浅谈我国的个人信息保护——蔡明福律师
随着21世纪以来计算机网络技术的快速发展,各种企业出于经营需要,在其用户或消费者不知情的情况下,搜集并积累了各类的消费者个人信息用于发展自己的业务。个人信息是属于隐私权的一部分,虽然目前我国法律没有明确规定保护隐私权,但是随着人们维权意识越来越强烈,隐私权为人们前所未有的重视,个人信息作为隐私权的一个重要的部分,也越来越引起人们对它的关注。
一、个人信息内涵及其保护的意义
1.个人信息的内涵。
个人信息是指与个人相关的,并且可用于识别特定个人的信息。个人信息的内容非常广泛,涉及到个人生理、心理、智力以及社会政治、经济、文化、教育、家庭等方方面面,包括个人的基本信息(如:姓名、性别、年龄、住址等)和专项信息(如:婚姻状况、电话、电子邮箱、账号、健康、习惯、照片等)。其主要特征为:主体为自然人、内容具有可识别性、存在形式具有可查询性。
个人信息具有双重含义:一方面,个人信息与人格尊严密切相关,尤其是个人信息中的与隐私有关的信息,其强调的是与公共利益无关的个人私生活秘密方面的事宜。对于隐私外的其他个人信息而言,个人信息总是直接或者间接地体现个人的特点,通过对这些信息的汇总分析可以得出个人某些特征。因而与事实不符的个人信息或者对个人信息的扭曲误用都难免对他人的人格利益造成侵害。
另一方面,在信息时代,个人信息已成为一种价值极高的商品,而被以各种前所未见的方式猎取、收集、收购和出售。信息是一种稀缺的物品,不仅在网上,在现实生活中依然如此。
因此,在现代信息社会,个人信息具有双重属性日益明显。一方面,网络技术、身份识别技术和深度跟踪等技术的发展使得个人信息更加迫切地需要法律对自身的独立安宁予以保障。另一方面,面对商家大量地收集个人信息用于商业目的,个人也希望能够积极利用自己的信息并从中得到相应的回报。
2.个人信息保护的意义。
由于个人信息具有双重属性,因此,网络技术的发展在给人们的生活带来巨大便利的同时,也为个人信息安全带来了隐患。随着社会的不断发展,批量处理和传递个人信息会越来越容易,个人信息遭到不当收集和篡改的隐患也就随之出现。因此,保护个人信息刻不容缓,保护个人信息具有重大的意义:
第一,确立个人信息保护制度是保护个人权利的需要。个人信息被不当收集和利用将扰乱公民的生活,甚至威胁公民的生命财产。2004年中央电视台《今日说法》栏目中报道,犯罪分子利用被遗失的女性求职者的登记表格,对该求职者实施了犯罪并将其杀害。2008年中央电视台“3•15”晚会揭露的公民个人信息被买卖更是令人震惊。现实中个别政府部门超出职权范围、部分非政府部门超出业务范围收集个人信息的现象随处可见,并且由于缺乏有效规范,个人信息被篡改、滥用的现象时有发生。同时,由于个人对被持有的信息、无从查阅,导致该信息的准确性无从把握,基于错误信息做出错误决定的现象屡见不鲜。通过法律确立个人信息、保护制度已刻不容缓。
第二,有利于政府信息公开制在保护个人信息前提下得到完善。有效利用信息资源,实现政府信息共享,是政府信息公开的一大动力。随着信息化的不断发展,电子商务这一被称为21世纪经济增民原动力的商业模式,在国民经济中的作用越来越重要,而与之相应的电子政务即被视作建设高效、透明政府的重要举措。2007年4月《政府信息公开条例》颁布,很重要的一点是要明确不公开信息的范围,这其中就包括对个人信息公开的问题。如果没有完善的个人信息保护法,对何谓个人信息、如何保护个人信息、如何在个人信息的公开与不公开之间做出选择,将缺乏可操作性。没有完善的个人信息保护制度,就不可能真正实现政府信息公开。因而,健全个人信息保护制度,加快个人信息立法,不仅有利于推进电子商务与电子政务的发展,而且有利于政府信息公开制的进一步完善。
第三,确立个人信息保护制度有利于促进信息的共享与流通。交流和共享是信息的价值所在,如果个人对信息没有安全感,必然本能的拒绝个人信息处理或提供虚假个人信息,这将限制信息流动,加大市场交易成本,目前个人征信系统的建设就迫切需要个人信息保护制度的完善。电子商务涉及到大量的个人信息、处理,没有信赖的个人信息保护制度将严重制约电子商务和电子政务的发展。
二、对个人信息的侵权类型及法律保护现状
(一)对个人信息侵权的类型
各种机构和组织在向用户或消费者提供服务的过程中往往会收集到大量的个人资料,并对个人资料进行加工、整理,形成具有商业价值的信息,构成自身竞争的比较优势。但在信息的收集和处理过程中却很容易侵犯到消费者的个人隐私。新形势下对个人信息的侵权主要表现为:
1.对个人信息的过度收集和使用目的不明确
每当参加会议、参观展览、登录网站时,首先要做的是填写一份详尽的个人资料表格。例如,要加入某网站的某社区,需要提供的个人信息有:真实姓名、性别、出生日期、有效证件号码、详细通信地址、电话号码、OICQ、电子邮箱、所在省份及城市、所属行业、职位、最高学历、收入水平、工作状况等,竟达二十多项。而提供个人资料中的一部分甚至大部分往往又与该活动没有直接的关系。而且当用户填写个人表中一时,看似是自愿填写提交,属于合法收集用户的个人信息,但是收集目的、是否用作盈利及如何保护,在大多数网站上并未给予明确告知。
2.个人信息交易
由于客户(消费者)资料是一笔宝贵的财富,某些机构或组织会将这些收集来的资料出售给买主,以此牟利。个人信息交易目前有两种形式,一种是公司之间相互交换个人信息,另一种则是个人资料的买卖。个人信息交易往往都是未经信息所有者同意,在其不知情的情况下进行的,而且还可能将其所掌握的信息无数次地卖给无限多个买主。所以说个人信息交易是目前对个人信息保护的最大威胁。国外出现过将客户姓名、住址、电子邮件甚至信用卡号码等统计分析结果标价出售,以换取更多的资金。在我国出现过通过电子邮件,在网上兜售个人信息资料,如个人电子信箱地址以及销售收集个人信息软件的行为。
3.个人信息二次开发利用
对个人信息的二次开发利用,指的是商家把网上收集到的个人信息,存放在专门的信息库中,然后经过分析整理、信息挖掘等方法得到具有商业价值的信息,用于商业或其他目的的过程。
对网络环境中个人信息的二次开发利用加以规范,是一个较为复杂的工作,从商家来说,他通过对个人信息资料的加工整理,获得有关消费者的偏好和习惯,从而提供具有针对性的个性化服务,出发点是好的(当然,如果商家将分析得知的个人隐私用于其他不当目的,则应当别论)。从消费者的角度讲,有些人欢迎商家的这种举措,认为它能给自己带来方便,有些人则感到个人隐私被泄露,认为这是对自己正常生活的一种干扰。因此,这一问题需要商家妥善考虑。如果商家的目的仅仅是为了在信息二次开发利用后带给客户更加优越和方便的服务,而且是经过客户同意的,我们不认为他侵犯了客户的隐私权。但如果他们的目的不仅仅与此,而是用作其他不当目的,那就侵犯了客户的隐私权。
4.网上侵犯个人隐私权的行为
网站通过表格登记、跟踪网上冲浪等手段收集到大量的个人信息,在进行信息挖掘、加工处理后,对网民散发大量的商品促销邮件,这一切往往导致邮箱爆满,或是充斥一堆垃圾邮件,令人苦不堪言。同样,垃圾短信泛滥成灾。例如一则短信:本市速办各种上网证件、证书、票据、车牌,高利贷款,代假币、枪支、黑车、迷魂药、透视镜、窃听器、开锁等,联系电话:137546XXXX。
如此垃圾手机短信,内容令人瞠目结舌、触目惊心,简直是在教唆、帮助他人犯罪,实在使人难以置信。
(二)我国个人信息的法律保护现状
我国目前既缺乏较为完善的、直接的个人信息保护法,也不能规范有关政府、组织、机构、企业的行为;有关组织机构、企业又没有较强的自律意识;再加上人部分国民的隐私保护观念普遍淡薄,或者说一些人甚至没有隐私的概念,所以我国的个人信息保护现状不容乐观。
我国《宪法》第38条规定了公民的人格尊严不受侵犯,第40条规定了公民的通信自由和通信秘密受法律保护。这是根本大法对隐私权所作的原则性规定,为部门法对个人信息的保护提供了根本依据。我国《民法通则》也同样给予了隐私权以保护,第100条规定:“公民享有肖像权,未经本人同意,不得以获利为目的使用公民的肖像。”第101条规定:“公民、法人享有名誉权,公民的人格尊严受到法律保护,禁止用侮辱、诽谤等方式损害公民、法人的名誉”。1988年,最高人民法院在《关于贯彻执行<中华人民共和国民法通则>若干问题的意见(试行)》第140条规定:“以书面、口头形式宣扬他人隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。”但民法并没有将隐私权作为一种独立的人格权加以保护。在《未成年人保护法》、《妇女权益保障法》等法中也有保护个人信息的规定。但这些法律规定与日益增长的个人信息受到侵害的现象相比显然是比较滞后的,仍然不能从根本上保护个人信息安全。个人信息保护亟待解决。
三、个人信息保护的构想
哈佛法学院教授Charles Fried指出:如果我们所说的每一个字和所做出的任何举动,都是公诸于世的,其结果是我们再也不愿意发表意见,而且再也不愿意从事某些活动了。一旦言行举止无法免于被监视时,人们很自然的会主动限制自己的活动空间。同样,在网络空间,如果没有一丝一毫安全的个人私有空间,人们的选择可能是逃避网络。因此,网络环境下的个人信息的保护显得更加重要。
(一)个人信息保护的原则
个人信息保护的基本原则是指导个人信息保护立法司法的基本准则。借鉴有关国家的做法,笔者认为,我国个人信息保护法的基本原则应该包括以下几点:
1.合法性原则。要求政府部门或者其他有关部门和个人在收集、整理和处理公民的个人信息时要遵循法律规定进行。首先须有特定的、合法的目的。目的是否合法,要看信息收集人或持有人是否依法被准许或取得权利主体的许可。其次需要依照法律规定的途径和方式进行,不得以欺骗或其他违反法律规定的手段取得他人信息,而且要最大限度地保护信息主体的合法权利,对持有的信息未经授权不能用于其他目的或允许第三人使用。
2.同意原则。
“同意”是当今网络隐私保护原则中最核心的因素,在限制个人信息收集、使用和披露的原则中起着重要作用。“同意”可以明示,也可以默示。如果某个人在信息收集主体发出通知时明确而具体地同意他人收集或处理其个人信息,则构成了真正的明示同意,在这种情况下,该个人不能就其同意的信息范围要求救济。但为维护国家安全(如反恐怖主义)、保障公共健康及安全(如非典、艾滋病)和执行法律等目的而实施的信息收集或利用则不适用同意原则,这应作为同意原则的例外。
与明示同意相比,默示同意的确定复杂得多。科技的飞速发展和的标准不断变化可能导致这样的结果,即不反对某些信息的收集和使用就是同意其收集和使用。但若网络用户在对方发出通知时明确同意其个人信息被收集,但并未同意其信息被用来交易或交换或被用于非约定的目的,则不能推断该个人已默示对方将其个人信息转让或披露给第三方,或将其个人信息用于其他目的。
3. 安全性原则。
为了保护网络用户的权益,保持用户对网络的信任度,在信息收集、使用、存储、转让、交换和销毁的整个过程中,安全性是至关重要的,应该强化其执行力度。因此,网络服务商在为用户查阅其个人信息提供方便的同时,应采取安全措施防止他人未经授权对该信息的访问、使用、更改、披露甚至毁损,并采取适当的管理和技术措施保证个人信息的完整性和准确性。政府机构、企业和互联网服务提供商对持有的个人信息要责无旁贷地保证系统的安全性和使用措施的正确性,保证个人信息的安全使用,以免通过互联网被泄露或修改。
(二)个人信息的保护措施
个人信息保护的主要目的是在保护个人信息及其隐私的同时能保障个人信息自由流动。要实现这一目标,各国应根据其国情、民众意识、经济发展水平等情况,制订符合本国实际的个人信息保护制度。我国电子商务和政务还处在初步发展阶段,如果过度保护个人的网络信息,势必影响电子商务和政务的发展,但如果任由网络经营者无限制地侵害个人网络隐私权,势必打击个人对电子商务及政务的信心,从而影响电子商务和政务的发展。我国应借鉴发达国家个人信息保护制度,建立符合中国实际、具有中国特色的网络个人信息保护体系,以有效保护个人信息,并保障个人信息自由流通。
1.立法保护
立法保护就是以政府为主导,并通过立法来实现保护个人信息。从全球范围来看,大多数国家都选择了通过立法保护个人信息。其核心就是法律规范的制定和信息主体权利的法定。
我们可以从信息获得的限制、信息使用的限制、信息营销的限制等方面立法,对个人信息进行保护。关于信息获得的限制,任何组织或机构不得以欺骗手段从信息主体那里取得信息,只能为特定的和合法的目的才能收集或持有个人信息。比如说搜集取得个人信息必须征得信息主体本人的同意,信息主体在资料被搜集前应被告知该搜集的方式、范围、地点及目的;信息主体有权选择是否愿意个人信息被他人利用及再利用,有权更改或删除已提供的个人信息;在没有经过信息主体同意的前提下,禁止以任何形式买卖或转让个人信息等等。
2.行业自律
因为专门从事互联网事业的主体一般能够掌握更高程度的实务专长和技术知识以及具有更大的创新的可能性,所以制定和解释标准的信息成本相对较低,而且监督和执行的成本、与管理者打交道、修改标准的成本亦可减少。因此加强业界自律更加符合经济学原理,同时也能补充法律的不足和缺陷。
笔者认为行业自律应该尽快制定出一部关于网站的个人信息保护政策的规定。在网络服务商个人信息保护规则的形式要件中,规则明示是关键也是根本。只有规则明示了,网络个人信息的保护才能结合行为结果的可预见性来行事;只有规则明示了,网络服务商的行为才能规范;也只有规则明示了,行为规范才具有可操作性。又由于网络服务商关于网络个人信息的保护规则不可能完全通过法律性的规范来解决,所以,这就更显得规则明示的重要和必不可少。另外,应该建立我国的个人信息保护认证制度,可以由独立的、非营利组织进行证活动,对符合认证标准的企业张贴统一的认证标志,既可以提高企业的商业信誉,又可以增强用户对个人信息保护政策的信心。
3.自我保护
虽然目前我国网民的法律意识比以前强了很多,但是从整体上来说,由于我国经济、文化等各个方面的发展不平衡,对于大多数的网民来说,他们的法律意识还不是很强,特别是对于网络上的一些侵权行为,如果这种侵权行为没有使得自己的利益受到直接的损害,他们就会表现出一种漠不关心的态度,而且在很多时候,即使自己的正当权利受到侵犯,他们也会默默无闻,不懂得用法律的武器来维护自己的合法权益。笔者认为,用户应该变被动提供自己本不应该提供的个人信息,为主动不提供这些信息。不要因为一些微不足道的利益而在不知不觉中出卖了自己的隐私。同时,当自己的合法利益受到侵害时,要勇敢及时地站出来维护自己的权利。