杨亚丽

(河南检察职业学院教务处,郑州 451191)

日新月异的新科技正在蚕食着我们的隐私。越来越多的人在网上暴露自己或者别人的信息,其中不少是私人性质的信息和数据——邮件、即时聊天、搜索关键词、买过的东西、写过的文字、贴过的照片、下载过的视频、加过的朋友……无论走到哪里,都会留下数字足迹,所做的每一件事情,都会留下交易记录。无论你是谁,你都可能在信息公路上“裸奔”多年而不知。信息社会的发展、科学技术的进步,给人们带来了生活的便捷、交易的便利和信息获取渠道的广泛,然而,与此同时出现的却是公民个人信息被非法收集、披露、利用、转让、修改的日益普遍。

当前,个人信息泄露问题非常严重,个人信息泄露危害无处不在,你在清理手机收件箱的时候,可能有上百条未读短信,全部是垃圾短信,内容从婴幼儿教育、商场打折、外语培训到房屋买卖……保单还没到期就有人提前打电话推销车险了,刚拿到新房钥匙就有人上门推销装修项目,包括姓名、职业、电话、家庭住址等在内的个人信息资料被公然暴露在世人面前。一家社会调查中心的调查结果表明,电信机构、招聘网站和猎头公司、各类中介机构,被公众列为泄露个人信息的“罪魁祸首”。其中,通讯公司更是成为众矢之的。为了遏制上述现象,必须加强个人信息有关问题的研究。在我国学界,个人信息的内涵与外延、个人信息保护的方法等基本理论问题尚缺乏统一的认识。本文将针对个人信息法律保护的基本问题及法律保护路径做简要分析。

一、个人信息的界定及其法律属性

(一)个人信息的界定

从学者界定来看,对个人信息概念的界定有三种类型:(1)隐私型定义。此定义将个人信息限定在与人格尊严有关的隐私方面。(2)关联型定义。该定义将将所有与个人有关的信息作为个人信息的保护范围。(3)识别型定义,该定义以“识别”为要素。即认为个人信息是指个人姓名、住址、出生日期、身份证号码、医疗、人事记录、照片等单独或与其他信息对照可以识别特定的个人的信息。笔者认为,识别型定义是一个宽窄适度的概念。

(二)个人信息权利的属性

目前,对于个人信息权的性质有隐私权说、所有权说、人格权说等等。隐私权说认为,个人信息是一种隐私利益,个人信息的保护应当采取隐私权的保护模式。隐私的范围小于个人信息的范围。笔者认为,隐私权说缩小了对个人信息的保护范围,不宜采纳。所有权说认为,个人信息是一种财产利益,对个人信息应采取所有权的保护方式。笔者认为,个人信息不仅具有财产利益内容,还有人格、隐私等利益内容,而且如肖像权等权利虽兼具财产利益,但并不由所有权保护方式来调整。人格权说认为,个人信息是关于人格形成和发展的资料数据,所体现的是自然人的人格利益,个人信息的收集、处理和利用直接关系到信息主体的人格尊严。笔者认为,个人信息权具有人格权与财产权的双重属性,不能简单地将其归之于人格权性质或者所有权性质,个人信息权应当是一种独立的权利。因为:其一,个人信息权不仅具有财产利益,同时也具有人格、隐私等利益内容。其二,人格权与人身密不可分,是不可以转让的,而个人信息不同于人格权,是可以进行转让的。在市场经济下,个人信息的商业运用还将成为个人信息权的主要实现途径之一。其三,从权利内容上看,人格权不直接表现为财产利益,而个人信息权的行使往往是为实现直接或间接的财产利益。此外,个人信息权还形成了自己独有的权利内容。因此,个人信息权应当是一种新型独立的权利,需要特别的个人信息立法予以确定和保护。

二、我国个人信息法律保护现状

由于信息产业、科学技术、社会观念以及立法规划等方面的原因,我国很长一段时间以来没有认识到保护个人信息的重要性,因此直到目前为止,我国还没有制定专门的个人信息保护方面的法律。关于个人信息保护的条文散见于行政法、民法、刑法当中。

(一)个人信息保护在行政法律法规以及部门规章中的体现

1.行政法律。如《中华人民共和国身份证法》和《中华人民共和国护照法》中直接规定了“个人信息”的保护问题。

2.在全国范围内具有规范效力的行政法规、部门规章中有如下几项:(1)《互联网电子公告服务管理规定》(信息产业部 2000年 10月 8日通过,同日起施行)。(2)《个人信用信息基础数据库管理暂行办法》(中国人民银行 2005年 6月 16日通过,2005年 10月 1日起施行)。这是有关个人信用信息管理及保护的专门性部门规章。该办法开创了我国特殊领域的个人信息保护立法,是我国个人信息保护立法史上的一座里程碑。另外,中共中央办公厅、国务院办公厅共同印发了《2006—2020年国家信息化发展战略》。这些规定都涉及到了个人信息的保护问题,但大多是原则性的规定。

(二)在司法解释和地方性法规中的体现

《最高人民法院、最高人民检察院关于切实保障司法人员依法履行职务的紧急通知》(2005年 8月 25日颁布,同日起施行)。该《通知》第六条规定了司法人员负有保密的义务。另外,少数地方性法规中,也偶有涉及个人信息保护的直接规定,例如2003年修订的《北京市未成年人保护条例》第四十九条规定:“……任何组织和个人未经未成年人的监护人同意,不得在互联网上收集、使用、公布未成年人的个人信息。”2003年 12月 23日上海市通过了个人信用信息方面的地方性法规——《上海市个人信用征信管理试行办法》,对个人信用信息的采集、处理、提供等作了较为详细的规定。

目前,我国正在草拟《个人信息保护法》,相信不久的将来会出台。

(三)在民法中的体现

在民法中,间接体现了对个人信息的保护。《民法通则》第五条规定是个人信息受民法保护的基本依据,第九十九条规定是对个人信息中个人人格权保护的依据,第一百条规定是对个人信息中肖像权保护的依据,第一百零一条规定可以看做是对个人信息中名誉权的保护依据。在我国,《侵权责任法》(2009年 12月 26日颁布,2010年 7月 1日起施行)是一部民事特别法,该法对侵权责任形式及责任构成等都作了较为详尽的规定。在该法中,主要对网络用户 (包括个人终端用户)、ISP对个人信息的侵权做出了明确的规定,进一步限定了 ISP的“避风港”,对“人肉搜索”“晒工资”“秀照片”等网络侵权事件的合法有效处理提供了基本法律依据。但规定的不全面,很多是原则性的规定,操作性不强。

(四)其他部门法及地方性法规、规章中对个人信息的保护规定

1.在妇女儿童个人信息的特殊保护方面涉及如下法律:《未成年人保护法》(1991年)、《妇女权益保护法》(1992年)和《母婴保护法》(1994年),这些法律规定了人格尊严、个人隐私以及保密义务。

2.在个人通讯信息方面,有如下法律法规涉及到个人信息的保护:《全国人民代表大会常务委员会关于维护互联网安全的决定》(2000年)、《邮政法》(1986年)、《互联网安全保护技术措施规定》(2005年)。这些法律法规涉及到了对邮件的保密及电子邮件的保密,禁止对他人电子邮件或数据资料非法截获、篡改、删除;规定了邮政企业和邮政工作人员不得泄露用户使用邮政业务的情况;规定了互联网服务提供者、互联网使用单位的保密义务

3.在个人医疗信息方面涉及个人信息保护的法律法规如下:《医疗事故处理条例》(2002年)规定了医疗机构要尊重患者的隐私;《传染病防治法》(2004年)规定,禁止故意泄露涉及个人隐私的有关信息、资料;《医疗机构病历管理规定》(2002年)规定,不得擅自查阅患者的病历;《执业医师法》(1999年)、《关于对艾滋病病毒感染者和艾滋病病人的管理意见》(1995年)规定了医生不得披露治疗中获得的健康信息,不得向无关人员泄露有关信息。

4.在律师执业方面涉及个人信息保护的法律规范如下:《律师执业行为规范》(2004年)、《律师法》(2001年),规定了律师应当维护委托人的个人隐私。

5.在个人金融信息方面:《个人存款账户实名制规定》规定,金融机构不得向任何单位或者个人提供有关个人存款账户的情况,除非法律法规另有规定;《商业银行法》规定了商业银行应当为存款人保密。

6.在档案信息方面,《档案法》规定了有关单位和个人有保护档案信息的义务。

(五)在刑法中的体现

2009年 2月 28日,全国人大常委会通过的《中华人民共和国刑法修正案 (七)》第七条规定了“出售、非法提供公民个人信息罪”“非法获取公民个人信息罪”两项新罪名,为我们采用刑法手段保护个人信息提供了有力的法律武器。

从上述内容可以看出,我国的个人信息法律保护还存在很多问题。一是就个人信息的法律保护而言,重“行政管理”“刑事处罚”,轻民法保护,从而导致个人信息遭受侵害后,即使侵权行为人最终遭到行政处罚或刑事处罚,信息主体的财产及非财产损失却得不到任何补偿;二是就法律的适用范围而言,保护个人信息的法律条款数量非常有限、适用范围相对狭窄,没有专门的针对所有信息控制人均适用的统一的个人信息保护法;三是大部分规定缺乏可操作性,许多条款仅仅原则性的规定了主体对个人信息的保密义务,却没有规定违背该义务的后果;四是现有规定缺乏体系上的联系性,不利于法律的统一适用;五是大部分条款通常仅对个人信息保护做出了原则上的规定,未能揭示个人信息保护的立法理由、信息主体的权利、个人信息保护的基本原则、个人信息收集、处理、利用及传递的规则、个人信息保护的执行机制及监督机制等个人信息保护法应当具备的内容;六是就刑法的保护而言,犯罪主体过于宽泛,“情节严重”没有具体可操作的标准。

三、我国个人信息保护法律的路径

如前所述,我国的个人信息法律保护重行政管理,从我国《个人信息保护法》专家建议稿的内容来看,特别是从第四章“法律的实施保障与救济”、第五章“法律责任”来看,该稿侧重于从行政法角度对个人信息加以保护。前述可知,个人信息权兼具有人格权和财产权性质,民法是保护人格权及财产权的重要的部门法,而我国的民法对个人信息权的救济及责任归属没有直接的规定,有必要完善我国民法,使个人信息保护更全面。同时,《刑法修正案(七)》中对个人信息的规定也存在着弊端,需要完善。基于此,笔者主要从个人信息的民法保护及刑法保护略陈管见。

(一)我国个人信息的民法保护路径

综观我国目前民事立法,对于个人信息的保护仍存在不足,主要表现为:从现有条文看,民法对个人信息能够提供的保护主要是事后保护,缺乏事前保护;事后保护主要体现为侵权责任,形式单一。总体来说,民法对个人信息缺乏系统保护,只能从零散的法律规定中寻找依据。笔者认为应该从以下几个方面完善民法中的个人信息保护。

1.在民事立法中,应当明确规定个人信息及个人信息权

在我国的《民法通则》、《侵权责任法》中没有明文规定个人信息及个人信息权,而是把部分归于隐私权的个人信息,通过名誉权的方式进行保护。但隐私只是个人信息的一部分,而个人信息权还兼有财产权性质,只保护隐私权及名誉权显然满足不了实践的需要。当今是一个信息化的社会,个人信息保护问题日渐引起人们的重视。就民事立法方面:建议在制订我国民法典时,把个人信息权及其内容明确规定下来。应当明确规定个人信息的采集、使用、公开和查询的条件,保护的内容,个人信息提供方、使用方的权利义务、个人信息的使用限制等内容。

2.个人信息保护范围应该进一步扩大

目前我国民法对个人信息的保护范围仅仅涉及个人信息中的一部分,主要是隐私权、姓名权、肖像权等具体人格权,至于其他具有商业价值的个人信息,包括电子邮件地址、手机号码、教育信息、个人负债、个人背景等个人信息,我国目前的民法没有明确的承认或者认可。所以,我国个人信息权的保护范围应扩展到对其他具有财产属性或有商业价值的个人信息,如电子邮件地址、教育信息、消费习惯、手机号码等进行保护。

3.注重对个人信息的事前保护

民法对个人信息保护的路径应当包括事前保护与事后保护,其中事前保护以确立个人信息权为基础,根据个人信息权的人格权和财产权双重属性,赋予信息主体合适的权能,防止个人信息被非法收集、利用和买卖。

4.明确规定侵权责任和违约责任

确立了个人信息权的权能之后,还必须规定个人信息的责任救济制度。对于侵权责任,有必要进一步明确侵犯个人信息权责任的构成要件、规则原则及责任承担方式。此外,有必要引入违约责任,原因在于个人信息权包含权利主体对权利的处分,倘若权利人合法转让或以其他方式处分个人信息并与受让人形成合同关系时,若转让人、受让人存在违约,即可通过违约责任的方式使权利人得到救济。

(二)我国个人信息的刑法保护的完善

《刑法修正案 (七)》规定了“出售、非法提供公民个人信息罪”“非法获取公民个人信息罪”两项新罪名,但有许多疏漏之处,需要完善。

1.两罪的主体需要进一步扩展

出售、非法提供公民个人信息罪的犯罪主体是特殊主体,是指国家机关或者金融、电信、交通、教育、医疗等单位本身以及单位的工作人员 (自然人)。国家机关是指国家权力机关、行政机关、司法机关、军事机关以及依照法律授权的企事业组织;金融单位是指从事金融活动的机构和金融部门 (商业银行、政策性银行、证券公司、财务公司、保险公司、信托投资公司、农村信用合作社等其他金融机构);电信单位是指电信部门及其营业机构 (中国移动、中国联通、中国电信、中国卫通及其营业机构);交通单位是指从事旅客和货物运输的部门和单位 (各级铁路局、站、公司,公路运输公司,水上运输公司,海上运输公司,航空运输公司及其各级营业机构);教育单位是指各级各类学校或培训机构(民办或公办的教育机构、青少年活动中心、阅览室、图书馆等承担教育职能的教育机构);医疗单位是指依据《医疗机构管理条例》和《医疗机构管理条例实施细则》规定,经依法登记取得《医疗机构执业许可证》的单位组织。笔者认为,这种罪的主体还应包括其他单位的工作人员。因为现实生活中,能够掌握公民个人信息的单位越来越多,比如汽车销售公司、美容美发企业、商场、房地产中介、网络公司等单位,也掌握了大量的个人信息资料,这些单位及其工作人员也同样存在侵害公民个人信息安全的可能,所以这种犯罪的主体应该更宽泛一些,应该包括大量掌握个人信息资料的单位和人员。

2.罪状不够严谨

《刑法修正案 (七)》中新增加的第二百五十三条之一,列举了出售与非法提供这两种情形,笔者认为出售是非法提供的情形之一,两者在逻辑上有被包含与包含的关系,并不是并列或者处于相同层级的关系。非法提供足以包含出售,无需单列出售。

3.情节严重不具有可操作性

《刑法修正案 (七)》规定的罪名,罪与非罪的界限是情节严重,但到底什么是情节严重,没有规定。笔者认为,应该从以下几个方面理解:(1)非法获利的多少。侵犯个人信息的行为人通过非法行为获利的多少,是衡量个人信息犯罪情节是否严重的一个重要标准。这里的非法获利情况应指侵犯个人信息的行为人直接获利的情况。(2)涉案信息的数量的大小。涉案信息的数量的多少能比较直观地反映侵害公民个人信息的严重程度,所以以信息数量作为情节严重的标准比较直接。(3)行政处罚情况。可以规定,行为人受到行政处罚两次以上又实施上述行为之一的,视为情节严重。(4)是否造成严重后果。出售、非法提供、非法获取公民个人信息造成恶劣影响或者严重后果的,属于情节严重。比如对公民造成较为严重的精神损害的;严重影响公民正常生活的;造成公民自伤、自残、自杀的;在社会上造成较为恶劣影响的;给公民造成较大的经济损失的。(5)是否用于违法犯罪活动。行为人非法获取公民个人信息以后,用于违法犯罪活动的应当属于情节严重。比如,获取了公民的手机信息后,进行敲诈,就是用于违法活动,属于情节严重的情形。

[1]陈起行.信息隐私权法理探讨:以美国法为中心 [J].政大法律评论,2000(64):395.

[2]周汉华.个人信息保护法 (专家建议稿)及立法研究报告[M].北京:法律出版社,2006.

[3]张靖任.个人信息权初探 [J].新疆社科论坛,2006(1):30.