张新宝:从隐私到个人信息:利益再衡量的理论与制度安排

选择字号:   本文共阅读 1570 次 更新时间:2015-07-31 23:56:34

进入专题: 个人信息保护   隐私权   利益衡量   “两头强化,三方平衡”  

张新宝  
具体说来,用户真实身份可查验制度是通过建立国家官方网站进行公民真实身份验证,统一发放“网络身份识别码”,以认证“网络身份识别码”代替实名制之下的公民真实身份识别。[60]在用户真实身份可查验制之下,网络用户真实身份仅由唯一国家网站掌控,相较于实名制之下提供给形形色色的互联网信息服务提供者而言,大大缩减了“公开”范围;同时,相较于互联网信息服务者的参差不齐,国家网站的安全维护水平可以做到更高一些。另外,用户真实身份可查验制度之下,用户“实名”仅存在于该国家网站之中,并且限于符合法律规定的正当事由和程序才可进行用户真实身份的查验,最大限度维持了用户在网络空间里的“匿名”状态,避免“寒蝉效应”对公民言论自由产生不利影响。国家机关也只有在有法律依据、符合授权的情况下,对于涉及违法、犯罪行为的网络用户进行实名查验,不得滥用权力查验网络用户的真实身份,而对于一般性质的不当网络言论和行为不应动辄动用国家公权力查验网络用户的真实身份。

   (四)强化国家对个人信息的保护与利用的双重职能

   在大数据背景下,最大化实现国家对个人信息利用的方式便是建立国家中心数据库,解除数据库之间的“信息孤岛”状态,最大限度地提升政府行政管理效率。2015年4月13日,中共中央办公厅、国务院办公厅对外公布《关于加强社会治安防控体系建设的意见》(以下简称《意见》),《意见》第10条指出,我国将建立以公民身份号码为唯一代码、统一共享的国家人口基础信息库,建立健全相关方面的实名登记制度,建立公民统一社会信用代码制度,并探索包含公民所有信息的一卡通制度。

   国家中心数据库是社会信息化发展和进步的必然,而如何实现《意见》中指出的“确保信息安全、保护公民合法权益前提”则是我们需要面对的首要问题。笔者认为,该问题的解决包括个人信息的安全和国家权力的限制两个方面,应当通过技术保障和法律规制相结合确保个人信息资源的安全共享和正当利用。国家必须加大技术投入,致力技术创新,提升我国信息安全水平,确保我国信息主权安全,从技术层面上确保国家中心数据库和所有国家机关涉及公民个人信息数据库的安全;更重要的是通过法律严格限制政府公权力,确保国家机关对国家中心数据库的正当利用,避免“数据监控”的噩梦。国家中心数据库的建立本质上是扩张公权力对公民私生活的介入,必须符合法律保留原则、符合目的性原则和比例原则。首先,国家中心数据库的建立涉及到公民基本权利和自由,必须由立法机关立法,制定明确的法律依据。在立法时,关键在于严格限制该数据库的利用,只有重大社会公共利益方能构成利用的正当性理由,在立法中明确利用该数据库的具体情形和前提条件。其次,国家中心数据库中个人信息收集和利用,必须满足符合目的性原则要求,不得在法律规定的目的之外收集和利用个人信息。再次,国家中心数据库的利用对于其欲达目的而言必须是必要和重要的,符合比例性原则,也即“对于当事人自由的干预应尽可能最少”[61]。对于尚未构成违法犯罪行为、并非严重背离社会公序良俗的行为,国家应当抱有包容的心态,给予民众充分的自由,追求良治、善治,而非一味监控管制。最后,国家中心数据库中的个人信息的收集和利用,还需要遵循个人信息保护与利用的基本原则,包括数据质量、限制收集、公开原则、信息主体参与等,确保公民的知情权和参与权,将国家中心数据库的运作情况作为政务公开的重要内容加以公开,便于公众和社会进行监督。

   (五)信息业者:去个人化的信息处理与利用

   个人信息是“可以识别个人身份的信息”,识别性因素会对信息主体的权益保护和业者的利用产生影响。一方面,对于直销等针对特定信息主体利用个人信息时,对于信息业者的个人信息利用行为,应当施加更多的限制[62];另一方面,当信息业者并非追求针对特定信息主体“一对一”利用个人信息时,应当在其收集、存储、处理和利用个人信息的过程中进行去个人化处理。例如,个人信息用于定向营销、数据库营销和商务智能分析中,信息业者关注消费者的群体特征,去除单个个人的明确身份识别要素并不影响信息业者对消费者群体特征的分析。除得到信息主体同意的情况外,信息业者一般应当通过代号化或加密处理,去除个人信息的可识别性因素,切断信息与特定个人之间的辨识要素,实现信息的去个人化,降低未来可能的信息泄露等安全事件对信息主体的影响。

   去个人化会引起经营者的信息处理成本小幅增加,但去个人化之后个人信息处理、传输和利用不当的风险将显著降低,能够避免信息主体可能遭受的直接识别的侵害,对信息主体具有积极意义,也是最大限度地在业者和信息主体之间实现个人信息的保护和利用需求。

   (六)个人:未成年人和敏感隐私信息的特殊保护

   1.强化对未成年人信息的保护

   根据中国互联网络信息中心发布的《2013年中国青少年上网行为调查报告》显示,截至2013年12月,中国未成年网民规模达1.4亿,在整体网民中的占比为22. 65 %,互联网在12岁以下的少年中的渗透加大,其上网行为涉及信息获取、交流沟通、网络娱乐、商务交易等方面。[63]2014年是我国接入国际互联网20周年,如今的未成年人是真正成长于网络环境中的一代,网络是其生活的重要内容,互联网深刻影响着他们的生活方式甚至思想意识。与成年人相比,未成年人心智尚未成熟,没有足够的认识能力和控制能力,也缺乏足够的自我保护能力,其权益无疑更容易受到侵害,在个人信息保护与利用方面,更应为未成年人提供特殊保护。

   在强化未成年人个人信息保护方面,美国是立法先驱。早在1998年美国就制定了《儿童网络隐私权保护法》,限制网站运营商通过互联网收集儿童个人信息。该法规定网站营运商负有保护儿童网络隐私和安全的责任,不经儿童父母或监护人的同意,不得收集13岁以下儿童的个人信息;到2012年,网站运营商限制收集的范围扩张到13岁以下儿童的照片、视频和地理位置信息。此外,美国一些州的立法也体现了强化未成年人保护的理念,如2013年美国加州橡皮擦法案》要求社交网站应允许未成年人擦除自己的上网痕迹,以免其未来面临其在心智尚未成熟时留有的网络痕迹的困扰。[64]欧盟2012年《个人数据保护条例》也借鉴美国的立法经验,增加了儿童个人数据的特殊保护规定。[65]

   我国《个人信息保护指南》也体现了对未成年人个人信息予以特殊保护的理念,规定“不直接向未满16周岁的未成年人等限制民事行为能力或无行为能力人收集个人敏感信息,确需收集其个人敏感信息的,要征得其法定监护人的明示同意”。应当说《个人信息保护指南》不局限于网络环境而统一为未成年人个人信息收集提供强化保护,是相较于美国和欧盟立法的进步之处,因为随着新型数字媒体平台、电视购物等的发展,对未成年人个人信息的收集和利用肯定不会仅仅发生在网络环境中;但同时《指南》将这种针对未成年人群体的强化保护又局限于未成年人敏感信息的收集,实际上是限缩了对未成年人强化保护的效力。同时,在未来我国个人信息保护立法进程中,还应当通过大量的社会实证调研,确定一个适合我国青少年发展状况的强化保护的年龄节点。

   2.强化个人敏感隐私信息的保护

   敏感隐私信息概念的提出在于为个人敏感信息提供强化保护,对敏感隐私信息和一般信息的收集、处理和利用适用不同的法律规则。从比较法上的经验来看,欧盟在明确区分二者的基础上原则性禁止个人敏感信息的收集和处理。美国虽然不存在明确的敏感信息分类,但是也存在一些类似的限制性规定,体现在不得以敏感信息作为做出某些决定的依据,否则将被视为歧视性决定。如在美国征信行业中,征信机关虽然可以收集种族、国籍、婚姻状况等敏感信息,但是不得进行传播,也不得在进行信用计分时加以考虑或计算,否则会被联邦贸易委员会视为歧视性决定而受到惩罚。

   个人敏感信息的强化保护也仍然包括保护和利用两个维度,保护体现在原则上禁止处理,而利用则体现在对禁止处理的例外规定。禁止处理的原则应当适用于个人信息处理的全过程,包括收集、存储、处理、利用及传播等各个环节。禁止处理的例外限于信息主体明确同意或自行公开、法律明文规定、公务机关执行法定职务或非公务机关履行法定义务所必要、公务机关或研究机构基于医疗、卫生、预防犯罪等目的为统计或学术研究必要等情形。同时,在上述例外利用的情形中,进行个人敏感信息处理的公私机构应当为个人敏感隐私信息提供更高水平的安全保障。

  

   结论

   进入信息社会,每一个人都是“信息人”,个人既是信息的生产者也是信息的消费者,任何人都不可能离开信息而生存。与此相适应,人类社会中的每一种社会关系都直接或间接打上了“信息化”的烙印,调整这些社会关系的法律也都应成为“信息化”的法律。个人信息与隐私具有千丝万缕的联系,但由于其所具有的人格自由和人格尊严价值、商业价值和公共管理等多重价值,所以对其保护与利用的利益再衡量必然成为个人信息保护法在理论上的起点和基础。

   利益博弈中零和游戏的结局是“你死我活”,而立法上的利益衡量要达到的目的是“多赢”和“共和”。因此,需要识别个人信息保护和利用中多方主体的利益需求,承认与确保其核心利益的实现,让渡自身非核心利益而使他方的核心利益得以实现。

   通过对个人敏感隐私信息强化保护,以及强化个人一般信息的商业利用和国家基于公共管理目的的利用,实现个人、信息业者和国家三方利益平衡。这一“两头强化,三方平衡”理论,应当作为我国个人信息保护法的理论基础。国家主导、行业自律与个人参与的法治模式,信息业者实名制与用户真实身份可查验制,国家作为个人信息利用者与社会管理者双重功能的发挥,信息业者对个人信息的去个人化利用,以及对未成年人个人信息、个人敏感隐私信息的特殊保护等,都是全面实现“两头强化,三方平衡”理论所要求的主要制度安排。

  

   注释:

   [1]参见张新宝:《隐私权的法律保护》,群众出版社2004年版,第7页。相同观点参见王利明:《隐私权概念的再界定》,载《法学家》2012年第1期。

   [2]也有学者使用个人数据、个人资料、信息隐私等称谓,但研究对象和内容并无本质区别。本文遵从目前学界和实务界共识,采“个人信息”称谓,与“个人数据”意义相同。

   [3]See General Data Protection Regulation ,Article 4.

   [4]参见《中华人民共和国个人信息保护法(专家建议稿)》第9条,转引自周汉华《<中华人民共和国个人信息保护法(专家建议稿))及立法研究报告》,法律出版社2006年版,第3页。

   [5]See Directive 95/46/EC(《个人数据保护指令》.2012年11月修订为General Data Protection Regulation《欧盟数据保护规则》),Directive 2000 /31/EC(《电子商务指令》),Directive 2002 /58/EC(《隐私与电子通讯指令》),Directive 2006 /24 / EC(《数据留存指令》)。

[6]相关研究成果参见齐爱民《个人资料保护法原理及其跨国流通法律问题研究》,武汉大学出版社2004年版;孔令杰《个人资料隐私的法律保护》,武汉大学出版社2009年版;蒋坡:《个人数据信息的法律保护》,中国政法大学出版社2008年版;郭瑜:《个人数据保护法研究》,中国政法大学出版社2012年版。(点击此处阅读下一页)

    进入专题: 个人信息保护   隐私权   利益衡量   “两头强化,三方平衡”  

本文责编:zhaokecai
发信站:爱思想(http://www.aisixiang.com),栏目:天益学术 > 法学 > 民商法学
本文链接:http://www.aisixiang.com/data/90926.html
文章来源:《中国法学》

0 推荐

在方框中输入电子邮件地址,多个邮件之间用半角逗号(,)分隔。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2021 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统