1. 引言
随着社会迅猛发展,大数据、云存储和云计算等技术的出现,人类进入了一个新时代即网络时代。网络时代为个人信息的收集、利用、传播提供了空前的便利条件,在降低劳动成本的同时还提高了对个人信息利用的能力和价值。然而我们在享受网络带来精准服务的同时,也不得不承认其对个人信息的安全造成了威胁,个人信息安全问题正面临着日益严峻的考验,法律对个人信息的保护也尚有不足之处。
2. 个人信息概述
2.1. 对个人信息概念的揭示
与上世纪六七十年代立法就相对完善的发达国家相比,我国对个人信息的法律保护起步较晚,稍稍落后于这些发达国家,对个人信息概念的界定也比较模糊。但近些年来我国法学界各位专家就个人信息展开过激烈讨论。例如在“专家建议稿”有专家提议将个人信息规定为“个人姓名”、住址、出生日期、身份证号码、医疗记录等;在“学者建议稿”则有学者将其定义为“自然人的姓名、出生年月日、身份证号码、户籍、遗传特征、指纹、婚姻、家庭、健康、病例、财务情况、社会活动及其他可以识别该个人的信息” [1]。2017年10月最新出台的《民法总则》中并未就个人信息的内涵作出明确界定。相比较而言,个人信息的法律内涵,最完整的表述来自于《网络安全法》,该法以概括和列举两种方式规定了个人信息的法律内涵,即“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”,同时列举了“自然人的姓名、出生日期、身份证件号码、住址、电话号码等”常见个人信息内容。这种定义方法既明确具体列举了所保护的某些个人信息又以抽象式条款保持相对弹性,此种立法方式较为合理
2.2. 个人信息的法律性质
个人信息权利受法律保护已经成为不容置疑的事实,但有关个人信息的权利性质国内学界上还存在争议,国际上各国做法也不一。从不同的角度得出个人信息的法律属性也不同,主要有以下几种观点“所有权说”、“隐私权说”、“基本人权说”以及“人格权说”。“所有权说”认为个人信息是所有权的客体,信息所有人为主体,只要不与法律、公共利益相抵触,信息所有人可享有占有、使用、收益、处分权。“隐私权说”起源于美国法,1974年《美国隐私法》是这一主张典型代表,美国对个人信息保护是通过将普通法中隐私权概念扩张。“基本人权说”多见于国际组织立法,例如《联合国指南》第1条规定“不得用非法或者不合理的方式收集、处理个人信息,也不得以与联合国宪章的目的和原则相违背的目的利用个人信息”,体现了对人的基本权利和自由的保障。“人格权说”以德国法为代表,德国2002年《联邦个人数据保护法》第1条规定,“本法的目的在于保护个人的人格权在其个人数据的处理过程中免受损害”,我国台湾地区2010年修订的“个人资料保护法”第1条规定,“为规范个人资料之搜集、处理及利用,以避免人格权受侵害,并促进个人资料之合理利用,特制定本法”。
目前我国学界主流观点认为个人信息权利是一项具体人格权。长期研究个人信息法律问题的齐爱民教授在著作中阐明个人信息是信息社会中的一项新型的具体人格权。 王利明教授认为,个人信息属于人格权,其可识别性体现了个人的专属特征是人格权中的人格体现。 洪海林教授也提出对个人信息的法律保护很大程度上是对其人格权的保护 [2]。笔者也认为个人信息主要表现为人格权,个人信息是由直接或间接识别出个人身份的一系列信息组成,信息人有控制涉及个人信息的愿望和利益,这种支配和控制正是人格权的体现。个人信息与人格尊严、自由密切相关,根据大陆法系人格权理论,凡是与人格形成与发展有关的都属于人格权客体,个人信息的收集、处理或加工使用都关系到信息主体的人格尊严,也体现了人的伦理价值。但大数据时代下,信息成为一种竞争资源,其经济价值不容小觑,信息的交流和分享可实现信息利益的最大化,个人信息日渐被“商品化”。我们并不否认个人信息具有财产利益,但其精神利益应更为重要,正如传统人格权中的肖像权的财产价值并未被人们忽视。
3. 个人信息法律保护的现状
3.1. 对个人信息法律保护的依据
目前,我国还未制定出一部专门针对个人信息保护的《个人信息保护法》,但在立法上对个人信息的保护也并不是一片空白,它以法律法规的形式以及直接调整和间接调整相结合的方式散见于民法、刑法、行政法、宪法、民事诉讼法等基本法及特别法之中。以直接保护的方法加以调整的有《中华人民共和国刑法》、《中华人民共和国身份证法》、《中华人民共和国护照法》,在《刑法修正案九》中对非法提供和出售公民个人信息的刑事责任作出了明确规定,最新出台的《民法总则》中也直接规定了自然人的个人信息受法律保护;而对个人信息的间接保护主要是通过对人格尊严、个人隐私等方面进行保护,我们可以从宪法中找到理论依据,如2004年宪法修正案中增加了“国家尊重和保障人权“以及第39和40条对公民住宅和通信自由方面的保护 [3]。此外《中华人民共和国未成年人保护法》、《中华人民共和国邮政法》、《中华人民共和国妇女权益保护法》等也分别对未成年、通信秘密和妇女的相关个人信息进行保护。
3.2. 兼评《民法总则》第111条
2017年3月15日正式通过的《中华人民共和国民法总则》对个人信息保护问题作出回应,但该法第111条仅作出“自然人的个人信息受法律保护”这一原则性概括规定,对其权利属性这一问题进行了回避。对此学界中主要存在两种完全不同的解释。一种观点认为,“该条没有使用个人信息权这一概念,表明民法总则未将其视为一项具体的人格权,仅仅是为自然人的个人信息提供了法律保护依据”,该观点被称为“法益说”另一种观点主张,“民法总则虽然没有明确使用个人信息权的概念,但仍可以解释为承认了独立的个人信息权,其性质为人格权”。笔者认为首先,民法总则虽然将个人信息纳入第五章个人权利之中,但该第111条并没有明确使用个人信息权,从法解释学的基本原理来看,对任何法条的解释都不能超出字面含义可能的范围,这也是法解释学的首要原则,所以仅从“自然人的个人信息受法律保护”这一原则性条款难以证成“个人信息权”,即从现有法律规定而言个人信息仅能解释为受法律保护的法益。但笔者认为在大数据时代下个人信息已不同于传统意义上的个人信息,不再只是保存在档案库等地方,传统上个人信息的收集、存储和利用成本都很高,而当今伴随着互联网、云计算等技术的进步个人信息的价值日益凸显成为商业竞争资源,随之而来的个人信息安全隐患也困扰着我们,因此仅将其定义为法益难以达到理想的保护效果。正如台湾学者王泽鉴教授在《民法总则》中所言,“当某种法益在现实生活中具有相当程度的重要性时,或直接经由立法或间接经由判例学说被赋予法律效力,使其成为权利” [4]。不仅如此,个人信息与隐私权相比较其所保护的对象和侧重方面也能做出明确界限,并非浑然一体,个人信息所保护的利益具有独立性,相当作为一种独立的权利。
3.3. 我国对个人信息法律保护不足之处
3.3.1. 没有符合我国国情的保护模式
上世纪七八十年代发达国家就已经通过不同的法律模式对个人信息进行保护,而我国的个人信息在立法方面起步较晚,对个人信息保护存在一定缺陷,需要通过各方努力使其日渐完善。目前,存在两种主要保护模式即行业自律模式和法律保护模式。行业自律模式指通过行业内部的行为规则、标准以及行业协会的监督,来实现行业内的个人信息保护,达到自我规范和约束。美国是一个尤其注重保持市场经济活力和企业创造力的国家,其在充分保证个人信息能自由流通基础上来保护个人信息,以此寻求个人信息保护和促进信息产业发展的平衡点,因此美国是行业自律模式的倡导者。法律保护模式是指由国家主导立法,通过确定各种具体的法律规定和基本原则来保护个人信息。采用该种模式的代表是欧盟地区。我国虽对个人信息的法律保护不是一片空白但大多数只是概括性规定,杂乱无章,未形成完善的法律保护体系,在司法实践中还不能实现为个人信息提供理想法律保护的效果。
发达国家起步早,已形成了独具特色的保护模式且逐渐完善,因此我国也应该根据我国的实际国情,借鉴发达国家的成功经验,形成独特的个人信息保护模式。这样可以在网络科技迅猛发展的环境中,为我国个人信息保护提供切实可行的法律依据。
3.3.2. 个人信息主体范围存在争议
从最新出台的《民法总则》第111条,可以看出其主体仅限于自然人,而对自然人以外的其他主体例如法人并未作出规定。但改革开放后,随着我国经济以及生活水平的日渐提高,自然人以外的其他主体在日常生活中的作用也与日俱增,有些学者指出如不能对公司的信息予以良好保护同样不利于我国经济发展和法治建设。另些学者指出个人信息立法宗旨是保护人格尊严不受侵犯,而对法人的信息保护则侧重于财产利益,例如《知识产权法》、《反不正当竞争法》中对商业秘密有相关规定,若将个人信息权主体扩大,会导致重复立法。
3.3.3. 救济手段缺乏
“无救济则无权利”,当权利受到侵害时必须有救济手段的存在。根据现行相关法律可知,大多数法律仅仅规定了公民对他人的个人信息有保密义务,然而却未规定若违背该义务承担的法律后果。我们以刚刚出台的《民法总则》第111条为例,该法条仅仅规定了不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息,然而对侵犯了个人信息权应该如何处罚未作出具体规定,这并不能发挥法律的震慑作用。加上我国一直有着重刑事和行政轻民事的立法传统,这就导致了侵害他人信息权虽然遭受到刑事或者行政上的处罚,却不能带给被侵害主体任何实质上的赔偿,特别是在精神层面。因此,如今对个人信息的救济手段远远不能满足对个人信息权保护的需求。
4. 进一步完善我国对网络时代个人信息法律保护的建议
互联网技术日新月异,我国个人信息受到侵害的事件也层出不穷,“人肉搜索”、“电信诈骗”、“信息泄露”屡见不鲜,在我们痛恨那些违法分子违背良知的同时,更应该深思如何才能从制度上保护好个人信息权免遭侵犯。个人信息保护的关键应该是平衡各方利益,因为其本身就体现着社会多元利益的权衡与协调,此外还应思考如何才能从制度上真正解决问题,增加可操作性和救济性。
4.1. 建立符合我国国情的个人信息保护模式
美图崇尚行为自由采取行业自律模式,信息技术和互联网产业领跑全球但个人信息保护却备受诟病。欧盟更强调个人尊严的至高无上,因此对个人信息采取严格的绝对权立法,成就了个人信息优先保护典范,但也承受了对个人信息利益设置高门槛的经济损失。两种模式在价值取舍方面均获得了一定收益也付出了一些代价。我国可借鉴两种模式,根据我国实际情况来完善我国个人信息法律保护。笔者认为,首先,以国家立法为主导符合我国需要和法律传统,我国还尚未形成市场自律的氛围,国家统一立法仍有必要,制定一部专门的《个人信息保护法》刻不容缓,并建立独立管理机构监督、调查个人信息保护法实施情况。其次,行业自律可在一定程度上弥补法律的不足,应积极鼓励信息行业实行自律管理,通过行业自律来规范企业行为更具有灵活性和针对性,例如,《大连软件及信息服务业个人信息保护规范》以及《辽宁省个人信息保护规范》在行业内起到良好的示范作用。最后,我国应拓宽公民参与途径,在个人信息保护问题上多倾听民意,可通过网络平台征求意见和完善投诉机制,便于及时发现问题以实现对个人信息更好的保护。
4.2. 扩大个人信息法律保护的主体
从目前已有的有关个人信息保护法律法规中,可发现其主体范围仅限于自然人即信息的权利主体而不包括信息的实际控制人法人。笔者认为,应扩大主体范围将法人纳入其中。主要理由如下:第一,改革开放后市场经济快速发展,一些新的主体为其注入新鲜血液,法人开始活跃在市场舞台并发挥举足轻重的作用,例如公司等,法人与自然人在法律上同等重要。第二,个人信息兼具人格权和财产权两种性质,人格权保护人格利益而财产权保护商业价值,可近年来个人信息财产化的趋势越来越明显,个人信息的商业价值在激烈的社会竞争中的作用尤为突出,法律对法人的保护侧重于财产利益的保护,故现如今应将法人纳入其主体范围。第四,在网络时代下个人信息是一种新型的人格权,其客体、权能、救济途径等方面呈现出新特点,不同于传统人格权,若只保护人格权利显得十分保守和落后 [5]。例如,当一个人的特点被网络数据公司整理为有效的个人信息数据,那么该个人信息属于网络公司还是被加工者呢?最后,虽然对法人的商业秘密在《知识产权法》、《反不当竞争法》中有相关规定,但通过《个人信息权保护法》的专门调整才能实现财产权和人格权并重保护,在司法实践中存在现实需求,同时有利于企业提高效率、避免资源浪费和信息的自由流通。
4.3. 增加个人信息的救济途径以及明确侵害责任
虽然对于个人信息的保护我国并不是毫无规定,但仔细分析大多数仅仅规定了义务人的义务,却没有明确规定被侵害人如何救济和违反义务后的侵权责任,这就使得个人信息的保护成为纸上谈兵。我们应增加各类救济途径。在宪法上,明确规定个人信息,发挥宪法的根本法作用为其他部门法提供理论依据;在民法上,民法救济的成本低、效率高且方便灵活,可通过个人信息请求权,要求对方为一定行为或不为一定行为,使其权利恢复圆满状态;在刑法上,若侵犯个人信息情节严重、社会危害性大达到犯罪程度,也可通过最为严厉的刑法寻求保护。个人信息受侵害后若想及时有效得到保护,必须以事前调整与事后调整相结合的方法作用于个人信息。明确个人信息法律保护的主体以及通过立法为当事人可能行为提供法律模式属于事前调整方法。接着我们需进一步规定个人信息责任的构成要件、归责原则及责任承担方式,发挥事后调整的修补、保障与惩罚功能。情节较轻时可根据民事责任承担方式要求侵害人停止侵害、赔偿损失、赔礼道歉等,情节严重时也可要求侵害人承担刑事责任,《网络安全法》也规定了一定的行政责任。此外,对处罚方式及处罚力度也应作出详细规定,建立问责惩处机制,发挥法律的威慑作用 [6]。
4.4. 增强公民个人信息保护意识
立法和建立行业自律机制虽能为个人信息提供一定保护,但其保护范围与力度仍是有限,公民自己也应强化自我保护意识,防范于未然,才可避免不法分子窃取其信息。真正做到预防为主、防治结合,为个人信息权的保护贡献一份力量。在生活中,不要随意接受网络问卷调查和网络抽奖,同时在使用免费WIFI、手机定位、媒体社交等方面注意保护个人信息,可通过一些加密技术或防病毒软件进行预防。带有我们个人信息的快递单、购物票据、银行账单用完后也要及时销毁。公民提高安全意识,才能从根本上防止个人信息泄露。
5. 结语
通过上述分析,我们可以得出,目前我国互联网产业迅猛发展而与之相关的信息产业还处于起步阶段,网络环境下的个人信息权并未得到有效的保护,在这种情况中即不利于我国公民的个人信息的合法权益维护又会影响我国互联网产业健康发展,因此在网络时代如何有效的保护个人信息权仍然是值得我们深思的问题,只有紧跟时代的步伐,从我国国情出发,制定和完善相关法律法规,学习和借鉴国外先进立法模式,才能在复杂的网络环境中避免个人信息受到侵害并给予充分保护。