作者:中国人民大学法学院教授、网络与信息法中心主任张新宝
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。于信息主体自身而言,个人信息承载着信息主体的人格利益,并且与信息主体的其他人身、财产利益密切相关;于整个社会和国家而言,个人信息具有重要的社会管理价值和商业价值,并且与公共安全、国家安全密切相关。个人信息是信息社会中最为重要的信息资源,个人信息保护问题随着社会信息化而出现和深入。保护公民个人信息,实则是保障民生。我国自1994年接入国际互联网,个人信息保护始终是互联网法治建设的重要内容。当下,切实推进个人信息保护法治发展,应当立足于现有的个人信息保护法治框架,检省现有个人信息保护立法、执法、司法、研究等方面的不足。
(一) 我国个人信息保护法治建设成果
我国自2000年全国人大常委会颁布《全国人民代表大会常务委员会关于维护互联网安全的决定》开启了互联网立法进程以来,个人信息保护法治建设初见成果。十余年来,我国个人信息法治保护初见成果,约40余部法律、30余部法规以及200余部规章涉及到个人信息保护。
法律层面上,2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》是较为针对性的个人信息保护立法,该决定明确国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,首次规定了个人信息保护遵循的合法、正当、必要等基本原则、网络实名制等基本制度,是我国现有个人信息保护的最高层级、最基础性的法律规定,奠定了后续个人信息保护的框架。最近的《网络安全法》中更是将公民个人信息保护作为网络信息安全的重要内容予以规范。
在刑事基本法层面,《刑法修正案(七)》增设“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”,并在《刑法修正案(九)》中进一步完善统一为“侵犯公民个人信息罪”,从维护公民人身权利的角度严厉打击、遏制侵犯公民个人信息违法犯罪行为高发乱象。
在民事基本法层面,2009年《中华人民共和国侵权责任法》明确了隐私权作为独立的民事权利,一定程度上为侵犯公民个人信息事件中受害人寻求司法救济提供依据;在民事特别法方面,2013年新《消费者权益保护法》明确了消费者享有个人信息依法得到保护的权利、经营者收集和使用消费者个人信息应遵守的各项义务。2014年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》也对个人信息保护民事司法中的重要内容和典型情形进行了专门规定。
除了法律层面,大量的行政法规、部门规章也就个人信息保护问题进行了专门规定。其中较为典型的有,2005年中国人民银行发布的《个人信用信息基础数据库管理暂行办法》、2012年国务院《征信业管理条例》对个人信用信息的收集和使用进行了专门规范;2013年工信部《电信和互联网用户个人信息保护规定》对电信业务经营者、互联网信息服务提供者对个人信息的收集、使用、安全保障进行了详细规定;2014年国家卫计委员发布《人口健康信息管理办法(试行)》对人口健康信息的收集、使用等作出专门规定。
(二)我国个人信息保护法治建设检省
从上面对我国现有个人信息保护法律建设成果的部分梳理来看,我国个人信息保护法治建设虽然初见成果,但也折射出我国目前个人信息法治保护的不足,主要体现在以下几个方面:
1. 个人信息保护立法缺少顶层设计
在全国人大常委会《关于加强网络信息保护的决定》之下,应当制定个人信息保护基本法对其规定予以细化和完善。但就个人信息保护法的立法模式选择,适宜进行综合立法模式的我国,尚未制定个人信息保护基本法。
比较法上来看,个人信息立法模式大致分为欧盟制定个人信息保护综合性成文法的综合立法模式和美国仅就行业或特殊问题进行特别立法的分散立法模式。两种立法模式在我国究竟何去何从,主要取决于我国的法治传统和既有法治框架。美国之所以采取分散立法模式,原因在于其已有的强大的隐私权法律体系,能够为个人信息的妥当保护,仅需要针对特殊行业或特殊问题进行专项立法。反观我国,虽然《侵权责任法》明确隐私权为独立的民事权利,但理论界和实务界多倾向于将隐私权理解为消极抵御的权利,隐私权仅仅是具体人格权之一,在个人信息保护方面的作为十分有限。再考虑到我国历来的成文法传统,欧盟式的综合立法模式更为可取,通过一部完善的个人信息保护基本法,对个人信息保护的立法宗旨、利益衡量、具体制度构建等进行全面的规定。虽然早在2003年,原国务院信息化办公室就曾着手个人信息保护法立法工作,第十一届全国人大常委会也将个人信息保护法纳入立法规划,但个人信息保护法至今缺位。
2. 尚未形成完整的个人信息保护法律制度
从前述对个人信息保护法治建设成果的部分梳理来看,在个人信息保护现实需要和立法部门的推进之下,虽然个人信息保护法律规范条文数量较多,但整体立法水平和规范内容有限,碎片化问题突出,重复性规定居多。
在我国现有个人信息保护法律法规中,全国人大常委会《关于加强网络信息保护的决定》是立法性质决定了只能是原则性和宣示性的规定,在其规定之下,由于个人信息保护法的缺位,各部门规章承担其对该决定细化的任务。《电信和互联网用户个人信息保护规定》、《个人信用信息基础信息数据库管理暂行办法》等部门规章一定程度上代表了当前我国个人信息保护的立法水平。从各部门规章的实质内容来看,仅仅是规定了个人信息保护的基本原则、个人信息处理义务等框架性内容,较之国际上成熟的个人信息保护法的规定来看,还缺乏个人信息的类型化、个人信息处理者义务与例外、个人信息主体基本权利、个人信息保护风险评估、个人信息安全泄露通知等全方位的制度规定,使得其适用性有限,不能为公民个人信息提供切实保护。
3. 个人信息执法和监管力度有限
完善的个人信息法治保护应当是包含民事、行政和刑事手段的综合性体系,其中民事手段旨在为个人信息受侵害的信息主体提供救济,刑事手段重在惩罚严重侵害他人个人信息的行为人,而有力的行政监管和执法对于建立个人信息保护秩序、事前预防个人信息侵害而言是不可或缺的。但就我国来看,有关个人信息的行政执法和监管力度有限。目前,我国多行政法规、部门规章都对各自主管范围内的个人信息保护事项的监管职权作出规定,赋予了各部门一定的执法权限,如同九龙治水一般的个人执法机构,造成长久以来个人信息保护行政执法存在多头管理、职权交叉、权限不明的弊病,也导致了个人信息保护监管缺位的实质后果。
(三) 个人信息保护法治发展展望
当前,个人信息保护法的缺位,无疑是我国个人信息保护一系列问题所在,但同时也为我国制定更加科学、完善的个人信息保护提供了契机。未来我国有望在深入观察互联网发展规律,以个人信息保护与利用平衡为导向,借鉴和吸收现有国内外立法的基础上,透过个人信息保护法的具体制度构建,包括个人信息保护基本原则、信息主体基本权利、个人信息处理基本规范与管理制度、个人信息多元共治体系、个人信息监管体制等方面,对个人信息保护作出更为妥当的制度安排。
