个人法律保护下的电子信息论文

一、法律保护客体厘定

法律明确规定，国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。

(一)公民个人隐私的电子信息

民法学界对于隐私权的性质界定和范围划分在立法上没有明确，以《侵权责任法》为例，未详细规定隐私权的概念和范围，但第2条第2款规定:“本法所称民事权益，包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权……”第62条第1款规定:“医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料，造成患者损害的，应当承担侵权责任。”目前，民法学界通行的观点认为，隐私权作为一项具体人格权，是指自然人享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。这就意味着在电子信息保护的角度，仍需要具体界定个人隐私的内涵和外延。一般认为，隐私权仍应以生活安宁和私人秘密作为基本内容，当然可以进一步类型化为独处的权利、个人生活秘密的权利、通信自由、私人生活安宁、住宅隐私，等等。就私人生活秘密而言，又可进一步分类为身体隐私、家庭隐私、个人信息隐私、健康隐私、基因隐私等;甚至根据不同的场所，又可以分为公共场所隐私和非公共场所隐私等。这些隐私权的内容与网络手段相连接，如电子邮件、健康电子记录、电子病历，甚至一旦被摄像机偷录偷拍的住宅隐私等，如何依据《决定》保护电子个人隐私，在现阶段仍需考虑司法适用的恰当性，同时可以预期未来《人格权法》的具体界定。在现阶段至少可以认定，何为公民个人隐私的电子信息，一方面需要与民法相关规定相结合，从法理理论理解或者阐述隐私权和网络隐私权的具体人格权性质;另一方面，司法解释或者司法实务可以把无争议的隐私权事项固定下来，一般认为传统隐私事项包括教育、财务、医疗、电话号码、职业、犯罪状况或与家庭生活有关的信息以及与性有关的信息，等等。既然在传统隐私权角度视为隐私，在电子信息领域作为个人隐私保护当无可置疑。

(二)可识别公民个人身份的电子信息

关于能够识别公民个人身份的电子信息“可识别性(identified)”是其本质特征。中国对于“可识别性”缺少具体的界定，域外法则有相对明确的规定。例如，欧盟1995年《EU数据保护指令》第2条:“身份可识别的人是指其身份可以直接或者间接确定其身份，特别是通过身份证号码或者一个或多个与其身体、生理、精神、经济、文化或社会身份有关的。”根据中国的社会文化解读法律，能够识别公民个人身份的电子信息是指能够直接或者间接识别公民个人身份的一切电子信息，一般包括公民个人基本信息(身份证号、姓名、性别、年龄、民族等)，家庭基本状况(户籍所在地、出生地、父母子女配偶情况等)，社会生活经历(教育程度、升学就业状况、工作经历)以及政治背景和宗教(政治倾向、参加政治党派、宗教信仰等)方面。能够识别公民个人身份的电子信息，需要明确以下几个问题:第一，法律仅仅保护能够识别公民身份的个人电子信息，排除外国人、无国籍人不具有公民身份的自然人和法人的电子信息。在这个问题上，《决定》仅是从对中国公民权利的保护角度来立法的，首先在立法上忽略了在中国生活和工作的外国人群体。其次，在立法理念上忽略了个人电子信息作为一种战略资源的重要地位。现今国际社会对于个人信息的立法不仅在于保护，更在于加强信息的流动性。如《EU数据保护指令》第1条明确规定，不得以保护自然人的基本权利及自由为由，限制、禁止个人数据在成员国之间自由流通。也就是说，个人信息保护制度作为基本准则被确立之后，必须注意到促进经济活动自由才是目的。同时，欧盟各国在与EU指令相衔接立法中都明确规定，对于个人信息保护不力的国家，禁止向其传输和流通个人信息。中国立法如果仅保护本国公民信息安全，在整个国际信息化建设和资源流通上将陷于被动境地。因此，在可识别个人身份的电子信息方面，公民范畴狭窄，应从自然人角度调整立法，以适应国际立法的一贯模式。第二，直接识别或间接识别，即可识别性的判断标准。现行法律仅规定了可识别这个法律术语，如何在司法适用中确认哪些为可识别的信息，哪些不能明确识别公民身份，一般可以采取列举的方式。但个人信息在网络传播时代很难由法律机械规定全部可识别的信息。综观欧盟各国立法，几乎都采纳了“可识别性”作为基本定义。所谓识别，在电子信息领域是指在个人电子信息与电子信息的公民主体之间存在必然的客观性联系，通过一般人的甄别、鉴别，能够把电子信息与公民主体连接起来或者鉴别公民主体的信息界定、传播等行为。那么，在司法适用过程中需要界定哪些电子信息可以识别公民身份，一般可以把信息分为直接识别信息和间接识别信息两类，当然在一定环境下，这两种信息可能发生转换。一般而言，直接识别信息是指可以单独或者直接识别公民个人身份的电子信息，比如身份证号码、基因信息等;间接识别信息一般需要数个信息相互印证才能识别公民个人身份，比如姓名、性别、年龄、民族、职业等。当然这种划分标准只是相对的，比如姓名，在一定范围内(一个班级内QQ群或者论坛)可以直接区分，但在一个行政区域或者全国领域内就不能作为直接识别信息。又比如，生活经历，绝大多数公民单纯凭借生活经历很难具有可识别性，但在特定历史时期，经历有特殊性并且为大众所熟知，一般人可以很直接地断定身份，可视为直接识别信息。其次，无论是直接识别信息还是间接识别信息，识别遵循如下顺序，非法获取、出售或提供电子信息———识别———反馈或信息再流动。所以，进入法律视野的可识别的公民个人信息在手段上有非法性、信息本身具有可识别性、结果具有流通性。若手段合法，则不存在法律介入;如果信息不能识别公民身份，就不会造成侵权;若仅有识别而没有反馈(如跟帖内容中表明公民身份、人肉搜索等行为)和信息再流动，很难确认该信息是否有识别性。最后，在第二阶段识别具体的判断标准是遵循客观标准还是主观标准，是一般人标准还是专业标准。采纳客观标准意味着判断是否属于“可识别性”，需要具备直接识别信息或者几个间接识别信息，能够形成一个标准的、可操作的规范。选择主观标准则更灵活，只要经过主体判断能够达到内心确信的识别该公民则符合要求。一般而言，网络公民电子信息的侵权绝大多数发生在民事领域，判断标准要求不需要太严格，同时为了加大对非法获取、出售、提供电子信息的打击，以一般人标准和主观标准鉴别即可。

二、个人电子信息收集、使用原则

为了有效地保护公民个人信息，许多国家和地区立法时在保障信息流动的前提下，设置了信息收集、使用、传播的基本原则，贯彻整个法律。在网络个人电子信息领域中国规定了以下基本原则:

(一)目的明确原则

收集个人电子信息的目的应先予明确说明，并且使用或处理应当符合上述目的。《决定》第二项规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。”具体而言，公民个人电子信息可以收集、使用，但是应当遵循制定的一个或者多个合法的目的，并且收集和使用规则应事先公开，保障公民的知情权，这对相关信息收集、使用企业和其他组织提出了具体的要求。

(二)合法、公正原则

对个人电子信息应通过合法公正的方式获取、处理、使用，必要时应当通知个人信息主体或征得同意。“网络服务提供者和其他事业单位在收集、使用公民个人电子信息时应当合乎法律、法规或者双方的约定。”这一原则是立法和司法的基础，具体在司法适用中，如何认定是否符合收集目的、方式和范围，哪些必须征得信息主体同意，哪些只要通知信息主体即可，目前未作明确规定。在中国，网络公民个人电子信息侵权的表现是最复杂和高发的，一方面与网络本身的特点有关，另一方面也与公民个人对信息保密不重视有关。例如，消费者购买产品，为了所谓VIP客户或者折扣返现等优惠政策，有些电子商务网站不仅要求消费者留下姓名、地址、电话，甚至有的要求提供身份证号码，而消费者一旦拒绝则不能享受相应的优惠待遇，消费者只能屈从于这些信息收集者，使之获得大量非必要信息。再如，很多网站或者软件程序在申请使用其服务时，要求消费者同意一些知情条款，这些格式条款貌似向公民个人履行了征得同意或者通知的义务，但是一旦消费者拒绝该条款则不能享受相关服务，实际上剥夺了其同意权。因此，在收集使用方式上，其行为和手段均要合法，必要时应通知信息主体或者征得其同意，一般应以书面的形式。在收集信息时，应出示收集的法律依据、目的或者相关文件;为避免对信息主体造成不利影响，必须尽量向信息主体本人收集。如果个人电子信息涉及能够识别公民个人身份的信息和公民个人隐私信息，不同的信息要求条件也应有差异，对个人隐私等敏感信息要求更严格。

(三)安全保障原则

在安全保障原则统领下，要求网络服务提供者和企业、事业单位在业务活动中保障公民个人电子信息安全，采取必要的措施，如电子加密、加强监督管理、电子信息授权访问制度等，在业务领域杜绝泄露丢失等现象。同时，网络服务者须加强日常监管，对于网络禁止或传输的信息，如人肉搜索或者侵犯名誉权的信息，一旦查实，应采取相应安全保障措施，维护整个网络环境安全。

(四)权利保护原则

该原则赋予个人申请权利保护的权利，虽然中国尚未明确规定个人参与原则，但是可以作为公民个人信息控制权的雏形，在一定程度上获得权利保护。主要包个人的拒绝权、信息删除申请权以及举报、控告、起诉权。拒绝权针对的是消费者反映强烈的垃圾短信息的问题，明确任何组织和个人未经电子信息接收者同意或者请求，以及电子信息接收者明确表示拒绝的，不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。这一规定从源头解决了个人信息贩卖问题。信息删除申请权是在公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息，或者受到商业性电子信息侵扰时，有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。该权利也是信息控制权的内容之一，个人信息保护或者隐私权的保护在信息时代不再仅仅是对侵权行为的惩处，而更多的是个人参与控制自身信息的权利。申诉、控告及起诉权是任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为，有权向主管部门举报、控告;接到举报、控告的部门应当依法及时处理。被侵权人可以依法提起诉讼。

(五)责任原则

对有违反本决定行为的，依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚，记入社会信用档案并予以公布;构成违反治安管理行为的，依法给予治安管理处罚;构成犯罪的，依法追究刑事责任;侵害他人民事权益的，依法承担民事责任。

三、监管机构与行业自律机制互动

在中国如何设置监管机构，《决定》仅笼统地提到了相关主管机关，并没有详细进行权限的划分，仅仅对于网络服务提供者和其他企事业单位参与保护提出了相关要求。在设置监管机构的国家中，不同法系国家选择了不同的具体设置模式，如德国在公共领域，鉴于各公共机构有义务保障公民个人信息安全，一般设置内部监督机构，同时设置了第三方的联邦数据保护监察官。监察官由联邦议会选举产生，执行任务时独立于一切机构和个人，只服从法律并接受联邦政府法律的监督和联邦内务大臣的业务监督，能够保障监察的独立性和公正性。鉴于中国监管系统较为混乱的状态，设置专门机构管理仍有其必要性，可以在县级以上人民政府工业和信息化主管部门设置专门信息监管机构。美国自律机制是和欧盟模式并称于世的调整机制之一。美国政府在个人信息保护上，认为政府不应过度干涉新兴信息领域，应由其自由竞争、发展，其政策取向是，既要在国际范围内保护个人隐私，又不应阻断跨境信息流动，影响电子商务和跨境贸易。因此，在立法选择上，美国并没有统一制定一部联邦法律，而是专项立法和自律机制结合，配合政府执法保障，当然在高度敏感领域，美国政府针对儿童信息、医疗健康档案以及种族、政治派别、宗教信仰、性倾向、社会安全号码和金融等信息通过国会立法等方式给予特殊关注。在行业自律方式上，美国众多行业尤其是网络企业采取行业内部制定行为规范或者规章的形式，实现行业内部在个人信息收集和使用上的自我约束，如隐私软件技术、隐私图章认证计划、TRUSTe(美国最具权威性的第三方隐私认证机构)、参加数字广告联盟(DAA)、承诺尊重内嵌在网络浏览器中的“不跟踪”技术，等等。在中国，自下而上的行业内部自律机制也有生存空间和优势。首先，在法律体系尚未建立时，单纯依靠原则性的法律规定难以适应复杂的形势，即使有法可依单纯依靠监管机构规制，也要支付昂贵的执法成本，法律规制效果也很难企及社会生活的各个角落。其次，美国政府最早反对EU数据保护指令，理由之一就是立法过早可能损害电子信息等新兴产业的发展。以电子商务为例，过高标准的个人信息保护对物流行业、支付第三方业务等都会带来冲击，如何维护社会公平正义、价值和秩序，同时推动某个产业的蓬勃发展，是法律保护机制平衡的重要问题之一。当然在中国探索行业自律模式还是应该注重专门监管机构和法律体系的建设，协调监管机构和行业内部自律机制的良性互动。目前，中国行业协会的建设仍需要依据法律规定的程序，在法定的权利义务范围内进行自我规范和自我约束，那么对于个人电子信息乃至未来所有个人信息的保护，对于政府信息资源主管部门和监管机构的权限划分，更需要长时间在复杂的现实环境下逐渐培育。而且中国社会对于政府公权力的信任度较高，一般民众和立法者仍倾向于以监管机构为主、以法律调整为基础，兼顾行业自律机制的调整模式。

作者：葛丽明马绍峰工作单位：石家庄经济学院法政学院