第二章 我国信息自决权保护的现状、问题及原因
第一节 我国信息自决权保护的现状分析
一、我国信息自决权保护的立法现状
目前我国的法律体系中尚无明确提出信息自决权这一公民权利,但与之密切相关的个人信息保护条款,零星地分散在不同的法律条款中。如:从宪法层面看,宪法第 38 条明确规定,应充分尊重我国公民人格尊严。第 39 条规定,公民的住宅应受到严格的保护,禁止侵犯或非法搜查公民的住宅。第 40 条规定,公民的通信自由受到严格的保护,禁止任何人或组织实施任何侵犯公民自由通信的行为。
从刑法层面看,我国刑法第 245 条规定"禁止任何非法搜查或侵入公民住宅的行为".第 252 条规定,需充分保护公民通信自由。第 253 条规定,国家机关或金融、电信、交通、教育等单位的工作人员非法出售公民个人信息属于犯罪行为。
民法领域中,依《民法通则》,法律保护公民的人格尊严;公民享有姓名权、肖像权、名誉权。《侵权责任法》第二条明确规定,侵害包括姓名权、名誉权、肖像权、隐私权等在内的民事权益,应承担侵权责任。违反社会公共利益、社会公德侵害他人隐私或其它人格利益,受害人以侵权为由起诉要求赔偿精神损害的,法院应依法受理。
根据《民事诉讼法》,涉及个人隐私的,列为公开审理案件的除外情形。不过,新《消费者权益保护法》已经把消费者个人信息纳入了保护范围。
在行政法层面,对涉及个人隐私的信息一般不得公开。《行政复议法》中,申请人、第三人可查阅被申请人提出的书面答复、作出具体行政行为的证据、依据和其他有关材料,但涉及国家秘密、商业秘密或个人隐私的除外。《行政处罚法》、《行政许可法》分别将涉及个人隐私列为听证公开、行政许可的实施和结果公开的除外情形。依《行政诉讼法》,律师可查阅案件相关材料,也可调查和收集证据,但涉及个人隐私的材料,应依法保密;涉及个人隐私被列为公开审理案件的除外情形。
除上述法律外,《统计法》、《护照法》、《社会保险法》、《居民身份证法》、戒毒条例等也对其中涉及到的公民信息保护进行了有关规定。值得一提的是,去年我国实施了《信息安全技术公共及商用服务信息系统个人信息保护指南》。这是一部技术性指导文件,是第一个个人信息保护的国家标准,主要用于规范通过信息系统处理个人信息的行为。
这些法律规范在信息自决权保护方面的应用体现在:在宪法层面上,通过明示规定公民的住宅、通信自由与通信秘密不受侵犯,来保护与住宅权、通信自由相关的部分个人信息不被非法窃取、传播、滥用等,从而对信息自决权的部分内容进行保护。
刑法层面上,通过规定侵害公民个人信息的犯罪行为及相应刑罚,来打击具有严重社会危害性的个人信息泄露和滥用行为,一定程度上防范严重侵害信息自决权的现象产生。民事领域中,主要还是通过保护姓名权、肖像权、隐私权等其他权利,来保护这些权利所涵盖的个人信息。行政法层面则主要将"涉及个人隐私"纳为行政公开的除外情形,以保护隐私信息,或较局限于相应行政过程中的公民信息保护。首个国家标准的出现,一定意义上为公民信息自决权的完整保护指明了方向。
可见,我国没有直接保护信息自决权的法律规定,现有法律以间接方式对该权利进行一定程度的保护。主要体现为:其一,以保护个人信息的名义来保护信息自决权。
即通过在法律规范中直接设定个人信息保护的条款。这部分法律法规和规章数量相当有限.其二,以保护内涵及外延更为广泛的权利来起到保护信息自决权的作用。公民的人格尊严应受保护。按照林来梵先生的"双重规范意义说",人格尊严可理解为宪法上的一般人格权.故其理应是一个对人格具有本质意义的利益的整体,包含信息自决权。其三,以隐私权等相关权利的名义来保护。即通过维护隐私信息等部分个人信息来保护信息自决权。以此角度间接保护该权利的法律法规较集中地出现在民法领域和行政法领域。
二、我国信息自决权保护的执行现状
目前公民信息自决权的保护已越来越受重视,但实际的执行情况仍不容乐观。实践中该权利的保护主要体现为公私领域内公民在个人信息的收集、处理和利用过程中的自决程度。
首先,在个人信息收集的自决方面,已有不少信息处理者就收集的信息范围、收集目的事先征得信息主体同意,但仍存在诸多不尊重公民意愿的不规范操作。现实生活中,对个人信息的收集已由单纯通过纸面媒介记录逐步转化为通过电脑等自动化形式来记录,并建立相应的信息系统。随着首个个人信息保护的国家标准的实施,欲通过信息系统收集和利用个人信息,征得信息主体同意已成为必要条件。基于个人信息的特点,将之分为一般性信息与敏感性信息。对于前者,以信息主体没有明确反对也即默示同意,为收集的前提;对于后者则需获得明确授权。
实际操作中,许多大型商家为获取客户信任,保持企业良好社会形象,往往较自觉地遵守相应程序。但不经当事人同意而擅自收集其个人信息的行为也仍大量存在,为拓展客户擅自向他人购买大批公民信息,进行电话营销、群发垃圾短信等现象比比皆是。
第二,在个人信息的处理过程中,信息主体的参与仍不普遍。现今大部分个人信息的处理只局限于征得信息主体同意,信息主体尚无法参与到自身信息的处理过程。
处理过程包括个人信息的储存、编辑与变更、检索、传输。除了政府在收集个人信息时或收集之后,一般会为公民提供查阅和获取本人信息的方法、信息储存地址等相关情况,其他许多信息持有者在收集信息之后,对后续的处理情况没能及时向信息主体反馈,公民对个人信息处理的知情权也就难以得到落实。由于失去了处理情况知悉这一基础,公民自然也就对处理过程中自身信息的准确性和完整性均无法确定,难以进行相应的信息自决,要求对本人信息进行更正或者补充。
同时,许多信息持有人出于节省运营成本等动机,未采取应有的技术措施或其他合理方式,来防止信息系统出现漏洞或抵制他人恶意盗取信息的行为,以维护公民个人信息的安全。一旦在信息处理过程中个人信息泄露,公民的信息自决权也就必然受侵犯了。
第三,在个人信息的利用方面,公民对信息利用目的的自决在实践中落实不到位。
信息持有者违背收集前信息主体同意的特定目的,将个人信息运用于其他目的上的现象十分多见。如公民为了买房,和房地产商签订房屋买卖合同,需要提供相应的个人信息。而房地产商作为接受信息的一方,只能将客户信息使用于签订合同这一目的。
可实际情况下在房屋交易成功后,房地产商仍可能利用之前收集到的客户信息来向其推销房产,以拓展自身业务。除此之外,也有在利用过程中擅自扩大个人信息使用范围的情况。更有信息持有者会基于利益驱动非法向他人提供、出售个人信息。
第四,在收集和利用个人信息的目的达成之后,或者在超出收集前承诺的信息留存期限后,公民要求对本人信息进行删除或作其他适当处置的自决难以落实。实践中信息持有者往往疏于尊重公民意愿、采取适当的技术措施及时删除个人信息、销毁有关个人资料。而公民又缺乏相应的途径来要求信息持有者履行这一义务。而且,在出现个人信息泄漏、丢失等情况时,实践中对个人信息的补救有限。新《消费者权益保护法》中要求当这种情况发生时,经营者应当立即采取补救措施.但实际上经营者采取的补救措施大多只局限于修复信息系统的漏洞。对于明确个人信息可能流向哪些领域,并对这些领域中的信息进行封存或删除等补救,则有所缺失。
对于公民信息自决权的保护,公私领域的执行状况也不尽相同。就公共部门而言,由于其性质为公共性质,故相对非公共部门来说,不存在为谋取商业利益而泄露或滥用公民信息的情况,但其收集、处理、利用个人信息的行为仍不规范,且不能排除部分公职人员为谋取私利而非法提供公民信息。在行政管理过程中,公共部门更多地强调公民提供信息的义务,公民对其本人信息享有的权利却往往被漠视。比如目前我国的许多政府网站中,仍缺乏类似于大型商业网站所具备的个人信息保护政策。不同部门掌握着公民通过网络提交的各种私人信息,但在制定信息保护的政策方面却较为滞后,这无疑很可能侵犯公民的信息自决权。如此的确是我国电子政务发展的一大遗憾。
就非公共部门而言,泄露与滥用个人信息的现象屡见不鲜,有待规制。但信息控制人自律机制的出现,表明个人信息保护相比以前更受非公共部门的重视。信息控制人单方面做出保护个人信息的承诺或者制定相关的内部行为规范,以增强行为相对人信任,促进自身的发展。这突出体现在大型商业网站的运营中,比如知名的新浪网就规定了自身所收集的个人信息种类、敏感个人信息保护及个人信息使用等条款。银行也通过制定员工行为守则等内部规定来对客户信息进行保护。
就行业的实践情况来看,现今互联网行业的发展对公民信息自决权保护带来最为严峻的挑战。随着信息技术的广泛应用,保护个人信息所要解决的技术问题日益复杂。
尽管《中国互联网行业自律公约》对保护个人信息起到了一定作用,但信息自决权受侵犯的案件仍比比皆是。《信息安全技术公共及商用服务信息系统个人信息保护指南》的执行也仍处于初步阶段。在公民对网络的使用广泛、网上信息交流便捷、网络漏洞频发、网络商家的利益驱动等因素的影响下,公民的个人信息安全备受威胁。由个人信息泄露和滥用带来的垃圾邮件泛滥、私生活信息被曝光、网银账户余额被盗等现象已严重影响了公民的正常生活。
第二节 我国信息自决权保护存在的问题及原因
一、我国信息自决权保护存在的问题
首先,对个人信息的保护范围过于狭窄,无法周延保护信息自决权。
信息自决权中个人信息的范围广泛,既包括公民的生理、心理、智力等个体信息,也包括家庭、财产状况、社会地位等方面的个人信息.但在民法领域和行政法领域,实践中公民得以依法保护的信息可能局限于与隐私权、肖像权、名誉权等权利相关联的个人信息,这无法涵盖所有的个人信息保护。而在刑法层面,虽然将个人信息纳入保护范围,但只局限于那些具有严重社会危害性的行为,未能制止普遍存在的个人信息泄露与滥用。
其次,现有法律对个人信息的保护力度不够。
即使是对隐私信息等部分个人信息,现有法律的保护力度也不够。主要体现为没能将个人信息保护真正贯穿于个人信息收集、处理及使用的全过程。信息持有者在收集之前没能充分尊重公民的意愿,未经同意擅自收集的现象频频出现;且未预先确定被收集、处理及使用的个人信息的范围;信息处理及使用过程中也未能采取必要的技术措施和手段对公民个人信息进行保护;信息收集目的达成之后,未自觉删除或以其他方式处理个人信息,都容易造成信息泄露,从而给公民造成不必要的损害。
再次,在公私领域公民个人信息均会受侵犯,其中最大的威胁来源于公权力侵犯。
政府数据库中包含大量公民信息,若不注重采取措施保护,个人信息安全就面临威胁。而国家机关在行政管理中强调得更多的是公民提供信息的义务,对公民信息保护较为忽视,公民信息自决权遭公权力侵犯也就屡见不鲜。同时,从个人信息泄露、滥用的现象来看,许多是源于国家机关工作人员对个人信息的倒卖。如一些信息中介掌握着大量的客户信息,这些信息都来自于某些数据平台。中介将信息转卖给非法调查公司,从而形成庞大的信息买卖市场。提供这些数据平台的,正有在政府部门工作的公职人员。其利用自身的权力掌握公民信息情况,又将大量信息非法出售,使之流向社会。
最后,公民未能对本人信息进行实际支配。
法律应当赋予信息主体支配自身信息的权利。但事实上,我国现有法律体系中均忽略了这一点,只局限于使公民个人信息被动地不受侵犯,这是传统意义上的个人信息保护。随着现代技术的快速发展,信息流动加强,公民个人信息安全相比以前面临更大威胁。惟有强化公民在自我信息保护方面的主动性,才能应对这一威胁。现实情况下,公民缺乏采取主动性措施的依据,难以实现对自身信息的支配。比如在为特定行政目的而收集个人信息的过程中,公民很少能对收集的信息事项进行主动选择;当其质疑收集的某项信息与行政目的之间的关联性时,也较难提出异议甚至拒绝。
二、我国信息自决权保护问题产生的原因
第一,缺乏专项立法的保护。
立法是我国保护公民权利的主要途径.专项立法更是加大对公民权利保护力度的重要举措。但从我国立法现状分析,可以看出至今没有以信息自决权保护为中心、针对信息持有者的个人信息保护专项立法。与信息自决权保护密切相关的个人信息保护法律条款,只能散见于各部门法中,且相对零乱,缺乏体系性,造成法律适用上的难度,使得实践中对公民信息的保护缺乏明确、统一的法律依据。同时,不同部门法规定的不协调易导致出现法律漏洞,未能涵盖所有个人信息的保护,进而无法周延保护信息自决权,保护范围狭窄、保护力度过小。
第二,未明确信息自决权,没能赋予公民相应阶段的程序性权利。
保护信息自决权,得在法律中明确该权利,对该权利的涵义、范围、限制等方面作出规定。因为:由于个人信息的非法处理和使用将给公民造成难以弥补的损失,事前保护势在必行,而信息自决权强调的就是事前保护,能更好地满足保护个人信息的需要。另一方面,明确该权利就相当于表明个人在信息时代的思想与行动自由,以对擅自操纵个人信息的行为形成一种反击,强迫信息持有者能尊重个人自主性。而且,通过法律的明文规定,对该权利作出适当限制,可实现个人、信息持有者和社会在个人信息使用上的利益平衡,既维护公民权益,也不妨碍信息自由流动.
明确该权利后,还应将其具体化到个人信息收集、处理及使用的各阶段,通过赋予公民程序性的权利来从整体上保障信息自决权。但我国法律既未明确信息自决权,也没构建程序性的权利体系,导致公民因无法律依据而对各阶段的本人信息无实际的自决力量。
第三,未能有效规制收集、处理和利用个人信息的行为,侧重抽象保护,缺乏可操作性。
法律规定得不细致,未能在个人信息被收集、处理和使用的过程中对信息持有人的行为进行制约。尤其是在公共行政领域,许多法律仅规定一般情况下不公开个人信息,却忽略了除对外公开信息以外的其他行为也极有可能导致个人信息泄露与滥用。
没有对国家机关收集、处理和使用个人信息行为的实施设置符合比例原则的要求。公职人员对个人信息保密义务的履行也欠缺具体方式。比如公安机关对因制作、发放居民身份证而知悉的公民个人信息应予以保密,但《居民身份证法》中并没有要求采取必要的技术手段或其他措施来尽可能保证公民个人信息的安全。由于政府拥有公民信息数据库,未能对国家机关收集、处理和使用个人信息的行为进行有效规制,就使得公民信息自决权屡遭国家公权力侵犯。
第四,未能衔接好政府信息公开与公民信息自决。
根据信息自由权,公民得以自由获取、持有及传播信息,这就要求政府进行信息公开。但公开的信息中可能涉及其他公民的个人信息,倘若公开这部分信息,很可能侵犯其他公民的信息自决权。依照《政府信息公开条例》,一般情况下涉及个人隐私的信息是不予公开的,但若行政机关认为不公开会对公共利益有重大影响的,必须公开。由于缺乏相应规定来衔接信息公开与公民信息保护,现实情况下行政机关很可能滥用这一自由裁量权,将不必要公开的个人信息予以公开,或者在允许第三人查询公共记录时,未采取一定的措施防范其他公民的个人信息被非法获取。
第五,监督与救济不到位,公民难以维护自身信息的安全。
我国现行法律保护个人信息的立法精神不容置疑,但却没有建立完善的监督信息持有者的制度,也没有规定严格的法律责任。比如国家机关工作人员负有对个人信息的保密义务,但法律却未规定相应的监督机构、监督程序、权利的救济方式以及如违反规定泄露个人信息所应承担的责任。监督与救济不到位,对违反法律应承担的具体责任又规定甚少,使得信息主体难以通过法律途径维护自身权益。而对信息持有者来说,法律的威慑力尚不足,易降低其保护公民个人信息的自觉性,导致其怀着侥幸心理侵犯公民的信息自决权。