步超:论我国网络信息保护立法中的实名制规则与信息收集必要性原则之张力

选择字号:   本文共阅读 432 次 更新时间:2014-08-12 10:31:17

进入专题: 个人信息保护   必要原则   实名制  

步超  

    

   【中文摘要】《关于加强网络信息保护的决定》填补了中国个人网络信息安全保护方面的立法空白。但它还不够完善。尤其是没有明确具有规范个人信息采集功能的信息采集必要性原则之准确内涵,且又提出了“网络实名制”这种新的个人信息采集规则。在比较研究的基础上,本文讨论了必要性原则的具体内涵,以此进一步分析了“网络实名制”规则与该法律原则之间可能存在的内在张力,认为实名制规则必须通过未来的细化完善才能与该立法的基本原则相协调。

   【中文关键字】个人信息保护;必要原则;实名制;隐私

    

   经过多年的立法酝酿,2012年底全国人大颁布了《关于加强网络信息保护的决定》(以下简称《决定》)。这是自2001年出台《关于维护互联网安全的决定》11年之后,中国颁布的第二个立法层级的关于互联网规制的法律文件。也是第一个关于网络个人信息保护的立法文件。由于广泛存在着政府、企事业单位等主体通过网络或者其他形式采集并形成个人电子信息的实践,近年来有关个人电子信息被贩卖、滥用进而侵害公民权利的案件时有发生{1}。因此,《决定》的出台及时回应了现实发展的需要,保护个人网络信息已经成为一项基本的社会共识{2}。

   尽管《决定》不是专门的法律,在形式和内容上都还不够完善,但其中最大的“亮点”之一就是提出了规范一切网络“信息行为”的基本法律原则——必要性原则{3}。但《决定》缺乏对该原则内涵的阐释,并且又提出新的网络个人信息采集要求——“网络实名制”。这就可能导致《决定》中法律原则与法律规则之间的某种紧张关系,从而影响立法目的的实现。本文通过对必要性原则的探讨,具体分析了这一紧张的内涵以及在两者之间实现协调的可能方向。

   一、个人信息法律保护的全球趋势与中国的立法回应

   (一)个人信息保护的立法模式

   当代的普遍实践已经将个人信息保护纳入宪法基本权利的框架之中,并通过国家强制立法、行业自律等方式,规范一切主体针对个人信息的“信息采集行为”,强化对个人信息的保护。自20世纪70年代起,全球开始了一场对个人信息的立法保护运动。在欧洲大陆、美国、日本、以及我国的台湾地区等地,以“个人数据”、“个人信息”、“个人隐私”为名的立法相继出台{4}。并大致呈现出两种不同的保护进路。一种是将个人信息确认为独立的宪法权利,个人信息自主的价值获得优先考虑,主要依靠普遍性的严格立法对政府和非政府主体的“信息采集行为”实施同等标准的法律规制。比如在德国,个人信息被认为属于人格尊严的重要组成,宪政法院通过案例法确立了“信息自主权”。法院要求立法必须明确信息收集的目的和条件,以使公民知悉何种信息以何种理由而被收集,并且必须遵循法治原则和比例原则{5}。同时,德国还颁布了《联邦资料保护法》,并根据欧盟《资料保护指令》的同等保护要求,经过修改最终对政府与非政府主体的信息行为实施了统一化的规定{6}。另一种是将个人信息视作其他宪法权利的必要内容,更加重视信息保护与信息自由之间的平衡,并对政府与非政府主体的“信息行为”采取了不同的规制方法和标准;在借助普遍性强制立法的同时,更倚重行业自律、市场调节,只在市场失灵时才提出专门性的规定。比如在美国,法院通过案例法将隐私权发展为一项宪法所隐含的权利。这其中就包含着对个人信息保护的要求。由于更担心政府的侵害,1974年的《隐私权法》禁止联邦政府未经授权的个人记录披露,要求政府机关建立起个人记录的安全保障措施。而对非公共部门则仅根据需要在某些领域制定相关的法律。比如,制定了《电子通讯隐私法》等针对专门领域的隐私保护立法。一般情况下,则相信市场调节,通过“建议性行业指引”、“网络服务商认证制度”和“个人隐私选择平台”等行业自律方式保护个人信息{7}。

   (二)中国个人信息保护的法律回应可见,个人信息或者作为一项独立的基本权利,或者被纳入隐私权的“体系”{8}。具体保护模式的立法选择,在一定程度上可能只是一个法律技术问题,并部分反映了不同国家的宪政方法,和对于个人信息保护的不同侧重。在我国,尽管宪法文本中没有对个人信息保护的专门规定,但公民的权利体系不能因此而封闭化并拒绝将个人信息保护纳入。首先,宪法规定了“国家尊重和保障人权”,这为通过法律解释扩充宪法权利提供了可能。其次,保护个人信息至少是某些基本宪法权利的辅助性组成。如果公民担忧个人信息的收集、使用、披露将使其处于不利状态,那么这将影响其行使权利的决策。比如,身份信息的收集可能影响表达自由、对政府进行批评和建议的权利及结社自由;对个人电子邮箱使用记录的收集也可能侵犯通信自由和秘密权;泄露门诊记录等涉及隐私的个人信息还可能侵犯个人的人格尊严和隐私权。王利明教授等进而主张有必要将个人信息作为一项独立于隐私权的人格权制度在我国加以确立{9}。在立法上,我国对个人信息采取了一种“零售式”的、分散化的法律保护模式。根据笔者的不完全统计,从1984年到2012年11月,有超过100部法律法规文献涉及个人信息保护问题,分布在法律、法规、政府规章等各个层级,分别针对司法、医疗、金融、劳动保障等诸领域中的特定问题。其中,八部法律分别是《刑法》、《刑事诉讼法》、《护照法》、《出入境管理法》、《居民身份证法》、《统计法》、《社会保险法》和《关于维护互联网安全的决定》。五部法规分别是《电信条例》、《互联网信息服务管理办法》、《戒毒条例》、《缺陷汽车产品召回管理条例》和《彩票管理条例》。考虑到一些法律文献对个人信息的保护可能是在隐私权、干部档案的概念下做出的。因而,相关的规则性文件将会更多,更加体现了这一领域我国立法的分散性。且许多规定的只是最低限度的保密责任,责任追究仅限于个人信息不当泄露和通信秘密权受到侵害的情况。对个人信息的采集、持有、使用等环节没有相应的保护机制{10}。而缺乏对个人信息保护的系统性与普遍性规定,这就不利于个人信息保护的整体展开。《决定》的通过使中国有了第一部针对个人信息保护问题的专门性立法文件。其显著的立法特色就是同时借鉴了美国与德国的保护思路。既延续了分散化保护的模式,主要针对个人网络信息的保护问题,以应对网络空间中的独特挑战,而与美国通常在市场失灵时才对专门问题制定立法相似;但在规制方式上,类似德国等欧盟国家,中国似乎又有限度地选取了对政府与非政府主体的信息行为实施同等规制的保护进路。

   首先,《决定》将保护的客体限定于识别个人身份与涉及个人隐私,并且存储形式为电子化的个人信息。第一,这意味着非以电子形式储存,比如表现为纸质文件的个人信息不在本法的调整范围内。比如,干部人事档案信息就受中组部《干部人事档案材料收集归档规定》的调整。第二,只要是以电子形式储存,不论是否与互联网有关,都在保护的范围之内。银行、学校等以电子方式存储的个人账户信息、学籍信息等,即使它们不是通过网络采集的,依然不得出售和非法提供。因此,定名为“网络信息保护”也许并不完全恰当,它同时涉及了“线下”的个人电子信息保护问题。第三,对个人信息的保护,实现了对收集、使用到保存问题的全面覆盖。对最低限度的保密要求,政府与非政府主体没有责任上的差别。而且,就信息的收集和使用,首次提出了公开收集、使用信息之目的、方式和范围,并取得用户同意的要求,并明确规定采集、使用个人信息还应当符合合法、必要、正当的原则。这就为将来可能的细化规定确立了基本的法律原则,对规制信息采集和使用行为具有突出的指导意义。

   其次,上述法律原则的适用对象是“网络服务提供者与企事业单位”,没有像《个人信息保护法专家建议稿》那样明确将义务主体定为政府与和其他个人信息处理者{11}。那“网络服务者”这一法律概念究竟包括那些主体?根据《互联网信息服务管理办法》,“国家对经营性互联网信息服务实行许可制度;对非经营性互联网信息服务实行备案制度。”政府网站通常上也会按该《办法》的要求履行 ICP( Internet Content Provider——网络内容提供者)备案义务,并生成备案号。因此,除了企事业单位的网站,政府网站似乎也属于本《决定》所谓的“网络服务提供者”,应受本法约束。但这就明显排除了政府在“线下”收集个人电子信息的情形,比如公安部门办理居民户口登记、中国人民银行建立的“个人信用信息基础数据库”等。也即,对企事业单位与政府“线下”的个人电子信息的收集、使用采取了不同的规制标准。此外,“网络服务提供者”不应只狭义地限于《决定》第6条所提到的网络内容服务与接入服务提供者,而应当包括所有网络服务的提供者,如开发即时网络会话软件的IT企业等,他们也应在用户使用其软件进行网络通讯时履行对个人信息的保护责任。

   二、个人网络信息保护中的必要性原则

   (一)中外信息保护立法中的原则规定比较

   如果说《决定》在我国个人信息保护立法中具有里程碑式的意义,那么其最重要的根据就是《决定》对信息保护法律原则的首次阐明。关于个人信息保护的法律原则,除了各国家、各国际组织制定或倡导的特定目的、限制收集、限制利用、公开、知情同意、安全保护、个人参与、信息品质、享有救济等一般性原则,各国家还有自己独特的原则规定,如德国要求信息向主体本人收集的“直接原则”等{12}。但《决定》中的法律原则规定显得有些简略,并未遵从国外那种繁杂的原则体系。宽泛地说,《决定》提出了七条法律原则,既体现了个人信息权利限制国家过度干预的消极防御功能,也体现了要求国家制裁私人侵害的积极保障功能。其中多数条款涉及的是个人信息应以合理的安全措施予以保护,防止泄露、遗失、篡改的“安全原则”,以及国家应当建立违法行为制裁与个人救济制度的“责任原则”。只有第二条还提出了公开、知情同意两项原则性要求。但严格地说,只有第二条中“合法、正当、必要”的要求是明确以法律原则定名的。

   外国立法例提出的诸多原则尽管有利于个人信息的全面保护,但显得过于繁杂,缺乏法律原则应有的概括性与包容性,使得原则层面的问题滑向具体的制度。而我国立法则以“必要原则”的概念,代替了与之相关的其他诸多原则,并可以成为特定目的、限制收集、限制利用等相关原则的上位原则,体现了一种立法技术上的简约化考量{13}。但这应以必要原则的具体化为前提。没有必要原则的约束,信息采集,尤其是电子化的个人信息采集总是倾向于不断自我膨胀的。而且保护信息安全,在措施方面,根本性的方法不是强化保护技术与责任追究,而是减少不必要的信息收集,降低信息泄露的风险性。因此,必要原则最能体现个人信息保护立法的根本制度功能,即在于限制政府与非政府主体的信息采集行为,并且是其他诸多原则得以更有效发挥作用的逻辑前提,因而在诸原则中具有首要地位。

对个人电子信息的网络保护问题首先提出了必要原则,是与当前网络服务提供者对个人电子信息的收集、使用特点密切相关的。一是信息收集的全面性。比如,国家公务员考试、国家司法考试等的网上报名中,往往需要个人上传肖像照片、提交身份证号、籍贯、出生年月、电话住址等详细信息,有的还要求填写个人工作简历和家庭情况说明。尽管政府为了实现某种行政任务而必须收集个人信息,但有一些信息对报名而言明显是不必要的。二是信息收集的多样性。首先是主体多样。政府、企事业单位、甚至个人操作的“人肉搜索”都可以搜集。其次是内容的多样性。除了《决定》规定的信息种类,依《互联网信息服务管理办法》,网络服务提供者还被要求记录用户“提供的信息内容及其发布时间”等其他个人电子数据。在实名制的条件下,这可以通过自动化处理和其他数据挖掘技术拼接成对公民网络服务使用情况的个人档案,这在一定条件也足以构成涉及个人隐私的信息{14}。三是信息收集的任意性。因为没有法律原则的限制,一般只要满足保密的要求,就可以根据相关主体的需要随意收集个人信息。(点击此处阅读下一页)

    进入专题: 个人信息保护   必要原则   实名制  

本文责编:frank
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 宪法学与行政法学
本文链接:http://www.aisixiang.com/data/76988.html
文章来源:《天津法学》2014年第2期

1 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2020 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号 京公网安备11010602120014号.
易康网