范文无忧网个人信息的行政法保护
第一章 个人信息保护概述
一.个人信息的界定
1.定义及与相关概念的区别
法律概念是法的要素之一,是指在法律上对各种事实进行抽象,概括出它们的共同特征而形成的权威性范畴。①因此笔者认为只有首先明确“个人信息”的概念以及它与相关概念的区别,才能进而分析与之相关的问题。根据现有的各国立法文件的表述以及学者的研究,就法律名称使用的概念表述而言主要有以下几种:隐私、个人数据、个人资料与个人信息。上述术语的不同主要是源于不同的法律传统、保护制度和使用习惯,但其保护的实质内容大体上是趋于同质化的。为了叙述的方便,本文将交叉使用这些术语。但这些术语在意思上还是存在一些差别,下面就隐私、个人数据、个人信息三个概念加以比较分析,说明三个概念之间的关系。
对于古人来说,隐私是一个必然同自由的领域,即政治或公共领域相对立的领域。②隐私,英文是“Privacy”,即独处而不受干扰。相对于公开而言就是秘密。梅绍祖教授认为,隐私是与公共利益无关的个人私生活秘密方面的事宜。它由涉及有关个人的数据资料、个人行为以及附属于个人的空间领域等三个方面所组成。笔者认为,隐私是指当事人个人生活中不愿公开或不便为他人知晓,干涉或侵犯的事实。
英文中“Data”表示为数据、资料或者说是计算机处理的数据或符号。因此也有学者将“个人数据”称之为“个人资料”,是指涉及个人已识别或可识别的任何资料,也包括家庭的一些相关情况等。它不仅包括能够利用计算机进行自动化处理的数据,也包括通过人工方式进行处理的数据。如个人的身高、体重、出生年月、住址、性别、种族、身份证号码、医疗记录、财务信息、人事档案、照片等自然情况;而家庭的基本情况如婚姻状况、配偶、父母及子女的情况等。 ①
② 孙国华、朱景文 《法理学》中国人民大学出版社,1999年版,第274页 [英]史蒂文·卢克斯著,阎克文译 《个人主义》,江苏人民出版社,2001年版,第55页
信息的英文是“Information”,是指资料经过加工处理后可以提供为人所用的内容。1995年10月24日欧盟通过的《关于私人数据自动处理的个人保护以及此类数据的自由流动的95/46/EC指令》(以下简称“欧盟95年指令”)的第2条作了如下的定义:“个人信息”指相关于已识别或可识别的自然人(“数据主体”)的任何信息;可识别的人是指可直接或间接地,特别是可通过识别号码或其特定的生理、心理、经济、文件或社会身份等一个或多个因素而被识别的人。③ 根据上述概念的分析,可以看出“个人信息”和“个人隐私”是包含关系,即个人信息包含个人隐私,个人隐私是个人信息中不能或不该公开的那一部分。法律仅保护涉及个人隐私的个人信息,而不保护不涉及个人隐私的个人信息。而“个人资料”或“个人数据”侧重于客观的形式,不以资料、数据反映的内容与对人的影响为主要目的,但信息却恰恰相反。“无数客观事物的信息,正是通过人的眼、耳、鼻、舌、身这五个功能,‘传递’给人们,经过人们的大脑进行‘去粗取精、去伪存真’的加工,人们才认识了世界,又转过来改造世界”。④从资料,数据与信息的内在关系看,它们是信息的载体,信息是它们表现的内容。不同的资料,数据也可以表示相同的信息;而一条信息也可以通过多条资料或数据表达。
通过对这些概念内容及相互关系的分析,可以更加明确本文所指的“个人信息”。最后,本文将个人信息界定为:个人信息是指以任何形式存在的、可以直接或间接识别特定个人的信息的总和。它既包括个人本人的信息也包括与他相关的家庭信息;既包括个人隐私信息也包括非隐私信息。
2.特征及其分类
2.1特征
可识别性是个人信息最重要的特征。上述“欧盟95年指令”对个人信息的立法定义在学术上被称为“识别说”。随着“欧盟95年指令”被欧洲各国的接受和成为国内立法的准则,个人信息的“识别说”已③ [英]戴恩·罗兰德、伊丽莎白·麦克唐那著,宋莲斌、林一飞、吕国民译 《信息技术法(第二版)》,武汉大学出版社,2004年版,第342页
④ 郑成思 《信息、信息产权与个人信息保护立法》,法律出版社,2004年版,第23页
成为立法和理论研究的主流学说。从本文对个人信息的定义来看,也体现了这一界定标准。但需要明确的是有些信息虽然与个人相关,但并一定就具有可识别性。并且那些信息只有对信息主体而言,才具有法律保护价值。它必须是具有可识别性的有关个人身份、特性或活动的信息。可识别性是指通过资料中所反应的各种信息加上人们的判读就可以确定这些资料是有关某个人的,或者说通过资料中的信息可以确认特定个人的身份。①它包括可直接识别和间接识别。各国对个人信息保护无不强调个人信息的可识别性。并且直接与间接识别相结合的识别标准已经成为立法实践和学界通说。世界各国的立法文件,就体现了可识别性是各国立法公认的个人信息应具备的基本特征之一。例如:英国1984年,1998年《数据保护法》、美国1975年《隐私权法》、《德国联邦个人资料保护法》、我国台湾地区1995年《计算机处理个人数据保护法》。
广泛性也是个人信息的特征之一。既包括内容上的广泛,也体现在个人信息存在形式上的广泛性。它包括个人生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的灯方面。个人信息是指以任何形式存在的、可以直接或间接识别特定个人的信息的总和。它既包括个人本人的信息也包括与他相关的家庭信息;既包括个人隐私信息也包括非隐私信息。即凡是与个人相关、能识别该个人的所有个人资料与数据都属于个人信息的范畴。它包括所有的、以任何形式存在的与个人有关的信息:标识个人基本情况的信息;标识个人生活、学习与工作情况的信息;标识个人的信用和财产状况方面的信息;存在于网络上的各种帐号,在网上的活动踪迹,购物、消费、交易信息等等。
可公开性是个人信息的另一个特征。在一定的时间和空间,在一定的范围与程度内,个人信息可以公开。但有关个人隐私的便属于不能或不该公开的信息,不具有公开性。个人信息具有公开性是指信息主体有获得个人信息的权利。个人信息对于它所针对的自然人具有公开性。信息主体有权要求使用者公开其掌握的关于本人的个人信息;① 高富平、张楚《电子商务法》北京大学出版社 2002年版,第269页
如果发现个人信息记录的内容有错误或不正确的,有权要求使用者予以更正或停止使用。同时政府机关或其他个人信息处理者应及时主动的公开那些可以公开的,与个人有切身利益关系的个人信息。需要强调的是,对于那些可以公开的个人信息,需规范对它的收集、处理,防止其被滥用;而对于那些不可以公开的则是如何保护的问题。
2.2分类
个人信息是一切可以识别本人的信息的总和。它在内容和存在形式上都具有广泛性。根据不同的标准,齐爱民教授将个人信息划分为四种不同的类别。本文在总结各专家教授观点基础之上作出以下的分类。
以能否直接识别本人为标准,个人信息可以分为直接个人信息和间接个人信息。直接个人信息,是指可以单独识别本人的个人信息。间接个人信息,是指不能单独识别本人,但和其他信息结合可以识别本人的个人信息。这种分类方法的法律意义在于表明了间接个人信息属于个人信息的一种,同样应受到法律的保护。
以个人信息是否涉及个人隐私为标准,个人信息可以分为敏感个人信息和琐细个人信息。敏感个人信息,是涉及个人隐私的信息。根据英国1998年《资料保护条例》的规定,敏感个人信息是“由资料客体的种族或道德起源,政治观点,宗教信仰或与此类似的其他信仰,工会所属关系,生理或心理状况,性生活,代理或宣称的代理关系,或与此有关的诉讼等诸如此类的信息组成的个人资料”。琐细个人信息是指不涉及个人隐私的信息。根据瑞典《资料法》的规定,琐细信息是指“很明显的没有导致被记录者的隐私权受到不当侵害的资料”。这种分类的法律意义在于体现对于琐细信息与敏感信息的保护方式与程度的不同。
以个人信息是否公开为标准,可以分为公开个人信息和隐秘个人信息。公开个人信息,是指通过特定、合法的途径可以了解和掌握的个人信息。隐秘个人信息和公开个人信息相对应,是指不公开的个人信息。这种分类的法律意义在于,公开个人信息无论是否属于敏感个人信息,都已经丧失了隐私利益,因此不能取得敏感个人信息的特殊
保护。
除此之外,以个人信息的内容为标准,个人信息包括反应个人情况,其家庭情况,甚至包括可以间接识别个人的观点和意图等等;①以个人你信息的处理技术为标准,可以将个人信息划分为经过电脑处理的个人信息与非经过电脑处理的个人信息。
二.个人信息保护的基本内容
1.基本原则
为有效保护个人信息,同时,也为了便利信息的有序流动,许多国家或地区的个人信息保护法均规定了一些基本原则,用以指导个人信息处理活动。经济合作与发展组织理事会通过了《关于隐私保护与个人数据跨国流通的指针》中明确规定了国内个人信息保护的八大原则,为各国国内立法所吸收和借鉴,其主要内容如下:②
第一,收集限制原则。个人数据的收集应该受到限制,收集任何个人数据都要采用合法的、公正的手段,在适当的情况下,要经过数据主体的默示或同意。第二,数据质量原则。个人数据的收集与利用必须符合利用该数据的必要范围。个人数据应该精确、完整和被保持为最新状态。第三,列明目的原则。收集个人数据的目的应该在数据收集之前列明,并且随后的使用应限于实现这些目的,其后的使用也不得与最初收集的目的相抵触。第四,使用限制原则。除非经过数据主体的同意,或者经过法律的授权,不应该在列明的目的之外披露或公开使用个人数据。第五,安全保护原则。个人数据应该受到合理的安全保护,以免被丢失或未经授权而被获取、破坏、使用、修改或披露。第六,公开原则。成员国关于个人信息的开发、利用以及相关政策,应当有关于个人数据的一般政策,即应该制定关于个人数据的发展、实践和政策的一般的公开政策。应该确立便利的措施,以确定个人数据的存在和性质,它们使用的主要目的,以及数据控制者的身份和通常住所。第七,个人参与原则。个人应当有权利从数据控制者那里获得或者确认数据控制者是否拥有有关他的数据。并有权在合理期①[英]戴恩·罗兰德、伊丽莎白·麦克唐那著,宋莲斌、林一飞、吕国民译 《信息技术法(第二版)》,武汉大学出版社,2004年版,第340页
②周汉华《个人信息保护法(专家建议稿)及立法研究报告》法律出版社2006年版 第61页
间内以合理的价格和方法以及可以理解的方式接触到有关自己的数据资料。如果这些要求被拒绝,个人有权获知理由,可以挑战此拒绝;如果这一挑战成功,他可以删除、纠正、补充完整或修改这些数据。第八,责任原则。数据控制者有责任遵守赋予上述原则以效力的措施。因违反有关的规定,造成个人数据当事人损害的,个人数据管理人应当承担损害赔偿责任。
经合组织指南所确立的这八大原则,已经成为当今世界各国相关立法的重要参考。因此大多数国家所确立的基本原则大致上都在上述这些原则的范围之内,但也有的国家在此基础上确立了一些更进一步的原则,比如德国的联邦数据保护法第3a条就确立了“信息缩减与信息节约”的规定,要求信息处理系统尽可能不采用或者采用最少量的个人信息,而且,应尽可能采用匿名的个人信息。同样,美国专门制定了公文削减法,要求政府机关收集信息尽快可能降低社会的成本。
由于各国的国情不同,对个人信息保护的方式,程度都存在差异。各国或地区究竟采用哪些基本原则,很大程度上取决于对个人信息保护的不同认识。关于我国在对个人信息的行政法保护中,应遵循哪些具体的原则,在充分辨析、吸收、借鉴域外立法经验的同时,考虑到我国个人信息保护的现实状况,本文将着重在第四章中论述,以择定适合我国个人信息保护的基本原则。
2.信息主体的界定
就个人信息保护而言,所谓信息主体,是指个人信息所指向的个人,即个人信息所属
的独立人格体。1998年英国数据发规定:数据主体是指个人数据所指向或涉及到的个人。①关于信息主体的范围,在立法和学理上主要存在以下几个方面的分歧:
2.1关于法人主体的争议。
大多数国家规定法律保护的对象是作为自然人的个人,而不是企①[ENGLAND]SALLIE SPILSBURY 《MEDIA LAW》[英]萨利·斯皮尔伯利 周文译《传媒法》武汉大学出版社 2002年版 第314页
业或其他组织。但
个别国家,如阿根廷,个人信息保护法也适用于法人信息;奥地利政府主张个人信息的主体应包括法人,并认为法人信息由自然人信息组成,保护法人就是保护自然人。除此之外,挪威、卢森堡等少数国家的立法例也将法人作为信息主体加以规定。然而,总体来说这种情况比较罕见,没有普遍性。较为普遍的立法是个人信息的主体范围仅限自然人,大部分国家对法人采取否定立场,明确界定保护主体的范围。笔者认为:我国个人信息保护法的对象也应仅限于自然人。有关法人或者其他组织的信息可以通过商业秘密法和反不正当竞争法予以规制。
2.2关于死者主体的争议
笔者认为我国个人信息保护法的保护对象仅限于自然人。但自然人是否包括死者,还存在争议。英国1984年《资料保护法》规定:“个人资料是由有关一个活着的人的信息组成的资料,对于这个人,可以通过该信息(或该用户拥有的其它信息)识别出来,该信息包括对有关个人的评价,但不包括对个人资料用户表示的意图。”其1998年《资料保护条例》也坚持了“活着的人”的规定。也就是说,英国法将死者排除在个人信息的主体之外。我国台湾《电脑处理个人资料保护法》的施行细则也明确规定,个人资料是指有生命的自然人的资料,不包括已死亡之人。这种立法是基于,个人信息保护的是自然人的人格权,而死者的人格权随着其死亡而不存在,因此认为没有保护死者人格权的必要。故将死者排除在信息主体之外;而相反的观点则认为:个人信息的主体应该包括死者。欧洲理事会1992年《理事会资料保护条例》的修改建议稿规定:“个人资料是指有关一个可识别的自然人的任何信息,不局限于以可处理形式存在的信息,它包括任何种类和任何形式的信息,只要这种信息是有关个人的,不论是活着的人还是死去的人;并且只要这个人或这些人可以识别。”可以看出,欧洲理事会主张,个人信息的主体包括一切人,无论是活着的人还是已经死亡的人。对此,齐爱民教授认为:虽然死者已没有主体资格,但是死者遗留的大量个人信息客观存在。这些个人信息不仅涉及死
者,以及与死者有关的人,同时也涉及正常的社会秩序和善良风俗,这些基本利益不容立法忽视。笔者也同意齐爱民教授的这种观点,认为在对个人信息行政法保护过程中,应注重现实需要保护的利益,应该将死者遗留的个人信息一并纳入保护范围。
3.信息主体的权利
3.1信息决定权
信息决定权是指信息主体得以直接控制与支配其个人信息,并决定其个人信息是否
被收集、处理与利用以及以何种方式、目的、范围、处理与利用的权利。它在各个人信息权利内容中处于核心地位。但是,在许多情况下,个人信息的收集是在无法取得信息主体的统一,甚至是毫不知情的状况下进行的,比如个人信用信息、重要医疗信息等的收集。而且,某些情况下,为了促进信息共享,只要符合最初的收集目的并采取妥善的安全保障措施,未经本人同意而转让一部分个人信息也是被允许的,例如行政机关为履行其职责而可以自其他机关处获得某些个人信息。②但是一般而言,在收集本人的个人信息之前,有获得通知的权利,通过了解信息收集的目的和用途决定是否同意他人或组织收集本人的个人信息。同意分为明示的同意和默示的同意。明示是直接明确地表达自己的意志,而默示是由本人的行为直接表现或者推定的意思表示。
3.2信息查询权
信息查询权是指本人得以查询其个人信息及其有关的处理的情况,了解自己的个人信息被收集和使用的具体情形,并要求答复的权利。对信息的控制与支配,必须首先了解哪些个人信息被收集、处理与利用的情况,特别是在此过程中信息是否被保持完整、正确。随着社会的不断发展,越来越多的公共部门和非公共部门在收集、保存、交换着大量的个人信息,有些甚至是在信息主体不知情的情况下进行的,而往往这些信息对个人的就业、融资、享受各种公共服务、人身与财产安全等有着重要的影响。因此,从保护个人的合法权益角度出②周汉华《个人信息保护法(专家建议稿)及立法研究报告》法律出版社2006年版 第85页
发,信息主体必须享有查询告知的权利。
3.3信息更正权
信息更正权是指本人得以请求信息处理主体对不正确、不全面的或者过时的个人信息进行更正、补充与更新的权利。具体包括:个人信息错误更正全,即对于错误的个人信息本人有更正的权利。个人信息补充权,即对于遗漏或新发生的个人信息,本人有补充的权利。个人信息更新权势本人要求对于过时的个人信息及时更新的权利。
3.4信息赔偿请求权
信息赔偿请求权,即获得救济的权利。上述各项具体权利权利受到侵害的,信息主体可以采取向个人信息处理者投诉、要求个人信息处理的主管部门予以查处的方式或者通过诉讼途径予以解决。个人信息处理者为公共部门的,则主要是通过行政复议、行政诉讼等途径解决。
4.信息使用者的义务
信息使用者,是指为实现一定的目的而使用公民个人信息的组织或个人。从我国《个人信息保护法(专家建议稿)》中,将信息使用者分为两大类:“政府机关”是指行政机关与法律、法规授权行使行政管理职能或提供公共服务的其他组织;“其他个人信息处理者”是指政府机关之外,依据本法规定进行个人信息处理的法人、组织或个人。并分别在其第二章,第三章对于这两类使用者在进行个人信息处理过程中需遵循的程序,履行的义务作出了一些规定。笔者在此基础上,对政府机关,其他个人信息处理者在处理个人信息过程中需履行的义务总结如下:
(1)收集或使用个人信息之前,向主管机关登记以获得相应的使用资格。①个人信息被收集或使用之前通知信息主体并取得同意(法律另有规定除外)。儿童的心智尚不健全,他们的自我保护能力较弱,收集或使用儿童的个人信息之前,应征得儿童的父母或其他合法监护人的同意。数据库经营者在用户填写表格提供个人信息之前,需提醒① 《个人信息保护法(专家建议稿)》第十二条,第三十五条分别规定政府机关和其它个人信息处理者开始收集个人信息之前,须向政府信息资源主管部门进行登记。但政府机关出于公共利益等而收集、使用个人信息的,不在此列。
他们这种行为可能带来的危害,明确用户的个人权利保护措施,告知信息采集、处理存储的内容、目的、方式及使用期限等。②
(2)政府机关或其他个人信息处理者的工作人员有义务采取合理的保密措施,对其任职期间因处理个人信息所获知的内容,负有保守秘密的职业义务,不得擅自告知他人或者以其他方式加以披露或使用,确保所持有的个人信息的安全。③
(3)允许信息主体查阅、使用自己的个人信息。申请人提出公开请求的,政府机关有义务向申请人公开其个人信息。(除法定的例外情况)
(4)政府机关和其它个人信息处理者有义务在收集个人信息时所明确的使用目的范围内处理个人信息。但符合法定的例外情况可以在使用目的范围之外处理个人信息。
三.个人信息保护的法理基础
在国际社会,人们谈论个人信息保护问题时往往将其同隐私权保护相等同,而对隐私权的保障确实是个人信息保护的主要目的和逻辑前提。①基于此,这里先考察隐私权利益的理论基础,作为讨论个人信息保护法理依据的起点。
1948年联合国大会制定的《世界人权宣言》以重塑人文主义作为其历史使命,将保护“人的尊严”作为其基本价值目标。其中第12条即明确将隐私权界定为基本人权:“无人应遭受对其隐私、家庭、住宅或通讯的任意干预,也不应遭受对其荣誉和名声的攻击,每个人均享有受法律保护以对抗干预或攻击的权利。”另外,关于隐私权利益的理论基础,维拉曼特在《法律导引》中这样写道:“隐私权利益的理论基础来自于这样的事实,即每个人都需要一个围绕着自己的、保护自己身体和思想的天地,一个免遭侵犯的小块绿州。如果没有这
②种保护,他的个体就会被侵犯。”由此可以看出,在隐私权人格尊严、
自由这两种价值中,维拉曼特的理论更接近于以欧洲为代表的维护人② 徐文伯、饶戈平《信息数字化与法律——数字图书馆建设中的法律问题》法律出版社 2002年版 第111页
③ 这一点在《个人信息保护法(专家建议稿)》总则部分规定为“职业义务原则”。
① 周汉华《个人信息保护:公民的一项基本权利》《人民法院报》2005年3月21日
② [澳]维拉曼特著 张智仁、周伟文译 《法律导引》上海人民出版社 2003年版 第274页
格尊严的价值基础。
笔者认为,个人信息保护的法理基础不仅在于人格尊严,更在于自由价值。保护个人信息是对个人自主的尊重。我国宪法第38条规定:“中华人民共和国公民的人格尊严不受侵犯。”人格尊严成为宪法价值的一部分,并属于宪法秩序的基础。具体而言,就是公民的人身、住宅、通讯秘密等这些个人信息不受侵犯;尊重人格尊严,最终应该落实到予个人以充分自治的自由的空间和领地,划出不受干涉的、尤其是不受国家强制力干涉的私欲的范围和界限,它从对个人自主的尊重出发,给个人选择的自由空间。即使是新兴资讯权主张积极的自我参与,其价值基础也是个人私域自我选择、自我支配这种不受干预的个人自治,自由价值的实现。作为德国个人资料保护法发展里程碑的德国宪法法院1983年《人口普查法案》的判决,②在判决中,宪法法院适用了“信息自决权”的概念,使个人资料权利成为一项明确的宪法权利。信息自决权的核心内容是:法律保护建立于个人资料之上的一般人格权;法律保留,即对个人资料权利的限制只能由法律做出;个人资料的收集应受严格的、具体的、明确的目的限制。自此以后,这一概念成为各国个人信息保护立法的核心精神。因此,信息自决权作为个人的一项基本权利正是个人信息保护在法理上的依据。
第二章 国外个人信息法律保护之模式及启示
一.国外个人信息法律保护之模式
1.欧盟的模式:“一刀切”或“立法主导模式”
欧盟毫无疑问是个人信息保护立法的模范和先驱。欧盟国家最先关注信息通信技术对社会的影响问题。1995年,欧盟议会通过了欧盟数据保护指令,③为个人数据提供了非常全面的保护。规定了为了保护个人资料在欧洲共同体内自由流通,成员国必须保证信息主体在②该案的基本案情:德国联邦政府在1982年颁布了《人口普查法》,计划在全国范围内对公民进行全面的资料收集,拟定收集的资料范围包括人口、职业、住所和工作等几乎全部个人资料。德国联邦政府的《人口普查法》引起了很多人的反感,在其4月1日生效前,已有人提起宪法诉讼要求宣告《人口普查法》违宪。1983年12月15日德国联邦宪法法院最后做出判决认定该法有违宪情况,并做出具体处理:违宪部分无效,其余部分修改后施行。在判决中宪法法院适用了信息自决权的概念,使个人资料权利成为一项明确的宪法权利。
③ 欧盟于1995年制定的《个人数据保护指令》又名《个人资料处理及自由流通个人保护指令》1998年10月开始生效。英文全称为Directive95/46/ECof the European Parliament and of the Council On the protection of individuals with regard to the processing of personal data and on the free movement of such data.
个人信息处理过程中的权利和自由,特别是他们的隐私权。欧盟1995年《个人数据保护指令》首先确立了保护自然人基本人权及自由,尤其是关于个人信息隐私权的保护的原则。该指令中所指的“个人数据处理”(processing of personal data)包括:不论以自动或非自动的方式“处理个人资料的运作”。可见,该指令在适应范围上十分广泛,包括所有的个人资料且不限使用对象,仅有两种情形不使用:在共同体法律适用范围以外的活动,例如,事关国家安全和刑事法;自然人在纯粹属于私人活动领域内的资料使用。1995年欧盟数据保护指令是欧盟数据保护规章的核心。下面就欧盟95指令的主要内容做一个介绍:
第一,指令的目的。欧盟95指令的第一条开宗明义地规定了指令的目的:根据本指令,成员国应保护自然人的基本权利和自由,特别是私人数据处理上他们的隐私权(第1条);成员不应依与第一款规定的保护有关的理由,限制或禁止私人数据在成员国之间的自由流动。
第二,在该指令中,所指的“个人资料”为:与特定或可待定的自然人相关的所有信息,不限种类及形式。
第三,使用范围。该指令中所指的“个人数据处理”包括:不论以自动或非自动的方式“处理个人资料的运作”。
第四,信息主体的权利。信息主体享有以下权利:访问权修改删除权(第13条)、拒绝权(第14条)、自主决定权(第15条)、获得救济权(第23条)
第五,管理者和控制者的义务:公平合法的处理资料,处于特定、明确、合法的目的进行收集,所进行的进一步处理不能违反这些目的,并确保个人资料的精确。如果必要还必须不断的更新(第16条);在进行全部或者部分自动化处理操作或为了单一或几个相关目的而进行操作之前,必须通知监督机关(第18条)
可以看出,欧盟95指令价值倾向明显,覆盖范围广泛。之后为了使各国对于通信行业个人资料处理中基本权利和自由所进行的保护,并保证资料和电信设备及服务能够在欧共体内自由流通,在欧盟95
指令基础上,欧洲理事会于1996年通过了《欧盟电子通讯数据保护指令》,作为1995年指令在电子通讯领域的延伸和补充。这两个指令构成欧盟个人数据保护法律框架的基础。1999年,欧盟委员会又先后制定了《互联网上个人隐私权保护的一般原则》、《关于互联网上软件、硬件进行的不可见的和自动化的个人数据处理的建议》、《信息公路上那个个人数据收集、处理过程中个人权利保护指南》等相关法规,在成员国内建立起有关网络隐私权保护的法律法规体系。①在欧盟95指令的要求下,除开新近入盟的十几个国家外,其他欧盟成员国均已完成了新一轮的个人信息保护立法或者修法工作,如德国的《联邦数据保护法》。德国1977年的数据保护法的立法目的有两个:第一,在个人资料处理过程中对个人隐私给予统一而充分的保护。第二,使个人资料处理行为合法化。②之后经过1994年、1997年分别修正,2001年5月最终修正,以符合欧盟指令的要求。
通过以上的介绍,可以总结出欧盟的个人信息保护制度可以分为两个层次:一是在欧盟体制下的统一立法,包括以系列的数据保护指令,这些指令为欧盟内部的个人信息流动提供了广泛的保护框架;二是欧盟各国根据指令所确定的标准而制定的专门性国内法 ,这些个人信息保护法的使用范围很广,包括各种形式的个人信息,并使用与不同领域的信息适用者。③ 这种个人信息保护策略可以成为“立法主导模式”。按美国官方的正式评价,欧盟的这种立法模式是一种“一刀切”(one-size-fits-all)式的规制模式。
2.美国的模式:分散立法和行业自律相结合
虽然,美国在隐私权保护方面的理论研究和立法都比较早,但相对欧盟严格的法律管制而言,美国的个人信息保护制度处于分散状态,在个人信息保护方面,还没有一部专门的系统的立法。美国采用个人信息保护分散立法模式,散见于诸多法案中。1966年《信息自由法》确定了政府信息公开的原则。1970年《公平信用报告法》着①
②胡鸿高、赵丽梅《网络法概论》法律出版社 2003年版 第443页 许文义《个人资料保护法论》台湾三民书局股份有限公司 2001年版 第172页
③ 陈永《欧盟和美国关于信息隐私保护的比较研究》,引自《北大国际法与比较法评论》北京大学出版社 2003年版 第178页
重于信用卡客户信息的保护,保护客户免于消费者报告机构不准确的、武断的信息披露。1974年,美国参众两院通过了《隐私权法》。它是涉及个人信息保护的最重要的一步法案。1979年,美国第96届国会修订《联邦行政程序法》时将《隐私权法》编入《美国法典》第五编“政府组织与雇员”,形成低552a节。该法又称《私生活秘密法》,是美国行政法中保护公民隐私权和了解权的一项重要法律。就政府机构对个人信息的采集、使用、公开和保密问题作出了详细规定,以此规范联邦政府处理个人信息的行为,平衡公共利益与个人隐私权之间的矛盾。④美国1974《隐私权法》是涉及个人信息保护的最重要的一部法案。其主要内容如下:
第一,立法原则。 ① 行政机关不应该保有秘密的个人信息记录; ② 个人有权知道自己被行政机关记录的个人信息及其使用情况;③ 为某一目的而采集的公民个人信息,未经本人许可,不得用于其他目的; ④ 个人有权查询和请求修改关于自己的个人信息记录;⑤ 任何采集、保有、使用或传播个人信息的机构,必须保证该信息可靠地用于既定目的,合理地预防该信息的滥用。
第二,使用范围。《 隐私权法》对该法出现的机关、人和记录等概念的适用范围做出限定。1.机关(agency):该法中的机关,包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司,以及行政部门的其他机构,包括总统执行机构在内。该法也适用于不受总统控制的独立行政机关,但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。2.人(individual):该法中的人,是指美国公民或在美国依法享有永久居留权的外国人。3.记录(record):该法中的记录,是指包含在某一记录系统中的个人记录。记录系统是指在行政机关控制之下的任何记录的集合体,其中信息的检索是以个人的姓名或某些可识别的数字、符号或其他个人标识为依据。个人记录是指行政机关根据公民的姓名或其他标识而记载的一项或一组信息。其中,其他标识包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码,以及其他一切能够用于识别某一特定个人④ 周健《美国与公民个人信息保护》载《情报科学》第19卷第6期2001年6月
的标识。个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的记载。
第三,资料主体的权利。资料主体的权利主要有:决定是否同意公开自己资料的权利;对个人资料由获得的权利;修改的权利。
第四,行政机关的义务。①行政机关收集的个人资料,如果可能导致对信息主体做出不利决定时,必须尽可能的由信息主体提供;②行政机关收集个人资料、建立个人的记录系统时,必须在联邦登记上发布通知;③行政机关只能在执行职务相关和必要的范围内,保持个人记录。除了法律另有规定外,禁止保持有关个人的宗教信仰、政治信仰与行政机关执行职务无关的个人资料;④行政机关必须保持信息的准确性、即使行和完整性以及保障资料的安全。
除了《隐私权法》,《情报自由法》对政府文件中的个人档案规定了比较完整的保护措施以外,法律对个人信息在经济领域的安全与合理流动所提供的保障很少,其采取的策略主要是依赖个人信息使用者的自我约束。与欧盟严格的法律管制相比,这种“行业自律模式”使美国国内企业获得了较为宽松的经营环境。行业自律模式是指“由公司或者产业实体制定行业的行为规章或行为指引,为行业的网络隐私保护提供示范的行为模式”。①美国政府认为,自律机制,包括企业的行为准则,民间“认证制度”以及替代争议解决机制,配合政府的执法保障,可以有效地实现隐私保护的目的。为此,美国政府一直保持与商界和消费者团体的对话,鼓励更多地保护隐私,采用自律性的隐私保护政策。当然,美国采取的行业自律,并不是完全放任自流,其与政府有着密切的关系,严格来说应该是政府引导下的行业自律模式。
二.启示
严格来说,每个国家或地区的法律应该都是自成一种立法模式。因为法律它集中反映的是每个国家、地区的社会生活、经济、政治状况。因而,每一个国家的个人信息保护法和保护模式反映的都是本国或本地区独特的国情,世界上没有任何两个国家的个人信息保护法和① 蒋坡主编《国际信息政策法律比较》法律出版社 2001年版 第433页
模式会完全一样。因此,从这个角度来讲,不存在所谓的区分欧盟或是美国这两种立法模式问题。但鉴于这两个实体在世界上的经济、政治地位以及他们对其他国家个人信息保护立法的影响力,故作此区分。当然,这种区分也是国际上共同采用的一种分类方式。应该说,不论是欧盟以立法为主导的保护模式,还是美国以行业自律为主导的保护模式,都是有其各自的价值观和社会基础作为支撑的。我们不能单纯的评论它的好坏,他们都有其合理的地方。作为第三方,我们应该分析了解他们各自特色,从中得出一些启示,为下面我国个人信息行政法保护作一些铺垫;另外,随着网络的发展和信息化、电子政务、电子商务的广泛应用,个人信息的保护问题已经日趋严重。在进行个人信息处理时,人们对政府机关、其他个人信息处理者提出了更高的要求,需要他们遵纪守法和行业自律相结合来规范其自身的行为。更为迫切需要关注的是,国际合作交往中越来越重视对个人信息的保护问题。众所周知,美国和欧盟经过两年多的协调、磋商和谈判,直到2000年通过“安全港协议”之后才初步解决了电子商务中的隐私权争端问题。但是,欧盟委员会同时申明,如果美国对其居民的个人信息保护被证明不充分,它将会重新开启谈判。
由此可见,个人信息保护问题已经发展成为开展经济活动中的一个不可忽视的重要因素,处理不当将成为国际贸易、电子商务中的障碍。最近,由于我国没有“隐私权保护法”(或个人信息保护法),我国企业在欧盟、北美等地区已遭遇到了被禁止收集客户信息的局面,缺乏隐私权立法已成为区别对待我国企业与其他国家企业,实行“差别待遇”的理由,但这一切又不违反WTO的公平竞争的原则。其结果是我国的企业已处于“不平等竞争”的地位,经济利益上受到严重影响。①因此,我国亟待出台有关个人信息保护的措施和法律法规。然而,这些措施和法律法规,无疑应该都是在分析、借鉴国外这些经验的基础上加以规定的。在《个人信息保护法(专家稿建议)》中,也提到了这个观点。由于我国关于个人信息的保护工作还处于初步阶段,即使可以预见欧盟判断非欧盟国家法律充分性的标准仍会保持其① 梅绍祖《个人信息保护的基础性问题研究》
“高门槛”,我们也不可能一蹴而就的就能达到这些标准,但我们又不得不以欧盟、美国的标准为参照。需要强调的是,如果中国与欧盟未来就中国个人信息保护立法的保护充分性问题展开谈判,我们应以自己个人信息保护的整个法律体系,展示其个人信息保护制度的充分性。那么,我们就应该以解决中国的现实问题为主要考虑,从分析、了解他们各自的个人信息保护特色,得出一些适合我国国情,特别是如何从行政法方面对个人信息进行保护的启示:
相比美国,欧盟的个人信息保护制度重视人权,其宗旨是尊重自主和自由。而美国的个人信息保护制度重点在于维护市场经济的活力,倾向效率优先。欧盟国家深受二战及纳粹独裁的危害,因此特被珍视人民的自主权利与自由,并把隐私权视为公民不可缺少的基本权利,由强大严格的制定法传统形成统一立法的要求,对个人信息提供比较完备的法律保护。从欧盟指令的第一条,我们就能看出来:“成员国应保护自然人的基本权利和自由,特别是私人数据处理上他们的隐私权”。欧盟数据保护指令的目的在于通过协调国家间的数据保护立法,便利跨越国界在欧盟成员国之间传输数据,同时保护作为基本权利的数据隐私权;美国是一个尤其重视企业的创造力与创新性的国家。美国政府希望通过对隐私保护采取平衡的规制方式,创造有利于创新的最佳增长环境。在价值基础上,美国的自由主义哲学在个人信息保护领域贯彻的结果是强调自由而相对忽视个人人格——对个人自由和市场自由的关注和强调在某种意义上超过了对隐私权的关注。但无论是强调人格尊严的欧盟数据指令还是侧重个性自由的美国在隐私权框架下对个人信息的保护,它们的目的却都是:在保护个人信息的前提下实现个人信息的合理流动。无论是专门立法、分散立法和行业自律模式,对个人信息的保护并非是限制其流动,而是要在“限制”中,协调和促进信息的自由流动。
欧盟数据指令对我国个人信息行政法保护提供了一些诸如目的、使用范围等总的指导原则和指导理念。它通过一部专门立法,对公领域与私领域中的个人信息保护进行统一规范、统一保护。而美国分散立法和行业自律相结合的保护模式,是以公领域的个人权利保护与私
人领域的合理利用为主要特点。首先,其对公私领域进行区分,在公领域——政府机关收集、处理和利用个人信息的领域,采取分散立法模式,区分不同领域或事项对个人信息分别制定单行法进行保护;而在私领域——私人机关收集、处理和利用个人信息的领域实行行业自律模式,由行业制定行为规章或行为指引来规范个人资料处理行为。对于自律机制不能解决的部分,由政府和行业共同合作解决。
目前,无论是我国在个人信息的跨国流通中所面临的严重问题,还是国内对个人信息保护的严重不足,“就我国而言,国家立法主导模式更符合我国的国情,但同时也要鼓励产业界建立相应的自律机制”①这种观点在国内学者中已达成共识。在我国个人信息保护法制定后,以此为基础,逐步建立我国个人信息保护的法律体系。从行政法的角度,规制政府机关、其他个人信息处理者处理个人信息的行为:一方面调整好政府机关内部处理个人信息的行为,处理个人信息时政府机关与信息主体的关系,明确其义务;另一方面政府机关又要管理好其他个人信息处理者在处理个人信息时的行为。以此达到对个人信息的保护同时促进自由流通。
第三章 我国个人信息保护法律现状之分析与反思
一.我国个人信息法律规范探源
1.宪法
现行宪法第38条规定:“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”这一规定以宣示性的一般规定阐明了隐私权的价值基础。它也是我国个人信息权利的直接来源,虽然在这个条文中没有明确出现“隐私保护”的字眼,但是在实质意义上,通过对上述权利的保护,公民个人的隐私也间接不受侵犯。第39条规定:“中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。”第40条规定:“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通①尚晓宇《网络个人资料保护应采取国家立法主导模式》检察日报 2003年10月27日
信自由和通信秘密。”这两条主要是禁止对公民生活空间的侵犯和禁止对公民通信过程红的个人信息的任意拦截、篡改和披露。它们可以当做事我国个人信息权利的直接宪法依据。另外,诸如宪法第41条,
第47条,第51条和宪法修正案第24条,则可以作为我国宪法对个人信息权利的间接保护依据。
2.法律、行政法规、地方性法规
我国的《民法通则》第100条规定:“公民享有肖像权,未经本人同意,不得以获利为目的使用公民的肖像。”第101条规定:“公民、法人享有名誉权,公民的人格尊严受到法律保护,禁止用侮辱、诽谤等方式损害公民、法人的名誉。”第102条规定:“公民、法人享有荣誉权,禁止非法剥夺公民、法人的荣誉称号。”这三条规定是宪法第38条在民法领域的具体体现。随后颁布的最高人民法院在《关于贯彻执行若干问题的意见(试行)》第140条规定:“以书面、口头等形式宣扬他人的隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。”这是我国最高司法机关对于公民隐私权所作的第一次司法解释。它并未突破现行宪法和民法的规定,采取变通的方法,规定宣扬他人隐私应追究民事责任。可以看出,这种变通仅限于侵害隐私导致他人名誉损害的情形,对于宣扬他人隐私但未造成名誉损害的情形,这个解释便显得力不从心。由此可见,这个解释也只是对维护公民正当的隐私权利的一种权宜之计。《中华人民共和国未成年人保护法》第39条规定:“任何组织和个人不得披露未成年人的个人隐私。”全社会都应当尊重未成年人的人格尊严,不得进行侮辱其人格的行为。《中华人民共和国妇女权益保护法》第39条规定:“禁止侮辱、诽谤、宣扬隐私等方式损害妇女的名誉和人格。”把“宣扬隐私”作为侵犯妇女名誉权的特定情形之一,在特定的范围内简接地为妇女的隐私信息提供了保护。
《中华人民共和国刑法》第252条规定:“隐匿、毁弃或者非法开拆他人信件,侵犯公民通信自由权利,情节严重的,处一年以下有期徒刑或者拘役。”以及第253条对邮政人员“隐匿、毁弃、非法开拆”
信件、邮件等犯罪行为应承担刑事责任。《中华人民共和国邮政法》
第4条规定:“通信自由和通信秘密受法律保护。除因国家安全或者追查刑事犯罪的需要,由公安机关、国家安全机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”随后由国务院颁布的《中华人民共和国邮政法实施细则》对这一条还做了进一步的程序性的规定,对禁寄的物品也做了详细的规定。此外邮政法第6条第2款对邮政人员的保密义务也做出了相关规定。各省、自治区和一些较大的市也都结合该法和本地区的实际情况制定了邮政条例或邮政管理办法。 《中华人民共和国商业银行法》第6条规定:“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。”第29条还规定,商业银行有权拒绝任何单位或者个人查询、冻结、扣划个人储蓄存款,但法律另有规定的除外。
在中华人民共和国人民代表大会常务委员会第三次会议通过,并于2004年1月1日起施行的《中华人民共和国居民身份证法》第6条规定:“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。第19条规定警察“泄漏因制作、发放、查验、扣押居民身份证而知悉的公民个人信息,侵害公民合法权益的必须承担相应的法律责任。”对“构成犯罪的,依法追究刑事责任。”可以看出,居民身份证法特别注重保护个人信息公民权利的实现。强调身份证在本质上不再是政府机关监管公民的工具,而应该只是证明公民身份的凭证而已。①它不但规定了人民警察的保密义务,而且有针对性地设置了违法责任条款,为公民获得相应的司法救济提供了明确的法律依据。
《中华人民共和国统计法》第15条规定:“属于国家秘密的统计资料,必须保密。属于私人、家庭的单项调查资料,非经本人同意,不得泄露。”第30条规定:“统计机构、统计人员违反本法规定,泄露私人、家庭的单项调查资料或者统计调查对象的商业秘密,造成损害的,依法承担民事责任,并对负有直接责任的主管人员和其他直接① 周汉华《个人信息保护法(专家建议稿)及立法研究报告》法律出版社 2006年版 第47页
责任人员依法给予行政处分。”这两个规定在我国法律中属于比较明确、而且涉及到从行政法角度予以直接保护个人信息的内容,但遗憾的是其使用范围仅限于统计事务。另外,《中华人民共和国档案法》部分地满足了公民的愿望,对档案机构的设置及其职责以及档案的管理都做了规定,但可惜的是,但可惜的是整个法律对个人档案的保护涉及不多,而且由于缺乏个人查询自己档案的机制,使得很多人从出生到死亡都不曾见过自己的档案,这样就有可能造成某些错误得不到纠正。05年10月,中国人事科学研究院完成的《中国人才报告》指出,目前我国人事档案制度改革举步维艰。在报告提出的一些具体建议中,有一条值得我们关注:个人求职或服务的新单位欲了解、查阅其原单位的人事档案,由本人书面授权,原单位应无偿提供。非经个人授权,任何单位和个人不得以任何理由扣留、公开、披露个人档案信息。②这表明在人事档案制度的改革开始关注对个人档案信息的保护。
1997年,经国务院批准,公安部颁布的《计算机信息网络国际联网安全保护管理办法》第7条规定:“用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。”1998年3月13日国务院信息化工作领导小组印发的《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》第18条规定:互联网用户“不得擅自进入未经许可的计算机系统,篡改他人信息;不得在网络上散发恶意信息,冒用他人你名义发出信息,侵犯他人隐私;不得制造、传播计算机病毒及从事其他侵犯网络和他人合法权益的活动。”从这两个行政法规的规定来看,虽然在1998年篡改、滥用个人信息的现象已经进入立法规制的范围,而且这个事实办法在国际互联网络管理方面也发挥了很重要的作用。但是,从目前的发展情况来看,这些规定显然对个人信息的保护不够全面。只是一些限制性的规定,而对于隐私所涉及的一系列个人信息权利及其保障缺乏进一步的规制。
1988年12月15日由卫生部颁布的《医务人员医德规范及实施办② 中国青年报http://www.sina.com.cn 2005年10月08日05:03
法》中要求“为病人保守医秘,实行保护性医疗,不泄漏病人隐私与秘密”。另外,考虑到艾滋病病人是一类特殊的人群,因此对他们的个人信息,法律也做了特别的保护。1999年5月,卫生部经国务院批准,发布了《关于艾滋病病毒感染者和艾滋病病人的管理意见》,其中规定:“从事艾滋病病毒感染者和艾滋病病人诊断、治疗及管理工作的人员,不得向无关人员泄露有关信息。任何单位和个人不得将艾滋病病毒感染者和艾滋病病人的姓名、住址等个人情况公布或传播,防止社会歧视。”在此前后,许多的省市都颁布了有关艾滋病防治的管理办法,如上海市1999年3月1日开始实施的《上海艾滋病防治办法》,2004年3月1日起执行的《云南省艾滋病防治办法》,2005年2月1日起施行的《广西壮族自治区艾滋病防治办法》等都对艾滋病病人的个人信息权利予以规定。
2003年2月1日,我国第一个地方性电子交易立法《广东省电子交易条例》正式实施。该条例第28条规定:“电子交易服务提供商对电子交易当事人在交易过程中提供的信息应当采取严格的安全保密措施,非经电子交易当事人同意,不得向任何第三方泄露或者出售。法律、行政法规另有规定的除外。”这个规定专门针对电子交易服务提供商的行为,对电子交易领域个人信息的安全与合理使用给予了比较全面的关注。在其后的第29条,还规定了若认证机构违反该条例的规定,泄漏秘密的将被追究其法律责任。
2004年2月1日起施行的《上海市个人信用征信管理试行办法》,
第6条、第7条、第8条、第9条分别详细的对个人信用信息采集的范围进行了规定。其中包括可以采集的个人信用的范围、无须同意即可采集的范围、以及禁止采集的内容、方式等。该办法把:“征信机构开展个人信用征信,应当遵循独立、客观、公正的原则,尊重个人隐私,维护被征信个人的合法权益和社会公共利益。”作为开展个人信用征信的重要原则。在其后的第三章至第七章详细规定了征信机构在个人信用信息的使用、提供、异议信息的处理、监督管理及相应环节应承担的义务,为征信领域的个人信息提供了较为完备的保护。
二.反思
以上对我国个人信息保护现状的分析,是按照法律位阶逐一介绍的思路:首先从我国宪法中找到我国个人信息行政法保护的依据,再在相关法律、行政法规、地方性法规及司法解释中找出一些相应的规定。从中可以看出,目前我国个人信息的保护主要涉及关于人格、名誉方面的隐私保护;未成年人的信息隐私保护;邮件、电子信件的隐私保护;储户存款信息隐私的保护;身份证信息方面的保护;档案、统计方面的隐私保护;健康医疗信息的隐私保护;电子交易信息方面的信息保护及信用征信方面的信息保护。除此之外,还有关于婚姻、家庭方面的隐私以及服刑犯人的隐私保护①。
这些规定似乎涉及了公民生活的方方面面,似乎很全面,但仔细分析后不难发现:我国现有法律保护框架之下,还没有形成比较完整的个人信息保护制度;有关个人信息保护的法律规定立法简陋,零散、无体系;其中涉及个人信息保护内容的又非常之少,即便是涉及也是以有限的、间接性的规定居多;缺乏统一的执行机制与机构。所以,应该说我国现有的法律法规对公民个人信息的保护还处于最初级的阶段。哈佛法学院宪法学教授Charles Fried指出:“信息隐私的理念,似乎不应该只局限于不让他人取得我们的个人信息,而是应扩展到由我们自己来控制个人信息的使用与流向。”然而,我国对个人信息的保护目前从整体的指导思想上看,对它的认识还只是停留在静态的消极防御性内容上,即我们从第一节的诸多规定中可以看出它们几乎都以防止个人信息或隐私被非法披露和公开为主要的保护内容,而对积极性的隐私权利,即如何保护个人控制自己个人信息的权利还没有涉及。
现代社会,由于公共事务的范围不断扩大以及政府权力的扩展,大量的个人信息为政府机关所收集、储存、处理和使用。某一些信息的收集,甚至是在信息主体毫不知情的情况下进行的。但是在这些收集过程中,不可避免的会对某些信息主体的信息权利造成侵害。加之我国公民在个人信息权利意识上的淡薄,又极有可能放弃行使其程序① 2003年10月1日起施行的《婚姻登记条例》,取消了“结婚前必须体检”和结婚、离婚必须“单位开介绍信”。一方面体现了公民婚姻自由的精神;另一方面也体现了对个人信息的尊重。《中华人民共和国监狱法》第7条第1款,第18条,第47条都有关于对服刑人员隐私的一些限制性规定。
性权利。因此必须直接对政府机关处理个人信息的行为加以规制。基于秩序行政或是福利行政的需要,政府机关可能依职权或是相对人的申请收集和处理个人信息。如公安部门收集的有关公民身份认证的信息;税务部门收集的有关个人信用状况、工资收入、纳税状况等涉税个人信息;档案管理部门收集的关于个人年龄、性别、身份证号码、职业、工作学习经历、婚姻状况等等各种全面的个人信息。除此之外,如律师协会、会计师协会之类的一些行业自律组织也收集和储存着大量的个人基本信息。这些政府机关或行业组织根据其各自职能或者行使公权力对各种个人信息进行处理、传递和利用。但是,从以上对我国个人信息保护现状的分析中发现,如何对政府机关处理个人信息的行为进行规制却几乎很难找到法律依据,更不用说如果政府机关在处理个人信息过程中若对信息主体造成侵害,该如何救济的问题。 行政权力的公共利益属性决定了个人信息的行政法保护离不开行政公开制度的建构。公民的知情权就性质而言,属于一种请求权,或是“信息公开请求权”是积极的权利,国家机关要承担义务去满足和保障这一权力的实现。①基于这种权利,就要求有关主体由向公众公开它所掌握的相关信息的义务。政府信息公开是保障公民知情权的有效途径。那么,如何权衡在保障公民知情权的行政信息公开中和对个人信息行政法保护之间的关系便成为关键。美国早在1974年就制定了针对政府行政权力的《个人隐私权法》。其中就明确规定:与政府信息公开的宪法原则相匹配的另一个美国宪政原则是个人隐私不得侵犯。它同时和《信息自由法》、《情报公开法》、《阳光下的政府法》一起构成了美国的行政公开制度,它们和《个人隐私权法》共同被收录在《联邦行政程序法》中。这说明,对个人信息的保护不可避免的发生在政府信息公开的过程中,那么就应处理好隐私权利和行政公开的边界问题。必须把政府利用个人隐私的公共利益目的性公开放在阳光下,而不能暗箱操作。因为“阳光是最好的防腐剂,灯光师效率最高的警察。”②正是出于这个原因,《个人隐私权法》成为了美国行政①
② 郭道晖《知情权与信息公开制度》参见《法的时代挑战》湖南人民出版社 2003年版 第300页 [新西兰]杰里米·波普编著《反腐策略——来自透明国际的报告》上海译文出版社 2000年版 第31页
公开制度的重要组成部分。在我国,公权力非常强大,行政权的行使是对个人隐私最经常也是最危险的侵权因素。所以,笔者认为,我国个人信息保护法的立法内容应该把重点放在对于政府机关的规制上来。
在当今信息社会,由于网络在社会生活各个领域广泛应用,使得个人隐私的数据和事实存储于政府、商业性公司网站的数据库中,而且越来越多的公民通过网络进行私人事务的处理和信息交流。另一方面,现代信息技术和网络技术又大大增加了侵犯隐私权的几率和范围,并带来了许多新问题。因此,其法律制度的完善也必须通过政府的积极建构来完善,不仅要规范私法性质的社会组织的网络数据收集、处理行为,而且对政府在网络上对个人资讯隐私的管理和利用的规范更为重要。美国的无线通信机构附属委员会主席Rep WJ,强调说:“现在的Internet 互联网是一个功能如此强大的信息汇集、传播工具,所以网络发展对隐私权保护带来了巨大的威胁。因此,人们不但越来越担心网络对个人隐私无孔不入的入侵,而且对隐私包括个人
①数据的主动控制权提出了新的要求。”虽然我国目前还没有有关网络
上隐私权保护的全国性专门法律或法规,但值得一提的是,在一些行政法规中有涉及隐私权网络上保护的条款。比如第一节中提到的:1997年公安部颁布的《计算机信息网络国际联网安全保护管理办法》
第7条的规定;1998年3月13日国务院信息化工作领导小组印发的《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》
第18条的规定及信息产业部2000年7月发布施行的《互联网电子公告服务管理规定》第12条和2000年12月28日,由第9届人大常务委员会第19次会议通过的《全国人民代表大会常务委员会关于维护互联网安全的决定》第4条的规定等等。但这些行政法规的规定大多是出于维护国家安全和社会稳定,针对网络安全而制定的,不是对个人信息网络保护的针对性立法;而且这些法规,内容零散、分散,相互间缺乏衔接和统一,没有对个人数据的收集、储存、利用、及安全等方面,做出全面详细的规定。因此,面对这种新形势,如何完善网①《网络隐私权》
络上对个人信息的行政法保护也对政府机关提出了新的要求。
另外,随着社会的发展,越来越多的“其他个人信息处理者”每天都在进行着大量的个人信息的处理。在我国法律中也缺乏系统的对这些信息处理者处理信息的规定。因此,也必须运用公权力从行政法角度处理好这种行政管理关系。将这些其他个人信息处理者的行为纳入正轨。
第四章 完善我国个人信息行政法保护的建议
一.我国个人信息行政法保护目标价值及指导思想之确立
1.目标价值
交流与共享是信息的价值所在。但是交流共享处理个人信息,是在不侵犯信息主体、第三方的合法权利的前提下。著名经济学家阿瑟·奥肯认为,在社会和政治权利领域,平等的优先权原则上置于经济效率之上,而在市场和其它经济领域,效率获得了优先权,大量的不平等被认可。①具体来讲,就是要充分了解信息自由流动所带来的社会利益与限制信息使用带来的整体利益,在此基础上,通过价值判断力图促进其协调发展。在保障个人信息安全的同时既要保证使用个人信息的效率,又要体现个人自主选择的平等。
权衡各种价值冲突,我们发现,对个人信息的行政法保护,不是要限制它的流动,而是一方面充分保护个人权利,而另一方面又不能阻碍正常的信息流动,相反要促进个人信息的有序流动。笔者认为,这应该是我国个人信息行政法保护所要达到的目标价值。
我们从国际社会中,诸多个人信息保护相关文件中不难看出协调好这两种价值关系的极端重要性。例如,经合组织指南在导言部分规定:“在隐私和个人自由的保护方面,在协调诸如隐私和信息的自由流动这些基本的但却冲突的价值方面,成员国有着共同的利益;成员国应该努力消除或避免以隐私保护的名义为个人数据的跨疆界流动制造障碍。”欧洲理事会协定在导言部分明确指出:“考虑到遭受自动处理个人数据越来越多地跨国流动,由此应当扩大对大众权利及其基本自由的保护,尤其是对隐私权的尊重;同时重申成员国无论国界而① [美]阿瑟·奥肯《平等与效率》王奔洲等译,华夏出版社 1999年版 第86页
保证信息自由流通指承诺;承认必须在遵守隐私的基本价值和尊重信息在国家间自由流动两者之间达至平衡。”欧盟在说明制定共同的数据保护指令的原因时指出:“为了消除个人数据流动中的障碍,各成员国对个人数据处理中个人的权利和自由的保护措施必须相同;各成员国对于个人权利和自由特别是隐私权,在个人数据处理过程中不同程度的保护措施可能会阻止这些数据在成员国之间的传送;这些差异因此可能对许多欧共体的经济活动形成障碍、扭曲竞争并阻止各国政府履行欧共体法律所规定的责任。”同时,欧盟指令第1条明确规定:“各成员国应对个人数据处理中自然人的基本权利和自由,特别是他们的隐私权予以保护。各成员国不应限制或禁止处于与第1款所提供的保护有关的原因,而在各成员国之间所进行的个人数据的自由流动。”
2.指导思想
现代社会,建立“服务型政府”“阳光政府”的需要,政府机关在公共行政领域处理着大量的个人信息,而某些个人信息的收集还是在信息主体毫不知情的情况下进行的,这种收集势必会不可避免的会对信息主体造成侵害;另外随着技术,商务,网络的发展,其他个人信息处理者的渐渐增加的处理行为仅靠我国目前还十分不健全的行业机制予以规范是远远不够的,必须建立其更为实效,权威的管理机制,来规范他们的处理行为。加之文章在第二章中所论述到的:个人信息保护问题已经发展成为开展经济活动中的一个不可忽视的重要因素,处理不当将成为国际贸易、电子商务中的障碍。鉴于目前我国企业已经在国际竞争中处于不平等的地位。因此我国必须尽快逐步完善我过个人信息保护的立法、机制完善工作等相关工作。一方面我们必须以欧盟标准、美国的先进经验为参照,另一方面我们必须明确由于不可能一下子就能达到那些标准。因此我们在面对这些“高门槛”时,只能以我国整个的个人信息保护体系来展示我国个人信息保护的充分性。由于政府机关大量的职权处理行为,其他个人信息处理者仅靠自律机制不足以保护信息主体的权利,所以,应该说,对个人信息的行政法保护便显得尤为重要。因此对个人信息的行政法保护,是为了防
止政府机关和其它个人信息处理者对它恶意的侵犯,是为了建立良好的隐私权保护的大环境,也是为了适应国际社会的需要,保护我国企业在国际竞争中不再处于不平等竞争的地位。对个人信息的行政法保护是刻不容缓的。
第一章指出,个人信息保护的法理基础应该是建立在个人信息自决权之上。对个人信息的保护应该确立以个人信息自决权为中心个人信息行政法保护的指导思想。传统的行政法学都是以行政主体作为研究对象,都是从手段出发追求国家及行政机关与公民(个人或集体)之间的互动关系,都体现了行政主体和行政行为视角下的行政法的价值取向,即都是以公权力为基础来建构行政法治的规则体系和规范实践。①但今年来,行政相对方权利本位问题开始引起学者的注意,这是一个全新由公权启动的私权分析视角。②在个人信息行政法保护的特定问题上,也必须确立以私权利为中心的行政法保护理念。这是基于对个体价值,人格尊严,自主权利的尊重。
二.我国个人信息行政法保护基本原则之择选
文章第二章总结的两种法律保护模式:欧盟的“立法主导模式”和美国的“分散立法和行业自律模式”,都有其各自的社会基础。纵观世界范围制定了个人信息保护单行法或类似法律的国家,跟这两种模式相关联,它们的立法例大体分为三种:一种是对公共行政领域或私人领域不做区分而一体规范的体例,如英国1998年个人数据保护法;一种是在共同的个人信息保护原则规范下区分公共行政领域和私人领域的具体制度的体例,如德国、日本、韩国和我国的台湾地区的个人信息保护法;一种是只规范公共行政领域而不适用于私人领域,这种立法例以美国为代表。鉴于我国的具体情况,我国采取的是第二种立法例即:在共同的个人信息保护原则规范下区分公共行政领域和私人领域的具体制度的体例。
1.目的明确原则。
目的明确原则是指个人信息在收集是必须有明确的特定的目的,①
② 王秀哲《论个人隐私权的行政法保护》《行政法学研究》 2006年版第2期 赫然《行政相对方权利本位探悉——现代行政法学视角的转换及其意义》载《社会科学战线》2005年版第1期 第323页
禁止超出目的范围收集、处理和利用个人信息。这一原则也被称作是“目的拘束原则”:“目的拘束,在德国文献上是一个经联邦宪法法院所肯认资料保护之原则,其系源自资讯自决权以及国家权限分配所形成资讯权利分配,同时抗制权利过度集中以及透明化之原则。”①从这一论述中我们可以看出这一原则主要是防止对个人信息的过度收集和使用目的不明确,防止个人信息的滥用,不当出售。它主要是用来对抗公权力的非法行使,贯穿在政府机关在收集、处理、传递、利用中的每一个环节。包括:政府机关职能在其法定职权范围内,为履行其职责收集个人信息,而且必须有明确、合法和特定的使用目的,不得超出其所规定的使用目的的范围。除非法律另有规定的除外。当然这一原则的提出同样也是为了规范其他个人信息处理的处理行为,阻止他们将个人信息在明确的收集目的之外进行非法的个人数据交易或是对个人信息二次开发利用。如在我国出现过通过电子邮件,在网上兜售个人数据资料,如个人的e-mail信箱地址以及销售个人信息软件的行为。②应该说目的明确原则是对个人信息保护中的一个主导性的原则。
2.公开原则。
正当程序是约束行政机关行政活动过程的根本原则,其意指行政权力的行使应当遵循最低限度的程序要求。①正当程序原则所包含的第一个方面就是要求“信息公开”。因为:“没有事先通知其利益有可能因政府的决定而受到影响的人,一切其他程序权利便可能毫无价值。”②
正如美国前总统约翰逊在签署《情报自由法》时发表的声明中所称:“这个法律发源于我们所信仰的一个重要原则,在国家安全许可的范围内,人民能够得到全部时,,民主政治才能最好地运行。”③具体到个人信息行政法保护领域,“信息公开”原则是指政府机关和其它个人信息处理者对个人信息的收集、处理与利用一般应保持公开,①
②许文义《个人资料保护法论》台湾三民书局,2001年版 第182页 梅绍祖《个人信息保护的基础性问题研究》
①杨海坤 章志远《中国行政法基本理论研究》北京大学出版社 2004年版 第115页
②[美]盖尔霍恩等《行政法和行政程序概要》黄列译 中国社会科学出版社 1996年版 第133页 ③王名扬《美国行政法》(下)中国法制出版社 1995年版 第959页
本人有权知悉个人信息的收集与利用情况。笔者认为,它包括两个方面的意思:①政府机关或其他个人信息处理者若直接自信息主体收集时,应当对向其告知个人信息的使用目的、范围、主要的使用者或传递对象等相关情况。这种情况下对信息主体的保密,便侵犯了其知情权;④ ②信息主体有权要求政府机关、其他个人信息处理者公开、获得关于本人的个人信息。除法律另有规定外,信息主体的这种知情权应得到满足。“公开”并非指个人信息内容之公开,而系指个人信息搜集、存储、利用及提供等之公开。⑤公开原则有利于保障公民的知情权,同时也有利于规范处理个人信息的行为。无论是政府机关还是其他个人信息处理者都应该把这一原则要求看作是其义务或者职责。
3.利益均衡原则
利益均衡原则明确的规定在《中华人民共和国个人信息保护法(专家建议稿)》总则部分。它是指对个人信息的保护,不得妨碍他人的权利与自由,不得损害国家利益与社会公共利益。这一原则要求政府机关和其它个人信息处理者在处理个人信息时必须权衡各方利益,对信息主体权利保护的同时,不得侵犯他人的知情权,危害国家的安全,损害社会公共利益。
4.安全保护原则
安全保护原则是指个人信息应该处于安全的保护中,避免可能发生的个人信息的泄漏、意外灭失和不当使用。即这一原则要求政府机关或其他个人信息处理者应采取必要的保护措施,以防止个人信息的泄漏、丢失、毁损或其他的安全事故。除此之外,政府机关或其他个人信息处理者的工作人员对其由于任职期间处理个人信息所获知的内容,同样负有令其处于安全状态的义务,不得擅自告知他人或者以其他方式加以披露或使用。
除此之外,对于政府机关的收集行为,还应该遵循职权法定原则。职权法定原则是行政法定原则的具体要求之一。它是指任何行政权利④但在公共行政领域,政府机关有时出于公共利益的需要,依职权在公民毫不知情的情况下收集个人信息,或法律有例外规定外,政府机关在依法收集、处理、利用、传递个人信息时,必须将个人信息的收集、处理、利用目的或者传递的对象等信息及时告知个人信息主体,这样他们才能及时行使各项程序性权利 ⑤黄三荣《个人资料之保护——兼评我国计算机处理个人数据保护法》资讯法务透析 1998年第1期
的来源都必须有法律的明确授予。具体而言,即各行政机关或其它执
行公务的组织必须在其法定的祸授予的职权范围内活动时方可为一
定目的的收集、处理、利用个人信息。如果该政府机构没有相应职权,
则不能进行相关的个人信息收集行为,只有在其职权范围内活动才能
获得合法性。
三.我国个人信息行政法保护基本制度之择定
1.信息公开制度
保护个人权利,促进个人信息的有序流动,这是我国个人信息行
政法保护所要实现的目标价值。那么如何在保护信息主体权利的同
时,实现个人信息的有序流动呢?笔者认为,这离不开信息公开制度
的确立。必须把公开原则以制度化的形式贯彻下来。
由于个人信息行政法保护所规范的一个重要部分是政府机关所持
有的大量的个人信息,因此,个人信息行政法保护不可避免的与政府
信息公开发生部分重叠,这就使得本来不同的两项制度,存在内在的
必然联系。就政府机关而言,个人信息行政法保护与政府信息公开在
许多情况下其实是同一个问题的两个方面。某些国家的立法模式和执
法机制就体现了他们之间的这种联系:立法模式上,一些国家就采取
了两法合一的形式,将个人信息保护与政府信息公开规定在一部法律
之中。例如,匈牙利1992年制定的《个人数据保护与公共利益数据
公开法》,南非的《信息公开促进法》等,都同时规定了政府信息公
开与个人信息保护制度;执法机制上,另外一些国家,虽然没有采取
两法合一的立法模式,但在执法机关上实现了这两种制度之间的统一
和整合:由一个共同的机构或者机关来负责两个制度的实施。例如,
美国司法部信息与隐私办公室负有推动政府信息公开与个人信息保
护的双重责任,日本信息公开与个人信息保护审查会作为高层次的机
构,实现了多部法律执法机制的统一。①无论是立法合一还是执法机
制的统一,都体现了对个人信息的行政法保护离不开政府信息公开制
度的建立,但是如何在政府信息公开中实现对个人信息的行政法保护
呢? ①周汉华《个人信息保护法(专家建议稿)及立法研究报告》法律出版社 2006年版 第64页
信息公开制度的确立有利于满足公民的知情权。自第二次世界大
战结束以后,知情权在各国纷纷从应然权利而转化为法定权利。②那
么这种法定权利的实现与满足就只能依赖于个人信息拥有者的公开。
在上述原则的论述中指明了信息主体知情权的满足所包括的两个方
面。由于政府机关大量掌握着大量的个人信息,加之其公权力属性,
因此,个人信息行政法保护法中公开制度的确立,需特别注意政府信
息公开和个人信息行政法保护之间的关系。
即将于今年5月1日起施行的《政府信息公开条例》明确:制定
这一条例旨在保障公民、法人和其它组织依法获取政府信息,提高政
府工作的透明度,促进依法行政,充分发挥政府信息对人民群众生产、
生活和经济社会活动的服务作用。这说明“政府信息以公开为原则,
不公开为例外。”《政府信息公开条例》明确了可以公开的政府信息的
范围,但对于何为不可以公开的政府信息没有过多的规定。只是在第
14条中规定:“行政机关不得公开涉及国家、商业秘密、个人隐私的
政府信息。但是,经权利人同意公开或者行政机关认为不公开可能对
公共利益造成重大影响的涉及商业秘密、个人隐私的政府信息,可以
予以公开。”这是《政府信息公开条例》中所涉及的有关个人信息保
护的条款。虽然没有详细的说明其范围,但却给行政机关公开与信息
主体有关的个人信息时提出了这一限制性规定。具体而言,信息公开
制度在个人信息行政法保护领域主要是指信息要对信息主体公开,信
息主体有权获知与其相关的个人信息,维护他们的知情权和监督权。
除此之外,它还要求政府机关和其他信息处理者做到:政府机关在开
始收集个人信息之前,应就有关事项向各级人民政府信息资源主管部
门进行登记,履行登记义务。登记事项必须公告,方便公众查询个人
信息;其他个人信息处理者开始进行个人信息收集之前,须向政府信
息资源主管部门进行登记,或者须经政府信息资源主管部门行政许
可。政府信息资源主管部门的登记或许可决定需要予以公告,供公众
查阅。其他个人信息处理者需要将登记或许可事项制作个人信息文件
登记薄,供公众查阅。 ②杨海坤 章志远《中国行政法基本理论研究》北京大学出版社 2004年版 第476页
2.行政许可制度
随着社会信息化,网络计算机,电子商务的发展,更多的其他个
人信息处理者涌现出来,为了规范这一部分处理者的处理行为,有必
要建立行政许可制度。
行政许可是指行政许可主体针对行政相对人的申请,依法判定并
确认行政相对人是否已具备从事某种特定活动或实施某种特定行为
的条件或资格,并对经判定并确认的活动或行为进行全过程依法监督
的过程性行政行为。③具体而言是指,其他个人信息处理者开始进行
个人信息收集之前,政府信息资源主管部门针对他的申请,分别进行
形式审查和实质审查,由此来判定他是否具有从事该个人信息收集的
资格,决定其是否可以实施这种行为。这样一来,可以保证其他个人
信息处理者对个人信息收集的政府监督。然后,政府信息资源主管部
门公告其许可决定。其他个人信息处理者将许可事项制作个人信息文
件登记薄,供公众查阅。接受公众的监督。
行政许可制度的建立,可以有效的规范其他个人信息处理者的处
理行为。用它来控制和限制行政相对人即其他个人信息处理者任意行
使其权利。以防止个人信息被违法收集和滥用。当然,其他个人信息
处理者除了可以通过申请行政许可,还可以通过向主管部门登记的方
式进行信息处理活动。但公民、法人或者其他组织未经登记或行政许
可,擅自处理个人信息的,应当承担相应的法律责任。
3.救济制度
“没有救济就没有权利”。必须在个人信息行政法保护过程中,建
立相应的救济制度,才有可能让信息主体的权利落到实处。即当信息
主体认为政府机关或其他个人信息处理者的信息处理违反法律规定
(这里是指《个人信息保护法(专家建议稿)》),侵犯其合法权益时,
可以采取哪些措施,寻求哪种救济。笔者认为,应当赋予信息主体依
法请求行政救济或提起诉讼的权利。若政府机关或其他个人信息处理
者的违法行为给信息主体的权益造成损害的,还应当依法承担赔偿责③罗文燕《行政许可制度研究》中国人民公安大学出版社 2003年版 第46页
任;①而公民、法人或者其他组织认为政府信息资源主管部门的具体
行政行为侵犯了其合法权益的,也应当予以他们一定的救济手段,比
如可以依法申请行政复议或提起行政诉讼。另外,政府机关或其他个
人信息处理者都应建立有效的投诉处理机制,及时迅速处理信息主体
提出的各种投诉。这一规定也是对信息主体权利的间接救济。
另外,当信息主体发现其个人信息记载有误时,也应赋予其相应
的救济制度。《个人信息保护法(专家建议稿)》第28条至34条、第
50条就专门规定了个人信息的更正与停止使用的救济制度。《政府信
息公开条例》第25条规定也规定了公民、法人、其他组织拥有当其
有证据证明与他自身相关的政府信息记录不准确时的信息更正权。
《政府信息公开条例》第33条规定:“公民、法人或者其他组织
认为行政机关在政府信息公开工作中的具体行政行为侵犯其合法权
益的,可以依法申请行政复议或者提起行政诉讼。”这一规定使得信
息主体若认为个人信息权利在政府信息公开中受到行政机关的侵害
救济有法可依。
四.我国个人信息行政法保护监督管理体制之构建
除了上述个人信息行政法保护的相关原则和制度规范外,个人信
息的行政法保护还必须建立有效的监督管理体制。笔者认为,我国监
督管理体制的建立应该包括以下三个方面:行政监督,设立专门的信
息资源管理机构,明确其职责;市场监督,建立行业自律机制;公众
监督的参与。
1.欧盟指令第28条规定:其成员国应当设立一个或多个专门的机
构负责独立的监督个人信息保护法的实施,凡制定的法律、法规中涉
及个人信息的,有关部门应当咨询该机构的意见;所有的信息处理主
体和收集、利用个人信息的行为都必须在这个监督机构登记。同时,
该机构享有相应的调查权、依照职权或者依照有关当事人的申请而对
相应的违法行为进行查处的权利以及通过介入诉讼维护法律实施的① 笔者认为:尽管我国行政赔偿制度还存在一些缺陷,比如行政赔偿的归责原因过于单一,赔偿范围过窄,
赔偿的标准过低,程序也存在不尽合理的地方。但是,救济制度中规定行政赔偿责任,表明了对信息主体
权利的重视,同时也有利于规范政府机关及其工作人员的职务行为。另外,规定其他个人信息主体的违法
行为的赔偿责任也有利于规范这类信息处理者的行为,具有一定的震慑力。
权力等。各国关于监督机关的设置,除美国外,大都设有专门的监督
机关。如:英国有信息专员。他负责督导(police)“数据保护原则”
的落实,如果出现了违反这些原则的情形,信息专员就可以发布“强
制通告(enforcement notice)”,要求数据处理者实施救济行为。①除
此之外,德国有联邦资料保护监察官、瑞典有资料检察院、丹麦的信
息保护局。这些监督机构大体上是独立于行政机关之外,具有超然地
位和独立的监督权力,负责个人信息保护相关原则和制度的法律实
施。
在我国由于个人信息的保护工作还处于起步阶段,我国至今都没有
专门的政府信息资源主管部门,②因此就我国而言要在短时间内建立
起独立的权威的专门的监督机构还有待时机的成熟。为此,专家建议
稿专门对政府信息资源主管部门的职责做了明确的规定:县级以上人
民政府信息资源主管部门负责组织、知道、推动、监督《个人信息保
护法》的实施。全面负责政府信息资源管理与信息技术利用方面的工
作。也就是说,对个人信息的行政法保护需明确由县级以上人民政府
信息资源主管部门来履行其行政监督职责,监督其行政相对人即其他
个人信息处理者的信息处理行为。这种行政监督主要采取检查、检验、
登记、统计、查验、鉴定等方式。③具体而言,《个人信息保护法(专
家建议稿)》第61条规定:信息主体认为其他个人信息处理者的个人
信息处理行为违反本法规定,侵犯其合法权益的,可以向政府信息资
源主管部门举报,请求政府信息资源主管部门保护其合法权益。政府
信息资源主管部门可以根据信息主体的举报或者依职权,对其他个人
信息处理者进行现场检查,要求提供信息处理情况报告,采取查封、
扣押、冻结等行政强制措施。对进行现场检查所遵循的程序也做出了
详细的规定;第62条规定:其他个人信息处理者违反本法规定进行
个人信息处理的,政府信息资源主管部门应当责令限期改正;逾期未
改的,或者其行为严重侵犯信息主体合法权益的,根据不同情况,政
府信息资源主管部门可以做出诸如责令暂停个人信息处理、罚款、吊①
②张越《英国行政法》中国政法大学出版社 2004年版 第532页 周汉华《个人信息保护法(专家建议稿)及立法研究报告》法律出版社 2006年版 第82页
③姜明安《行政法与行政诉讼法》北京大学出版社 高等教育出版社 1999年版 第136页
销个人信息处理登记证或许可证等行政决定。 县级以上人民政府信息资源主管部门除了需明确其对其他个人信
息处理者的行政监督职责外,还必须履行其对政府机关信息处理的监
督职责。《个人信息保护法(专家建议稿)》第56条,第57条规定:
信息主体认为政府机关就个人信息公开、更正或停止使用的决定违反
本法,侵犯其合法权益的,应首先向同级人民政府信息资源主管部门
申请行政复议;不服行政复议决定的,可以依法向人民法院提起行政
诉讼。《政府信息公开条例》第30条规定:“政府信息公开工作主管
部门和监察机关负责对行政机关政府信息公开的实施情况进行监督
检查。”我们可以参照此规定,一方面政府信息资源主管部门对政府
机关的信息处理进行监督检查;一方面监察机关对其信息处理进行行
政法制监督。
2.不论是欧盟“立法主导模式”还是美国“分散立法、行业自律
模式”,都对行业自律机制给予了充分的肯定。例如,欧盟指令的27
条规定,各成员国与欧盟委员会应根据不同行业的特点,鼓励业界实
施指令与成员国法律的行为准则。成员国应该为行业协会或代表处里
者的其他组织制定规定,使其能够将起草的行为准则送交国内执法机
构征询意见。如果执法机构认为行为准则符合指令的规定,应该征求
数据主体或其代表的意见。而美国更是实行行业自律模式的典型代
表。它认为,应当尽量避免政府干预人们的经济生活自由,主张鼓励
行业在保护个人信息的安全与自由流动方面采取自律措施,即依靠市
场机制自发解决信息流动中的安全和隐私权问题。同样的,在我国,
法律虽然可以规定个人信息应如何被合法收集和运用,但法律起到的
还只是外部规制和约束的作用;另外,仅仅靠政府规制,势必会造成
高昂的执法社会成本问题,有违行政效率原则;再者,信息科技的高
速发展、不同行业间的信息收集与处理的差异性等这些原因都说明行
业自律机制是我国个人信息行政法保护制度中不可缺少的一种监督、
协调机制。
《个人信息保护法(专家建议稿)》第53条对行业自律组织作出
了相关规定:“国家鼓励其他个人信息处理者在自愿的基础上成立行
业自律组织,并创造条件,逐步向行业自律组织转移政府职能。行业自律组织的设立条件和要求,由国务院信息资源主管部门具体规定。行业自律组织成立后,应在政府信息资源主管部门进行登记,接受政府信息资源主管部门的指导和监督。”这表明我国顺应市场经济发展趋势,按照“大市场,小政府”的理念,让市场来主要作用。但是,由于行业自律模式本身存在的缺陷,如:投诉和争端解决机制不完善、缺乏强制力、普遍性不足而使得很多企业游离于自律组织之外,实效不理想等等,所以,行业自律,并不是完全放任自流。如美国,虽然实行的是以行业自律为主、政府干预为辅的个人信息保护策略。实际上,政府部门对个人信息保护问题的干预无处不在,20世纪90年代,克林顿政府通过一系列政府报告和白皮书,为行业自律提供行政指导和服务。这就是说我国的行业自律机制,也必须是在政府指导监督之下建立。
但是行业自律组织在监督行业信息处理的作用方面还是不可忽视的。它通过为本行业收集、处理个人信息制定行为准则,推广本行业的执业可信度认证标志来约束行业的信息处理行为;它设立相关投诉处理机制,通过接受信息主体的投诉,监督行业信息处理。总之,就我国而言,行业自律机制是一种不可缺少的监督、协调机制。学者们也都主张我国岁采取立法主导模式,但同时也应建立相应的行业自律机制。
3.个人信息的行政法保护,离不开公众对政府机关和其他个人信息处理者的监督。虽然公众的监督不能对他们作出直接产生法律效力的监督行为,但是他可以通过一定的方法对政府机关、其他个人信息处理者的违法信息处理行为予以揭露、曝光,为有权国家机关的监督提供信息,同时,让他们接受舆论的监督。现代社会,舆论的力量不容小视。
例如,政府机关应根据所持有的个人信息,制作相关的个人信息文件登记薄(法律另有规定的除外)供公众查阅;政府信息资源主管部门对于其他个人信息处理者的许可申请作出许可决定的,应公告。其他个人信息处理者将许可事项制作个人信息文件登记薄,供公众查
阅。接受公众的监督。这只是公众监督的一个方面。实际上,公众对政府机关、其他个人信息处理者的监督应该是全过程、全方位的。
结语
个人信息的行政法保护,是在确立以保护个人信息自决权为中心的指导思想下,实现个人信息的有序流动。本文在分析欧盟和美国保护模式基础上,结合我国个人信息保护现状,指出我国应确立“以立法主导为主,同时辅助行业自律机制”的保护模式,在共同的个人信息保护原则规范下区分公共行政领域和私人领域的具体制度的体例。但无论是政府机关在公共领域还是其他个人信息处理者在私领域的信息处理行为,都必须区分可以公开的个人信息(主要是防止其被滥用)和不可以公开的涉及个人隐私的信息(主要是如何保护)。通过公开制度、行政许可制度、救济制度等相关制度的设计,从程序上规范信息使用者的处理行为。另外,除了基本原则、程序制度上的约束,还必须完善对他们的监督管理:各级政府信息资源主管部门统一对他们的信息处理实行监督。鉴于政府机关和个人信息处理者他们信息处理各自的领域,对政府机关还要受到行政法规范的约束,注意与《政府信息公开条例》的衔接制度;对其他个人信息处理者则辅助以行业自律机制;而接受公众的监督则可以使他们的信息处理置于“阳光之下”,也是必不可少的。