随着微时代的到来,信息传播速度不断加快,当前个人信息面临着被严重非法泄露的问题,其导致的危害也无处不在。每天醒来,通过电话、短信、电子邮件、QQ信息、普通信件及铺天盖地而来的推销广告让人不甚其烦。这就意味着每个人的信息资料包括姓名、职业、电话、家庭住址等在内被公然暴露在世人面前。而网络上的信息泄露现象就更为严重,不只是上网的账号和密码,几乎所有的信息都有被“偷看”的价值和可能,公民个人信息法律保护面临着更为较为严峻的形势。由于我国现行立法对个人信息保护规定较为笼统,导致实务中存在较多问题,许多侵犯公民个人信息的不法行为得不到应有的打击与制裁。因此,针对侵犯公民个人信息进行研究与分析,在司法实践中具有十分重大的现实意义。笔者撰写本文拟对个人信息法律保护模式进行研究,在此基础上对我国个人信息法律保护的模式选择及具体制度构建进行探讨,以期推动我国个人信息法律保护体系的完善和相关实践的发展。
一、个人信息的概述
(一)个人信息,是指自然人的姓名、性别、出生年月日、民族、婚姻状况、家庭教育、教育背景、工作履历、健康信息、财务状况等任何单独或与其他信息比对即可识别的特定的个人的客观信息。我国出台相关的法律法规来对个人信息进行保护的原因有两个,首先为了能充分地保护公民的人格权,避免公民的人格权遭受侵害,特别是考虑到对其中隐私权的保护;其次是为了促进个人数据信息的合理利用,消除个人信息流动的障碍,来促进经济和社会的进步以及贸易的发展。
(二)个人信息的法律特征
个人信息是与特定个人相关的信息,是一个自然人非常重要的人格权之一。其具有以下本质特征:1、可识别性。个人信息是个人所具有的、或与个人相关的所有可识别信息,如果公开这些信息,与个人有关或无关的其他自然人,可以根据信息直接定位于特定人,并根据自己的需要加以利用。2、社会性法律中信息的社会性要求旨在强调信息规治所体现的法律制度的社会性,以至于在深层意蕴上体现人的社会性。3、具有人身性。在信息社会中除了物理意义上的存在之外还是一种信息存在。人的存在不仅以生物体形式展现,还能够以信息数据的形式被描述,人具有了一个不同于生物外观的信息化外观。在这个意义上,人就是关于其各种信息组成的集合。基于此,传统的“人格利益不仅表现在特定人身的具相之上,同时表现为与人身相分离的信息上。4、兼具财产性。依传统见解,人格权乃存在于权利人自己人格上的权利,因出生而取得,因死亡而消灭,在权利关系存续中不得让于或抛弃,系属于所谓的非财产权。5、个人信息之上的权利是一项基本人权,它包括公民的基本权利、自由、特别是人格和隐私利益。
二、个人信息法律保护的意义
(一)保障信息社会基本人权的全面实现。充分实现和享受人权是全人类追求的共同理想与目标,人权观念和人权理论的出现,是人类文明进步的重要标志。当今,社会已经发展到信息社会阶段,人们的“自决”,有很大一部分内容是关于自身信息的自决,个人信息权利成为基本人权的重要组成部分。
(二)有利于促进信息的共享与自由流通。个人信息流通有助于经济与社会的发展,对我国而言,个人信息流通也是参与国际社会经济竞争的必要环节,如以保护本国公民个人信息免受非法侵害为由而拒绝个人信息的跨国流通,则势必将自己孤立于国际社会之外。然而个体的权利必须保障。因此,如何协调好个人信息法律保护与促进信息自由流通的关系,是至关重要的一个问题。在这一对价值中,偏废任何一个方面,都是不可取的。在我国,部门之间信息封锁、缺少信息共享是非常普遍的现象。这种现象的形成有着非常复杂的原因,其中一个重要原因就是缺乏对个人信息的充分保护。同时,完善个人信息法律保护制度,能够大大地信息共享和自由流通。
(三)进一步深化国际经济合作,促进对外开放。
(四)可以推动我国信息化法律体系的建设。大力推进国民经济和社会信息化,以信息化带动工业化,实现跨越式发展,是党中央、国务院的一项战略决策。
三、我国个人信息法律保护的现状
我国尚未出台专门的个人信息保护法,现有法律法规中涉及个人信息保护的内容有200 多个条文分散在37部法律、15部司法解释、124部行政法规和部门规章中。概言之,目前我国有关个人信息的法律保护状况是通过在《护照法》《居民身份证法》等单行法中设置专门条款对公民的个人信息加以保护,相关规定极为分散、不成体系。在个人信息的保护手段上,主要依靠行业内部规范或信息持有人、控制人的单方承诺,由于掌握个人信息的行业如金融、电信、房地产等行业目前还没有稳定的、具有约束力的个人信息管理规范,所以个人信息管理与保护的具体格局和模式尚未形成。理性地选择和建构我国个人信息法律保护的模式和具体制度。所以这类案件在调查的过程中陷入了尴尬的境地,最后,也没有一个明确的量刑标准。对于以后警示相似的案件,不能发挥作用。如果侵害人利用这一点的法律漏洞,而变本加厉,后果更是无法想象。笔者认为,我国应借鉴经济和互联网技术发展较快的美国和欧洲国家关于个人信息法律保护的模式,结合我国现有法律体制进行完善。
四、现行法律对公民个人信息法律保护规定的不足
(一)个人信息泄露现状凸显严峻化。随着生产力的发展,计算机、网络在全球的应用和普及,使现代社会迅速发展成为一个信息化社会。信息化催生微时代,使信息渗透到了生活领域的方方面面,个人信息成为信息社会的一项重要资源,也面临着前所未有的威胁。基于信息的战略性地位,商家对信息的争夺从来没有停止过,在这场战争中,受害的只有公民本人。在现实生活中,公民在公共服务领域提供个人信息一般是基于格式化的合同,因而没有选择性,这就导致了掌握公民个人信息的单位或个人将公民信息非法提供给他人甚至转卖牟利的情况时有发生。获得公民信息的商业公司或个人利用公民信息推销商品、服务,干扰了公民正常生活,给公民带来诸多不便,有的甚至用掌握的信息诈骗或者从事其他的非法活动,给公民的财产和人身安全造成了隐患乃至损害。随着个人信息被泄露的现象变得越来越严重,公众要求有关部门采取措施保护公民个人信息的呼声渐高,这引起了社会各界的重视。以法律的形式明确保护公民个人信息已是刻不容缓,在此背景下,中华人民共和国第十一届全国人民代表大会常务委员会于2009年2月28高票通过了《中华人民共和同刑法修正案(七)》,其中的一个亮点就是增设了侵犯公民个人信息犯罪,这标志着公民个人信息的保护上升至刑法层面。
(二)个人信息法律保护缺乏其他必要的法律作为基础。我国目前还没有针对个人信息保护的法律规定,只在我国《宪法》和《民法通则》等法律中有关于隐私和公民权利保护的条款,刑事诉讼法规定涉及个人隐私的案件一律不公开审理等,有的法律甚至没有相关内容的规定,就使得侵犯公民个人信息犯罪缺乏有力的其他法律作为必要的基础,因而在适用上缺乏法律基础。
(三)个人信息保护的刑法保护过于单薄。刑法作为最严厉、最后的制裁手段,需要其他法律先为某种利益确权,以此为基础。在没有其他法律对公民个人信息明确作出规定的情况下,刑法就将泄露公民个人信息犯罪化,是缺乏基础的。这也违背刑法补充性和第二性的性质,体现不出刑法最后保障的功能价值。因此,在没有其他法律作为依托的情况下,靠刑法单枪匹马,显然不足以有效地保护公民的个人信息。
(四)缺乏一整完整的个人信息保护法律体系。要有效的保障公民的个人信息,需要加强这方面的立法。到目前为止,已有50 多个国家设立了《个人信息保护法》,而我国尚未设立这方面的专门法,并且我国也没有建立一整套有关个人信息保护的法律体系,明确将个人信息作为直接保护对象的法律法规少之又少。目前我国的个人信息保护散见于各法中,规定得又不明确、不全面。对所有的法律法规进行修改,显得不现实。在信息行业力量不强,行业自律难以实现的前提下,笔者认为应借鉴西方经验,德国的做法就值得效仿,即通过制定一部《个人信息保护法》,统一规定个人信息的收集、处理、利用及消除,从而切实有效地保护公民的个人信息,以弥补单独立法上的空白。
(五)犯罪主体规定太限定。首先要明确第一款规定中的“等”的含义。根据罪刑法定原则,在没有明确的司法解释出台之前,只能把本罪的犯罪主体限定在上述修正案列明的单位之中。也就是说,第一款的犯罪主体只能是在特殊单位工作的人员。然而,这样的做法恰好让现实生活中的一些犯罪分子钻了法律的空子,实施了侵权行为却得不到应有的法律制裁。
(六)犯罪客观方面表述不明确。犯罪对象“公民个人信息”的范围需明了,关于个人信息的概念,目前并无通说, 个人信息的范围十分广泛,几乎囊括有关个人的一切信息、数据或者其它情况,所有的这些几乎都可以认定为个人信息。从通常意义来说,个人信息的外延要比隐私更为宽泛。同时犯罪程度“情节严重”需明确,根据刑法修正案
(七)第七条的规定,情节严重是构成该罪的必要条件。即本罪犯罪行为只有达到了“情节严重”的程度才能构成犯罪,即本罪是“情节犯”。但是到目前为止,尚无相关司法解释出台来具体规定 “情节严重”的认定标准。由于没有相应的司法解释,审判工作人员就无法参照解释内容作出判断,在没有相关司法解释的出台的背景下,这就使得该条款的适用存在一定程度的困难,造成了司法标准不统一,认定不准确的困境。在司法实践中,实际上也很难判断行为人的行为是否达到犯罪情节严重的程度。过失犯此罪是否纳入刑法调整未说明,
五、公民个人信息法律保护制度的完善建议
(一)立法保护待加强。我国对公民个人信息虽然从立法上进行了保护,但从公民个人信息保护对立法的要求来说,还是缺乏一部系统的、专门的规范公民个人信息保护的法律制度,现行规定处于“一盘散沙”的状态。对于公民个人信息的保护仅凭刑法的“单兵突进”是远远不够的,单一的刑事制裁也容易陷入“孤立无援”的境地。要切实做好对公民个人信息的保护工作,关键还在于强化人们对公民个人信息的重视意识以及建立一套完善的有关公民个人信息保护的体制。就目前来看,我国尚未规定对侵犯公民个人信息的补偿机制,刑法只规定了对违法行为人的处罚而没有对受侵害的权利人如何寻求救济作出具体规定,并且其他法律中也找不到类似的规定。笔者认为,公民因侵犯公民个人信息罪行为遭受人身或其他严重精神损害的,可以就损害事实提起刑事附带民事诉讼或单独提起民事诉讼,以维护其合法权益。相应地刑诉法可规定因侵犯公民个人信息罪犯罪行为而遭受人身或严重精神损害的,在刑事诉讼过程中,有权提起附带民事诉讼或就精神损害单独提起民事诉讼。正因为如此,一部统领意义上的个人信息保护法期待大家期待。
(二)侵犯公民个人信息罪犯罪构成要件应明确。个人信息保护的刑法制度规定过于笼统,缺乏现实操作性。在此应明确本罪的主体构成只能是一般主体,客体为个人信息,具体指那些能给他人谋取正当或不正当的利益提供便利且泄露后将给公民合法利益带来严重侵害的信息。而构成侵犯公民个人信息罪需要达到情节严重,虽然立法本身对什么是“情节严重”的情形未作具体规定,这有待于司法解释尽快作出进一步的规定和细化,但是笔者认为这里的“情节严重”,指将公民个人信息向境外泄露的;多次实施侵犯本罪行为的;侵害对象涉及多人或牵涉较广的;造成严重后果或者造成严重恶劣影响的;获利较多的。
(三)侵犯公民个人信息罪罚金刑的规定需细化。从法定刑设置上看,《刑法修正案(七) 》第七条规定的是“并处罚金或者单处罚金”。立法之所以如此规定,可能是考虑行为人一般采取“出售”等有偿转让的方式来实施侵犯公民个人信息罪行为。那么,如果行为人采取的不是“出售”,而是“非法提供”等无偿转让的方式来侵犯公民个人信息,那么对行为人实行“罚金刑”就显失公正,在此情况下,如果对行为人“单处罚金”,就不合理了。因此,笔者建议应当将侵犯公民个人信息罪的罚金刑明确规定,以适应行为人侵犯公民个人信息是否具有获利等不同情况。即如果行为人采取“出售”等有偿转让的方式来侵犯公民个人信息,在司法适用上应当并处罚金;如果行为人仅采取“非法提供”等无偿转让的方式来侵犯公民个人信息,则不应当适用罚金刑。同样,侵犯公民个人信息罪规定的“或者单处罚金”亦需要完善,即将“单处罚金”改为“可以单处罚金”。因此,笔者建议将《刑法修正案(七) 》第七条规定的“并处罚金或者单处罚金”改为“可以并处罚金或单处罚金”。
(四)社会体制规定上有待完善。个人信息保护作为一项社会工程,应由全社会共同参与进来加入保护信息行列。公民要有个人信息的保密意识,并尽到一定的注意义务,在向陌生人、私人机构提供家庭住址、身份证号码、手机号码等私人信息时要提高警惕性;作为消费者有权向公共服务提供者表明需要保密的态度,要求相关部门加强监管;在提供的有关证件复印件上明确标示出限定的用途等。公民个人信息的持有方,例如金融、电信、交通、教育、医疗等特殊单位,需要完善保密制度,即在采集公民个人信息时要强调个人信息的保密意识。另外,政府要加强监管和执法的时效性,及时建立独立、权威、统一专门的个人信息的执法机构。
(五)明确个人信息法律保护的基本原则 在法治国家和信息化社会中,个人信息法律保护必须坚持三个基本原则:一是合法性原则,即所有对个人信息的使用必须由信息持有 者依照法律规定的程序、经过权利主体的合法授权后进行;二是合理性原则,即列入个人信息法律保护范围的个人信息必须符合善良风俗 和人类基本的道德价值,否则不能成为个人信息法律保护的对象;三是必要性原则,即对个人信息的保护不能阻碍人们之间正常的信息交 流,这是个人信息获得保护的限制性条件。
(六)协调现行法律制度中有关个人信息保护的规定,完善针对不良个人信息行为的责任追究机制。个人信息责任包括民事责任、行政责任和刑事责任三个层次:民事责任的约束力度最弱,行政责任通过国家公权力的介入、行政强制措施的采用来实现对个人信息行为更高层次的调整、监督和保护,刑事责任是最严厉的法律制裁措施,其对不良个人信息行为的矫正力度最强。以上三个层次的法律责任有机结合,共同实现对个人信息的法律保护。
(七)成立专门的个人数据信息保护机构。我国目前还未成立专门的个人数据信息的监督保护机构,当自然人的数据信息安全遭受威胁时,往往面临无处申诉的情况,这严重走啊成了个人数据信息安全保护的缺失和遭受侵害时的救济缺失。笔者认为,政府可在今后针对该个人信息采取倾向于公开的政策,目的是政府机关可以公开常规性的个人信息而不需要启动第三方协商机制。国家应当设立专门的机构来对个人数据信息保护工作统一统筹管理,并制定严格有效的管理政策和出发措施,来维护公民的数据信息安全。
(八)提高个人信息法律保护意识。其实,个人数据信息的保护的根源还是在于自身。树立个人数据信息维护的意识才是最重要的,应当改变传统的安全观念和认知,提高我们自身的数据信息保护意识。我国也应当加强对于个人数据信息维护的宣传教育,展开基层普法工作,让公民树立自觉维护信息安全的意识。
(九)明确隐私权不能替代个人信息权。由于个人信息权和隐私权之间存在密切联系,有人认为,在针对个人信息的专门立法尚未出台之前,可以借鉴美国法上隐私的保护模式,以隐私的形式保护个人信息也未尝不是一种权宜之计。在我国司法实践中,法院也往往采取隐私权的保护方法为个人信息的权利人提供救济。从实用的角度来看,这种做法在一定程度上可以为个人信息提供最基本的保护,且大体上可以涵盖个人信息的基本内容; 但是,通过隐私权的保护来替代对个人信息权的保护,显然并非长久之计。而在我国,自《民法通则》制定以来,已经建立了人格权体系,隐私权只是其中的一种具体人格权。因此,我们不可能通过扩张隐私权的内涵来涵盖对个人信息的保护,否则,在理论上会与一般人格权形成冲突,且会与其他具体人格权制度产生矛盾。因此,在我国未来的人格权法中,不能完全以隐私权来替代个人信息权。尤其应该看到,自《民法通则》制定以来,人格权的体系正日趋完善,在此基础上应该更加清晰地界定现有的具体人格权的范围,使具体人格权更加体系化,而这就要求妥当界定隐私权与个人信息权的关系。隐私权与个人信息权是两个不同的概念,存在一定的区别。但在我国已经具备较为完善的人格权体系,隐私权仅是具体人格权的一种类型,有其特定的内涵。因而,隐私权的保护不能完全替代个人信息权的保护。基于此种考虑,未来立法仍然应坚持强化人格权立法,进一步完善人格权的类型,尤其是应强化对隐私权内容的界定。
在我国,《侵权责任法》等法律虽已承认隐私权的概念,但其权利内容仍不清晰。这就使得对隐私权与个人信息权的关系界定变得困难,并可能导致隐私权保护泛化或隐私权被个人信息权替代的局面,而这些都不利于实现对隐私的保护以及人格权的体系化。在人格权法中明确规定个人信息权和隐私权。在我国,个人信息权尚未获得法律的明确承认,针对个人信息权是否为一种民事权利以及此种权利的性质和内容等都问题尚未作出规定,这无疑是制定专门的个人信息保护法律所遇到的障碍。比较法的经验表明,即便是在制定专门法律的欧盟模式下,如果未能明确个人信息权的性质和内容,并界分其与隐私权的关系,将使得个人信息难以获得全面充分的保护。如果在法律上确立个人信息权,既可以增强政府、企业和个人的权利保护观念,也有利于明确对个人信息权的侵害应当承担何种民事责任。具体做法是首先制定人格权法,全面确认个人信息权。要清晰地区分个人信息权和隐私权,就必须在人格权法中单独规定个人信息权,而非将其附属于隐私权之下。只有明确了个人信息权的人格权属性,界定个人信息权的边界,才有可能为其在其他法律领域的保护确立必要的前提。《网络信息保护决定》虽然提到了个人信息保护,但其未对个人信息权的性质进行定位,因而,侵害个人信息时究竟属于侵害何种权利,及能否适用精神损害赔偿等问题,都无法在该法中予以明确。确认个人信息权为一种人格权,既能防止个人信息权和隐私权的内涵过度叠加或重复,也有助于明确个人信息权的权利范围,方便该权利的行使和保护,并防止对他人行为自由构成不当的妨害。 我国人格权法有必要在借鉴国外判例学说的基础上,确认个人信息权为一种人格权。
从比较法来看,承认个人信息权为一种人格权实际上已经成为一种立法趋势。在欧洲,比较流行的观点仍然是将个人信息作为一项独立的权利对待。可以说,将个人信息作为一种独立的权利是现代社会发展的一种趋势。顺应此种趋势,在人格权法中,应当将个人信息权作为独立的具体人格权而加以规定。个人信息权具有其特定的内涵,可以单独将其作为一种具体人格权而进行规定。法律保护个人信息是为了维护个人的人格尊严和人格平等,确认个人对其信息享有平等、自主支配的权利。如果将个人信息权作为财产权,势必妨害人格的平等性。因为每个个人的社会地位和经济状况不同,信息资料也有不同价值,但对个人信息所体现的人格利益应进行平等保护。每个人的个人信息中所体现的人格尊严都应当受到尊重。法律保护个人信息权,就要充分尊重个人对其信息的控制权。这种控制表现为个人有权了解谁在搜集其信息资料、搜集了怎样的信息资料、搜集这些信息资料从事何种用途、所搜集的信息资料是否客观全面、个人对这些信息资料的利用是否有权拒绝,以及个人对信息资料是否有自我利用或允许他人利用的权利等内容。个人信息权在本质上仍属于一种具体人格权,在人格权法中明确个人信息权的性质,有利于为个人信息权的保护提供法律依据,并实现各种责任形式的互补。这主要是因为,个人信息保护法的责任形式主要表现为行政责任,而在人格权法中规定个人信息权,将其定位为一种民事权利,有利于实现行政责任与民事责任之间的互补。此外,因为个人信息保护法的规范重点是行政机关收集、利用个人信息的行为,而在人格权法中规定个人信息权,将个人信息权定义为一种民事权利,可以赋予个人积极利用的权利。
因此,笔者认为不仅应将个人信息权界定为一种独立的权利,还应将其作为一种具体人格权而加以保护。换言之, 在我国未来的人格权法中,应当将个人信息权作为一项单独的人格权予以规定。其次在人格权法中进一步细化隐私权的法律规则,形成隐私权与个人信息权之间的相互协调,从而为全面保护个人信息厘清界限。虽然我国现行立法规定了“隐私权”的概念,但迄今为止仍未对隐私权的内容加以界定。该概念显然过于宽泛,它实际上是将个人信息全部囊括在隐私之中。既然个人信息权与隐私权之间存在诸多区别,因此,不应将将个人信息权理解为是隐私权的一部分。二者之间存在明显区别,在法律上对隐私权的法律规则进行细化,既有利于清晰界分二者之间的关系,保护人格权法内在体系的一致性,也有利于实现对个人信息的保护。
结 语
刑法关于公民个人信息的规定具有极大的进步意义,它为公民个人信息的保护提供了一种途径,提供了最后也是最强有力的保障。其中存在的不足之处,还有待于在司法实践中进一步检验及司法解释的进一步明确。一部法律的出台或是修改,并不是一件简单的事情,其中涉及到许多利益的权衡,各种意见的博弈,甚至是妥协。要考虑现实,考虑国家、社会的公共利益,也许并不如所期待的尽善尽美。然而,放到现实中,这些问题仍然值得大家商榷与探究。现行法律对公民个人信息的保护的方方面面未予以充分考虑。在微时代信息化飞速发展的今天,个人信息因其独特性而具有特殊价值,理应得到尽善的保护。鉴于此,笔者对公民个人信息的保护提了一些尚不够成熟的看法,以期对完善个人信息保护刑法救济制度乃至法律体系的构建有所裨益。随着立法技术的提高,笔者深信未来有关公民个人信息保护的立法体系将会更加完善,保护措施将更加全面,个人信息将得到切实有效的保护。
注释
1、刘德良《个人信息的财产权保护》《法学研究》2007 年第 3 期第27 页。
2、洪海林《个人信息保护立法理念探析——在信息保护与信息流通之间》《河北法学》2007年第1期第109页。
3、谢天、邹平学《中国个人信息保护的立法模式探析》岭南学刊2011
4、刘睿博《商业秘密侵权及其民事法律问题探讨》学术交流2010(09)61
5、宋艺秋《论突发事件中的个人信息保护》河南师范大学学报(哲学社会科学版)2010(05)131
6、周汉华《个人信息保护法及立法研究报告》(专家建议稿)北京法律出版社2006、79 -80
7、孔令杰《个人资料隐私的法律保护》武汉大学出版社2009:167 -168、张新宝《信息技术的发展与隐私权保护》 法制与社会发展1996( 5)16 -25.
8、李晓辉《信息权利研究》北京知识产权出版社,2006118 -119、李竟《侵犯公民个人信息犯罪问题研究》西南科技大学.2010(6)
9、肖卫兵《论信息公开法中的个人信息例外》理论与探索2007(4)
(作者单位:河北省孟村回族自治县人民法院