个人信息的法律保护探析论文

时间:2022-12-15 10:17:00

个人信息的法律保护探析论文

摘要:个人信息保护法的客体是个人信息,个人信息体现的是一种基本人权。个人信息法律保护应遵循一定的原则,对特殊行业和领域应制定特别的法律规范,并实行行业自律。

关键词:个人信息;个人信息权;立法

一、个人信息的界定

目前全球已经有50个国家或地区制定和颁布了个人信息保护法。各国或是地区在法律中对个人信息的称谓有所不同,如“个人数据”、“个人资料”、“个人隐私”、“个人信息”。采用“个人数据”称谓的。如Directive95/46/ECoftheEuropeanParliamentandoftheCouncilof24October1995ontheProtectionofIndividualswithRegardtotheProcessingofPersonalDataandontheFreeMovementofsuchData。简称欧盟95指令。采用“个人资料”称谓的,如1977年德国的《联邦资料保护法》。采用“个人隐私”称谓的,如1974年美国的《隐私权法》。采用“个人信息”称谓的,如2003年日本的《个人信息保护法》。

“个人数据”和“个人资料”的英文均为“PersonData”,两个称谓只是中文的翻译不同而已。“个人数据”指与已识别或可识别的与个人(自然人,又称数据主体)相关的任何资料。“个人信息”指自然人的姓名、出生年月日、身份证号码、户籍、遗传特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动及其他可以识别该个人的信息。

个人数据(资料)与个人信息的区别如下:首先。个人数据(资料)侧重于客观形式,而个人信息偏重于数据或是资料所反映的内容。从资料和信息的内在关系看,资料是信息的载体,信息是资料表现的内容。从这个角度理解,数据(资料)是信息的表现形式,信息是数据(资料)所体现的内容。其次,个人信息的表现形式是多种多样,并不一定表现为个人数据(资料)形式,不以个人数据(资料)的物化形式存在的个人信息是大量的。最后,数据是一个偏技术性的概念,一般认为个人数据是指与个人相关的任何资料,也包括家庭的一些相关情况等。信息则是指经过处理后得到的数据。其与数据最大的区别在于它经过了处理过程。

随着个人信息保护法的发展,人们越来越多地开始使用“个人信息”这一概念。这是因为立法的目的在于保护个人数据或是个人资料所反映出来的个人信息,而不是简单保护个人数据或个人资料本身。而保护个人信息的目的是为了保护个人信息所能识别的自然人。简而言之,保护个人数据或是资料的目的就在于保护个人信息所指向的个人。因此,“个人信息”一词更能体现个人信息保护法的立法本意。

“个人隐私”的称谓主要出现在英美法系之中。1890年两位著名的美国法学家萨缪尔·D·沃伦和路易斯·D·布兰戴斯在《哈佛法律评论》上发表了著名的《隐私权》(TheRighttoPrivacy)一文,随后隐私权的内容在法学研究、立法和司法领域得到了认可和逐步扩展。关于隐私的定义。学界也是众说纷纭。有学者认为,隐私是指公民的私人生活安宁不受他人非法干扰。私人信息不受他人非法搜集、刺探和公开等。隐私权,是指公民享有的私人生活安宁和私人信息受到法律保护,不被他人非法侵扰、知悉、搜集、利用和公开等的一种人格权。还有的学者认为,隐私不仅包括私人生活安宁不受他人非法干扰,私人信息保密不受他人非法搜集、刺探和公开,还包括对个人私事的决定。由此可见,隐私主要是指那些私密的,不愿公开的个人信息。如果我们选择个人隐私这一概念,就相当于将不涉及隐私利益的个人信息都排除了在了法律保护的大门之外,显然是不足取。

二、个人信息权利的属性

立法中所体现出来的个人信息权利的属性是不尽相同的,大致有三种:

(一)隐私权

典型代表是美国法,认为对个人信息享有的权利是一种隐私利益。对其保护应当采取保护隐私权的权利形式。1974年美国参众两院通过了《隐私权法》,主要规制政府机构理个人信息的行为。1980年经济合作与发展组织(OrganizationforEconomicCooperationandDevelopment,简称OECD)通过了《OECD关于隐私保护与个人数据跨疆界流动的指导原则的建议书》(GuidelinesontheProtectionofPrivacyandTransborderFlowsofPersonalData,OECD),该法律文件除了跟美国《隐私权法》一样在标题中就清楚标示为隐私,文件中也多处提到,如第二条,“这些指导原则适用于个人数据,不管其是属于公共领域还是私人领域。因为处理方式或者因为他们的性质或被使用的语境。他们对隐私和个人自由构成危险。”我国香港个人资料(隐私)条例也采隐私权说,其绪言指出:“本条例旨在个人资料方面保障个人的隐私。并就附带事宜及相关事宜订定条文。”

(二)人格权

典型代表是德国法。认为个人信息体现的是一种人格利益,对其保护应采用人格权的保护形式。德国1977年《联邦个人资料保护法》规定,个人信息保护的目的是保护个人隐私。但是由于隐私权说与德国整个法律文化不相协调,在1983年被德国联邦宪法法院《人口普查案判决》推翻。该判决认为资料何种情况下是敏感的不能只依其是否触及隐私而论。德国1990年修改后的《联邦资料保护法》第一章“一般条款”第一条规定:“本法旨在保护个人的人格权,使其不因个人资料的处置而遭受侵害。该法的目的是为了保护个人人格权在个人信息处理时免受侵害。”我国台湾地区《计算机处理个人数据保护法》在总则部分第一条规定:“为规范计算机处理个人数据,以避免人格权受侵害,并促进个人资料之合理利用,特制定‘本法’。”

(三)基本人权

国际组织多采此说。认为个人信息体现的是一种基本人权,即关于个人基本权利和自由的综合权利。欧洲议会公约在绪言中指出:“考虑到在自动化处理条件下个人资料跨国流通的不断发展,需要扩大对个人权利和基本自由。特别是隐私权的保护。”欧盟95指令绪言规定,“各成员国对于个人权利和自由特别是隐私权,在个人数据处理过程中不同的保护措施可能会阻止这些数据在成员国之间的传送。”联合国指南第一条规定:“不得用非法或者不合理的方法收集、处理个人信息,也不得以与联合国宪章的目的和原则相违背的目的利用个人信息。”联合国宪章的目的和原则体现的是对人的权利和自由的保障。

我国将来制定个人信息保护法时,应如何定位个人信息权利的法律属性呢?笔者认为:首先不宜定性为隐私权,这是因为采取该种界定不能全面地保护我国的个人信息。其次,人格权属性也应排除。一般人格权是指公民和法人享有的,概括人格独立、人格自由、人格尊严全部内容的一般人格利益。并由此产生和规定具体人格权的人的基本权利。个人对其本人信息的权利其实是一种个人信息控制权,即个人对自己的何种信息被何种组织以何种方式收集、储存、使用等的一种决定权。显然人格权的外延囊括不了个人信息控制权。最后,为了与我国现有法律体系相协调,也为了更全面的保护个人信息权利,我国宜采用基本人权说。

三、个人信息保护的基本原则

不管是英美法系还是大陆法系国家均在其个人信息保护法中对个人信息保护原则做了明确规定。借鉴国外经验,我国个人信息保护法应规定以下基本原则:

(一)信息质量

信息处理者应该在拥有合法权限的前提下,依照法定的程序获取和传播(包括)信息。收集信息是基于特定的目的,在取得信息之前目的已经明确化。之后的储存和使用行为必须受到先前收集时特定目的的约束,行为应该与特定目的具有充分而不多余的关系。数据管理者有义务保证储存的信息是准确的,并且随着时间的推移应当保持信息的适时更新。信息应以信息主体可以进行访问的方式进行储存,且信息的储存时间不应超过储存信息所必须的期限。

(二)信息处理的合法性

信息处理者在保证信息质量的前提下,需经信息主体同意,才可以对个人信息进行处理,法律另有规定的除外。除外情况有处理数据是履行法定义务的要求;为了保护信息主体的重大利益所必须;履行与信息主体之间合同所必要的;进行信息处理不损害法律所保护的权利且管理者对信息处理具有法律上的利益等。不管依哪种前提对个人信息进行处理。在处理之前管理者应该告知信息主体相关事项,包括处理个人信息的目的与方法;提供信息是否是强制义务,拒绝提供的法律后果;信息的使用范围,信息接收者的身份类别;信息主体享有确认、更改、删除、获得信息和拒绝处理信息的权利;个人信息控制着的身份和住所或营业场所所在地等。

(三)信息公开

信息处理者要使得信息主体能够了解和掌握以下内容:自己的哪些信息当前被管理者所控制、正在或将被采取何种方式的处理行为、处理的主要目的是什么、信息控制人的身份及其住所地或是营业场所。具体到政府部门而言,信息公开原则的内容为:上级行政部门接到下级行政部门呈报的个人信息档案以后,将其分类目录在政府公报上公布;保管个人信息档案部门的负责人有义务将个人信息目录制作成个人信息簿供一般人阅览:任何人都拥有请求阅览关于自己个人信息的权利,有关不供阅览的理由应予以记载;管理部门在接受阅览请求后合理期限内必须做出答复;对行政部门做出不能公开,即不可阅览决定有异议时,可以提出意见,并根据行政复议法提出异议申请,或根据行政诉讼法提起诉讼;信息主体可以要求管理部门对保管信息的内容做出订正。公务员之家

(四)信息安全

为了保证个人信息的安全。信息处理者应当采取适当的技术上和组织上的安全措施。保证个人信息免受意外的、未经授权的访问、修改、丢失、破坏或损害,以及其他未经授权的个人信息处理的需要。在要求信息处理者采取技术或是组织上的安全措施时要考虑其现有的技术水平以及采取措施的成本,同时结合其所控制信息的性质和潜在的危险,采取的措施既可以保证信息的安全又不会给管理者造成很大的负担。任何能够访问信息的管理者及其授权的人员必须在有管理者的明确指示下才能对数据进行处理,法律法规要求履行的强制性义务除外。此外信息处理者的工作人员在工作期间及工作结束后的一定时期内应该负有保密义务,不得非法泄露其工作时所接触到的个人信息。

四、特殊行业的特别立法和行业自律

(一)特殊行业的特别立法

将个人信息的保护纳入法治的轨道,是社会和经济发展的需要,但是不同的行业和领域对个人信息的使用情况是各不相同的,因此对所有行业适用整齐划一的措施是不现实的,这样就需要针对特定的行业和领域制定特别的法律规范。这些领域包括医疗、电信、网络、征信、金融、统计等。例如,个人医疗信息除了用于患者个人的康复外,还被用于医学教育及医学研究等,可以促进医疗水平的提高和医学界的发展,具有很强的公益性,鉴于其特殊性对其进行特殊规定是必不可少的。我国个人信息的网络立法保护很零散,有《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国电信条例》、《互联网信息服务管理办法》、《互联网电子邮件管理办法》。缺少专门立法;仅规制个人信息的不当泄露和通信自由及通信秘密受到侵害,对于个人信息的收集、持有、使用等环节没有相应的管理保护机制除了《侵权责任法》外,我国还应进行专门的网络立法,规定网络个人信息保护。我国的个人信用服务业正在逐步发展,但是目前尚没有一部直接规范个人信用服务机构及业务的专门法律。个人信用服务行业缺乏统一的法律规范。我们需要通过特别立法将信用信息的采集、加工、生产、销售、使用的全过程加以规范。

(二)行业自律

尽管我国行业自律机制比较弱,但是我们应该看到我国一直存在行业自律,且在不断发展,国家应该在加大个人信息保护立法力度的同时,鼓励提倡行业进行自律。因为行业自律机制是个人信息保护制度中不可缺少的一个环节,如果政府机关与行业协会之间形成良性互动,那么行业自律组织在个人信息保护领域将能够起到非常重要的作用。