论文部分内容阅读
摘 要:网络时代为我们带来便利的同时,也带来了个人信息暴露的问题。由于个人信息不再只是单一的具有传统的自然人的精神性人格利益属性,同时也具有商业价值属性。因此,网络环境下个人信息权利被侵害现象时有发生,侵害个人信息权利的表现形式也多种多样,立法缺失是保护失当主要原因之一。文章主要通过对公民个人信息的界定分析,再结合本国的实际情况对个人信息进行立法保护,得出适合中国的立法保护模式。
关键词:网络环境;个人信息;立法现状;立法建议
1 “個人信息”的概述
1.1 “个人信息”法律术语选择
对于“个人信息”这个概念,在学界是曾有争议的,但在我国的法律中采用了“个人信息”。与之有争议的概念如“个人资料”“personal data”与“personal information”之间确实存在一些差别— —一般“information”是从“data”中加工提炼出来的,减少了事务的不确定性。前者一般为欧美国家采用,后者最早为俄罗斯采用,随后也被日本、韩国等国家沿用,也有部分国家分别规定了“个人信息”与“个人资料”,比如英国。尽管如此,各国不论在司法实践中还是概念界定中,赋予“个人信息”与“个人资料”的内涵是基本相同的,我国最终采用“个人信息”的概念,可以更加精确地对法律所要调整的范围进行概括。
1.2 “个人信息”主体
在各国的立法例中,有关于“个人信息”主体主要在两个方面存在分歧:第一,法人的信息是否包含在其中;第二,个人信息是否仅包括在世自然人的信息。针对于第一个问题,大部分国家的立法确定了法人的信息并不包含在“个人信息”的法律界定中,当然在一些国家中,法人信息也在个人信息保护的范围之内,如意大利《个人数据处理保护法》和《奥地利联邦个人数据保护法》都有将法人归入信息主体的规定。针对于第二个问题,相较于第一个问题分歧较大,加拿大《个人数据保护法》《瑞士个人数据法》《冰岛有关个人数据保护法》等国家法律确定了死者的个人信息也含括在内,同时欧美的一些其他国家则认为个人信息保护范围仅包括在世的人的个人信息。
针对这两个问题,从我国的一系列立法中可以得出,我国“个人信息”立法界定范围仅包含在世的自然人的信息。在《奥地利联邦个人数据保护法》中,解释对法人信息的保护亦是对自然人信息的保护,但该做法并不能使个人信息受到特殊保护。如在公司破产的情形下,将包含客户个人信息的公司商业秘密进行拍卖时,原则上只要经过公司同意即可。因此客户对个人信息的权利就会受到限制。综上所述,法人不宜成为个人信息保护的主体。而针对于“死者”的利益,我国民法中规定了特殊的保护方式,对死者的信息保护,也可参照死者的肖像、名誉等人格利益的保护模式。
针对胎儿是否可以成为个人信息权的主体,根据我国2017年的《民法总则》胎儿并不具有权利能力,但这并不意味着对胎儿的人格利益并不予保护。从我国司法实践上来看,我国对于胎儿的人格利益保护主要体现在健康利益与生命利益。对于其肖像权、名誉权等其他人格利益的保护司法实践鲜为人知,但从法理角度,生命权、健康权与肖像权等其他人格权,其法律性质相同。若其出生前遭受损害,其出生后都应当受到法律的救济。综上所述,根据我国的立法司法情况,个人信息的主体应当为在世的自然人。
1.3 “个人信息”的内涵
根据OECD《关于隐私保护和个人数据跨疆界流动的指导原则》、欧盟《指令》等相关的国际条约与各国的立法例,其基本概念为可以直接或者间接与其他信息相结合识别特定人的信息,包括有个人的身份证号码、电话号码、家庭住址、指纹等生物识别信息、人事记录、医疗记录、刑事记录等。我国颁布了一系列如《电信和互联网用户个人信息保护规定》《征信机构信息安全规范》《信息安全技术公共及商用服务信息系统个人信息保护指南》等行政规范,在其中根据所规范地范围不同,对个人信息进行了不同角度的界定。根据我国2017年6月1日施行的《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定,“公民的个人信息”包含可识别身份信息或者反映特定人活动情况信息,除以上列举的以外还包含有行踪轨迹,上网记录等。这种情况下,身份识别性信息应取狭义的概念,与“反映特定人活动情况信息”相区别,很多地区如美国马塞诸塞洲将“反映特定人活动情况信息”采用隐私权进行保护,而对部分“身份识别性信息”采用了个人信息的保护方式,因此对“身份识别性信息”狭义的界定可使得“个人信息”的范围与隐私权保护的范围更加清晰。
然而,身份识别性信息并不应仅指“反映信息主体的自然属性和自然关系”的个人信息。该定义“主要包括信息主体的生物识别信息”范围过窄,其内涵还应当包含信息主体的姓名、身份证号码等可以直接识别信息主体身份的信息。“反映信息主体活动性信息”则是指属事的个人信息,其内涵为“反映信息主体在社会中所处的地位和扮演的角色”的个人信息如信息主体的上网记录、医疗记录等。因此,尽管各个国家规定有所差异,但总体可以概括为两部分内容:身份识别性信息与反映信息主体活动性信息。
值得注意的是在上述《指南》中,对于个人敏感信息的规定,为开放式的,可以根据信息主体意愿或者需要进行约定,这使得我国关于“个人信息”的界定相较于传统的界定更加灵活,可以更好的适应社会发展。
2 我国网络环境下个人信息保护的刑事立法现状
目前,我国还没有一部关于在网络环境下的个人信息保护法,主要是体现在一些原则性和间接性保护上。相关规定零散的分布于各部门法及一些法律性文件和地方行政规定中,分散的规定缺乏有效统一的保护,在实践中的可操作性较差,造成保护缺失和空白的局面。缺乏强有力的统一立法直接保护力度,有关规定大多在隐私权和个人尊严方面进行保护,在个人信息的权利范围远远大于隐私权等具体人格权的范围的情况下,难以在互联网高速发展的大环境下做到科学、全面的个人信息保护。 作为司法的最后底线,刑法是公民权利的最后保障。2015年第十二届全国人大常委会第十六次会议通过《刑法修正案(九)》,该修正案的出台促进了我国对于网络环境下个人信息的宪法立法保护体系的建立。《刑法》第253条之一、第286条之一分别对个人信息保护及网络服务提供者安全管理义务做出直接有力的保护规定。明确侵犯公民个人信息的法律后果,同时通过明确网络服务提供者管理网络安全义务中的信息系统本身的安全义务,和非法出售、提供公民个人信息刑法保護规定相衔接,构成有力的保护机制。良好的互联网安全管理规定解决了在互联网时代,网络服务提供者收集、储存的大量公民个人信息的安全隐患问题,防止信息泄露对公民人身和财产安全构成威胁。《刑法修正案(九)》关于网络个人信息保护的一些规定,不仅体现了我国对于个人信息保护的极度重视,同时也为目前的个人信息保护提供了相关的立法保护力量,但不可忽视,这样的分散单一的立法保护远远不够,满足不了实际需求。
3 个人信息保护的立法完善
通过上文的论述,我国在没有统一的立法保护的情况下,相关的立法保护远远满足不了互联网时代的需求,致使网络下的个人信息侵权行为屡见不鲜。早前,在2003年原“国务院信息化工作办公室”曾被授权起草《个人信息保护法》草案。但是,由于行政体制改革的开展,撤销了该机构,部分职能并入工业部和信息化部,个人信息保护法的起草因此而被搁置,目前为止仍然没有提上立法日程。2005年我国完成了两部个人信息法的专家建议稿,但正式的个人信息保护法却仍迟迟没有发布。这与当前混乱复杂的个人信息权保护立法现状有很大关系,说明了我国在个人信息保护方面的立法思路不明确,急需解决。具体而言,在个人信息保护立法上应注意以下几点:
3.1 立法明确个人信息权的概念
将个人信息作为单独的一项具体具体人格权来保护,在立法层面明晰个人信息权、网络个人信息权概念,对二者的主体、客体和权利内容进行详细规定。解决过往单纯的以隐私权定义保护缺失、空白及交叉的问题,保障个人信息权的应有内涵不被限缩,利于指眀立法方向,明确立法思路。同时在个人信息权的内容确定的情况下,利于为收集、处理、和利于个人信息等行为的主体设定义务,防止侵权行为的发生。
3.2 区别对待公权力主体及非公主体
从德国、日本成功的立法保护上不难看出,二者都将立法限制的对象分为公主体与非公主体。区别对待,对公权力部门侵犯公民个人信息权实行无过错责任原则,强化对公权力部门收集、处理、利用对公民个人信息等的法律监督,确保相关行为的合法合理,防止公权力滥用保障,造成严重的侵权后果。同时对于企业、其他组织及个人等非公主体,实行过错责任原则,保证个人信息权不被侵害的同时,通过信息流通带来经济的健康持续增长。
3.3 平衡网络下的个人信息保护和信息自由
网络下的个人信息权包含人格利益和财产利益,不仅要在权利主体上进行保护,同时也要加强对国家和社会利益的保护。有学者认为,“法律消弭自由之间纷争最有效的手段在于划定它们的边界。”由此可见通过立法确定何种利益成为权利,然后划定该权利的边界是平衡冲突的最有效途径。个人信息的收集、处理、分析、利用,一方面能帮助政府部门制定符合国情的政策,另一方面能为企业、其他组织及个人创造利益,促进经济的发展,成为各大企业争相掌控的香饽饽。而实践中又缺乏强有力的保护,致使侵权问题时有发生,所以在立法层面保护个人信息、网络个人信息时,应明确以下几点:立法限制收集、披露,保证收集、披露等行为必须得到当事人许可方可进行,从根源上解决侵权问题;明确使用方法及途径,同时为收集、处理、利用信息的行为主体设定安全保护义务及损害赔偿责任,以防滥用个人信息;首先,因国家安全需要时,个人信息权保护应让渡于国家安全保护,因为没有国家的安全则个人信息安全无从谈起;其次,当社会公共利益需要时,为了社会进步与发展,科研机构会对个人信息进行收集、处理、利用,此时应将此类应有划分但保护例外之中,可以在确保信息安全的情况下进行合理利用。但如涉及但特别私密的个人信息时,应征得当事人的同意方可收集使用。
3.4 立法明确侵权损害责任及救济手段
目前我国针对网络环境下个人信息的侵权损害责任和救济的规定过于简略,除了刑法修正案九有部门相关规定之外,其他部门法的规定只是原则性、粗略的进行规定,违法成本低、责任不明确,使得侵权主体对网络环境下的个人信息侵权行为没有深刻清晰的法律责任认识。反观德国及日本清晰的立法保护,将完备的侵权责任、高标准的损害赔偿、多途径的救济方法明确清晰的列入《个人信息保护法》等相关法律之中,一方面对各方主体起到较好的震慑警戒作用,使其认识到实施侵权的后果,另一方面明确了在被侵权后被侵权主体的救济途径,加强了被侵权主体的法律意识,在侵权行为发生后,及时寻求法律救济,最大程度减少损害。
参考文献:
[1]王利明.人格权法的发展与完善——以人格尊严的保护为视角[J].法律科学(西北政法大学学报),2012(7):11-13.
[2]李春华,万其刚.国外网络立法综述[J].中国人大,2012(5):5-7.
[3]周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006.
作者简介:王艳茹(1992-),女,山西朔州人,研究生,研究方向:刑法。
关键词:网络环境;个人信息;立法现状;立法建议
1 “個人信息”的概述
1.1 “个人信息”法律术语选择
对于“个人信息”这个概念,在学界是曾有争议的,但在我国的法律中采用了“个人信息”。与之有争议的概念如“个人资料”“personal data”与“personal information”之间确实存在一些差别— —一般“information”是从“data”中加工提炼出来的,减少了事务的不确定性。前者一般为欧美国家采用,后者最早为俄罗斯采用,随后也被日本、韩国等国家沿用,也有部分国家分别规定了“个人信息”与“个人资料”,比如英国。尽管如此,各国不论在司法实践中还是概念界定中,赋予“个人信息”与“个人资料”的内涵是基本相同的,我国最终采用“个人信息”的概念,可以更加精确地对法律所要调整的范围进行概括。
1.2 “个人信息”主体
在各国的立法例中,有关于“个人信息”主体主要在两个方面存在分歧:第一,法人的信息是否包含在其中;第二,个人信息是否仅包括在世自然人的信息。针对于第一个问题,大部分国家的立法确定了法人的信息并不包含在“个人信息”的法律界定中,当然在一些国家中,法人信息也在个人信息保护的范围之内,如意大利《个人数据处理保护法》和《奥地利联邦个人数据保护法》都有将法人归入信息主体的规定。针对于第二个问题,相较于第一个问题分歧较大,加拿大《个人数据保护法》《瑞士个人数据法》《冰岛有关个人数据保护法》等国家法律确定了死者的个人信息也含括在内,同时欧美的一些其他国家则认为个人信息保护范围仅包括在世的人的个人信息。
针对这两个问题,从我国的一系列立法中可以得出,我国“个人信息”立法界定范围仅包含在世的自然人的信息。在《奥地利联邦个人数据保护法》中,解释对法人信息的保护亦是对自然人信息的保护,但该做法并不能使个人信息受到特殊保护。如在公司破产的情形下,将包含客户个人信息的公司商业秘密进行拍卖时,原则上只要经过公司同意即可。因此客户对个人信息的权利就会受到限制。综上所述,法人不宜成为个人信息保护的主体。而针对于“死者”的利益,我国民法中规定了特殊的保护方式,对死者的信息保护,也可参照死者的肖像、名誉等人格利益的保护模式。
针对胎儿是否可以成为个人信息权的主体,根据我国2017年的《民法总则》胎儿并不具有权利能力,但这并不意味着对胎儿的人格利益并不予保护。从我国司法实践上来看,我国对于胎儿的人格利益保护主要体现在健康利益与生命利益。对于其肖像权、名誉权等其他人格利益的保护司法实践鲜为人知,但从法理角度,生命权、健康权与肖像权等其他人格权,其法律性质相同。若其出生前遭受损害,其出生后都应当受到法律的救济。综上所述,根据我国的立法司法情况,个人信息的主体应当为在世的自然人。
1.3 “个人信息”的内涵
根据OECD《关于隐私保护和个人数据跨疆界流动的指导原则》、欧盟《指令》等相关的国际条约与各国的立法例,其基本概念为可以直接或者间接与其他信息相结合识别特定人的信息,包括有个人的身份证号码、电话号码、家庭住址、指纹等生物识别信息、人事记录、医疗记录、刑事记录等。我国颁布了一系列如《电信和互联网用户个人信息保护规定》《征信机构信息安全规范》《信息安全技术公共及商用服务信息系统个人信息保护指南》等行政规范,在其中根据所规范地范围不同,对个人信息进行了不同角度的界定。根据我国2017年6月1日施行的《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定,“公民的个人信息”包含可识别身份信息或者反映特定人活动情况信息,除以上列举的以外还包含有行踪轨迹,上网记录等。这种情况下,身份识别性信息应取狭义的概念,与“反映特定人活动情况信息”相区别,很多地区如美国马塞诸塞洲将“反映特定人活动情况信息”采用隐私权进行保护,而对部分“身份识别性信息”采用了个人信息的保护方式,因此对“身份识别性信息”狭义的界定可使得“个人信息”的范围与隐私权保护的范围更加清晰。
然而,身份识别性信息并不应仅指“反映信息主体的自然属性和自然关系”的个人信息。该定义“主要包括信息主体的生物识别信息”范围过窄,其内涵还应当包含信息主体的姓名、身份证号码等可以直接识别信息主体身份的信息。“反映信息主体活动性信息”则是指属事的个人信息,其内涵为“反映信息主体在社会中所处的地位和扮演的角色”的个人信息如信息主体的上网记录、医疗记录等。因此,尽管各个国家规定有所差异,但总体可以概括为两部分内容:身份识别性信息与反映信息主体活动性信息。
值得注意的是在上述《指南》中,对于个人敏感信息的规定,为开放式的,可以根据信息主体意愿或者需要进行约定,这使得我国关于“个人信息”的界定相较于传统的界定更加灵活,可以更好的适应社会发展。
2 我国网络环境下个人信息保护的刑事立法现状
目前,我国还没有一部关于在网络环境下的个人信息保护法,主要是体现在一些原则性和间接性保护上。相关规定零散的分布于各部门法及一些法律性文件和地方行政规定中,分散的规定缺乏有效统一的保护,在实践中的可操作性较差,造成保护缺失和空白的局面。缺乏强有力的统一立法直接保护力度,有关规定大多在隐私权和个人尊严方面进行保护,在个人信息的权利范围远远大于隐私权等具体人格权的范围的情况下,难以在互联网高速发展的大环境下做到科学、全面的个人信息保护。 作为司法的最后底线,刑法是公民权利的最后保障。2015年第十二届全国人大常委会第十六次会议通过《刑法修正案(九)》,该修正案的出台促进了我国对于网络环境下个人信息的宪法立法保护体系的建立。《刑法》第253条之一、第286条之一分别对个人信息保护及网络服务提供者安全管理义务做出直接有力的保护规定。明确侵犯公民个人信息的法律后果,同时通过明确网络服务提供者管理网络安全义务中的信息系统本身的安全义务,和非法出售、提供公民个人信息刑法保護规定相衔接,构成有力的保护机制。良好的互联网安全管理规定解决了在互联网时代,网络服务提供者收集、储存的大量公民个人信息的安全隐患问题,防止信息泄露对公民人身和财产安全构成威胁。《刑法修正案(九)》关于网络个人信息保护的一些规定,不仅体现了我国对于个人信息保护的极度重视,同时也为目前的个人信息保护提供了相关的立法保护力量,但不可忽视,这样的分散单一的立法保护远远不够,满足不了实际需求。
3 个人信息保护的立法完善
通过上文的论述,我国在没有统一的立法保护的情况下,相关的立法保护远远满足不了互联网时代的需求,致使网络下的个人信息侵权行为屡见不鲜。早前,在2003年原“国务院信息化工作办公室”曾被授权起草《个人信息保护法》草案。但是,由于行政体制改革的开展,撤销了该机构,部分职能并入工业部和信息化部,个人信息保护法的起草因此而被搁置,目前为止仍然没有提上立法日程。2005年我国完成了两部个人信息法的专家建议稿,但正式的个人信息保护法却仍迟迟没有发布。这与当前混乱复杂的个人信息权保护立法现状有很大关系,说明了我国在个人信息保护方面的立法思路不明确,急需解决。具体而言,在个人信息保护立法上应注意以下几点:
3.1 立法明确个人信息权的概念
将个人信息作为单独的一项具体具体人格权来保护,在立法层面明晰个人信息权、网络个人信息权概念,对二者的主体、客体和权利内容进行详细规定。解决过往单纯的以隐私权定义保护缺失、空白及交叉的问题,保障个人信息权的应有内涵不被限缩,利于指眀立法方向,明确立法思路。同时在个人信息权的内容确定的情况下,利于为收集、处理、和利于个人信息等行为的主体设定义务,防止侵权行为的发生。
3.2 区别对待公权力主体及非公主体
从德国、日本成功的立法保护上不难看出,二者都将立法限制的对象分为公主体与非公主体。区别对待,对公权力部门侵犯公民个人信息权实行无过错责任原则,强化对公权力部门收集、处理、利用对公民个人信息等的法律监督,确保相关行为的合法合理,防止公权力滥用保障,造成严重的侵权后果。同时对于企业、其他组织及个人等非公主体,实行过错责任原则,保证个人信息权不被侵害的同时,通过信息流通带来经济的健康持续增长。
3.3 平衡网络下的个人信息保护和信息自由
网络下的个人信息权包含人格利益和财产利益,不仅要在权利主体上进行保护,同时也要加强对国家和社会利益的保护。有学者认为,“法律消弭自由之间纷争最有效的手段在于划定它们的边界。”由此可见通过立法确定何种利益成为权利,然后划定该权利的边界是平衡冲突的最有效途径。个人信息的收集、处理、分析、利用,一方面能帮助政府部门制定符合国情的政策,另一方面能为企业、其他组织及个人创造利益,促进经济的发展,成为各大企业争相掌控的香饽饽。而实践中又缺乏强有力的保护,致使侵权问题时有发生,所以在立法层面保护个人信息、网络个人信息时,应明确以下几点:立法限制收集、披露,保证收集、披露等行为必须得到当事人许可方可进行,从根源上解决侵权问题;明确使用方法及途径,同时为收集、处理、利用信息的行为主体设定安全保护义务及损害赔偿责任,以防滥用个人信息;首先,因国家安全需要时,个人信息权保护应让渡于国家安全保护,因为没有国家的安全则个人信息安全无从谈起;其次,当社会公共利益需要时,为了社会进步与发展,科研机构会对个人信息进行收集、处理、利用,此时应将此类应有划分但保护例外之中,可以在确保信息安全的情况下进行合理利用。但如涉及但特别私密的个人信息时,应征得当事人的同意方可收集使用。
3.4 立法明确侵权损害责任及救济手段
目前我国针对网络环境下个人信息的侵权损害责任和救济的规定过于简略,除了刑法修正案九有部门相关规定之外,其他部门法的规定只是原则性、粗略的进行规定,违法成本低、责任不明确,使得侵权主体对网络环境下的个人信息侵权行为没有深刻清晰的法律责任认识。反观德国及日本清晰的立法保护,将完备的侵权责任、高标准的损害赔偿、多途径的救济方法明确清晰的列入《个人信息保护法》等相关法律之中,一方面对各方主体起到较好的震慑警戒作用,使其认识到实施侵权的后果,另一方面明确了在被侵权后被侵权主体的救济途径,加强了被侵权主体的法律意识,在侵权行为发生后,及时寻求法律救济,最大程度减少损害。
参考文献:
[1]王利明.人格权法的发展与完善——以人格尊严的保护为视角[J].法律科学(西北政法大学学报),2012(7):11-13.
[2]李春华,万其刚.国外网络立法综述[J].中国人大,2012(5):5-7.
[3]周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006.
作者简介:王艳茹(1992-),女,山西朔州人,研究生,研究方向:刑法。