[论文摘要]我国于2013年2月1日实施的个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》,表明个人信息保护工作将“有标可依”。但是从个人信息保护的有效性讲,该指南仅具有指导性。个人信息保护仍然应上升到法律层面,实现法治化。
[论文关键词]个人信息 立法模式 行业自律
一、个人信息内涵
个人信息作为一个法律概念,是随着信息社会的发展而出现的,一方面作为识别个人的资料被广泛需求,另一方面又遭到严重滥用。个人信息是指个人姓名、住址、出生年月、身份证号码、医疗记录、人身记录、照片、工作单位等,单独或与其他信息对照可以识别特定个人的信息数据资料。从法律角度,个人信息具有以下基本属性。
(一)个人信息代表主体的特定性
个人信息是现实生活中和个人有关的一切信息,包括范围广泛:个人身份认定资料、个人背景及其他资料等。这些信息能反映个人的很多方面,通过多种社交方式以不同形式记载在多种媒介上。通过考察记载于各种媒介上的个人资料,及结合其他相关信息,便可以描绘出一个人的某一方面特征或某一社会状态。这些个人信息具有在众多群体中识别特定主体的功能。
(二)个人信息内容具有多样性
个人信息既包括个人隐私,又包括可公开或已公开的个人信息。隐私的特点是具有一定的秘密性,权利主体主动采取措施进行保护,他人只要不进行主动侵犯,个人隐私就能得到保证。隐私权是个人对其私生活安宁、私生活秘密等享有的权利。而个人信息是指能够识别个人的一切信息,包括未公开的和已公开的。在信息社会中,有些个人信息通过多种社交方式必然是公开流通于社会中的,比如,个人身份证号、家庭住址、手机号码等。所以,个人信息中既包括未公开的隐私部分,也包括已公开的其他信息。
(三)个人信息具有人身性和财产性
个人信息的人身性,主要体现在人格利益。个人信息表面上记载着公民个人识别性和个人背景材料,但这些信息实际上承载着人格利益。体现为公民个人希望对个人信息的独占,享有未经主体同意就不能被他人知晓和利用的权力。在生活中,泄露的个人信息一旦被滥用及非法使用,往往会给当事人造成一定的心理恐慌和精神困惑,这将严重妨碍日常生活。同时,个人信息作为一种被商业需求的信息,可以通过允许他人使用信息获得一定的利益,因而具有一定财产属性。
二、我国个人信息保护的法律现状
我国现有的一些法律虽然涉及对个人信息的保护,但比较零散,尚未形成完整的法律体系。现有法律法规中涉及个人信息保护的内容有200多个条文,分散在37部法律、15部司法解释、124部行政法规和部门规章中。现行法律未将个人信息作为直接的保护对象,对个人信息的保护散落在各部门法及行业规范中。首先,在隐私权保护方面中,仅提供了有限和间接的保护名誉权的规定中,《宪法》和《民法通则》都有对隐私权的间接保护。其次,在通信领域、居民身份证个人信息保护方面、储户个人信息保护方面、公民医疗信息保护方面、个人档案保护方面,主要通过在《邮政法》、《居民身份证法》、《传染病防治法》、《执业医师法》、《护照法》、《档案法》等单行法中设置专门条款对公民的个人信息加以保护。在个人信息的保护手段上,主要依靠行业内部规范或信息持有人、控制人的单方承诺,如《中国工商银行员工行为守则》、《医务人员医德规范及实施办法》、《医疗机构病例管理规定》等,但由于目前金融、电信、房地产等行业目前还没有稳定的、具有约束力的个人信息管理规范,所以,个人信息管理和保护仍很不到位。除了上述对不同领域的个人信息的规制外,法律也加大了对侵犯个人信息的处罚力度。尤其《刑法修正案(七)》新增加了“出售或非法提供公民个人信息罪”和“非法获取公民个人信息罪”,加大了个人信息犯罪的刑法打击力度。
2013年,2月1日起,国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)正式实施。该《指南》属国家标准“指导性技术文件”类,对利用信息系统处理个人信息的活动起指导和规范作用,目的是提高企业个人信息保护技术水平,促进个人信息的合理利用。《指南》的出台将对后续个人信息保护的相关工作起到指导性的作用,相关监管部门可以依据国家标准的技术支撑,规范企业对个人信息的使用。
从目前我国的立法来看,虽然《指南》出台,标志着我国针对个人信息处理行为将“有标可依”,使公民对个人信息保护的诉求得到有效解决。但是这个标准仅具有指导性,没有强制执行力。而目前我国的个人信息保护主要是个人隐私信息,但在隐私保护方面,也仅仅只是提供了有限的、间接的隐私保护。与国外相比,远未达到提供有效保护的程度。
三、国外个人信息保护的立法借鉴
目前,国外有关个人信息保护的立法模式有两种:一种为欧盟模式,即制定一个统一的个人信息保护法来规范个人信息的收集、处理和利用,并设置一个综合监管部门集中监管。另一种为美国模式,即分散立法和行业自律相结合的模式。分散立法和行业自律分别体现在公领域和私领域,监管部门也是根据个人信息的具体不同内容来分别设置。
(一)欧盟模式——统一立法
欧盟在个人信息保护方面采取了以国家立法为主导的模式,主要通过综合立法来实现对个人信息的保护。其特征体现在:1.通过综合立法对个人信息进行保护。其对个人信息的法律保护要经过两个层面:首先,由欧盟发布“指令”,为各成员国制定数据保护的法律框架提供依据。《数据保护指令》、《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》、《关于在信息高速公路上收集和传递个人数据的保护指令》、《隐私与电子通讯指令》等一系列条约或指令,对欧盟各成员国制定个人信息保护法起到了宏观指导作用。其次,欧盟成员国在统一指令框架下,根据指令的内容和本国实际情况制定了个人信息保护法。如德国的《通信法案》、《多媒体法》以及《联邦数据保护法》等。2.欧盟模式在内容上更关注对私人领域的个人信息保护。欧洲国家认为个人信息权利是公民的一项基本权利,公民有权自主决定其个人信息是否公开。欧盟成员国对于政府权力的限制较少,主要通过国家综合立法来确立个人信息保护的原则、具体制度和措施。