第三章 我国网络环境下个人信息保护的立法建议
第一节 我国网络环境下个人信息保护的现状
一、我国个人信息保护立法的概况及局限性分析
迄今为止,我国尚没有专门的个人信息保护法,这不能不说是一个遗憾。然而,不能就此认为我国对个人信息保护的立法是空白的。因为我国对个人信息的保护是通过不同的、分散的法律法规来体现的。这主要分为两方面,第一,是直接以"个人信息"的名义来保护,即在相关法律法规中直接规定个人信息保护的条款。第二,以"隐私权"的名义对个人信息进行保护。以〝个人信息〞名义立法保护的有《刑法》、《社会保险法》、《统计法》、《护照法》、《居民身份证法》等 5部法律和《戒毒条例》、《彩票管理条例》2 部行政法规。而,以"隐私权"名义保护个人信息的法律法规有《中华人民共和国刑事诉讼法》、《中华人民共和国民事诉讼法》、《中华人民共和国涉外民事关系法律适用》等 20 余部。
2005 年刑法修正案(五)首次明确设立了个人信息保护条款,之后在 2009年出台的刑法修正案(七)体现了国家对个人信息保护的高度重视以及对犯罪打击力度的提升。
在行政法领域,《行政诉讼法》、《行政复议法》、《行政处罚法》、《行政许可法》、《治安管理处罚法》、《政府信息公开条例》等法律法规均明文规定对个人隐私采取保护。其中,2008年实施的《政府信息公开条例》第25条的规定体现了个人信息主体的两项基本权利,即:知悉权和更正权,这在以往法律中是没有的。此外,《政府信息公开条例》还明确了两条基本原则,条例第14条第二款是涉及个人隐私属于政府信息公开的豁免情形;条例第23条的规定则确立了有关第三方隐私利益主体的异议制度。
有关网络隐私适用的唯一法律规定是:2010年10月28日全国人大常委会通过的《中华人民共和国涉外民事关系法律适用法》第46条,该规定明确了因网络造成个人信息侵权案件适用被侵权人的经常居住地法律。
应该说我国已经对网络环境下个人信息的保护制定了一定的法律规定,对网络环境下的个人信息保护在一定程度上起到了积极的作用,但仍然存在法制不健全、法律体系不完善、法律实施不到位等问题,立法仍然比较薄弱,主要存在以下方面的诸多缺陷:
第一,没有对"个人信息"做出定义。我国的现行立法中,没有找到有关"个人信息"定义的条文。因此,对什么是个人信息,其内涵与外延分别如何,这些都没有法律依据可言。连基本定义也没有,就更谈不上对不同的个人信息进行分类保护了。比如:对"敏感个人信息"如何界定,又如何作特别保护,这些都仅仅停留在理论界的争论中,没有实实在在可以作为行为依据的明确的法律依据。
第二,立法分散,缺乏互相协调性,且没有形成完整的法律体系。不同的立法部门制定的规定不统一甚至相互矛盾,法规之间的协调性和衔接性不足,这都影响到了法律的实施。个人信息保护的立法体系应包含立法目的、保护模式、基本原则等内容,完整的立法体系应是系统化的。目前保护个人信息的主要立法宗旨还在于对公共秩序、公共安全保护的层面,很多规定对受害者个人利益缺乏保护和救济。
第三,法律的效力层次不高。现有的法律规定大多位阶较低,只是属于行政法规、部门规章或者地方性法规,更有相当一部分只能是政府表达自己的意见或者方针。所谓道高一尺,魔高一丈。互联网个人信息侵权案件不少性质恶劣,所以应当由全国人大或者全国人大常委会制定全国性的法律,以便公民的个人信息能被真正保护起来。目前看来,仅靠国务院行政法规和部门规章,是远远不够的。
第四,法律不健全、可操作性欠缺。相比较个人信息保护日益严峻的形势,我国当前的相关法律法规无论从数量还是质量,都远远不能满足现实的需求。法律的可操作性,也是一个相当现实的问题。在这一方面,我国的立法部门尚未交出令人满意的答卷。比如:个人信息的保护范围、第三方监督机构的设立和运作,等等,都缺乏明确的法律依据,甚至存在法律空白。仅仅凭借抽象性的表述,是无法真正实现保护目的的。
2009 年出台的《刑法修正案(七)》对于个人信息的刑法保护是一个很好的立法示范,对此类犯罪的打击应予以加强,必须在今后的立法中加以全面充分地体现。但是,仅仅依靠刑罚无法实现全面个人信息保护的目的。如何通过立法来初步实现公民对自身个人信息的"安全感",应当作为基本的立法理念。
第五,罚则不够明确。诸多现行法律规定对违反时的法则大多缺乏具体规定,受害者如何寻求权利救济也缺乏法律依据。大量的民事侵权行为决不可能求助于刑法关于严重侵犯个人信息的规定,毕竟对个人信息保护造成危害的大多数属于民法或行政法调整的范畴。个人信息保护如果没有有效的救济机制,那么该法即是空洞许诺。个人信息保护的救济措施主要通过规定侵权人应承担的法律责任来补偿受害人的损失。
当前,网络环境下出现的大量侵权行为不时引起轰动,保护的救济措施不到位是一个重要的原因,而且加上执法也不严格,使我国的个人信息保护处在一个比较低的水平上。
第六,对行政机关的约束不足。个人信息保护的最薄弱环节其实正是政府行政部门,而立法约束公权力必然是当务之急。这也是难点所在。在实践中,政府机关常常成为侵害公民隐私权的主体。一国政府为了实施有效的统治,必然要在某些情况下介入或干预公民的私生活领域,但是这种介入或干预必须具有正当的理由和经过合法的程序,否则即为任意的或者非法的干预,是违反国际人权保护法的行为。
2003 年起草个人信息保护法时,《政府信息公开条例》的起草同步进行。但后者很快被审议通过,个人信息保护法却至今仍被搁置。被搁置的原因有许多,其中就包括对行政机关的权力如何进行约束,如何保护个人信息免受公权力的侵犯,是重大的课题,牵涉到方方面面的利益,恐怕这个问题找不到好的解决方案,个人信息保护法的立法工作的进展就不会顺利。
二、我国网络环境下个人信息保护的立法和司法:现状及趋势分析
与个人信息保护相关的法律责任,可能是民事责任,也可能是行政责任或者刑事责任。目前,构成网络环境下个人信息保护法律体系的主要法律法规如下:
(一)维护互联网安全的法律法规
1997年12月30日起施行的国务院批准公安部发布的《计算机信息网络国际联网安全保护管理办法》、2000年12月28日第九届全国人大常委会第十九次会议通过的《关于维护互联网安全的决定》、2000年国务院颁布的《互联网信息服务管理办法》、2002年国务院制定的《互联网上网服务营业场所管理条例》规定、2000年信息产业部《互联网电子公告服务管理规定》这五个法规对互联网安全作了初步的框架性的规范。
(二)保护公民电信网络安全和个人信息安全的法律法规
对于公民的电信网络安全和信息安全,《中华人民共和国电信条例》69及其配套法规进行了规范。
(三)规范网络电子邮件服务的法律法规
2006年《互联网电子邮件服务管理办法》规定了对个人通讯信息的保护。
(四)保护公民个人金融信息的法律法规
有关对个人金融信息的保护方面,2005 年中国人民银行发布的《电子支付指引》(第 1 号)规定了银行对客户个人信息的保护义务。2005年2月28日,全国人大常委会通过《中华人民共和国刑法修正案(五)》,新增加了一个罪名:"窃取、收买、非法提供信用卡信息罪".经过修订的《中华人民共和国刑法》第177条第2款对公民的个人信用卡信息资料实施保护。