导论
网络时代飞速发展给社会、法律带来了新的挑战。过去,在手工收集、处理个人信息的技术条件下,个人信息受到侵害的现象并不突出。但随着计算机,特别是互联网技术的发展,这种现象突显出来,并有愈演愈烈之势。包括姓名、电话号码、电子邮箱等在内的个人信息极易被收集、存储和处理并形成规模,导致其传播极为便捷,规模化的个人信息就有了其从未有过的商业价值和社会价值。研宄个人信息保护也有了其法律价值。近年来,微博等新型媒体的出现,将社会带入了所谓的“自媒体”时代。每个人都有发言的权利,门植的降低也带来了诸如“铜须门”、“很黄很暴力门”、“艳照门”等一系列涉及个人信息保护的社会问题。传统法律观点认为应当加快个人信息方面的立法工作,以适应迅速发展的时代。
近两年来大数据概念火热,其带来的对社会生活的冲击才刚刚开始,并将很可能彻底改变人类社会对个人信息的传统观念。这也将必然影响法律对个人信息保护的传统观点,促使我们对个人信息保护工作的步伐进行再审视。一方面,个人信息带有巨大的价值,如何合法、正当使用个人信息是一个法律人需要研究的重要问题;同时,不能回避的另一方面就是个人信息的泄漏也会给信息主体(“信息主体”是产生个人信息的自然人)带来一定的影响。如何兼顾个人信息的合法使用与保护,是本文研究的目的之一。
一、关于个人信息的概述
(一)个人信息的概
明确“个人信息”的概念是以法律对其进行保护的前提。唯有精确界定“个人信息” 一词的内涵和外延,才能了解应该归入到个人信息保护领域的信息的范围。据不完全统计,目前制定了关于个人信息保护的法律的国家和地区己经超过50个,不过这些国家和地区的相关立法对个人信息的定义并不完全相同。
欧盟内各个国家基本均使用了 “欧盟95指令” 1中的定义。在该项指令中,个人数据被定义为指任何与己经确认的或可以确认的自然人有关的信息。“美国的《隐私权法》中给出的”档案“指由某机关保管的有关个人情况的单项、集合或组合,包括但不限于其教育背景、金融交易、医疗病史、犯罪前科、工作履历及其姓名、身份证号码、代号或其他特属于该个人的身份标记,如指纹、声纹或照片。” 2日本在其2003年颁布的《个人信息保护法》中将个人信息做了如下的定义,即个人信息系指包含有姓名、出生年月以及其他内容的信息,并与生存着的个人有关而可以识别,或者是可以较容易地与其他信息相参考进而可以识别出特定个人的信息。
近期,我国工信部发布了《电信和互联网用户个人信息保护规定(征求意见稿)》,该文件的第四条规定:本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的能够单独或者与其他信息结合识别用户的信息,包括用户姓名、出生日期、身份证件号码、住址等身份信息以及用户使用服务的号码、账号、时间、地点等日志信息。4显然,此“用户个人信息”仅是指“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的”个人信息,并非本文所研究的“个人信息”的全部内容,但该项规定中对于个人信息的定义,对于本文中的“个人信息”具有参考意义。
广西大学法学院齐爱民教授在其《中华人民共和国个人信息保护法示范法草案学者建议稿》中,将个人信息定义为:自然人的姓名、出生年月日、身份证号码、户籍、遗传特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动及其他可以识别该个人的信息。1该专家稿通过列举的方式,将“个人信息”的核心要素定义为能够用以识别人,该观点中对于“个人信息”的定义显然与《电信和互联网用户个人信息保护规定(征求意见稿)》中的“用户个人信息”的定义使用了类似的立法技术。
安小米、穆勇、王激、刘精精、望旺、叶六奇等人所作的《我国涉及隐私的个人信息保护与管理法律法规状况及要求分析》一文中认为,个人信息包括身份信息、身体状况信息、个人活动记录和私人资料等。其中,身份信息包括:姓名、出生日期、性别、种族、民族、国籍、宗教信仰、住址、公民身份证号、联系方式、教育背景、学历、职业、婚姻状况、指纹、血型等个人信息;身体状况信息包括:涉及个人生理和心理的健康信息、病史、医疗信息以及个人遗传信息等个人信息;个人活动记录包括:工作经历和个人经济事务、收入和财产记录、雇佣记录、信用记录、消费记录、交通记录、犯罪记录、银行账户信息、与安全码相关的访问码或密码等个人信息;私人资料包括:信函、电子邮件、日记、照片以及会对个人造成负面影响的个人活动文件、档案等个人信息。
笔者认为,齐爱民教授给“个人信息”所下的定义核心意思准确,但在列举时,不甚全面。虽然在列举时使用了“社会活动”这一较模糊的究底情形,也在最后使用了 “其他”这一硬性儿底情形,但不得不说仍然忽略了 “通讯信息”、“网络活动”等两块非常重要的“个人信息”的组成部分。安小米等人的表述显然更加全面,但作为法律定义来说,过于繁复,且又有如下问题:该表述中的“个人活动记录”,可以用齐教授的“社会活动”进行概括;该表述中的“私人资料”,笔者并不认可其是“个人信息”的组成部分。比如说“信函”、“电子邮件”、“日记”、“照片”等可以是“个人信息”的载体,可能包含有所有人的“个人信息”,但并不意味着其本身就是“个人信息”.至于“档案信息”,因为有《中华人民共和国档案法》的存在,笔者建议将档案信息不作为“个人信息”来处理。
2012年12月28日出台的《全国人民代表大会常务委员会关于加强网络信息保护的决定》第一条规定:国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。此“能够识别公民个人身份的电子信息”可以视为本文核心概念“个人信息”的内涵定义。
笔者给“个人信息”所下定义为:自然人的姓名、出生年月日、身份证号码、户籍、遗传特征、指纹、婚姻、家庭、教育、信仰、职业、健康、病史、财务情况、社会活动、通讯信息、网络活动及其他可以识别该自然人身份的信息。这样的表述较简洁的全面概括了目前“个人信息”的范围。这也是本文中需要研究的主体内容。
(二)个人信息的特征
近年来,随着网络技术的发展,个人信息越来越多的呈现电子化的特点。
随着这一趋势的进一步显现,个人信息越来越呈现出以下的特征:
1、虚拟性、数字性、极易传播性。相较于传统形式的个人信息,个人信息并不以纸质等实体形式存在,其虚拟性、数字性的特征让其具有了实体性信息所不具有的极易传播性。
2、规模性。个人信息的存储只需要很少的介质空间,在很小的代价下就能实现很大规模的存储。单条的个人信息本身具有的价值是相当有限的,而规模性的个人信息则具有极大的价值,这也刺激了个人信息交易市场的繁荣。
3、全面性。普通的个人信息可能涉及到某种人群或者某个方面信息,如简历、工作经历、病历、电信号码等等,而个人信息具有其特有的全面性。搜集个人信息的主体往往对于搜集个人信息有强烈的需求,这导致其对个人信息的搜集相当全面,涵盖各个群体的各方面内容。
(三)使犯个人信息的方式、法律责任
1、侵犯个人信息的方式
侵犯个人信息的方式大致可分为国家行为对个人信息的无限制搜集、商业化的搜集并出售个人信息、网民通过“人肉搜索”侵害个人信息等三种。无论出于国家行为、商业利益、网民群体狂欢,搜集个人信息的主体对于搜集个人信息均有强烈的需求。搜集个人信息是一个各种主体都在进行的行为。参与的主体层次、目的性参差不齐,自律程度不一,甚至完全谈不上自律。需要明确的是,个人信息的搜集并非法外空间,通过制订一部系统性的法律对此领域进行规范是法律人的责任。对个人信息的贩卖这条灰色的产业链,个人认为应当对其进行严格的规范乃至于严厉的打击。对于网民不负责任的“人肉搜索”也需要用此部法律进行必要的规范,防止网络暴力的滥用。同时,这部法律也应当对于网络使用者的信息进行必要性搜集的授权,以保证对包括个人信息保护在内的公民权利的更好的保护。
(1)、国家行为对个人信息的无限制搜集
2013年5月,美国CIA (中央情报局)前雇员“斯诺登”以治疗癫痫为由申请暂时离职并获得批准。5月20日,他飞抵香港,入住一家酒店,在一份秘密文档披露给英国《卫报》并接受该报采访,披露美国政府的一项秘密情报监视计划(棱镜计划)让世界为之一震。棱镜计划是美国政府的一项秘密情报监视计划,这个项目从2007年幵始运作,现已成为美国总统每日简报的最大的消息来源,参与该计划的公司都是美国赫赫有名的互联网公司,包括微软、雅虎、谷歌、Facebook、youtube以及苹果等9家公司,美国国家安全局和联邦调查局从这些公司的内部服务器中收集公众的大量数据,其中包括音频、视频、照片、中电子邮件、以及文档,但目前谷歌、Facebook等公司都强烈否认参与棱镜计划,棱镜计划被美国国家安全局定为高度机密,在被斯诺登爆光之前,从未被公开披露过。斯诺登在接受香港媒体采访时,披露说华盛顿方面自2009年以来就开始潜入中国内地和香港两地政府官员、企业以及学生的电脑系统进行监控。
斯诺登说,就他所知,美国在全球进行了 6.1万次的渗透行动,目标包括数百个港两地的个人以及机构,其中包括香港中文大学。据斯诺登的爆料,指英国此前藉办G20峰会,截取与会外国政要电话和监控他们的互联网通讯。爆料还指出,监控目标中包括一些西方国家的长期盟国南非和土耳其,此外还有时任俄罗斯总统的梅德韦杰夫。
“棱镜”事件对整个世界是一个巨大的冲击。虽然奥巴马政府始终辩称该计划旨在打击恐怖主义,且受到该国立法、司法、行政三权最高级别的监督,但该计划收集包括外国人在内的广大公众的包括通讯信息在内的个人信息做法,不得不引起来自法律界的关注和研究。美国国家安全局反恐专家指出,通过监控通话双方号码、通话时长、通话地点等四组数据就能击破超90%恐怖袭击,可见个人信息的巨大作用。美国政府发动的窃取我国公众个人信息的行为,不仅是对我国公民个人信息控制权的侵犯,甚至影响到了我国的国家安全。因此通过立法,促进我国对个人信息保护的发展,有重大意义。
美国是世界上宣称自己是最自由的国家,其对个人信息的侵犯尚且如此严重。事发后,美国中情局一个官员宣称“美国并不是这个星球上唯一进行此项工作的国家”,而且各国并没有对美国的行为进行大规模的抨击,仿佛此种行为就像业界的潜规则一般通行。从各国对此事件的反映来看,恐怕世界上绝大多数的国家在此类行为上,“屁股都不干净”,大家不过是五十步笑百步,只不过美国出了一个斯诺登而己。由此可知,国家对个人信息进行搜集己经是这个星球上通行的法则。
国家搜集个人信息具有其天然的优势一一搜集个人信息的团队非常专业,信息处理能力非常强大,背后有国家强制力的支撑。国家搜集个人信息具有其正当的理由,包括用于反分裂、反恐、保护国家安全、打击刑事犯罪等等。合理使用个人信息将产生巨大的作用,但面对国家机器的搜集能力,个人隐私在其面前相当弱势。如果国家权力毫无限制的全面介入对个人信息的搜集中,国家将成为一个“特务社会”,国民幸福感、自由感将荡然无存,这与我国社会主义法治理念的基本内容截然相反。
(2)、商业化的搜集并出售个人信息
据可靠消息报道,仅我国境内,搜集个人信息并出售的公司不在少数。当下社会中,在进行快递、保险、医疗、考试、应聘等等行为时,自然人有时不得不将个人信息主动提供给他人,而被提供的个人信息的保护往往仅能依靠个人信息获取人的自律。上述的某些行业中,存在着全行业的素质不高,加上社会转型期间公民个体的信仰缺失,寄希望于自然人个体的自律,乃至于全行业的自律都是不现实的。这些被提供的个人信息如同溪流汇入海洋一样,最终被大量的专门性公司将收集起来。某家大型信息公司号称掌控中国7. 5亿人的个人信息,并将7. 5亿人区分市场进行了细致分类,看见个人信息泄露的广泛性及深入性。这种商业化搜集并出售个人信息的行为最终是为商业性推销乃至电信诈骗服务,个人信息的泄露不仅会给受害者带来令人厌恶的商业推销的骚扰,甚至带来被诈骗的危险。
商业性搜集个人信息有其强烈的趋财性。在这个新兴的市场,市场竞争相当激烈。有分析家认为,目前市场上存在的数千家大大小小的互联网公司,在未来的三至五年内将只会剩下两家最大的公司。这些出售个人信息的公司为了竞争,必将遵循市场竞争的法则,扩大其核心竞争力,也即是个人信息的数量及质量。在未来可预见的时间内,商业性搜集及出售个人信息的行为将会愈演愈烈。
个人信息其权力属性应当归属于信息主体本身,除了信息本体同意、处于国家安全、公共利益等外,个人机关、组织和个人不得搜集个人信息,更何况是以此获利。从商业性搜集及出售个人信息的行为,从分析主义法学的角度来看,开战此项业务的公司必然超出了其核准的经营范围进行经营,属于非法经营的范畴。从自然主义、社会法学的角度来看,出售的标的物也并非现行法律的止流通物,但显然并不属于出售者所有,搜集及出售该标的物的行为侵犯了信息主体的隐私权等人格权利,应当立法予以纠正。从现有的分析来看,基本没有个人愿意将其个人信息以商业利益的目的进行出卖,而处于国家利益、公共利益的信息收集工作可以由其他国家机关、社会团体组织进行,不需要商业性公司进行补充。法律也不可能授权或委托一个商业性公司从事可能侵犯人权的个人信息搜集的工作。故,从根本上消灭此类型的商业组织是必要的、可行的。而消灭此类型的工作,立法禁止此类行为是一个先决性的条件。只有法律明文禁止,民众才不可为,公权力才有权力介入。
(3)、网民通过“人肉搜索”侵害个人信息
网络上那些极为吸引眼球的爆炸性新闻,尤其是披着网络反腐、道德批判外衣的以及符合网民猎艳心理的新闻,极易引起网民“人肉搜索”的热情。笔者感觉到,“人肉搜索”的频率在近年来急剧上升,但准确率却急剧下降。早期的“铜须门”、“虐猫门”、“校园艳照门”等代表性网络事件,网民在极短时间内搜索出正确的结果,当事人被迫回应或者当事人被处罚的结果让人们感到“人肉搜索”的力量,更激发了 “人肉搜索”者的热情。应该注意到网络反腐与“人肉搜索” 一个重要的区别,网络反腐经常性的形态是,在网络上将已经掌握的相当清楚的贪腐事实曝光,这是一个积累再爆发的过程;而“人肉搜索”往往仅仅是从一个具有爆发性的事件中,吸引了一大批网民进行即时的搜寻,难度、准确性可想而知。在“人肉搜索”如火如荼之际,我们不得不正视其非权威性、随意性、低准确性、非客观性等与生俱来的缺陷。近期的“庐江艳照门”充分说明了这一点。一起事后被证实为合肥学院某领导汪星及其妻子等人进行的淫乱行为,先后被网民认定相关的有庐江县委书记王民生及庐江副县长蒋大彬、合肥学院何妇妇、昆明三对夫妻、淮南艺术剧院音乐总监高振宇及网络名人手链妲姐王诺(也有网民称其真名为邓桁衍,安徽淮南人,高振宇妻子)等等。其中,涉及到政府及合肥学院的消息,政府及学校进行了正式的否定性辟瑶,其他的“涉嫌当事人”的信息准确性则根本无从考证。可见,网民并不追求搜索的准确性,而是一味追求搜索结果的爆炸性,主观的认定事件当事人,并随意传播。“人肉搜索”的所谓结论晒出的个人信息经常性的与负面信息关联出现,在一定时期内,会损害他人的名誉权,甚至也会永久性的侵害他人的隐私权。
2、侵犯个人信息的法律责任
我国法律并未明确对个人信息保护的权利形式,但无论最终定义个人信息权属于隐私权、人格权或是基本人权,这些权利均在我国宪法对个人的保护范围之内。但在当前,因为我国宪法可诉性,缺乏追究侵犯个人信息的行为的违宪性并无现实意义,故笔者忽略了侵犯个人信息行为在宪法层面的考虑。同时,侵犯个人信息的行为根据其行为旳严重程度,又分别受到民法、刑法的调整。
(1)、在刑法层面
在我国刑法中,侵犯个人信息的法律责任仅见于刑法修正案(七)中第七条规定1.这一规定虽然弥补了我国现行刑法对于个人信息保护的空白,显示了国家对于个人信息的高度重视,但仍然存在很多实践操作的问题和司法争议问题,需要不断完善。其他相关的主要法条主要有刑法第二百四十五条第一款2、第二百五十二条3和第二百五十三条第一款4,这些法条所保护的法益是公民的隐私权。可见,个人信息已经受到刑法的保护和调整,但仅有相当少的严重侵犯个人信息的行为才受到刑法的调整。
(2)、在民法层面
目前,我国涉及个人信息民法保护的现有的法律主要包括《民法通则》、《侵权责任法》等法律及最高人民法院相关司法解释。其中,《民法通则》第五条5可以作为个人信息民法保护的基本依据,第六章民事责任部分可以视为追究侵犯个人信息行为责任的依据。《侵权责任法》对侵权责任的构成等作了更为具体的专门规定,尽管该法第二条所列举的所保护的“民事权益”中并未出现“个人信息权”,但对该“民事权益”作扩大解释并将个人信息权纳入其中也并未超过国民的预测可能性。特别是《侵权责任法》第36条专门就网络侵权做出规定,对个人信息被侵害提供了救济的途径。《最高人民法院关于审理名誉权案件若干问题的解答》作为司法解释,也涉及了个人信息中的一小部分内容。
综上可见,侵犯个人信息的行为,虽然在民法保护的层面仍然存在着严重的不足,但与个人信息的刑法保护相比,个人信息的民法保护涉及的方面更多,提供救济的理论基础及具体途径隐约可见,改造使之成为个人信息保护的通用做法的条件更好。