个人信息保护法现象分析
首先,中国的法律直接保护个人信息
通过全国人大网站全国法律法规数据库搜索引擎发现,我国直接保护“个人信息”的法律、法规、规章和司法解释数量相当有限,其中只有《中华人民共和国护照法》、《中华人民共和国国籍法》和《国民身份证法》直接规定了对“个人信息”的保护。《中华人民共和国护照法》(2006年4月29日通过,2007年6月65438+10月1日实施)第十二条第三款规定:“护照签发机关及其工作人员应当对因制作、签发护照而知悉的公民个人信息予以保密。”第二十条规定:“护照签发机关的工作人员在办理护照过程中有下列行为之一的,依法给予行政处分;构成犯罪的,依法追究刑事责任:……(五)泄露因制作、签发护照获取的公民个人信息,侵犯公民合法权益的……”《中华人民共和国居民身份证法》(2003年6月28日通过,2004年6月30日施行)第六条第三款规定:“第十九条规定:“人民警察有下列行为之一的,根据情节轻重,给予行政处分;构成犯罪的,依法追究刑事责任
在全国范围内具有规范效力的行政法规、部门规章和司法解释中直接提及的问题只有以下几个:(1)《2006-2020年国家信息化发展战略》。发展战略第六条第五项提出了“推进信息化法制建设”的要求,提出:“加快信息化法制建设,妥善处理相关法律法规的制定、修改和废止的关系,制定和完善信息基础设施、电子商务、电子政务、信息安全、政府信息公开、个人信息保护等法律法规,为信息化发展营造良好的法制环境。根据信息技术应用的需要,适时修订完善知识产权、未成年人保护、电子证据等方面的法律法规。加强信息化法制建设的国际交流与合作,积极参与相关国际规则的研究和制定。;(2)《互联网公告栏服务管理规定》(2000年10月8日10通过,同日实施)。《管理规定》第十二条规定:“公告栏服务提供者应当对互联网用户的个人信息保密,未经互联网用户同意,不得向他人披露,法律另有规定的除外。(3)《最高人民法院、最高人民检察院关于切实保障司法人员依法履行职责的紧急通知》(法发[2005] 173号)(2005年8月25日发布,同日施行)。通知第六条“加强司法警察队伍建设和保密工作,做好宣传教育工作”提出:“...加强案件保密工作,严禁违反规定泄露案件情况和办案人员通讯方式、住址等个人信息。对于泄密的,应当依照《人民法院纪律处分办法》和《检察官纪律处分条例》的有关规定从重处罚……”此外,在少数地方性法规中,偶尔会有涉及个人信息保护的直接规定。比如2003年修订的《北京市未成年人保护条例》第四十九条规定:“...未经未成年人的监护人同意,任何组织或者个人不得在互联网上收集、使用、发布未成年人的个人信息。”2003年2月23日,65438,上海市通过了个人信用信息的地方性法规——上海市个人信用信息管理试行办法,对个人信用信息的采集、处理和提供作出了详细的规定。
特别是2005年,中国人民银行通过了个人信用信息管理和保护的专门部门规章——《个人信用信息基础数据库管理暂行办法》(2005年6月16日通过,2005年6月10日实施)。该办法包括总则、提交与整理、查询、异议处理、安全管理、处罚和附则等七章,对个人信用信息的采集、处理、利用和流通作了详细规定。在内容上,这种方式很大程度上遵循了收集限制原则、信息质量原则、用途特定原则、使用限制原则、安全保障原则、公开原则、个人参与原则和责任原则。尽管该办法在内容上还存在一些缺陷和漏洞,如缺乏对争议信息的查封制度、错误信息造成人身损害的民事赔偿制度等,但无论如何,我们都可以将该办法视为我国个人信息保护立法史上的一个里程碑,它开创了我国特殊领域个人信息保护的立法先河。
第二,中国法律对个人信息的间接保护
在我国,除了上述直接明确保护个人信息的法律法规外,还有一些法律通过规定个人尊严、个人隐私、个人秘密等与个人信息相关的类别来保护个人信息。根本法方面,我国宪法(1982)中“公民的人格尊严不受侵犯”、“公民的住宅不受侵犯”、“公民的通信自由和通信秘密权”、“国家尊重和保障人权”等相关规定,都可以解释为个人信息应当受到法律保护的宪法依据。在国家的基本部门法中,也有一些或多或少、或明或暗地与个人信息保护相关的法律规定。比如《民法通则》(1986)关于人身权的相关规定,规定“公民的人格尊严受法律保护”;刑法(1997)在“侵犯公民人身权利和民主权利”专章中,明确将“非法搜查他人身体、住宅,或者非法侵入他人住宅”和“侵犯公民通信自由”列为犯罪行为;民事诉讼法(1991年)规定“涉及个人隐私的案件不公开审理”;《刑事诉讼法》规定“涉及个人隐私的案件不公开审理”“十四周岁以上不满十六周岁的未成年人的刑事案件不公开审理。16周岁以上不满18周岁的未成年人犯罪的案件,一般不公开审理。"
关于个人信息的间接保护,除了上述的国家根本法和基本部门法,还有很多容易被忽视的部门法或行政法规、规章和司法解释。在妇女儿童个人信息的特殊保护方面:《妇女权益保障法》(1992)规定“妇女的人格尊严受法律保护”;《未成年人保护法》(1991)规定:“尊重未成年人的人格尊严”、“任何组织和个人不得泄露未成年人的个人隐私”;《母婴保护法》(1994)规定“从事母婴保健的人员应当严格遵守职业道德,为当事人保守秘密”。在个人医疗信息方面:《执业医师法》(1999)规定“医师不得泄露治疗过程中获得的健康信息”;《医疗机构病历管理规定》(2002年)要求“除为患者开展诊疗活动的医务人员和医疗服务质量监控人员外,任何机构和个人不得擅自查阅患者的病历”;《医疗事故处理条例》(2002年)进一步要求“医疗机构抄录或者复制病历资料时,应当有患者在场”;《传染病防治法》(2004年)禁止“故意泄露传染病病人、病原携带者、疑似传染病病人及其密切接触者的个人隐私相关信息和资料”;《关于艾滋病病毒感染者和艾滋病病人管理的意见》(1995)规定:“从事艾滋病病毒感染者和艾滋病病人诊断、治疗和管理的人员,不得向无关人员泄露相关信息。任何单位和个人不得公布、传播艾滋病病毒感染者、艾滋病病人的姓名、住址等个人信息。”在个人通信信息方面:《邮政法》(1986)规定:“邮政企业和邮政工作人员不得向任何组织或者个人提供用户使用邮政业务的信息”;NPC常务委员会关于维护互联网安全的决定(2000年)禁止“非法截取、篡改或删除他人的电子邮件或其他数据”;《互联网安全保护技术措施规定》(2005年)规定:“互联网服务提供者和互联网用户应当建立相应的管理制度。未经用户同意,不得公开或泄露用户注册信息,法律法规另有规定的除外。“在个人金融信息方面,《商业银行法》规定“商业银行应当遵循为存款人保密的原则”,“商业银行有权拒绝任何单位或者个人查询、冻结、扣划个人储蓄存款,但法律另有规定的除外”;《个人存款账户实名制规定》规定,“除法律法规另有规定外,金融机构不得向任何单位和个人提供个人存款账户信息”。在律师执业方面:《律师法》(2001)规定“律师应当保守在执业活动中知悉的委托人的隐私”;《律师执业准则》(2004年)规定,“律师必须保守委托人的个人隐私”。在档案信息方面,《档案法》规定:“一切国家机关、武装力量、政党、社会团体、企业事业组织和公民都有保护档案的义务。"
第三,信息控制者个人信息保护的自律机制
由于现阶段我国缺乏专门的、统一的个人信息保护立法,一些信息控制者为了增强行为相对人的信心,通过对个人信息的收集、处理、利用和传输,进一步推动相关行业取得更大发展,单方面做出了保护个人信息的承诺或制定了保护个人信息的内部行为准则。这是典型的信息控制者为保护个人信息而采取的自律措施。我国采取这种自律措施保护个人信息的信息控制者主要集中在非公共部门,尤其是一些大型商业网站,当然还有银行等其他行业的经营者。以下是非公开部门信息控制者保护个人信息的一些典型自律措施。
知名综合网站“新浪。com”在其主页上声明了其“隐私保护”政策。这一隐私保护政策典型地反映了当前网站运营商采取的自律措施,因此本文对其进行简单介绍。在其隐私保护政策中,Sina.com首先声明:“隐私是您的重要权利。向我们提供您的个人信息是基于您对我们的信任。我相信我们会负责任地对待您的个人信息。我们相信您提供的信息只能用于帮助我们为您提供更好的服务。因此,我们制定了新浪网个人信息保密制度,以保护您的个人信息。”新浪对个人信息保护的自律措施一般包括以下内容:一、本网站收集个人信息的类型。“通常,你可以匿名访问我们的网站,获取信息。在我们要求您提供相关信息之前,我们将解释这些信息的目的。我们的一些网站需要注册才能加入。一般情况下,这样的注册只需要你提供一个邮箱地址和一些基本信息比如你的工作和职位。有时我们会要求您提供更多信息。我们这样做是为了更好地了解您的需求,为您提供有效的服务。我们网站收集的信息包括姓名、地址和电话号码。您有权在任何时候决定不接受我们提供的任何信息。”第二,关于个人敏感信息的保护和使用。“我们将采取适当措施保护您的隐私。每当您向我们提供敏感信息时,我们将采取合理的步骤来保护您的敏感信息,我们还将采取合理的安全措施来保护存储的个人信息。未经您的许可,我们不会向无关的第三方(包括公司或个人)提供您的任何个人信息,除非根据法律或政府的强制性规定。但是,如果您要求我们提供特定的客户支持服务或向您运送某些物品,我们需要向第三方(如运输公司)提供您的姓名和地址。我们的网站将提供第三方网站的链接。既然我们无法控制这些网站,我们建议您仔细阅读这些第三方网站的个人信息保密制度。”第三,本网站的隐私保护原则。(1)每当新浪需要识别您的身份或联系您时,都会明确要求提供所需信息,即个人数据。一般来说,当你在网站上注册,要求特殊服务,或参加有奖竞赛时,你会被问及这些信息。如果可能的话,新浪会用一些方法来确认你的个人资料的正确性和及时性。(2)新浪网站及其必要的服务合作伙伴使用您的个人数据来运营网站和服务,并将通知您各种新功能和服务,以及Sina.com及其关联公司的各种产品。新浪也会精心挑选其他公司的产品或服务资料发给你,通常是关于网站本身的服务,但这不是必须的(仅用于二次使用)。(3)如果新浪希望将个人数据用于次要目的,新浪将向您提供如何拒绝此服务的说明。您可以根据新浪发送给您的信息终止发送这些信件。或促销信函上的说明。(4)Sina.com可能会根据法律要求披露个人数据,或者善意地认为这样做是必要的:遵守法律公告或遵循适用于Sina.com的法律程序;保护新浪用户的权利或财产;在紧急情况下,为了保护新浪及其用户的人身或公共安全。(5)在任何时候,如果您认为新浪没有遵守这些原则,请通过电子邮件privacy @ staff Sina.com通知我们,我们将尽一切努力在合理和适当的范围内立即改进这个问题。"第四,饼干的使用. "新浪网站有时使用cookies让我们知道哪些网站受欢迎,以便您在访问我们的网站时获得更好的服务。Cookies不会跟踪个人信息。当您注册我们的网站程序时,新浪也会使用cookies。在这种情况下,我们会保存有用的信息,以便您再次访问我们的网站时,我们的网站可以识别您的身份。新浪网站的Cookies只能由新浪网站读取。如果您的浏览器被设置为拒绝cookies,您仍然可以访问我们的大多数网站。"第五,关于个人信息的更新和隐私保护政策的更新. "如果您的地址、职位(头衔)、电话号码或电子邮件地址发生变化,您可以根据新浪网站上公布的联系方式通知新浪,以帮助我们保持您信息的准确性。您也可以通过登录新浪网用户注册页面上的更新会员信息栏来更新您的个人信息。新浪欢迎您对这个保密系统的评论和问题。我们将致力于保护您的个人信息,并尽最大努力确保这些信息的安全。由于在线技术的快速发展,我们将随时更新我们的信息保密系统。"
在银行业务方面,一些银行通过制定相关的内部规定来保护客户的个人信息。1999,中国工商银行发布《中国工商银行员工行为规范》,规定工商银行员工应“严格保守客户秘密。员工有义务对客户提供的信息保密,以维护客户的合法权益。除依法可以提供或经客户同意的信息外,员工无权擅自披露客户信息。除非工作需要,不要随意和同事谈论客户。通过电话或电子方式交流或传递业务信息时,应注意保护客户信息的安全。回答有关信用状况的咨询,应对咨询者和客户双方负责。对方提供的数据不得超出银行允许的范围。无关人员不得随意接触客户信息,不得将客户信息用于个人目的。向公安局、检察院、法院等司法机关提供客户信息,必须有公安、司法部门出具的完整手续,并严格按照规定程序进行。严禁向亲友透露或提供客户信息。”2002年,中国建设银行发布《中国建设银行个人贵宾客户服务管理办法(试行)》,规定:“各级银行必须为每一位贵宾客户建立档案,记录客户的个人资料和服务信息,不得遗漏。”“各级银行必须妥善保管客户档案,除法律要求或客户允许外,任何单位和个人不得向社会公开或泄露客户个人资产、账户交易等客户信息。”
第四,个人信息保护的行业自律机制
在中国,互联网行业作为信息产业的重要组成部分,对日益严重的个人信息威胁给予了高度关注。在中国,对个人信息保护采取自律措施的行业主要是互联网行业。2002年,中国互联网协会颁布《中国互联网行业自律公约》,倡导互联网行业从业者加入公约,要求会员“自觉维护消费者合法权益,保守用户信息秘密;不得利用用户提供的信息从事任何与向用户作出的承诺无关的活动,不得利用技术或其他优势侵害消费者或用户的合法权益。“同时,同意由中国互联网协会负责组织实施公约,向公约成员单位传递互联网行业管理的法律、政策和行业自律信息,及时向政府主管部门反映成员单位的意愿和要求,维护成员单位的合法利益,组织实施互联网行业自律,监督成员单位遵守公约的情况。
作为落实个人信息保护行业自律机制的重要手段,行业自律标识也在中国出现。然而,随着中国互联网产业的快速发展,一系列不和谐的音符隐藏在产业快速增长的背后:垃圾邮件、病毒、恶意软件、网络语言暴力、网络色情等现象的泛滥,使网民无法自由享受互联网生活,他们的基本权益受到严重侵犯。2006年6月165438+10月1日,中国互联网协会、违法和不良信息举报中心、反垃圾信息中心、晚报协会、奇虎公司正式宣布,第一个互联网公益品牌“清洁蓝丝带”正式上线。作为杜绝网络恶意行为的标志,清晰的蓝丝带用于宣传“净化互联网空间,努力打击网络犯罪,人人有责”的信息,呼吁“拯救网络弱势群体,杜绝网络恶意行为”。蓝丝带象征着将相关政府机构、互联网公司和网民紧密联系在一起的纽带。* * *是国家关心和支持互联网行业健康发展的象征,是网民对互联网的热爱和对纯净互联网空间的渴望的象征,是互联网企业承诺关注网民感受、恪守自律的象征。
动词 (verb的缩写)摘要
基于以上讨论,我们可以判断我国个人信息保护的现状有以下特点:
第一,在个人信息的法律保护方面:(1)就法律的适用范围而言,保护个人信息的法律条文数量比较有限,适用范围也比较狭窄,没有专门的统一的适用于所有信息控制者的个人信息保护法;(2)就个人信息的法律保护手段而言,偏重刑事处罚和行政管理,而忽视民事确认和民事责任,导致个人信息被侵权,即使侵权人最终受到刑事处罚或行政处罚,也无法对信息主体的财产和非财产损失进行任何实质性的补偿;(3)就法律的可操作性而言,大部分条款缺乏可操作性,很多条款只规定了对个人信息保密的义务,而没有规定违反这一义务的后果;(4)就法律的体系化而言,现有条文之间缺乏系统的回应,给人一种“杂乱无章”、“群龙无首”的感觉,不符合我国所继承的大陆法系的法律思维,也不利于法律的适用;(5)就法律条文的具体内容而言,多数条文通常只忽略了对个人信息的保护,往往未能揭示个人信息保护的立法理由、基本原则、信息主体的权利、个人信息收集、处理、利用和传输的规则、实施机制和监督机制。(6)就保护个人信息的理念而言,我国法律对个人信息的直接保护是近年来的发展趋势。长期以来,由于对个人信息保护的意义缺乏正确的认识,对个人信息只采取了有限的间接保护措施。
其次,在个人信息的自律保护方面:(1)非公共部门,尤其是一些商业网站,已经逐渐意识到个人信息的巨大价值及其对信息主体的重大意义,为了增强消费者对互联网信息的使用,提供了相对详细的隐私保护政策。但也要看到,国内商业网站的个人信息保护水平差异很大,大部分大型商业网站都有比较完善的个人信息保护政策;然而,一些小网站正在担心个人信息的保护问题。他们不仅不公开相应的个人信息保护政策,甚至还在乎自己的商业信誉。只要能给网站运营者带来利益,他们就会不正当地收集、使用甚至出售访问者的个人信息。此外,在非公部门,除商业网站等少数主体外,大部分非公部门不会单方面向对方提供个人信息保护政策。与上述个人信息控制者在个人信息保护方面的自律措施相对应的是,除了互联网行业,其他非公共部门的个人信息保护的行业自律公约很少。
(2)就公共* * *部门而言,由于长期以来形成的“官本位”思维定势,对个人信息的关注基本是出于其管理需要,更多强调个人提供信息的义务,而个人对自身信息享有的权利基本被忽略。比如,在浏览中国各级政府的网站时,我们几乎看不到一些大型商业网站所拥有的“隐私政策”。就连中央人民政府的网站——“中国政府网”也没有为个人网上信息的保护提供相应的政策,这是我国电子政务发展的一大遗憾。对这一现象,有学者认为,“这可能是因为我国政府网站还处于发展的初级阶段,主要功能只是宣传政府政策和程序,它只起到电子公告板的作用。政府网站是为网络用户阅读信息和资料而提供的,不会收集网络用户的个人信息。”但这些学者也认为,“政府网站向大多数商业网站那样的互动平台发展是必然趋势。”为了更好的服务纳税人,政府网站未来一定会向功能多元化的方向发展。为了方便用户和网站的操作,提供更多的个性化服务,未来的政府网页可能会发展为向不同的用户发送不同的个性化网页,适合用户的胃口。这样,政府网站不可能永远停留在电子黑板报的层面,不收集网络用户的个人信息。另外,不同的政府部门通过网上政务,有大量公民通过互联网提交的各方面信息。如果没有个人信息保护政策,他们会愿意侵犯个人信息。“我非常同意这种说法。
正是由于个人信息保护机制的现状,个人信息在我们的社会生活中频频受到威胁。面对这种情况,除了大家加强自我保护,倡导个人信息保护自律机制建设之外,越来越多的人希望我国能够制定一部个人信息保护领域的专门法律。其实,从建设法治社会的大背景来看,无论是加强信息主体的自我保护,还是倡导构建个人信息保护的自律机制,还是制定个人信息保护法,都应该着重从民法保护个人信息的角度去观察和理解。虽然刑法和行政法在保护个人信息方面可以发挥重要的、不可或缺的作用,但也可以在一定程度上防止侵犯个人信息的行为。而刑法侧重于惩罚和行政管理,在确认信息主体权利和事后提供全面救济方面的作用有限。
首先,可以通过民法中的自助制度来加强信息主体保护其个人信息的权力。在法治社会,虽然原则上不允许自助,但当采取公力救济措施为时已晚,权利面临被侵害的现实危险时,法律允许有限度地使用自助,信息主体可以在法律允许的范围内通过正当防卫或自助保护自己的个人信息。
其次,就自律机制而言,如果信息控制者自愿单方面作出信息保护的承诺,则控制者的这种行为可以被判定为民法上的生效条件的法律行为。一旦达到条件,即信息主体的信息被承诺人控制,信息控制人的承诺行为即发生法律效力,此时信息控制人应承担其承诺的信息保护义务;行业自律组织对个人信息保护作出承诺的,可以视为所有加入自律组织的信息控制人对信息保护作出承诺。这样,也可以用生效条件法律行为的相关理论来解释和处理。
另外,如果从民法成长的社会基础——市民社会理论出发,行业组织是现代市民社会的重要组成部分。它是国家权力和公民权利之间的缓冲地带,行业组织在保护个人信息方面的重要作用不可低估。最后,虽然《个人信息保护法》的内容离不开对个人信息的行政保护和刑事保护,但对信息主体最有力、最实质性的保护,还是通过《个人信息保护法》赋予其相应的权利,使信息主体通过自身权利抵制公权力对其个人信息的不当干涉,平衡与其他私权主体的权利冲突。同时,当他人个人信息受到不当侵害时,通过法律对侵权人施加民事责任,可以使被侵害的信息主体得到全面的救济和赔偿。