肖少启,韩登池:论我国个人信息法律保护的制度构建(一)
随着互联网的迅猛发展,无所不在的个人信息及个人信息收集,功能越来越强大的计算机和其他数据处理设备,射频识别、生物识别技术、人脸识别等特新技术,日益加强的管制和数据监控,以及越来越频繁的最初并不是为了收集目的的个人数据的使用,尤其是涉及国家安全、打击有组织的犯罪和恐怖主义等,{1}使得个人信息法律保护面临诸多挑战。自20世纪50年代起,西方发达国家就开始关注个人信息保护问题,通过立法确立了旨趣不一的个人信息法律保护模式。我国正大踏步迈进信息社会,个人信息保护问题也越来越引起人们的高度关注和重视。《人格权法》的起草和制定工作正如火如荼地展开,个人信息保护的立法亦随之被提上了议事日程。为了确保个人的信息安全,实现信息社会的可持续发展,制定一部科学合理的个人信息保护法具有重要的现实意义。
一、我国个人信息立法保护的现实迫切性
现实生活中,“共享客户资源”在商界几乎是公开的秘密,一旦个人信息被非法出售,房产代理、各种中介服务公司、广告公司、保险经纪公司、信用卡公司等会时不时电话或短信骚扰客户。我们的个人信息,一下子就成了这些公司企业的金矿。更有甚者,它们业已形成利用个人信息从事非法获利的黑色链条。
我国现行法律法规对于银行个人金融信息缺乏有效的保护和明确的规定,有关银行对个人客户信息保护的规定比较零散而且笼统,更多的规定集中于银行对个人金融信息的披露方面,并且授予许多政府部门获取个人金融信息的权力。现行法律中保护银行个人金融信息的内容过于简陋,仅仅规定了银行负有保密义务,并且这种保密义务也是非常笼统的,缺乏对个人金融信息权属的确定,个人客户在其信息利益遭受侵犯时无法获得法律上的救济。总而言之,我国对银行个人金融信息保护的相关法律都侧重于公共机构对于个人金融信息的获取而缺乏对有关的权利主体救济方面的规定。{2}由此,我们的档案信息几乎得不到有效保护,任何人都可以轻易获取我们的档案材料。身份盗用,即利用个人信息非法获取现有的金融帐户,公开诈骗帐户,或者以他人名义获得信用卡,这些都是增长最快的白领型犯罪活动。{3}
随着传感器网络、生物识别技术、射频识别及监控系统等高科技的发展,个人身份识别、电子病历信息、远距离医疗记录、交通讯息、各种消费资金账户信息载体与日常生活层面应用的异类结合等,都会造成个人信息被大量运用与流通,信息主体本人却被蒙在鼓里,尤其是在虚拟网络的推波助澜作用下,个人信息被滥用、私权被侵害的程度达到无以复加的程度。特别是云计算技术的运用,个人信息的保护问题更为突出。云计算将使未来的互联网变成超级计算的乐土,但同时也是个人信息泄露的温床。由于互联网没有国界的限制,在云计算环境下,数据有可能储存在世界上任何一个我们根本就无从知晓的数据中心,信息主体把自己的业务放到云端数据中心,安全是个非常严峻的问题。{4}前不久,我国发生了十亿条个人信息被盗事件,公民信息泄露程度“触目惊心”。{5}信息一旦泄露,人们精神上可能极度焦虑,因为他们无法再进行数据恢复和防止信息资料的下游滥用。而且,一旦信息被不法分子利用,潜在的危害如账户失窃、身份盗用、诈骗、绑架等严重的刑事犯罪将接踵而至。{6}针对这一严峻形势,世界上大约90个国家和地区颁布了法律,赋予个人控制由政府机关和私人机构收集和使用的这些个人信息数据。几个主要国际公约已在欧洲生效,亚非国家正在制定相关的法律。国际机构也正在制订国际公约,国际法庭则发布了有关的决定。{7}
二、我国个人信息法律保护的学理分歧
鉴于我国尚未制定公民个人信息保护的专门法律,对于公民个人信息究竟提供何种法律保护或救济途径,学界进行了积极的探索。其中不乏真知灼见,但有的观点未免有失偏颇。
其一,行政法保护说。对于个人信息,我国有学者主张利用行政法来进行保护。{8}甚至有学者认为,个人信息保护法是行政法的特别法。这是因为行政机关在个人信息处理和利用的过程中占了很大比重,个人信息保护法大量的篇幅是有关纵向信息关系的调整规范的。从这个意义上说,个人信息保护法是公法,属于行政法的范畴。{9}笔者认为,个人信息保护法不是行政法的特别法,而是私法和权利法。一方面,从权利的本质上来看,个人信息权是信息主体依法享有的一项基本的民事权利,它通过赋予权利主体支配和控制其个人信息的权利,以期保护权利主体存在于其个人信息上的人格利益。进言之,个人信息权是一项基本的人权。人权是人之为人所享有的最起码的权利,它只有通过制定法加以确认,才能转化为现实的权利。作为权利法,个人信息保护法是实现人权的手段。另一方面,由于个人信息保护法是以确立和保护个人信息权为重要职能,故它是私法。当然,为了规范信息流转,保护信息安全,维护信息社会的井然秩序,个人信息保护法必然会制定一些强行性规定,从而表现出一些公法属性。本质上,个人信息保护法是具有一定公法属性的私法,它旨在保护具有私权性质的个人信息权;而行政法是公法,其地位和作用主要体现在维护社会秩序和公共利益,监督行政主体、防止行政权力的违法和滥用,保护自然人、法人或其他组织的合法权益等方面。由此可见,个人信息保护法和行政法在价值取向上既有共同点又有差异,二者在个人信息保护方面相辅相成、相得益彰。
其二,刑法保护说。有学者认为,在侵权行为日益猖獗的今天,仅仅以其他手段诸如民事制裁似乎很难遏制这种现象的滋生和蔓延,只有通过刑法这种最严厉的保障手段才能有效地对个人信息权进行保护。{10}笔者认为,对个人信息保护寄予刑法厚望是不现实的。诚然,我国刑法第253条规定了“出售、非法提供公民个人信息罪”及“非法获取公民个人信息罪”,但该条存在以下几个方面的不足:第一,本罪的成立要件是“情节严重”。何谓“情节严重”,现行法律及司法解释都没有做出明确的规定。第二,该罪的刑罚力度不足。本罪的最高刑期为三年以下的有期徒刑,难以有效遏制此类违法犯罪活动,故有必要适当提高刑罚的上限。第三,刑法第253条所规定的犯罪主体局限于特殊主体,即国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,而对于其他主体如互联网公司、汽车厂商、房地产中介、宾馆酒店等单位和机构则排除在外。丹尼尔教授认为,利用刑法作为主要的法律手段打击个人信息滥用的犯罪行为效果不佳。一方面,执法官员缺乏足够的资源来指控身份盗用行为;另一方面,与暴力犯罪和毒品犯罪相比,身份盗用被视为是一项轻罪。现实生活中,身份窃贼往往很难被抓住,因为他们经常出现在许多不同的地点,犯罪证据的获取变得十分棘手。据一份评估报告称,在700个身份盗用案件中,不到一个犯罪分子被定罪量刑。由此可见,刑法对身份窃贼的震慑效果有限,况且刑法对受害者的救助也少得可怜。{11}
其三,民法保护说。对于个人信息的民法保护观点,又可以进一步分为三种情形。第一种,侵权法保护说。针对个人信息,有学者主张用侵权法来保护。{12}我国《侵权责任法》对个人信息保护虽然有所规定,但该法第36条所规制的对象局限于网络用户和网络服务提供者。如同刑法救济一样,侵权责任法也属于事后救济,而在互联网时代需要对网络安全以及个人信息进行全流程的监管才更为有效。当然,受害者可以寻求侵权法的救济,但起诉滥用个人信息的违法犯罪分子往往是徒劳的,因为有时很难侦查身份窃贼是从何处获得个人信息并实施违法犯罪行为的。或许有学者会认为,受害者可以起诉泄露该个人信息的公司或者起诉许可窃贼以受害人名义设立账户的公司。从情理上讲,这种观点容易为人们所理解,但是律必须确认该公司违反了其最起码的注意义务以及由此引起的损害后果两者之间因果关系的存在,这些要素更加难以确定。即便法律认定该公司允许不正当获取个人信息主观上存在过错,但进行法律诉讼仍存在一些障碍。例如,非法获取的个人信息可能多年以后才被不当传播并导致实质性损害的发生。由于信息的无形性,它可以为不同的人同时拥有,而且可以进一步传播开来。除非我们能侦查到窃贼获取信息的源头,否则将很难把具体损害与确保数据安全的特定主体二者联系起来。{13}第二种,隐私权客体说。该理论起源于美国,主张个人信息是一种隐私利益,个人信息立法应该采取隐私权保护模式。隐私权客体说在我国亦有不少支持者。然而,个人信息权与隐私权是两个不同的权益范畴,两者具有不可调和性。随着越来越多的国家进行相关的立法,隐私权法和个人信息权法之间的关系引起了全球范围内的讨论。由于利益和价值的多元化需求,两者之间必然会存在某些交叉重叠,也不可避免会导致一些冲突。例如,政府有时候因为各种原因需要获取大量个人的信息,记者进行新闻调查,民间社会团体为问责而斗争,个体需要知道政府部门做出某种决定的理由,公司为了营销目的而寻求信息,历史学家和学者则探究各种事件的来龙去脉等。对此,已有五十多个国家分别颁布了隐私权法、数据保护法和信息权法。{7}第三种,人格权客体说。该学说主要以德国法为代表,认为个人信息体现的是一种人格利益,对个人信息应该采取人格权保护模式。这一学说对我国影响较大。有学者指出,从现代社会的发展对个人自由的扩展趋势而言,强化个人对其信息资料的积极控制,即“控制自己资讯的权利”或“资讯自决权”,有相当积极的作用,人格权法应予积极的反映。{14}进言之,个人信息权就其主要内容和特征而言,在民事权利体系中,应当属于人格权的范畴。个人信息权应当作为一项独立的权利来对待,此种权利常常被称为“信息自决权”。{15}笔者认为,采用人格权的保护模式来保护个人信息无疑是正确的选择,但人格权与个人信息权亦是两个不同的权益范畴,两者既有交叉重叠的部分,也有不兼容之处。申言之,我们在制定“人格权法”的同时,亦需要制定一部独立的“个人信息保护法”。