个人信息保护研究
梅绍祖
我们在此所探讨的隐私权或者个人信息保护的问题,都是与公共利益无关的个人私生活秘密方面的事宜,特此说明。
【隐私权与个人信息保护】
美国著名的法学家萨缪尔D·沃伦和路易斯D·布兰戴斯于1890年在《哈佛法律评论》上发表了著名的《隐私权》(The Right to Privacy)一文,一百多年以来,公民的隐私权已成为一个重要的理论和司法实践问题。
(一)隐私
隐私的观念在人类将自己的私密部位用树叶等遮挡起来的时候就产生了。以后随着社会的发展和社会观念的变化,隐私的概念不断发展。在现代,隐私的概念有了严格的界定。按照法律的要求解释,隐私就是与公共利益无关的个人私生活秘密,它所包容的内容由个人信息、个人活动和个人空间所组成,涉及到有关个人的数据资料、个人行为以及附属于个人的空间领域等三个方面。其中:
1.个人信息,指有关个人的资料和通讯信息等。个人资料方面如肖像、身高、体重、指纹、声音、经历、个人爱好、医疗记录、财务资料、一般人事资料、家庭电话号码等;通讯方面如邮件、通话等。
2.个人活动,指一切个人的、与公共利益无关的活动。如日常生活、社会交往、夫妻之间的性生活、甚至婚外性关系以及一切私人不愿意公开的活动和事实等,都属于隐私的范围,应当受到保护。
3.个人空间,也称之谓私人领域,个人空间隐私是指个人的隐秘范围,涉及属于个人的物理空间和心理空间,如身体的隐秘部位、个人住所、旅客的行李、学生的书包、日记、信件等。
(二)隐私权
隐私权是指维护隐私的权利,其核心内容是对个人的隐私,依照自己的意志进行支配的权利,隐私权是公民的人格权,它包括以下几种权利:
1.隐私隐瞒权。公民对自己的隐私有权隐瞒,对于与公共利益无关的个人隐私,无论是有利于权利人的隐私还是不利于权利人的隐私,权利人都有权隐瞒,可以不对他人言明。这不属于不诚实的表现,而是维护自己的人格尊严所必需的。
2.隐私利用权。权利人可以利用自己的隐私,以满足自己精神上或物质上的需要。例如权利人利用自己的生活经历创作文学作品,既创造精神价值,又创造经济价值,以满足自己精神的和物质的利益需要。要遵循的是这种利用的结果不得违反社会公共利益。
3.隐私支配权。权利人有支配自己的隐私,准许或者不允许他人知悉或者利用自己的隐私的权利。这是隐私权的核心。权利人可以根据自己的需要公开自己的隐私,或者允许他人对个人活动和个人领域进行察知,准许他人利用自己的隐私等等。例如有人愿意将自己的私生活讲述给他人听,或者写成文章公之于众等等。
4.隐私维护权。当自己的隐私权被侵害的时候,权利人有权寻求司法保护,可以向侵权人请求依法承担民事责任,也可以向法院起诉,请求依法保护。
隐私权的本质是对个人领域的事务即隐私的控制权。它的主体是个人;客体是个人事务;作用是控制,也即个人对其自身事务的掌控和自主。
隐私权的核心是对隐私及其利益的支配。他人恶意进行探听,是侵害隐私权的行为,因为这种行为违反了权利人对自己隐私及其利益支配的意志。同样,一个人如果将自己的隐私告知了某人,但是只要权利人没有授权,被告知人就不得将这种隐私进行宣扬或者泄漏,如果进行恶意的宣扬或者泄漏,同样为侵权行为。
(三)个人信息保护
上述可知,个人隐私主要涉及个人信息、个人活动、私人空间等三个方面.网络时代的个人信息主要涵盖个人数据以及网上活动、网上空间等方面的信息资料。个人数据指涉及个人的已被识别和可被识别的任何资料,也包括一些家庭的相关情况等。如:个人的自然情况:身高、体重、出生年月、地点、性别、种族等;相关的社会与政治背景如教育程度、工作经历、宗教信仰、哲学观点、政治主张和政治倾向等;而家庭基本情况如婚姻状况、配偶、父母及子女的情况等也在个人数据之列,都在保护的范围内。至于网上活动的数据资料,在一定程度上反映了个人在网络空间的行为、活动甚至于个人的爱好、心理活动等等。
在信息时代的今天,大量的个人数据广泛存在于社会、政治、经济、文化、教育等各个领域中,成为信息资源的重要组成部分;而另一方面,透过因特网获取个人数据和窥视人们在网上的活动已变得易如反掌。正如有人所说的:“网络时代的到来,标志着隐私权的终结!”。一点也不为过。
三十年前,哈佛法学院宪法学教授Charles Fried就已经指出:如果我们所说的每一个字和所做出的任何举动,都是公诸于世的,其结果是我们再也不愿意发表意见,并且再也不愿意从事某些活动了。一旦言行举止无法免于监视时,人们很自然地会主动限缩自己的活动空间。因此Fried认为信息隐私的理念,似乎不应该只局限于不让他人取得我们的个人信息,而是应该扩展到由我们自己来控制个人信息的使用与流向。
Fried教授在这里提出的两点,应该引起我们充分的重视:一是如果忽视了个人信息的保护,可能引发人们恐惧交流、缺乏信任,最终可能导致人们远离网络、躲避人群。二是个人信息隐私即信息保护的关键是对信息控制的自主权利。
从隐私权保护的角度来看,个人信息保护主要涉及个人资料和通讯的安全,以及网上活动、行为的私密性问题。从这一层面出发,考虑实现对个人隐私的保护。从法律的角度来看,透过隐私权保障的赋予,维护个人自主性以及个人的身分认同,实现对个人数据的控制和管理,达到维护个人尊严的目的。
【个人信息保护的现状】
由于缺乏保护个人隐私的观念意识,我国的政府、组织、企业在信息的收集、处理和应用等各个阶段中普遍存在着侵犯个人隐私的现象。(国外也同样存在以下问题,个别地方可能更为严重),例如:
(一)对个人数据的过度收集和使用目的不明确
经常遇到的是,每当参加会议、参观展览、登录网站时,首先要你做的第一件事是,填写一份详尽个人资料的表格。而提供个人资料中的一部分,甚至大部分往往又与该活动没有直接的关系。更不用说这些数据今后将由谁来使用,用于什么目的了。
(二)个人数据交易
由于网络客户资料是一笔宝贵的财富,一些经营情况困难的网站会将这些收集来的资料出售给买主,以此牟利。根据纽约时报的报道,BOO.com、Toysmart和CraftShop.com等网站,都曾将客户姓名、住址、电子邮件甚至信用卡号码等统计分析结果标价出售,以换取更多的资金。一般说来个人数据交易活动比较隐秘,与国外不同的是,在我国出现过通过电子邮件,在网上兜售个人数据资料,如个人e-mail信箱地址以及销售收集个人信息软件的行为。
(三)网上侵犯个人隐私权的行为
网站通过表格登记或将网络小甜饼cookies放入来访者电脑,跟踪网上冲浪等手段收集到大量的个人数据,在进行数据挖掘、加工处理后,对网民散发大量的商品促销邮件,这一切往往导致邮箱爆满,或是充斥一堆垃圾邮件,使人苦不堪言。
更为触目惊心的是,上海地区开发出一种叫“网络神探”的软件,它具有监视和记录的功能。开发该软件目的是为了在不被察觉的情况下,监视雇员在工作时的一举一动,如果该软件被扩散的话,一般用户的信息安全将难以得到保证。可想而知,这种情形将令网络用户不寒而栗。
(四)不恰当的使用个人数据
由于我国的人文环境和风俗习惯不同于其他国家等原因,长期以来缺乏隐私和隐私权保护的概念。例如美国的SSN由9位数字,三部分组成:999-99-9999。头3位数字表示颁发SSN的地区,第4
到第5位是分组号,余下部分为序号。SSN中不包含任何个人信息。我国台湾地区的身份证号组成为:A-9-9999999,第一位是字符,表示身份证发放地,第二位数字由0和1来表区分性别,从第3到第9位数字为序号。同样在身份证号中不包含个人隐私信息。而我国大陆颁发的新身份证号码格式为999-999-9999-99-99-999-9
由 18位数字构成。其中,第1到第6位表示身份证的发放地,第7位到第14位为身份证持有者的出生年月,根据第17位的奇偶性可以用来区分性别。在小小的身份证号(包括第二代身份证)中就包含了众多的个人信息。而身份证号码在开会、旅行、住宿、网上购物等各种场合普遍使用,泄漏了个人的隐私。
更有甚者,在北京市的医药费报销中,出现了报销收据要附带病案,或者化验、检查报告单的现象。财务部门的理由是,需要患者提供化验、检查报告,甚至病案,目的是为了证明发生的费用属于报销范围内的,以备上级机关检查、核实。本来应该由医院和财务部门解决的问题,转嫁到患者头上来了,这一行为严重的侵犯了公民的隐私权。
这些问题的出现一方面是由于历史、传统文化的原因,一方面我国至今尚未有隐私权的立法,另一方面国民又普遍缺乏个人隐私观念所造成的。
【我国隐私权保护现状】
从现阶段我国的立法情况来看,我国在隐私权保护方面,仅仅提供了有限的、间接的隐私保护,与国外相比,远不能达到提供有效保护的程度。
我国的民法通则第100条规定:“公民享有肖像权,未经本人同意,不得以获利为目的使用公民的肖像。”第101条规定:“公民、法人享有名誉权,公民的人格尊严受到法律保护,禁止用侮辱、诽谤等方式损害公民、法人的名誉”。
1988年,最高人民法院在《关于贯彻执行<中华人民共和国民法通则若干问题的意见(试行)》第140条规定:“以书面、口头形式宣扬他人隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。”。《未成年人保护法》第三十条规定:“任何组织和个人不得披露未成年人的个人隐私。”《妇女权益保障法》第三十九条规定:“妇女的名誉权和人格尊严受法律保护。禁止用侮辱、诽谤、宣扬隐私等方式损害妇女的名誉和人格。”
我国的香港特别行政区:1996年12月出台了《个人数据条例》。我国台湾地区制订了《电脑处理个人资料保护法》,《电脑处理个人资料保护法》规定,个人资料包括自然人的姓名、出生年月日、身份证统一编号、特征、指纹、婚姻、家庭、教育、健康、病历、财务状况、社会活动及其他足以识别该个人之资料。
但是,我国的现状说明,对个人隐私的界定是不清楚的。虽然人人都在谈隐私,但在概念上是有差异的,此隐私非彼隐私;此外,由于我国的历史、文化背景与国外不同,风俗习惯差异很大。在外人眼里属于隐私的资料,在国人眼中是饭后的闲谈碎语的佐料。即便现在,大陆和香港、台湾地区在隐私的概念上也有较大的差异。
我国目前既缺乏较为完善的、直接的隐私权保护法,不能规范我们的政府、组织、机构、企业的行为;我们的组织、企业又没有较强的自律意识;再加上广大国民隐私保护概念普遍淡薄,或者说一些人甚至没有隐私的概念。我国的隐私保护现状不容乐观。
隐私权保护问题或者说个人信息保护问题,由于网络的发展和信息化、电子政务、电子商务的广泛应用已经日趋严重。在进行个人数据处理时,人们对政府、组织和企业提出了更高的要求,需要他们遵纪守法和自律相结合规范自身的行为;其次,由于网上、网下侵犯隐私的事件时有发生,公众和消费者对当前的隐私保护状况普遍不满;更为迫切需要关注的是,国际合作交往中越来越重视对个人数据的保护问题。
众所周知,美国和欧盟经过两年多的协调、蹉商和谈判,到2000年通过“安全港协议”之后才初步解决了电子商务中的隐私权争端问题这一事实,需要引起我们的严重关注。发达国家由于隐私权保护上的差别,引发如此大的争执,需要政府间多年的协商才得以解决。由此可见,个人信息保护问题已经发展成为开展经济活动中的一个不可忽视的重要因素,处理不当将成为国际贸易、电子商务中的障碍。
最近,由于我国没有“隐私权保护法”(或个人信息保护法),我国企业在欧盟、北美等地区已遭遇到了被禁止收集客户信息的局面,缺乏隐私权立法已成为区别对待我国企业与其他国家企业,实行“差别待遇”的理由,但这一切又不违反候选人WTO的公平竞争的原则。其结果是我国的企业已处于“不平等竞争”的地位,经济利益上受到严重影响。以上可见隐私权保护严重性之一斑,亟待出台我国有关解决隐私保护的措施和法律法规。
我国是APEC的成员国,要承担一定的义务,目前APEC正在推出电子商务有关的隐私权保护条例。考虑到国内外行为规范的一致性,制定相应的法律规范已经提到议事日程上了。
【个人信息保护的原则】
实现个人信息保护是为了规范行为、保护隐私。即便是欧美等发达国家,虽然隐私权保护问题已经谈了一百多年,并且早已进行了隐私权的立法工作。但是,过度收集个人数据、对个人数据进行二次开发利用以及个人数据交易等严重侵犯个人隐私的现象时有发生,诉诸予法律诉讼的案件和官司缠身的网络公司不胜枚举。因此,单单依靠立法是不能解决所有问题的,所以在制订隐私权立法的同时要考虑:
(一)尽快进行个人信息保护的立法工作
个人总是处于弱者的地位,要维护个人的权益,只有通过强制立法才能达到目的。另外,依法治国,通过立法的手段制订出我们的行为规则,才能规范我们政府、企业的行为。考虑到我国的实际情况,拟采取直接保护的方式,可能效果会更佳。通过制订的隐私权法或者个人信息保护法,对侵害个人隐私的行为直接认定为侵犯隐私权的侵权行为,责令侵权行为人承担精神损害赔偿的责任。
(二)业界自律
建立类似于美国的自律组织——在线隐私联盟和隐私认证计划,按照业内制定的隐私保护规则和争议解决机制来保护个人和消费者的利益。此外,在条件成熟的时候,也可以设立企业的首席隐私官,(如IBM等有关企业)专门负责处理与用户隐私权相关事宜。
(三)自我保护
网上的机会很多,网上的陷阱也不少。上网后要头脑清醒,千万不要为蝇头小利所迷惑,表格可填可不填、数据可填可不填的坚决不填。经常使用一些小技巧:例如可以匿名的地方,不填写真名实姓,用一些工具清理你电脑上的小甜饼Cookies等等,实现自我保护更有利于隐私的保护。
(四)立法与技术保护并重
据说,全球互联网站的前100强中已有40%已在使用或计划使用P3P标签系统了。“隐私偏好平台”——P3P (Platform for Privacy Preferences)
被称为隐私优先等级平台。它的应用,既是行业自律的表现,又是自我保护的手段,更是立法与技术相结合实现隐私权的保护。P3P是设计用来让消费者掌握自己的网上隐私工具。它将帮助用户们对他们选择进入或回避的隐私关系有一个更好的了解,可以帮助他们进行选择,而无需一个屏幕接着一个屏幕地阅读有关隐私的政策。有一些类似P3P或技术上简单的工具,可供用户选用。再加上立法的保证,这将使隐私保护提高到一个新水平。
(五)信息的自由流动与对个人数据的保护并重
千万不能因噎废食,对个人数据的保护,是为了防止恶意的侵犯,是为了建立良好的隐私权保护的大环境。其实也是为了保护我国企业在国际竞争中不再处于不平等竞争的地位。另一方面,消除恐惧、清除障碍、提供保护才可能有大量的人群涌入Internet网,才能有真正的信息自由流动。也才能使我国的企业在国际交往中真正处于平等的竞争之中通过个人信息保护立法与业界(包括政府和组织)自律相结合的原则,与个人的自我保护相结合,立法与技术保护相结合的原则,从而达到规范政府、组织、企业、个人行为和保护隐私的目的。
【个人信息保护(隐私权)立法时可借鉴的原则】
隐私权保护的理论和司法实践活动,在国外已经进行了100多年。国外的立法工作也在不断的完善之中。在处理好以下三方面因素的前提下,可以参考国外的一些立法原则,以实现隐私得到默认保护,充分考虑数据主体权利的前提下,得到一个比较好的统一的解决方案。在此需要考虑的因素有:(1)个人至上和以人为本的关系和差异;(2)个人信息保护与隐私权保护的关系和区别;(3)如何协调传统文化与国际接轨的关系。
对隐私权采用直接保护方式,既是隐私权自身的要求,也是社会发展的必然。我们的信息行政管理部门和司法机关应当有所作为,推动这一进程,使公民的隐私权受到更为完备的法律保护。同时,信息行政管理部门和立法机关也应当采取措施,在适当的时候,采用适当的方式,通过立法或者立法解释,确认公民的隐私权,规定对隐私权进行直接的保护。进入立法进程时,可以借鉴的原则有:1.收集、保存公开原则;2.个人取用原则;3.个人参与原则;4.搜集限制原则;5.使用限制原则;6.透露限制原则;7.信息管理原则;8.责任原则等。
基于个人信息是信息资源的重要组成部分,而在信息收集、处理、应用中个人信息保护的极端重要性。因此,个人信息保护立法有助于信息资源开发利用的稳定、持续发展。
如果说,信息公开和信息资源共享是政治文明的重要标志,是政治文明建设的重要内容。那么,个人信息的保护(隐私权保护)也同样是社会进步和文明的重要标志。
(作者单位:北京科技大学)
来源《中国信息年鉴-2004》
|