构建信息隐私权的体系化保护模式
2014-02-12王碧琴张宏静
●王碧琴,任 洁,乔 诚,张宏静
(南京邮电大学图书馆,南京210023)
构建信息隐私权的体系化保护模式
●王碧琴,任 洁,乔 诚,张宏静
(南京邮电大学图书馆,南京210023)
信息隐私权;技术保护;立法保护;行业自律
作为信息社会的一项重要人权,信息隐私权的保护是一个复杂而庞大的系统工程,需建立以技术保护为主,立法保护、行业自律保护、公民自我保护为补充的多重保护体系。
近年来,我国信息隐私安全问题层出不穷,但保护措施尚未健全,主要表现为单层面的技术手段及寥寥一些管理规定,只是零零散散地为信息隐私权保护提供了一定的技术支撑和法规依据,其位阶不高、效力不强,缺乏系统性。作为信息社会的一项重要人权,信息隐私权的保护是一个复杂而庞大的系统工程,需建立以技术保护为主,立法保护、行业自律保护、公民自我保护为补充的多重保护体系。
1 信息隐私权的技术保护
基于信息共享系统的信息隐私权保护,源于信息共享系统特有的多层结构体系,可从物理层、系统层、网络层、应用层分层采用适宜的保护技术,以此建立信息隐私权的多重技术保护体系。[1]
基于物理层的隐私信息保护,主要包括对物理环境和系统设备的保护,是隐私信息安全的基础保障,可通过保护系统运行的计算机网络设备、设施和相关媒体免遭自然灾害、人为破坏以及各种计算机犯罪行为所导致的破坏来实现。
基于系统层的隐私信息保护,主要包括对操作系统和数据库管理系统的保护,是隐私信息安全的核心保障。需保障服务器、终端、工作站等在内的计算机设备不受外界因素的影响,能在操作系统及数据库系统层面正常可靠地运行,可通过标识、鉴别和访问控制等关键技术来实施对操作系统的保护,尽可能地降低操作平台自身的脆弱性和漏洞所引发的风险,最大限度地阻塞非授权行为对操作系统的入侵。数据库管理系统是隐私信息的数据聚集处,对它的技术保护主要表现为三个方面:一是可设置特定的密钥对相关数据进行加密,避免被非法用户窃知隐私信息;二是采用访问控制策略来确保用户对数据库只能进行经过授权的有关操作,阻止非授权用户读取隐私信息;三是一旦系统发生故障而导致事务中断时,可利用运行时日志文件及原有的数据备份,恢复到系统中隐私信息原来的数据状态。
基于网络层的隐私信息保护,既要确保信息共享系统功能和服务的正常,也要保障所传输和交换隐私信息数据的保密性、完整性和可用性,其技术保护需要被动防御与主动防御相结合,是隐私信息安全的隔离保障。可通过防火墙、网络隔离等互为补充的防御措施,保护系统中隐私信息数据安全的同时,尽可能保障网络的互联互通,以便数据传输和信息共享的正常进行;还需使用基于网络的入侵检测技术对网络进行实时监控,实施对信息共享系统的动态防御和深度防御,为网络层的隐私信息安全提供良好的保障。
基于应用层的隐私信息保护,是对直接为用户提供各种业务处理的应用程序软件的保护,主要可从Web服务、电子邮件系统和病毒对系统的威胁三个方面来实施相关技术保护,是隐私信息安全的外围保障。
2 信息隐私权的立法保护
目前,为了扶持社会信息产业的发展,许多政策的预设都倾向于促进信息的自由流通,个人信息隐私权保护的价值难以在法律中得到体现。为了给信息共享营造良好的环境,我们不能一味地采取高标准的法律规制,但过于宽松的立法又不利于对信息隐私权的保护,也不利于社会公共利益。因此,信息隐私权的立法保护必须坚持利益平衡原则,即综合权衡社会公共利益和个人隐私权益。
信息隐私权的法律保护已成为国际立法的趋势,我国通过立法规制对信息隐私权予以有效保护亦势在必行。法律对所有人的信息隐私权范围都一视同仁地对待的话,机械地保护个人信息隐私权将会造成社会实质上的不公平。因此,信息隐私权拟应采取分类保护的法律对策,即针对不同对象群体的特性进行不同范围和程度的信息隐私保护。具体可分为政治公众人物的信息隐私权保护、社会公众人物的信息隐私权保护、未成年人的信息隐私权保护、上网人群的信息隐私权保护。
(1)政治公众人物即政府公职人员[2]作为自然人应该享有信息隐私权,然而鉴于这类主体对社会公共利益影响的特殊性,法律应该对其信息隐私权采取特殊保护,即在保护其核心隐私信息的基础上对其信息隐私范围给予适当限制,以维护公众知政权。政治公众人物信息隐私范围的限制应遵循人格尊严不受侵犯及公共利益优先的原则,并体现与其职务、职位的适应性。可通过建立健全财产申报制度、日常行为及个人背景公开制度来实施对政治公众人物信息隐私权的限制与保护,并逐步完善形成《公务员信息隐私限制与保护法》。
(2)社会公众人物即社会生活中广为人知的社会成员,在社会上享有较高的地位和声望,肩负着一定程度的社会责任,对社会各方面有着不可忽视的影响,其生活和工作都受到公众的广泛关注。在遵循人格尊严不受侵犯、公共利益优先及事业相关性原则的前提下,应对社会公众人物信息隐私权保护进行适当的法律限制,以维护公众知情权。可通过设置社会公众人物信息隐私权法律保护的例外、实施社会公众人物信息隐私权案件选择性公开开庭审理、建立社会公众人物隐私信息的曝光特许制度来实现对社会公众人物信息隐私权的限制与保护。[3]
(3)未成年人即18岁以下青少年,心智发育尚未成熟,自我防护能力较弱,法律应对其信息隐私权给予加强保护,以维护青少年的健康成长。可通过制定《未成年人信息隐私权保护法》,界定其信息隐私范围,明确其信息隐私权保护中国家、社会、家庭的多方责任,尤其是父母作为监护人在未成年人信息隐私权保护中承担的主要责任,同时要协调好未成年人信息隐私权与其监护人知情权的关系。
(4)上网人群即网民,在接受网络服务的同时其信息隐私安全可能存在一定程度的风险,可通过立法对上网人群的信息隐私权采取相应保护,以促进信息时代网络生活方式的健康发展。应尽快出台《网络个人信息保护法》,明确网络中各主体包括网络用户和网络服务者的权利和义务,建立网络个人信息的收集、利用等方面的规范,对网络个人信息隐私权侵权的救济与法律责任作出规定。
3 信息隐私权的行业自律保护
随着信息产业的迅速发展,信息业者自行制定行业行为规范或标准,表明其在信息隐私保护方面的立场、态度和措施,通过这些行为规范或标准来约束信息业者的行为,[4]从而保证信息隐私权主体的利益不受侵犯,即为信息隐私权的行业自律保护。在建立健全法律规制的同时,应积极倡导并推进信息隐私权的行业自律保护,以便创造一个良好的信息共享环境,有利于鼓励和促进信息产业的更好发展。信息隐私权行业自律保护机制可从加强政府组织的行政引导、发挥行业联盟的协调监督、完善行业自身的制度建设三方面加以构建。首先,政府应突显其对信息隐私权行业自律保护的引导、培育和规范,鼓励各行业制定出符合行业特点的自律标准和为大众认可的隐私保护规章,为实现信息隐私权保护和促进信息共享的平衡给予政策支持。其次,由相关行业的领袖企业或主导企业发起建立本行业内的联盟组织,该组织通过制定本行业信息隐私权自律保护的政策性指引和标准,如《互联网行业隐私权保护自律公约》《电子商务诚信公约》等,为行业内提供信息隐私权保护声明的样本,并对行业内信息隐私权保护制度建设进行认证和评估、对政策执行给予审查和监督。最后,企业应通过制定严格的信息隐私权保护制度保障企业内部的行业自律,以此形成双方互信,确保公民信息隐私权不受侵害。
4 信息隐私权的公民自我保护
作为信息隐私权的主体,公民的自我保护是信息隐私权保护体系中不可或缺的重要环节。首先,应强化公民的信息保护意识。在日常生活和工作中注意养成隐私信息保密习惯,不要轻易泄露包含隐私信息的数据资料,如身份证号码、电话、电子邮箱等。其次,需提升公民的信息保护素养。针对个人信息隐私安全,能主动关注相关信息行业的信息隐私权保护政策及其行业自律情况,可自行采取一些常规的技术保护手段,并知法懂法,学会用法律保护个人信息隐私权。
[1]薛惠锋,等.信息安全系统工程[M].北京:国防工业出版社,2008:28-32.
[2]王利明.人格权法研究[M].北京:中国人民大学出版社,2005:242.
[3]梁群.浅谈公众人物隐私权的法律保护[J].学理论,2011(14):115-116.
[4]徐敬宏.我国网络隐私权的行业自律保护:现状、问题与对策[J].图书与情报,2009,(5):80-83.
D923
A
1005-8214(2014)01-0025-02
王碧琴(1966-),女,副研究馆员,南京邮电大学图书馆、档案馆党总支书记;任洁(1965-),女,南京邮电大学副教授;乔诚(1981-),男,南京邮电大学图书馆馆员;张宏静(1981-),男,南京邮电大学图书馆馆员。
2013-12-25[责任编辑]王岗
本文系江苏省社会科学基金项目“信息隐私权保护的技术手段及法律对策研究”(课题编号为09TQB007)研究成果之一。