第二,个人信息保密权。是指本人可以请求信息处理主体保持信息隐秘性的权利。个人信息的保密途径一般来说有两种,一是自律,一是他律。自律一般是指由信息处理主体主动采取保密措施来防止信息内容被截取或者泄露,为信息的收集和处理提供了安全的环境。自律是个人信息保密权得以实现的基础保障。他律是指通过政策、法律等消极手段间接的约束信息处理主体的行为,解决信息内容被截取或者泄露的责任承担问题。
在网络化的环境下,个人信息在开发式公共网络传输过程中极易遭人截取,即使大型数据库、局域网也会遭到黑客的光顾。为此,各国都非常重视从技术和法律层面上保护个人信息安全。日本《关于行政机关拥有的经电子计算机处理的个人情报保护法》第5条规定:个人情报输入计算机,从准备、操作到储存、处理的各个环节,各个行政机关应当预先采取确保不发生个人情报泄露、丢失、破损、篡改等安全措施,以保证个人信息的内容与事实本身保持一致。
第三,个人信息知情权。个人信息知情权是指本人得以了解、查询其个人信息及其有关的处理情况,并要求答复的权利。有的学者也将其称为请求告知权。对信息的支配与控制,首先必须了解本人被收集、处理和利用的个人信息的范围,尤其是在此过程中信息是否被保持完整、正确、适时。与此相对应,信息持有者则附有告知信息主体其个人信息被收集、处理和利用及与信息控制者身份有关的信息的义务。如信息主体本人有权申请查看个人档案、银行信用记录等,工作单位、银行接到申请后有义务将个人档案和银行信用记录等信息向信息主体本人公开,本人也有权利要求单位或者银行更改错误的个人信息。知情权是信息主体非常重要的权利,除非因公益或保密的需要并依据法律规定,任何机关和个人不得随意剥夺。例如,美国前总统克林顿1993年曾在NII行动纲领中指出:“信息收集者必须对个人提出正确及相关的下列信息:收集目的;使用于何处;保持资料机密、完整及品质的方法;提供或不提供资料的后果;任何更正、有效的权利。”
第四,个人信息更正权。是指本人可以请求信息处理主体对不正确、不全面、不时新的个人信息进行更正与补充的权利。更正权具体包括:(1)个人信息错误更正权,即对于错误的个人信息本人有更正的权利。(2)个人信息补充权,即对于遗漏或新发生的个人信息,本人有补充的权利。(3)个人信息更新权,是本人要求对于过时的个人信息及时更新的权利。
第五,个人信息封锁权。是指在法定或约定事由出现时,本人可以请求信息处理主体以一定方式暂时停止信息的处理与利用的权利。该项请求权是依照公平信息使用原则建构的。根据该原则,在没有通知当事人并获得其书面同意之前,信息处理主体不可以将个人为某种特定目的所提供的资料用于另一个目的上。德国联邦《个人资料保护法》规定,所谓封锁,就是以限制继续处理和使用个人资料为目的而对个人资料加注特定“符号”。
第六,个人信息删除权。是指在法定或约定的事由出现时,本人可以请求信息处理主体删除其个人信息的权利。
第七,个人信息请求权。个人信息请求权包括报酬请求权和赔偿请求权。报酬请求权是指本人因其个人信息被商业性利用而得以向信息处理主体请求支付对价的权利。报酬请求权来源于“信息有价”的社会观念。特定的信息处理主体必须在对信息控制、处理与利用前后向本人提供一定的报酬。赔偿请求权是指在公务机关、商业组织、自然人非法收集、处理、传输和公开而损害信息主体利益的情形下,本人得以请求财产或精神赔偿的权利。例如,我国台湾地区《电脑处理个人资料保护法》第27条第1款规定:“公务机关违反本法规定,致当事人权利受损者,应负损害赔偿责任。但能证明其无故意或过失者,不在此限。”
值得注意的是,权利处于流动的扩散状态之中,有着与时俱进的特点,这意味着,随着个人信息所涉及的范围越来越广泛,人们对个人信息保护的范围会更广,要求会更高,因此也就出现围绕个人信息权利的新的内容甚至是新的权利。
2.信息处理主体的义务
信息处理主体是个人信息保护法律关系中的义务主体,其有义务保障信息主体实现其权利。信息处理者对个人信息的不当使用会侵犯公民的权利,这种情况下,信息处理者扮演着侵权人的角色,应当承担相应的责任。为了保护信息主体的权益,法律应规定信息使用者履行一定的义务。综观各国立法,信息管理者的义务主要包括以下几个方面:
(1)信息处理的合法性。即信息管理者在收集或使用个人信息之前,应向主管机关登记以获得相应的使用资格。此外,个人信息被收集或使用之前应告知信息主体相关事项并取得同意(法律另有规定除外)。相关事项,包括处理个人信息的目的与方法;提供信息是否是强制义务,拒绝提供的法律后果;信息的使用范围,信息接收者的身份类别;信息主体享有确认、更改、删除、获得信息和拒绝处理信息的权利;个人信息控制着的身份和住所或营业场所所在地等。同意分为明示和默示的方式。明示的方式是各国统一的做法。但就究竟何种默示的方式是具有法律效力的,各国因其国情传统有所差异而不同。儿童的心智尚不健全,他们的自我保护能力较弱,搜集或使用儿童的个人信息之前,应征得儿童的父母或其他合法监护人的同意。
(2)保密义务。信息管理者应采取合理的保密措施,确保所持有的个人信息的安全。同时收集者不得未经信息主体同意向第三方披露或泄露个人信息,防止不正当的披露和公开。
(3)合理使用义务,收集者应当根据收集目的合理、适当使用个人信息,不得超出目的范围滥用个人信息。
(4)不得任意转让个人信息,收集者占有个人信息,并不当然享有转让信息给第三人,而自己从中获利,除非法律允许和信息主体同意。
(5)允许信息主体查阅、复制、使用自己的个人信息。本人提出修正或更新要求时,应尽快做出反应,不得拒绝审查和更正。
(6)不履行上述义务或履行不完全应承担法律责任。法律责任包括民事责任、行政责任、刑事责任。
从上面可以看出,信息主体与信息使用者之间的权利义务关系是不对等的,前者主要享受权利,而后者主要承担义务。这是因为:随着市场经济发展和网络信息技术的突飞猛进和广泛利用,个人信息的利用的深度和广度都在加大,信息的流通是市场经济的本质要求。保护个人信息的初衷并非限制个人信息的流动更不是禁止个人信息的流动,而是力求在个人信息的保护与合理利用之间寻求的平衡,使得个人信息能够得到充分的保护,又不阻碍个人信息的合理合法的流通。因此个人信息主体让渡部分个人信息的使用权,可以从信息使用者处获得相应的对价(不以金钱为限,如换取更加优质的服务)。同时,信息主体有权要求知晓,选择本人个人信息流动的具体方式、范围、程度和方向。对信息使用者而言,充分履行上述义务不但可以换来一定程度的个人信息使用权,而且可以使自身搜集、利用个人信息的活动获得相应的法律保障,在公平的基础上有秩序地进行。
四、个人信息保护法律关系的客体
个人信息权保护法律关系的客体即信息主体和信息管理者权利义务所指的对象——个人信息。个人信息是一切可以直接或间接识别出特定自然人主体的信息总和,包括个人的自然情况和识别信息、家庭基本情况、社会活动与政治背景等。如:姓名、性别、年龄、身高、体重、指纹、基因图谱、病历、出生地、籍贯、住址、电话号码、电子邮件地址、身份证号码等。作为个人信息保护法律关系客体的个人信息,其必须具备实质和形式两个方面的构成要素:
首先,个人信息必须具有“可识别性”。个人信息的实质要素是指构成个人信息在内容上不可或缺的法律要素,又称个人信息的一般要素。构成个人信息的实质要素是“识别”。个人信息包括可以直接识别本人的信息,如肖像、姓名、身份证号码、社会保险号码等;也包括不能单独识别本人,但与其他个人信息相结合才能识别信息主体的个人信息,称之为间接个人信息,如性别、爱好、兴趣、习惯、职业、收入、学历等等。值得注意的是个人信息并不必然为个人信息属主所知。无论是本人知道的个人信息,还是本人不知道的个人信息,个人信息保护法都给予同等的保护。
其次,个人信息必须满足的特定形式要素。即个人信息的形式构成要素,包括两个方面:其一,个人信息必须有载体,即以一定的方式得以固定。信息是独立于人的意志之外的客观存在物,是人的认识、观念和知识的客观化的表现。信息的编码处理将人的主观意识转化成为具有公共意义的符号系统,以符号作为媒介,信息便有了自主的形式。具有客观存在的信息可以作为外在的独立物被占用、使用、收益、传播、处分。信息的编码过程还使得信息与产生它的信息源本身分离开来,一头牛是一个动物,而这头牛的照片则是关于此牛被编码成图像的信息,它们是不同的法律权利关系客体。其二,个人信息必须以一定的方式得以查阅、检索和进行其他的处理。高度发达的信息技术为人类控制信息提供了空前有力的工具。借助各种先进的技术,人类将越来越多的未知信息从天然状态中挖掘和再现出来,运用各种可能的有形载体将它们表达出来,为人类所用。对信息的编码过程使信息具有了客观化的形式,借助媒介对符号的展现和复制,人们已经能够对信息进行必要的控制、查验和处理。而且随着科学技术的不断飞速发展,人类发现、控制信息的能力还会日益增强。当然,当前仍然存在着人类无法控制的信息,此类信息就不具有法律上的意义,就不能成为法律权利关系的客体。个人信息的形式要素是从个人信息保护法的保护范围的角度加以规定的,纵观各国法律,大多规定:不满足形式要素的个人信息,不能得到个人信息保护法的保护。因为人格保护实质上和数据保护一样是一种信息保护。如果不对个人信息的形式给予限制,那么势必对传统的人格权法造成不必要的冲击。个人信息保护立法的目的在于弥补传统人格权法保护的空白,而不是取而代之;此外,如果将一般的社会上流通的个人信息全部纳入个人信息保护法范围予以保护,容易导致另一个极端,那就是信息禁锢,这和信息社会关于信息流动的基本宗旨相去甚远。
因此,明确个人信息的构成要素,对于确定我国个人信息保护法的适用范围意义重大。
