随着社会的不断发展,无论是各种政府部门及被授权或者受委托行使一定行政职能的组织,还是各种非政府部门在进行各种活动时,往往会收集、保存大量的个人信息。由于信息技术的不断发展,批量处理和传递个人信息会越来越容易,个人信息遭到不当收集、恶意使用、篡改的隐患也就会随之出现。如一家企业在一次大型招聘会上,不慎遗失了一位女求职者的求职登记表格,上面记载有该求职者的基本个人信息。一个犯罪分子根据拾得的该登记表格,冒充该企业的招聘人员,对求职者实施了犯罪,并杀害了求职者。对于我国而言,通过立法尽快建立个人信息保护制度已是刻不容缓的一件大事。
个人信息保护是一项宪法权利而非普通的民事权利
在国际社会,人们谈论个人信息保护问题时往往将其同隐私权保护相等同,而对隐私权的保障确实是个人信息保护的主要目的和逻辑前提。在最初的阶段,隐私权一直被作为普通法中侵权行为法上的权利,意味着与个人私生活有关的信息不受公开以及属于私事的领域不受干涉的自由,是一种要求他人放任自己独处而不受打扰的权利。
人类社会进入20世纪60年代之后,随着计算机技术的不断发展,信息的大量收集、储存和利用成为可能,这使得隐私权受到侵害的可能性越来越大。因此,传统意义上具有消极、被动等特点的隐私权概念已显得过于狭隘,很难适应社会发展的需要。在这种情况下,出现了所谓“个人信息控制权”的理论,即“所谓隐私权,乃是指个人自由地决定在何时、用何种方式、以何种程度向他人传递与自己有关的信息的权利主张”。这样,现代意义的隐私权在具有消极、静态、阻碍他人获取与个人有关的信息等特性的同时,更具有了支配权的特点。具体表现为权利主体对与自己有关的信息,进行收集、储存、传播、修改等所享有的决定权、按自身意志从事某种与公共利益无关的活动而不受非法干涉的个人活动自由权、其私有领域不受侵犯的权利,以及权利主体依法按自己意志利用与自己有关的信息从事各种活动以满足自身需要的权利。
按照对现代隐私权概念的理解,作为“个人信息控制权”的隐私权所保障的,已不限于传统意义上尚不为人所知、不愿或者不便为人所知的个人私事(即一般而言的隐私),而是扩展到了所谓的个人信息。即可以识别出个人的所有信息。这些信息可以以文字、图表、图像等任何形式存在,并可以附载于纸张、电磁媒体等任何媒介之上。这种认识转变促使隐私权逐步由一种私法上的民事权利,演变为一种公民在宪法上的基本人权。
隐私权的概念和理论最早产生于美国,由路易斯??布兰代斯和萨莫尔??华伦于1890年在哈佛法律评论上首次提出。正是在美国,隐私权被作为一项最为重要的宪法权利而不是普通的民事权利,以宪法惯例的形式得到学术与实务部门(包括联邦最高法院裁决)的确认。类似的,在法国,1958年宪法虽未明确规定隐私权,但法国宪法委员会通过1994年的一项裁决,确认宪法隐含了隐私权。在爱尔兰,宪法未明确提及隐私权,但爱尔兰最高法院裁决,公民有权援引宪法第40.3.1个人权利条款证明隐私权的存在。
隐私权这种基本人权地位在一系列的国际法律文件中同样得到了体现。1948年的联合国人权宣言,明确地保护居所和通讯的隐私不受侵犯。其第12条规定:“任何人对其隐私、家庭、房屋或者通讯均不受武断干扰,对其尊严或者名誉不受攻击。任何人均有权对这种干扰或者攻击获得法律保护。”众多的国际人权文件均将隐私权视为一项重要的权利,公民与政治权利公约第17条,《联合国移居工人公约》第14条,联合国儿童保护公约第16条都采用了相同的表述。特别需要提到的是《欧洲人权公约》,该公约第8条规定: “(1)每个人都有权使其私人生活和家庭生活、其房屋和通讯受到尊重。(2)除非根据法律规定,并且,为了国家安全、公共安全或者国家的经济福利,为了防止无序或者犯罪,为了保护健康或者为了保护其他人的权利与自由所必须,公共权力机关不得干预这种权利的行使。”该公约的执行机关是欧洲人权委员会与欧洲人权法院,它们在保护隐私权方面非常积极,一贯对第8条的保护进行扩张解释,对限制条件从严解释。实践中,如果政府对私人行为应该加以禁止而不予禁止,它们就会扩充第8条的保护范围,从政府行为扩张到私人行为。由于《欧洲人权公约》在许多欧洲国家具有直接的法律效力,因此,公约第8条的规定在这些国家实际上具有宪法地位,可以被法院援引裁决案件。
在许多国家的宪法中,隐私权的这种基本人权地位也得到了宪法的明确规定和保护。
我国制定个人信息保护法的意义
1.确立个人信息保护制度是保护个人权利的需要
由于信息技术的发展,通过各种可以识别出个人或者同相关信息结合而可识别出个人的信息,便可以勾画出一个人的全貌或者把握其某一方面的特征。现实中,个别政府部门超出职权范围、一些非政府部门超出其业务目的收集利用个人信息的现象随处可见。且由于对个人信息的保存、转让缺乏有效的规范,个人信息被随意篡改、滥用以及被非法转卖牟利的现象时有发生。如房地产开发商或其职员非法转卖购房者相关个人信息等。在另外一些场合,由于缺乏法律依据,使如何划定个人隐私权与其他社会利益的界限非常困难,存在各种争议。据报道,上海准备在2010年之前安装20万个监控摄像头,建立全面的“社会防控体系”。这一消息在市民中引起了广泛的关注,引起此举是否会侵犯隐私权的许多议论。
同时,由于个人对于有关组织所收集、保存的本人信息无权查阅,以至于对于自己的哪些信息为他人所掌握、该信息是否与事实相符等往往无从把握。现实中,有关组织基于有误的个人信息而对本人作出各种决定的现象并不鲜见。当人们体味着信息化给生活带来的种种便利的同时,又不得不面对个人生活空间逐步缩小的现实。因此,随着信息化社会中大量个人信息被收集利用,必须尽快确立我国的个人信息保护制度。
2.确立个人信息保护制度有利于促进信息的共享与自由流动
个人信息保护法一方面需要保护个人权利,同时,另一方面又不能阻碍正常的信息流动,加大市场主体的交易成本,阻碍社会的进步。尤其在信息时代,信息作为战略性资源,其自由流动具有重要的基础性意义。如果对个人信息的保护走入极端,势必使每一个人都成为一座座“信息孤岛”,全社会成为一盘散沙。因此,如何协调好个人信息保护与促进信息自由流动的关系,是各国立法当中最为重视的一对核心价值。
在国际社会,个人信息保护法均突出强调了协调好两者关系的极端重要性。正如欧洲理事会协定在导言部分明确提出的那样:“考虑到遭受自动处理之个人数据越来越多地跨国流动,由此应当扩大对大众权利及其基本自由的保护,尤其是对隐私权的尊重;同时重申成员国无论国界而保证信息自由流通之承诺;承认必须在遵守隐私的基本价值和尊重信息在国家间自由流动两者之间达至平衡。”欧盟在说明制定共同的数据保护指令的原因时指出:“为了消除个人数据流动中的障碍,各成员国对个人数据处理中个人的权利和自由的保护措施必须相同;各成员国对于个人权利和自由特别是隐私权,在个人数据处理过程中不同程度的保护措施可能会阻止这些数据在成员国之间的传送;这些差异因此可能对许多欧共体的经济活动形成障碍、扭曲竞争并阻止各国政府履行欧共体法律所规定的责任。”同时,欧盟指令第1条明确规定:“各成员国应对个人数据处理中自然人的基本权利和自由,特别是他们的隐私权予以保护。各成员国不应限制或禁止出于与第1款所提供的保护
有关的原因,而在各成员国之间所进行的个人数据的自由流动。”为协调这一对价值,域外立法在制度设计上可谓煞费苦心。
在我国,部门之间信息封锁缺少信息共享,是非常普遍的现象。这种现象的形成有着非常复杂的原因,其中一个重要原因就是缺少对个人信息的充分保护。因此,通过立法建立完善的个人信息保护制度,能够有效地促进信息共享与自由流动。
3.确立个人信息保护制度可以促进我国的电子商务和电子政务健康发展
随着信息化的不断发展,电子商务这一被称为21世纪经济增长原动力的商业模式,在国民经济中的作用越来越重要,电子政务也已被视作建设高效、透明政府的重要举措。在网上交易过程中,消费者的许多个人信息往往会在知情或者不知情的情况下被商家收集。消费者往往因担心个人信息的安全而放弃进行网上交易,仍旧选择传统交易方式,这在很大程度上制约着我国电子商务的发展。同样,没有安全且值得信赖的个人信息保护体系,也就同样不可能建成值得人们信赖的电子政府。可以说,个人信息保护制度,是推进电子商务与电子政务的一项基础性工程。
4.制定个人信息保护法可以促进国际交往,在国际关系中保持主动
在国际舞台上,个人信息保护不仅是一个基本人权问题,也极有可能成为某种新的贸易壁垒。实际上,这种趋势已经非常明显并且会进一步加速。在人权层面上,一旦我国批准公民与政治权利公约,对个人信息保护的国际压力会越来越大。在国际贸易层面上,随着新加入欧盟的国家逐步达到欧盟指令的要求,欧盟以及其他国家完全有可能根据对第三国个人信息保护水平的判断,对个人信息的跨国流动作出单方面的限制,进而影响到整个国际贸易的正常进行。尽管美国在个人信息保护问题上与欧盟有不同的看法,并且美国正尽量利用其影响力,在诸如经合组织、APEC等框架内推行其理念,但是,最终效果现在尚难预料。无论如何,一个个人信息保护法制不健全的国家,肯定会在国际人权与国际贸易两方面腹背受敌,受到其他国家或国际组织的打压。与其届时被动改变,不如现在主动改革,通过制定个人信息保护法,树立良好的国际形象,在国际关系中保持主动。
5.确立个人信息保护制度可以进一步推动政府信息公开工作
经过多年的实践和理论研究,我国在推进政府信息公开方面不断取得进展,相关的制度构建工作正在顺利推进,“公开为原则,不公开为例外”的观念已经深入人心。可以说,实现政府信息的共享,有效利用信息资源,是推进我国政府信息公开的一大动力。政府信息公开中很重要的一点,就是要明确不公开信息的范围,这其中就包括对个人信息的保护问题。如果没有完善的个人信息保护法,对何谓个人信息、如何保护个人信息、如何在个人信息的公开与不公开之间作出选择等作出明确且具有可操作性的规定,有关部门就有可能以保护个人信息之名,拒绝公开政府信息,或者以公开政府信息之名,公开他人个人信息。由此可见,完善的个人信息保护制度同政府信息公开制度有着相辅相成、不可分割的关系。没有完善的个人信息保护制度,绝不可能有真正的政府信息公开制度。
6.制定个人信息保护法可以推动我国信息化法律体系的建设
大力推进国民经济和社会信息化,以信息化带动工业化,实现跨越式发展,是党中央、国务院的一项战略决策。全面推进信息化,立法工作是其中的一个重要环节,是一项基础性的工作。只有尽快构建有中国特色的信息化法律体系,才能为信息化建设提供制度保障,推动信息化的进程。国家信息化领导小组《关于我国电子政务建设指导意见》明确提出,要“加快推进电子政务法制建设,加快研究和制定电子签章、政府信息公开及网络与信息安全、电子政务项目管理等方面的行政法规和规章”。在《国家信息化领导小组2004年工作要点》中,再一次将信息化法律法规建设放在了重要的地位,提出“继续推动电子签章法、《政府信息公开条例》的制定,研究起草个人数据保护法、《网络信息安全条例》”,“加强信息化立法调研工作,研究提出信息化发展的相关立法计划”。尽管我国信息化法律体系如何构建还需要进一步的研究和探索,但个人信息保护法毫无疑问是其中的一部基础性法律,是构建个人、企业与政府三方良性互动关系中最为重要的环节之一。制定个人信息保护法,必将推动我国整个信息化法律体系的建设。
域外主要立法模式
由于欧盟与美国在世界上的经济、政治地位,以及它们对其他国家个人信息保护立法的影响非常大,通常将它们视为是个人信息保护立法两种不同模式的代表。
欧盟毫无疑问是个人信息保护立法的模范和先驱。欧盟国家最先关注信息通讯技术对社会的影响问题,并导致欧盟于1995年制定了欧盟数据保护指令(1998年10月开始生效)。欧盟指令价值倾向明显,覆盖范围广泛,规制程度深,执行机制健全。在欧盟指令的要求下,所有欧盟国家(新近入盟10国除外)均已完成了新一轮的个人信息保护立法或者修法工作。尤其是,欧盟指令规定,第三国的隐私法律只有经欧盟委员会判定达到“充分的”保护标准,才能自欧盟向其进行跨境个人信息传输。这样,非欧盟国家纷纷开始制定个人信息保护法,以满足欧盟指令的要求。虽然世界上制定个人信息保护法律的国家很多,但迄今为止,只有加拿大、阿根廷、匈牙利和瑞士通过了欧盟的“充分性”判断标准。
美国是一个尤其重视企业的创造力与创新性的国家,其权利法案对传统个人权利的保护对世界各国宪法也产生了重大的历史影响。对于网络和现代通讯技术所带来的海量个人信息收集、存储和处理,根据美国官方的说法,它们既有利于跨境贸易和电子商务,也会引起对个人隐私权的担忧。美国政府的政策取向是,既要在国际范围内保护个人隐私,又不应阻断跨境信息流,影响电子商务和跨境贸易。美国政府希望通过对隐私保护采取平衡的规制方式,创造有利于创新的最佳增长环境。美国官方认为,美国的规制方式更加注重防止对个人信息滥用所造成的实际危害,因此可以保持商界最大的参与。相反,欧盟指令不加区分地适用于所有的行业,适用于个人数据处理的所有环节。
在立法思路上,目前,美国没有设定隐私保护最低要求的综合性联邦法律。相反,美国对隐私保护采取了一种灵活的策略。美国政府认为,自律机制(包括企业的行为准则,民间“认证制度”以及替代争议解决机制)再加上政府的执法保障,可以有效地实现隐私保护的目的。为此,美国政府一直保持与商界和消费者团体的对话,鼓励更多地保护隐私,采用自律性的隐私保护政策。另一方面,在某些高度敏感的领域,美国政府认为适宜通过相应的立法保护个人信息。美国国会通过的法律所保护的高度敏感个人信息,包括儿童信息、医疗档案以及金融数据。并且,美国行政当局已经制定了行动计划,以进一步防止身份盗窃、发送垃圾邮件以及未经授权使用社会保险号等行为。为实现这些目标,美国联邦贸易委员会已经宣布了一项主要的隐私保护执法计划,增加资源,保护消费者的消费信息不被滥用。
在国际上,美国政府一直通过各种国际组织,如经合组织、全球电子商务对话、泛大西洋商务对话以及各种消费者组织等,推行其隐私保护灵活策略。经合组织1980年制定的隐私保护与跨境数据流指南,1998年全球隐私网络渥太华宣言,都明显地体现了美国的策略,强调了自律规制的重要性。目前,经合组织正在进行的项目包括进一步鼓励使用隐私保护技术,加强对使用者网络隐私意识与观念的教育。同时,在APEC,也积极讨论、起草一份隐私保护框架,包括隐私保护的
原则与实施机制。APEC隐私保护框架以经合组织指南为主要参考,争取在个人信息保护与信息的自由流动之间保持平衡,也反映了美国在隐私保护问题上的策略。该框架已经于2004年11月在APEC领导人峰会上最后通过。
尽管欧盟委员会从未对美国的个人数据保护体系发表过正式意见,但美国自律式的隐私保护体系能否通过欧盟的“充分性”保护标准在欧盟一直遭到许多怀疑。为此,美国对欧盟及其成员国进行强力游说,希望让它们承认美国达到了充分保护的水平。1998年,美国开始与欧盟就隐私保护的“安全港”协议进行协商,以保证数据的跨界流动。在这种体制下,由美国公司自愿作出承诺,表明遵守由美国商务部和欧盟委员会内部市场司制定的一系列隐私原则,这样,这些公司就被假定达到了充分保护的要求,可以继续接受来自欧盟的个人数据。如果美国公司违反这些承诺,美国联邦贸易委员会与法院可以以虚假陈述为由对其加以惩处,但实践中基本上是由业界进行自我管制。美国与欧盟对安全港的谈判进行了近两年,其间受到隐私保护团体与消费者团体的猛烈批评。
不论是欧盟立法模式还是美国立法模式,都有其合理的地方,更重要的是,都有各自的价值观和社会基础作为支撑。作为第三方,比较好的选择是分别吸取其有益的经验,并结合本国的国情作出具体的制度设计。日本学者在这个问题上观点非常鲜明,值得我们借鉴。日本学者丝毫不讳言日本的个人信息保护立法外形上类似欧盟立法模式,实质上采纳了许多美国的做法。我国的立法应充分吸收、借鉴欧盟与美国的经验,在每个具体的制度设计上,都充分考虑将两者的长处结合到一起,并反映中国社会生活的现实与长远需要。