王梦迪
摘要:近年来个人信息遭遇到不当收集、恶意使用、利用和篡改从而危及公民的财产和生命安全的事件时有发生,个人信息的行政法保护日渐成为一个法律问题。本文首先对个人信息主体的权利和管理者的义务作了概述。其次分析了目前我国个人信息法律保护中存在的问题。最后提出个人信息保护的相关建议。
关键词:个人信息;行政法
一、信息主体的权利和信息管理者的义务
(一)信息主体的权利
1、信息决定权。除法律特别规定外,信息主体享有对自己信息的控制权,信息处理者收集、处理和利用公民的个人信息必须经过信息主体的同意,而且必须因为特定的目的在规定的范围之内收集、处理和利用个人信息。
2、信息知悉权。信息主体享有获悉其个人信息被收集、保存、处理等相关基本情况的权利。
3、信息更正、删除或者停止使用权。这种权力主要发生在信息处理者收集、处理或者利用的个人信息不准确时,个人信息的主体就可以行使该权利以防止出现侵害到本人合法权益的情况。
4、请求救济权。当信息主体的上述各项权利受到非法侵害时,可以通过要求行政主管部门予以查处、投诉信息处理者或者诉讼途径请求救济。
(二)信息管理者的义务
信息管理者主要包括两类:一类是行政机关;另一类是非行政机关。
1、行政机关的义务主要包括:
(1)明确并限定使用目的。行政机关在收集、处理和使用个人信息时,必须在其职权范围内明确使用目的,并且该使用目的应当限定为出于对公共事务的管理与服务或者是具有法律的授权。
(2)告知义务。行政机关在收集个人信息之前应当告知个人信息主体并获得同意,还需要将其处理个人信息的情况告知个人信息主体。(3)保存义务。行政机关在保存个人信息时应当保证个人信息的质量并且采取有效的措施保证个人信息安全,并且只有在经过信息主体同意或保护公共利益时才准许向第三方提供其所保存的个人信息。
2、非行政机关主要是商业企业,他们收集、处理和利用个人信息的目的是为了获得利润。为了防止这些部门只追求利润而不顾个人信息主体的利益,应该对其收集、处理和利用个人信息的行为进行更多的限制。
(1)主体适格。非行政机关要经过有关主管部门的登记或者批准,才能够从事个人信息的收集、处理和利用的行为。
(2)个人信息交易中的义务。在信息交易中,转让方在转让个人信息之前應当告知信息主体并且取得信息主体的同意,而受让方则应该保证个人信息的质量,遵守转让方对个人信息主体的承诺,不得随便将信息再转让给第三人。
二、我国个人信息保护存在的问题
1、对个人信息行政法保护的概念比较模糊,对个人信息行政法保护的范围也没有做出明确的规定。
2、法律法规与司法解释的可操作性不强。我国关于个人信息行政法保护的法律法规与司法解释主要侧重于原则性而忽视了实践性与可操作性,从而导致个人信息的行政法保护不能得到有效的落实和执行。
三、对我国个人信息保护立法的建议
(一)加快立法进程
制定个人信息保护法必然要面对的一个问题是立法模式的选择。现在西方存在两种立法模式:统一立法和分散立法。两者的关键不同点在于是否将公共部门和私营机构收集、处理个人信息的行为放在一部法律文件内进行调整。我认为应选取分散立法,我国目前立法技术和立法基础还不能较好的融合统一立法模式。从我国个人信息保护法的制定进程便可以看出,2005年提交专家意见稿到国务院至今未仍正式进入立法程序。分散的立法模式或许更能满足我国公民的权利诉求。我国现有的相关法律较为庞杂,但并非所有条款都缺乏执行力,有的条款还是具有很完备的法律规则要素的。而对于缺乏法律后果的条款,可以通过配备相应的司法解释,补充法律后果和法律链接来加强其执行力,这些改动还是比较容易通过立法手段解决的。
(二)完善对个人信息侵权的救济制度
1、针对行政机关侵权的救济措施。
(1)行政申诉。如果行政机关收集、处理与利用个人信息的行为侵害到信息主体的合法权益,信息主体可以首先向信息资源主管部门提起行政申诉,在信息主体不服该部门处理决定的情况下,就可以寻求司法救济途径。
(2)行政复议与行政诉讼。《政府信息公开条例》第25条规定了信息主体在行政机关拒绝或不予答复其要求更改与其自身相关的不准确的个人信息的申请时,或是行政机关对不应该公开的公民个人信息进行公开而导致信息主体的合法权益受损,信息主体可以根据我国现有的法律提起行政复议或者向人民法院提起行政诉讼。
(3)行政赔偿。如果因行政机关违法收集、处理和利用个人信息而使得信息主体的合法权益遭受损害,信息主体有在其损失范围内获得行政赔偿的权利。因此如果行政机关侵犯了信息主体的合法权益时,信息主体可以首先经侵权机关确认后要求赔偿,也可在申请行政复议时提出,如果都不能实现,则最终提起行政赔偿诉讼。
2、针对非行政机关侵权的救济措施。如果信息主体认为非行政机关违反法律规定侵害其合法权益,可以向政府信息资源主管部门投诉,政府信息资源主管部门可以依法对投诉的信息进行受理,根据举报的情况进行执法检查,并要求信息处理者报告自己的收集、处理与利用个人信息的行为,政府信息资源主管部门依法对信息处理行为进行审查,在属实的情况下,采取警告、罚款、吊销营业执照或者许可证等行政处罚以及查封、扣押、冻结等行政强制措施,给信息主体造成人身或者财产损害的还应当承但赔偿责任。
结语
个人信息保护已经成为我国信息化进程中不可忽视的一个课题。由于我国个人信息保护起步较晚,对于个人信息保护存在诸多法律问题,立法上的不完善是个人信息泄露事情频发的根本原因。只有对个人信息保护中这些基础性的理论有了确实的法律规范,才能给个人信息保护的司法适用和执法实践提供最强有力的支持。(作者单位:四川大学)