龙源期刊网网络环境下个人信息的法律保护作者:宗海莹来源:《法制博览》2013年第01期【摘要】个人信息是随着网络时代的发展出现的新词汇,其蕴含的社会价值不容人们忽视。近年来因个人信息泄露而发生的侵犯人格权、隐私权等案件日益增多,而由于我国相关立法的滞后使个人信息的法律保护出现空白。本文即通过对个人信息的法律性质进行分析,对个人信息的法律保护予以探讨。【关键词】个人信息;法律性质;个人信息保护法网络信息时代的到来,带给人们无限惊喜的同时也造成众多的困扰,个人信息保护问题尤为凸显。社会在享受个人信息带来的利益的同时,侵害个人权利的现象愈来愈严重。目前世界诸多国家纷纷制定专法对个人信息进行保护,我国亦提出15年国家信息化战略,关注我国的个人信息资源,进行个人信息立法保护,是社会信息化转型期的首要任务。一、个人信息概念及法律性质“个人信息”这一概念始于1968年联合国“国际人权会议”中提出的“资料保护”(DataProtection),但也有“个人隐私”、“个人资料”的概念,美国则直接将二者等同。笔者认为,“个人信息”的概念更为准确,狭义上的个人信息是指个人的姓名、性别、年龄、血型、住址、等等直接识别该个人的信息,而广义的个人信息指除前款所指的内容之外能够间接识别该个人的事件、资料等信息。学界对于个人信息的法律性质仍未定论,以“所有权客体”、“隐私权客体”、“人格权客体”为代表,形成三种典型三种学说。(一)所有权客体说该说认为,个人信息属于民法上的“物”,个人信息的所有人对该信息享有物权,即所有权,因此所有权人对其享有的个人信息享有占有、使用、受益、处分的权利。(二)隐私权客体说该说认为,个人信息是一种隐私利益,应将其作为一种隐私予以保护。该说起源于美国,1974年美国《隐私法》即将个人资料纳入到其保护范围,我国香港资料条例的名称亦适用“私隐”名称,表明其亦将个人信息作为一种个人隐私予以保护。(三)人格权客体说龙源期刊网该说认为,个人隐私实则为一种人格利益。以德国为代表,1990年德国修改后的个人资料保护法中规定,该法的目的是为了保护个人人格权免受个人资料处理的侵害。我国台湾地区亦采该说,指出在处理个人资料时避免个人人格权受到侵害。笔者认为,我国对个人信息的保护应采用人格权客体说。个人信息属于一种无形财产,不是直接的财产利益,而是一种人格利益,因此,将其作为民法上的“物”的说法不能成立;依据我国的法律制度,隐私权属于人格权的一种,采用隐私权客体说仅仅是保护了个人信息作为人格权客体的一部分,不仅与我国现行的法律制度不符,对个人信息的保护也不够全面。采用人格权客体说,不仅顺应当今各国对人权保护的趋势,也更加显现了法律对人的尊重,对个人权利的捍卫。二、个人信息法律保护的必要性(一)个人信息的侵权形式一般情况下,公民的个人信息由政府管理控制,包括出生证、身份证、驾照等记录有公民个人资料的信息,然而,为了营利为目的的商业机构也同样在搜集大量的公民个人信息。在网络信息时代,公民的在浏览网页时往往被要求提供个人资料信息,此时,网络特有的曲奇功能已将公民的注册信息、浏览网页的时间、频率等保存在计算机当中,网络运营商及服务提供者(以下统称运营商)就可能保存用户的该信息作为宣传甚至是营利所用。个人信息的侵权形式多种多样,但由于网络时代新颖性其侵权样式往往被人们所忽视。首先要明晰对个人信息处理形式的种类。1.收集收集实则为一种归档行为,是以建立档案为目的的。在网络环境中收集的形式则表现为电脑等自动化方式实施的行为。对个人资料的收集通常是由行政机关实施,但在网络中,运营商依法也可以收集用户的有关信息。2.处理此处所讲为狭义的处理,是对个人信息的储存、变更、删除等一系列行为。在网络环境中,收集到用户信息的运营商则有义务对该信息收录、保存于一定的资料媒介上;变更则为对所存储的信息错误等部分所做的更正;删除即消除该项记录,并且不能再被检索。3.利用广义上讲指为获得一定目的而使用该信息的行为,包括对信息的比对、披露等。比对是一种信息匹配行为,是为特定目的而在相关数据库中对信息进行的鉴别,披露又称对信息的泄露,及信息的存储者讲信息记录转移给第三人的行为。龙源期刊网通过对个人信息处理类型的分析则在网络环境下对个人信息侵权的形式可分为三种:1.非法收集。在网络中,除行政机关为了行政管理为目的收集公民信息,如进行户籍登记等,拥有信息收集权外,依法登记的运营商亦可为服务目的收集用户的个人资料,但仅限于用户注册的信息。其他任何机构组织收集公民、用户的个人信息都应属侵权行为。2.非法处理。保护合法主体的非法处理行为和非法主体的处理行为。合法主体的非法处理行为是指合法收集并负有存储义务的运营商等主体未履行存储义务,造成用户信息的错误、毁损、丢失的行为,以及未经用户许可擅自更改、删除用户信息的行为。非法主体的处理行为是指不具有收集公民信息权利的主体对该信息进行的任何处理行为。3.非法利用。这是在网络中最常见的侵权行为。负有对信息保密义务的主体非法向第三人披露自己所保存的记录以获得非法利益,不具有信息收集主体的行为人在非法收集到公民信息后对信息进行的买卖交易。在网络中,个人信息最常见的侵权形式为垃圾邮件的横行。垃圾邮件是指未经请求而发送的电子邮件广告,这不仅侵犯了公民的通信自由,同时也侵犯了公民的个人信息隐私权。用户邮箱中接收到的该种广告邮件已经表明,用户的个人信息即邮箱地址甚至是姓名、电话、住址等已被牟利者非法买卖。(二)保护个人信息的意义从公民自身而言,首先,个人信息作为一种人格利益,关乎到作为人生存的基本权利。我宪法虽明确规定公民的人格尊严不受侵犯,但随着网络的发展个人信息这种新型的人格利益并未引起人们较大关注,保护个人信息亦是对公民人格尊严的维护。其次,规范个人信息利用行为,增强公民保护自己信息意识,在网络生活中,公民登陆网站往往不经审查即注册自己的真实信息,这不仅加大了政府的监管难度,也使得该信息的传播速度加快。就政府主体而言,保护个人信息是政府作为信息收集的基本主体,从本源上对公民的私人信息予以尊重和保护,同时,在处理利用公民自身信息时,严格按照相关程序,依法履行相关义务,信息时代是电子政务成为政府实行行政管理的必要手段,安全的信息存储使公民放心于电子政务的实施,同时也提高政府服务的效率。就整个社会而言,保护个人信息实则为维护整个社会的秩序的稳定,已经促进经济的交流与发展。网络的发展使商业交易转向电子化,电子化存在的基础即信息的存储和流转,个人信息的滥用必然阻碍电子商务的发展,因此建立起完善的个人信息保护制度对于我人权保护的加强、构建服务性政府和促进整个社会的和谐健康发展都具有深远的意义。三、个人信息保护制度构建(一)我国保护个人信息的立法现状从宪法层面言,我国宪法中仅阐述了对人格的尊重,为涉及到个人信息的保护,虽然理论界大多讲个人信息权利归为人格利益中,当法律对这一理论并未认可。近年来,隐私权愈来愈龙源期刊网因其人们的关注,其立法进程也在加快,2010实施的《侵权责任法》亦明确了隐私可以作为一种权利并可以成为侵权法律关系的客体,然而,在其他民事法律中则无与个人信息相关的保护内容。2009年的《刑法修正案》虽然增加了对个人信息实施犯罪的形式责任,但由于其主体限定在政府及其他具有公共管理职能的事业单位中,没有适应网络时代对新的侵权主体的加以规制的要求。其他一些散见于部分规章、条例等法律规范性文件中的保护个人信息的法律规范中也仅仅正对某一想信息予以保护,如《身份证法》、《护照法》等。因为没有一部明确的保护个人信息的部门法,使得当出现侵犯个人信息的情况时仅能援引相关法律、法规等规范性文件,这不仅不利于法官在司法实践中纠纷的解决,也阻碍了我国整个社会的法制进程。(二)制定《个人信息保护法》随着保护个人信息的呼声越来越高,要求制定一部统一的《个人信息保护法》立法构想成为多数法律界人士的愿望。个人信息保护法应当以安全、公开、保密等作为其立法原则。具体包括1、目的拘束原则,是指涉及到个人信息的任何行为都必须具有明确的目的,在收集前及变更时都必须明确处理这一信息的目的。这是保护信息安全的最基本原则,目的的拘束性使信息的收集者在收集信息是遵循一定的规则,防止随意性,也减少非法收集个人信息的行为发生。2、安全原则,又称保护原则,或保密原则,指信息的收集者应当采取安全可靠的措施保证自己所收集到的信息的安全,不仅包括存储亦包括传输,在这个过程中,收集这应当在技术、组织等方面建立起安全有效的信息安全防护体制。安全原则是公民最关注的原则,国家出于公共管理的需要采集公民信息,如没有一个安全有效的技术防范措施保护这些信息,不仅不利政府公信力的建立,也将丧失公民对新技术发展的信心。3、公开原则,该原则是真的信息收集主体而言,收集主体应当对收集的过程方式予以有效公开,是公民知晓什么样的信息会被收集,什么的信息公民可以拒绝提供,以及收集者在讲信息转移给第三方是应当告知信息主体,没有法律强制规定或当事人约定则应当取得信息主体的同意,方能转移该信息;在信息收集主体要终止对信息的存储时应当告知信息主体信息的销毁方式,并确定该信息不会被再次检索。个人信息保护法还应当将使用主体进一步扩大。目前我国有关保护个人信息的法律规范主体多大仅涉及政府机构及其他被授权的具有公共管理职能的企业、事业单位,如电力公司、通信公司、社保机构等。但随着网电子化的普及,电子商务、电子政务逐步成为主要的商业交易、消费方式,因此个人信息的收集主体也进一步扩大。首先,应当明确政府机构等主体收集个人信息的范围、方式、责任等;其次,要增加某些商业主体收集个人信息的范围、方式、责任;最后,还要限制自然人对个人信息的收集范围、方式,并明晰其责任义务。在网络环境下,商业机构包括自己建立网站从事电子商务的机构,也包括通过网络平台即通过第三方媒介从事电子上商务的机构,且该中介机构是否拥有信息收集权需要法律的名为规定,否则,用户在该网站浏览网页或进行电子交易时,所以通过该网站产生的信息均已储存在该网站中,那么在没有法律规定的情况下,该中介机构就可能随意的收集、存储甚是传输用户的信息,信息侵权行为随之发生。龙源期刊网关于侵犯个人信息的责任,则应当结合侵权行为的归责原则,对不同主体采用不同的归责原则后,对其责任加以规定。首先,对于政府机构侵犯公民个人信息的行为应当采用严格责任原则,即不论政府机构有无过错在发生侵犯公民个人信息权是都应当承担相应的行政赔偿责任,该责任不仅包括财产赔偿责任亦包括精神损害赔偿责任。个人信息有涉及到个人隐私的部分,同时信息中所蕴含的价值又是一种财产性利益,公民个人信息被侵害在财产和精神方面都将受到巨大损失,赔偿数额则可参照国家赔偿法的相关规定予以确定。其次,对于商业机构侵犯公民个人信息的责任则采用错用过错推定原则,即在商业机构不能证明自己没有过错,或已经尽到注意保存义务,但仍然发生信息泄露事件,则该商业机构应当承当相应责任,包括民事赔偿责任(财产损害赔偿和精神损害赔偿)、行政处罚责任(罚款、责令改正、吊销许可登记等)、情节严重则处以刑事责任,赔偿数额则可参照《侵权责任法》对于赔偿额的相关规定加以确定。就个人而言,应当采用过错原则,在实践中个人侵犯公民信息的行为多数为具有计算机技能的“黑客”攻击计算机保密系统窃取信息进行非法买卖的行为,如果该行为触犯到《刑法》,则应承担刑事责任,同时应当根据其所造成的损失承担相应的民事赔偿责任。个人信息作为一种人格利益,对个人信息的保护不仅关乎到人权的保障,也更体现了政府服务百姓、捍卫人民权利的职能,通过立法保护公民的信息特别是网络中的个人资料不被他人非法侵害、收集、利用等,同时在一定程度上限制网络个人信息的权利,在国家公权力与人民私权利中寻求平衡,借鉴相关国家的立法经验