完善个人信息保护的法律问题研究.doc

.完善个人信息保护的法律问题研究【摘要】：随着经济的高速发展，社会进入了信息时代，手机、互联网充斥在我们生活、工作的各个角落，然而个人信息泄露却泛滥成灾。个人信息安全问题成为公众的热议话题之一。本文从最近几年发生的个人信息泄漏事件入手,引出个人信息侵害严重已经扰乱了人们的正常生活,急需制定专门法律予以保护的论题。在这问题的背后我们应该做出深刻的反思：这些信息究竟是哪些部门收集、哪些部门泄露出去的，其中又有着怎样的利益黑幕。但是，目前，我国个人信息保护法还没有出台，个人信息保护制度总体系还不完善。这种状况一方面不利于对个人信息的保护，另一方面也不利于我国信息的自由流通和国际的交流合作。因此，我国个人信息保护法律制度在制定方面应加快步伐。【关键词】：个人信息；隐私；现状；法律保护Research on perfecting the legal problems of the protection of personal information【Abstract】 ：In recent years with the development of information network technology, Internet has been widely used in society; nevertheless, the abuse of personal information and privacy are becoming increasingly serious, therefore, personal information security has become one of the hot topics of the public. The current research begins with personal information leakage incidents occurred in recent years which leads to disruption of peoples normal life, and it calls for the urgent need to enact specific laws to be the topic of protection. Behind this problem, we should make a deep reflection: this information is collected and leaked by which departments? And what kind of nets of interests it involves? Chinas information collection, storage sector is difficult to dissociate itself from, and made everyone angry is the benefit of themselves or their departments, some insiders selling information to shield each other, collusion. Let the public is very concerned about. However, at present, Personal Information Protection Law has not yet introduced in China , personal information protection system is not perfect. This situation on the one hand is not conducive to the protection of personal information, on the other hand is not conducive to the free flow of information in China and international exchanges and cooperation. Therefore, the legal system of Chinas protection of personal information should be accelerated.【keywords】：personal information，conceal，present situation，legal protection一、个人信息基本问题的界定 （一）个人信息的概念 1.个人信息的法律名称目前从各地实施的法律来看，个人信息的法律称谓不太一样，不同的地区采取不同的称谓。个人信息最早的法律称谓是国际文件中的“个人资料”，但是这种称谓在以后的法律规范中并未得到广泛的采用。因为个人信息是一个崭新的法律事物，各国学术界与立法界对个人信息的认识也并不一致，目前主要存在的称谓有“个人信息”，“个人资料”，“个人隐私”。（1）个人信息与个人隐私的关系“个人信息”与“个人隐私”不仅称谓不同，它们包含内容的范围也不相同最早对个人隐私进行研究的学者，著名的美国法学家萨缪尔D沃伦和路易斯D布兰戴斯。他们俩1890年在哈佛法律评论上发表了的隐私权(The Right to Privacy)一文，对隐私权的相关内容做了研究，许多观点被主流学者认同并推崇，在法学领域迅速发展。基于此英美法系大多数国家采用“个人隐私”这个概念。“个人信息”通常则被大陆法系国家采用。从法律概念的逻辑角度分析，个人信息包含个人隐私。若学者们选择“个人隐私”的法律称谓则表明其目的是保护个人隐私，因为个人信息涉及到个人隐私所以才加以保护的。换句话说，法律仅仅保护个人隐私与个人信息的重叠部分，不保护个人隐私之外的个人信息。许多国家保护隐私权的法律对个人信息的定义仅仅局限于与公共利益无关的、不愿被人所知的私人领域，从而将大多数个人信息排除在了个人隐私保护的范畴之外。这样一来，对个人信息保护的范围就缩小了。（2）个人信息与个人资料的关系“个人信息”和“个人资料”是内容与形式的关系，个人信息和个人资料又是相互依存的。个人信息的内容决定个人资料，这一点是最本质的。美国数学家、信息论的创始人仙农指出：“信息是用来消除随机不定性的东西”。在最初的个人信息立法文件中我们发现大多数情况下使用资料、数据等这样的技术概念。随着社会发展，个人信息保护法律制度的不断完善，立法者越来越多的使用了个人信息来体现对个人权利的人文关注，此外，个人信息的表现形式是多样的，并不一定全部表现为个人数据。不过，“个人信息”与“个人数据”之间也存在一定程度上的相关性，个人信息不可能完全脱离数据而存在，这导致许多国家和国际组织在法律文件中将个人信息与个人数据通用。（二）个人信息的主要特征1.个人信息的可识别性个人信息的可识别性是指通过对一些数据的分析判断，可以确定某个特定的个人信息主体，通常这些数据是零乱不完整的。可识别性是个人信息的重要特征，个人信息的不恰当收集、利用与存储将会给信息主体带来困扰，让外界能通过该识别性信息锁定到某个特定人，进而使其名誉、隐私遭到侵害。如果信息经过处理之后不涉及特定个人，我们很难接受这种行为将会对某个特定人造成物质上或精神上的损害。2.个人信息的价值性由于个人信息具有可识别性，其他组织和自然人可以很方便的了解个人信息主体的生活习惯，兴趣爱好，个人需求，从而创造可能获得利润的机会。在传统的人格权理论中，人格要素是与自然人人身不能分离，没有直接经济内容。人格在法律上不得抛弃、不得转让并不得掠夺。但社会不断发展，新鲜事物层出不穷，尤其是进入信息时代，在互联网世界里，个人信息表现出不同的形式，如我们的邮箱账号，银行账户，游戏账号，这与传统的个人信息有很大的区别，如果我们还墨守成规用传统的人格权理论是不合时宜的。由于利益驱动，促使商家为了谋取市场价值，擅自挖掘人格权中的财产价值，使之在特定情况下可以用于交易、参与市场流通、成为市场中的商品。与传统的个人信息有所不同，当今社会个人信息的内容发生很大变化，对个人信息的保护不能采取统一的标准，我们应根据个人信息对主体所具有的价值或者功能决定。实际生活中要具体情况具体对待，如果个人信息有维护人身自由，人格尊严的给予人格权保护，如果是维护信息主体的财产权给予财产权保护，两者皆有，就给予全面保护。（三）个人信息主体个人信息为个人信息的主体拥有。个人信息主体是其所拥有的个人信息可以作为数据收集、处理的自然人。个人信息主体享有人格权和法律赋予的义务。 1.个人信息权利主体自然人是个人信息保护法的主体吗？答案是肯定的。制定个人信息保护法的国家和地区以及各个国际组织对此都没有争议。那与自然人处于同一法律地位的法人呢？在这个问题上是存在争议的，有肯定说与否定说。3笔者同意否定说的观点，理由有以下几点：第一，自然人是依据自然规律出生而取得民事权利主体资格的人，而法人是有自然人及其财产的集合而组成的团体或者说社会组织。由于法人是法律拟制的“人”，不是现实存在的人，是自然人为了各种目的而设立的，法人的民事权利能力范围与自然人不同。基于自然人的天然属性而专属于自然人的民事权利能力内容法人不能享有，如身体权，健康权，扶养请求权，婚姻自主权等等。个人信息保护的范围与法人信息保护的范围有所差别，个人信息保护法的主体不应包括法人。第二，我国个人信息保护法还没有出台，将法人信息保护与个人信息保护一并规定是不太现实的，因为两者的保护原理不同对制度的设计也不同，作用不是很大，浪费立法资源，这是关键问题。至于法人的信息保护问题，待理论成熟或通过其它特别法加以保护是明智之举。笔者持否定的观点并不意味着法人的信息不予保护，其它法律如公司法，知识产权法等都对法人信息采取了相应的保护措施。2.个人信息的义务主体 个人、公共机构和非公共机构是个人信息的义务主体。个人信息义务主体中的个人在法律层面研究的意义不大，本文在此不做论述，仅对公共部门与非公共部门进行分析。个人信息是政府管理、提供服务的重要参考依据。行政机关掌握个人信息在行政活动中是非常有必要的。行政机关出于管理的目的收集、利用大量的个人信息，如行政机关中所保存的公共信息，公民的户籍记录，学生的学历学位档案等，在使用、查询与储存的过程中没有采取必要的保密措施，缺乏监管结果对个人信息造成极大的威胁。公共部门如何收集个人信息，哪些人收集，收集什么内容的个人信息，目前在我国信息主体对于这方面的规定还不是很清楚。二、中国个人信息法律保护的现状个人信息的法律保护是近几十年以来随着信息社会的发展而日益突出的问题。虽然中国很多个人和机构已经认识到保护个人信息的重要性，专家学者也一直呼吁立法，但是由于多方面的原因，到目前为止中国还没有制定专门的个人信息保护法。当然，这并不意味着中国目前对个人信息不进行保护。目前，中国对个人信息的法律保护，主要在法律法规中与个人信息保护有关的个别条款中有所体现。个人信息的法律保护可以分为法律的直接保护和间接保护，所谓法律的直接保护就是法律、法规明确提出对“个人信息”进行保护；间接保护就是法律、法规通过提出对“人格尊严”、“个人隐私”、“个人秘密”等和个人信息相关的方面进行保护进从而达到对个人信息的保护。（一）、中国法律对个人信息的直接保护。当前中国法律中直接对“个人信息”加以保护的法律、法规、规章及司法解释的数量较少，其中全国性的法律只有中华人民共和国刑法、中华人民共和国护照法、中华人民共和国身份证法直接规定了“个人信息”的保护问题。中华人民共和国护照法第l2条第3款规定：“护照签发机关及其工作人员对因制作、签发护照而知悉的公民个人信息，应当予以保密。”中华人民共和国身份证法第6条第3款规定：“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息，应当予以保密。”特别值得一提的是，2009年通过的刑法修正案(7)新增加了出售、非法提供公民个人信息罪、非法获取公民个人信息罪，加大了对个人信息的保护力度。在全国范围内具有规范效力的行政法规、部门规章和司法解释直接提及“个人信息”保护问题的也仅有几项。少数地方性法规中，也偶有涉及个人信息保护的直接规定。（二）、中国法律对个人信息的间接保护。除了上述直接明确地提出对“个人信息”加以保护的法律、法规外，中国还存在一些通过规定保护人格尊严、个人隐私、个人秘密等与个人信息相关的方面进而来保护个人信息的法律。在根本大法方面，中国宪法 1982年)的“国家尊重和保障人权”、“公民的人格尊严不受侵犯”、“公民享有通信自由和通信秘密的权利”、“公民住宅不受侵犯”等相关条款均可理解为个人信息受法律保护的宪法依据。在国家的基本部门法中，也多多少少存在一些与个人信息保护相关的法律条款。三、个人信息保护的途径 个人信息保护法是围绕个人信息保护而产生的法律，从其立法意旨的核心内容来看属于民法范畴，但刑法与行政法对个人信息的保护也不可或缺。事实上，如果从建设法治社会的大背景出发，个人信息保护应该是全方位的，各个主体共同参与的。（一）个人对个人信息的保护 作为信息主体的个人，要为自己的信息安全，做出最大的努力，在源头上杜绝个人信息的泄露。与隐私权的消极保护途径相比，个人信息财产权制度最为重要的目标就是，它一方面使个人信息的商业价值归属于个人信息的主体，同时也促进了这一资源的开发利用；另一方面最大限度地防止商家滥用个人信息，从而树立消费者对电子商务的信任，在经济效率和社会正义间达到平衡。当然，鉴于市场的复杂性和其本身固有缺陷，这些价值目标的实现需要合理的制度设计。（二）公共部门对个人信息的保护由于公共部门长期以来形成的“官本位”思维定势，对个人信息的关注大多数情况下是出于其管理的需要，更多强调的是个人提供信息的义务而对个人就其自身信息所享有的权利几乎是忽略不计。例如，浏览我国各级政府网站，很难看到一些商业网站所具备的“隐私政策”。在法律制度方面对公共部门的限制也很少，另外，我国当前多数情况下采取“部门拼盘制”的立法模式，个人信息保护法的制度涉及多个部门，威胁到他们自身利益，难以达到平衡。针对这种现象，除了由每个人自己加强自我保护、非公共部门如网站经营者倡导个人信息保护自律机制的构建外，人们希望我国法律对公共部门各自的职责范围和内容进行明确的规定。只有在法律的框架下，公共部门才可能对自己可为、不可为、如何为的界限有清醒的认识。（3） 司法救济无救济即无权利。司法救济是个人信息遭到侵害后的补救措施。个人信息保护如果没有有效的监督救济机制，即使是实体法设计的天衣无缝，那也可能是一纸空文。个人信息保护法所涉及的法律责任，可能是民事责任，可能是行政责任，也可能是刑事责任。本文主要讨论个人信息保护责任体系中的民事责任。损害个人信息的行为如果造成信息本人经济损失或精神损害，应当承担停止侵害、消除影响、赔礼道歉、赔偿经济损失等民事责任。四、对中国个人信息法律保护现状的评价（一）、从保护个人信息的观念来看，由于对个人信息保护的重要意义缺乏正确认识因而在较长时间内仅对个人信息采取了有限的间接保护措施，而中国法律对个人信息的直接保护只是在最近这些年才有所发展。（二）、从法律的适用范围来看，保护个人信息的法律条款数量较少、适用范围较窄，没有专门的、统一的、完善的、普遍适用的个人信息保护法。（三）、从法律的可操作性来看，大部分规定缺乏可操作性，仅仅规定了对个人信息的保密义务，而没有规定违背该义务的法律后果。（四）、从法律的体系性来看，给人一种支离破碎、杂乱无章的感觉，缺乏系统性，不利于法律的适用，同时也不符合中国已经继受的大陆法系的法律思维。（五）、从个人信息的法律保护手段来看，重“刑事处罚”和“行政管理”，轻“民事确权”与“民事归责”，导致个人信息遭受侵害后，即使侵权行为人最终遭致刑事处罚或行政处罚，但信息主体的财产及非财产损失却得不到任何实质性的补偿。（六）、从法律规范的具体内容来看，大部分规范仅对个人信息保护问题简单阐述，而对个人信息保护的立法理由、基本原则、信息主体的权利、个人信息收集、处理、利用及传递的规则、个人信息保护的执行、监督机制等重要内容未进行详细阐述。（七）、从民法保护来看，由于观念上的原因，中国法律对个人信息只规定了人格权保护，而没有规定财产权保护，或者仅仅在法律责任中规定了损害赔偿制度。综上所述，从国外个人信息保护方面的法律看，内容完整，体系健全，但缺陷是仅仅注重人格权保护，而忽视财产权保护。从中国个人信息保护方面的法律看，无论从哪个方面都是极