六、完善个人信息保护的立法建议
(一)暂缓个人信息保护的专门性法律的出台
在大数据到来之前,出台一部专门性的个人信息保护法是很有必要的,甚至在当时的情境下是刻不容缓的,但大数据的到来可能改变这一趋势。大数据时代有可能使人类对自身的个人信息进行再审视,在这一时期,法律不应对人类的这种行为进行干涉甚至是引导。保守主义者认为,从来都没有什么高瞻远瞩的人。即使是极其聪明的顶层构造,看起来完美无缺的方案,面对社会中无数的不可控因素,都会产生这个方案构造者无法预见的变形,最后可能变得面目全非。人类对于自身个人信息的看法决定着个人信息保护的根本立场,在人类看法摇摆不定之时,出台个人信息保护的基本立法是极为不智的。如前文所述,个人信息受到严重侵害,保护个人信息也有其各种重要意义。
不过,这不过是我们当下的看法。也许在后世来看,这不过是时代渐进时的阵痛。特别要指出的是,这里所讲的“后世”,并不一定指很长一段时间周期,它很有可能将非常迅速,可以把它认为是“大数据时代”,而我们当下的时代是“前大数据时代”.首先,我们当先认为个人信息受到严重侵害,也许后世将对这种现象习以为常,我们花费立法成本的成果只会因不适应后世的客观情况而丧失生命活力。其次,保护个人信息的各种意义都会不复存在。其一,所谓为了基本人权的实现。若人类认为个人信息不在包括在基本人权的范畴之中,甚至认为个人信息应当属于公共所有,那么这条理由理所当然不复存在。其二,所谓为了电子商务的健康发展。迄今为止,我们所讲的个人信息泄露可能带来的对电子商务的损害,才仅仅是理论上的一个推理假设。我们当下看到的客观情况确实电子商务欣欣向荣,没有任何东西能阻碍其发展,也包括所谓个人信息泄露的风险。相反的,电子商务却入侵了包括电信、金融等传统的垄断的国家特许的地盘。我们根本就无法以此理由来对个人信息进行保护。其三,所谓贸易壁垒问题。大数据时代并非我国一国所面对,甚至特别是在欧美发达国家,比我们更先面对这个问题。可以想象大数据的浪潮首先冲击的应该是这些国家。如果大数据时代带来的辩护如一些学者所预期的那样,将彻底改变欧美国家在内的全球。所谓欧美国家以此要挟,设立贸易壁垒,在其本国内可能都不会通过。
(二)树立科学的立法理念
个人信息保护立法应当将促进个人信息的流通与利用与保护个人信息权利有机结合起来。作为一项基本人权,个人信息应该得到充分保护。个人信息保护立法中第一顺位需要考虑的价值应当是保护,其基本目的之一应是本着尊重人的基本人权、尊重人本身的态度来保护个人信息,从而实现信息主体对其个人信息的掌控的权利。同时,个人信息亦是一种社会经济资源,社会要求个人信息能够自由流动,能够尽可能地得到开发和利用。如果过分强调隐私保护或者人格保护,个人信息被“冻结起来沉在湖底”,将不可避免的遏制信息的自由流动进而造成社会文明的倒退。因此,个人信息保护立法还应促进个人信息的流通与利用。
当然,促进个人信息的流通与利用与保护个人信息两者之间的确有一定程度的冲突。但笔者认为,二者是对立统一的关系,加强对个人信息权利的保护,必然增强消费者参与交易的信心与安全感,进而也就会促进个人信息的健康流通与相关交易的发展;相关交易的发展同时也有利于探索更为严密与科学的个人信息保护途径。故我国个人信息保护立法在理念上不能不恰当地偏重于某一方面,而废弃另一方面,而应力求兼顾并取得两者的相对平衡。
(三)确定个人信息法律保护的基本原则
个人信息法律保护的基本原则是指导个人信息保护立法、司法的根本,也是纵贯整个个人信息保护法律制度的根本。对于个人信息法律保护的基本原则,世界各国(地区)和组织的规定大致相同。德国个人信息保护法规定了六项原则I,世界经合与发展组织规定了八项原则2,不少国家和我国台湾地区在制定或修正个人信息保护法时,大都直接采用了经合与发展组织制定的八项原则说。笔者以为,为了与国际通行准则接轨,我国未来的个人信息保护法,可以考虑借鉴世界经合与发展组织制定的指导原则。
(四)构建完善的个人信息保护的法律体系
如上文所述,我国个人信息保护的法律体系仍需要一部专门的《个人信息保护法》的出台,从而为个人信息提供直接而又高效的保护。不过,个人信息权利是公民的基本权利,涉及人格与隐私利益,它自然也应受到宪法、民法通则等相关法律的保护,宪法、民法通则等相关法律也应对个人信息的保护予以明确。寄希望于仅依靠一部《个人信息保护法》以解决个人信息保护的全部问题并不实际,最有效的是建立个人信息保护的法律体系。
通过宪法保护个人信息权,在当下的中国是不现实的。首先,我国宪法缺乏可诉性,即便宪法中明确了个人信息权,实际上也需要其他配套法律的落实。
其次,我国宪法对公民基本权利的完善不是短时期内可以完成的事情,刑法是最严厉的法律,其具有谦抑性,只有在其它法律无法调整的情况下才能出现,并只能用于惩治社会危害性大、情节严重的犯罪行为。这决定了刑法对于侵犯个人信息的行为的调整范围必然不广泛。虽然通过刑法修正案的形式,刑法己经可以规制侵犯个人信息的行为,且在司法实践中也己经出现了以“非法获取公民个人信息罪”定罪的判例,但当前的现实情况是,许多侵犯个人信息的行为还达不到犯罪的程度,对于大量的诸如此类情节轻微的泄漏或者非法获取个人信息的行为,刑法是无能为力的。
通过行政法方法规制涉及个人信息的相关行为具有其合理性和必要性。首先,行政机关自身在工作时,需要处理大量与个人信息相关的内容。通过行政立法的方式,即授予行政机关以具体行政行为权力的同时对该权力进行限制,防止其侵害公民个人信息较为便宜。其次,私权救济不足以保护权利时,公权力采用行政法方法介入也是正当的。但是从另一方面来讲,在行政法方法调整的过程中,受到行政机关地位与职能的限制,程序可能变得严格,在解决问题的方式上也会僵硬。
纵观我国目前民事立法,对于个人信息的保护仍存在不足,主要表现为:
对个人信息缺乏系统保护,只能从零散的法律规定中寻找依据;从现有条文看,民法能够对个人信息提供的保护主要是事后保护,缺乏事前的明确的法律依据;事后保护也主要是形式单一的侵权责任。但即使如此,民法因为其先天的灵活性、广泛性,作为基础、框架和主要解决方式支撑整个个人信息保护体系是可行的。
针对民法对于个人信息保护的缺陷,笔者认为民法对个人信息保护应当做如下的修正:
1、保护的途径应当包括事前的保护声明,这主要是说要确立个人信息权的理念。无论将其作为一种独立的权利,还是将其纳入隐私权和人格权的范畴之内,先决条件就是先明确信息主体对其个人信息的个人信息权。只有通过立法以确定,才能更好的加以保护。
2、事后的救济不但要包括侵权责任,违约责任也有补入的必要。应当认为,信息主体对于其个人信息权有处分的权利,假设信息主体以合法方式自愿处分其自身的个人信息,并与受让人形成合同关系时,若受转让人存在违约,则通过追宄其违约责任的方式使权利人得到救济的方式更符合法律逻辑。
笔者认为,将来个人信息保护的法律体系应该是以个人信息保护法为核心,以民法保护为主,刑法、行政法、宪法保护为辅的一个有机统一体。