科技法学人
网站介绍
联系我们
征 稿
  文章搜索:
  科普活动
 
文著协欲起诉苹果 因未经授权提供
代价太高 苹果安卓专利官司每年花2
第十五届中国专利金奖企业唱主角
《中国创新型企业发展报告2012》在
知识产权局副局长:大力加强专利代
1-10月新增注册商标2.1万件总量突
复印教材:合理利用还是非法侵权?
日式料理或将成非遗 已通过相关审
三星放弃专利封杀 避免遭欧盟反垄
  知识产权资讯排行
如何保护个人信息?
【著作权案例】张旭龙诉汤加丽侵
北京市知产局查获一起涉嫌假冒阻
关于申报2013年度重庆市科技型中
工商总局为中关村设商标事务处理
东盟峰会及东盟与对话伙伴国峰会
投稿须知
世界知识产权组织总干事:中国国
新闻出版总署:首个国家版权工作
首页 >> 科普活动
科普活动
如何保护个人信息?
张维
发布日期:2009-09-07     浏览量:3819

 

 

如何保护个人信息?

 

              本期主持:记者  张维《法制日报周末》

              本期嘉宾:

              欧阳武工业和信息化部信息安全协调司副司长

              齐爱民重庆大学法学院教授、博导  

              格雷厄姆·萨顿(Graham Sutton) 欧洲数据保护项目委员会及数据保护咨询委员会副主席

              李欲晓 北京邮电大学人文学院院长、教授

              洪海林西南政法大学民商法学院讲师

 

话题背景 

2009513日,扰攘世人长达一年半的香港艳照门事件终于宣判,作为发放艳照源头的计算机维修员史可隽被裁定3项不诚实取用计算机罪名成立。日前,在珠海发生的另一起“艳照门“事件的制造者,即利用手机短信、互联网散播前女友真实身份、家庭住址和裸照、性爱视频的李姓男子也被珠海市金湾区人民法院以侮辱罪,一审判处有期徒刑16个月。泄露他人信息尤其是敏感信息的加害者终自食其果,受害人由此亦获得宽慰,但其中凸显的我国个人信息保护法律缺位问题所引发的思考却不会因此而尘埃落定。无论是这类案件中敏感个人信息被泄漏后给特定当事人所带来的巨大伤害,或是近年来在网络上愈演愈烈的人肉搜索作为最恐怖的网络通缉令,还是日常生活中每一个人都会遇到的垃圾短信的不堪其扰,最终都集中折射出个人信息被滥用的现状及个人信息亟待立法保护、个人信息利用亟待立法规范的问题。

2003年我国开始组织学者起草《个人信息保护法(专家建议稿)》,但迄今这一众所瞩目的法律仍在研究之中,而现实中个人信息遭到滥用的情况却日益严重,全社会对此的关注程度也越来越高。就哪些信息属于法律应当保护的个人信息,个人信息因何被滥用,个人信息保护立法的终极目的是什么,在个人信息保护法缺位的中国,应如何保护个人信息等这些社会关注的问题,本报特别邀请了理论界和实务界的有关专家对此发表看法。

 

焦点一哪些信息属于法律应当保护的个人信息

主持人:随着我国社会整体法治观念和权利意识的增强,公民对于自身的权利保护要求远远胜于从前。同时,信息社会的到来,又使人们也对个人信息的价值有了一定的认识,要求立法保护个人信息的呼声日益高涨。那么,是否所有的个人信息都属于法律应当保护的对象?个人信息立法是否会对个人信息作出甄别从而只对某些特定信息,比如涉及隐私的敏感信息进行保护呢?

欧阳武:究竟哪些个人信息需要通过法律来保护,各国有不同的界定。欧洲的个人数据保护指令规定,除法定例外的情形,处理个人信息都需要授权。授权有两种,一是专门法的授权,二是信息主体的授权。信息主体的授权就是个人同意。被个人数据保护指令排除在外的情形包括与公共安全、防务、国家安全和刑法领域,另外就是自然人的纯家庭活动。美国的情况有所不同。美国只对特定领域和特定机构处理个人信息进行成文法保护,如涉及个人信用评级、涉及个人健康的信息,以及政府部门处理个人信息,而对其他个人信息,通常是采用普通法来保护。我不倾向采用敏感信息或是隐私的概念,因为这两个概念在理解会存在歧义,因而会带来大量的解释工作。我个人认为,信息保护应当覆盖所有的个人信息(法定例外除外),重点应当是防止滥用。

           

 

齐爱民:个人信息是指可以直接或间接识别本人的信息,如个人的姓名、性别、年龄、血型、健康状况、身高、人种、地址、头衔、职业、学位、生日、特征等。个人信息并不限于数字,包括影像和声音。信息无所不在,个人信息亦是如此。然而,法律只保护符合一定条件的个人信息,而并不能机械地认为但凡个人信息都应该受到个人信息保护法的保护。一般而言,个人信息保护法仅保护被记录以及可以处理的信息,换句话说,就是存在于数据库中的个人信息。从法律性质上看,个人信息属于人格利益的一种,是人格权的客体。一般情况下,个人信息的主体仅限于自然人,不包括法人。

格雷厄姆·萨顿(Graham Sutton):个人信息对于其主体而言属于人格的范畴,而不是财产;虽然部分个人信息(即敏感信息)涉及到隐私,但个人信息与隐私无法等同,因此建议中国立法者将个人信息界定为主体的人格利益。欧盟指令以及欧洲议会等个人信息保护宪章以及OECD个人信息保护指引等国际法渊源的逻辑起点是只要“个人”可以被识别,任何与之相关的信息均构成“个人数据”。

这一方法在欧盟个人信息保护示范法中被广为采用的同时在实践中也暴露出一些问题:一是“可识别”的含义如何确定,因为任何人都可能被他人识别,而如何才能将某一信息与特定个人联系起来,从而使该信息作为其人格利益之一的个人信息呢?对此,欧盟指令规定个人信息包括声像,这在一定程度上对该问题的解决有所帮助。二是对(与本人)“相关”这一术语的理解,其标准是不清晰的。对于这些问题,中国立法者应当根据自身的国情遵循人格利益保护的思路进行处理。

                 

李欲晓:这一问题是个人信息保护立法的理论前提。而这一问题的解决又有赖于以下两个问题的解决。一是与个人信息处理相关的各个主体之间的权责划分。如信息主体对个人信息享有哪些权利?信息主体是否可以交换其个人信息?信息主体与信息管理者及社会公众、第三人之间的权责如何划分等等。这也是进一步回答个人信息究竟是人格(人格权的客体)、隐私(隐私权的客体)还是财产(财产权的客体)的前提。单纯的人格权保护模式可能不全面。第二个问题是个人信息是否有价值。如何衡量个人信息的价值?商品是有价值的,因为它是可以交换的。对于个人信息也是如此,如果个人信息只是个人使用,并不能进行交换,那它就是没有价值的。

          

洪海林:个人信息保护既是对信息主体人格的保护,同时又涉及信息主体的财产利益。由于文化传统等方面的原因,各国对隐私的认识有很大差异,能否将个人信息保护制度建立在隐私权理论基础上,还需进一步探讨。

首先,个人信息是人格的重要维度。在信息社会中,人除了物理意义上的存在之外,还是一种“信息存在”,几乎所有的人类活动都具有信息形式的记录,人因此具有了一个全面的信息化外观。有关个人的信息在一段时间内累积到一定程度,就能构成与实际人格相对应的“信息人格”。基于此,传统的人格利益不仅表现在特定人身的生物体上,同时还表现为与人身相分离的个人信息之上。

其次,个人信息还与财产利益紧密相关。依传统见解,人格权与财产权界限分明。但随着社会经济的发展,特定人格权已进入市场而商业化。在形形色色的人格权中,哪些人格权具有为法律所承认的财产利益,是一个值得探讨的问题。一般而言,可以综合考虑以下两个标准:一是在事实上能否为商业利用;另一个标准便是这种利用能否为社会通行的伦理观念所接受,是否符合社会发展的需要。就现代社会人们日益重视的个人信息而言,我认为个人信息符合上述两个判断标准,具有财产利益内涵。

我国个人信息保护立法应当从人的全面保护与人的全面发展的高度来界定个人信息。

             

          

    

焦点二个人信息因何被滥用

主持人:中国社会科学院200932日发布的“法治蓝皮书”,随着信息处理和存储技术的不断发展,我国个人信息滥用问题日趋严重。除了有关机构超出所办理业务的需要,收集大量非必要或完全无关的个人信息,及未获法律授权、未经本人许可或者超出必要限度地披露他人个人信息及擅自提供个人信息外,更为恶劣的是“非法买卖信息已经形成产业”。社会上出现了大量兜售房主信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息的现象,并形成了一个新兴的产业。比如,个人在办理购房、购车、住院等手续之后,相关信息被有关机构或其工作人员卖给房屋中介、保险公司、母婴用品企业、广告公司等。个人信息为何会被滥用,甚至形成产业化趋势?

欧阳武:随着经济的繁荣与发展,个人信息的商业价值已经十分明显。开发利用个人信息应当以不侵害信息主体的权利为前提,破坏了这个前提,也就是说损害了信息主体的权利,就可以断定个人信息被滥用了。个人信息滥用包括两个方面的含义。一层含义是,涉及对信息主体负面社会评价的个人信息,传播即为损害;另一层含义是,一般个人信息如果使用必然导致对信息主体的不利后果,则使用即为损害。对于个人信息的买卖,应当禁止,因为,买信息者必然会使用,同时,信息拥有者为了利益也会反复出售个人信息,必然造成多家购买者反复重复使用个人信息,给信息主体的生活安宁带来负面影响,损害信息主体的利益。但是,个人信息并不是不能利用,而是必须在法制的范围内,合理的利用,这就是为什么要制定个人信息保护法的原因。

齐爱民:个人信息被誉为21世纪最有价值的资源,它不但可以为政府决策提供依据,并可以被商业利用产生利润。个人信息价值被认识的开端,也就是掠夺与侵害的开端。无孔不入的商业机构为了经济利益也争先恐后地加入了数据挖掘的行列,对个人信息的争夺,似一场没有硝烟的战争在社会各个领域悄悄蔓延。商业机构手中掌握的个人信息比政府还要详细,个人的权利尤其是隐私不得不进一步萎缩。市场经济制度下商业活动频繁,商家为了获利必然充分利用一切可以利用的资源,对消费者的购买需求和购买能力的分析是商家制定营销战略的首要依据,而消费者的性别、年龄、职业、学历、收入、兴趣、病史等个人信息本身就是消费者的隐私。在利益驱动下,商业机构收集个人信息的能力发挥得淋漓尽致。再加上精明的商家总是攀援政治这棵大树,通过购买,甚至无偿从政府部门获得他们想要的个人信息,然后加以处理和利用。据行业分析人士报道,互联网门户网站的主要收入有两个:一个是发布网络广告,另一个就是出售网民的个人信息。

格雷厄姆·萨顿(Graham Sutton):个人信息保护问题随着网络时代与信息时代的来临显得日渐突出,尤其是在商事领域。这是因为营销的网络化、互动化与关联化使经营者接触客户个人数据的机会呈几何形态地增加,对信息加以收集、传输、分析与利用的手段繁多且隐秘,而顾客与商家频繁的网络互动也极易使前者的隐私暴露在众目睽睽之下。此外,在网络环境下一切个人信息均表现为数字的形式,而数据库成为商务环境下个人信息最重要的载体。与此同时,客户个人信息与隐私在数字空间多以电子邮件地址、个人网页网址、IP地址以及网络用户名以及密码形式存在。而网络病毒入侵、骇客攻击以及经营者本身管理失误都为侵犯客户个人信息权的行为提供了温床。以上问题也早已引起了顾客的关注。例如,据牛津大学专家在2002年进行的一项调查显示,三分之二以上的因特网用户都认为商家对其个人信息进行了网络侵权;又如,20031CNNIC公布的《中国互联网络发展状况统计报告》显示,中国网民中只有3.1%对我国网络隐私保护现状感到满意。

李欲晓:个人信息的利用主要有商业性利用和非商业性利用两种,两种情况都存在侵害个人信息的情况。目前大量侵害个人信息的行为主要是在网络普及以后,利用网络的便利进行的。一方面,计算机网络等信息通讯技术极大地便利了个人信息的收集和利用;另一方面。我国缺乏相关法律规范个人信息的利用尤其是商业利用行为,商业机构为了从个人信息中谋取商业利益,非常容易超出正当的界限收集与利用个人信息。

 

【焦点三】个人信息保护立法的终极目的是保护个人信息还是防止滥用

主持人:通过上面的讨论,我们已经知道个人信息保护要求源自个人信息在实践中被滥用的现状,那么,是否可以因此认为防止个人信息被滥用就是个人信息保护立法的终极目的?还是说此仅为表象,在此之背后还有一个更高的与公民权利有关的保护个人信息权的立法目的?

欧阳武:个人信息保护立法有很多任务,例如明确信息主体在其个人信息的使用过程中的权利,确立个人信息保护的原则,建立个人信息保护的监管机构,监管程序和监管措施,等等。因此,可以说,制定个人信息保护法是一个多目标决策,要同时达到多种目标之间的平衡。我认为,保护个人信息和防止个人信息的被滥用之间,并不是相互排斥和互相对立的,不是说达到一个目标,另一个目标就实现不了了。恰恰相反,二者之间是一致的、互相促进的关系。保护个人信息的同时,也就达到了防止滥用个人信息的目标。

齐爱民:在立法目的方面,虽然有保护个人权利和利益与促进个人信息和合理利用之平衡的追求,但是保护个人权利为个人信息保护法的最终目的。据此,个人信息保护法的宗旨仍然是保护,而不仅仅是防止滥用。个人信息保护立法是为了保护个人信息还是防止滥用一直是欧盟和美国的争论问题,欧盟基于人权的考虑,将个人信息保护立法建立在保护的基础之上,而美国基于信息的利用对社会发展的巨大推动作用,而将个人信息保护法建立在防治滥用的基础之上。这样的结果是欧盟的个人信息保护立法的水准明显高于美国,但带来的反作用也很明显,比如同时形成于美国和欧盟的征信业却发展水平截然不同,美国的征信业的发展水平远远超过欧盟,这被业内人士认为和政府对待个人信息立法的基本态度有关。但是,对商业发展和人权保护进行考量,我认为人权保护更加优位,因此我国个人信息立法应该以保护为宗旨,而不停留于防止滥用。

格雷厄姆·萨顿(Graham Sutton):欧盟指令第1条是在保护人权尤其是信息数据权以及许可个人数据在欧盟国家间相互流通二者间寻求一个平衡点,显然这一目标是重要的。但在实践中还需要在其他方面寻求更广义的平衡点。在现代的多元社会中,为政者为执行公益职能越来越倾向于对个人信息的利用,而无论这些数据来自于公法抑或私法主体。个人信息保护规范不应限制特定组织对个人数据的合法利用,而应为适当利用个人数据提供制度框架。因此更广义的平衡点应当在相关组织合法利用个人信息(包括但不仅限于个人信息的跨国流通)和信息所有者本人在信息处理中现有的信息隐私权等权益之间寻求。

应当说,两种不同意义上的利益平衡对中国而言同样重要。在对个人信息处理的过程中,发生冲突的利益既包括了自然人对信息隐私享有的权益、跨国流通所带来的效益以及其他社会主体的相关利益,也包括了它们所不能包含的其他方面的利益,如消费者的人格利益。因此,中国立法者在确定立法目的时应当遵循传统的方法,首先从较广的范围上确认哪些利益需要进行保护,然后确定当这些利益发生冲突时如何加以协调;同时,在对消费、新闻以及电子商务等特殊领域的个人信息处理行为作专门规制时,立法者可针对这些领域中的特殊利益进行权衡。

李欲晓:从一定意义上说,防止滥用和保护个人信息是一个问题的两个方面。防止滥用必然是个人信息保护立法的一个重要方面;另一重要的方面是个人信息立法也要保障和促进个人信息的合理使用。个人信息保护法必须在防止滥用和促进合理使用之间找到一个平衡。

洪海林:个人信息保护法应当是全面保护个人信息并促进个人信息合理流通的法律。欧盟的个人信息保护立法强调对个人信息的全面保护。美国的做法与欧盟的做法则形成了较为鲜明的对比,针对公共部门对个人信息的收集、处理与利用制定了个人信息保护法律,但就非公共部门而言,美国则极其强调自律,仅针对某些特殊需要以立法形式加以规范的领域制定特别法。欧洲的模式有利于个人信息得到全面的一体的保护,而美国的模式有利于在有限保护个人信息的前提下充分促进信息的自由流通。但是,任何对上述理论的单一的强调均可能引发弊端:欧洲国家的全面立法可能会阻碍个人信息的正常流通,束缚企业的自由发展;美国的放任的企业自律模式则可能会导致部分企业不择手段地规避个人信息保护的政策,侵害个人信息。

事实上,信息保护与信息流通并非完全此消彼长的关系,相反,二者之间可以相互促进:完善个人信息权利的保护,必然增强消费者参与交易的信心与安全感,进而也就会促进个人信息的健康流通与相关交易的发展;相关交易的发展同时也有利于探索更为严密与科学的个人信息保护途径。所以,我国的个人信息保护法在立法理念上一定要力求兼顾个人信息的全面保护与个人信息的合理流通,达到二者之间的和谐与平衡。

 

【焦点四】在我国个人信息保护法尚未出台的情况下,如何保护个人信息

主持人:2003年我国开始组织起草《个人信息保护法(专家建议稿)》,截止到今天,社会各界对于制定《个人信息保护法》的呼声始终很强烈。尤其是2009228日刑法修正案(七)的通过,更被认为将会对《个人信息保护法》产生一种“倒逼”作用,个人信息保护的立法进程将大大加快。但毕竟现在大量涌现的个人信息被滥用的事实已经等不及这一法律的出台,亟需相应的规范。因此,对于社会公众来说,最为关心的话题是在个人信息保护法尚未出台的情况下,如何保护个人信息?

欧阳武:这是一项具有挑战性的工作。加强个人信息保护,说到底就是要让企业或机构承担起保护个人信息的义务,不得随意收集、处置、使用个人信息或是在收集、处置、使用个人信息时需要按照一定的规范进行,这是需要成本的。如果没有法律上的要求,企业或机构就不会支付这方面的成本。我们把主持人的问题换一种说法,就是,没有法律强制的情况下,如何让企业或机构增加个人信息保护的支出。我想,有一种压力来自于社会舆论,来自于伦理道德。对于不顾社会公德,恶意使用个人信息的行为,要进行舆论批评,对于做得好的,要进行表扬。做得好还是不好,要有标准,因此,我认为,在个人信息保护法尚未出台的情况下,制定个人信息保护的规范,并动员社会舆论对企业或机构遵守规范的情况进行监督不失为一个好办法。作为行业组织,也可以主动开展行业自律,树立行业的整体形象。政府机关通过鼓励和推动行业开展个人信息保护自律工作,也是推进个人信息保护的一个抓手。

齐爱民:中国应积极推进个人信息保护立法的进程,在没有出台个人信息保护法之前,应该积极倡导信息伦理和行业自律来实现非法律的规范手段对个人信息的保护。信息伦理和行业自律规范没有法律的强制力,但是也有它自身的强制措施,比如行业协会对个别违背信息伦理或者个人信息保护规范的企业的制裁等。然而,行业自律这种在美国占主导地位的法律外保护机制并不适合中国,我们不能像美国那样以自律机制为主导保护个人信息。因为我国缺乏自律传统和观念,民间组织发育不全,社会自治能力也较弱。若采取自律机制,非但不能在保护个人信息方面发挥监督和保护作用,反而有可能沦为国内外企业争相掠夺的个人信息的帮凶或者冷酷的沉默者。但是,自律机制和法律机制并无矛盾,它们可以共生于一个社会,因此,我主张在统一立法的前提下,政府应鼓励行业自律,发挥民间的保护作用。当然,制定个人信息保护法仍是最为紧迫的任务。

格雷厄姆·萨顿(Graham Sutton):考虑到个人信息立法在中国很难一蹴而就,而司法与行政救济体制也不可能短时间内建立起来,我们至少应当在现阶段发挥行业自律规范的作用。在未来的中国立法中,应当确保执行机构有充分的职权对个人数据处理的行为进行调查并在必要时进行追诉。同时该机构应当有权受理申诉以及当事人的其他请求。欧盟通过制定与实施行业自律规范来弥补成文法的不足。在欧盟成员国中行业规范的法律地位各异。在诸如英国等欧盟国家,其规范对于监管机构是否正式认可行业机构所制定的规范问题未作规定。而在其他成员国,监管机构的认可是必要的,否则该规范只能起到参照适用的效果。

考虑到中国遵循的是制定法与政府机关主导模式,因此中国未来的立法中应当赋予监督者对公权力机关加以监管的职权,并且有权力对违反义务的处理者提起诉讼。由此,司法与行政救济相结合的模式应当作为中国的最终选择。而在现阶段,应发挥行业自律规范的作用。中国立法者对于制定与遵守行业规范的优势应当慎重考虑。为发挥其功效,既可以直接将其加以适用,也可以将其纳入未来中国正式法律当中作为其中的一部分。

李欲晓:在中国个人信息保护法缺位的情况下,《民法通则》关于人身权的规定及相关司法解释可以在一定程度上保护个人信息,但这对于商业机构大量处理个人信息的现状来说,其保护范围和保护力度方面都还存在不足。除此之外,行业组织的自律规范,以及商业机构的业务制度等等,也能对个人信息提供一定程度的保护。然而,不管是行业组织的自律规范也好,商业机构自己的业务制度也好,对外都不具备法律效力,只能靠行为主体的自我约束。尤其是我国公民素质还有待提高,靠自觉是很难解决问题的。因此,在中国个人信息保护法缺位的情况下,个人信息的保护必然捉襟见肘,个信息保护立法依然是迫在眉睫。

洪海林:在我国现阶段,个人信息保护法尚未出台,个人信息的全面保护还离不开自律保护、技术措施保护等其他保护机制。事实上,国家立法保护个人信息仅是个人信息保护的必要条件,而非充分条件。个人信息的全面保护,需要国家立法保护机制、自律保护机制与技术保护机制的协调发展。

通过自律的机制对个人信息进行保护,在我们这样一个对社会问题的解决通常采行立法主导(包括政策主导)的国家,通常容易被忽视。其实,自律机制有其独特优势:一方面,如果自律机制得以成功施行,则能够降低个人信息保护的立法资源成本;另一方面,自律规范如果是为某种特定行业大多数企业所公认,并在该特定行业内具有广泛的权威性并能够得到较好地遵守,那么这样的自律规范是能够保护个人信息的,并且这种自律规范还能较好地解决特定行业个人信息保护的相关特殊性问题。

在信息社会,个人信息的收集、处理、利用及传递,在大多数情况下均离不开信息技术。因此,个人信息的保护,有时还应当考虑通过技术措施(如加密技术)得以实现。

 

 

 

 

[收藏] | [打印] | [关闭]
 
本网站由齐爱民教授创办并提供全部运作资金
建议使用IE6.0以上1024*768浏览器访问本站
投稿信箱:[email protected][email protected] 
版权所有©2014-2015:重庆协同创新知识产权网   渝ICP备09015651号 技术支持-鼎维重庆网站建设专家