刘倬豪
南京师范大学法学院,江苏 南京 210023
我国未来个人信息保护法立法的完善
——《个人信息保护法示范法草案学者建议稿》评述
刘倬豪
南京师范大学法学院,江苏南京210023
摘要:《个人信息保护法示范法草案学者建议稿》从撰写后过去了约十年时间,《个人信息保护法》的立法工作仍不见起色。随着大数据时代的到来,在新的条件下个人信息受到的侵害愈发严重,现行法律无法有效保护信息主体的相关权利,也无法促进信息产业的健康发展,因此制定这样一部法律是公众愈发迫切的愿望。同时在新的时代条件下,对比其他相关法律的规定,可以发现草案的优点与不足,并在吸取其他法律优点的基础上,应实现该草案的实质性完善。
关键词:个人信息保护法(草案);立法完善;侵权责任
关于个人信息的法律保护目前散见于侵权法、民法通则、刑法典以及其他部门法零零散散的法条中。随着信息化时代的到来,以及科学技术的发展,个人信息数据能够较容易地被收集、存储及传播利用,同时这种便利性也导致大量的个人信息在不知不觉中在虚拟世界中流通传播,而我们对于侵权几乎一无所知;单个人的信息侵权算不上严重,但可怕的是几乎人人都被这一问题所困,并且由于个人信息侵权的侵权方难以确定,标的额较小以及难以请求精神损害赔偿导致很多受损害方对个人信息被侵犯的事实采取漠视或忍受的态度,同时关于个人信息方面法律制度的不健全使得很多人无法利用法律手段去维护自己的权利,这对我国的法制化建设以及社会发展存在着很大的威胁。
从立法模式上看,目前主要的立法模式主要有个人信息保护法单独立法,在民法典的隐私权中加以详细规定以及制定侵权责任法的司法解释三种。本文采纳第一种观点,因为从特征上看,虽然目前在理论界对隐私权的内容和范围仍存在争议,但一般都认为“不愿为他人所知晓”是隐私权的基本特征,而个人信息的概念特征在于“识别”,即通过个人信息能够将信息主体“认出来”。从权利的行使来看,隐私权是与人身密不可分的,隐私权不能转让,不能作为交易的客体,而个人信息权的显著特征就是个人信息能够进行商业交易并产生财产利益。从救济方式来看,对隐私权的保护通常是采用事后救济的方式实现的,而对个人信息的保护则是采用事前防范和事后救济相结合的方式达到的。所以隐私权与个人信息权是交叉关系,有的个人信息是隐私,有的个人信息与隐私没有关系。而侵权赔偿请求权显然是一种债权请求权,要求被侵权人有实际的损失,而个人信息受侵害不少只是人格权受损,加上侵权责任法没有对隐私权之外的个人信息有具体规定,所以在侵权责任法中规定司法解释也是不合适的。
到目前为止,共两位学者提供了关于个人信息保护法的草案,一是受国务院信息办委托,由社会科学院法学研究所周汉华研究员牵头负责的个人数据保护法研究课题组所起草的《中华人民共和国个人信息保护法(专家建议稿)》①;二是广西大学法学院的齐爱民教授所拟定的《中华人民共和国个人信息保护法示范法草案学者建议稿》②。而这两部草案都是十年之前就早早拟定完备的了,为何十年后的今天,在社会主义法制现代化的当今却迟迟不肯出台有关立法呢?对此本文将从齐爱民教授的《个人信息保护法示范法草案学者建议稿》这篇草案本身寻找其不足之处,并对其作出改进,使立法工作能够更好的开展。至于另外一篇《中华人民共和国个人信息保护法(专家建议稿)》由于其因为将个人信息权利定性为公法上的权利,导致该建议稿过于强调个人信息保护法的行政法手段,但个人信息权利实质上是一种法律没有规定的特殊人格权,属于民法的调整对象,因此本文对这篇专家建议稿不作过多评述。
一、大众关于个人信息保护立法的基本观点
通过2015年7月对于苏南地区的500位群众的调查显示,有72.14%的人认为个人信息泄露严重的主要原因是法律不健全,存在个人信息买卖市场。当人们意识到自己的信息可能被他人获取或者加以利用时有48.65%的人虽然担心,但不知从何下手保护自己的信息。有68.19%的人觉得当个人信息受到侵害时,是不知道用什么方法维权的原因阻止了当事人的依法维权。有64.86%的人认为迫切需要应当颁布个人信息保护法。尽管这一数据来自于中国较发达地区的小部分人群,但也能代表迅速发展中的中国的大众意向,由此可见,对于个人信息保护的立法,大部分人都持支持态度。
二、个人信息保护法草案的基本内容
该草案的内容框架为:第一节,一般规定(包括立法目的,适用范围,定义和原则等);第二节,国家机关对个人信息的收集、处理和利用;第三节,非国家机关对个人信息的收集、处理和利用;第四节,损害赔偿(共同侵权,损害赔偿,精神损害赔偿)共32条。
(一)一般规定
1.坚持欧盟国家的立法模式
目前世界范围内关于个人信息的立法模式主要有美国与欧盟两种,其中美国的立法模式是将个人信息的有关规定附属于隐私权之中,并且更加依赖于行业的自律机制,关于个人信息的条款散见于不同部门的法律之中。欧盟国家的立法模式是进行统一的立法,可能叫做个人数据保护法亦或是个人信息保护法,调整方式为设置独立的个人信息保护机构而非行业自律,并且将个人信息权独立于隐私权之外定位为新型的人格权。显然本草案摒弃了美国的立法模式,因为这种立法模式与中国当今的立法模式并无太大区别,只是其内容与执行力超越我国而已,而由于美国是英美法系国家,对于立法的疏忽缺漏可以通过判例加以弥补,但对于中国来说追随欧盟国家的脚步是相对来说更为利好的选择。
2.相关概念解释
首先个人信息作为一种信息之所以为自然人所支配的原因在于其是可以于其他自然人相互区分,在此共性的基础上,齐教授将个人信息作了列举式的规定,大致包括姓名,各种号码信息,家庭住址和一些特殊敏感信息等等。然后个人信息法中的主体则包括信息主体,即个人信息权人;信息处理主体,即对个人信息进行处理的他人或组织;以及第三人三个主体。同时对处理活动进行列举式规定,也就是个人信息变动的全过程,而利用活动则涵盖了除了对处理活动的列举以外的全部活动。最后规定了调整范围不仅包括电子数据的处理,也涵盖了以人工方式检索的处理。
3.立法价值取向
齐爱民教授开篇点明草案的立法目的在于调整个人信息的处理活动,首先保障有关个人信息的人格权,其次保障个人信息的合法处理利用。在立法原则上,规定了信息采集利用要么合法要么合意,而且必须合目的,同时需采取安全措施保障个人信息不受侵害。这表明在权利义务的利益衡量中,草案偏向于个人信息权的保护,个人信息的处理利用同样受到保护但要以其本源为前提。在第二章和第三章的内容中,草案通过加重国家机关与其他机关的义务来保障个人信息权人的处理,而鲜见个人信息权的直接描述,所以这部草案也是一部信息处理主体的义务法,一部信息主体的权利法。
(二)对国家机关的相关规定
1.国家机关在个人信息处理过程中的权利与义务
国家机关在个人信息处理利用中对于信息主体处于绝对优势,这是在国家力量的支配下获得的地位,国家机关对于个人信息的收集利用类似于征税,征税是国家强制力得以实施的经济前提,而个人信息的收集则是国家在信息化过程中不可或缺的一步。征税的税种和税率是相对稳定的,而个人信息的收集也不能没有限度,对于敏感信息往往需要特殊情况才可以收集。税款的利用也要符合国家征税的目的,同样,个人信息的利用也要符合收集个人信息的目的。但这也并非没有例外,国家机关对于社会中的诸多利益需要权衡,在法益与法益的冲突中或是追求更长远的利益而不得不利用个人信息的情况,可以不经过信息主体的同意处理利用该信息。
国家机关对于信息主体的权利应当保障,对此草案对国家机关的义务加以规定,对于信息主体的知情权,国家机关有披露抽象行政行为的义务,对于信息主体的查询权,国家机关有许可其查询的义务并提供便利,对于信息主体的排他权,国家机关工作人员有保密的义务。但这些义务都有例外,凡是关系到更为重要的法益时,可以排除以上规定。
2.信息主体的权利与义务
个人信息权属于人格权的一种,它与隐私权与其他人格权有所不同的是,它多多少少与其它人格权有所联系,但却有所不同,只能与其它人格权形成交叉关系;而且它是一种带有财产性质的人格权,可以实现个人信息的流通市场,这也是与其它人格权不同的地方。同时,个人信息权并不完全由信息主体所支配,对于个人信息的合法利用,公民有提供便利的义务,假若完全由公民排他支配,势必会使社会秩序陷入危机与紊乱之中。
针对这种特殊性,草案中规定,信息主体有查询权,变更权,知情权,决定权。(1)查询权也就是公民主动向政府提出查询其个人信息档案中的内容,只有关系到其它更重大的法益时才可以拒绝,并且要提供拒绝查询的理由。(2)变更权包括变更删除和封锁,信息主体有向国家机关请求变更的权利,并且国家机关应依职权主动履行但需要以信息主体的同意为前提。(3)知情权体现于国家机关的告知义务与公开义务,一种是针对特定人的,另一个是针对不特定人的,国家机关应主动告知收集个人信息的理由并披露关于个人信息处理利用的有关政策。(4)决定权属于人格权自由支配的表现,体现于信息主体有权决定在任何地点任何时间向任何人告知自己的个人信息的权利。
(三)对非国家机关的相关规定
非国家机关指的是依批准获得个人信息处理权力的国家机关以外的自然人,法人及其他组织。关于非国家机关的有关规定类似于国家机关,但是基本没有国家机关的但书例外情形,这说明非国家机关的权力较小,对于私人权利的限制较少。同时与国家机关不同的是,非国家机关有制定自律规范的权利,自律规范与本草案具有同等效力,这也是参照了美国法中的相关规定,毕竟各个行业有各个行业的不同,这一规定是为了保障市场灵活运转,自由运作,平衡个人信息保护与社会发展两方面的法益。
(四)损害赔偿
此章节规定了侵权发生后关于造成损失的救济,大致与侵权法中的一般侵权中的规定相类似,但特殊的在于对于信息主体无法确定侵权行为人的情形,可以相关的数个信息处理主体得向法院主张共同侵权。在侵权的责任认定原则上,国家机关采取无过错责任,无论有无过错都要承担损害赔偿责任,非国家机关采取过错推定原则,必须证明自己无过错才可以免除责任。最后,关于精神损害赔偿的问题比照隐私权的相关规定,对于精神损害可以提起精神损害赔偿。
三、比较相关法条,草案的优点与不足
(一)对比专家建议稿
另一份由周汉华研究员所起草的建议稿的内容框架为:第一章,总则(目的与依据,立法原则,适用范围与例外等);第二章,政府机关的个人信息处理(规定了:个人信息的收集与利用;信息主体获得个人信息的权利;个人信息的更正与停止使用);第三章,其他个人信息处理者的个人信息处理(规定了:政府管理制度;个人信息的收集与使用;信息主体的权利;行业自律机制);第四章,法律的实施保障与救济;第五章,法律责任以及第六章,附则(规定施行日期与实施后的衔接)。共七十二条。
与草案相比,该建议稿的立法价值建立在规范信息处理主体的处理利用活动上,以义务来规制信息处理活动,并且将本法与政府信息公开条例看做一个问题的两面。虽然说明不适宜由行政法规加以规定③,但该建议稿却处处充满了行政的色彩,忽视了个人信息保护问题的主要矛盾也就是民事法律关系,仅抓住了信息处理活动中信息处理主体与信息主体的次要矛盾。草案虽然也是多规定了信息处理主体的活动,但其倾向总体上还是以民事手段调整为主,以刑事手段和行政手段为辅;主要使用授权型法规规定个人信息权的内容而非禁止性规范。同时对于事后的救济制度来说,本草案还是坚持让受害人得到实实在在的侵权损害赔偿或是人格权请求权亦或精神损害赔偿,跟建议稿对机关组织进行处分的救济措施相比更有利于调动受害人维护自身权益的积极性,同时也减轻了信息处理主体的压力,有利于个人信息产业的发展。
但是,草案与之相比的不完善之处在于立法稍显抽象,没有建议稿规定的具体,对于信息处理活动中的各种情形、介质、矛盾都没有建议稿规定的详细。建议稿类似于将程序法、实体法、民法与行政法一手包办,这不见得是优秀的法律,但却比草案仅仅给出了一个大致框架还需要法律解释予以修补的形式更值得借鉴。
(二)对比地方法规
早在2012年江苏即正式施行了《江苏省信息化条例》,在关于政务信息资源的采集、公开、共享中,规定为了促进政务信息资源方面的共享工作,《条例》在第二十一条、第二十二条、第二十三条中分别对政务信息资源采集、使用和共享等方面作出规定。通过建立统一规范的政务信息资源共享目录和共享交换体系,为政务信息共享提供可能;规定信息采集应当主要通过信息共享方式从国家机关获取,以防止政务信息的重复采集、多头采集。同时,将政务信息共享作为各级政府部门的法定义务,国家机关在履行职责过程中形成或者获取的信息资源应当依照相关规定予以共享。
针对目前社会上人民群众反映较为集中的非法买卖个人信息现象,《条例》在第二十四条规定:“任何单位和个人不得非法披露所采集的信息,不得将获取的公民、法人和其他组织的信息出售或者以其他方式非法提供给他人,不得以窃取、购买等方式非法获取上述信息。”同时增加一款法律责任,规定“违反本条例第二十四条规定,非法披露、出售、提供信息,或者以窃取、购买等方式非法获取信息的,由县级以上地方人民政府信息化主管部门责令其删除信息,没收违法所得,对单位处以十万元以上五十万元以下罚款,对个人处以一万元以上五万元以下罚款;构成违反治安管理行为的,由公安机关依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”④这一规定为保护个人信息安全提供了具体可执行的法律依据。而对于这些非法买卖个人信息市场,草案较少有相关条款对其进行限制,而实际生活中这种侵权形式恰巧占据主要位置。
不过这一条例的立法目的还是为了规范政府机关的信息处理活动,同时赋予了许多政府机关的权力如共享权。对于个人信息市场的惩罚行为也是为了规范社会秩序,没有对于信息主体规定任何自力救济的条款,也没有对于政府机关对个人信息保护不力的惩罚措施,对于信息主体权利的保护作用并不明显。对于信息产业的发展更是倾向于经济法的内容,与个人信息保护没有太大关系。个人信息保护法草案与之相比更多的保护了信息主体的权利,对于信息处理机关的责任则并非该法应考虑的重点。
(三)对比外国法
作为一部国外几十年前就已经有过实践的部门法,外国的经验是我们必须借鉴的,并且个人信息保护法的立法价值之一就是促进个人信息的跨国传输,促进国际经济的正当发展,维护国际政治秩序,因此我们需要与国际立法接轨。
1.美国:法律保护技术规范如果隐私被人侵犯,造成了精神或物质上的损害,公民就会诉诸法律。这主要得益于美国与隐私保护相关的立法比较成熟。美国国会1974年就通过了《隐私权法》,这是美国保障公民个人信息的最重要的基本法律。此外,美国各州还制定了一些保护本州公民隐私的细化法律。
2.德国:法规完备争议尚存德国在保护公民个人信息的立法方面走在世界前列。早在1970年德国黑森州就颁布了德国首部地方性《数据保护法》,从而在全球开辟了一个新的立法领域。之后,《联邦数据保护法》、《州数据保护法》、《数据保护法》等多项法规不断出台。2006年,德国人口最多的北威州颁布了名为《在线搜查法》的地方法,允许该州情报机关通过俗称特洛伊木马的远程控制软件及其他技术手段全面监控嫌疑人在互联网上的活动,获取嫌疑人电脑中的数据。
美德两国都从保护消极的隐私权开始,逐步过渡到保护积极的隐私权即保护个人信息权。但我国隐私权制度一开始就并不完善所以一开始将个人信息独立于隐私更适合我国。它们所制定的法律不仅赋予信息所有权人对特定范围内的事项享有请求权,还给个人信息的采集、使用者规定了大量义务。它们都重视立法对保护公众人格利益不受非法侵犯的作用,相关法律都规定了采集和使用个人信息必须经过信息所有权人同意,并对信息的目的进行严格的限定。在个人信息的采集和使用过程中,明确了信息主体享有的权能大致包括知情权、异议权、抗辩权等权利。总之,美国和德国都根据自己的价值观,在拥有相应社会基础的前提下完善了自己的个人信息保护制度。而我们的草案也应采纳多种调整方式,基于中国国情,吸收外国法优点,弥补自身的不足。
四、改进该草案的建议
(一)明确个人信息权的权利内涵
个人信息权是我国宪法中的一项基本人权,同时还是民法中的一项人格权,唯有把宪法上的基本人权进行细化处理成民法上的具体权利,才能够起到合理利用个人信息,以及防范侵权行为的作用,并能够最大限度地保障个人的合法权利,协调好社会上的所有经济利益关系。在不久后要制定的民法典中可能就会规定个人信息权,这不仅是要宣示其作为人格权、民事权利的属性,更要确认该权利的内容、权利的行使、对权利侵害的禁止以及权利的特殊保护。⑤因此我们关于个人信息保护法的有关规定应参照人格权的有关规定,首先应着眼于个人信息权的支配性,规定个人信息的自决权,这是信息主体排除妨害的最有力权能,意味着信息主体有处理个人信息的自由,其他人无法干涉。接着是对于信息处理机关的处理活动,信息主体有知情权,变更权,抗辩权,对于个人信息在处理机关的处理使用有监管的权限,并能以实际权利约束信息处理主体。然后是对于侵权人,信息主体有人格权请求权与损害赔偿请求权,要求其赔礼道歉,恢复原状,消除影响,赔偿损失等请求,严重侵害到精神心理状态时甚至可要求其承担精神损害责任。最后对于个人信息的财产性,应规定信息主体的收益权,信息主体可以通过合同等方式利用自己的个人信息。
(二)规定无信息主体参与情形下侵权的内容与救济
在现代社会中,个人信息已成为具有相当价值的资源之一,处于发展中国家的中国社会已经迈入了信息时代的轨道,却也是社会道德却难以抑制到期间技术进步所带来的各种风险代价,其中包括公民个人信息的买卖。目前个人信息泄露的主要原因并不是它的收益,相比于其他不法收入,个人信息交易的收益要少得多,交易量要大的多,真正的原因在于管理的不规范以及可操作性强。而且我们现今已经开始网络和信息时代。随着网络信息技术和电子商务的发展,个人信息的商业价值得到不断提升。相应地,个人信息交易也越来越成为信息产业的重要内容。由于网络服务商对个人信息的获取易如反掌,加之个人信息在网络上提供的必要性,这就形成了一个源源不断的市场。
这样的情形并没有信息主体的参与,这一情况若没有个人信息保护法的有关规定岂不是成为了法律上的空白?因此我们需要具体规定没有信息处理主体参与下,侵权人的法律责任。同时由于法律法规的不完善,使得在审判侵权案件的过程中,无法界定侵权的主体,而怎样要求侵权人承担法律责任成为了裁判的难点。这就要求,国家要明确个人信息权被侵犯后承担的责任、责任承担的方式以及责任构成要件等。草案中应当明确规定,不能确定侵权人时,由负责保管此个人信息的国家机关及有关组织承担连带的过错推定责任,这时信息处理主体就成为了民事法律关系中的被告,为保管个人信息不力的过失行为承担责任;当然,在信息主体有过错的情况下应当另当别论。
数据泄露通知制度也应当是规定的重点,往往信息处理主体比信息主体更容易发现个人信息的侵权行为,在发现自己所管理的个人信息泄露或知道侵权案件与自己所管理的个人信息有关时应及时通知信息主体,否则,信息主体有权请求对信息处理主体进行行政处罚。
(三)特殊人群、特殊信息的保护
个人敏感信息,各国国情和历史文化背景不同,范围不一,但多包括以下几类:种族、民族起源、宗教或哲学上的信仰、政治倾向、工会成员资格、犯罪记录、健康状况及性生活等方面。这些特殊信息应受到更严格的法律规制,对于这些信息的收集处理活动必须依法登记,获得批准,非政府机关对这类信息的收集权限应进行缩小和监管。
有些特殊人群比如未成年人,精神病人,军人的个人信息应得到特别对待,在个人信息保护法中应当单列并进行详述,对于此类人群的信息应类推适用关于敏感信息的特殊规定。而有些特殊人群比如官员的个人信息不应与一般的个人信息同等适用,应在《政府公开条例》中加以规定,因此个人信息保护法应当规定不适用本法的例外情形。
(四)完善行业自律制度
相对于立法模式,行业自律模式取得效率优势所必需的理论前提,即保护个人隐私方面所取得的实际效果不亚于后者这一条件,如果得不到现实的支持,则我们就需要从其它角度来重新认识行业自律模式。令人遗憾的是,在保护个人信息实际效果上,行业自律模式并未取得良好效果。相反,事实证明,在网络环境下,行业自律模式对个人隐私的保护作用也是相当有限的。此外,对违反行业自律规范的从业者缺乏有力的制裁与惩罚措施,也是行业自律模式的不足之处。在非公共部门,特别是一些商业网站,己经逐步认识到了个人信息的巨大价值以及个人信息对信息主体的重大意义,为了增强消费者使用网络的信息,提供了相对较为详细的隐私保护政策。但也应注意到,我国国内各商业网站的个人信息保护水平差异很大,大型的商业网站大多有比较完备的个人信息保护政策;但一些小型网站在个人信息保护方面是令人担忧的,它们不仅没有公开相应的个人信息保护政策,甚至不惜商业信誉,只要能给网站的经营者带来利益,就会不适当地收集、利用乃至出售访问者的个人信息。
五、结语
个人信息的保护从最初的隐私、尊严和自由的人格权要求到现在流行的财富积累保障的要求,很好地体现人权和社会经济发展的过程,从而影响到人们对这些发展的保障要求。而且在越来越提倡民主、文明和交易规则的现代社会,对个人信息予以全面完整的保护的社会需求也越来越强烈。我们探讨个人信息保护及其法律机制是十分有必要的。
[注释]
①周汉华主编.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006.1.
②齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿[J].河北法学,2005(6).
③周汉华主编.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006.64.
④周春柏.江苏省信息化条例正式施行[J].江苏通信,2011(6).
⑤王利明.我国未来民法典中人格权编的完善[J].中国政法大学学报,2013(1).
[参考文献]
[1]周汉华主编.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006.
[2]齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿[J].河北法学,2005(6).
[3]周春柏.江苏省信息化条例正式施行[J].江苏通信,2011(6).
[4]王利明.我国未来民法典中人格权编的完善[J].中国政法大学学报,2013(1).
[5]严鸿雁.论个人信息权益的民事权利性质与立法路径[J].理论与实践,2013(4).
中图分类号:D923
文献标识码:A
文章编号:2095-4379-(2016)20-0005-04
作者简介:刘倬豪(1995-),男,河南信阳人,南京师范大学法学院,2013级本科在读,法学专业。