我國個人信息保護法律探微

楊亞麗

(河南檢察職業學院教務處,鄭州 451191)

日新月異的新科技正在蠶食著我們的隱私。越來越多的人在網上暴露自己或者別人的信息,其中不少是私人性質的信息和數據——郵件、即時聊天、搜索關鍵詞、買過的東西、寫過的文字、貼過的照片、下載過的視頻、加過的朋友……無論走到哪里,都會留下數字足跡,所做的每一件事情,都會留下交易記錄。無論你是誰,你都可能在信息公路上“裸奔”多年而不知。信息社會的發展、科學技術的進步,給人們帶來了生活的便捷、交易的便利和信息獲取渠道的廣泛,然而,與此同時出現的卻是公民個人信息被非法收集、披露、利用、轉讓、修改的日益普遍。

當前,個人信息泄露問題非常嚴重,個人信息泄露危害無處不在,你在清理手機收件箱的時候,可能有上百條未讀短信,全部是垃圾短信,內容從嬰幼兒教育、商場打折、外語培訓到房屋買賣……保單還沒到期就有人提前打電話推銷車險了,剛拿到新房鑰匙就有人上門推銷裝修項目,包括姓名、職業、電話、家庭住址等在內的個人信息資料被公然暴露在世人面前。一家社會調查中心的調查結果表明,電信機構、招聘網站和獵頭公司、各類中介機構,被公眾列為泄露個人信息的“罪魁禍首”。其中,通訊公司更是成為眾矢之的。為了遏制上述現象,必須加強個人信息有關問題的研究。在我國學界,個人信息的內涵與外延、個人信息保護的方法等基本理論問題尚缺乏統一的認識。本文將針對個人信息法律保護的基本問題及法律保護路徑做簡要分析。

一、個人信息的界定及其法律屬性

(一)個人信息的界定

從學者界定來看,對個人信息概念的界定有三種類型:(1)隱私型定義。此定義將個人信息限定在與人格尊嚴有關的隱私方面。(2)關聯型定義。該定義將將所有與個人有關的信息作為個人信息的保護范圍。(3)識別型定義,該定義以“識別”為要素。即認為個人信息是指個人姓名、住址、出生日期、身份證號碼、醫療、人事記錄、照片等單獨或與其他信息對照可以識別特定的個人的信息。筆者認為,識別型定義是一個寬窄適度的概念。

(二)個人信息權利的屬性

目前,對于個人信息權的性質有隱私權說、所有權說、人格權說等等。隱私權說認為,個人信息是一種隱私利益,個人信息的保護應當采取隱私權的保護模式。隱私的范圍小于個人信息的范圍。筆者認為,隱私權說縮小了對個人信息的保護范圍,不宜采納。所有權說認為,個人信息是一種財產利益,對個人信息應采取所有權的保護方式。筆者認為,個人信息不僅具有財產利益內容,還有人格、隱私等利益內容,而且如肖像權等權利雖兼具財產利益,但并不由所有權保護方式來調整。人格權說認為,個人信息是關于人格形成和發展的資料數據,所體現的是自然人的人格利益,個人信息的收集、處理和利用直接關系到信息主體的人格尊嚴。筆者認為,個人信息權具有人格權與財產權的雙重屬性,不能簡單地將其歸之于人格權性質或者所有權性質,個人信息權應當是一種獨立的權利。因為:其一,個人信息權不僅具有財產利益,同時也具有人格、隱私等利益內容。其二,人格權與人身密不可分,是不可以轉讓的,而個人信息不同于人格權,是可以進行轉讓的。在市場經濟下,個人信息的商業運用還將成為個人信息權的主要實現途徑之一。其三,從權利內容上看,人格權不直接表現為財產利益,而個人信息權的行使往往是為實現直接或間接的財產利益。此外,個人信息權還形成了自己獨有的權利內容。因此,個人信息權應當是一種新型獨立的權利,需要特別的個人信息立法予以確定和保護。

二、我國個人信息法律保護現狀

由于信息產業、科學技術、社會觀念以及立法規劃等方面的原因,我國很長一段時間以來沒有認識到保護個人信息的重要性,因此直到目前為止,我國還沒有制定專門的個人信息保護方面的法律。關于個人信息保護的條文散見于行政法、民法、刑法當中。

(一)個人信息保護在行政法律法規以及部門規章中的體現

1.行政法律。如《中華人民共和國身份證法》和《中華人民共和國護照法》中直接規定了“個人信息”的保護問題。

2.在全國范圍內具有規范效力的行政法規、部門規章中有如下幾項:(1)《互聯網電子公告服務管理規定》(信息產業部 2000年 10月 8日通過,同日起施行)。(2)《個人信用信息基礎數據庫管理暫行辦法》(中國人民銀行 2005年 6月 16日通過,2005年 10月 1日起施行)。這是有關個人信用信息管理及保護的專門性部門規章。該辦法開創了我國特殊領域的個人信息保護立法,是我國個人信息保護立法史上的一座里程碑。另外,中共中央辦公廳、國務院辦公廳共同印發了《2006—2020年國家信息化發展戰略》。這些規定都涉及到了個人信息的保護問題,但大多是原則性的規定。

(二)在司法解釋和地方性法規中的體現

《最高人民法院、最高人民檢察院關于切實保障司法人員依法履行職務的緊急通知》(2005年 8月 25日頒布,同日起施行)。該《通知》第六條規定了司法人員負有保密的義務。另外,少數地方性法規中,也偶有涉及個人信息保護的直接規定,例如2003年修訂的《北京市未成年人保護條例》第四十九條規定:“……任何組織和個人未經未成年人的監護人同意,不得在互聯網上收集、使用、公布未成年人的個人信息。”2003年 12月 23日上海市通過了個人信用信息方面的地方性法規——《上海市個人信用征信管理試行辦法》,對個人信用信息的采集、處理、提供等作了較為詳細的規定。

目前,我國正在草擬《個人信息保護法》,相信不久的將來會出臺。

(三)在民法中的體現

在民法中,間接體現了對個人信息的保護。《民法通則》第五條規定是個人信息受民法保護的基本依據,第九十九條規定是對個人信息中個人人格權保護的依據,第一百條規定是對個人信息中肖像權保護的依據,第一百零一條規定可以看做是對個人信息中名譽權的保護依據。在我國,《侵權責任法》(2009年 12月 26日頒布,2010年 7月 1日起施行)是一部民事特別法,該法對侵權責任形式及責任構成等都作了較為詳盡的規定。在該法中,主要對網絡用戶 (包括個人終端用戶)、ISP對個人信息的侵權做出了明確的規定,進一步限定了 ISP的“避風港”,對“人肉搜索”“曬工資”“秀照片”等網絡侵權事件的合法有效處理提供了基本法律依據。但規定的不全面,很多是原則性的規定,操作性不強。

(四)其他部門法及地方性法規、規章中對個人信息的保護規定

1.在婦女兒童個人信息的特殊保護方面涉及如下法律:《未成年人保護法》(1991年)、《婦女權益保護法》(1992年)和《母嬰保護法》(1994年),這些法律規定了人格尊嚴、個人隱私以及保密義務。

2.在個人通訊信息方面,有如下法律法規涉及到個人信息的保護:《全國人民代表大會常務委員會關于維護互聯網安全的決定》(2000年)、《郵政法》(1986年)、《互聯網安全保護技術措施規定》(2005年)。這些法律法規涉及到了對郵件的保密及電子郵件的保密,禁止對他人電子郵件或數據資料非法截獲、篡改、刪除;規定了郵政企業和郵政工作人員不得泄露用戶使用郵政業務的情況;規定了互聯網服務提供者、互聯網使用單位的保密義務

3.在個人醫療信息方面涉及個人信息保護的法律法規如下:《醫療事故處理條例》(2002年)規定了醫療機構要尊重患者的隱私;《傳染病防治法》(2004年)規定,禁止故意泄露涉及個人隱私的有關信息、資料;《醫療機構病歷管理規定》(2002年)規定,不得擅自查閱患者的病歷;《執業醫師法》(1999年)、《關于對艾滋病病毒感染者和艾滋病病人的管理意見》(1995年)規定了醫生不得披露治療中獲得的健康信息,不得向無關人員泄露有關信息。

4.在律師執業方面涉及個人信息保護的法律規范如下:《律師執業行為規范》(2004年)、《律師法》(2001年),規定了律師應當維護委托人的個人隱私。

5.在個人金融信息方面:《個人存款賬戶實名制規定》規定,金融機構不得向任何單位或者個人提供有關個人存款賬戶的情況,除非法律法規另有規定;《商業銀行法》規定了商業銀行應當為存款人保密。

6.在檔案信息方面,《檔案法》規定了有關單位和個人有保護檔案信息的義務。

(五)在刑法中的體現

2009年 2月 28日,全國人大常委會通過的《中華人民共和國刑法修正案 (七)》第七條規定了“出售、非法提供公民個人信息罪”“非法獲取公民個人信息罪”兩項新罪名,為我們采用刑法手段保護個人信息提供了有力的法律武器。

從上述內容可以看出,我國的個人信息法律保護還存在很多問題。一是就個人信息的法律保護而言,重“行政管理”“刑事處罰”,輕民法保護,從而導致個人信息遭受侵害后,即使侵權行為人最終遭到行政處罰或刑事處罰,信息主體的財產及非財產損失卻得不到任何補償;二是就法律的適用范圍而言,保護個人信息的法律條款數量非常有限、適用范圍相對狹窄,沒有專門的針對所有信息控制人均適用的統一的個人信息保護法;三是大部分規定缺乏可操作性,許多條款僅僅原則性的規定了主體對個人信息的保密義務,卻沒有規定違背該義務的后果;四是現有規定缺乏體系上的聯系性,不利于法律的統一適用;五是大部分條款通常僅對個人信息保護做出了原則上的規定,未能揭示個人信息保護的立法理由、信息主體的權利、個人信息保護的基本原則、個人信息收集、處理、利用及傳遞的規則、個人信息保護的執行機制及監督機制等個人信息保護法應當具備的內容;六是就刑法的保護而言,犯罪主體過于寬泛,“情節嚴重”沒有具體可操作的標準。

三、我國個人信息保護法律的路徑

如前所述,我國的個人信息法律保護重行政管理,從我國《個人信息保護法》專家建議稿的內容來看,特別是從第四章“法律的實施保障與救濟”、第五章“法律責任”來看,該稿側重于從行政法角度對個人信息加以保護。前述可知,個人信息權兼具有人格權和財產權性質,民法是保護人格權及財產權的重要的部門法,而我國的民法對個人信息權的救濟及責任歸屬沒有直接的規定,有必要完善我國民法,使個人信息保護更全面。同時,《刑法修正案(七)》中對個人信息的規定也存在著弊端,需要完善。基于此,筆者主要從個人信息的民法保護及刑法保護略陳管見。

(一)我國個人信息的民法保護路徑

綜觀我國目前民事立法,對于個人信息的保護仍存在不足,主要表現為:從現有條文看,民法對個人信息能夠提供的保護主要是事后保護,缺乏事前保護;事后保護主要體現為侵權責任,形式單一。總體來說,民法對個人信息缺乏系統保護,只能從零散的法律規定中尋找依據。筆者認為應該從以下幾個方面完善民法中的個人信息保護。

1.在民事立法中,應當明確規定個人信息及個人信息權

在我國的《民法通則》、《侵權責任法》中沒有明文規定個人信息及個人信息權,而是把部分歸于隱私權的個人信息,通過名譽權的方式進行保護。但隱私只是個人信息的一部分,而個人信息權還兼有財產權性質,只保護隱私權及名譽權顯然滿足不了實踐的需要。當今是一個信息化的社會,個人信息保護問題日漸引起人們的重視。就民事立法方面:建議在制訂我國民法典時,把個人信息權及其內容明確規定下來。應當明確規定個人信息的采集、使用、公開和查詢的條件,保護的內容,個人信息提供方、使用方的權利義務、個人信息的使用限制等內容。

2.個人信息保護范圍應該進一步擴大

目前我國民法對個人信息的保護范圍僅僅涉及個人信息中的一部分,主要是隱私權、姓名權、肖像權等具體人格權,至于其他具有商業價值的個人信息,包括電子郵件地址、手機號碼、教育信息、個人負債、個人背景等個人信息,我國目前的民法沒有明確的承認或者認可。所以,我國個人信息權的保護范圍應擴展到對其他具有財產屬性或有商業價值的個人信息,如電子郵件地址、教育信息、消費習慣、手機號碼等進行保護。

3.注重對個人信息的事前保護

民法對個人信息保護的路徑應當包括事前保護與事后保護,其中事前保護以確立個人信息權為基礎,根據個人信息權的人格權和財產權雙重屬性,賦予信息主體合適的權能,防止個人信息被非法收集、利用和買賣。

4.明確規定侵權責任和違約責任

確立了個人信息權的權能之后,還必須規定個人信息的責任救濟制度。對于侵權責任,有必要進一步明確侵犯個人信息權責任的構成要件、規則原則及責任承擔方式。此外,有必要引入違約責任,原因在于個人信息權包含權利主體對權利的處分,倘若權利人合法轉讓或以其他方式處分個人信息并與受讓人形成合同關系時,若轉讓人、受讓人存在違約,即可通過違約責任的方式使權利人得到救濟。

(二)我國個人信息的刑法保護的完善

《刑法修正案 (七)》規定了“出售、非法提供公民個人信息罪”“非法獲取公民個人信息罪”兩項新罪名,但有許多疏漏之處,需要完善。

1.兩罪的主體需要進一步擴展

出售、非法提供公民個人信息罪的犯罪主體是特殊主體,是指國家機關或者金融、電信、交通、教育、醫療等單位本身以及單位的工作人員 (自然人)。國家機關是指國家權力機關、行政機關、司法機關、軍事機關以及依照法律授權的企事業組織;金融單位是指從事金融活動的機構和金融部門 (商業銀行、政策性銀行、證券公司、財務公司、保險公司、信托投資公司、農村信用合作社等其他金融機構);電信單位是指電信部門及其營業機構 (中國移動、中國聯通、中國電信、中國衛通及其營業機構);交通單位是指從事旅客和貨物運輸的部門和單位 (各級鐵路局、站、公司,公路運輸公司,水上運輸公司,海上運輸公司,航空運輸公司及其各級營業機構);教育單位是指各級各類學校或培訓機構(民辦或公辦的教育機構、青少年活動中心、閱覽室、圖書館等承擔教育職能的教育機構);醫療單位是指依據《醫療機構管理條例》和《醫療機構管理條例實施細則》規定,經依法登記取得《醫療機構執業許可證》的單位組織。筆者認為,這種罪的主體還應包括其他單位的工作人員。因為現實生活中,能夠掌握公民個人信息的單位越來越多,比如汽車銷售公司、美容美發企業、商場、房地產中介、網絡公司等單位,也掌握了大量的個人信息資料,這些單位及其工作人員也同樣存在侵害公民個人信息安全的可能,所以這種犯罪的主體應該更寬泛一些,應該包括大量掌握個人信息資料的單位和人員。

2.罪狀不夠嚴謹

《刑法修正案 (七)》中新增加的第二百五十三條之一,列舉了出售與非法提供這兩種情形,筆者認為出售是非法提供的情形之一,兩者在邏輯上有被包含與包含的關系,并不是并列或者處于相同層級的關系。非法提供足以包含出售,無需單列出售。

3.情節嚴重不具有可操作性

《刑法修正案 (七)》規定的罪名,罪與非罪的界限是情節嚴重,但到底什么是情節嚴重,沒有規定。筆者認為,應該從以下幾個方面理解:(1)非法獲利的多少。侵犯個人信息的行為人通過非法行為獲利的多少,是衡量個人信息犯罪情節是否嚴重的一個重要標準。這里的非法獲利情況應指侵犯個人信息的行為人直接獲利的情況。(2)涉案信息的數量的大小。涉案信息的數量的多少能比較直觀地反映侵害公民個人信息的嚴重程度,所以以信息數量作為情節嚴重的標準比較直接。(3)行政處罰情況。可以規定,行為人受到行政處罰兩次以上又實施上述行為之一的,視為情節嚴重。(4)是否造成嚴重后果。出售、非法提供、非法獲取公民個人信息造成惡劣影響或者嚴重后果的,屬于情節嚴重。比如對公民造成較為嚴重的精神損害的;嚴重影響公民正常生活的;造成公民自傷、自殘、自殺的;在社會上造成較為惡劣影響的;給公民造成較大的經濟損失的。(5)是否用于違法犯罪活動。行為人非法獲取公民個人信息以后,用于違法犯罪活動的應當屬于情節嚴重。比如,獲取了公民的手機信息后,進行敲詐,就是用于違法活動,屬于情節嚴重的情形。

[1]陳起行.信息隱私權法理探討:以美國法為中心 [J].政大法律評論,2000(64):395.

[2]周漢華.個人信息保護法 (專家建議稿)及立法研究報告[M].北京:法律出版社,2006.

[3]張靖任.個人信息權初探 [J].新疆社科論壇,2006(1):30.