【 专题论坛 : 个人信息保护的法理与实践 】
魏健馨, 宋仁超
(天津大学 法学院, 天津 300072)
摘 要 : 信息化是现代社会的特征之一。日本保护个人信息的立法起步早,且特色鲜明。从日本《个人信息保护法》制定与完善的过程可以发现,在广泛借鉴欧美先进立法经验的同时,立法者充分考虑了日本本国的实际情况。这部法律在个人信息的界定、专门监督机构的设置、保护标准以及化解法律实施后的“过剩反应”等方面都很有特色。为了保证该法实施的社会效果,从2003—2005年个人信息保护法律草案到正式实施,政府为此做了充分的铺垫,利用各种途径宣传解读个人信息保护法,并为企业和个人留出了缓冲时间。这些保护个人信息权利的经验和做法值得中国借鉴。
关 键 词 : 个人信息权利; 个人信息保护法; 过剩反应; 个人信息控制说
信息化是现代社会的三大特征之一,信息作为新生事物异军突起,已经渗透到人类社会生活的每一角落。后工业化发展过程中新出现的大数据概念,让人们在悄然之中开始了对信息社会的体验。尤其是扑面而来的信息化趋势,促使社会生活发生了深刻变化。在日常生活中,人们被各种信息包围着,既感受到经由大数据传输获得资讯的便捷,也深陷于形形色色信息带来的困扰之中。特别是在政府职能部门或相关主体搜集、使用与管理个人信息的过程中,显现出“信息不对称”“个人信息被滥用”等消极现象,导致个体合法权益甚至人身遭受损害的现实案例时有发生。这些现实都在警示人们,个人信息及其权益的有效保护是一个值得高度重视的问题,也是需要从宪法与法律层面进行讨论的问题。对已有相关文献资料的检索结果表明,个人信息权 * 作者以“个人信息”为关键词在知网中检索,共检索出期刊论文151篇,其中提及日本个人信息保护的149篇,核心期刊为10篇。可见个人信息保护问题的关注度还是比较高的,日本的相关理论与实践也有可借鉴之处,值得深入研讨。 已经进入学者的视野,成为学术研讨的重要议题。
鉴于日本个人信息权利保护的立法与实施经验有独到之处,本文基于比较视野,通过对日本个人信息权利保护立法的立法宗旨、理论依据,以及机构设置等特点进行学理分析,为中国的相关立法提供具有学术价值的建议,并尽力促进有效保护个人信息权的社会实践。
2017年5月30日(平成29年),日本最新修订的《个人信息保护法》正式实施。最新版本的《个人信息保护法》对个人信息权保护规定得更为细致。其中对匿名处理信息的使用,利用信息的企业资质认定,第三方认证体系,以及对获取个人信息从业者的管辖权由总务大臣转移到个人信息保护委员会等内容,都是完善个人信息保护立法的最新成果。
与中国比较而言,日本有关个人信息保护的立法起步较早。日本立法保护个人信息发端于1988年12月通过的《行政机关保有利用处理的个人资料保护关系法》。该法的制定以《OECD个人资料保护指针》为蓝本,但是该法的适用范围狭窄,仅仅针对行政机关利用电子计算机处理的个人信息。2003年5月,鉴于国内经济形势发展和国际相关法律的制定趋势 * 欧盟1995年颁布“欧盟指令”要求成员国规定,仅在第三国能够确保充分保护个人信息时,才可以向其传输个人信息,并要求设立监督机关监督国内法的实施。此举对于日本影响很大。 ,日本又颁布了《个人信息保护法》《行政机关个人信息保护法》《独立行政法人等个人信息保护法》《信息公开——个人情报保护审查会设置法》《行政机关保有个人信息保护法》五部与个人信息保护相关的法律,统称为《个人信息保护法》。上述法律规范于2005年4月开始全面执行。
《个人信息保护法》在保护个人信息的法律体系中,是比较具有代表性的法律规范,充分体现了立法保护的理念。该法共有六章,分别规定了立法目的与理念、国家和地方公共团体的责任和义务、个人信息保护对策、个人信息处理从业者的义务、法律适用的例外、罚则等事项。《个人信息保护法》的社会意义是多重的。它明确了各个主体在对个人信息的使用处理中所承担的义务,为个人信息权利保护提供了法律依据,并兼顾了个人信息的有效利用及与之相关的个人合法权益的有效保护。
日本保护个人信息权利的法律体系采用统分结合的方式构筑而成 [1] ,即在统一立法的同时鼓励行业自律。在积极吸纳国际规范与国际规制标准的基础上,逐渐形成了从国际法规范到个人信息权利保护法,及至政府的政策与方针的多层次法律规制体系。此外,根据个人信息保护法,政府与民间行业还可以制定个别法或行业自律规范 * 如日本的金融与医疗领域都有相应的行政指导规范。 。最终形成一个相对完善的个人信息法律保护规范体系。
个人信息的内涵,在世界各国的立法中表述各不相同。例如中国台湾地区《个人资料保护法》与德国1990年《联邦资料保护法》中的专用名词为“个人资料”;美国《隐私权法》将其称为“个人隐私”;日本《个人信息保护法》界定为“個人情報”。笔者认为,“个人资料保护”在文意方面主要侧重于对于承载个人信息的资料的保护,对于个人信息直接的保护未有充分的说明。如在台湾地区2010年修订的《电脑处理个人信息保护法》中第一条规定:“为规范个人资料之搜集、处理及利用,以避免人格权受侵害,并促进个人资料的合理利用特制定本法。”而对个人资料与个人信息两个名词的理解,至少在文义上存有一定的距离。美国则以“个人隐私”之名对个人信息加以保护,于中国而言也是扩大了对于个人隐私的认定范围,由此一来,无关乎个人隐私的那部分信息并不能进入法律保护的视野。比较而言,日本所采用的“個人情報”与中国所要保护的个人信息更为相似相通。日语语境中所谓“個人情報”之“情報”包括以下三层意涵。其一是消息、信息,有关事务、事件的通知。其二是就某一特定目的,有助于做出准确判断或者决定行动意志的资料或知识。其三是给机械系统或生物系统发出的指令或信号,如遗传信息。日本《个人信息保护法》对个人信息的定义是:“有关生存个人的信息,即通过该信息中包含的姓名、出生日期等和其他表述能够识别特定个人的信息以及含有个人识别符号之物 * 「個人情報保護法」第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。一、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)二、個人識別符号が含まれるもの。 。因此,日本立法中对个人信息内涵的界定经验,值得中国个人信息保护立法借鉴。
日本个人信息保护立法体现出最新的保护理念。针对不同的发展背景,日本个人信息保护法所遵循的基本方针经历过四次调整,以体现最新的保护理念,这在公布的官方文件中均有所体现。仅2016年就有两次调整,而这两次也最具有代表性,并最终形成了现行立法的指导方针。立法宗旨的前后变化非常明显。此前的表述为“個人情報の保護に万全を期すため”——即实现对个人信息的全方位保护,此后进一步明确个人信息的范畴,将合理有效利用有益于新产业的创造、有益于有活力的经济社会、有益于富裕的国民生活部分的个人信息与其他的个人信息相区别,同时也明确了各个主体都应当促进个人信息合理有效的利用。最终形成了“保护个人权利权益,兼顾个人信息有用性”的基本原则,目标是在充分保护的前提下,实现个人信息社会效益的最大化。
日本2017年正式施行的《个人信息保护法》修正案,将原来隶属于政府各省主务大臣的分散于各个领域的监督权,转移并集中到个人信息委员会,确立了个人信息权利保护的一体化监督体制。
日本个人信息保护委员会的专门化设置,与利用个人信息的主体发生变化密切相关。最初对个人信息权利的立法保护以监督行政机关为目标,这种体制设计与计算机技术的发展趋势息息相关。20世纪70年代前后,日本国内个人和企业计算机的应用尚未与大规模收集、保存、利用个人信息相联系,但政府职能部门已经开始广泛应用计算机技术对公民个人信息进行管理,自然引起学术界对政府公共权力有可能过度收集与控制公民个人信息现象的警惕。有鉴于此,1988年颁布的《行政机关保有电子计算机处理的个人信息保护法》 * 《行政机关保有电子计算机处理的个人信息保护法》于1986年开始编撰。 ,专门针对利用计算机处理个人信息的政府行为进行规范。包括现行的《个人信息保护法》第七章罚则中排在首位的第82条规定,对于委员会的委员以及事务局的职员等公务人员泄露、盗用在公务中知悉的信息,将被处以2年以下的有期徒刑、100万以下的罚金。可见立法者将对政府利用个人信息的法律规制放在重要位置。
与之相对应,对民间利用个人信息从业的企业和个人的法律规制则相对滞后。对此当时日本国内有社会共识,即一旦经由立法确立统一标准规范,便会妨碍各类主体有效利用商业性个人信息,进而不利于市场活力与经济发展。同时人们认为对于那些不规范使用个人信息的企业,市场本身具有自发筛选与淘汰机制,大可不必动用法律进行直接干预。媒体甚至忧虑“政府将以保护隐私为由干涉公民表达自由” [2] 。正是在这种观念的驱动下,立法者设计并建构了兼顾统一立法和民间行业自律的个人信息委员会制度。
个人信息保护委员会以《个人信息保护法》为法律依据,确立了“保护个人权益利益,兼顾个人信息有用性”的指导原则。委员会由委员长与八位委员组成,委员长与委员各自独立行使监管职权。其主要职责是对行政机关、企业等个人信息获取者进行指导、监督、检查;认定和监督个人信息保护认证机构;设立专门窗口接受关于个人信息有关的投诉,解答相关的法律问题;并对利用个人电话号码等信息的行政机关、企业的个人信息保护和风险应对体系进行评价等。委员会对全国公众公开统一办公电话,公众可就个人信息问题进行询问、投诉等。
根据《个人信息保护法》的规定,非公务部门引发的个人信息侵权行为,行政机关可以针对违法或者不当的个人信息处理行为发出劝告或者命令,同时也允许各种民间团体参与纠纷处理。通过建立有效的事后救济体系,防止政府行为对市场的过分干预。在该法第83条明确规定,个人信息从业者盗用个人信息又不正当地提供给第三方从业者,将被处以一年以下有期徒刑,同时处50万元以下罚金。
日本对于个人信息权利的法律保护,始终坚持积极吸纳国际标准的立场,这种行事风格符合其一贯作风。
1980年OECD * Organization for Economic Cooperation and Development简称经济合作开发组织,1948年由欧洲16个国家发起设立,现有含美、日在内的34个加盟国。 颁布了关于隐私与个人数据保护的“OECD八项原则”,日本作为加盟成员国,积极引进并吸收其作为保护个人信息权利立法的指导原则。在个人信息保护法之下,为了给相关企业提供更为具体可行的行政指导,通商产业省于1999年制定了JISQ15001标准——个人信息管理体系标准。通过确立国家标准,对于利用个人信息的各类企业的规格和要求事项等进行专门性行政指导。这样就使得企业在充分利用个人信息创造经济效益与社会效益的同时,又有切实可循的规范管理方式,最终目的在于减轻企业成本、降低企业风险、提高企业效率。对于符合个人信息保护指导标准的企业,日本信息处理开发协会予以认证(privacy mark),让普通民众对获取自己个人信息的企业拥有更为直观的评判依据,进而在自我个人信息保护方面,获得真正意义上的主动权。
日本保护个人信息权利的国际化,体现为一直在不断引进国际标准认证体系。如ISMS(Information Security Management system)适合性评价制度,是进行认证的第三方认证机关的基准。该标准不仅包含“安对制度” * 1982年7月20日通商产业省342号公告的《信息系统安全对策实施事业所认定制度》所创立的制度,较为关注对于设备等的管理,后为Isms所替代。 中针对设施设备等技术层面的安全管理标准,同时还有专门针对操作人员的安全管理标准。ISMS的评价依据是日本工业标准调查会的JIS Q 27001,而这一标准正是ISO/IEC 27001 * ISO/IEC 27001标准,最初起源于英国标准协会(BSI)制定的国家标准BS7799,是系统化管理思想在信息安全领域的应用。随着国际标准化组织(ISO)与国际电工学会(IEC)的联合,英国标准协会(BSI)的相关工作转化为国际标准。 的忠实日语表达,完整保留了国际规格的严谨性。ISMS适合性评价制度所涵盖的范围极其广泛,包含与信息技术相关联的各个领域,除了信息的合规利用,对于利用信息进行的各项业务都在规制对象范围之内 * http://isms.jp/about/情報セキュリティマネジメントシステム適合性評価制度の概要.访问时间:2018年1月7日。 。
作为一般财团法人的日本信息社会推进协会,在信息管理系统认证中心设有针对IT服务的ITSMS评价制度,涉及企业事业服务的停止、继续的BCMC评价制度,以及对于计算机网络安全的CSMS评价制度。上述由系列评价制度所构成的评价体系,其中设定的评价认证标准,毫无例外都是对现行国际标准进行本土化改造后所确立的。
日本还吸纳TRUSTe作为第三方认证机构 * 该认证机构最初出现于1997年的美国。宗旨是在互联网上构建可以被信赖的认证,为个人及政府提供可信赖的审查服务。 。该认证制度的基本标准也是以“OECD八项原则”为基础,但其具体标准相较于日本的个人信息保护法对企业提出了更高的标准。在标准国际化方面,TRUSTe在世界范围内都是非常具有代表性的。TRUSTe标准包括与《欧盟美国个人信息保护协定》《APEC个人信息越境规定》相对应的内容,而且还分别设立了针对个人信息获取的从业者资格CPA认证,个人信息管理者资格CPP认证,个人信息保护最高责任者资格CPO认证。此外,TRUSTe提供便利完善的服务机制,在网上就能轻松地获得服务,相关投诉也有相应的处置机制 * https://www.truste.or.jp/more/TRUSTe一般社団法人日本プライ.访问时间:2018年1月8日。 。
公开信息显示,TRUSTe为全球5 000多家企业提供隐私认证服务,中国知名企业腾讯旗下的“微信海外版”(WeChat),也于2013年获得了TRUSTe的国际认证。从中可以充分看出,在个人信息权利保护的国际格局中,TRUETe所具有的代表性与世界性。
这种向欧美发达国家吸取先进立法经验与国际标准的做法,以及不断发展完善的个人信息权利法律保护体系,为日本企业与国际接轨提供了较好的法律保障。在实践中所积累的纠纷解决经验,对日本个人信息法律保护体系的完善也是一个良性的驱动力量。
不同的逻辑起点会导致不同的制度设计与安排,最终产生不同的社会效应。日本个人信息权利保护的法律实践过程,经历了从最初基于对隐私权的保护,而后逐渐产生差异,最终形成与隐私保护紧密相连,但又绝非等同的个人信息权利保护的演进过程。个人信息保护的主要目的和逻辑前提是对隐私权的保护,这也是人们往往将个人信息保护同隐私权保护等同的主要原因 [3] 。因此,对于制度背后所蕴含的理论基础一探究竟,就显得十分必要。在个人信息权利保护领域的主要理论依据是“独处权”说及个人信息控制论说等,同样也都是源于美国。
个人信息控制理论源于美国的隐私权理论。在美国的法律体系中,个人信息归属于隐私权的保护范畴。美国学术界对于隐私权的探讨最早可以追溯到1890年沃伦与布兰戴斯撰写的《论隐私权》,二人在书中首次提出隐私权概念,认为隐私权是“在任何情况之下一个人都被赋予决定自己所有的信息是否公之于众的权利。”但是,隐私的界定并不明确。即使到目前,国内外学术界对隐私内涵的分歧也没有完全消弭。
《论隐私权》将隐私界定为“独处权”(right to be let alone)。这一观点强调个体从复杂的社会生活中一定程度的退却,指出了孤独对于个体的重要性。有日本学者曾对隐私权定义,与个人独处权利极为相似的,即“保持私生活稳定的权利”,但在日本受到批判 [4] 。反对者指出,随着社会环境的变化,对个人不受外界干扰的保护,忽略了人的社会属性。其后在“独处权”的基础上,又发展出“有限接近自我说”,即主体有权利决定自我在何种程度上可以受到公众的关注。但是这一观点将隐私权作为消极的防御权利,这种性质的隐私权仍然不足以应对信息化时代无孔不入的信息收集、利用活动,甚至于其所带来的信息伤害。20世纪60年代以来,伴随计算机技术和信息商业化的发展趋势,人们提出了个人信息控制理论。这一理论强调隐私权是主体对个人信息的控制,赋予了隐私权以请求权的积极性质,以克服其作为消极防御权的惰性。隐私权的发展历程充分展示了概念本身从消极被动的权利到积极主动控制个人信息的权利的过程。而日本也大致经历了相同的法律保护历程,个人信息控制权在20世纪60年代末被日本学术界所接受,并成为个人信息保护立法的理论基础。
需要注意的是,在美国的法律传统中,隐私权是一个与人格权相当的概念,隐私权可以被认为是具体人格权与一般人格权之总和的一个概念,涵盖范围广泛。但是在大陆法系传统中,隐私权仅表达一种具体的人格利益,或者作为一般人格权中的一个独特部分。从功能上看,英美法系的隐私权体系相当于大陆法系的人格权 [5] 。也正因此,日本才能借鉴学习美国的隐私权理论,将其移植到法律规范之中,并指导个人信息权的立法。
个人信息与隐私的差异性,随着信息化社会的发展逐渐被放大。日本国宪法第三章国民权利与义务第十三条规定:“一切国民都作为个人受到尊重。对于国民谋求生存、自由以及幸福的权利,只要不违反公共福祉,在立法及其他国政上都必须予以最大尊重。”这一宪法条文被概括为“追求幸福的权利”,日本法学界将其确定为隐私权最主要的宪法依据。此外,第二十一条规定不得侵犯通信秘密,第三十五条规定对于任何人的住所、文件以及持有物不得侵入、搜查或扣留。上述宪法条款视为保护个人信息权的宪法原则与精神。
《个人信息保护法》第三条规定“个人信息为与个人人格密切相关之物”,就是宪法规定的“作为个人而受到尊重”原则的具体体现。宪法学家佐藤幸治认为,“隐私权是作为个人道德性自律的存在,为了达到个人认为善的目的,有权利去选择公开与他人沟通和与自己存在相关的信息的范围。” [6] 但是由于此前没有保护个人信息权利的专门性立法,法官在司法实践中,面对具体案例的审判采取的具体做法是逐渐扩大隐私权的保护范围,即将个人信息的保护纳入隐私权保护的案例 * 1986年“在日韩国人拒绝摁手印”一案审理时,东京高院指出“是否将其称为隐私另当别论,但是国家权力无正当理由却强制当事人摁手印违反宪法第13条规定”。 随之出现。这种做法在学术界引起了广泛讨论,但同时学术界也承认对于非隐私的个人信息 * 笔者将“非隐私的个人信息”部分界定为“公共性个人信息”,以区别于隐私权所涵盖的“隐私性个人信息”。 的保护具有合理性。
根据“个人信息控制理论”,通过正当的方法获得、持有和使用与个人道德心不直接相关之信息,并不能直接做出侵犯隐私权的判断。但是,当该信息被恶意使用或者积累到一定程度,以至于影响到个人道德心及自律时,就产生了隐私权保护及救济问题。从中可见,当个人信息被恶意使用到某种程度时,才涉及法律救济问题,而借用隐私权的救济途径对个体进行保护具有合理性但不能保证获得充分有效及时的法律救济。
笔者认为,基于当下的“信息化”趋势,个人信息种类及范围繁杂,能够识别的、特定的个人信息不必然属于一般人所认知的传统隐私权范围。日本《个人信息保护法》保护的是可识别个人的信息 [7] ,在此含义之下,个人信息较之隐私的范围更广。但是对于“非隐私信息”的保护,随着日本经济的发展,计算机技术的广泛应用,大数据以及政府、企业对于个人信息的利用等一系列因素的共同作用,关于保护个人信息权利的理论在与实践的相互作用下,不断清晰明确起来。
从总体上看,欧美国家都有保护个人信息权利的相关立法。为了不在国家经济交往中出现法律缺位,日本保护个人信息权利的立法应运而生。立法的法理基础经由立法目的条款表述为“人的权利利益”,上下文中没有出现“隐私”一词,也没有“个人信息控制权”的表述。对此,尽管日本学者有不同的理解,但实际上是个人信息理论在发展过程中,与隐私理论的差异逐渐明朗。基于大陆法系的人格权理论,凡是与人格形成发展有关的事情都属于人格权客体 [8] ,于是,最初借由隐私概念来保护个人信息权利的现实情境消失,但同时又能看到个人信息权利与隐私权之间始终有着千丝万缕的联系,难以割断。
所谓“过剩反应” * 过剩反应的日文为“過剰反応”。 是指《个人信息保护法》颁布施行后社会公众对于这一法律内涵的理解出现的偏差。具体表现为,公民基于权利保护意识而突出强调个人隐私和个人信息,从而拒绝提供必要的个人信息,忽略了对有益于社会发展部分的个人信息进行合理有效利用,而应当秉持的态度与行动上的支持,导致出现一系列妨碍正常公共生活的现象。正是因为“过剩反应”现象的出现,促使日本政府于2008年4月5日将保护个人信息权利的基本方针进行了调整。各地为化解这种现象采取了各种措施,如开展针对不同主体的说明会,制作分发宣传手册,公布调查报告书,编辑简洁、通俗易懂的宣传画册,制作Q&A * “Question and answer”即以问答的形式编辑的宣传册。 日常应对事例宣传册等多种形式,以加深社会公众对个人信息保护法律的认知与理解。
2011年的调查报告概括了不同城市或地区“过剩反应”的典型表现与案例。大阪的调查显示为:
(1) 大阪市的企业收到顾客的投诉,因为距离较远,在询问了地址之后没有进行上门访问,而为向顾客表示歉意,按顾客的地址向其邮寄了礼品,这被认为不正当的获取使用了顾客的住址信息。
(2) 自治团体的一位成员向居民自治会询问同样是自治团员的居民自治会会长的联系方式,因联系方式被认为是“个人信息”而未得到答复。
(3) 在利用网络犯罪中,警察从为犯罪嫌疑人提供服务的公司获取了嫌疑人的个人信息,因而被询问未得到法院的判决而提供个人信息的行为是否是对个人信息的正当使用。
神奈川县还有探视生病的朋友在询问病房时,医院人员以“个人信息”为由不予告知的情形等 * http://www.ppc.go.jp.日本个人信息保护委员会网站。访问时间2018年1月15日。平成23年3月《個人情報保護に関するいわゆる「过剩反应」に関する実態調査報告書》,第7-12页。 。此外,在某些应当提供个人信息的领域,比如学校的紧急联络网络和名册因为这种现象而无法建立,给居民正常的生活带了不便。这些现象与保护个人信息权利的立法初衷相悖,都属于“过剩反应”的具体表现。
对“过剩反应”现状的实证调查表明,有51.1%(共47个都道府县)的地区认为,“过剩反应”自从《个人信息保护法》全面施行以后就已经产生,这种现象仍在继续。有40.4%地区认为自法律施行以后才产生“过剩反应”,但现已平息。而对于现在仍然存在“过剩反应”的原因分析,根据调查书,主要是从“保护法”的字面意思很容易将其理解为把个人信息作为秘密来保护而引发的误解。并且各个团体的指南各不相同,无形中增大了民众理解的难度 * http://www.ppc.go.jp.日本个人信息保护委员会网站。访问时间2018年1月15日。平成23年3月《個人情報保護に関するいわゆる「过剩反应」に関する実態調査報告書》,第103、105页。 。另外,根据企业团体的反映,居民个人隐私保护意识过高,而对于信息的有用性和相关法律的不理解是主要原因。对于居民个人信息保护法律意识的变化的调查结果显示,83%的地区有可见的变化。主要体现在听取意见的“相谈会”数量的减少,说明居民对于条文内容的理解更加准确等。
由此可见法律实施后的“过剩反应”虽然有一定的负面影响,但也同样能够加深社会成员对个人信息权利立法保护的理解。这一现象在当下看来,也符合普通社会成员对法律的认识规律,特别是一项新的法律在立法到颁布实施以后的各个阶段,都要作耐心细致的法律宣传工作,这一立法经验对中国有现实借鉴意义。
随着信息化的发展,中国法治建设中的一些不足之处也在逐渐显现。在中国特色社会主义法律体系基本构建完成之后,还需要在细节上进一步完善。借鉴日本的立法经验,在个人信息权利的法律保护领域中,需要明确目标,极大促进个人信息权利的有效保护。
第一,采取专门立法的模式,以弥补目前分散式法律保护的不足。
由于个人信息权利保护是一个新出现的问题,对此,中国现行法律采取的保护方式是分散式的,散见于不同的法律规范之中,导致法律保护与救济效果不佳。个人信息保护的条款散见于现行宪法的“人格权条款”“住宅安全权条款”“通信自由与通讯秘密条款” * 中国现行宪法第三十八条规定:“中华人民共和国公民的人格尊严不受侵犯,禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”第三十九条规定:“中华人民共和国公民的住宅不受侵犯。禁止非法搜查和非法侵入公民的住宅。”第四十条规定:“中华人民共和国公民的通信自由和通信秘密到法律的保护。除因国家安全或者追查刑事犯罪的需要由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信秘密和通信自由。” ,《刑法》 * 2009年《中华人民共和国刑法修正案(七)》增加了侵犯个人信息权犯罪的条款。 《民法》 * 2017年《民法总则》规定自然人的人身自由、人格尊严受法律保护,自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。第一百一十一条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。” 以及《居民身份证法》《政府信息公开条例》中的个别条款有所涉及。以分散的法律规范形式,难以有效保护复杂的个人信息收集、利用与管理过程,以及可能出现的法律问题。因此,建议采用专门性立法的方式,如《公民个人信息保护法》,将个人信息权利的立法保护规范化。
比较而言,中日两国宪法文本对人格权的保护有相似之处。日本国宪法没有将个人信息权列入宪法基本权利体系之中,但是《个人信息保护法》明确个人信息与人格相关。对个人信息权利的立法保护不仅有助于社会发展、关乎公共利益,还将与人格相关的个人信息部分纳入法律规制的范畴之内,对个人权益的保护无疑是有益的。目前已有典型案件发生,如“徐玉玉案” * 徐玉玉案的简要案情如下:2016年8月21日,女高中生徐玉玉因个人信息泄露,被诈骗电话骗走上大学的学费9 900元,因其过度忧虑导致心脏骤停,不幸离世。 引起了社会普遍关注,对个人信息保护立法的呼声高启。因此应从中国实际情况出发,借鉴日本等国家的先进立法经验,以制度建构回应国家与社会的快速发展背景下,对个人信息权利进行法律保护的现实需要。
第二,以专门立法与专门机构监督模式为宜。
在立法模式与机构设置方面,日本的经验值得借鉴。实行国家制定统一立法与行业自治并行不悖的方式,能够在一定程度上克服法律过于僵硬的弊端,借助于行业自律保持活力,并促进产业发展。设定国家规范标准,保证监管标准的一致性,既可以避免对法律规范理解上的歧义,也可以避免不同行业不同标准下导致的“差别待遇”。当然,由于中国的信息化还在初始发展阶段,在借鉴国际标准的同时,要适度控制,以适合于中国目前发展水平与国情为取舍标准。
专门机构的设立有诸多益处。可以使个人信息有专门、相对独立的保护机构,保证监管的专业化高水准;在一定程度上减少来自其他公权力部门的干预;有效的保障与救济更容易获得民众的信任,也方便民众反映问题,了解相关法律与政策。在保护个人信息权利的同时,实现对政务的监督,促进政府对个人信息的规范利用。值得肯定的是,到目前为止,个人信息保护法草案已初露端倪。《中华人民共和国个人信息保护法(专家建议稿)》 * 《中华人民共和国个人信息保护法(专家建议稿)》由中国社会科学院个人数据保护法研究课题组受国务院信息办委托起草。 与《中华人民共和国个人信息保护法示范法草案(学者建议稿)》,这两部草案已于十年前完成,但仍在推敲打磨。表明中国个人信息权利的立法保护的新时代尚未正式开启,还在起步阶段。
第三,中国个人信息权利保护的社会环境更为复杂。
在中国,网络时代引以为傲的网上购物、电子支付,以及互联网企业等,都与个人信息的获取有着极为密切的联系。但不仅民众甚至企业自身,对个人信息权利的相关法律知识还不够了解。在知识经济背景下开放国家和社会发展状况资讯,在增强政府决策信息透明度的同时还可以提高政府决策的有效性 [9] 。但事实上,政府职能部门在长期没有统一规范的情况下,为了实现公共管理职能,以及基于国家与社会发展的需要,对于个人信息的收集、利用与管理已经成为常态。政府职能部门对于统一法规的出台也缺乏必要的准备。可以说,普遍意义上的权益在加强,但个人信息权利意识仍是其中的薄弱部分,而且包括自上而下的主体在内。
因此,可以结合中国的现实发展状况,采取循序渐进的方式推进个人信息权利的立法保护。在专门立法正式颁布实施之前,先设定针对政府部门的规范性文件,在法律草案到专门立法正式颁布实施之间,辅之以充分的普法宣传工作。为个人信息权利的立法保护奠定坚实的社会心理基础。鉴于个人信息与每一个人息息相关,而且人们每时每刻都在参与个人信息的使用,可以预见,个人信息权利的立法保护实施效果是具有社会基础的。
值得深入挖掘一下的是,日本的国民性在个人信息权利的立法保护过程中一如既往地有所显示。即对于一项新事物的基本立场秉持谨慎但并不保守的态度,积极接受并吸纳新事物与国际高标准,但同时在国内采取步步为营的规制措施,以扶持其有序发展。日本在最初的个人信息权利保护立法中,对民间从业者的各种规制相对滞后。但是在OECD提出八项原则之后,为了在经济交往中获得更大的发展空间,大力推进对国际标准的引进学习与本土化改造,大有后来者居上的野心。但又考虑到日本的岛国环境,有着不同于欧美国家的谨慎,所以其制定法律之时,为使企业、民众能够顺利接受新法,预留了两年的缓冲期。可以说为了保证个人信息权利立法保护的实施效果,日本考虑得极为周到。正如《菊与刀》中解析的那样,由于日本民族性格之中具有强烈冲突性,于是向外展示出基于这种情感因素形成的动力性文化特征 [10] 。个人信息权利立法保护的过程就是这种特质的最好佐证。
中国个人信息保护法的制定过程,应当解放思想,避免墨守成规,对于各国的立法经验应当结合实际需要,予以吸收学习。可以预见,中国在改革开放的新阶段,对外经济交往始终是开放的态势,在经济交流之中,各国对于个人信息的保护也将促使中国加快制定相关法律的步伐。但同时也应该认识到,由于长期以来个人信息权利保护立法的缺失,实践过程中也要避免操之过急,以免“过剩反应”甚至其他负面效果的发生。
总之,中国在建设社会主义法治国家的进程中,需要通过法律法规的发展与完善来促进整个法律体系的完善。法律的制定颁布不是目的,法律的有效实施才是关键所在。好的法律规范在技术标准上力求明晰、准确,在社会标准上,则体现为能够解决现实社会问题,维持社会正义与秩序。在法律实施过程中,还要建立有效的反馈制度,实现规则制度的法律性和社会性的统一。此外,个人信息权利的立法保护还要面对宏观上社会成员宪政意识和法律意识淡薄,以及公民性缺失的现实。在依法治国背景下,“公民性缺失的直接后果就是人们缺乏对于自己的主体地位的认识,难以树立对法律的信仰,缺少将法律转向信仰的主观自觉。” [11] 对个人信息收集、管理、利用的政府过程不规范,同时伴随着人们对政府收集个人信息的敏感程度比较低,存在集体无意识的现象,以至于个人信息很容易被滥用。有鉴于此,个人信息权利的立法保护应当与国家治理方式与治理能力现代化的水平相吻合。在新阶段市场环境下,有与之相匹配的法律规范,规范政府行为、指导企业与个人,实现对个人信息权利的法律保护,使整个法律体系始终保持与时俱进的活力状态。
参考文献 :
[1] 齐爱民.论个人保护法的统一立法模式 [J].重庆工商大学学报,2009(4):90-93.
[2] 周汉华.域外个人保护法汇编 [M].北京:法律出版社,2006:10-34.
[3] 吕艳滨.日本的个人信息保护法制 [C]//亚洲法论坛:第1卷.北京:中国人民公安大学出版社,2006.
[4] 駒村圭吾.個人情報·プライヴァシー·立憲主義——個人情報保護を原理にさかのぼって考える [J].法政论丛,2003,39(2):59-61.
[5] 齐爱民.大数据时代个人信息保护法国际比较研究 [M].北京:法律出版社,2015:26.
[6] 佐藤幸治.宪法 [M].日本:青林书院,1995:495.
[7] 影島広泰.企業における個人情報の取扱いの実務 [J].Journal of Information Science & Technology Association,2016(11):579-584.
[8] 齐爱民.拯救信息社会中的人格——个人信息保护法总论 [M].北京:北京大学出版社,2008:52-53,96-97.
[9] 魏健馨,赵智慧.知识背景下公民信息权的宪法保护 [J].上海政法学报(法制论丛),2018(1):11-20.
[10]本尼迪克.菊与刀 [M].吕万和,熊达云,王智新,译,北京:商务印书馆,2015:304-308.
[11]魏健馨.宪政理论视野下现代政府制度研究 [M].北京:人民出版社,2012:204-206.
WEI Jian-xin, SONG Ren-chao
(Law School, Tianjin University, Tianjin 300072, China)
Abstract : Information popularization is one of the characteristics of modern society. Japanese legislation for protecting personal information started earlier and has a distinctive characteristic. It is found that the actual situation in Japan is considered fully by the legislator from the process of making and perfecting the Personal Information Protection Act of Japan , while drawing on the advanced legislative experience of Europe and America. The law is characterized by the definition of personal information, the establishment of special supervision institutions, the protection standards and the “excess response” after the implementation of the law. In order to ensure the social effect of the implementation of the law, in the process from the drafting to the implementing of the Personal Information Protection Act from 2003 to 2005, the Japanese government did a full preparation for this. The Personal Information Protection Act was publicized using various ways, and the buffer time was retained for enterprises and individuals. These experiences and practices to protect the rights of personal information are worth learning for China.
Key words : personal information right; personal information protection act; excess response; personal information control theory
网络出版地址: http:∥kns.cnki.net/kcms/detail/21.1558.C.20180709.1039.024.html
* 本文已于2018-07-10 13∶41在中国知网优先数字出版。
基金项目 : 国家社会科学基金项目(18BFX106)。
作者简介 : 魏健馨(1964-),女,河北文安人,教授,博士,主要从事宪法学、基本法、人权法等方面的研究。
doi: 10.7688/j.issn.1674-0823.2018.04.01
收稿日期 : 2018-01-19
文献标志码: A
文章编号: 1674-0823(2018)04-0289-08
中图分类号 : D 913
(责任编辑:吉海涛)