从源头治理的角度思考中国个人信息保护法

孙宪忠

    一、一个严重的社会问题,而法学界答非所问
    近年来,因为个人信息泄露而造成的社会问题可以说是愈演愈烈,造成损害可以说是非常严重。不论是徐玉玉死亡案件、李文星死亡案件这些尖锐的个人受损害案件,还是集体性、大面积的民众尤其是老年人群体、青年学生群体受诈骗案件,都不但引起了社会的愤恨,也引起了社会的恐慌。据2017年“两会”期间某个记者见面会公布的消息,仅2016年,我国6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等承受的经济损失达915亿元。有关司法机关开展的针对这些和个人信息泄露有关的案件的查处以及对于罪犯的打击,可以说是力度和规模都越来越大。但是让我们无法得到安慰的是,在无数次这样严厉打击面前,信息泄露造成的损害还是没有得到有效地制止。
    只要我们稍加分析就能发现,这种情况发生的原因,是造成信息泄露和损害的源头没有得到有效地治理。现有法律制度在打击信息侵害以及犯罪方面付出的努力值得肯定,但是,这些措施都是针对已经造成的侵害行为的,关于预先防止信息泄露的法律措施,现在整体上还是没有。举例来说,保护个人信息,需要仔细思考信息是怎样被采集、保管和利用的,采集和保管个人信息的是谁,他们有没有在保管好信息方面付出努力?尤其是我们要看到,个人信息采集的主要部门还是公安、民政等政府机关,因此从保护个人信息的国家立法的角度看,应该首先建立针对这些采集、保管和利用个人信息的行为和机构的法律制度。在本文形成时,我国整体的个人信息保护法还没有建立起来,目前一些零散规则,不但没有系统性,而且最重要的是没有明确这些机构采集信息、使用信息的注意事项和法律责任。[1]立法对于那些利用泄露的信息来诈骗的犯罪治理比较严厉,但是对采集和保管信息的不当做法欠缺制度规范。所以,问题在于现有制度只是末端治理而不是源头治理。
    对个人信息保护的法律制度建设的立法方案,我国法学界已经提出的几种方案,似乎都没有看到现有法律制度只是末端治理而不是源头治理的缺陷。比如,近年来随着我国民法典编纂工作的展开,法学界一些同事提出,希望在民法典中规定独立的人格权编,通过人格权保护的方法来治理信息泄露问题。提出这个观点的学者的理由是,当前随着高科技的发展,针对个人信息的侵害越来越多,涉及一般自然人生活的方方面面,在高科技、互联网和信息爆炸的时代,科学技术有可能被滥用,会极大地损害个人信息、隐私、健康等等。因此这些学者认为,通过在民法典中将人格权独立成编来加以应对,才能解决这个现实的重大问题。但是我们仔细阅读这些文章、分析这些观点之后,我认为这个建议可以说不足以让立法者采纳。因为在高科技、互联网、信息爆炸时代背景下,人格权侵权虽然加重了,但是仍然还只是民法所说的侵权问题,而且也还是民法要解决且能够解决的问题。将人格权受侵害的侵权法规则从民法侵权法整体中分离出去,单独作为民法典的一个分则,和物权法、合同法相互并列,这不但没有必要,而且法理上无法成立。民法意义上的侵权法要解决的是确认权利受侵害以及损害赔偿的问题,传统民法通过加害行为、损害结果、加害行为和损害结果之间的因果关系这三个要素,来确定加害人应该承担的责任的大小。现在中国法院处理的人格权侵害及其救济,仍然还是使用而且也是必须使用这些规则。
    但是,我们必须指出,传统民法对于高科技互联网信息爆炸情况下个人信息泄露造成的侵权结果的救济确实是不足够的。原因就在于,民法的救济在于信息泄露造成侵权事实之后,受害人提起了损害赔偿的请求权,这时候才能够引发民法救济,这种救济显得十分被动。但是民法的规则只能是这样的,这也不是中国侵权法独有的问题。在高科技互联网信息爆炸的历史背景下,民法的这种不能提供预先保护的缺陷显得十分突出,因为这个时候个人信息泄露造成的群体性多发性的损害,后果更加严重。可是,在个人信息保护的这个特定范畴内,民法不能设定一些规则,要求一些行政机关应该做什么不做什么,这是民法无法做到的。所以即使人格权在民法典中独立成编,也还是解决不了这些问题。所以,要求在民法典中将人格权独立成编的观点,可以说发现了现实生活中的问题,但是却没有找到解决问题的准确方法。这种观点把民法的作用定位似乎都太过于宽泛了。像信息保护这样的法律问题,并不是将这些规范都纳入民法之中就可以解决的。
    信息采集、保管、利用,涉及很多行政管理机关及其职权,也涉及很多社会法人自然人的行为;这些行为之中,有很多是合法行为甚至是管理社会的必需行为,而信息泄露造成的犯罪和侵权,其实也并不是采集信息、保管信息和利用信息的必然结果,只要信息的采集、保管和利用能够严谨合法,就能够防止犯罪和侵害。而且从上文分析我们可以看到,这种预先防范,比事后救济要更加符合人民权利保护和法治国家的本意。
    从信息采集、保管和利用的法律制度建设的角度分析,这些行为涉及行政管理机构也涉及民事主体,涉及合法行为也涉及不当行为,因此这些法律制度必然涉及行政法、刑法、民法多个法律。而且实事求是地说,民法在其中发挥的作用是候补性的,救济性的,不是预先性的。即使信息泄露造成了损害的结果,有时候也不能仅仅只考虑适用民法规则。比如制定法律应对信息泄露问题时,立法者首先应该考虑的,是谁控制着这个信息?控制者有没有采取措施保护好信息?如果立法者不首先考虑这些问题,而只是考虑侵害人甚至犯罪人的责任,那还是不能有效解决问题。就以山东徐某某上大学信息泄露而受诈骗的案件为例。立法者首先应该考虑的是如何健全信息处理者的责任制度,而不应该仅仅只是利用黑客盗用信息、诈骗徐某某的罪犯的责任。这个信息的采集和掌管者是教育行政管理部门、招生办、大学、中学等,要解决这个案件中的信息保护问题,就应该从这些行政部门和学校入手,立法应该针对这些部门建立相关保障信息不泄露的制度。显然这就不是个民法问题。
    信息的采集、保管和利用,包括一些政府部门,电信部门、IT产业、互联网产业、铁路、民航、银行、学校、商场、医院收集信息和保管信息的社会群体性行为,民法完全是无能为力的。另外,将来我国要建立的各种数据中心,所依靠的法律就是典型的行政法规则而不是民法规则。我本人在贵州省法院和检察院调研大数据司法的情况数次,充分认识到这样一个事实:在个人信息“上云端”这个关键的环节中,公共权力机关清洗个人信息(把个人信息去标识化)、防止个人信息泄露才是最关键的。法院检察院掌握的个人信息十分丰富,但是这些信息必须上云端公开,因此必须将这些信息予以清洗,以达到保障个人信息安全的目的。在大数据时代,这个程序上的工作非常重要,但是这恰恰不是民法能够规定的。事实上,信息保护的立法对策,首先应该是行政法、刑法,民法上的侵权问题还并不是主要的法律手段,因为《民法总则》第111条并不禁止收集和保管个人信息,而现实的问题,恰恰首先出现在信息的收集、保管和利用的环节。希望我国立法者能够针对大数据涉及的信息保护问题展开调研,理清此中的问题。
    另外,目前我国社会和法学界一些同事将信息和“隐私”相混淆,从而把信息保护纳入到隐私保护,进而纳入到人格保护;进而用人格权保护的方法来保护信息,这种观点也是概念不清。在英文中,Privacy这个词,指的是涉及个人的事务,它也许可以包括个人信息。但是在汉语中,隐私和个人信息是有明确区分的。汉语中的隐私一词,指的是和个人私密性质的情况,其中以性的生活作为典型。含义隐私强调个人私密的基本特点,是任何人任何机关都不可以掌握的(只有医院医生等为例外)。而个人信息多是可以公开的,比如姓名、性别、手机电话号码、家庭住址、年龄、出生地、民族、婚姻子女状况、党派以及信仰等,都是公开的。所以,信息不能混同于隐私,不可以用隐私来概括信息;更不应该在用隐私包揽信息之后,将其纳入自然人的人格权范畴。否则我们就会得出一些非常混乱可笑的结论。比如,我知道了你的手机号码,这是你的个人信息;你的个人信息属于隐私,因此我现在也掌握了你的隐私。如此种种,岂不荒唐而且可怕。[2]
    也就是这样,我国《民法总则》第110条规定了包括隐私在内的人格权保护,而第111条规定了信息保护,立法将这两者分开规定,以示这两件事情有重大的区别。如果法学界在这个问题上不能建立准确认识,那必将会把信息保护问题引入歧途。
    本文的要点,是考虑到信息保护涉及多个机构、多种涉法行为,因此适用法律也涉及多个法律领域、多种法律手段,因此提出必须采取综合治理的方式来解决信息保护问题。通过立法对策分析,我们认为,这种预先防范的制度,应该才是有效的保护个人信息的法律措施。总体而言,我国应该通过制定信息保护的特别法来解决这个严重而且紧迫的社会问题。
    二、现行制度的不足之处
    (一)信息侵害的源头在于信息的采集和保管
    根据中国社会科学院多年以来的研究,我国信息侵害的源头在于信息的采集、保管和利用环节。我们针对个人信息保护现状组成的课题组,在全国多个地区进行调研,发现了很多涉及信息保护的问题。调查发现我国信息保护的法律制度缺陷主要在于:
    1. 收集个人信息没有准入规则,似乎谁都可以收集个人信息。现实生活中我们发现,在我国没有收集个人信息的法律准入规则,结果是谁都可以采集个人信息。除了一些政府部门和商家之外,我们还可以在一些公共场所遇到一些采集个人信息的个人或者企业。甚至有一些民间调查结构,似乎可以把采集个人信息作为自己的专业。另外,一些没有必要收集个人信息的单位,为了固定自己的客户,也采取各种手法收集个人信息。
    2.有权收集个人信息者,多数存在着过度收集的问题。有关机构办理个人业务采集信息时,过度收集成为普遍现象,把大量基本无关的个人信息纳入自己的控制范围之内。从目前掌握的情况看,几乎所有相关行业都存在着采集与本业务无关的信息的问题。一些政府部门收集的个人信息,可以说无所不包。电信部门、IT产业、互联网产业、铁路、民航、银行、学校、医院或者个体医生等部门,总是要利用自己预先确定的格式合同来收集个人信息,都采集了与自己专业无关的身份信息。比如,这些部门常常要求个人登记自己的家庭电话、手机号码、电子邮箱、银行卡号码、家庭住址以及家庭成员的情况等信息,这些信息实际上有很多和这些机构的业务毫无关系。在这一方面做得最为过分的是一些商家,他们借助为客户办理积分卡的名义,要求客户提供的个人信息甚至要包括工作机构、受教育程度、婚姻状况、子女状况等全部信息。一些银行甚至要求申办信用卡的客户提供个人党派信息、配偶资料乃至联系人资料等。
    3.掌握个人信息者,均认为他们获得的信息是自己的财产,而不认为自己应该对于信息涉及自然人承担严肃的法律义务。最近,腾讯与华为两个大公司之间,因为关于用户数据收集发生了激烈争议。新浪和脉脉也为抓取“微博”用户数据而发生激烈争议。北京市某法院刚刚审结了淘友技术公司等与微梦公司合作期间取得并使用新浪微博用户的职业信息、教育信息的案件。本人从这些案件的材料中看到,这些公司都认为这些个人信息属于自己本公司的资产,如果未经许可取得别的公司的资产,就认为这是侵权。但是,这些公司没有一家认识到,这些信息涉及到的信息主体的权益问题,也认识不到自己对信息主体严肃的法律义务。
    4.擅自披露个人信息。有关机构未获法律授权、未经本人许可或者超出必要限度地披露他人个人信息的情形普遍而且严重。比如,一些地方对行人、非机动车交通违法人员的姓名、家庭住址、工作单位以及违法行为进行公示;有些银行通过网站、有关媒体披露欠款者的姓名、证件号码、通信地址等信息;有的学校在校园网上公示师生缺勤的原因,或者擅自公布贫困生的详细情况。
    5.对个人信息保管不力,内部管理不严格。获得个人信息者,一般均不设定信息保护密码,或者只设立非常简单的密码,不但这些单位职工非法转让个人信息牟利,其他一些不法分子也可以登录其网页找寻他们占有的个人信息。从媒体报道的情况看,这种情形以银行、保险公司、航空公司、铁路、医院、大中小学校、教育行政管理部门等行业为甚。这些部门对于他们收集的个人信息没有采取必要的管理措施,造成信息被本单位职工和他人盗用牟利。
    6.非法买卖个人信息。调查发现,社会上出现了大量兜售房主信息、考生信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息的现象,并以此形成了违法和犯罪产业,从而造成严重的社会恶果。徐玉玉案件、李文星案,就是典型。现在,考生在高考之后,其个人信息很快就会进入市场买卖。个人在办理购房、购车、住院等手续之后,相关信息被有关机构或其工作人员卖给房屋中介、保险公司、母婴用品企业、广告公司等。
    (二)中国现有立法并未从源头解决信息保护问题
    显然,建立保护个人信息的立法,在目前已经显得刻不容缓。这是因为我国目前还没有这样的法律。目前,我国法律提及个人信息保护的,在国家基本法层面的,仅仅只有2017年3月刚刚制定的《民法总则》的第111条。该条文规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应该依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这个规定从基本法的角度第一次建立了信息保护的规则,可以说意义非常重大。但是我们从它的内容可以清楚看出,这个法律条文是从禁止侵害的角度来保护个人信息的。这个条文没有禁止采集、保管和利用信息,那么,如何合法地“收集、使用、加工、传输”个人信息,这个法律条文没有任何规定。《民法总则》的这个规定是十分正确的,因为民法无法建立管理社会群体性行为的规则。从上文的分析我们可以看出,信息的采集、保管、利用,在我国是涉及很多机构和单位的群体性社会行为。举例来说,可以发生这些行为的,有公安以及民政等多个政府部门,也有互联网产业、电信产业、IT产业、铁路、民航、银行、学校、医院或者个体医生等等产业行业。对这种群体性社会行为建立法律规则,属于社会管理性规则,这种法律规制,显然应该属于行政法范畴,而不是民法能够承担的责任,所以《民法总则》仅仅从侵权禁止的角度(也就是上文所说的信息保护的末端治理的角度)来规定个人信息保护是非常正确的。
    另外,我国针对个人信息保护的法律还有《刑法》。2009年2月,我国最高立法机关通过了《刑法修正案(七)》,在刑法第二百五十三条后增加一条,作为第二百五十三条之一:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”之二:“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。”之三:“单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”这个规定虽然十分重要,但是因为它仅仅了规定信息犯罪与惩罚的规则(这是立法职责划分的必要),它仍然是信息保护的末端治理,而不是源头治理。该法律修正案生效已经多年,它在打击信息犯罪方面确实发挥了极大的作用,但是我们可以看到,这种犯罪仍然没有得到有效的遏制。这一点,非常清楚地说明了对信息保护的立法必须转变观念。
    事实上,我国已经制定的针对某些行业和部门的单行法规中,已经规定了不少涉及个人信息保护的内容,尤其是近年来全国人大制定的单行法律在内,都注意写入个人信息保护的内容。如下表格可以清楚地看到这一点。
    我国涉及个人信息保护的单行法律规定
    
    

    法律
    

    条文
    

    内容
    

    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    
    网络安全法2015年制定
    

    第22条第3款
    

    网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
    

    第30条
    

    网信部门和有关部门在履行网络安全保护职责中获取的信息,只能用于维护网络安全的需要,不得用于其他用途。
    

    第40条
    

    网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
    

    第41条
    

    网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
    
    网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
    

    第42条
    

    网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
    
    网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
    

    第43条
    

    个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
    

    第44条
    

    任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
    

    第45条
    

    依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
    

    第74条
    

    违反本法规定,给他人造成损害的,依法承担民事责任。
    
    违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
    

    全国人民代表大会常务委员会关于加强网络信息保护的决定2015年7月
    

    第1条
    

    国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。
    
    任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。
    

    第2条
    

    网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。
    
    网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。
    

    第3条
    

    网络服务提供者和其他企业事业单位及其工作人员对在业务活动中收集的公民个人电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。
    

    第4条
    

    网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施,确保信息安全,防止在业务活动中收集的公民个人电子信息泄露、毁损、丢失。在发生或者可能发生信息泄露、毁损、丢失的情况时,应当立即采取补救措施。
    

    第8条
    

    公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息,或者受到商业性电子信息侵扰的,有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。
    

    第11条
    

    对有违反本决定行为的,依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚,记入社会信用档案并予以公布;构成违反治安管理行为的,依法给予治安管理处罚。构成犯罪的,依法追究刑事责任。侵害他人民事权益的,依法承担民事责任。
    

    
    
    
    
    
    消费者权益保法2014年制定
    

    第14条
    

    消费者在购买、使用商品和接受服务时,享有人格尊严、民族风俗习惯得到尊重的权利,享有个人信息依法得到保护的权利。
    

    第29条
    

    经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。
    
    经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时,应当立即采取补救措施。
    
    经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。
    

    第50条
    

    经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的,应当停止侵害、恢复名誉、消除影响、赔礼道歉,并赔偿损失。
    

    旅游法2013年制定
    

    第52条
    

    旅游经营者对其在经营活动中知悉的旅游者个人信息,应当予以保密。
    

    第86条第2款
    

    监督检查人员对在监督检查中知悉的被检查单位的商业秘密和个人信息应当依法保密。
    

    
    
    
    
    
    
    
    居民身份证法2011年制定
    

    第6条 第3款
    

    公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。
    

    第13条 第2款
    

    有关单位及其工作人员对履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,应当予以保密。
    

    第19条
    

    国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关处 十日以上十五日以下拘留,并处五千元罚款,有违法所得的,没收违法所得。
    
    单位有前款行为,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关对其直接负责的主管人员和其他直接责任人员,处十日以上十五日以下拘留,并处十万元以上五十万元以下罚款,有违法所得的,没收违法所得。
    
    有前两款行为,对他人造成损害的,依法承担民事责任。
    

    护照法2006年制定
    

    第12条第3款
    

    护照签发机关及其工作人员对因制作、签发护照而知悉的公民个人信息,应当予以保密。
    

    社会保险法2015年制定
    

    第92条
    

    社会保险行政部门和其他有关行政部门、社会保险经办机构、社会保险费征收机构及其工作人员泄露用人单位和个人信息的,对直接负责的主管人员和其他直接责任人员依法给予处分;给用人单位或者个人造成损失的,应当承担赔偿责任。
    

    统计法2009年制定
    

    第9条
    

    统计机构和统计人员对在统计工作中知悉的国家秘密、商业秘密和个人信息,应当予以保密。
    

    
    除此之外,还有一些政府部门的规章也对此做出了规定。比如信息产业部于2000年11月7日发布的《互联网电子公告服务管理规定》中提及“电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意,不得向他人泄露”,违反此规定者,由电信管理机构责令改正,给上网用户造成损害或者损失的,依法承担法律责任。这个部门规章,只是规定了互联网领域的信息泄露处理方法,在《民法总则》没有制定之前也发挥了一定的作用,但是其作用的范围是有限的。此外还有一些管理部门,从不同的角度建立了一些个人信息保护的规则。
    应该看到这些规定在保护个人信息方面已经发挥了很大的作用。但是,我们还要看到,这些规定的特点基本上都是制裁性规范,也就是末端行为规范,而没有引导性的行为规范,即源头治理的规范,也就是我们在上文讨论中提到的,从信息的收集、保管、利用各个环节提出的一般要求性的规范。这些法律中,对个人信息保护规定比较多的2015年的“网络安全法”,它对于网络上信息的收集和保管制定了比较多的管理性内容。但是从个人信息保护的角度看,该法的缺陷还是明显的:(1)它的适用的范围是有限的,它的立法目的是网络安全,而不全是个人信息保护,它不能解决我们在上文提到的全部问题。(2)该法的内容无法包括全部收集个人信息的政府部门,电信部门、IT产业、互联网产业、铁路、民航、银行、学校、商场、医院和个人等等。(3)该法一些制度显得简单,不够细致。
    基于以上分析,我国现在真正需要建立的信息保护法律制度,是能够满足从信息采集、保管、利用的源头来保护的制度。对个人信息保护的现状进行治理,必须首先是源头治理,当然,对信息侵权、犯罪的法律措施也应该紧密跟上。所以我们在这里郑重提出制定个人信息保护法、以行政法规则、民法规则和刑法规则相结合的综合治理的方式来建立信息保护制度的建议。
    目前,世界上已经有九十多个国家和地区制定了独立的个人信息保护法,其中的典型是欧盟的《通用数据保护条例》、日本的《个人信息保护法》,和台湾地区的《个人资料保护法》,新加坡的《个人资料保护法令》等等。如此多的国家和地区都认识到,依靠单一的法律来建立信息保护制度是不可取的。
    三、立法的应对措施
    建立个人信息保护法的基本出发点,一是从源头保护做起,二是采取综合手段保护。当然,在立法中,我们应该准确地定义什么是个人信息,不要把个人隐私纳入进来,以避免立法走入歧途。我们认为,综合保护个人信息,首先要从信息获得的源头建立制度,然后才是法律制裁。从这些思路入手,我们认为,我国的个人信息保护法确立的法律制度,应该包括如下方面:
    (一)关于信息的采集
    首先,我们建议建立个人敏感信息采集的许可原则,法律禁止任何机构、单位或者个人,在没有获得法律许可的情况下采集个人敏感信息。采集敏感信息者,事先应该就其采集的方式、内容、对象等报请有关部门审批。[3]其次,应该采纳同意原则,不论是信息的采集、使用或者披露,都应该获得信息主的同意。采集者必须事先向信息主做出充分的说明,使得信息主知悉采集信息的必要性与可靠性。在使用信息的环节,应该在尽可能的情况下让信息主知悉信息利用的目的、方式和范围等。如果因为客观的原因不能让信息主知悉,那么就应该获得政府主管机构的审批。也就是说,以个人同意作为信息处理的一般原则,在处理敏感信息等存在特别规定时,按照特别规定由信息处理者获得行政许可作为处理信息的必要条件。[4]再次,信息的采集,采取秘密原则,采集信息的过程,应该有足够的隐蔽,防止其他人趁机窃取。最后,信息的采集,应该范围限制原则,即,法律只能许可采集有范围限制的信息,不许可任何单位和个人漫无边际地采集他人信息。
    (二)对信息的权利和义务
    个人信息保护立法的核心环节,是法律许可机构或者个人获得他人信息之后,涉及信息占有者和信息主之间的权利和义务问题。这个问题是立法的核心环节,涉及的法律问题需要借助于各个法律学科共同的力量来攻关解决。无论如何我们认为,信息获得者对这些信息仅仅只有占有的权利,并没有所有权。我们不同意信息占有者将这些信息当作自己的财产的观点。同时,我们必须强调,按照《民法总则》第111条,信息获得者对他们获得的信息负有严格保护的义务,以及依法使用的义务等。就信息涉及的权利和义务问题,应该作为立法认真讨论解决。
    (三)行政监管,以及信息保密普遍义务和法律责任
    从行政管理的角度,在国家层面设立专门机构,对个人信息安全承担全面的责任。在立法之内,设立专门条文,对各种机构、产业和行业逐一提出普遍的保密义务和法律责任。这一次立法建立的规范,不能仅仅限制于某些机构或者部门,而应该针对全部政府部门、电信部门、IT产业、互联网产业、铁路、民航、银行、学校、医院或者个体医生等占有他人信息者。这个法律应该是一个社会群体性行为的系统规范,而不是一个行业的规范。所以在法律上提出的义务和责任应该具有普遍性。
    另外,我们现在必须通过提出在信息上加密的普遍义务和责任。从目前情况看,这种义务必须作为强制性规则来推行。信息安全保护机关有权利,按照这一普遍责任和义务,督促占有个人信息的机构或者产业行业单位、个人履行相关责任和义务,并对其违法行为予以惩戒。比如,可以依据个人信息保护法,要求电信产业设立防止利用信息诈骗的保护网,也可以要求互联网产业设立诈骗信息屏障等。现在,几乎每一个有手机的人,都收到过诈骗信息;家庭电话,也不断收到诈骗电话。这些从技术上来看似乎并不难解决的问题,长期没有得以解决。行政机关可以设立时限,要求这些产业完成这些保护措施。
    (四)严格责任
    在个人信息保护方面涉及民事责任时,我们认为应该建立普遍的严格责任制度,把侵权人的抗辩理由压缩到极小范围。另外,在信息泄露者和利用信息侵害者之间,应该首先建立由信息泄露者对受害人赔偿的法律规则。如果能够建立这样的规则,那么信息泄露的问题大多数就可以解决。
    (五)刑事责任
    在追究信息保护涉及的刑事责任方面,我们认为目前的立法还有两个显著缺陷:(1)目前我国在打击信息泄露而造成大量的恶性社会案件时,司法机构主要是把那些利用被泄露的信息来造成犯罪恶果的罪犯当做打击的目标,司法机构为此付出了极大的辛苦,社会都能看得见。但是,我们的司法机构从来没有对那些因为自己收集信息、保管信息而泄露信息的政府部门,电信部门、IT产业、互联网产业、铁路、民航、银行、学校、商场、医院信息来追究责任。从目前的科学技术发展水平看,确定信息泄露源头应该不是一个难事。如果不对这些泄露信息者追究责任,那么问题还是不能从本质上加以解决。(2)对那些利用被泄露的信息来故意犯罪者应该加大制裁。古人言,治乱世须用重典,目前个人信息保护的问题如此严重,司法机关的打击跟不上,明显是受到了现行法律的束缚。现在我们必须立即解开这些束缚,尽快解决这一问题。
    显然,如上综合治理措施,应该统一纳入到个人信息保护法中为宜。
    注释:
    [1]《个人信息保护法》第32条规定:“法律、行政法规对处理敏感个人信息规定应当取得相关行政许可或者作出其他限制的,从其规定。”
    [2]1995年的欧盟《个人数据保护指令》规定监管部门应当建立登记系统,对通知的数据处理进行登记,信息控制者在信息处理之前应当向数据保护机构备案,数据保护机构有权进行事前审查。但是2016年欧盟《数据保护条例》取消了事前审批的监管要求,而是假定信息控制者足够成熟,通过信息侵权后的罚款等手段促使信息处理者的自律。欧盟在《数据保护条例》中虽然取消了备案审查制度后,却通过加重数据控制者与处理者的义务和责任,来代替备案审查所能发挥的预防作用。例如,增加保存数据处理活动记录的义务,安全保障义务等,同时还要求在进行特殊的数据处理操作前,应当向数据监管机构咨询并获得其特别授权。
    [3]在本文完成后,虽然《个人信息保护法》第2章第3节对国家机关处理个人信息作出了特别规定,但是如何根据该法第33条的规定,对国家机关的信息处理行为适用处理个人信息的一般规则,仍存有不小的疑问。
    [4]当然,《个人信息保护法》第2章第2节规定了敏感个人信息的处理规则,可提示注意敏感个人信息与隐私在处理规则上的异同。
    
    作者按:本文初稿写于2016年,于2022年12月9日修订发表,此次修改得到了北京大学法学院常鹏翱教授、上海财经大学的李宇副教授的帮助,在此表示感谢。
    
    作者:孙宪忠,全国人大宪法和法律委员会委员,中国社会科学院学部委员、法学研究所研究员,中国社会科学院大学法学院特聘教授。
    来源:本文首发于中国法学网2022年12月9日。欢迎转载,敬请注明中国法学网首发。
相关文章!