摘 要:我国网络环境下个人信息行政法保护存在着立法不够系统、过于笼统甚至违反上位法的情形,缺乏统一的个人信息监管机构,监管方式单一、力度不够等不足。而域外许多国家都制定了个人信息保护立法,监管机构和监管手段卓有成效。 因此,我国应当尽快出台个人信息保护法,建立新的监管机构或机制,创新监管手段。
关键词:网络;个人信息;行政法;行政监管
随着我国互联网技术的迅猛发展, 网络环境下个人信息面临的威胁日益加大, 而目前我国对网络个人信息的民法和刑法保护主要是事后保护和个案保护,存在着保护的滞后性和片面性的弊端。 而行政法的保护则是一种事前和事后相结合的, 系统全面的保护途径。 行政权的权威性和效率性可以有效化解私人权利之间的矛盾,克服私人能力之不足,维护公共利益,限制行政权力, 保障行政相对人权益, 在360 与腾迅的3Q 大战和CSDN 网站用户信息泄露等事件的处理中都扮演了重要角色。 本文旨在分析我国网络环境下个人信息的行政法保护现状, 并在借鉴域外经验的基础上针对其不足提出相应对策。
一、我国网络环境下个人信息的行政法保护现状
(一)立法现状
我国当前尚没有一部个人信息保护的专门性立法,据统计,我国已出台与网络相关的法律、法规和规章共计两百多部。 其中涉及个人信息保护方面的法律有将近40 部, 法规有30 部, 另外还有一些地方性法规、部门规章及规范性文件[1] 。 包括:(1 )法律:如《统计法》、《妇女权益保障法》、《预防未成年人犯罪法》、《商业银行法》、《证券法》、《治安管理处罚法》等。 (2 )行政法规: 如 《计算机信息网络国际联网安全保护管理办法》、《政府信息公开条例》[2] 。 (3 )地方性法规:如《上海市消费者权益保护条例》、《广东省计算机信息系统安全保护条例》、《徐州市计算机信息系统安全保护条例》。(4 )部门规章:如《中华人民共和国计算机信息网络联网管理暂行规定实施办法》、《互联网电子公告服务管理规定》、《规范互联网信息服务市场秩序若干规定》。(5 )行政规范性文件:如《北京市微博客发展管理若干规定》。这些法律规范既适用于一般侵犯个人信息的情况,同时也适用于网络环境下侵犯个人信息的情况。
上述立法在保护个人信息方面主要存在三方面问题:
第一, 缺乏一部对于个人信息进行系统保护的立法。 上述立法一般只有一个或数个条文规定了对个人信息的保护,尚无一部立法对个人信息的收集、利用、公开、保护等各个环节所应遵循的原则、个人信息的监管机构、救济途径等进行全面规定,因此,保护力度十分有限。 例如,1999 年的《预防未成年人犯罪法》第45条第3 款规定,对未成年人犯罪案件,新闻报道、影视节目、公开出版物不得披露该未成年人的姓名、住所、照片及可能推断出该未成年人的资料。
第二, 现有的法律规定大多过于笼统, 缺乏操作性。我国法律对于个人信息的保护,绝大多数未界定何为“个人信息”,也未区分一般个人信息和敏感个人信息, 导致实践中对于何种信息能够收集和利用缺乏统一标准。 此外,绝大多数立法只是用了“应当”、“禁止”这样的表述来给法律关系主体设定了尊重和保护个人信息的义务,多数法律规范并未规定与违法行为相应的法律责任;或者即使规定了法律责任,也十分笼统,大多运用“依法予以行政处罚”的字样,但事实上,却往往难以找到处罚的真正法律依据,这就导致了在追究侵犯个人信息行为的法律责任时无法可依,侵犯个人信息泛滥局面无法得到有效遏制。 例如《北京市微博客发展管理若干规定》的最突出的特点是,规定了微博实名制,但却对有效实施微博实名制的重要保障—— — 个人信息保护问题只作了非常笼统的规定,即:开展微博客服务的网站应当建立健全用户信息安全管理制度,保障用户信息安全,严禁泄露用户信息,却没有规定具体的法律责任,这就使得微博实名制饱受社会各界诟病。第三, 一些法律规范存在违反上位法的情形。 例如,《徐州市计算机信息系统安全保护条例》第18 条第7 项规定, 任何单位或个人利用计算机信息系统提供或公开他人信息资料,只要“未经允许”即属违法,从而将归责要件确定为内容含糊不清的“未经允许”而非过错,这与作为上位法的《侵权责任法》第6 、7 条确立的过错责任原则相悖。 因此,依据该条例的规定,如果网络服务提供者、单位或个人,在提供或公开信息资料时未经允许,但却不存在过错时,也将成为违法行为,例如,配合公安机关调查刑事犯罪,为流行病学调查之需要,或善意地相信“寻人启事”而提供相关信息资料等,这显然从法理上是荒谬的。
此外,该条例关于处罚的规定与上位法《治安管理处罚法》相违背。首先,按照《治安管理处罚法》第25 条和第42 条的规定,对于“散布谣言……故意扰乱公共秩序的”行为以及“……散布他人信息的”行为,除了可以适用十日以下的拘留外, 对违反规定者的经济处罚不超过500 元,而《条例》第28 条对违犯者规定的处罚,除了包括“停止联网”之类的处罚外,对违犯者的经济处罚要远远高于《治安管理处罚法》对同一行为的处罚力度,为500 元以上、5000 元以下。 其次,《治安管理处罚法》第29 条规定对涉及计算机登记处系统的违法行为的处罚。如果实施了该条规定的违法行为,对违法者的处罚只限于10 日的行政拘留。 而按照 《条例》第28 条的规定,对与《治安管理处罚法》某些相同违法行为的处罚,除了可以依照《治安管理处罚法》予以处罚外,“对个人可以并处500 元以上5000 元以下罚款,对单位可以并处1元以上1 万元以下罚款;情节严重的,并可以给予6 个月内停止联网、停机整顿的处罚,必要时可以建议许可机构吊销经营许可证或者取消联网资格”。 这也是明显超越了上位法设定的种类。
(二)行政监管现状
除了立法之外, 行政监管对于网络环境下个人信息的保护至关重要, 而纵观我国对于个人信息的行政监管,呈现两方面特点。
1. 缺乏统一的个人信息监管机构
我国目前并无统一的个人信息监管机构。 目前对个人信息的监管是按照不同的领域, 根据不同行政机关的职权,分别由公安、工信、统计、金融、民政等机关分别进行的。 这种分散监管模式存在着诸多弊端:第一,监管标准和监管程序不统一, 由于没有统一的个人信息保护立法,各个行政机关各自为政,缺少协调一致,导致监管标准和程序各异,监管成本居高不下。第二,监管力度不足,个人信息泄露的监管往往涉及多个部门的职权, 仅靠一个监管机构显然力度不够。 第三,监管的公正性不足。 各行政机关各自为政,负责本行业的监管,行政机关与行业之间存在各种利益纠葛,难以保证执法的公正性。
2. 监管手段较为单一、力度不够
我国目前对于个人信息的监管手段较为单一,主要以行政处罚这样的强制性手段为主。 这种手段存在三方面问题:第一,目前侵犯网络个人信息行为的行政处罚的法律依据主要是部门规章,比如,工信部《规范互联网信息服务市场秩序若干规定》第18 条规定,互联网信息服务提供者违反本规定收集、 泄露个人信息的,由电信管理机构依据职权处以警告,可以并处1 万元以上3 万元以下的罚款,向社会公告。 而根据《行政处罚法》的规定,部门规章只能设定3 万元以下的罚款和警告的行政处罚,与侵犯网络个人信息的高收益相比,法律责任过轻,违法成本过低,导致了侵权行为屡禁不止。 第二,由于法律规定的不明确,不同法律规定的处罚标准不统一, 往往处罚在执行起来难度较大, 容易落空;第三, 行政处罚等强制性手段容易造成行政相对人的抵制,执法成本也很高。而实践证明,行政指导、行政奖励、行政调解等非强制性手段有利于节约执法成本,提升行政相对人的可接受度,收到和强制性手段相同甚至更好的效果, 应当得到我国相关监管机构的重视和广泛采用,柔性手段先行,刚柔相济,方能达到最佳效果[3] 。此外, 我国个人信息监管机构的权力以主动调查
和事后惩处为主, 立法并未明确赋予监管机构受理涉及个人信息的投诉以及对个人信息纠纷进行调解等权力,化解纠纷的机制不够健全。
二、域外网络环境下个人信息行政法保护的经验
(一)立法
据不完全统计, 世界上制定了个人信息保护法律的国家或地区已经超过50 个。 如欧盟《关于与个人数据处理相关的个人数据保护及此类数据自由流动的指令》、英国的《数据保护法》、美国的《隐私权法》和《儿童网络隐私保护法》、俄罗斯的《个人信息法》、我国香港地区的《个人资料(私隐)条例》和台湾地区的《电脑处理个人资料保护法》等等[4] 。 这些国家和地区的立法主要包括五个部分:概念界定;基本原则;监管机构;禁止行为;罚则。例如,日本的《个人信息保护法》包括:制定目的、基本理念、国家和地方公共团体的责任和义务、有关个人信息保护对策的规定、 个人信息处理事业者的义务、法律适用的例外、罚则等内容。 而基本原则是立法的核心内容。1980 年9 月23 日由经济合作与发展组织(OECD )发布的《隐私保护与个人数据信息国际流通的指针建议》 确定的八项原则为各国立法所普遍接受:(1 )限制收集原则:个人信息收集存在限制,获得信息的手段必须合法和公平,且须经资料所有者的知晓或同意。 (2 )完整正确原则:个人信息应当与使用目的有关,且确保完整、准确、有效。(3 )目的明确化原则:信息收集的目的应当在收集之前确定, 且使用应限制在目的范围内,或者不与该目的相冲突。 (4 )限制利用原则:除非信息所有者同意或授权,信息不得超出目的之外的被公开、利用和使用。(5 )安全保护原则:个人信息应当得到安全保护,防止丢失、毁损、使用、修改或公开。(6 )公开原则:应当存在个人信息的开发、实践和操作规则的公开政策,应提供现实可行的手段证明个人信息的存在和性质、 被使用的目的以及信息持有人的身份、地址。(7 )个人权利原则:个人有权对信息的收集和利用人提出确认的请求,可以对其正当性提出质疑,信息收集和利用人应以合理方式向个人通告与个人有关的信息。(8 )责任原则:信息保存者应遵循这些准则,否则应承担相应责任[5] 。
(二)行政监管
1.独立的个人信息监管机构模式
从世界范围来看, 独立的个人信息监管机构往往具有两个特点:
第一,独立性。 为确保个人信息监管机构独立、公正地行使职权,这些国家采取了相关措施:(1 )产生方式: 多数国家要求这些机构的个人信息保护专员由议会产生,如比利时、意大利、瑞士和葡萄牙;一些国家专员由司法部长选任,如丹麦和荷兰;一些国家由政府选任专员,如爱尔兰、英国和卢森堡[6] 。 此外,在人员组成上,各国也尽量保证该机构的成员具有广泛的代表性,如法国国家信息技术与自由委员会的成员由国家议会、经济与社会部、国家行政法院、最高法院和审计法院选任, 葡萄牙国家资料保护委员会由议会、 最高法院、最高检察院和政府各自选派成员组成,[7] 。(2 )禁止兼职: 不少国家要求个人信息监管机构专员不得担任其他职务或从事其他有报酬的工作, 如荷兰资料保护委员会主席及其成员不得从事其他与其在委员会的工作不符且未经司法部长批准的有报酬的工作[8] 。德国的联邦资料保护与信息自由专员不得担任其他有报酬的职位,或于官方职责之外从事任何有利益的活动或职业,不得隶属于营利性公司的管理和监督委员会或董事会,不得在联邦或州的政府和立法机关中任职,也不得以营利为目的,越权作出意见[9] 。 (3 )资源保障:为了确保独立性, 多数国家规定个人信息保护机构必须具有充分的人力、财力、物力资源。 有些国家还设立了资料保护咨询机构作为协助机构。 如西班牙设立了咨询委员会,由国会、政府、地方机构、学术机构、消费者和资料使用者的代表组成[10] 。
第二,职权广泛。 为有效开展工作,必须赋予个人信息监管机构广泛而实际的职权。一般而言,各国的个人信息监管机构的职权包括:(1 )提供信息:向信息处理涉及的当事方提供相关信息,还要公布年度报告,对其执行活动及典型个案进行总结和评析。 (2 ) 准司法权:受理当事人提起的有关信息处理的控诉,根据具体情况,决定是否有必要开展调查,调解纠纷,并作出决定。(3 )调查和执行权:有权进行实地调查,可要求信息控制者或处理者做出必要的澄清和说明, 查阅相关文件。 对可能或已经违法的信息处理操作,有权介入,采取提醒、警告、意见、建议、处罚、命令封存、删除、销毁等措施。 此外,若发现违法行为,一些机构可以提请司法部门注意,并作为第三人介入诉讼程序,为当事人提供必要协助[11] 。 (4 )跨境资料保护:在对外方面,机构扮演着信息共享者和交流者的角色, 在跨境资料的处理上开展互助协助。
2.分散监管模式
另一种模式是没有设立专门的个人信息监管机构,采取分散监管的方式,以日本为代表。日本的《个人信息保护法》 没有向许多国家那样对个人信息保护设有专门的监管机构,而是采用了更为灵活的方式。其主要原因在于:设立个人信息保护机构,有可能大幅度地限制非公部门的自由活动, 这与其行政改革和放宽管制的改革思路相悖,因此,日本主张应建立有成效的事后救济体系。具体监管手段包括:(1 )对于非公部门,主管大臣可以针对其违法或不当的个人信息处理行为发出劝告或者命令。(2 )允许设立各种民间团体参与纠纷的处理。特定民间团体经过主管大臣认定后,可以处理个人信息本人提出的投诉。 该法还要求地方自治团体必须协助对涉及个人信息处理的投诉进行处理, 或者采取其他必要措施( 如通过消费者中心解决相关纠纷) 。(3 )《个人信息保护法》 要求非公共部门的个人信息处理者确立相应体制, 保障恰当且及时地处理与其个人信息处理行为有关的投诉。(4 )主管大臣应当向个人信息处理者收取报告、实施指导、发布命令、对违反命令者实施处罚,以监督其个人信息处理行为[12] 。
这两种模式各有利弊: 独立监管机构的设立,对个人信息的保护针对性强、纠纷处理及时等,保护有力,但是涉及机构和人员的编制,需要必需的工作条件和经费,成本较高,且对信息处理的行业发展较为严格;分散监管模式让既有机构一并管理,具有节约管理成本等优势,但是管理体系过于复杂松散,导致管理效率不高、执行力度不强、监管权力过于宽泛等弊端。
三、我国网络环境下个人信息的行政法保护对策
(一)完善个人信息保护的行政立法
我国目前尚未制定统一个人信息保护立法, 虽然早在2003 年,国务院信息办就委托中国社科院法学所个人数据保护法研究课题组,承担《个人数据保护法》的研究课题,并草拟了一份8 万字的专家建议稿。但时至今日,这部法律仍未出台。主要原因有二:第一,立法一般情况下需要由行使相关职权的国家部委来推动。但事实上,限于能力和精力,一个国家部委通常只能推动一部法律出台,不可能同时顾及多部法律。2008 年国务院机构改革前,《个人信息保护法》 与国务院信息办的职权相关,但在2008 年以后,国务院信息办并入了工业和信息化部。对于后者而言,和其职权相关的另一项重要法律—— — 《电信法》至今仍未出台,《个人信息保护法》的立法进程也就只能推后[13] 。 第二,个人信息保护法涉及工信部、公安部、安全部等多个部门,必须由全国人大常委会法工委或者国务院法制办进行协调,不可能单由一个部门起草,而协调起来成本较高,故而立法进程滞后。
在全国性立法迟迟未出台之际,2012 年4 月,工业和信息化部编制完成 《信息安全技术公共及商用服务信息系统个人信息保护指南》,并即将公布。 指南将个人信息分为个人一般信息和个人敏感信息, 对于个人一般信息的处理可以建立在默许同意的基础上,只要个人信息主体没有明确表示反对,便可收集和利用。但对于个人敏感信息, 则需要建立在明示同意的基础上,在收集和利用之前,也必须首先获得个人信息主体明确的授权。 指南正式提出了处理个人信息时应当遵循的八项基本原则:即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。
同时,指南还划分了收集、加工、转移、删除四个环节,并针对每一个环节都提出了落实八项基本原则的具体要求。 这一指南吸收了国外对于个人信息保护的先进经验,具有积极意义,也为今后《个人信息法》的制定提供了参考,然而,该指南的性质只是不具有法律约束力的指导性行业规范, 难以解决目前我国网络个人信息立法缺位的问题[14] 。
笔者认为,我国应当积极顺应国际潮流,尽快出台专门的《个人信息保护法》来保护网络个人信息,规范对个人信息的收集、使用和传播等活动。该法应当包括以下主要内容。
1. 界定个人信息保护主体的义务
个人信息保护主体包括公权力主体和私主体。 其义务包括:第一,明确并限定信息使用目的;第二,将信息处理及使用情况告知信息主体;第三,经信息主体本人请求或主动向信息主体告知信息的内容及信息收集、处理、利用等相关程序和事项;向社会公开信息收集、处理、利用等相关程序和事项;第四,在收集个人信息后,应对个人信息进行分类、归档并保存;保证信息质量,并采取必要的措施保证信息安全。
2. 确立个人信息保护的基本原则
参考OECD 组织关于个人数据保护的原则, 笔者认为,我国《个人信息保护法》应确立如下基本原则:直接原则;目的明确原则;收集手段合法、诚信原则;信息质量原则;利益平衡原则;公开原则;信息主体参与原则;安全保护原则;责任原则。
3. 规定信息主体的权利
信息主体是指个人信息的所有者, 其权利包括:(1 )决定权:信息主体自主决定其个人信息是否能够被收集、处理和利用以及以何种目的、方式、范围被收集、处理和利用的权利。 (2 )知情权:信息主体有知悉其个人信息被收集、处理、利用等有关事项的权利。(3 )信息获取权: 信息主体得请求信息处理者告知是否拥有本人的个人信息,并从信息处理者处获得该信息的权利。(4 )更正权:当信息主体发现信息处理者所处理的个人信息不正确、不完整时,有请求信息处理者修改、补充、删除这些信息的权利。 (5 )封锁权:在出现法定或约定事由时,信息主体应请求信息处理者通过附加“符号”等方式暂时停止信息处理的权利。 (6 )删除权:当出现法定或约定事由时, 信息主体应请信息处理者将其个人信息删除的权利。 (7 )获得救济权:当信息主体的上述各项权益受到侵害时, 可通过行政的或司法的途径请求救济的权利。此外,该法还应当规定个人信息监管机构的组成、职责,救济途径以及法律责任。
(二)成立专门的个人信息监管机构,加强监管
为克服我国目前的分散监管模式存在的诸多弊端,我国可以考虑借鉴国际经验,成立专门的个人信息监管机构。目前,较为现实的模式是在国务院层面成立统一的个人信息监管机构, 该机构必须具有权威性和独立性,在人力、财力、物力有充分保障,独立于其它行政机关,并行使以下职权:(1 )制定规章和细则,对全国层面的个人信息保护提供指引。 (2 )提供信息:向信息处理涉及的当事方提供相关信息,公布年度报告,对其执行活动及典型个案进行总结和评析。(3 )受理当事人提起的有关信息处理的控诉,根据具体情况,决定是否有必要开展调查,调解纠纷,并作出决定。(4 )调查和执行权:进行实地调查,要求信息控制者或处理者做出必要的澄清和说明,查阅相关文件。对可能或已经违法的信息处理操作,有权介入,采取提醒、警告、意见、建议、处罚、命令封存、删除、销毁等措施。(5 )跨境资料保护:与国际个人信息保护机构之间进行信息共享和交流,在跨境资料的处理上开展互助协助。在条件成熟时,可在全国人大常委会下设独立的个人信息保护机构,使其对全国人大常委会负责,这样可以将保护范围覆盖到更多领域。 而在成立统一个人信息监管机构之前,我国可以考虑将监管权集中在少数几个监管机构上,并通过国务院牵头来加强各监管机构之间的协调配合,统一监管标准和程序, 降低监管成本, 同时发挥公众监督的作用,避免政府监管俘虏及失灵,确保监管的公正性。
此外,监管机构的监管手段应当多元化,做到刚柔相济,注重实效,除了传统的行政处罚等措施之外,监管机 构应当大量采取行政指导、行政奖励、行政资助等柔性手段进行监管,例如, 对公民和企业发提示信息,指导其提高防范意识,防止个人信息被侵犯;对违法收集或泄露个人信息的个人或企业给予警告; 对积极保护个人信息的企业和个人给予奖励, 对研发个人信息保护技术的企业和个人给予行政资助等。
参考文献:
[1] 个人信息保护法出台尚无明确时间表[N]. 中国青年报,2012-05-23.
[2] 赵奎霖. 政府信息公开类纠纷案件司法审查的若干问题研究—— — 以《政府信息公开条例》的理解与适用为视角[J]. 南京医科大学学报: 社会科学版 ,2011,(5)
:353-358.
[3] 王冕. 和谐社会视角下法治政府建设路径探析[J]. 湖北民族学院学报: 哲学社会科学版,2010,(5):52-56.
[4] 周汉华. 域外个人信息保护立法概况及主要立法模式[N].中国经济时报,2005-01-13.
[5] OECD Guidelines on the Protection of Privacy and Trans-border Flows of Personal Data[EB/OL].(20110701)[20120704].http://www.oecd.org/document
/18/0,3746,en_2649_
34255_1815186_1_1_1_1,00&&en-SS_01DBC.html.
[6] 孔令杰. 个人隐私资料的法律保护[M]. 武汉: 武汉大学出版社,2009.
[7] Commission nationale de l ’ informatique et des libertés[EB/OL].(2011-07-01)[2012-07-04]. http://www.legifrance.gouv.fr/jopdf/common/jo_pdf.jsp numJO=0&dateJO=20110922&numTexte=81&pageDebut=&pageFin=.
[8] Dutch Data Protection Act 1999[EB/OL]. (2011-07-01)[2012-07-04]. http://www.dutchdpa.nl/Pages/en_wetten_wbp.aspx.
[9] German Bundesdatenschutzgesetz (BDSG )[EB/OL].(2011-07-01)[2012-07-04]. http://www.gesetze-im-internet.de/bdsg_1990/.
[10] Organic Law 15/1999 of 13 December on the Protection ofPersonal Data [EB/OL].(2011-07-01)[2012-07-04]. http://www.agpd.es/portalwebAGPD/
english_resources/regulations/common/pdfs/Ley_Orgaica_15-99_ingles.pdf.
[11] Austrian Federal Act Concerning the Protection of Personal
Data [EB/OL]. (2011 -07 -01) [2012 -07 -04]. http://
www.dataprotection.eu/pmwiki/pmwiki.phpn=Main.AT.
[12] 谢青. 日本的个人信息保护法制及启示[J]. 政治与法律,2006,(6):155.
[13] 公民信息泄露猖獗, 个人信息保护法出台已拖8 年[N]. 中国青年报,2011-12-01.
[14] 个人信息保护指南: 个人信息使用后应立即删除[N]. 法制晚报,2012-04-05.