二是对个人信息主体权利规定不充分。从上表中可以看出,多数法律规范对于个人信息主体的权利并没有规定。即使有所规定,法律规范的层级也较低。2008年的《政府信息公开条例》23条和第25条规定了个人信息主体的几项权利:(1)对自身信息的知情权;(2)个人信息主体的异议权;(3)个人信息主体的更正权。这应该是对于公共行政领域中个人信息主体权利规定较为详细的行政法规了,但是仅限于信息公开领域。在其他公共行政领域,个人信息主体还有一些至为重要的权利未被法律规范所重视和规定。
三是立法相对落后,无法回应当下信息技术发展和行政管理变革带来的新现象、新问题。目前政府巨型数据库的建设和发展以及电子监控的广泛应用,引起了广泛的关注和较大的争议。但是行政立法在这一方面却未能及时回应。在政府巨型数据库方面,有学者研究指出,关于中国人民银行个人信用基础数据库的《个人信用信息基础数据库管理暂行办法》是目前较为先进的立法。大部分的政府巨型数据库的运作都是秘密的。在现实操作中可能还存在一些内部工作规范,比如保密规定、有权查询人范围的规定等等,但是并不足以为个人信息提供充分、足够的保护。[12]在电子监控设备方面,少数地方性法规对此有所规定,但成效欠佳。
三、公共行政领域中个人信息保护的立法建议
(一)选择统分结合的立法模式
加强公共行政领域的个人信息立法保护,首先便面临立法模式的选择问题。从国外经验来看,个人信息保护的立法模式主要有以下几种:(1)综合立法模式,即将公共行政领域与私法领域的个人信息保护问题规定在一部法律之中。大部分欧洲国家都采取这种立法模式,但在具体的结构上存在差别。如德国的《个人数据保护法》在总则之后分章节规定公共行政领域与私法领域的个人信息保护,而奥地利的《数据保护法》并未做出明确的区分,适用同样的标准。(2)分散立法模式,即针对公私领域的不同情况,分别立法规范。如美国对于公共行政领域中的个人信息保护进行了立法,但对于私法领域,则主要依靠行业自律。(3)统分结合的立法模式,即既有分别针对不同领域中信息保护的立法,又有统一规定的立法。日本的个人信息保护立法针对不同领域确立适用于公共部门和非公共部门的规范,同时又有规范共同事项的立法。但是这一统分结合的立法模式是逐步建立的。在2003年之前,日本只有关于公共行政领域个人信息保护的立法。[13]目前我国在个人信息保护方面上有两部专家建议稿,都采用了综合立法的模式,同时规定了公共行政领域和私法领域的个人信息保护。其优点在于一方面节约立法资源,不需要根据不同领域的具体情况专门制定法律;另一方面可以同时有效利用现有的行政法与民事法律的救济机制。[14]但是,我国《个人信息保护法》早在2003年就已经开始部署起草,历经十年却迟迟难以出台。个人信息保护的相关问题只能被拆分到其他法律中进行零散地规定。笔者认为,在此情况下,与其追求个人信息在公法和私法领域全方位的完美保护,不如借鉴日本的经验,先就急迫的公共行政领域內个人信息保护问题先行立法,明确行政主体应当遵守的原则,赋予个人信息主体权利和救济途径。同时积极回应当前由于技术发展和行政管理变革中出现的新问题,对其进行规范。等到时机成熟,再考虑对个人信息保护的全面立法。
(二)确立公共行政领域中个人信息保护的基本原则
公共行政领域的个人信息保护不仅应当遵守依法行政、比例原则、正当程序等行政法的基本原则,还应当遵守这一领域中的特有原则。
1.公开原则
公开原则指的是应当针对公共行政领域中个人信息收集、储存、处理的相关内容制定一般性的公开政策,使得公众有便捷的渠道可以查询或得知:(1)与其相关个人信息是否存在;(2)属于哪一类型的信息;(3)收集和使用这些信息的主要目的;(4)信息收集、储存、处理机构的性质以及地址。规定公开原则的目的一方面在于使政府收集、储存、处理个人信息的行为有基本准则可依,而不再仅仅是内部操作的规定。另一方面则有利于降低公众的忧虑,并使其理解和配合行政主体实施与个人信息相关的行政行为。当个人信息面对国家权力的行使时,公众总是存在着各种的忧虑,如对个人信息的大量收集并储存于数据库的忧虑,未经许可进行使用的忧虑,使用错误信息的忧虑等。[15]对于个人信息主体而言,了解公共行政领域关于个人信息的一般性政策,保障了其知情权,使其可以监督行政主体对个人信息处理的相关行为,有助于其保护与自身信息相关的合法权益。
2.目的明确原则
目的明确原则要求在收集环节,行政主体收集个人信息应当有合法、特定、明确的目的,并且这一目的必须在收集前就加以确定;在使用环节,行政主体使用个人信息的范围应当限于满足其收集时的目的,不得随意更改、比对、共享个人信息;在储存环节,当储存个人信息的目的已达成或失效时,行政主体应当及时、安全地删除相关个人信息。如果行政主体要变更使用个人信息的目的,则这一目的必须是法律规定的,并与收集时的目的不相矛盾。德国《联邦数据保护法》第14节明确规定,存储、修改或使用个人信息用于其他目的,必须符合法定要求。在第14节第2项规定的9种情形下,存储、修改或使用个人信息用于其他目的是被允许的,包括:(1)法律规定;(2)个人信息主体同意;(3)该处理行为明显符合个人信息主体利益,并无理由认为其会在知道处理目的的情形下不同意;(4)有明显证据表明个人信息不准确,需要核实检查;(5)个人信息可以自一般来源获取或授权发布,并且个人信息主体没有合法权益优先于改变使用目的的需要;(6)为避免公共福祉的实质性损害或其他任何即时威胁公共安全的事项;(7)执行刑事侦查、行政处罚决定的必要;(8)为避免严重侵害其他人权利的必要;(9)科学研究的需要,并且科学研究的利益超过个人信息主体的利益,同时无法通过其他合理途径获得或需要付出不合理的代价获得。
此外,行政主体收集和处理的个人信息必须与收集的目的相关并适量,不得超出该目的收集和使用。这一要求实际上蕴含了比例原则,要求行政主体根据目的而确定收集或处理的数据范围和数量,以个人信息使用的最小代价来实现信息使用的目的。奥地利《数据保护法》第1条第2款明确规定应当尽一切有效办法减少对个人信息基本权利的干预。德国《联邦数据保护法》第3a节规定,数据处理系统应当依据不收集、处理或尽可能少地收集、处理、使用个人信息为目标来设计和选择。特别是在个人信息的使用环节,如果可以实现目的,并且付出的成本或努力合理,应当尽可能地以化名或是匿名的方式对个人信息进行收集、存储和使用。
3.限制处理原则
限制处理原则指的是行政主体对于个人信息的收集、使用必须有一定的限制。个人信息应当通过合法且公正的方式获得,必要时应当告知个人信息主体或获得其的同意。这一原则包含了两部分内容:一是行政主体对于个人信息获得以及处理应当是合法、公正的,即获得和处理个人信息的目的与程序合法,并未超出职权范围。获得和处理个人信息程序合法的一个重要条件就是对个人信息主体的告知。其包括两种情况,一种是向公民收集个人信息时应当告知收集的目的、收集、储存和使用机构的性质和地址等信息。另一种是对涉及第三人信息的告知,如政府信息公开中,如果公开的信息涉及第三人的利益,应当告知第三人。
二是应当限制收集敏感信息。由于敏感信息具有高度隐私性,并且容易通过这些信息识别或确定个人。因此其收集一般以禁止收集为原则,以收集为例外。在德国《联邦数据保护法》第13节第2款的规定中,只有在9种例外情形下才可以被收集,包括:(1)法律明确规定或为了保护重大公共利益的需要;(2)个人信息主体同意;(3)为保护个人信息主体或第三人重大利益的需要;(4)已被个人信息主体明确公开的信息;(5)避免对公众安全构成重大威胁的需要;(6)避免公共福祉实质性损害或保护重大利益的需要;(7)为满足医疗预防,医疗诊断或公共医疗卫生服务的需要,并且医疗人员负有保密义务;(8)科学研究的需要,并且科学研究的利益超过个人信息主体的利益,同时无法通过其他合理途径获得或需要付出不合理的代价获得;(9)保卫国家安全,避免国际冲突或人道主义措施的需要。我国首个个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》也对此有所规定。但极为遗憾的是,这一标准的适用范围限于“除政府机关等行使公共管理职责的机构以外的各类组织和机构”。
4.安全原则
安全原则规定收集、储存、处理个人信息的行政主体负有保护信息安全的义务。一方面个人信息应当在其收集目的所需范围内保持准确、完整并及时更新;另一方面行政主体应当采取合理的安全保障措施,以防止个人信息丢失、未获授权的获取、损坏、使用、修改以及泄露等风险。这一义务要求行政主体自身必须采用必要的技术或者组织措施保障个人信息的安全。如德国《联邦数据保护法》在第9 a节中就规定,为了保护个人信息和提高信息安全性,信息处理系统、程序的提供者和处理个人信息的机构需要聘请具有资格的独立鉴定机构进行检测和评估。这一义务也要求行政主体雇佣专业组织或机构建设个人信息处理系统,如政府数据库外包时,应当同样保证受雇的机构或组织具有相应资质,并采用必要的技术和措施保障个人信息的安全。
(三)明确个人信息主体的权利
在公共行政领域中应当至少赋予个人信息主体如下几项权利:(1)获得告知的权利。在信息收集环节,行政机关应当告知个人信息主体收集的目的、个人信息的收集、存储、处理机构的性质和地址等内容。在此之后,个人信息主体有权得知自身相关信息的存在与否及信息的性质、类型、内容。当公民向行政机关提出告知的申请时,行政机关应当及时通过适当的渠道以便于理解的方式告知。这一权利的例外情况是,如果告知有可能危及公共安全、重大公共利益或者第三人合法权益时,行政机关可以拒绝告知,但是应当向个人信息主体给出理由。(2)提出异议的权利。个人信息主体有权在行政机关拒绝告知与其个人信息相关内容时,提出异议;有权在行政机关对其个人信息的违法或不当处理提出异议;也有权对于行政机关存储中不正确的个人信息提出异议。此外,在政府信息公开时,如果公开的信息涉及第三人的合法权益,第三人有提出异议的权利。(3)更正、删除、完善以及要求停止使用个人信息的权利。当行政主体储存和使用的个人信息不完整或存在错误时,为了保证个人信息的准确性,个人信息主体有权要求对信息进行更正、删除或完善。当个人信息主体对行政主体储存或处理的相关信息存有准确性的疑议,但又无法确定的情况下,有权请求该行政主体对此信息进行封存,停止使用。(4)获得救济的权利。在上述各项具体权利受到侵害或者行政机关对个人信息造成侵害时,立法应当赋予个人信息主体通过复议和诉讼加以解决的权利。当因为行政机关在个人信息收集、处理等环节的违法行为遭受损失时,公民应当有获得赔偿的权利。
(本文转摘自北大法宝:http://www.pkulaw.cn/fulltext_form.aspx?Db=qikan&Gid=1510175830&keyword=&EncodingName=&Search_Mode=accurate&Search_IsTitle=0)