时间:2022-10-01 13:53:12
序论:在您撰写个人信息保护论文时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
关键词隐私权法个人信息信息公开信息安全政府
1974年12月31日,美国参众两院通过了《隐私权法》(ThePrivacyAct)[1],1979
年,美国第96届国会修订《联邦行政程序法》时将其编入《美国法典》第五编"政府组织与雇员",形成第552a节。该法又称《私生活秘密法》,是美国行政法中保护公民隐私权和了解权的一项重要法律。就政府机构对个人信息的采集、使用、公开和保密问题作出了详细规定,以此规范联邦政府处理个人信息的行为,平衡公共利益与个人隐私权之间的矛盾。
1立法原则
《隐私权法》立法的基本原则是:
①行政机关不应该保有秘密的个人信息记录;
②个人有权知道自己被行政机关记录的个人信息及其使用情况;
③为某一目的而采集的公民个人信息,未经本人许可,不得用于其他目的;
④个人有权查询和请求修改关于自己的个人信息记录;
⑤任何采集、保有、使用或传播个人信息的机构,必须保证该信息可靠地用于既定目的,合理地预防该信息的滥用。
2适用范围
《隐私权法》对该法出现的"机关"、"人"和"记录"等概念的适用范围做出限定。
2.1机关(agency)
该法中的"机关",包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司,以及行政部门的其他机构,包括总统执行机构在内。该法也适用于不受总统控制的独立行政机关,但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。
2.2人(individual)
该法中的"人",是指"美国公民或在美国依法享有永久居留权的外国人"。
2.3记录(record)
该法中的"记录",是指包含在某一记录系统中的个人记录。记录系统是指"在行政机关控制之下的任何记录的集合体,其中信息的检索是以个人的姓名或某些可识别的数字、符号或其他个人标识为依据"。个人记录是指"行政机关根据公民的姓名或其他标识而记载的一项或一组信息"。其中,"其他标识"包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码,以及其他一切能够用于识别某一特定个人的标识。个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的记载。
3记录公开的限制和登记
3.1禁止公开的原则
行政机关在尚未取得公民的书面许可以前,不得公开关于此人的记录。
3.2例外
《隐私权法》规定了行政机关可以公开个人记录,无需本人同意的12种例外情况。
⑴为执行公务在机关内部使用个人记录;
⑵根据《信息自由法》(theFreedomofInformationAct)公开个人记录;
⑶记录的使用目的与其制作目的相容、没有冲突,即所谓"常规使用";
⑷向人口普查局提供个人记录;
⑸以不能识别出特定个人的形式,向其他机关提供作为统计研究之用的个人记录;
⑹向国家档案局提供具有历史价值或其他特别意义值得长期保存的个人记录;
⑺为了执法目的向其他机关提供个人记录;
⑻在紧急情况下,为了某人的健康或安全而使用个人记录;
⑼向国会及其委员会提供个人记录;
⑽向总审计长及其代表提供执行公务所需的个人记录;
⑾根据法院的命令提供个人记录;
⑿向消费者资信能力报道机构提供作为其他行政机关收取债务参考之用的个人记录。
3.3记录公开的登记
行政机关根据上述例外公开个人记录时,除机关内部使用和依《信息自由法》公开的情况外,其他各项公开必须将公开的时间、性质、目的、获取记录者的姓名和地址登记在案,并至少保存5年。除非是向执法机关公开,被记录者有权取得行政机关制作的关于本人记录公开情况的登记。
4公民查询与修改记录的权利
《隐私权法》规定,个人有权知道行政机关是否保本人记录以及记录的内容,并要求得到复制品。除非此项记录符合该法规定的免除适用情况,或者系行政机关为某人而编制,行政机关不得拒绝个人的请求。个人认为关于自己的记录不准确、不完整或已过时,可以请求行政机关修改或删除。个人请求修改的信息限于记录中的事实,不包括意见在内。
5对行政机关的限制和要求
5.1采集信息的限制
⑴行政机关必须用正当合法的手段和程序制作、保有、使用和公开个人记录。
⑵行政机关搜集个人信息,如果可能导致对被记录者作出不利的决定时,必须尽可能地由其本人提供。
⑶行政机关要求提供个人信息时,必须对提供信息者说明下列事项:
①行政机构要求提供信息的法律依据,以及个人是否必须公开这项信息;
②该项信息主要用于什么目的;
③该项信息的常规使用;
④个人全部或部分地拒绝提供行政机关所需信息的法律后果。
5.2保有和使用记录的限制和要求
⑴行政机关建立或修改个人记录系统时,必须在《联邦登记》上公布下列事项:
①系统的名称与地点;
②系统中包括哪一类人的记录;
③该系统收集了哪一类信息;
④这些记录的常规使用是什么,包括使用目的和使用者类型;
⑤行政机关对这些记录的保存、获取和控制政策以及保存的方式;
⑥该记录系统的负责人;
⑦个人查询记录系统中是否包括自己的记录时,行政机关答复的程序;
⑧个人查询如何获取自己的记录,如何质疑该记录时,行政机关答复的程序;
⑨系统中记录来源的类别。
⑵行政机关只能在执行职务相关和必要的范围内,保有个人记录。
⑶保有个人记录的行政机关必须保证记录的准确性、适时性和完整性。
⑷美国宪法修正案第1条规定公民享有宗教自由、言论自由、集会自由等基本权利。个人的、政治信仰和行政机关执行公务无关,禁止行政机关保有这些方面的个人记录。
⑸行政机关所保有的个人记录,在诉讼程序中,由于法院的命令而对其他人强制公开时,行政机关有义务通知被记录人。
⑹行政机关必须建立行政的、技术的和物质的安全保障措施,以保障个人记录的安全、完整和不被泄漏,并防止其它可能对被记录者产生损害的危险。
⑺为了确保《隐私权法》的执行,行政机关必须规定个人行使权利的程序。
6免除适用的规定
个人隐私权只在符合公共利益的范围以内受到保护。为了在公共利益与个人利益之间寻
求平衡,除了前面提到的12种"例外"情况,《隐私权法》还作出了"免除"的规定。
所谓免除,是指行政机关在一定的情况下,可以不适用《隐私权法》的某些要求和限制。即在一定的条件下,保有个人记录的行政机关,对被记录的个人可以免除公开的义务,可以不提供他所查询的记录,不进行他所要求的修改,或者免除法律为行政机关规定的某些义务和要求。法律在免除行政机关适用某些保护个人权利的条款的同时,给予行政机构一定的自由裁量权,不限制行政机关适用这些条款。免除分为两种,即普遍免除(generalexemptions)
和特定免除(specificexemptions)。
6.1普遍免除
"普遍免除"是指《隐私权法》中的全部规定,除了法律所排除的几项基本规定以外,其余各项规定,行政机关均可免受限制。
6.1.1免除范围
能够适用普遍免除的行政机关对其保有的个人记录系统,除下列必须履行的基本义务和要求外,可以免除《隐私权法》对行政机关规定的绝大部分限制和要求:
①被记录人的同意权;
②登记公开的数目和保存登记的义务;
③在《联邦登记》上公布的义务;
④保持记录正确性的要求;
⑤对保有涉及宪法修正案第1条公民基本权利的个人记录的限制;
⑥建立保护个人记录安全的行政与技术措施的要求;
⑦改变常规使用时进行公告的义务;
⑧违反法律的刑事责任。
6.1.2适用机关
普遍免除只适用于中央情报局和以执行刑法为主要职能的机关所保有的个人记录。
6.2特定免除
"特定免除"是指行政机关只能免除法律特别规定的几项限制。
6.2.1免除范围
特定免除只能免除适用《隐私权法》中的少数条款。行政机关对本机关中可以适用特定免除的个人记录系统,免除适用《隐私权法》中规定的下列限制或要求:
①个人查询和获取本人记录的权利;
②个人查询和获取本人记录公开情况记载的权利;
③行政机关只能保有与执行公务相关和必需的信息;
④行政机关在《联邦登记》上公布个人查询该机关记录系统中是否含有、如何取得关于本人信息的办法,以及该系统中的各类信息来源;
④行政机关规定个人取得、要求修改本人记录的办法。
上述5项免除的共同特点是免除行政机关对被记录的个人公开关于他的记录。
6.2.2适用记录
特定免除不限制适用的机关,但只能适用于行政机关记录系统中以下7种关于个人的记录。
①涉及到根据总统的行政命令明确划定为国防或外交秘密的个人记录;
②以执法为目的而编制的个人记录;
③以保卫总统、副总统、其他重要官员、外国来访元首为主要任务的安全机关所保有的个人记录;
④人口普查记录和其他纯粹以统计为目的而编制和使用的个人记录;
⑤以决定个人是否宜于任用、签订合同、接触保密资料为目的而编制的调查材料;
⑥文职官员在使用和晋升过程中的考核材料;
⑦可能暴露信息来源的军官晋升考核时所用的资料。
7与《信息自由法》的关系
《信息自由法》是规定美国联邦政府各机构公开政府信息的法律。该法于1967年6月5日由美国总统批准,同年7月6日(美国独立纪念日)施行,是美国当代行政法中有关公民了解权的一项重要法律制度。根据这一法律,政府信息公开是原则,不公开是例外。公民享有从政府的档案馆、手稿馆、图书馆、报刊、杂志、电台、电视台、情报所、科研所获得信息,并利用信息的权利[2]。
《隐私权法》规范行政机关处理个人记录的行为,规定个人记录必须对本人公开和对第三者限制公开的原则,与《信息自由法》同属于行政公开法的范畴。和《信息自由法》的不同之处在于:《隐私权法》只适用于个人记录,而《信息自由法》适用于全部政府记录;《隐
私权法》着重保护公民的个人隐私权,而《信息自由法》着重保护公众的了解权;《隐私权法》企图限制某些政府文件的公开,而《信息自由法》则寻求政府文件最大限度的公开。
这两个法律互为补充,关系密切,但在适用上互相独立。行政机关对个人记录系统的公开,同时受这两个法律的支配。一个法律中免除公开的规定,不适用于另一个法律。行政机关不能依据《信息自由法》中免除公开的规定,拒绝向个人提供他在《隐私权法》中可以得到的文件。《信息自由法》规定不能对公众提供的文件,不一定是《隐私权法》规定不能对个人提供的文件;行政机关也不得根据《隐私权法》的规定,拒绝提供《信息自由法》中公众可以得到的文件。《信息自由法》兼容除《隐私权法》外的其他法律对某一文件不得公开的规定。公众根据《信息自由法》或《隐私权法》要求行政机关提供文件,而行政机关要拒绝提供时,只能依据该法本身免除公开的条款。
8思考与启示
政府信息的公开是民主社会的特征之一。一方面,公众有权根据自己的意愿从政府那里获取信息;另一方面,政府有义务提供各种条件,保证公众平等利用政府机构控制的信息。在保证国家安全和利益、公民隐私不受侵犯的前提下,保障公民的了解权,即知情权,是对公民人权的一种尊重,也是民主社会健康发展的必要条件。
随着信息化社会的到来,特别是网络化的计算机系统和大型数据库的建立,大量涉及金融、医疗、保险、财产、家庭等方面的个人信息集中掌握在政府部门手中,随时都有可能发生个人信息失控的情况。公民的个人信息一旦被他人非法获取,或者信息持有者未经公民本人授权擅自将这些数据用于职责以外的其他目的,就很容易对公民的隐私权甚至人身安全造成侵害。
对公民的个人信息进行法律保护,其实质是在确保国家和公共利益的原则下,赋予公民对个人信息传播的控制权[3]。然而,对于政府机构所掌握的个人信息,我国目前尚没有专门的法律予以保护。因此,笔者认为,研究和借鉴发达国家、地区和国际组织关于个人信息保护的有关法规,对于改进和完善我国政府信息公开的法律环境,推进民主与法制建设,保护公民的切身利益,都具有重要的现实意义。
参考文献
1ThePrivacyActof1974,5U.S.C.§552a,1974.12
随着人类迈入信息时代,社会信息化程度不断加深。信息与知识一样成为了社会生产力、国家竞争力和经济发展的关键。个人信息成为新科技时代的重要社会资源。社会生活物质条件的变革为新的权利生成创造了必要的社会基础和前提条件。纵观美国和德国个人信息法律保护的发展历程,与调整个人信息相关的信息隐私权和信息自决权的出现与现实社会的需要都有着密不可分的联系,这并不是历史的巧合。如今,个人信息的法律保护也成为了一个我国亟待解决的社会问题。
康德认为,由于同一个人在不同的视角下存在的方式和性质拥有差异,所以应当以是否为人的感官所能达到为标准,对人的存在及其性质做出经验与超验双重视觉观察的区分。人在双重的性质中看待自己,首先,作为感官存在者在信息社会里,人的存在已经超脱了传统中可被感知肉体、生物体形式的呈现方式。人们自身会产生许多具有识别意义的信息,在各个方面被与自身关联的信息所描述。因此,人逐渐的成为各种信息的集合体。这种信息集合体形式的存在也极大的丰富了经验领域中人的存在内容,使得原本依附于人身之存在的精神利益有了更加丰富的直接现实意义。在信息社会,随着人们改造客观世界活动广度和深度的增加,各个社会生活实践领域的活动几乎都有信息形式的记录,人因此具有了一个丰满的信息化外观。这个信息化外观不仅囊括了人的生物信息,还包括在社会、文化等方面的信息。有学者指出,有关个人的信息在一段时间内积累到一定的程度,就能构成与实际人格相似的信息人格或者数据人格,即以在社会生活中体现出来的信息或数据为基础的个人公共形象被用来作为该个人的代号。
任何事物都具有两面性,信息技术在给我们带来便捷,成为社会发展强大助力的同时,也犹如一把双刃剑。个人信息的屡屡泄漏也已经对社会稳定造成了极大的危害,对人们的社会生活带来重大困扰。近期,中国青年报社会调查中心通过民意中国网和新浪网,对1958人进行的在线调查显示,86.5%的受访者表示自己的个人信息曾遭泄露,49.8%的人抱怨信息遭泄露已严重影响自己的生活。
个人信息权的界定
个人信息保护问题的核心在于,信息主体同信息流转机构在信息流转关系上的力量悬殊,又缺少恰当的法律制度来平衡这种利益关系,使得信息主体个人无法有效的控制个人信息,无法适当的参与信息流转。个人信息保护要着力理顺个人同其他个人信息流转机构之间的利益关系,这样不仅能够维护信息主体的个人利益,更有利于社会主义和谐社会的构建与民主政治制度的运行,而这一切的前提条件是赋予信息主体一个强有力的个人权利个人信息权。通过赋予个人信息权,使信息主体获得个人信息利益,不仅仅是法律制度对一般社会利益的衡量选择的结果,更加重要的意义在于为构建一个平衡个人利益之间、个人利益与社会利益之间的法律框架奠定了基础。
个人信息权的法律属性
个人信息是自然人人格要素的一种,由此决定了个人信息权的人格权属性。虽然个人信息可以被用来进行社会交换,表现出一定的财产利益,但个人信息权在民法权利框架内属于人格权范畴。探讨个人信息权的人格权属性问题,我们需要从个人信息所承载的利益入手。
内容提要:行政主体收集、处理和利用个人信息是一种行政事实行为。我国应尽快制定个人信息保护法,明确信息主体有权要求行政机关不能随意处理个人信息,公开对其个人信息的收集和利用,规定个人信息保护的范围、原则、监督和救济制度。利益衡量是目前协调个人信息保护与行政信息公开的适当方法。
随着行政权的扩张和行政活动的日益复杂,行政机关通过各种行政活动收集、处理和利用着大量的个人信息,同时也对个人信息构成了极大的威胁。传统行政信息公开制度的建构只是通过信息公开法中的例外规定来实现对个人信息的保护,忽视了行政机关对个人信息的侵犯。依据联合国指南规定的“不得用非法或者不合理的方法收集、处理个人信息,也不得以与联合国的目的和原则相违背的目的利用个人信息”,我国对个人信息的保护制度应当顺应历史潮流作适当调整。
一、行政主体收集、处理和利用个人信息的要件
个人信息是可以识别本人的一切信息的总和。作为管理的基础、决策的依据,个人信息是政府活动不可或缺的重要资源。行政机关收集、处理和利用个人信息在行政活动中是非常必要的。行政主体对个人信息的收集、处理和利用是行政事实行为。它是行政主体基于职权而实施的,是运用行政权力的结果。由于对个人信息的收集、处理和利用不能产生、变更和消灭行政法律关系,因此它不是行政行为。但是行政主体收集、处理和利用个人信息时仍然要遵循一定的规则,符合特定的条件。
(一)有法律依据行政主体收集、处理和利用个人信息是行政事实行为,从较抽象的角度来讲,任何公权力都应以追求公共利益为其目的,如果一个公权力行为不以公共利益为目的,则该行为就失去了正当性基础。公益是行政作用所无法免于考虑的,国家机关之作为倘若背离公益,将失去其正当性。[1]而判断行政机关的行为是否符合公共利益,就在于行政机关的行为是否符合宪法和法律。例如,《城市居民最低生活保障条例》第7条第2款规定,县级人民政府民政部门以及街道办事处和镇人民政府,为审批城市居民最低生活保障待遇的需要,可以通过入户调查、邻里访问以及信函索证等各种方式对申请人的家庭经济状况和实际生活水平进行调查核实。申请人及有关单位、组织或者个人都应当接受调查,如实提供有关情况。在此,行政法规授权县级人民政府民政部门、街道办事处和镇人民政府,对城市低保申请人有关经济状况和生活水平的个人信息进行收集,以保证履行好行政给付职责,保障城市居民基本生活。
(二)特定的职责事务或特定的社会公共事务管理的目的
《突发公共卫生事件应急条例》第39条第1款规定,医疗卫生机构应当对因突发事件致病的人员提供医疗救护和现场救援,对就诊病人必须接诊治疗,并书写详细、完整的病历记录,对需要转送的病人,应当按照规定将病人及其病历记录的复印件转送至接诊的或者指定的医疗机构。此时,行政法授权医疗卫生机构收集患者和疑似病人的健康状况的个人信息,从而能及时地救治病人,有效地控制和消除突发公共事件的危害,保障公众身体健康和生命安全,履行好维护正常社会秩序的行政职责。特定目的要件蕴含着比例原则的要求。比例原则是大陆法系限制自由裁量权的重要理论。按照一般的理解,比例原则要求手段和目的的协调,严格禁止一切为达成目的不择手段的国家行为。[2]比例原则要求行政机关实施行政行为时,在实现某一目的的各种不同方法中应运用其中最适当的方法;在不违背或减弱所追求目的的效果的前提下,应尽可能地选择对相对人造成损害最小的方法;行政机关对公民个人利益的干预不得超过实现行政目的所追求的公共利益,两者之间必须符合比例或者相称。尽管行政主体收集、处理和利用个人信息有法律的授权,但是法律对行政主体收集、处理和利用个人信息的范围、条件、程序等方面的规定往往不明确、具体,行政主体在遵守行政法规范的同时也就具有了一定的选择、裁量的余地。根据比例原则,行政主体为履行特定行政职责而依法收集、处理和利用个人信息时,只能收集履行行政职责的特定目的范围内的个人信息,不能收集其他不相关的个人信息,不能对收集的个人信息进行特定目的之外的处理和利用。
(三)告知或经个人信息主体的同意
美国隐私权法规定了禁止公开的原则,规定行政机关在公开个人的记录以前必须首先通知被记录的人,征求他的意见,在没有取得个人的书面同意以前不能公开关于他的记录。有学者认为国家机关的管理性收集行为必须通知个人信息主体,国家机关的服务性收集行为则必须经过资料本人的同意。[3]该观点认为管理性的收集行为是国家机关履行职责的需要,相对人只有配合的义务而无拒绝的权利,国家行政机关只须履行告知程序即可,包括事前告知和事后告知。行政机关的服务性收集更多地是为私人主体的利益,与公共利益关系不大,应遵循意思自治原则,要有信息主体的同意才能进行。由于收集、处理和利用个人信息对信息主体个人权益关系重大,信息主体的同意原则上应以书面形式作出,以满足保存和举证的需要。同时,也应允许特殊情况下非书面的形式。如紧急情况下进行个人信息收集时,可以是口头同意,事后再补做书面同意。
(四)保证个人信息的正确、完整、最新、安全和隐秘
个人信息反映信息主体的人格形象,不正确、不完整和不时新的个人信息将影响行政决定的正确性和合理性。因此,行政机关在对任何人作决定时,其所运用的档案的记录,均应保持正确、完整及最新,以使其在作出决定之时,能合理保证对该个人具有相当的公正性。此外,行政机关应当采取适当的行政性、技术性及物理性保障措施,保障记录的安全与保密,防止可能对记录的安全与完整造成的任何潜在的威胁与损害,因为,这些威胁或损害可能会对记录所涉及的个人造成实质性危害、妨碍、不便或不公正影响。
二、建立我国个人信息的行政法保护制度
(一)制定个人信息保护法是当务之急
行政信息公开法、个人信息保护法和行政程序法是构成行政信息公开制度的主要法律。[4]行政信息公开法适用于全部政府信息,而个人信息保护法只适用于个人信息。信息公开是对社会公众的公开,而个人信息保护法中的个人信息仅对信息主体公开,对社会公众则是限制公开。所以,从行政机关将所持有的个人信息对信息主体公开这个角度来说,个人信息保护法属于行政公开法律范畴。同时,行政机关收集、处理和利用个人信息的整个程序不仅向信息主体而且也向社会公众公开。传统的行政信息公开制度在建构上,对个人信息权的保护是作为行政信息公开的例外存在的,侧重于从保护个人信息权不被行政机关以外的主体侵犯的角度来规定个人信息不予以公开。随着行政权的扩张和行政活动的日趋复杂,行政机关对个人活动的控制范围和对个人提供服务的范围都达到了前所未有的程度。行政机关通过各种行政活动收集了大量的个人信息,特别是随着信息技术的发展,行政机关收集、处理和利用个人信息的能力更是空前提高,行政活动对个人信息权已构成极大的威胁。传统的行政信息公开制度由于忽视行政机关对个人信息的侵犯而需要调整。信息主体有权要求行政机关不能随意处理个人信息,并要求公开对其个人信息的收集和利用。行政机关处理个人信息的整个程序应该向社会公开。信息技术的发展提高了行政机关行政信息处理的效率,同时也对行政机关的行政信息公开提出了更高的要求。对个人信息的保护也由信息公开法中的例外规定发展为个人信息保护的专项立法。可见,制定个人信息保护法是解决行政信息公开与个人信息权之间的矛盾、完善行政信息公开制度的重要途径。
(二)个人信息保护与行政信息公开的协调
尽管行政信息公开法和个人信息保护法都属于行政信息公开法律的范畴。但是,知情权与个人信息权的对立是不可避免的,两者构成一对矛盾。如何处理它们之间的关系成为必须解决的实际问题。
利益衡量的方法不失为解决个人信息权与知情权的冲突的明智之举。协调两种权利的冲突就必须解决好不同利益之间的关系,即在公众的了解利益和个人信息的人格利益之间进行取舍。适用利益衡量方法的前提是两种利益互为矛盾,其中一方面利益的实现可能导致另一方面利益的减损。利益衡量的方法通过对两种利益的估量和平衡,选择价值更高的利益。如果公众的了解利益比个人信息之上的人格利益明显重要,则行政机关就应该公开其掌握的个人信息,反之则不予公开。根据个别比较衡量论,当个人信息权与知情权两种价值发生冲突时,依据具体个案,分析公民了解的利益和个人信息之上的人格利益所受到的损害,将二者衡量比较,当保护前者利益较大时承认公民的知情权;当保护后者所获利益较大时尊重个人信息权。个别比较平衡论中标准的随意性过大而显不足。界限确定衡量论认为,知情权是绝对价值,保障公民对国家政治信息的知情权占首要地位;而其他人权是相对价值,其自由可以在一定程度上予以限制。[5]该理论是基于对权利本质的分析。从权利本质上看,个人信息权是一项民事权利,它通过赋予信息主体支配与控制其个人信息的权利来保护信息主体存之于个人信息上的人格利益。知情权主要是一种政治权利和社会权利,与行政信息公开制度相关的知情权更表现出政治权利的属性。在现代社会,随着民主政治的发展,公民对政治的参与度日益提高,知情权所体现的是公益性,它要求整个社会更加透明和开放,要求人们能有更多的机会了解和参与政治,而个人信息权具有个人性,与公共利益无关。因此,在知情权与个人信息权的对抗中,由于前者代表了社会公共利益、体现了更高的利益价值而占据上风。当某项个人信息涉及到公共利益时,对个人信息权进行限制、将个人信息予以公开则成为必然。当然,对公民知情权的优先考虑并不意味着漠视个人信息权。当个人信息的公开纯属满足个人的需要而与公共利益无关时,应该适当保护个人信息权而牺牲知情权。
三)通过立法完善我国的个人信息保护制度
美国将个人信息划分为公共领域和非公共领域分别进行保护,公共领域的立法主要是规制政府收集、处理和利用个人信息的行为,防止政府对个人信息隐私权的侵犯;在非公共领域,各行业和领域中的个人信息分别由不同的联邦法规通过普通法和侵权行为法予以保护,同时以建议性的行业指引、网络隐私认证计划、技术保护等行业自律形式增强个人信息保护的针对性。[6]这种模式尽管有其优点,但存在不足:分散立法易导致欠缺整体规划,法治不统一,司法不协调;行业规范缺乏国家强制力的保障,实施效果不理想;普遍性不足,很多企业游离于行业规范之外;投诉和争端解决机制不完善。同时,美国的行业自律是建立在行业组织高度发达且与政府互动明显的基础上。我国显无这一基础,故行业自律模式不符我国国情。多数欧洲国家则认为尽管政府机关收集、处理和利用个人信息时与非政府机关存在一些不同的行为规则,但是仍存在许多共性,而且公私领域在保护个人信息权的价值目标上是一致的,也都遵循同样的基本原则,因此通过制定专门的个人信息保护的单行法,对公、私领域中的个人信息保护进行统一规范。结合我国的法律体制和法律传统,我国的个人信息保护应借鉴欧洲国家的立法模式,进行统一规范、统一立法,主要内容应包括个人信息的一般规定,个人信息保护的基本原则,国家机关、非国家机关对个人信息的收集、处理和利用,以及监督和救济等方面。尤其应该注意以下问题:
1.个人信息保护的范围
法律保护的范围应及于一切个人信息。在过去手工收集和处理个人信息的技术条件下,个人信息受到的威胁并不突出。随着计算机技术的发展和互联网技术的应用,这种威胁已变得十分现实和严重。因此,不少有关个人信息保护的立法仅对电脑处理的个人信息进行规范,如美国、英国、日本、我国台湾地区等。而一些国家的立法则对自动化处理与人工处理的个人信息进行同时规范,如德国、荷兰等。笔者认为,尽管电脑处理的个人信息更容易受到侵害,但不能因此而忽视人工处理和半自动系统处理的个人信息。个人信息立法应给以个人信息全面保护。
2.个人信息保护的基本原则
我国的个人信息保护法也应明确规定个人信息保护的基本原则,作为个人信息保护法的指导思想,同时也用来弥补具体规则的不足。借鉴国际立法经验,个人信息保护法总体上应体现合法兼正当的原则,具体应规定以下原则:
(1)合法原则。行政主体行为的目的、方式、程序、内容均不能违反法律的规定。
(2)直接收集原则。个人信息的收集,原则上应该直接向信息主体收集。现代信息技术使得对个人信息的收集具有隐蔽性,该原则有利于实现信息主体对其个人信息的直接支配和控制。这是个人信息决定权的要求,同时也有利于信息主体获得知悉权。
(3)目的明确原则。个人信息在收集时必须有明确的目的,禁止超出目的范围而收集、处理和利用个人信息。对于行政机关来说,必须在行使行政职权、履行行政职责所需的目的范围内收集、处理和利用个人信息。行政机关应告知信息主体信息收集的目的。
(4)公开原则。一般应对个人信息的收集、处理和利用保持公开,使信息主体了解其个人信息被收集、处理和利用的情况。当然,“公开”并非指将个人信息的内容向公众公开,而是指将个人信息的收集、处理和利用的情况向信息主体公开,否则将违背个人信息保护的目的。
(5)完整正确原则。信息处理主体应保持所持有的个人信息的完整、准确和时新,信息主体对错误、有瑕疵的个人信息有要求更正的权利。当然,信息主体的更正权仅在于维护其个人信息的正确、完整与时新,其行使更正权的程序与内容应当受到适当的限制。
(6)安全原则。行政主体应采取安全保护措施,防止个人信息泄露、灭失和不正当使用。
3.个人信息保护的监督机关
个人信息保护监督机关的设置有独立的监督机关和原行政机关自行监督两种情形。法律授权的独立监督机构固然有利于个人信息保护监督职责的履行,但设置新的机构涉及机构和人员的编制,需要必须的工作条件和经费,这显然不符合机构精简的原则,与我国行政管理体制改革的方向不符。而由原行政机关自行监督,属于行为主体自己行为自己监督,其不足亦是显而易见的。为解决这一问题,可以立足于我国现有的行政复议制度,把行政复议机关作为个人信息保护监督机关,赋予其相应的职权。行政复议本身具有监督行政的属性,行政复议机关一般是作为被申请人的行政机关的上一级机关或所属的一级政府,行政复议机关与作为被申请人的行政机关是一种领导与被领导的关系,或者是业务指导、主管的关系。因此,由信息处理主体的行政复议机关进行个人信息保护的监督,比信息处理主体的自行监督会有更好的效果。依《行政复议法》的规定,由行政复议机关的内部机构履行复议职责。而实践中,一级政府和政府工作部门分别由其法制部门和内部的法制机构具体履行复议职责。复议机构工作人员的相对专业性和专职性也有利于其胜任个人信息保护的监督工作。结合各国个人信息保护法的规定,我国个人信息保护监督机关的职责应包括以下内容:对个人信息保护法的执行进行一般性监督;进行个人信息保护的研究和咨询;并定期提交工作报告。
4.对信息主体的救济
“无救济则无权利”。要使信息主体的合法权利切实得到维护,则个人信息保护法中应明确对信息主体的救济。例如,应当明确规定,信息主体公开、修改其个人信息的请求遭到行政主体的拒绝时,可以申请行政复议。行政复议机关未予以处理或者对行政复议的结果不服时,信息主体还可以提起行政诉讼。《行政复议法》和《行政诉讼法》都将受理案件的范围限定于行政主体的具体行政行为。《行政复议法》第6条列举了可以申请行政复议的案件。其中第9项和第10项规定,相对人申请行政机关履行保护人身权利、财产权利、受教育权利的法定职责,行政机关没有依法履行的以及相对人认为行政机关的其他具体行政行为侵犯其它合法权益的。《行政诉讼法》第11条也对受案范围进行了规定。其中第1款第5项和第8项规定,相对人申请行政机关履行保护人身权、财产权的法定职责,行政机关拒绝履行或者不予答复的以及认为行政机关侵犯其他人身权、财产权的。第2款规定,除前款规定外,人民法院受理法律、法规规定可以提讼的其他行政案件。行政主体对信息主体的公开申请、修改申请拒绝或不予答复时,信息主体的个人信息权将受到影响,行政主体的拒绝决定属于具体行政行为,不予答复属于行政不作为。因此,依据我国现有的行政复议制度和行政诉讼制度,信息主体可以获得救济。个人信息保护法应规定信息主体因行政主体违法收集、处理和利用个人信息的行为遭受损害的,给予行政赔偿。
注释:
[1]城仲模:《行政法之一般法律原则》(二),三民书局1999年版,第167页。
[2]肖金明:《原则与制度———比较行政法的角度》,山东大学出版社2004年版,第185页。时,可以是口头同意,事后再补做书面同意。
[3]齐爱民:《个人资料保护法原理及其跨国流通法律问题研究》,武汉大学出版社2004年版,第80页。
[4]张明杰:《开放的政府———政府信息公开法律制度研究》,中国政法大学出版社2003年版,第17页。
(一)个人信息主体的权利
1.信息决定权:在我国,自然人对自己的个人信息享有支配的权力,此权利具有排他性。
2.信息更正权:若信息所有权者发现自己的个人信息存在错登记或遗漏时,其有权要求相关机构对其个人信息进行及时更正或补充。
3.信息告知权:信息告知权指的是当信息所有者的个人信息被收集后,信息所有者有权知道其个人信息被何种机构或个人所使用、保存,并有权知悉其被收集信息的用途。
4.信息删除权:当信息所有者脱离该信息管理机构的法律范围,其有权要求使用主体或管理机构删除其个人信息。
二、我国个人信息行政法保护中出现的问题
(一)基本原则模糊
目前我国的个人信息行政立法还不够完善,只有在部分机构的规章制度中体现出保护个人信息的条款,因此,我们要借鉴欧美发达国家的立法观念,加强对个人信息保护方面的立法力度。
(二)立法模式和法律规范不健全
目前我国在个人信息保护立法模式上,有以下观念:(1)建议采取综合性立法模式;(2)建议采取统一的立法模式。在制定个人信息保护法律时,需要依据我国宪法实施,而个人信息却处于公法与私法间,没有固定模式对其定位。
我国在个人信息保护方面没有一个健全的法律体系,部分与其相关的法律条款,一般源于对个人隐私的保护法规,分散性强。因此,我国应加强对个人信息保护的行政立法,不断完善个人信息保护的法律体系。
三、完善我国个人信息行政法保护制度的措施
(一)确立个人信息行政法保护的基本原则
1.尊重人权原则:我国宪法规定需尊重和保障公民的基本权利,国家机关及其工作人员在工作中需秉承尊重人权的原则,尊重人权在个人信息保护的行政立法中起到的指引作用,同时也保障公民的知悉权,体现出国家在践行“以人为本”上的力度。
2.保障人权:我国在个人信息行政立法中,主要以维护信息所有者的人格尊严为基础,并切实保障信息主体的各项基本权利,因此,在制定个人信息的保护法律条款时,不得损坏公民的其他权益。
3.比例原则:在个人信息的收集和使用过程中,当个人利益与公众利益发生冲突时,应按照适度的比例来进行处理,既不过分侧重于公众利益,也不过多偏向于个人利益。
(二)健全相关法律制度
1.完善监督管理制度
建立健全的监督管理制度,充分利用行政机关的权利,保障公民的个人信息权利,维护其个人信息安全,方法有:⑴建立公开透明的监督管理体制,公众参与个人信息保护的监督,设立热线电话和和联网监督渠道;由专门的国家行政机关对相关的信息使用者进行监督,促使其依法办事、履行相应的义务。
2.完善政府信息公开制度
在个人信息保护上应不断完善信息公开制度,增加信息的透明度,扩大公众知悉权,并制定相应的标准,以确保信息在公开透明的情况下也不损害相关人员的个人信息受保护的权利,以便于更好地落实信息公开制度。
3.完善个人信息处罚制度
完善个人信息处罚制度,加强对信息使用主体的监管力度,若信息使用主体在信息操作过程中有违规违法行为,应严格按照处罚制度予以处罚,确保个人信息的保护权不被侵害。
四、结语
据“3·15”晚会报道,部分公司利用Cookie收集用户信息,并据此精准投放广告。例如,某公司自称能掌握全国90%的互联网用户信息,包括性别、年龄、职业、身份、收入、受教育程度、邮件注册等。一时间,使用Cookie是否等于侵犯个人隐私、如何保护网民合法权益等问题引发广泛关注。
一、什么是Cookie
(一)Cookie和第三方Cookie
Cookie,有时也用其复数形式Cookies,是指网站为了辨别用户身份,进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。
Cookie浓缩了互联网技术和互联网广告的发展历史,也是各国法律界关于隐私争论的一个焦点。Cookie最早由Netscape公司(最早的浏览器即出自这家公司)的Lou Montulli发明,1998年被授予专利号。从1995年开始,IE等浏览器逐渐开始支持Cookie。发明并使用Cookie的最初目的其实是简化用户的操作。
今年“3·15”晚会所报道的Cookie问题主要是指第三方Cookie。当用户访问A网站时,A网站会在用户的电脑里存放A域名的Cookie,即第一方Cookie;如果A网站的网页里有某个图片(或者广告)来自B网站,那么B网站则有可能在用户的电脑中存放一个B域名的Cookie,就是第三方Cookie。许多第三方统计工具和互联网广告,其实都是基于第三方Cookie运作。
(二)Cookie的作用
网站利用Cookie信息,一方面为用户提供个性化服务;另一方面,对数据信息进行集合化分析,对于网站完善其研发及经营策略具有重要的参考价值。
Cookie的一个典型应用是网络购物。虚拟购物车现在已经是一个很成熟的技术,但在互联网发展早期,网站服务器很难知道这一秒的访问和下一秒的访问是否来自同一个用户,也就无法记录和归总用户的选择清单,这大大增加了用户的网购成本。虚拟购物车在用户没有登录时仍然能够保存其选购的物品,保障购物行为的一致性和延续性,这就是Cookie的功劳。
Cookie的另一典型应用是网站自动登录。当用户第一次登录某个网站时,往往要输入用户名和密码,下面还有个选项“下次自动登录”,如果用户勾选了,下次访问同一网站时,用户名和密码会自动生成。
Cookie的典型应用还包括视频接放。用户在视频网站上观看视频时,如果因其他事情中断,下次再登录网站后还可以从原先断掉的地方继续观看,这也是Cookie的功劳。
二、关于Cookie和隐私的两个核心问题
(一)使用Cookie是否等同于泄露隐私
1.隐私和个人信息的概念
隐私是一个法律上的概念,我国目前在讨论相关立法及法律问题时,采用“个人信息”概念者居多。对于个人信息的称谓,各国个人信息保护法中有个人资料、个人数据、个人隐私、个人信息等不同表述。例如,我国台湾地区采用“个人资料”,欧盟及其成员国使用“个人数据”,日、韩采用“个人信息”,而美国多用“隐私”。
不同概念的内涵略有差别,但目前各国个人信息保护法对于个人信息的定义,一般以“识别”为核心标准,即指与个人相关的,能够直接或间接识别特定自然人的信息。
2.个人信息的商业使用
个人信息商业使用的核心特征是信息使用服务于商业目的。尽管公司、企业是个人信息商业使用的主体,但判定是否属于商业使用个人信息并不能以使用主体为标准。依托信息通信技术及网络,国家机关、事业单位甚至个人同样可以实现对个人信息的收集汇聚并加以商业利用。
同时,商业目的不仅包括通过使用个人信息直接获得经济收益,也包括使用个人信息帮助设计产品或服务,提高用户体验,从而间接获取经济收益。在实践中,服务于商业目的包括对用户个人信息的收集、整理、更新、分析、挖掘、统计,以服务于企业设计产品、市场营销、客户开发、渠道拓展等,直接或间接取得商业利润和其他商业回报。
关于个人信息“使用”的概念界定,各国立法规定不同。
第一种是狭义界定,将个人信息使用行为作为一种具体的处理行为。欧盟《个人数据保护指令》引入了“处理”概念,将其作为个人信息保护法调整的大类行为,吸收合并了几乎有关个人信息保护的所有行为。该指令第2条(b)项规定,个人数据处理,是指对个人数据所作的任何操作或一组操作,操作可以通过自动或非自动的方式进行,如收集、记录、组织、储存、改变或变更、检索、咨询、使用或通过传输进行公开,以及传播或使其能够被使用、排列或组合、组块、删除或销毁。日本、韩国以及阿根廷都采用了这一做法。
第二种是较为广义的界定,将使用与搜集、处理行为并列。如我国台湾地区的《个人资料保护法》,调整的行为包括搜集、处理、利用。其中,处理是指为建立或利用个人数据文件所为数据之记录、输入、储存、编辑、更正、复制、检索、删除、输出、连结或内部传送。利用是指将搜集之个人数据为处理以外之使用。
第三种是广义界定,认为使用包括处理和转移行为。如奥地利《联邦个人数据保护法》第四条第(8)规定,数据使用是对数据应用程序中的数据进行的各种操作,既包括数据处理,也包括数据传递。
目前,我国关于个人信息商业使用的主流观点主要是广义界定,即指服务于商业目的,在取得个人信息的基础上,对个人信息所作出的录入、存储、修改、复制、检索、整理、标注、比对、挖掘、传输、披露、公开等处理和利用行为。
信息时代,尤其未来的大数据时代,离不开个人信息的商业使用,而Cookie是实现个人信息使用的重要基础技术之一。使用Cookie不等于泄露隐私,用户提供一部分个人信息是获得更好互联网服务的前提,也是互联网行业能够不断创新、挖掘用户需求、推出更适合用户需求的产品的基础之一。只有当Cookie被基于恶意目的滥用(而非合理使用),也就是互联网公司在个人信息保护与使用之间没有把握好分寸的时候,才会发生个人信息泄露。
(二)删除Cookie是否等同于保护用户利益
如前文所述,Cookie是浏览器储存在用户电脑中的数据包,用户可以通过浏览器的设置选择留下Cookie或者清除Cookie,用户也可以在电脑相应的文件夹中将Cookie文件手动删除。
正因为网络用户个人信息具有巨大价值,某些互联网服务商利用自己的产品私自删除其他互联网服务商在用户电脑中存储的Cookie,这不仅涉嫌对用户选择权的侵害,还涉嫌不正当竞争。
从我国现有法律来看,对未经允许清除其他网络服务商Cookie的行为已有所规范。《消费者权益保护法》规定,消费者享有知悉其购买、使用的商品或者接受的服务的真实情况的权利,享有自主选择商品或服务的权利。
工信部《规范互联网信息服务市场秩序若干规定》规定,互联网信息服务提供者不得恶意干扰用户终端上其他互联网信息服务提供者的服务,恶意修改或者欺骗、误导、强迫用户修改其他互联网信息服务提供者的服务或者产品参数,不得未经提示并由用户主动选择同意,修改用户浏览器配置或者其他设置。
此外,《互联网终端软件服务行业自律公约》也对类似行为进行了自律规制。该《公约》规定,终端软件下载或安装时,如要附带其他非直接相关功能,应明确提示用户,并提供明显的使用或关闭该功能的方式,未经用户同意不得自动运行。除恶意广告外,不得针对特定信息服务提供商拦截、屏蔽其合法信息内容。不得滥用终端软件的安全服务功能实施侵害其他企业和用户合法权益的行为。开展系统优化服务时,应当尊重用户的自主选择,不得替用户作出默认选择。
三、网络个人信息保护的国际趋势
(一)增加个人信息使用的透明度
在搜索领域,Cookie是搜索引擎向用户提供个性化服务及改进、完善搜索技术、搜索算法和经营策略的重要依据。由此,全球各大搜索引擎均在增加个人信息使用透明度的前提下,收集Cookie信息并进行机器学习、智能分析,这已成为搜索引擎行业的惯例及通行做法。
增加个人信息使用的透明度,告知消费者个人信息数据采集行为是目前世界各国在处理网络个人信息保护与商业使用的问题上所体现的重要趋势。例如,Google和百度均在隐私权策略声明或者隐私保护声明中作出明确提示。
(二)opt-out机制的广泛运用
保障用户的选择权,是关于Cookie和个人信息保护问题的关键之一。从国际立法制度看,目前互联网用户行使同意权主要有两种方式,一种是事前的明示同意,是指在收集、使用个人信息之前,应得到信息主体的明示同意,也称“opt-in”模式;另一种是默示同意原则,是指可以在未征得信息主体明示同意情况下收集、使用个人信息,但应保障信息主体的知情权,并提供可拒绝收集和使用的方式,也称“opt-out”模式。
从国际立法的趋势来看,采纳“opt-out”模式日益普遍。以Cookie为例,“opt-out”模式会默认用户同意网站搜集Cookie,以此鼓励网络服务商根据用户信息的分析从而提供更加创新和优良的互联网产品及服务,当用户不同意时再选择拒绝。我国《信息安全技术公共及商用服务信息系统个人信息保护指南》也引入了这项基本制度,符合国际立法趋势。
论文关键词 公民 个人信息 刑法保护
随着信息时代的到来,人们在日常的工作和生活中都会运用到各种信息,可以说信息已然深入到人们生活的各个部分。不可否认的是信息化的发展可以在一定程度上推动社会经济的发展,但是其中所延伸的问题仍旧不容忽视。 通过目前的情况来看,一些人采取非正当的手段来获取公民个人的信息,从事信息兜售业务,这几年这种现象已经十分严重,逐渐演变成一种社会问题。个人信息的泄露不仅影响到了人们的正常工作和生活,同时还会导致他们遭受一定的经济损失。基于这种情况,加强对公民个人信息的刑法保护是非常有必要的。但是当前我国法律中并没有针对性的法律法规,现行的法律条款无法发挥应有的约束力,同时其可操作性也不高。因而我们更加需要深入研究公民个人信息的保护问题,采取有效的方式和手段为公民提供有力的保障。
一、 公民个人信息的基本概述
(一)个人信息的含义
在实际的工作和生活中,个人信息的表现形式是非常多样的,同时和人们的工作与生活有着紧密的联系。现阶段我国并没有制定相关的法律,从实际的情况来看,我国公民个人信息保护意识相较而言是比较薄弱的,个人信息滥用和随意公开的现象尤为严重。各国对于个人信息界定有着些微的区别,综合而言个人信息主要指的是与个人相关的资料和数据。个人信息主要包括了两方面的内容,也就是公民自身所产生的信息以及他人对个人的评价信息等。 个人信息所涉及的内容是比较多的,因而公民个人信息的刑法保护问题需要引起社会公众的关注和重视。
(二)个人信息的基本特征
个人信息的特征比较明确,主要包括以下几个方面。首先是信息的主体性。其主要指的是个人信息是归属于某个独立的主体,这个主体拥有法律所赋予的权利和义务。通过对这些信息的管理和分析,就能够直接有效的定位信息的主体。其中就涉及到了信息的管理者和拥有者,管理者拥有的知识管理权,并不能改变个人信息的根本属性;而作为信息的拥有者本身,会因为个人的变化而发生相应的变化。因而个人信息的主体特征是其基础特征。其次是信息的可识别性。通过个人信息可以准确的分辨出信息的主体,在个人信息中有能够直接判断主体的信息,也有间接判断的信息,其中能够直接进行判断的信息的差异性是非常明显的。 最后就是个人信息的价值性。这种特征主要体现在信息主体在人格和财产等方面的信息,其实质就是社会资源,这种信息能够创造出一定的利润和价值,个人信息的价值性特征也是尤为明显的。
二、 加强公民个人信息刑法保护的必要性
(一) 惩治个人信息侵犯行为的需要
通过实际的案例我们可以了解到公民个人信息受到侵犯所造成的影响是非常大的,因而需要对这种行为进行惩罚。对于这些行为本身而言也有一定的差异,对于违法程度较轻的行为可以采用民事手段或者是行政手段对行为主体进行惩治。然而对于利用个人信息实行诈骗活动的行为有涉及到其他罪行,这个时候就需要用刑法来进行严厉的处罚,防止这种行为的进一步扩散。当其他法律无法对某种犯罪行为进行约束的时候,刑法的威慑力不容忽视。 从目前的情况来看,侵犯个人信息行为已经愈演愈烈,并且造成了严重的影响。而个人的信息安全对社会的稳定发展有着重要的意义,这种行为在一定程度上已经制约了社会经济的健康发展,因此公民个人信息的刑法保护有着一定的必要性。
(二)完善法律调控功能的需要
通过对我国现行法律的研究,在行政法律中有相关的条款涉及到公民个人信息保护的内容,其中也明确了侵犯个人信息行为应当承担的相关责任。但是在刑法中,并没有与之相对应的条款对这种行为进行约束。因而在司法实践的过程中,很多犯罪行为已经对社会造成了严重的危害,但是刑法中并没有涉及到该类犯罪行为,导致行政法律的相关条款失去了其原有的约束力。在我国刑法的立法结构中,刑事责任的确定需要根据刑法的规定来执行,目前刑法并没有对公民个人信息予以相应的保护。在社会不断发展的过程中,个人信息安全的重要性逐渐凸显出来,在这种情况下我们需要完善相关法律来保障公民的基本权益。在刑法中应当对此类行为进行补充,从而与行政法律相互协调,而对于特别严重的犯罪行为也应当纳入到刑法中,这样才能有效的发挥法律的作用对公民个人信息进行全面的保护。
(三)世界立法的必然趋势
刑法相对于其他法律来说具有更强的约束力,能够对犯罪行为予以沉重的打击。根据世界其他国家的立法情况来看,已经逐渐将公民个人信息保护纳入到刑法范围中。 对于侵犯个人信息的行为需要承担刑事责任已然成为世界各国的普遍做法,这种方式也取得了一定成果。因而我国在制定相关法律的时候,可以借鉴他国的成功经验,使得我国刑法的立法结构更趋完善。
三、现阶段我国公民信息保护存在的问题
(一)公民的个人信息保护意识比较薄弱
在人们的潜意识里,个人信息仅仅是身份的证明,并没有涉及到其他的问题。然而随着社会的发展,我国的计算机应用水平有了明显的提升,在这样的环境下,人们的个人信息就有了新的属性,也就是财产属性。基于目前的情况,公民个人信息的价值呈现持续上升的趋势,个人信息的收集和利用受到了社会各界的广泛重视。但是从信息保护安全的角度来说,公民在这方面的意识是比较薄弱的,社会中的很多方式都能够获取公民的个人信息,他们对信息保护并没有引起足够的重视,导致公民信息泄露的情况十分严重。但是在信息泄露以后,很多公民都不知道通过何种方式去维护自己的合法权益,最终遭受了更大的损失。
(二) 多样化的个人信息侵犯方式
在实际的案例中,个人信息受到侵犯的方式呈现多样化的形式发展。通过总结和归纳,信息窃取和信息滥用是现阶段侵犯公民个人信息的主要方式。首先是信息窃取,也就是盗用公民的个人信息。我国相关规定已经明确指出盗窃个人信息是违法行为。这种方式主要是通过互联网以及电话的方式来获取的,这种行为已经严重威胁到了人们的财产安全。然后则是信息滥用,主要指的是没有通过公民的同意就使用公民的个人信息。这种行为同样具有严重的危害性,需要承担相应的法律责任。除此以外,还有信息诈骗、信息污染等侵犯方式,这些行为已经构成犯罪,对社会造成了严重的危害。
(三) 个人信息侵犯行为的主体逐渐复杂化
随着信息化时代的到来,侵犯公民个人信息的行为主体也愈加复杂。首先是政府的相关工作人员。政府相关部门所收集和储存的个人信息是非常全面的,这就具备了向其他机构非法提供个人信息的条件。同时在实施的过程中也是较为容易的,通过实际案例来看这种情况是存在的。其次是商业机构,现阶段很多商业机构通过各种方式收集到了公民的个人信息,但是这些机构并没有对信息保护引起应有的重视,甚至很多商业机构将个人信息泄露给其他非法机构,造成了严重的危害。最后就是公民个人,网络黑客运用相关技术大量的盗取个人信息以获取利益,导致公民既是侵犯行为的执行者,也是最终的受害者。
四、完善我国公民个人信息刑法保护的有效对策
(一)明确规定公民个人信息的范围
在我国现行的刑法中并没有对公民个人信息的范围作出明确的界定,这主要是因为我国刑法理论中对公民个人信息的研究并不多,同时缺乏相应的经验。但是个人信息没有明确的界定,在司法实践中会造成一定的困扰。根据世界各国的相关立法来看,大多数都已经规定了个人信息的具体范围。因而我国在对公民个人信息实行刑法保护的时候,可以参考这些国家的立法规定,然后根据我国当前的实际情况,具体的列出公民个人信息的类型和范围。公民个人信息范围的确定是实行刑法保护的重要基础,最终才能达到保障公民合法利益的目的。
(二)建立全面的刑罚体系
如果犯罪行为所稻城的社会危害越大,行为主体就应当受到更大的刑罚。这是我国刑罚的基本原则,因而需要应用到我国公民个人信息犯罪的刑罚体系中。由于侵犯个人信息行为多样,所造成了社会危害也不仅相同,因而在构建刑罚体系的时候应有轻重的区别,这样才能真正的发挥想法在公民个人信息保护中的作用。同时在刑罚体系中应当适当的添加资格刑,例如作为信息收集的主体如果在犯罪以后将剥夺其以后从事该项工作的资格。除此以外,作为信息保护的主体,需要承担信息保密的义务,一旦出现信息泄露的情况需要承担相应的责任。
法律明确规定,国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。
(一)公民个人隐私的电子信息
民法学界对于隐私权的性质界定和范围划分在立法上没有明确,以《侵权责任法》为例,未详细规定隐私权的概念和范围,但第2条第2款规定:“本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自……”第62条第1款规定:“医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料,造成患者损害的,应当承担侵权责任。”目前,民法学界通行的观点认为,隐私权作为一项具体人格权,是指自然人享有的私人生活安宁与私人信息秘密依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。这就意味着在电子信息保护的角度,仍需要具体界定个人隐私的内涵和外延。一般认为,隐私权仍应以生活安宁和私人秘密作为基本内容,当然可以进一步类型化为独处的权利、个人生活秘密的权利、通信自由、私人生活安宁、住宅隐私,等等。就私人生活秘密而言,又可进一步分类为身体隐私、家庭隐私、个人信息隐私、健康隐私、基因隐私等;甚至根据不同的场所,又可以分为公共场所隐私和非公共场所隐私等。这些隐私权的内容与网络手段相连接,如电子邮件、健康电子记录、电子病历,甚至一旦被摄像机偷录偷拍的住宅隐私等,如何依据《决定》保护电子个人隐私,在现阶段仍需考虑司法适用的恰当性,同时可以预期未来《人格权法》的具体界定。在现阶段至少可以认定,何为公民个人隐私的电子信息,一方面需要与民法相关规定相结合,从法理理论理解或者阐述隐私权和网络隐私权的具体人格权性质;另一方面,司法解释或者司法实务可以把无争议的隐私权事项固定下来,一般认为传统隐私事项包括教育、财务、医疗、电话号码、职业、犯罪状况或与家庭生活有关的信息以及与性有关的信息,等等。既然在传统隐私权角度视为隐私,在电子信息领域作为个人隐私保护当无可置疑。
(二)可识别公民个人身份的电子信息
关于能够识别公民个人身份的电子信息“可识别性(identified)”是其本质特征。中国对于“可识别性”缺少具体的界定,域外法则有相对明确的规定。例如,欧盟1995年《EU数据保护指令》第2条:“身份可识别的人是指其身份可以直接或者间接确定其身份,特别是通过身份证号码或者一个或多个与其身体、生理、精神、经济、文化或社会身份有关的。”根据中国的社会文化解读法律,能够识别公民个人身份的电子信息是指能够直接或者间接识别公民个人身份的一切电子信息,一般包括公民个人基本信息(身份证号、姓名、性别、年龄、民族等),家庭基本状况(户籍所在地、出生地、父母子女配偶情况等),社会生活经历(教育程度、升学就业状况、工作经历)以及政治背景和宗教(政治倾向、参加政治党派、等)方面。能够识别公民个人身份的电子信息,需要明确以下几个问题:第一,法律仅仅保护能够识别公民身份的个人电子信息,排除外国人、无国籍人不具有公民身份的自然人和法人的电子信息。在这个问题上,《决定》仅是从对中国公民权利的保护角度来立法的,首先在立法上忽略了在中国生活和工作的外国人群体。其次,在立法理念上忽略了个人电子信息作为一种战略资源的重要地位。现今国际社会对于个人信息的立法不仅在于保护,更在于加强信息的流动性。如《EU数据保护指令》第1条明确规定,不得以保护自然人的基本权利及自由为由,限制、禁止个人数据在成员国之间自由流通。也就是说,个人信息保护制度作为基本准则被确立之后,必须注意到促进经济活动自由才是目的。同时,欧盟各国在与EU指令相衔接立法中都明确规定,对于个人信息保护不力的国家,禁止向其传输和流通个人信息。中国立法如果仅保护本国公民信息安全,在整个国际信息化建设和资源流通上将陷于被动境地。因此,在可识别个人身份的电子信息方面,公民范畴狭窄,应从自然人角度调整立法,以适应国际立法的一贯模式。第二,直接识别或间接识别,即可识别性的判断标准。现行法律仅规定了可识别这个法律术语,如何在司法适用中确认哪些为可识别的信息,哪些不能明确识别公民身份,一般可以采取列举的方式。但个人信息在网络传播时代很难由法律机械规定全部可识别的信息。综观欧盟各国立法,几乎都采纳了“可识别性”作为基本定义。所谓识别,在电子信息领域是指在个人电子信息与电子信息的公民主体之间存在必然的客观性联系,通过一般人的甄别、鉴别,能够把电子信息与公民主体连接起来或者鉴别公民主体的信息界定、传播等行为。那么,在司法适用过程中需要界定哪些电子信息可以识别公民身份,一般可以把信息分为直接识别信息和间接识别信息两类,当然在一定环境下,这两种信息可能发生转换。一般而言,直接识别信息是指可以单独或者直接识别公民个人身份的电子信息,比如身份证号码、基因信息等;间接识别信息一般需要数个信息相互印证才能识别公民个人身份,比如姓名、性别、年龄、民族、职业等。当然这种划分标准只是相对的,比如姓名,在一定范围内(一个班级内QQ群或者论坛)可以直接区分,但在一个行政区域或者全国领域内就不能作为直接识别信息。又比如,生活经历,绝大多数公民单纯凭借生活经历很难具有可识别性,但在特定历史时期,经历有特殊性并且为大众所熟知,一般人可以很直接地断定身份,可视为直接识别信息。其次,无论是直接识别信息还是间接识别信息,识别遵循如下顺序,非法获取、出售或提供电子信息———识别———反馈或信息再流动。所以,进入法律视野的可识别的公民个人信息在手段上有非法性、信息本身具有可识别性、结果具有流通性。若手段合法,则不存在法律介入;如果信息不能识别公民身份,就不会造成侵权;若仅有识别而没有反馈(如跟帖内容中表明公民身份、人肉搜索等行为)和信息再流动,很难确认该信息是否有识别性。最后,在第二阶段识别具体的判断标准是遵循客观标准还是主观标准,是一般人标准还是专业标准。采纳客观标准意味着判断是否属于“可识别性”,需要具备直接识别信息或者几个间接识别信息,能够形成一个标准的、可操作的规范。选择主观标准则更灵活,只要经过主体判断能够达到内心确信的识别该公民则符合要求。一般而言,网络公民电子信息的侵权绝大多数发生在民事领域,判断标准要求不需要太严格,同时为了加大对非法获取、出售、提供电子信息的打击,以一般人标准和主观标准鉴别即可。
二、个人电子信息收集、使用原则
为了有效地保护公民个人信息,许多国家和地区立法时在保障信息流动的前提下,设置了信息收集、使用、传播的基本原则,贯彻整个法律。在网络个人电子信息领域中国规定了以下基本原则:
(一)目的明确原则
收集个人电子信息的目的应先予明确说明,并且使用或处理应当符合上述目的。《决定》第二项规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。”具体而言,公民个人电子信息可以收集、使用,但是应当遵循制定的一个或者多个合法的目的,并且收集和使用规则应事先公开,保障公民的知情权,这对相关信息收集、使用企业和其他组织提出了具体的要求。
(二)合法、公正原则
对个人电子信息应通过合法公正的方式获取、处理、使用,必要时应当通知个人信息主体或征得同意。“网络服务提供者和其他事业单位在收集、使用公民个人电子信息时应当合乎法律、法规或者双方的约定。”这一原则是立法和司法的基础,具体在司法适用中,如何认定是否符合收集目的、方式和范围,哪些必须征得信息主体同意,哪些只要通知信息主体即可,目前未作明确规定。在中国,网络公民个人电子信息侵权的表现是最复杂和高发的,一方面与网络本身的特点有关,另一方面也与公民个人对信息保密不重视有关。例如,消费者购买产品,为了所谓VIP客户或者折扣返现等优惠政策,有些电子商务网站不仅要求消费者留下姓名、地址、电话,甚至有的要求提供身份证号码,而消费者一旦拒绝则不能享受相应的优惠待遇,消费者只能屈从于这些信息收集者,使之获得大量非必要信息。再如,很多网站或者软件程序在申请使用其服务时,要求消费者同意一些知情条款,这些格式条款貌似向公民个人履行了征得同意或者通知的义务,但是一旦消费者拒绝该条款则不能享受相关服务,实际上剥夺了其同意权。因此,在收集使用方式上,其行为和手段均要合法,必要时应通知信息主体或者征得其同意,一般应以书面的形式。在收集信息时,应出示收集的法律依据、目的或者相关文件;为避免对信息主体造成不利影响,必须尽量向信息主体本人收集。如果个人电子信息涉及能够识别公民个人身份的信息和公民个人隐私信息,不同的信息要求条件也应有差异,对个人隐私等敏感信息要求更严格。
(三)安全保障原则
在安全保障原则统领下,要求网络服务提供者和企业、事业单位在业务活动中保障公民个人电子信息安全,采取必要的措施,如电子加密、加强监督管理、电子信息授权访问制度等,在业务领域杜绝泄露丢失等现象。同时,网络服务者须加强日常监管,对于网络禁止或传输的信息,如人肉搜索或者侵犯名誉权的信息,一旦查实,应采取相应安全保障措施,维护整个网络环境安全。
(四)权利保护原则
该原则赋予个人申请权利保护的权利,虽然中国尚未明确规定个人参与原则,但是可以作为公民个人信息控制权的雏形,在一定程度上获得权利保护。主要包个人的拒绝权、信息删除申请权以及举报、控告、权。拒绝权针对的是消费者反映强烈的垃圾短信息的问题,明确任何组织和个人未经电子信息接收者同意或者请求,以及电子信息接收者明确表示拒绝的,不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。这一规定从源头解决了个人信息贩卖问题。信息删除申请权是在公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰时,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。该权利也是信息控制权的内容之一,个人信息保护或者隐私权的保护在信息时代不再仅仅是对侵权行为的惩处,而更多的是个人参与控制自身信息的权利。申诉、控告及权是任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为,有权向主管部门举报、控告;接到举报、控告的部门应当依法及时处理。被侵权人可以依法提讼。
(五)责任原则
对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任;侵害他人民事权益的,依法承担民事责任。
三、监管机构与行业自律机制互动
