同,如普通法系國家和大陸法系國家分別采用“個人隱私 (personal priva2 cy)”和“個人數(shù)據(jù) (personal data)”,還有一些國家和地區(qū)采用“個人信息 (personal information or information relating to in2 dividuals)”。我國尚未出臺專門的個人信息保護法,現(xiàn)有法律法規(guī)中涉及個人信息保護的內(nèi)容有 200多個條文,分散在37部法律、15部司法解釋、124部行政法規(guī)和部門規(guī)章中。概言之,目前我國有關個人信息的法律保護狀況是:主要通過在《護照法》、《居民身份證法》、《傳染病防治法》、《執(zhí)業(yè)醫(yī)師法》等單行法中設置專門條款對公民的個人信息加以保護,相關規(guī)定極為分散、不成體系;在個人信息的保護手段上,主要依靠行業(yè)內(nèi)部規(guī)范或信息持有人、控制人的單方承諾,由于掌握個人信息的行業(yè)如金融、電信、房地產(chǎn)等行業(yè)目前還沒有穩(wěn)定的、具有約束力的個人信息管理規(guī)范,所以個人信息管理與保護的具體格局和模式尚未形成。

有學者認為,我國應采用統(tǒng)一的個人信息法律保護模式,將有關公共機構和私營組織收集、使用、存儲、處理個人信息的行為在同一部法律中予以規(guī)范。也有學者認為我國應當采用分散立法的模式,將有關個人信息的保護內(nèi)容規(guī)定在不同的法律中。筆者認為,我國應借鑒經(jīng)濟和互聯(lián)網(wǎng)技術發(fā)展較快的美國和歐洲國家關于個人信息法律保護的模式,結(jié)合我國現(xiàn)有法律體制,理性地選擇和建構我國個人信息法律保護的模式和具體制度。

二、美國和歐盟的個人信息法律保護模式評析

美國的行業(yè)自律模式是普通法系國家個人信息法律保護模式的杰出代表,其核心內(nèi)容是:通過行業(yè)自律和單行立法相結(jié)合的方式來保護公民的隱私權?；谡畽嗔艿较拗坪捅Ｗo公民個人自由的思想,美國對個人信息采取行業(yè)自我規(guī)范和具體立法相結(jié)合的保護方式?！懊绹膫€人信息保護是一個由針對某些特定部門的立法、工業(yè)領域的自我規(guī)范以及市場本身的強制力量所構成的復合體系。”③這種保護模式的特點是:第一,較之對公民隱私權的保護,更加關注個人自由免受公權力的侵犯?！氨M管很多美國人也同意個人信息隱私權是一種權利,但僅當在受到濫用個人信息的政府行為的威脅時,這種權利才可以被視為基本人權并得到有關保護,商業(yè)背景下的個人信息保護則應區(qū)別對待。”④在美國,統(tǒng)一的個人信息保護立法很難被社會和公共組織一致接受。美國對個人隱私權的保護實際上是由個體消費者通過個人行為來實現(xiàn)的,政府在這一過程中只是起到協(xié)助和指導作用,并不直接實際介入其中。盡管美國自 20世紀 70年代以來制定了普遍適用于整個聯(lián)邦的《隱私權法》(1974年)、《電話消費者保護法》(1991年)等一系列法律,但其中多數(shù)是針對某些特定情形如企業(yè)持有涉及公民個人秘密的私人信息、某些特定商業(yè)部門有可能濫用公民隱私權等的立法。行業(yè)自律模式對個人信息保護的精髓在于:“由公司或者產(chǎn)業(yè)實體制定行業(yè)行為規(guī)章或行為指引,為行業(yè)的網(wǎng)絡隱私保護提供示范性行為模式”⑤。第二,保護領域的分層性是個人信息行業(yè)自律保護模式的重要特點。從內(nèi)容上看,美國對個人隱私權的法律保護主要劃分為公、私兩個領域,分別采用不同的保護方式:在私人領域,主要通過從業(yè)者的自我約束和相關協(xié)會的監(jiān)督管理來保護公民的個人隱私安全;在公共領域,美國政府制定了大量的單行法規(guī)來規(guī)范政府行為,保護公民隱私權。美國的行業(yè)自律個人信息保護模式的明顯優(yōu)勢是:通過分散立法的方式對不同領域的隱私權采用不同的保護方式,有效避免了國家立法對個人信息正常流動的過早干預。該模式的最大弊端是缺乏合理的爭端解決機制,行業(yè)自律在實踐中的效果不佳。

秉承國家主義和社群主義的政治文化傳統(tǒng),歐陸諸國公民對國家權力的態(tài)度是信賴而非防范,因此,歐盟在個人信息保護方面采取了以國家立法為主導的模式,主要通過綜合立法來實現(xiàn)對個人信息的保護。這是一種與美國的行業(yè)自律模式截然不同的個人信息法律保護模式,其主要特征是:第一,通過雙層次、綜合立法對個人信息進行保護。由于歐盟本身組織結(jié)構的特殊性,其對個人信息的法律保護要經(jīng)過兩個層面:首先,由歐盟發(fā)布“指令”,為各成員國制定數(shù)據(jù)保護的法律框架提供依據(jù);其次,歐盟成員國將歐盟有關個人信息保護的規(guī)定作為制定和實施內(nèi)部個人信息保護立法的基本原則和最低標準,從社會生活的方方面面對數(shù)據(jù)安全進行法律保護。早在歐盟成立之前,作為其前身的歐洲共同體就公布了包括《歐洲人權公約》(1968年)、《關于保護隱私與個人數(shù)據(jù)跨國界流動的準則:理事會建議》(1980年)以及《歐洲系列條約第 108號條約:有關個人數(shù)據(jù)自動化處理之個人保護公約》(1981年)等條約,對個人信息保護給予了關注?！恶R斯特里赫特條約》(1993年)生效后,歐盟作為一個聯(lián)合歐洲 12個國家的政治和經(jīng)濟實體組織,又制定了一系列保護公民隱私權和數(shù)據(jù)安全的法律性文件來加強對個人數(shù)據(jù)合理使用的規(guī)范,《數(shù)據(jù)保護指令》(1995年)、《關于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的指令》(1995年)、《關于在信息高速公路上收集和傳遞個人數(shù)據(jù)的保護指令》(1999年)、《隱私與電子通訊指令》(2002年)等一系列條約或指令,對歐盟各成員國制定個人信息保護法起到了宏觀指導作用。在歐盟的統(tǒng)一指令框架下,歐盟各成員國紛紛根據(jù)指令的內(nèi)容和本國實際情況制定了個人信息保護法。如德國的《通信法案》(1996年)、《多媒體法》(1997年)以及《聯(lián)邦數(shù)據(jù)保護法》(2002年),英國的《數(shù)據(jù)保護法》(1998年)、《電子通信法》(2000年 ),法國的《菲勒修正案》(1996年)等。第二,歐盟的個人信息綜合立法規(guī)制模式更加關注對私人領域的個人信息保護。歐洲國家認為個人信息權利是公民的一項基本權利,公民對其個人信息是否公開的權利即信息自決權是決定公民個人的公眾形象的主要因素。受傳統(tǒng)國家主義理念的影響,歐盟成員國對于政府權力的限制較少,主要通過國家綜合立法來確立個人信息保護的原則、具體制度和措施。歐盟的雙層次、綜合立法個人信息保護模式使得對個人信息的保護更加詳盡、具體,但這種保護模式也有缺點,如歐盟本身對于違犯其相關規(guī)定的行為無力進行處罰,因為歐盟委員會等機構缺乏執(zhí)行能力,其對于違犯數(shù)據(jù)保護法律的行為需要依賴成員國的數(shù)據(jù)保護機構來進行制裁,而歐盟成員國內(nèi)部對此類行為的監(jiān)督又受到很多因素的制約。

三、建構我國個人信息法律保護的模式與制度

(一)我國個人信息法律保護的模式

綜合上述美國和歐洲國家個人信息保護模式的優(yōu)點,我國宜采用行業(yè)自律與立法規(guī)制相結(jié)合、綜合立法占主導地位的個人信息法律保護模式。這種保護模式要求:第一,制定《個人信息保護法》作為個人信息保護基本法,在其中規(guī)定國家、公共團體和私營組織有關個人信息的行為規(guī)范,制定完善的法律措施來界定信息自由流動的底線,并以此作為個人信息使用的最基本的行為準則;第二,制定相關單行法作為個人信息保護輔助立法,在其中設定行業(yè)自律性規(guī)范或要求個人信息控制人作出單方承諾,在整個社會中倡導行業(yè)自律的重要性。

(二)我國個人信息法律保護的理念

保持信息的自由流動與公民權利之間的平衡是個人信息保護立法應當堅持的重要理念。保護個人信息的健康、有序流動不僅能夠促進社會經(jīng)濟發(fā)展,還能推動個人最終實現(xiàn)自我價值。只有在一個經(jīng)濟高度發(fā)達的社會中,對個人信息保護的立法技巧才有可能達到極致,我國目前的經(jīng)濟發(fā)展水平在某種程度上還制約著對個人信息進行法律保護的立法技術水平。在這樣的情勢下,我國對個人信息法律保護的理念應當隨著政治、經(jīng)濟形勢的發(fā)展而變化,在經(jīng)濟發(fā)展占上風的時候,應當強調(diào)信息合理流動的重要性,反之,則強調(diào)公民個人信息權的保護。

(三)我國個人信息法律保護的基本原則

在法治國家和信息化社會中,個人信息法律保護必須堅持三個基本原則:一是合法性原則,即所有對個人信息的使用必須由信息持有者依照法律規(guī)定的程序、經(jīng)過權利主體的合法授權后進行;二是合理性原則,即列入個人信息法律保護范圍的個人信息必須符合善良風俗和人類基本的道德價值,否則不能成為個人信息法律保護的對象;三是必要性原則,即對個人信息的保護不能阻礙人們之間正常的信息交流,這是個人信息獲得保護的限制性條件。

(四)我國個人信息法律保護的具體制度

構建我國個人信息法律保護制度的思路是:第一,制定《個人信息保護法》,確立該法在個人信息法律保護體系中的綱領性地位,在其中規(guī)定個人信息保護的基本原則、方針、國家及公共團體的權利和義務、私營企業(yè)的責任和義務以及權利救濟途徑等基本內(nèi)容。第二,針對不同的個人信息保護主體進行單項立法。除了對國家和公共團體等的個人信息保護進行專門立法外,對于私營組織或民間企業(yè)的個人信息行為也要加以約束和監(jiān)督,可將兩者規(guī)定在同一部法律中。第三,協(xié)調(diào)現(xiàn)行法律制度中有關個人信息保護的規(guī)定,完善針對不良個人信息行為的責任追究機制。個人信息責任包括民事責任、行政責任和刑事責任三個層次:民事責任的約束力度最弱,行政責任通過國家公權力的介入、行政強制措施的采用來實現(xiàn)對個人信息行為更高層次的調(diào)整、監(jiān)督和保護,刑事責任是最嚴厲的法律制裁措施,其對不良個人信息行為的矯正力度最強。以上三個層次的法律責任有機結(jié)合,共同實現(xiàn)對個人信息的保護。

我國個人信息法律保護制度的具體內(nèi)容有:第一,根據(jù)個人信息的內(nèi)容,設定不同的權利主體。個人信息權利主體與個人信息保護主體是不同的,前者只能是特定的自然人,后者是解決個人信息侵權問題的法律主體。不同領域的個人信息權利主體有各自特殊的利益訴求,應當分別加以不同形式的保護。如對于醫(yī)療等特殊領域的個人信息保護,應當對相關立法如《護照法》、《律師法》、《居民身份證法》、《傳染病防治法》、《執(zhí)業(yè)醫(yī)師法》等進行修訂。第二,區(qū)分個人信息法律保護的客體。個人信息法律保護的客體即個人信息權利,它與個人信息權利主體是一一對應的關系。在現(xiàn)代信息社會中,個人信息不僅具有人格屬性的特征,而且兼具財產(chǎn)屬性,據(jù)此可將個人信息分為三類:一是與人身有關的個人信息,如年齡、指紋、肖像、基因信息、隱私等,這些個人信息具有鮮明的人格屬性的特征;二是與財產(chǎn)有關的個人信息,如家庭經(jīng)濟收入支出情況、個人的工資收入、銀行賬號等,這些信息的財產(chǎn)屬性非常明顯;三是兼有人身和財產(chǎn)內(nèi)容的個人信息,如著作、手機號碼、電子郵件地址、病歷檔案等,此類個人信息不僅表明個人信息權利人的人格屬性,而且具有一定的財產(chǎn)屬性。以上對個人信息的不同分類,會影響到對其保護的方式和程度。立法對涉及人格屬性的個人信息的保護應最為嚴格,對具有財產(chǎn)屬性、兼具人格屬性和財產(chǎn)屬性的個人信息的保護應較為寬松。第三,明確個人信息法律保護的內(nèi)容。個人信息法律保護的內(nèi)容即個人信息持有人或使用人的權利義務,主要包括兩部分:一是特定領域內(nèi)被允許合理使用個人信息的人的權利義務。如銀行在辦理存款手續(xù)時需要了解客戶的名字、手機號碼、家庭住址等個人信息,銀行對這些個人信息的持有是合理、合法的,其在使用這些個人信息的時候必須承擔相應的義務即確保這些信息的安全,否則要承擔相應的法律責任。二是持有不能被他人知曉的個人信息的人的權利義務。如醫(yī)院對于在醫(yī)療過程中獲悉的公民的隱私,應依民法中關于隱私權的概念及相關專門立法中關于隱私權的具體保護措施進行保護,否則要依民法、個人信息保護法中關于隱私權的救濟途徑和方式等來承擔責任。

注釋

①夏征農(nóng):《辭?！?上海辭書出版社,1999年,第 299頁。②劉德良:《個人信息的財產(chǎn)權保護》,《法學研究》2007年第 3期,第 27頁。③陳起行:《資訊隱私權法理探討——以美國法為中心》,《政大法學評論》2000年總第 64期,第 323頁。④洪海林:《個人信息保護立法理念探析——在信息保護與信息流通之間》,《河北法學》2007年第 1期,第 109頁。⑤蔣坡:《國際信息政策法律比較》,法律出版社,2001年 ,第 443頁。

[1]謝天,鄒平學.中國個人信息保護的立法模式探析[J].嶺南學刊,2011,(02):35.

[2]Spiros Simitis.Reviewing Privacy in an Infor mation Society[J].135 U.Pa.L.Rev,2002.736—737.

[3]劉睿博.商業(yè)秘密侵權及其民事法律救濟問題探討[J].學術交流,2010,(09):61.

[4]宋藝秋.論突發(fā)事件中的個人信息保護[J].河南師范大學學報(哲學社會科學版),2010,(05):131.

[5]張新寶.互聯(lián)網(wǎng)上的侵權問題研究[M].北京:中國人民大學出版社,2003.216.

D923

A

1003—0751(2011)04—0105—03

2011—02—16

胡雁云,女,華北水利水電學院法學院講師,武漢大學法學院博士生 (鄭州 450011)。

責任編輯:林 墨