【摘要】 个人信息权与隐私权存在本质不同,前者主要保护的是对于个人信息的控制和利用,而后者重在防范个人秘密不被非法披露。目前我国在个人信息保护方面存在现有法律可操作性不强,立法价值取向错位,缺乏必要的社会监管,个人信息自我保护意识淡薄等问题,,借鉴德国统一立法模式和美国分散立法模式,我国对个人信息的保护机制应采用统一立法并辅之以行业自律模式,希推动《个人信息保护法》尽快出台,以实现我国对个人信息安全的全面保护。
【关键词】个人信息;法律保护;价值平衡;立法模式
一、个人信息基础理论
(一) 个人信息的概念
概念界定是任何法律研究的起点,具有“特定价值之承认、共识、储藏,减轻后来者为实现该特定价值所必须之思维以及说服的工作负担”之功能。[[1]]52准确把握个人信息的概念内涵,有利于正确认识其法律保护背后的价值冲突,从而更有针对性的对其进行保护。
我国尚未制定个人信息保护法,并没有明确的立法称谓。纵观各国和地区对个人信息保护立法文件和理论研究的实际情况,因其法律文化不同而存在着不同的表示方式。常见的称谓包括:欧盟及其主要成员国立法使用的“个人数据”,亦译为“个人资料”;日本、韩国等立法使用的“个人信息”;美国、澳大利亚等立法使用的“个人隐私”。在研究的初期,学者们针对这一称谓有着较大的分歧。但时至今日,笔者认为使用“个人信息”的称谓最为符合当前我国的实际情况,也是大势所趋。首先,个人信息领域内比较有代表性的学者在进行研究时大都使用“个人信息”的称谓,如齐爱民教授,周汉华教授等。其次,也是最为重要的一点理由是,我国当前个人信息保护的相关立法和司法实践中,己经明确使用了“个人信息”的称谓。例如,我国的《刑法修正案(七)》中增加的“出售、非法提供、窃取个人信息罪”就明确的使用了“个人信息”这一称谓。
我国当前对个人信息保护的法律法规中,更没有对“个人信息”的概念及范围进行专门详细的界定,仅在2014年10月9日最高人民法院通过的《关于审理利用信息网各侵害人身权益民事纠纷案件适用法律若干问题的规定》中初步明确了个人信息的保护范围,把“自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私”之外相对中性的信息界定为了个人信息,但仍然没有将其内涵分界清楚。目前国内的权威学者大都认同“列举概括型”的个人信息定义方式,这种方式既有外延的列举,又通过概括的内涵揭示保持了概念应有的张力和适应能力。[[2]]110我国的《个人信息保护法(专家建议稿)》的第9条规定:“个人信息是指个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可以识别的个人信息”。[①]笔者对此界定基本赞同,但可根据现阶段个人信息受侵害状况加以完善列举可再全面一些。
(二)个人信息权与隐私权之辨析
个人信息权和隐私权的关联相当紧密,二者的相似主要有以下几点:
第一,二者的权利主体都仅限于自然人,而不包括法人。从隐私权的权利功能来看,其主要是为了保护个人私人生活的安宁与私密性,法人所享有的商业秘密是作为财产权的内容加以保护的。同样,个人信息的权利主体限于自然人。个人信息指自然人的姓名、性别、年龄、民族、婚姻、家庭、教育、职业、住址、健康、病历、个人经历、社会活动、个人信用等足以识别该人的信息,能直接或间接指向某个特定的人。
第二,二者都体现了个人对其私人生活的自主决定,都彰显了一种个人的人格尊严和个人自由。
第三,二者在客体上具有交错性。一方面,许多未公开的个人信息本身就属于隐私的范畴。例如,非公开的个人家庭住址、银行账户等。事实上,对于与个人相关的信息而言,只要其存在于一定的载体之上,且被记录下来,并能直接或者间接指向该特定个人,就可以被称为个人信息。不论其是否具有经济价值,都体现了一种人格利益。另一方面,部分隐私权保护客体也属于个人信息的范畴。尤其应当看到,数字化技术的发展使得许多隐私同时具有个人信息的特征,如个人通讯隐私甚至谈话的隐私等,都可以通过技术的处理而被数字化,从而可能因具有身份识别的特征而被纳入个人信息的范畴。
第四,二者在侵害后果上具有竞合性。随意散播具有私密性特征的个人信息,可能也会同时涉及到对隐私的侵犯。例如,随意传播个人病历资料,既会造成对个人隐私权的侵犯,也会侵犯个人信息权。
个人信息权和隐私权都是人格权,但两者的法律属性、客体、内容等仍然存在区别,主要表现为:隐私权主要是一种精神性的人格权,虽然其可以被利用,但其财产价值并非十分突出,侵害隐私权也主要导致的是精神损害。而个人信息权在性质上属于一种集人格利益与财产利益于一体的综合性权利,其既包括了精神价值,也包括了财产价值。例如,权利人可以授权他人使用其姓名、肖像等,用于商业经营活动,以获取经济利益。个人信息不仅可以进行一次性利用,还可以进行多次利用;隐私权是一种消极的、防御性的权利,在该权利遭受侵害之前,个人无法积极主动地行使权利,只能在遭受侵害的情况下请求他人排除妨害、赔偿损失等。而个人信息权是一种主动性的权利,权利人除了被动防御第三人的侵害之外,还可以对其进行积极利用。在他人未经许可收集、利用其个人信息时,权利人有权请求行为人更改或者删除其个人信息,以排除他人的非法利用行为或者使个人信息恢复到正确的状态;受制于存在形态,隐私一旦被披露就不再是隐私,也就是说,披露他人隐私造成的损害后果常常具有不可逆性。尤其是在网络环境下,一旦在互联网上披露了他人的隐私,就无法再通过“恢复原状”等方式予以救济,其私密性也无法予以恢复。而个人信息可以被反复利用(如个人的身份证号码可以做无数次的使用),对个人信息的侵害,所造成的损害通常具有可恢复性;隐私权特别注重“隐”,其内容主要包括维护个人的私生活安宁、个人私密不被公开等。而个人信息权主要是指对个人信息的支配和自主决定。隐私权制度的重心在于防范个人秘密不被非法披露,而并不在于保护这种秘密的控制与利用。
(三)个人信息权的法律属性
鉴于对个人信息的认识不一,学界对个人信息的权力性质也众说纷纭,典型的有:所有权说、隐私权说、人格权说等。
所有权说认为,个人信息是一种财产利益,应采取所有权的保护模式,赋予个人以个人信息所有权,并认为“个人资料的所有者是该资料的生成体个人,无论他人对主体个人资料的获取方式与知悉程度如何,都不能改变个人资料的所有权归属”。但是“凡是‘财产利益’就一定得靠所有权保护吗?[②]
隐私权说认为,个人信息是一种隐私利益,应采取隐私权的保护模式,赋予个人信息以个人信息隐私权,美国1974年的《隐私法案》为典型代表。该说有其特定的法律文化背景,建立在英美法系隐私权文化基础之上,即隐私权是一种框架性权利,无论学说还是判例中,其存在皆为人格完整所不可或缺的要件。而大陆法系的隐私权仅指不愿他人知道或不便他人知道的个人信息。我国民法理论秉承大陆法理论,显然隐私的范围远小于个人信息。
人格权说认为,个人信息体现的是一种人格利益,应采取人格权的保护模式,典型代表为德国,如1990年修改后的《联邦个人资料保护法》中规定:“该法的目的是为了保护个人人格在个人资料处理时免受侵害”。[[3]]4-5该学说认为个人信息所体现是公民的人格利益,其收集、处理或利用直接关系到信息主体的人格尊严,因此个人信息主体对个人信息应拥有人格权。这种学说虽然直指个人信息所承载的人格尊严等人格利益,但没有明确其物质利益的特殊属性。
笔者认为以上学说均有失偏颇。对个人信息的保护应据其功能和价值而定:当个人信息维护主体人格利益的时,应给予人格权保护;具有维护主体财产利益时,则给予财产权保护,同时兼有双重功能的,就同时给予人格权和财产权保护,注重平衡其财产价值和人格尊严。
二、 域外个人信息保护法律制度比较及评析
目前,世界各国对个人信息保护的立法模式主要有两种:一是统一立法模式,指由国家统一立法,专门制定对个人信息保护的统一法律,对国家机关和民事主体收集、处理、利用个人信息进行统一规范;二是为分散立法模式,通过不同法律来保护个人的信息。德国黑森州在1970年制定了《个人资料保护法》,这是世界上公认的个人信息保护的最早立法。[[4]]67以其为首的欧盟对个人信息持谨慎的态度,采用了统一立法模式,对个人信息进行了严格的保护;而美国采取分散立法的法律保护模式,着重强调的是信息的自由流动。这两种立法模式基本上囊括了世界现存个人信息法律保护制度的形式,因此,本文选取了这两种模式的代表性国家-----德国和美国,对其个人信息保护的法律制度进行了比较法考察。
(一)以分散立法为代表的美国隐私权法
美国的个人信息保护立法受其传统观念影响至深,它更多的强调依靠市场自身所具有的调节力量对个人信息进行保护,行业自律性规范是美国联邦政府对个人信息保护的一个主要特征。针对涉及到公共安全公领域,采取分散立法的模式。美国将个人信息与个人隐私两个概念等同化,个人隐私这一概念在法律上的范围己经将个人信息涵盖在内。因此,他们把个人信息以保护隐私的方式纳入形式多样的部门隐私法案中。在这些分散的法案中,对政府行使职能获取个人信息的程序、方式和目的进行了详细规范,并对其在获取信息后的保密工作进行了严格规定,以防止公权力对个人信息的肆意侵害。针对涉及行业发展的私领域,采取行业自律模式。美国政府将个人信息视为信息时代的一项非常重要的经济资源,认为政府不应该在平等主体之间的经济关系中通过严格立法过多干涉,而应当根据经济的发展由市场自主进行必要调控,鼓励采取更多的自律机制对个人信息进行保护。所以美国在面对平等主体之间的个人信息纠纷时,多强调以行业自律模式来处理,将行业自律与政府执法相结合,在保护个人隐私的同时最大限度的发挥市场经济的促进作用。美国的经济发展一直处于国际领先地位,主导着世界经济的发展,美国政府也一直试图向全世界推行其信息保护模式,从而进一步加强国际影响力和统治力。例如,世界经合组织1980年制定的《隐私保护与个人信息资料国际流通指针原则》,就明显地体现了美国的策略,强调了自律规制的重要性。
(二)以统一立法为代表的德国个人资料保护法
欧盟国家由于第二次世界大战等特殊的历史原因,对人权保护极为看重欧盟各国家的法律中,对人权进行了极为严格缜密的保护。德国的1990年《联邦资料保护法》,是大陆法系国家保护个人信息最具典型性的专门法,该法律以信息自决权和一般人格权分别为宪法和民法基础,对一切个人资料的处理进行了平等的保护。其规范的范围除了国家公务机关外,还包含了非公务机关,以及公法上的竞争企业。更重要的是,该法律对“个人资料”的主体、范围及界限等问题进行了明确。[[5]]除此立法外,对于一些特殊领域的个人信息,德国联邦及州政府也有针对性的制定了一些保护规章,对其予以专门保护。如1996年的《通信法案》、1997年的《多媒体法》等,共同构成对某些特定法律领域法案的一部分。
(三)比较分析两种立法模式以期借鉴其先进经验
基于各自不同的文化理念和法制传统,美国和德国在不同价值理念的引导下,对个人信息保护的立法模式分别作出了不同选择。美国将个人信息视为一种极其重要的经济资源,主张在有限保护隐私的前提下最大限度的促进信息的自由流通,以保障经济的快速发展;而德国则更侧重于对个人信息所体现的人格尊严等基本人权的尊重,在其所有的个人信息保护法律制度中,一再强调个体基本权利必须要优先于商业考量这一理念。在重自由还是重尊严这两种不同价值取向的引导下,德国和美国都在尊重本国国情的基础之上做出了不同的选择,达到了各自个人信息保护的要求,态度迥异却也各有特点。
从美国近年来个人信息保护实践来看,这种立法模式有着其明显的优势:第一,行业自律模式本身有较强的灵活性,它是一种行业内部自制的自我约束规则,完全可以针对行业不同阶段不同的需求和发展进行调整,避免了立法模式中法律滞后及涵盖不全的现象;第二,行业自律具有较强的针对性,不同行业之间可以根据行业特点,制定出与本行业相对应的行业规则;第三,可以针对领域的差异进行区别性的细致规定,制定后有较强的可操作性强。这就使得行业在涉及到信息处理的问题时有明确具体的规范参照,从而激发其在发展过程中的能动性和创造力。这种模式虽然很大程度上促进了市场经济的高效运转,但同时也有着诸多弊端:首先,对个人信息保护的规定分散在各个不同的法律中,各法律之间缺乏系统性,在对法律进行选择适用时比较复杂,削减了其保护的力度;其次,由于行业自律缺乏强制性,它只能在企业自愿加入的情况下才能发挥作用,而对于那些徘徊在行业自律以外的企业,不在立法强调的范围内又没有自律规范加以约束,权利主体在受到侵害时就不可能得到行之有效的救济。
德国的统一立法模式在实践中也有着明显的优势和局限。统一立法模式的主要优势在于:第一,立法模式可以发挥法律的强制力为个人信息提供保障。在法律中,对个人信息侵权行为的法律后果进行明确规定,通过法律的引导和制裁,达到对侵害者的震慑和惩罚,从而实现对个人信息的有力保护;第二,法律能在个人信息遭受侵害时给予充分救济。法律为其提供了一个明确的救济机制,无论是精神损害还是财产损失,都可以从中找出明确的依据。第三,系统而又严密的法律可以分别从立法、守法、执法、司法上,对个人信息的采集、利用、处理进行系统保护,在个人信息遭受侵害时,可以提供全面保障。但同时,立法模式也有极为明显的弊端:第一,语言天生具有歧义性,由语言文字组成的法律条文在对个人信息保护的法律适用上会产生一定的影响;第二,随着新技术的不断出现,必然会导致新的市场需求的产生,侵害个人信息的方法和手段也会随之改变。单一的依靠法律就会产生一定的滞后性,从而难以实现对个人信息的有效保护。
综上,美国和德国根据自己的国情和传统对个人信息的保护选择了不同的立法模式,两种立法模式在实践中也都各有利弊。因此,总结我国个人信息的法律保护现状,在吸收上述经验的基础上结合我国国情,制定符合我国经济和社会发展的个人信息保护法,以实现对个人信息的有效保护。
三、我国个人信息保护的现状及问题分析
(一)我国有关个人信息的立法现状
就间接保护来看,个人信息在没有专门法律保护的现状下,其相关法律问题多被拆分到诸多法律规范中并给予了不同程度的解决,大多以保护人格和隐私的间接保护为主。例如,我国宪法第38, 39, 40条分别对人格尊严、住宅不受侵犯、通信自由和通信秘密规定了保护条款。[③]2004年修宪新增了第33条第3款“国家尊重和保障人权”的规定,此规定与前述条款共同构成了隐私或者个人信息权利保护的宪法依据。[[6]]204-205其在民法上的保护依据则主要体现在《民法通则》针对公民人格尊严受法律保护的规定中,2009年12月26日通过的《侵权责任法》也在第2条、第36条对隐私权和网络隐私权的侵权责任作出了规定。除此之外,我国的三大诉讼法以及《保险法》、《行政许可法》、《行政处罚法》、《行政复议法》、《传染病防治法》等均有对个人隐私予以保护的规定。
就直接保护来看,针对实践中个人信息侵权问题日益突出这一现象,国家先后明确以“个人信息”这一概念制定了一些法律保护措施。例如,在《刑法修正案(七)》中增加了出售、非法提供、窃取个人信息罪,这次立法首次把对公民个人信息的保护纳入到了刑法的保护范围;2012年12月28日,《全国人大常委会关于加强网络信息保护的决定》经审议通过,为个人信息的立法保护确立了政策基础;以此为依据,工业和信息化部在2013年制定了《电信和互联网用户个人信息保护规定》,2013年2月1日,《信息安全技术公共及商用服务信息系统个人信息保护指南》开始实施,标志着我国信息系统中的人信息保护工作正式进入“有标可依”阶段; 2014年10月9日,最高人民法院通过了《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,这个规定首次对我国个人信息的保护范围进行了界定,通过列举的方式,把“自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动”等带有私密性、敏感性、负面性,披露出来会对个人的人格尊严和社会评价造成一定影响的个人信息作为隐私,把这些相对私密信息之外相对来说开放的信息界定为个人信息,同时对网络信息侵权行为的过错认定、管辖都进行了明确。在对以往个人信息保护的司法实践进行总结的基础上,这次司法解释对个人信息和个人隐私进行了初步区分,并首次以列举和概括的方式对个人信息及隐私的内涵、外延进行了明确。这些进步对于规范网络信息侵权行为,完善我国个人信息保护的法律制度等方面都有着极为积极的影响和意义。
(二)我国个人信息保护存在的问题
1、现有法律可操作性不强
上文己经述及,我国现行法律中涉及到个人信息保护的法律法规数量很多,但规定的相关制度却不够健全,个人信息监督和救济机制不尽完善,相互之间缺乏系统性和协调性,使得个人信息在遭到侵害时很难得到有效救济。在个人信息领域里,虽然在我国的关立法和理论研究中取得了一定成果,但这些法律条文在实践中的可操作性不强,不尽人意。
2、个人信息保护立法价值取向错位
我国现行的个人信息保护法律制度缺乏一套成熟的法律价值理念引导,在立法价值取向上存在着错位的现象。“公权力部门对个人信息的保护没有放在相应高度的位置,对个人信息的关注多基于管理的需要,侧重公民提供信息义务,却往往忽视了对个人就其自身信息所有之权利的保护。”[2]162受制于特定的历史文化传统和经济发展水平,在我国涉及到个人信息保护的相关问题时,政府优先考虑的往往是自身的行政效率,甚至盲目的打着“国家利益”的旗号,大范围收集和使用个人信息;企业、组织等为了各自目的不断收集个人信息,利用法律保护的漏洞大肆收集、披露个人信息,而相关权力机关对这种现象却总是睁一只眼闭一只眼。长期以来,对个人信息进行保护的理念在我国缺乏深入的普及,信息社会对信息流通的要求以及人民对人格尊严和自由的追求无法得到充分满足,从人道主义标准和生产力标准来看,我国个人信息立法存在着明显的价值取向缺陷和错位。
3、缺乏必要的社会监管
在信息时代,加强网络安全管理,保护公民个人信息,政府管理部门责无旁贷。而目前在行政监管方而仍存在不少问题。一是监管机构不明。个人信息保护涉及而广,应该由统一的专门机构来监督,而我们却没有权责清晰的监管机构。工业和信息化部只涉及了电信和互联网行业管理,并不包括其他管理个人信息的部门。二是管理标准无强制性。我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(2013)己经正式实施,但仅是一份指导性技术文件,没有强制约束力,其实施取决于相关行业主体的自愿配合。三是监管措施不严。由于缺乏统一严格的质量保证和控制,使得涉及个人隐私的信息被有意、无意扭曲、恶化,甚至捏造,造成大数据样本统计的对真实的个人信息偏离,产生错误的结论和认识,严重影响个人形象,如网上对某一人物的恶搞和低毁等;另外,对数据垄断方和个人之间个人隐私信息管理不严,使得一些数据垄断方利用个人信息讲行精确预测、广告派送和个性服务等,而个人只能被动接受一些垃圾广告、无用信息的干扰,严重影响生活工作秩序。四是行政处罚较低。工业和信息化部《电信和互联网用户个人信息保护规定》、《电话用户真实身份信息登记规定》中对相关违法行为设定了警告和3万元以下的罚款处罚,这相对于出售个人信息所获利益来说,违法成本过低,根本不足以遏制收集贩卖个人信息的违法行为。
4、个人信息保护意识淡薄
随着网络的普遍使用,个人信息被泄露、盗用和滥用事实频发,这与许多人的个人信息保护意识不强有直接关系,人们经常会在有意无意间将个人信息泄露出去。在办理一些必须提供自己个人信息的社会事务时,没有与对方约定保密责任。在网络使用中,没有防范地将个人关键信息随便输入,不注意保护和删除,就有可能因为商家的管理不善或者恶意泄露而被盗用。即使发现自己的个人信息被泄露且造成不良后果时,也不愿或无法去维权,助长了这种违法行为的泛滥。
四、我国个人信息保护制度构想
(一)个人信息保护的立法模式
上文我们己经在比较法的视野下对美国和德国个人信息的法律保护模式进行了比较,并总结出了其优缺点。吸收和借鉴上述立法经验并结合我国的现实情况,笔者认为,我国应当采取统一立法并辅以自律的保护模式。其理由如下:
第一,统一立法更能与我国的法制传统相契合,有利于保持我国法制发展的统一。我国是传统成文法国家,现今对个人信息保护的法律规范可操作性不强,执行起来难度大,因此就必须要制定一部个人信息保护法作为母法,使之成为个人信息保护领域中其他部门法的总则和一般性规定,成为行业自律机制的前提和具体依据。
第二,个人信息保护涉及的领域复杂而广泛,统一立法可以避免多个单行法的冲突与重复。“但凡涉及到一个复杂而广泛的领域的立法,往往有基本法的规定”。 [[7]]220信息化社会中个人信息保护涉及的领域多且复杂,横跨科技、文化、医疗、经济等不同领域,此外,在传播方式上,除了书面,网络虚拟方式大量出现。
第三,统一立法并辅以自律是比较法视野下,吸收各国个人信息法律保护宝贵经验作出的必然选择。德国统一的立法模式对个人权利的保护更为严格,对信息的自由流通控制稍显苛刻,不利于信息化的发展;美国即使结合了自己成熟的行业自治传统,但其分散立法模式对个人信息的保护很多时候也显得捉襟见肘。
因此,借鉴其两者优点,同时结合我国国情,笔者认为我国应采取统一立法并辅以自律的立法模式。统一立法原因前面己经详细论证,而之所以辅助以行业自律,是因为个人信息保护的复杂性决定了法律不可能面面俱到的对各行各业作出详细规定,因此必须要辅之以行业自律的模式,在具体领域里有针对性的制定具体规则;但又不能像美国那样将其作为一种主要保护方式:首先,我国政府作为执法机关,没有以行业自律进行规范的习惯。其次我国的行业组织发展良莠不齐,行业自律观念还没有完全建立,自治能力较弱。对个人信息保护在统一立法的同时也应该看到自律模式的优势,确定行业自律规范的效力,使其成为我国个人信息保护法的有力补充。
(二)有关个人信息保护的具体建议
1、完善相关立法
网络时代信息整合与挖掘既可以对广大消费者开展合法的精准营销、客户管理,也可以从事非法的身份窃取、金融诈骗等。因此,完善个人信息安全保护的相关立法,增强法律的可操作性己显得非常迫切。在现有的法律法规框架内,一是完善刑法的规定。增加犯罪主体的范围,除国家机关或者有关单位的工作人员外,建议将一般的具有刑事责任能力的自然人纳入其中,使该罪的主体为一般主体,只要实施了该行为,情节严重的都要处罚。明确情节严重的判断,只有当非法提供或获取他人信息的行为足以对公民个人的人格权与财产权构成严重威胁或造成严重损失时,才构成情节严重。对“严重”程度的判断,应当从信息量、信息的重要程度、信息的影响力、行为的次数四个方面进行考虑,使其进一步具体化。[[8]]36二是完善侵权责任法的规定。改变举证规则,建议采取过错推定责任,由侵权人证明自己没有过错,如果证明不了的,则推定其有过错,从而减轻被侵权人的举证责任。规定惩罚性赔偿,对出售或者非法提供给他人以及窃取或者购买、采集、存储、处理、使用等非法获取个人信息的,被侵权人的损失难以确定,侵权人因此获利的,按照其获利的2倍进行赔偿,从而加大侵权人的赔偿幅度。[9]32三是尽快出台《个人信息保护法》,涉及个人信息保护的多个部门要积极推动立法,或者设立专门机构推动立法,尽快出台个人信息保护的专门法,规范并协调其他相关法律法规的执行,构建个人信息安全的全面保护。
2、健全社会监管
个人信息具有财产属性,在网络时代,许多企业可能会对存储于云端的个人信息进行商业化利用,从而造成用户的信息泄露和侵害。因此,健全政府的行政监管就显得十分重要。一是健全监管机构。鉴于大数据时代侵犯个人信息主要是通过互联网进行,建议将工业和信息化部作为全国个人信息保护的行政监管机构,确立以工业和信息化部为主,其他相关职能部门配合的监管体制。二是提升管理准效力。建议将《信息安全技术公共及商用服务信息系统个人信息保护指南》作为强制标准,赋予其法律强制力,三是严格监管制度。应该明确存储于政府、商业组织、网络运营商等“数据库”中的个人数据完全属于个人隐私范畴,公民对此享有使用知情权、编辑管理权、删除不当权等权利。四是建立专门测评机构。积极推动个人信息安全保护的第三方服务机构(专业取证机构、司法援助机构等)的发展壮大,为广大公民的个人信息安全保护提供专业化服务。五是加大处罚力度。设立违法行为处罚“公示”制度,可以将违法企业计入“违法行为黑名单”等方式,来有效遏制侵犯个人信息的违法行为。
3、强化技术保护
网络时代,技术手段是法律措施的重要补充,个人信息的安全和保护应强化技术的作用。一是加大资金投入。国家和企业加大对信息安全保障关键技术研发的资金投入,积极鼓励个人信息安全技术的研发和创新。二是提高技术手段。网络时代,大量的用户个人信息通过计算机网络进行存储和传输,要堵住人为漏洞和技术本身的漏洞,最好的方法是技术手段。要加强新产品、新技术的研发应用推广,不断完善信息系统安全设备诸,如防火墙、入侵检测系统、防病毒系统、认证系统等的性能,采取访问过滤、动态密码保护、登录IP限制、网络攻击追踪方法的技术手段,强化应用数据的存取和审计功能,确保系统中的用户个人信息得到更加稳妥的安全技术防护。三是加强技术规范。对那些重要和关键的数据信息进行特殊加密保护,只有通过身份授权或解密情况下才能进行访问和查看。限制个人信息掌握者的权限,不能由一个人掌握全部信息,使每个层级的相关人员只能掌握相应的有限信息。
4、提高个人信息自我保护意识
网络时代,在保护个人信息的相关法律法规尚不完善的情况下,加强个人信息自我保护意识也显得非常重要。一是提高安全意识。在全社会范围内普及个人信息安全的观念,提高全民的信息安全意识。个人要学会自我保护,尽可能防止个人信息无意泄漏。当他人不是因为合法理由或者特殊需要,通过合法方式或程序获取公民有关个人信息时,个人应当拒绝告知。信息企业要创造尊重和保护用户个人信息安全的企业文化和经营环境。二是加强日常学习。个人平时还要学习一些与网络技术有关的知识和技能,在打电话、上网时通过一些先进技术的运用,采取加强对个人信息的保密措施或方法,以防止泄露或他人通过网络技术盗取个人信息。三是养成良好习惯。在注册一些网站和服务的时候,要尽量确认选择不提供个人信息;每次使用电脑网络的时候,减少个人关键信息暴露,避免在网上分享不必要的信息,要删除那些跟踪网络行为的临时文件。在办理一些必须提供自己个人信息的社会事务时,明确与对方约定使用规则、保密责任以及法律责任。四时及时维护权利。发现自己的个人信息被泄露或被非法利用且造成不良后果时,及时维权,通知对方采取删除、屏蔽、断开链接等必要措施。造成损失的,采取协商、调解等方法解决,必要时可采取诉讼手段解决。
五、结语
诚然,个人信息应该如何保护是一个事关重大的社会经济命题,该问题解决的好坏一定程度上会直接影响国家的信息化进程。各国对个人信息保护的立法和实施过程都不是一帆风顺、一蹴而就的,我国立法机关如此谨慎也情有可原,但民众的权利不能任由他人任意侵犯,人格尊严也不容随意践踏。结合我国实际情况,在现有研究基础上尽快制定《个人信息保护法》,对我国个人信息保护有着不容忽视的重要意义。
参考文献
[1]黄茂荣.《法学方法与现代民法》[M],北京:中国政法大学出版社,2001年版.
[2]洪海林.《个人信息的民法保护研究》[M],北京:法律出版社,2010年版.
[3]刁胜先.《个人信息网络侵权问题研究》[M],上海:三联书店,2013年版.
[4]齐爱民.《个人资料保护法原理及其跨国流通法律问题研究》[M],武汉大学出版社,2004年版.
[5]蒋炯.《个人信息保护立法模式的选择一以德国为视角》[J],载《法律科学》,2011,(2).
[6]张新宝.《隐私权的法律保护》[M],北京:群众出版社,2004年版.
[7]齐爱民.《私法视野下的信息》[M],重庆:大学出版社,2012年版.
[8]嗡孙哲.《个人信息的刑法保护探析》[J],载《犯罪研究》,2012,(1).
[9]郭明龙.《个人信息的侵权法保护》[M].北京:中国法制出版社,2012年版.
[10]杨临萍、姚辉、姜强:《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》的理解与适用[J],载《法律适用》,2014,(12).
[11]张维:个人信息保护2014年迎来新契机——专家建议设置行政性隐私保护框架[J],载《政府法治<法制日报>》,2015,(1).
[12]胡珊:大数据时代个人信息管理与保护[J],载《软件导刊》,2015,(8).
[13]黄蓝:个人信息保护的国际比较与启示[J],载《博士论坛<情报科学>》,2014,(1).
[14]杨咏婕.《个人信息的私法保护研究》[D],吉林大学博士论文,2014.
[15]温馨.《网购环境下消费者个人信息利用与保护》[D],安徽大学硕士论文,2014.
[16]吴昊.《我国网络个人信息的民法保护》[D],南京理工大学硕士论文,2015.
[17]刘彦君.《我国个人信息保护的法律问题研究》[D],北京理工大学硕士论文,2015.
[①] 2003年初,国务院信息办委托中国社会科学院法学研究所个人数据保护法研究课题组承担《个人数据保护法》比较研究课题及草拟一份专家建议稿,由周汉华教授担任课题组负责人。课题组经过近2年的工作,分别形成了中期与最终研究报告。
[②] 齐爱民教授在2009年5月于重庆大学举办的“个人信息国际立法论坛”上发出该质疑,引人深思。
[③] 《中华人民共和国宪法》第三十八条:中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。
《中华人民共和国宪法》第三十九条:中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。
《中华人民共和国宪法》第四十条:中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。
今天是:
