一、个人信息保护的必要性
(一)个人信息保护的必要性
所谓个人信息保护,乃是指为了有效保护个人的合法权益,而对识别出或者可以识别出特定个人的所有信息的收集、利用、传播等进行规范的法律制度。
随着二十世纪九十年代互联网的普及,互联网成为公民沟通、商务往来的主要渠道,为人们生活带来了方便与快捷。与此同时,随着网络传输收集的个人信息的数量的增多,个人信息被不当收集、利用的问题开始大量出现。面对大量的个人信息侵权现象的出现和社会各个领域的挑战,各国纷纷出台专项立法对个人信息进行保护,保护个人的合法权益,为个人信息设立一道坚固的“防火墙”来保证个人信息的合理、合法利用。我国作为一个开放的发展中大国,通过立法对个人信息保护已刻不容缓。
第一,保护个人信息是保护自然人人格尊严、自由的需要
美国法学界有“没有隐私就没有尊严”的说法,并从普通法(主要是判例)和成文法两个方面明确了个人“隐私”权利。欧洲制定了保护个人数据方面的法律,从成文法上明确了对于“个人数据”的控制权。我国民法规定“公民的人格尊严受法律保护”。个人信息是与个人密切相关的,可以识别出个人或者同相关信息结合可以识别出个人的信息,通过个人信息就可以描绘出一个人的全貌或者把握一个人某一方面的特征。对个人信息的随意篡改、滥用、传播等行为不仅严重侵害个人合法权利,而且直接影响个人在社会生活中的最基本的评价。所以源于自然人本身的个人信息的传播、更改对个人的人格尊严有着不可忽视的作用。作为保护人格尊严的一个重要方面,个人信息保护已经受到了各国的重视,已经进行立法或提上了立法日程。虽然各国在立法时所使用的“个人隐私”、“个人数据”和“个人信息”的概念内涵稍有不同,但其追求的实体目标却是相同的,就是保护公民的人格尊严。
第二,保护个人信息是促进信息的共享与自由流动的需要
在信息时代,信息作为战略性资源,其自由流动具有重要的基础性意义。信息资源的合理共享,可以有效降低市场主体交易成本,促进社会共同进步。这对当前实施的缩小东西部差距、谋求全社会共同发展的时代主题也具有借鉴意义。正如欧洲理事会协定在导言部分明确提出的那样:“考虑到遭受自动处理之个人数据越来越多地跨国流动,由此应当扩大对大众权利及其基本自由的保护,尤其是对隐私权的尊重;同时重申成员国无论国界而保证信息自由流通之承诺;承认必须在遵守隐私的基本价值和尊重信息在国家间自由流动两者之间达至平衡。”因而,对个人信息的保护一方面需要尊重公民个人隐私权,另一方面又不能阻碍正常的信息流动。
第三,保护个人信息有利于我国的电子商务和电子政务的发展
随着信息化的不断发展,电子商务这一被称为21世纪经济增长原动力的商业模式,在国民经济中的作用越来越重要,电子政务也已被视作建设高效、透明政府的重要举措。随着电子商务和电子政务的发展,越来越多的信息系统投入使用,越来越多的人参与网络活动。而在网上交易过程中,消费者的许多个人信息往往会在知情或者不知情的情况下被商家收集。消费者往往因担心个人信息的安全而放弃进行网上交易,仍旧选择传统交易方式,据中国互联网市场数据发布会发布的《Netguide2008中国互联网调查报告》显示,仅有9.7%的受访者表示在网上进行交易非常可信。这在很大程度上制约着我国电子商务的发展。而我们的政府要建设成高效、透明的政府,电子政务的健康发展至关重要。电子政务的发展状况决定着政务能否公开以及公开的程度,而其中个人信息的保护问题则是政务高度公开的直接障碍。由此可见,建立完善的个人信息保护制度,是促进我国电子商务和电子政务健康发展的一项基础性工程。
第四,保护个人信息有利于促进国际贸易的发展
随着中国经济的迅猛发展,中国市场已经成为世界市场不可缺少的一部分,国际贸易在中国经济中的地位也与日俱增,并且数据加工和处理已经成为了国际经济技术合作和国际贸易的重要组成部分。在国际贸易中,个人信息的保障情况可能会成为某种新的贸易壁垒。欧盟和其他国家完全有可能根据对第三国个人信息保护水平的判断,对个人信息的跨国流动作出单方面的制约,进而影响整个国际贸易的正常进行。近年来,常有国内企业在欧盟国家、北美国家开拓市场时,被禁止在当地收集客户信息,这些国家禁止的理由是“中国没有个人信息保护法”。因此,个人信息保护制度的缺乏必将使我国企业在激烈的竞争中处于不利地位,必然会在国际人权与国际贸易中背腹受敌,受到其他国家或国际组织的打压。因此,我国应化被动为主动,制定自己的个人信息保护法,树立良好的国际形象,在国际交往中争取主动。
第五,制定个人信息保护法可以推动我国信息化法律体系的建设。
大力推进国民经济和社会信息化,以信息化带动工业化,实现跨越式发展,是党中央、国务院的一项战略决策。全面推进信息化,立法工作是其中的一个重要环节,是一项基础性的工作。《国家信息化领导小组关于我国电子政务建设指导意见》明确地提出要“加快推进电子政务法制建设,加快研究和制定电子签章,政府信息公开及网络与信息安全,电子政务项目管理等方面的行政法规和规章”。尽管我国信息化法律体系如何构建还需要进一步的研究和探索,但个人信息保护法毫无疑问是其中的一部基础性法律,是构建个人、企业与政府三方良性互动关系中最为重要的环节之一。制定个人信息保护法,必将推动我国整个信息化法律体系的建设,有利于我国信息化法律体系在更大层面上得到健全和完善。
第六,个人信息保护立法是建立和谐社会的需要。
中共中央十六届四中全会提出,要“把和谐社会建设摆在重要位置”。所谓和谐社会,首先应当是尊重公民权利、体现以人为本的社会,是各种利益关系得到有效协调的社会,它强调理性、人本和认同,提倡合作、互助和自由,以有序、安全和稳定为其外在形态。信息技术的发展导致侵犯个人信息的现象的频繁发生,这就导致了社会不和谐因素的存在。在这种情况下,个人信息权利的保护在构建和谐社会中的作用就日渐显现。加强个人信息立法,最重要的价值就在于它突出了公民的信息自由权,凸显出以人为本的理念。个人权利得到充分张扬,立法中体现以人为本,体现了和谐社会的内核要素,回应了和谐社会权利有序化的诉求。
二、个人信息法律保护的基本原则
个人信息保护法的基本原则是指导个人信息保护立法,司法的基本准则,也是贯穿于个人信息保护法律制度的基本准则。综观世界各国个人信息保护的主要立法,对基本原则的规定各有特色,各种概念、意义和表达也都各不相同。在所有国外有关个人信息保护立法的原则规定中,OECD(世界经济合作发展组织)1980年发布的《OECD指针》的影响最为深刻,对其后有关国家的立法以及国际文件产生有着巨大的影响。《OECD指针》第二部分7到14条把个人信息保护法的基本原则归纳为“收集限制原则、目的明确原则、数据质量原则、使用限制原则、安全保障原则、公开原则、个人参与原则和责任原则等八项原则。”
此外,《欧盟关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》第6条规定了“正当合法原则、具体明确且合法的目的原则、适当收集原则、准确性原则(包括更正与删除)、保存时限原则等五项原则。”
《联合国关于自动资料档案中个人资料的指南》中规定:“合法合理原则、准确性原则、目的特定原则、利益主体查阅原则、无歧视原则、例外规定原则、安全原则、监督与处罚原则、资料跨国流通原则及原则的适用范围规定”十大原则。
英国《资料保护法》确立了八大保护原则:“公平合法原则、目的明确且合法原则、目的相符原则、资料品质原则、保存时限原则、资料主体权利原则、安全原则及同等保护原则。”
我国香港地区《香港资料条例》附表一规定:“收集目的与方式原则、准确性与保留期间原则、使用原则、保安原则、咨询提供原则以及查阅原则。”
通过对上述比较典型的法律的梳理,可以发现上述原则具有相当程度的一致性,都是从对个人信息的收集、使用、查阅、储存、处理等方面规范信息处理者的义务及信息主体的权利,其主旨都离不开以下基本原则:
第一,目的明确原则。个人信息收集人在收集个人信息的时候,不管收集目的是不是在收录的时候发生转移,都要以明示的方式告知给个人信息主体,其后信息的利用不应与该收集目的之达成相矛盾。目的明确原则一个重要的意义就是不允许收集人超出适当许可的范围收录个人信息。日本1988年《有关行政机关电子计算机自动化处理个人情报保护法》第4条第一款规定:“个人情报资源库的建立,必须完成行政机关法定任务为目的。”瑞典隐私权保护法也规定,应该为了明确而限定的目的保持个人资料档案,与目的不符的资料,不得装入档案,没有明确的目的,个人资料不得被收集、公开和使用。当个人信息收集者收集的目的消失时,主管机关应该清除所掌握的个人信息,但为了公共利益的除外。
第二,知情同意原则。主要是收集者在收集信息主体的个人信息时,要事先征得被收集者的同意,并且把收集的细节详细的告诉被收集者。此原则无论是在发达国家,还是一些发展中国家均可见到细致的规定。如菲律宾第247号行政令规定:“在对文化遗产支援和传统知识开发利用的时候,传统部族对开发有事先的知情权和同意权。”在秘鲁《原住民集体知识保护条例》第235条也规定:“为科学研究、商业或者工业利用的目的,需要接近和获得遗传资源和传统知识的组织和个人。”当然,知情同意原则是有限度的。首先,国家机关或者进行成本太高的收集,可以不必事先征得信息主体的同意。其次,有可能会加重危机的情况发生时不必征得被收集人同意。
第三,收集限制原则。该原则主要是规范个人信息收集者的收集范围,不至于超出必要的范围。如政府收集的有关个人信息的种类必须受到限制,并且政府收集该种信息的方法或手段也必须具备一定的要件。美国《隐私权法》规定,政府收集个人的信息,如果可能导致对他作出不利的决定时,必须尽可能地由他本人提供,避免政府根据第三者提供的错误或存有偏见的信息而对执行职务相关和必要的范围内收集个人的信息。政府对任何个人信息的收集都应采取合法、公正的手段,于适当的场所并通知信息本人或取得本人的同意。
第四,信息品质原则。在OECD第8条规定的原则,主要要求收集者收集个人信息必须符合收集目的,并保证个人信息在特定目的范围内的正确性、完整性和最新状态。对过个人信息可以对信息主体进行识别,而陈旧的个人信息是无法对主体进行正确判断的,因而陈旧的个人信息不论是对于个人信息的收集者还是提供者,都是不利的。《APEC隐私框架》前言第二章第21条规定了:“‘个人信息的完整性’原则规定了个人信息应该正确、完整的进行升级和更新。”
第五,安全原则。信息管理人必须采取必要的安全措施保证信息的安全,避免个人信息丢失、泄露、灭失的危险发生。我国台湾《电脑处理个人资料保护法部分条文修正草案》第17条规定:公务机关保有个人资料档案者,应指定专人依相关法令办理安全维护事项,防止个人资料被窃取、篡改、毁损、灭失、贩卖或泄漏。
第六,公开原则。此处的公开是指对个人信息的收集、处理与利用一般应保持公开,而不是个人信息内容的公开。信息管理者应该提供可行的办法方便信息主体对个人信息进行有效的查询,管理者不得以任何方式限制信息主体查询。根据我国台湾地区“资料法”第10条之规定应公开“个人信息档案名称、保有机关名称、个人信息档案利用机构名称、个人信息的范围等。”美国隐私权法第E条第3项、第4项与第5项均有通知当事人或应该进行公告的规定。
第七,保存时限原则。信息管理机构在信息的收集已经达到其收集目的期限的时候,应该将个人信息从保存的地方删除。《欧盟指令》第6条规定,“保存以资料主体明确认同的方式进行,不应长于为资料收集或进一步处理的目的所必须的时间。”
