大数据时代公民的信息保护与立法
2016-03-06曾钰诚
曾钰诚
(广西民族大学 法学院,广西 南宁 530006)
大数据时代公民的信息保护与立法
曾钰诚
(广西民族大学 法学院,广西 南宁 530006)
[摘要]我国政府数据存取面临政府数据存取违法成本较低、政府对数据存取监管不力、公民对个人数据信息的保护意识缺乏、相关法律制度不完善等问题,可能导致对公民的隐私权、知情权和所有权的侵害。要有效解决这一问题,需从以下几方面着力:创新监管机制;提升公民个人数据信息保护的意识;建立民事、刑事救济机制;完善相关法律制度。
[关键词]政府数据存取;公民基本权利;冲突;解决
随着通讯网络与大数据科技的发展,人们的生活方式已经高度网络化和数据化,一个信息高度密集、数据交换频繁、信息网络高度发达的时代到来了,数据共享成为人们生活的主要方式之一。人们在享受数据时代所带来的便捷、快速和高效的同时,也正面临由此引发的种种危机,其中数据安全问题最为典型。政府在行使自身权力存取公民个人数据信息时,由于收集的普遍性和手段的隐蔽化等因素,对公民基本权利存在侵害的可能。
一政府数据存取概念的提出与界定
政府数据存取也称政府数据访问或政府数据获取,最早是由Francoise Gilbert在《揭秘爱国者法案:云计算的影响》一书中提出,指政府机构在履行其职责的过程中访问及获取相关数据的活动[1]。该定义仅将政府数据存取的行为限制性地解释为访问与获取相关数据信息的活动。但实际上政府对数据的存取还包括分析、存储和销毁数据的活动。因此,对于政府数据存取行为应该作宏观上的理解,即访问、收集、分析、储存与销毁等一系列行为的统称。对于有存取数据权的政府职能部门范围的界定,一般认为,包括所有基于执法和维护国家安全目的的各类执法机关和其他政府机构[2]。根据这一理解,拥有数据存取权的“政府”职能部门的范围,只包括狭义上的行政机关与依据法律规定或者查明案情履行职责需要的司法机关。公民的数据信息主要涉及到公民隐私的基本个人信息,比如就业、医疗、工资待遇、个人的爱好与身份信息等内容。显然,这一界定缩小了有存取数据权的政府职能部门的范围。
综上所述,我们认为政府数据存取是指行政机关或司法机关基于法律的规定,因职责、维护国家安全和社会公共利益的需要,对某一特定的对象或不特定的多数人的数据信息采用相关的专业技术手段进行访问、获取、分析、存储和销毁等一系列活动。
二我国政府数据存取中的法律困境
政府存取数据的主要目的是维护国家利益和社会公共秩序。这一点,在我国的刑事侦查、审判领域体现得尤其明显。但是政府存取公民数据信息的行为仍然存在许多问题。
(一)政府数据存取违法成本较低
政府和公民的关系按照行政法来定义是管理与被管理的关系,这就意味着公权力机关和公民之间不是一种平等的关系,政府机关在收集公民数据信息时很容易导致公民基本权利被侵害。侵害结果发生以后,公民大多会选择通过行政复议或行政诉讼的方式维权。但最终的处理结果一般是,对相关责任人给予行政记过处分;给权利人造成比较严重损失的,可以申请国家赔偿;构成犯罪的依法追究刑事责任。但是追究刑事责任的情形非常少,只有在国家机关工作人员的履职过程中,出售或者非法提供公民个人信息给他人情节严重的,或者是公民出售他人信息数据情节严重的,才可能追究行为人的刑事责任。目前,司法实践中主要通过行政救济的方式解决出现的问题。现有的责任体系和救济制度对违法存取公民数据信息的行为起不到震慑作用。当个人数据权利受到政府侵害时,公民不能及时维权。
(二)政府对数据存取的监管不力
数据安全是网络化和数据化时代的核心问题。如果政府获取的数据因保管不善或者政府内部人员非法行为而导致数据信息外流,不仅会严重损害公民的合法权益,而且还可能会影响到社会的稳定。但是目前并没有一个专门性、专业性的机构对于政府数据的存取行为进行有效地监督。2014年,铁道部旗下的12306火车票订票官方网站的大量用户数据信息被泄露,网上随处可查购票旅客信息[3]。政府基于特定需要而获取相关公民的个人数据,但是获取的这些数据如不能得到很好的存储和使用,一旦泄露被非法使用,不仅会对公民的生活和工作造成极大的困扰,还会威胁到国家数据信息的安全。这些问题的出现主要原因在于我国既缺乏完善的数据存取的监管法律体系,也没有设立专门对政府数据存取进行监督的机构。
(三)公民对个人数据信息的保护意识缺乏
我国公民对个人数据信息保护的意识不足。例如,现在网民都喜欢网购,在拿到快递包裹后,只将自己所购货物取走而把包装盒随意丢弃进垃圾桶,而包装盒上写有公民个人信息的快递单并没有经过任何的处理。这就埋下了个人数据信息泄露的隐患。政府在存取公民数据信息时,公民也并未对该行为予以足够的警惕。相比之下,美国民众的数据保护意识就要强得多。比如在“9·11”恐怖袭击发生后,美国小布什政府以国家安全受到威胁为理由,强推国会颁布《爱国者法案》,该法案赋予美国警察和相关职能部门更大收集和分析公民个人相关数据的权力。由于该项法案涉及到美国公民的隐私权,遭到美国一些社会团体的强烈抵制和抗议。某些地方民众还自发组织示威游行,抗议《爱国者法案》在国会获得通过。最后,美国政府迫于国内压力于2013年8月9日宣布对《爱国者法案》中授予政府收集公民数据信息权的第215条进行改革,提高获取相关数据信息的透明度,并加强监管。
(四)相关法律制度不完善
政府有权获取公民相关数据的法律依据零散地分布在《国家安全法》《人民警察法》《刑事诉讼法》等法律规范之中,但是这些规定都不够明确。如《刑事诉讼法》第141条规定:“侦查机关认为需要扣押犯罪嫌疑人的邮件、电报的时候,经公安机关或者人民检察院批准,即可通知邮电机关将有关的邮件、电报检交扣押。”这里的“经公安机关或人民检察院批准”,是指同级公安机关或检察机关的批准还是上一级抑或是上级机关的批准,获得有关机关批准的法定程序到底是什么,谁该对侦查机关的扣押行为进行监督,谁又该对扣押期间的数据安全负责,都没有明确的规定,所以《刑事诉讼法》第141条并不具有操作性。程序性规范的不完善可能导致法律赋予政府机关获取公民数据信息的权力得不到“善意”的行使。
三政府数据存取与公民基本权利的冲突
公民的基本权利是从宪法中引申出来的,具体包括7大类权利:平等权、政治权利、宗教信仰自由、人身权利、批评建议权、社会经济权利和文化教育权[4]。这些权利都是宪法予以确认和保护的,其中人身权利又具体分为人格权和身份权。宪法作为“母法”具有最高的法律效力,任何法律和法规都不得与宪法的规定相冲突,不得与宪法的精神相违背。政府数据存取的行为虽然是基于法律规定、国家利益和社会公共利益的需要,但是难免会在数据存取过程中与公民的基本权利特别是与人格权相冲突,侵害公民的合法利益。
(一)政府数据存取与公民隐私权的冲突
公民隐私权是公民基本权利的有机组成部分,它包括个人信息的保密权、个人生活不受干扰权和私人事务决定权[5]。隐私与公民个人数据信息并不是等同的,两者存在交叉的关系,而交叉的范围就是个人数据信息不被公开、保密的部分。这一部分正是政府存取数据信息与公民隐私权保护的冲突所在。政府收集和存取的数据客体主要是公民的个人信息和数据。这就出现了一个问题,如何在保护公民的隐私权和国家机关基于特定目的对公民数据信息进行存取之间寻求利益的平衡。公民的隐私权是人身权的一部分,是宪法赋予每个公民的基本权利,任何国家机关和个人都不得随意剥夺和侵害。但是公民享有的权利并不是绝对的,当一个人违法犯罪的时候,基于维护国家利益和社会公共秩序的需要,犯罪人的某一部分权利的行使将会被限制。因为《刑事诉讼法》立法的目的是惩罚犯罪与保障人权,这两者是并重关系,限制部分权利和保障人权本身也并不存在矛盾。如《刑事诉讼法》第148条规定:“公安机关在立案后,对于危害国家安全、恐怖活动犯罪、黑社会性质的组织犯罪、重大毒品犯罪或其他严重危害社会的犯罪案件,根据侦查犯罪的需要,经过严格的批准手续,可以采取技术侦查措施。”技术侦查措施主要是公安机关或者司法机关通过专业技术手段对于特定对象的数据信息进行获取、分析和存储的一系列活动。虽然基于维护国家利益和社会公共利益的需要,国家机关可以对公民的相关个人数据信息进行存取,但如果相关概念的界定不明确或者相关程序不合法,就可能给政府侵害公民的合法权利留下空间。
(二)政府数据存取与公民知情权的冲突
《刑事诉讼法》和《国家安全法》都规定在面对国家安全受到严重威胁、社会公共利益受到侵害、严重犯罪等特殊情况下,法律赋予相关国家机关获取公民数据信息的权力。但是公民对其个人数据信息享有所有权,公民有权力决定其数据信息是否可以被收集或者以何种方式收集。公民也有权知道其相关数据被用于何处,政府也有义务告知被收集人获取相关个人数据信息的目的和用途。这就涉及到公民知情权的保护问题。公民的知情权是指:“一个人有权知道他应知道的东西。”[6]但是现阶段很多情况下政府对公民的个人数据信息获取,从数据的收集、分析再到数据的存储最后到数据的销毁都是秘密地进行的。政府获取公民的数据是有针对性的目的的,比如刑事侦查的需要、调查取证的需要、社会管理的需要等,通过数据的收集能够快速达到既定目标,节约成本资源。但是不排除存在基于个人利益的需要,滥用权力非法获取个人数据并加以利用或者转卖公民个人数据信息而牟利的情形。我们国家没有相关规定规范这一行为,也没有相关国家机关对于政府存取数据信息的权力进行监督。这就很容易导致政府权力的滥用。
(三)政府数据存取与公民所有权的冲突
个人的数据信息属于公民虚拟财产的有机组成部分。虚拟财产是指合法存在并以某种无形方式体现,具有财产属性和价值的财产。虚拟财产所涉及的范围很广泛,只要是数字化的、非物化的财产形式都可以纳入虚拟财产的范畴之中[7]。
数据信息属于个人私有财产,公民对其享有所有权,即公民对自己的数据行使占有、使用、收益和处分的权利不受到干涉。政府获取公民的数据信息未经权利人同意就构成了对权利人所有权的侵犯。但是任何数据信息的存取都要经过公民本人的同意也是不现实的。国家获取相关公民个人数据信息一般都是出于正当的目的,是为了维护国家利益和社会公共秩序。如果任何情况都必须征得公民本人同意,可能带来更为严重的后果。所以法律规定在特殊情况下收集公民数据信息不需要征得公民的同意。但是要严格依照法律的规定,只有法律明确规定的情形才可以不征得权利人同意,且实施需经过严格的批准程序。但是由于相关法律法规还不是十分完善,对于相关情形的规定不够明确,导致现实生活中政府随意获取公民数据的情况屡见不鲜。
四我国政府数据存取与公民基本权利冲突的解决路径
政府数据存取存在对公民基本权利侵害的冲突,我们必须采取相应的措施对政府的数据存取行为进行规制和监督,减少政府数据存取过程中的侵权和违法的风险。既确保政府相关职能得到切实的履行,又仅对公民基本权利产生较小的影响,从而维护公民的合法权益。
(一)创新监管机制
政府在存取公民数据的过程中侵害公民基本权利的问题日益凸显,很重要的原因在于监管模式的落后。现有的监管模式已经越来越不符合社会发展的潮流和需要。我国正处在网络化与数据化时代,人们之间的沟通与交流几乎都是通过数据信息的交换完成的,所以数据安全关系到每个公民基本权利能否得到切实保障的问题。
在数据化时代,随着行政行为的程序、方式和结果更多地暴露在阳光下,公民对政府数据存取行为的合法性与合理性产生越来越多的质疑[8]。目前,对于政府获取公民数据信息的监督是依靠政府内部的监督,缺乏透明度和可信度。现有的监管模式的弊端主要体现在,政府的相关职能部门对政府存取公民个人数据信息的行为进行监督,而监督的主体与政府之间是行政隶属的关系,所以最终的监督也只是形式上的监督,并没有真正对政府数据存取行为起到制约的作用。
这就需要建立独立于政府的第三方机构专门来监督政府数据存取的行为。这里说的独立主要指机构、资金和人员上的独立,即实质意义上的独立,而这个独立于政府的第三方机构的性质和作用类似于行业协会。行业协会是指为达到行业的共同利益目标组织起来的有会员参加的一种非营利性、非政府性和自律性的社团法人组织[9]。这个第三方机构独立于政府行政体系之外,这就能够保证其不受政府的干预独立行使职权。但是它又与行业协会存在细微的区别,即行业协会具有行业属性,是为了实现某一行业主体共同利益而组织起来的,这是该第三方机构所不具备的。资金上的独立是指专门性监督机构需要的运转资金不由地方财政负担,而应当列入国家财政专项预算,由国家财政直接拨付。人员上的独立性要求该第三方机构的组成人员中不应当有政府选任或委派的人员,不应当有国家工作人员身份和背景的人员。并且组成人员需具备相应的知识技能,从而满足专业性工作的需要。只有做到机构独立、人员独立和资金独立,才能够保证监督的公正透明,保证政府存取公民数据信息的行为始终符合法律规定和特定目的,从而维护公民的基本权利不受侵犯。
(二)提升对公民数据信息保护的意识
公民对个人数据信息的保护是公民维护自身权益的有机组成部分。公民对个人数据信息保护意识淡薄间接地导致政府在存取数据信息时违法成本降低与违法机率升高,最终对公民基本权利造成侵害。所以必须提升公民对个人数据信息保护的意识,从而对政府存取数据信息的行为起到制约作用。第一,加强舆论引导。发挥新闻媒体信息传播迅速和影响大的特点,通过报道相关侵犯公民个人数据信息的案例、视频直播法庭审理侵犯公民数据信息权益与数据信息安全的案件、邀请权威专家对案件进行分析和解读等一系列举措提升公民数据信息保护意识。第二,加强政策宣传。政府对于培养公民数据信息保护意识负有责任,而政府的相关举措应首先通过政策体现。政府应当通过政策宣传与政策引导相结合的方式,强化公民个人数据信息的风险防范与保护意识。
对于政府获取相关个人数据信息的行为,公民应保持高度的警惕性。应对政府存取个人数据信息的目的、用途以及从获取到销毁的整个过程予以监督,保证政府数据收集始终在阳光下进行,从而维护公民的合法权利。
(三)建立民事与刑事救济机制
政府存取公民数据信息过程中出现侵犯公民基本权利的情况,主要是因为政府的“侵权行为”受到法律追究的力度不够,不能对违法存取数据信息的行为产生震慑的作用。现有的对于政府违法存取公民个人信息数据行为的救济机制主要是依靠行政救济,即通过行政申诉、行政复议和行政诉讼的方式主张权利。《刑法》虽然规定有侵犯公民个人信息罪①,但是现实生活中这一罪名的适用概率较低,虽然现在侵害公民信息的行为非常普遍,但真正追究刑事责任的少之又少。为了解决这一问题,必须通过完善民事和刑事救济机制,发挥民事救济、行政救济与刑事救济联动效应,从而约束政府的行为。
在民事救济方面,对政府违法存取公民个人数据信息的,应当承担侵权损害赔偿责任。权利人可以要求侵权人停止侵害、恢复名誉、消除影响、赔礼道歉和赔偿损失。需注意的是,个人信息权属于人格权的内容之一,因而公民的个人数据信息遭受到政府非法收集时,有权要求加害人承担精神损害赔偿责任[10]。
《刑法修正案(七)》第7条第1款规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务的过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”但是由于规定的犯罪主体仅限于特殊主体,所以极少在司法实践中适用,造成“立而不用”的局面。2015年8月29日《刑法修正案(九)》对侵犯公民个人信息罪进行修订,将本罪犯罪主体由特殊主体修改为一般主体,并规定对特殊主体从重处罚。这里的特殊主体主要指有权获取公民数据信息的国家机关,包括国家行政机关与国家司法机关。对于政府滥用权力,违法获取公民个人信息出售或提供给他人的,从重处罚。侵犯公民个人信息罪的条款经过《刑法修正案(九)》的修订后,其实用性与操作性更强,对政府存取数据信息的行为产生了约束力,维护了公民的基本权利。但是《刑法修正案(九)》对于量刑的情节并没有进行细化,而是用“情节严重”“情节特别严重”等表述。在具体司法适用时没有明确的标准,应当出台司法解释对量刑的情节做出进一步的解释,便于法律的适用。
(四)完善法律制度
政府对于公民个人信息数据的存取有相关的法律依据,这些法律依据零散分布于《刑事诉讼法》、《国家安全法》和《人民警察法》等相关法律规范之中。因此,需要进一步完善相关的法律制度。
1.建立政府存取数据信息登记备案制度
政府存取公民的数据信息应当进行备案登记,防止滥用手中的权力随意地获取公民数据信息非法牟利,确保政府基于国家利益、社会公共利益和履行自身职权的需要依法存取公民的数据信息。这就需要对相关概念和程序进行明确,包括国家利益、社会公共利益的范围界定,政府存取公民数据信息的审批程序以及政府对于获取数据信息具体的使用情况。建立政府存取数据信息登记备案制度,有利于分清责任主体,方便权利人进行监督与维权;有利于严格存取程序,规范政府存取行为;有利于完善程序制度,保障公民基本权利。
2.建立政府个人信息使用补偿制度
公民对个人数据信息享有所有权,政府获取公民数据信息的行为必须经过权利人的同意。即便是政府基于国家利益、公共利益或履行职责的需要收集个人数据信息,也应给相关权利人予以补偿,并消除由此带来的不利影响。个人数据信息是公民个人私有财产,权利人有占有、使用、收益与处分的权利,而任何权利的行使都会为权利人带来价值。政府收集公民信息时,首先应该履行告知义务,以保证公民的知情权不受侵害。政府在存取公民数据信息过程中,应当保证公民对其个人信息数据被收集进行查询的权利、对违法或不当的行为提出异议与主张救济的权利[11]。无论政府出于何种目的,都应当给予数据信息所有权人予以补偿,并消除在存取数据信息过程中对公民所造成的消极影响。建立政府个人信息使用补偿制度,应当明确具体的补偿标准,即补偿的具体范围、补偿金的数额,补偿审批程序也应当予以具体规定,避免留下操作空间。
3.出台《个人信息保护法》
政府施政制度的安排与运行及相应的政府权力运行规则,都应贯彻以人为本的理念,为人的生存与发展提供优质全面的服务,建构高效、稳定、安全的社会秩序[12]。虽然我国将数据信息纳入人格权范围进行调整,但是随着经济社会高速发展,网络化和数据化已经深刻地影响着人们的生活,个人数据信息的价值与地位日益突显。现阶段我国对数据信息保护的法律手段略显不足,单一的将个人数据信息纳入人格权范围的调整已经不能满足社会发展需要。将政府存取数据信息的行为纳入法律的调整范围已刻不容缓,这就需要制定一部《个人信息保护法》对个人数据信息进行全面统一地保护。
国外很早就通过立法或判例的形式保护公民的个人数据信息,例如德国联邦宪法法院在1983年的“人口普查法案”指出,“资料自决权”的法律依据是宪法第1项第1条的“人性尊严”与第2项第1条规定的“人格自由发展”[13]。欧盟为了形成一致的个人信息保护机制,限制各成员国以缺乏相关的信息立法为由阻止个人数据信息向这些成员国自由流动,出台了《个人数据保护指令》,同时强调个人信息保护的人权意义[14]。
现阶段我国完全具备制定《个人信息保护法》的物质基础和理论准备,相关专家、学者的立法建议稿已经出版,如齐爱民起草的《中华人民共和国个人信息保护法示范法草案学者建议稿》、周汉华起草的《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》等,但是《中华人民共和国个人信息保护法》却因种种原因迟迟没有出台。所以现在的首要任务是推动《中华人民共和国个人信息保护法》尽早出台,填补立法空白。
注释:
①《刑法》第253条规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”
参考文献:
[1]GILBERT F.Demystifying the Patriot Act:cloud computing impact[J].Tech Target,2012:5-15.
[2]马宁.云环境下政府数据存取的法律困境及应对[J].暨南学报,2014(1):54-56.
[3]网易数读.数据泄露:政府、金融、零售网站最危险[EB/OL].[2015-11-23].http://j.news.163.com/docs/10/2014122602/AEC0E2L49001E2L5.html.
[4]蒋碧昆.宪法学:第6版[M].北京:中国政法大学出版社,2007:203-218.
[5]朱晓娟,戴志强.人身权法[M].北京:清华大学出版社,2006:149.
[6]汪习根.论知情权[J].法制与社会发展,2003(2):62-74.
[7]王勤.论虚拟财产的民法保护[D].武汉:华中师范大学法学院,2006.
[8]杨冬梅.大数据时代政府智慧治理面临的挑战及对策研究[J].理论探讨,2015(2):164.
[9]谢增福.行业协会功能研究[D].长沙:中南大学管理科学与工程学院,2008.
[10]刁胜先.个人信息网络侵权归责原则的比较研究:兼评我国侵权法相关规定[J].河北法学,2011(6):92-98.
[11]何培育.电子商务环境下个人信息安全危机与法律保护对策探析[J].河北法学,2014(8):40.
[12]王征国.论习近平的“三个依法”共同推进[J].邵阳学院学报:社会科学版,2014(6):22-34.
[13]陈灿祁.我国公民网络个人信息保护的困境与出路:兼评关于加强网络信息保护的决定[J].天府新论,2013(6):67-72.
[14]齐爱民.个人信息保护法研究[J].河北法学,2008(4):15-33.
(责任编校:舒阳晔)
Citizen Information in Age of Big Data:Protection and Legislation
ZENGYu-cheng
(School of Law, Guangxi University for Nationalities, Nanning 530006, China)
Abstract:Current situation of government data access in China is challenged by such problems as low cost of law violation, weak governmental supervision, citizens′ lack of protection consciousness for their personal information, and imperfect laws and regulations. These problems cause conflicts between government data access and the basic rights of citizens as they infringe the citizens′ right of privacy, right to be informed, and ownership of their personal information. To solve these problems, we need to innovate the supervision mechanism, promote people′s awareness of information protection, establish civil and criminal remedy mechanisms, and improve the laws and regulations in this field.
Key words:government data access; basic rights of citizens; conflict; solve
[收稿日期]2015-12-25.
[作者简介]曾钰诚(1991—),男,湖南长沙人,广西民族大学法学院在读硕士,研究方向:知识产权法。
[中图分类号]D922.1
[文献标志码]A
[文章编号]1673-0712(2016)02-0046-06
