论文摘要 在信息社会中,个人信息的保护对于个人信息的安全性起到至关重要的作用。本文分析了个人信息的界定与民法性质以及各国立法模式的区别,得出我国个人信息的民法保护应该借鉴立法主导模式的结论,同时提出我国在立法过程中应对个人信息本人以及信息收集者或使用者的权利和义务以及侵害个人信息的民事责任等给予明确的规定。
论文关键词 个人信息 隐私权 一般人格权 保护模式
个人信息在现代社会中具有非常重要的资源作用,其作为一个法律概念是随着信息社会的发展而出现的。个人信息,是指一个人生理的、心理的、智力的、个体的、社会的、经济的、文化的以及家庭等一切可以识别本人信息的总和。近半个世纪以来,个人信息的法律保护问题随着信息科技的发展而成为日益突出的问题,在科技发展迅猛的今天,个人信息的保护已具有重要的意义。目前,对于个人信息的保护已经在各个主要发达国家展开,美国、西欧等一些国家已经出台了个人信息保护的专项立法,但是其远未覆盖全球大多数国家。在我国大陆地区,目前还没有出台个人信息保护的专项立法,这使得在信息处理和传播技术广泛应用的信息社会,个人信息处理和传播行为得不到规制,致使信息主体的利益经常受到侵害。个人信息的保护不完善,将会导致人与人之间的信任危机,进而阻碍社会的发展。因此,在我国亟待对个人信息进行立法保护。
一、个人信息的界定及民法性质分析
(一)个人信息的定义
个人信息保护前,我们必须对个人信息进行科学的界定。目前,由于各个国家在法律传统和法律习惯上的不同,对个人信息的界定也不一致,但是这并不影响法律的内容。
1.关联型定义
在个人信息定义中,德国法强调“个人关联型”,根据《个人资料保护法》中规定,在不能确定所收集资料的关联方的情况下,该法将不受调整。关联型定义强调信息主体特定,而且对于个人信息的界定过宽,这导致在实践中对个人信息的侵害的行为被放纵。
2.隐私型定义
在个人信息定义中,美国等国家采用隐私性定义。美国Parent教授认为:“个人信息是指社会中多数所不愿向外透露者或者是个人极敏感而不愿他人知道者”。隐私型定义在著名的《隐私权》的发表之后被不断丰富和发展,调整了包括私人秘密、姓名、肖像、私生活以及不实形象等,并且扩展到私人生活的各个方面。
3.识别型定义
各国对于个人信息的界定中,欧盟1995颁布的《个人数据保护指令》属于典型的识别型定义。识别型定义同前两种定义相比,其所划定的范围更加科学、宽严适度,因而也为国内多数学者赞同。但是任何一种定义也存在其不足和缺陷,识别型定义也不例外。在个人信息的判断方面,识别型定义优势很难通过一条或者少量信息作出判断,而是需要汇总多方面的信息才能够作出。此外,识别性的判断也受到所处环境改变的影响。
(二)个人信息的法律特征
1.个人信息能够直接或者间接地识别主体身份
直接识别是指不需要借助个人的姓名、肖像及身份证号码等信息就能够识别出信息主体身份,而间接识别则需要个人性别、兴趣、学历等其他信息的辅助才能识别出信息主体身份。
2.个人信息的内容具有多样性
目前,随着社会的不断发展,个人信息涵盖的内容也在不断地丰富,涵盖了新的内容,主要有个人的身份信息、健康状况,个人的信用和财产状况以及活动踪迹等。
3.个人信息的主体是自然人
目前,对于个人信息主体的限定,大多数国家的法律限定为自然人,而对于法人是否能成为个人信息的主体尚存在争论,有一些国家将保护的主体扩张到了法人。笔者认为,个人信息的主体只能是自然人,主要是因为:第一,自然人和法人在保护范围和内容上存在很大差异,不易将法人认定为信息主体;第二,由于个人信息和法人信息体现的价值功用不同,应该由不同的法律分别保护;第三,如果对企业的信息流通进行限制,从立法成本和执行成本方面来看会增大交易成本。
(三)个人信息的民法性质分析
1.个人信息的权利基础
个人信息应受民法保护已经被广泛认可,但是立法需要诸多理论方面的支撑,进而我们需要对个人信息的民法性质必须理清。一般情况下,认定个人信息保护权利的基础为人格权,可以具有财产属性。大陆发行确立了姓名权、肖像权、名誉权制度,将姓名、肖像、名誉都纳入到具体的人格权中而进行保护。隐私权范围比美国法上的隐私权范围要小的多,只是与具体人格权并列的一种人格权。大陆法系的人格权制度相当于英美法系的隐私权制度。目前我国的立法基本上沿袭了大陆法系的模式,没有将隐私权作为一项独立的人格权,当隐私受到侵害时需通过名誉权制度来救济,如果我国在个人信息保护立法时照搬英美法系将隐私权作为个人信息的基础,势必造成理论上的错乱。
2.个人信息的财产属性
随着网络与信息技术的发展,个人信息已经开始成为一种商品,能够在不同的主体之间进行交易,其所体现的巨大经济价值越来越明显。具体而言,个人信息财产化主要体现在以下两个方面。
第一,个人信息的直接商品化。个人信息的直接商品化是指个人信息本人或者使用者出于商业目的而将其拥有的个人信息以商品的方式进行转让的现象。一般情况下,个人信息直接商品化可分为两种情况。一种是个人信息本人为了获取利益而对其个人信息进行出售。另一种是除个人信息本人以外的信息占有者为了经济利益而对其他人个人信息进行出售。
第二,个人信息的二次开发利用。主体在对其掌握的个人信息进行挖掘、分析、加工的过程中,能够实现对个人信息的二次开发利用。,通常情况下多采取数据库的形式通过反映某种群体的通行而满足自身或者使用者的需要。一般情况下,数据库的个人信息比单独某个人的个人信息具有更大的商业价值。
二、个人信息法律保护的必要性与两种保护模式
(一)个人信息法律保护的必要性
1.个人信息保护是信息时代保护自然人的需要
一段时期内,各国没有足够重视对个人信息的保护。进入信息社会后,随着信息处理和创办技术的不断发展,个人信息保护的问题变得日益突出。随着信息技术的普及以及国家的角色逐渐向福利国家转变,每个人从出生到死亡,其个人信息一直处于政府的管理和监控之中,几乎到了无孔不入的程度。虽然政府对个人信息的掌握能够使政府工作更加高效和便捷,但是由于这些信息往往会脱离信息主体的控制,所以信息主体很容易受到来自精神上以及财产上的损害。
民间机构出于经营目的,会对个人信息进行收集,在个人信息收集时存在着信息主体知道的收集和信息主体不知道的收集两种情况。信息主体知道的收集能够确保信息主体的在知悉的情况下对其进行一定的控制,然而信息主体知道的收集或者不知道的收集,都面临着个人信息在信息处理过程中的种种危险。
在现代信息社会,个人信息保护一定程度上限制了信息服务贸易的发展。目前,各个国家对信息服务贸易采取的限制措施主要有限制信息产业的外国投资、施行贸易保护政策以及通过个人资料保护严格控制资料跨国流通。在进行个人信息保护立法时,应当对于禁止收集人民在参与各种民主政治活动时形成的信息,同时赋予当事人查阅、修改自己档案记录的权利,充分保障当事人表述自由、通信自由等政治自由。
(二)个人信息的一般保护模式和民法保护模式
目前,各个过节已经充分意识到个人信息保护的必要性,也在一些基本原则上达成了共识。(1)合法合理原则,即个人信息的搜集、处理和使用都必须合法合理;(2)准确性原则,对于个人信息进行处理时,相关人员应确保个人信息的准确性、适当性、完整性以及最新性;(3)目的明确原则;(4)当事人查阅原则,即当事人具有知悉其个人资料是否被处理的权利,同时有权对其个人资料的不准确或非法的部分进行适当的改正和删除;(5)无歧视原则,即不能因为当事人的种族、肤色、宗教等的差异性而对其个人资料进行自动化处理;(6)安全原则,即应当保证个人资料安全性,防止其丢失和破损。
1.个人信息的一般保护模式
(1)自律主导模式。自律主导模式突出市场的作用,在对个人信息的收集、传播和存储过程中,通过契约的方式来约定交易双方的权利和义务。但是自律主导模式由于缺少对公共秩序的考虑,使得个人信息本人对于特定个人信息使用和处理的同意在法律上是否具有合法性受到质疑。在个人信息保护领域,美国是这种模式的典型代表。美国对此的基本立场是,政府作为国家机关,应该是社会的服务者,政府权力的使用应当审慎,不能过分干预市场,从而为企业发展创造一个相对宽松的环境,但是更深层次的原因则是为了维持其网络霸权地位和巩固贸易霸权地位,维护其国家利益。
(2)立法主导模式。与美国不同的是,欧盟在个人信息保护方面采取了立法主导的模式,其深层次原因在于欧洲国家在经历了两次世界大战以后,国家非常重视对公民权利的保护,而且欧洲公民对于政府非常信赖,认为政府是实现社会保护的必要前提。立法主导模式有覆盖范围广、规制程度深、执行机构健全的特点,使得这种立法能够全面严格的保护个人信息。
2.个人信息的民法保护模式
(1)一般保护模式的启示。自律主导模式和立法主导模式都有各自的优缺点。自律主导模式虽然能够为企业的发展提供自由的环境,但是却把个人信息的保护寄托于市场机制下,使得个人信息的保护面临市场失灵的风险和挑战,而个人很难真正控制他人对其个人信息的使用,而商家也难以在保护个人信息方面花费很大成本。民法力求通过私法自治实现一种有序的社会状态,强调主体意思自由应当受到尊重。目前,我国的信息市场还不健全、主体间力量不均衡,也不具备美国那样完备的隐私立法,况且我国还未建立隐私权制度。综合考虑以上原因,为了弥补我国在个人信息民法保护方面的不足,我国应该采取统一立法的模式。
(2)我国个人信息的民法保护应注意的问题。我国的信息安全立法正处在不断发展的过程中,目前还存在着诸多问题,使得距离确保个人信息安全、构筑严密的信息安全立法体系还有很大差距。因此,我国在个人信息的民法保护规制的制定方面,应该协调好多社会经济发展状况和法律体系的关系,具体做好以下两个方面:其一,立法规制应与职场自律平衡;其二,个人信息保护与行业发展相平衡。
三、国个人信息民法保护的现状
目前,我国个人信息的民法保护分散于民法、商法等一些部门法的相关法律规范中,还没有形成一部统一的、综合性的、完善的关于个人信息保护的法律,对个人信息的界定不清楚,使得对个人信息的保护相当薄弱,也无法规范政府以及其他组织的行为,而只能寄希望于行业自律,使得对于个人信息的保护处于一种缺乏约束的状态之下,这也导致了在信息化高度发展的当今社会,公民对于自己个人信息被非法使用的情况毫无知觉,同时行政机关也在对相关人的管理中无故收集、传递了很多不必要的信息。因此,为了突破传统的民法保护,我国亟待建立一套完善的个人信息保护的法律。
四、国个人信息民法保护的立法构想
个人信息保护作为民法的特别领域,适用于民法的一般规定,但是个人信息民法保护也有其特殊性的规定。市场主体强势与弱势力量的不均衡是个人信息市场存在的主要问题,因此在我国的个人信息立法中,如何调整这种状态特别重要。在这方面我国可以借鉴国外的成熟经验,在保证信息市场发展下实现个人信息不通主体间的平衡。
(一)对个人信息保护的权利义务主体进行规定
对于个人信息权利和义务如何分配,需要法律确定个人信息的相关主体,个人信息本人与其他信息提供者应是授权与使用的关系,信息的持有者可以在信息本人授权的范围内将个人信息提供给第三人,信息的收集者和使用者可以分为公共部门和非公共部门。公共部门对于信息的收集或者使用必须限制在职权行为或者职权范围之内,而非公共部门在收集人格信息时则必须在得到相关部门的批准,以保护个人信息的安全性。
(二)明确规定个人信息本人的权利
赋予个人信息本人权利是个人信息民法保护的核心,也有着积极的意义,各国在个人信息保护立法中也均有相关的规定。个人信息主体的权利涵盖个人信息的收集、存储、传播以及修改等过程,个人信息保护是为了实现保护个人信息与促进信息流通和社会进步的平衡,因此在赋予个人信息本人权利的同时也需要对其权利进行限制,以防止个人依靠个人信息本人的权利来绝对排除他人对其信息的使用。通常情况下,个人信息本人的权利包括以下几个方面:(1)决定权,决定权是个人信息权利体系的核心内容和首要权利,其适用对象包括未收集的个人信息和已经被收集的个人信息;(2)查询权,个人信息查询权也称信息知情权,是指本人有权利查询其个人信息及有关的处理情况;(3)更正权,是指个人信息本人有权要求信息收集者、使用者对个人信息中不正确、不完整或已经过时的信息进行更正或补充;(4)封锁权,信息本人可以要求其特定信息不得再被大众或者特定主体查询或者使用,但是个人信息控制者尚可保有这些记录;(5)删除权,个人信息权利人或合法提供者有要求删除有关资料的权利。
(三)对个人信息收集者和使用者的义务进行规定
仅仅通过赋予个人信息本人权利,在个人信息本人权益保护方面是远远不够的,还需要明确规定个人信息收集者、使用的义务。个人信息的收集者和使用者的义务主要有以下内容:(1)说明与提示义务;(2)合理使用义务;(3)合理的注意义务;(4)侵权发生后的补救义务。
(四)对侵害个人信息的民事责任进行规定
要使个人信息权利人的各项权益能够实现,我们必须对侵害个人信息的民事责任进行相应的规定。目前,对于侵害个人信息的民事责任的归责原则,学界普遍认同过错责任的原则,这一原则能够在为个人信息产业发展创造宽松环境的同时对个人信息本人的权益进行保护。
五、结论
过去,我国对于个人信息保护的重要性认识不足,使得在信息时代个人信息遭受侵害的现象相当严重,然而随着社会的发展,我国个人信息民法保护已经历了从无到有,不断发展的过程。目前,我国个人信息的民法保护既具备理论基础,又具有现实必要性,立法的时机已经基本成熟,相应的立法程序也已经启动。在立法过程中我国政府应当借鉴国外经验,构建起完善的个人信息民法保护制度。