齐爱民:个人信息的法律保护

齐爱民

    内容提要: 齐爱民教授是重庆市法学学科带头人,作为我国网络与电子商务法学、信息法学的开创者之一,对个人信息的法律保护有着较为深刻而全面的研究。在此次论坛中,齐教授主要就个人信息的性质、内容、法律保护、立法模式等内容进行了详细的阐述,带来了自己独到的见解和最新研究成果。 齐教授首先从QQ继承案入手,介绍了什么是个人信息、个人信息为什么可怕等基础问题,指出在现代网络生活中人们所有的生活信息几乎都被暗中收集,在商业机构面前个人沦为“透明人”。在此社会背景下,齐教授从历史、伦理等角度,阐释了保护个人信息的原因。个人信息保护发源于德国,最初主要是为了应对政治迫害和军事屠杀,发展至今,其更是直接关系个人生活中的就业、社会保险等重要信息的安全。进而,齐教授从比较法的角度对个人信息的性质进行了介绍和分析,并结合OECD指针所确立的8项基本原则,针对我国未来的信息保护立法提出了7项立法原则建议:直接收集原则、目的明确原则、政策公开原则、信息品质原则、限制利用原则、安全保护原则和保存时限原则。此外,齐教授还针对现实生活中的热点问题提出了自己的独到见解。例如,信息主体是否包括法人和家庭、死者和胎儿的个人信息保护等。最后,齐教授就开放平台用户信息共享与利用的法律规则问题,从互联网的发展阶段、开放平台的类型、用户信息的分类、信息风险规避、接入服务商对用户信息的必然要求、开放平台提供商与接入商之间的信息规则、个人权利机制以及跨国信息流动的法律规制等八方面讲授了自己的最新研究成果。 在齐爱民教授精彩的演讲结束后,石佳友副教授、涂永前研究员、孟强老师分别从不同侧面对演讲进行了各具特色的精彩评议。石佳友老师主要从个人信息权的权利性质、个人信息的界定以及个人信息法律保护的立法模式三方面,对开放平台模式下的个人信息保护问题提出了自己的意见。涂永前研究员从公务部门作为个人信息控制者的角度入手,就强化行政执法者法律意识、个人信息披露的民事救济以及行政执法机构的法律责任等问题阐述了自己的独特看法。孟强老师就个人信息权的性质、保护以及网络财产的定性问题等阐述了自己的独特见解,认为个人信息保护法不是纯正的民法,而是隐私权的行政法保护,并就网络实名制等问题与与会老师进行了广泛地讨论。最后,齐教授分别对三位老师的评议进行了回应,并回答了学生们较为感兴趣的问题。 本次由齐爱民教授带来的以“个人信息的法律保护”为主题的讲座,经过主体演讲、嘉宾评议、现场讨论、学生提问等环节,在热烈的掌声中圆满结束。 (编辑 柏林 刘韡)
    主讲人: 齐爱民 重庆大学法学院教授
    评议人: 石佳友 中国人民大学法学院副教授
    涂永前 中国人民大学法学院博士后,研究员
    孟 强 北京理工大学法学院讲师,法学博士
    主持人: 张 尧 中国人民大学法学院 民商法专业博士研究生
    时 间:2012年2月28日18:30
    地 点:中国人民大学明德法学楼725会议室
    齐爱民教授:首先我给大家介绍一下什么是个人信息,很简单,关于姓名、性别、生日、身高、体重、民族、党派等等与个人相关的信息,叫做个人信息。这么多的内容在法学上以识别分类,姓名是直接识别的。如果在这个房间里都叫张尧,那么还要配合身份证号、性别等加以识别。所以,个人信息的直接识别、间接识别也是可以转换的。一般而言,姓名尤其是身份证号是直接识别信息。
    第二个问题,现在个人信息为什么在中国这么热?为什么一定要立法?这与互联网密切相关,比如聊天网站服务器可以保有所有的聊天记录。在我国最近发生了一起案例,吸引了很多人的关注。当丈夫过世后,妻子找到“腾讯”想继承丈夫的QQ号。“腾讯”认为,QQ号是属于丈夫的隐私,妻子不能继承。妻子因此怒而起诉,现在此案还没有结果。那么,到底QQ能否继承?至少有一点,QQ聊天记录是不能继承的,是属于丈夫的人格利益客体,不是财产,因而不能纳入继承的范畴。还有一个原因,当时“腾讯”征询我的意见时说,实在不愿意因为妻子对QQ号的继承而使得妻子与死去的丈夫之间,产生一场死后的家庭矛盾。因此,“腾讯”坚持QQ不能继承,我个人认为至少QQ聊天记录不能继承。
    电子商务网站记录了所有的购物习惯,除了日常商品的购买之外,较为特殊的是很多人购买特殊商品,这些就会对某人的某方面特征进行判断。
    在Cookie问题上,一开始Cookie是一个技术手段用来提高网速,但是网民浏览、停留、下载、上传等信息都会被收集到。通过浏览网页Cookie的记录,大家就会识别出某人是有何种浏览隐私倾向的人。
    现在非常热的FaceBook记录了所有的好友关系,如果好友里面大部分都有一个共同点,比如六个好友中有五个虐猫。那么,这就会从好友关系中判断、暴露出个人隐私。
    还有一个让我们又爱又恨的,就是杀毒软件,只要我们上网就必须用到。但是,每一个杀毒软件都是扫描硬盘的。所以,不要听“360”的。在“3Q大战”中,我说了几点意见客观上对“腾讯”是有利的。“360”认为“腾讯”扫描硬盘,但是“360”不扫描吗?其实“360”中一个管理桌面的程序,只要安装上就会对电脑的硬盘进行扫描,因为不扫描怎么进行分类呢?
    所以,总的来说网络生活让我们的行为、思想、活动等,只要留下记录就会被商业机构收集记录下来,哪怕是错误的浏览都会被记录下来。商业机构会通过信息挖掘,向你发送定向的广告,决定他们的生产定位和方向。但是,对于药物而言会给我们贴上标签,即个人透明化。这也是我国台湾学界经常提到的“透明人”概念。
    为什么保护个人信息?第一台电脑有几种说法,最早的说法是电脑在1931年到1947年产生。第一次大规模运用,是希特勒用IBM的电脑分析犹太人的户籍信息,对犹太人进行屠杀。日本侵略中国时,他们没有中国人的信息,不知道谁是良民谁是非良民。但是,德国电影中屠杀犹太人的片段,所有的都是声音全无,静悄悄的德国宪兵进去直接抓犹太人。因为希特勒将电脑技术用来分析犹太人户籍,所以他知道哪一家、哪一户、哪一个门里住的是犹太人,是哪几个人。所以这也是为什么《个人信息保护法》起源于欧洲、起源于德国的直接原因。在讲远一点,这也是为什么在保护个人信息上欧洲与美国最大的差别。欧洲以人权的高度看待个人信息,美国则认为我不滥用就OK,只要不滥用就是合法的。
    第二个方面是个人信息不仅涉及到人格安宁、隐私是否泄露,还涉及到就业、提职、接受救济等。这个案例是乙肝歧视第一案,图中的小伙子获得了胜诉。实际上就业不应该检测乙肝,这属于个人健康信息。虽然这个案子获胜了,但是他的路仍很艰难。所以,我们研究《个人信息保护法》也会对于何种信息可以采集、何种信息禁止采集给出答案。
    第三个小问题给大家汇报一下个人信息是什么?第一种学说认为个人信息就是隐私,这是美国的主张;第二种是德国大陆法系主张是人格;第三种主张是财产,这是我国的刘德良教授特别主张。开会时,刘教授常说:我和爱民是好朋友,但我坚决不同意他的观点。到底个人信息是什么?尤其是人格权法在热议,包括王利明老师等都投入了巨大的关注。我这说个小段子,当我在研究《个人信息保护法》时,找到德国的立法例。但是,我只懂英文就找到了英文范本。我让我的研究生翻译完后,我再来校对。学生拿到范本后第二天就跟我说德国不以人格权而是以隐私权来保护个人隐私。我一看确实是privacy,后来一想这是英文版,英国人翻译过了的。我在网站上找到的还有一个问题,就是在英国或者美国人看来,隐私就是大陆法系的人格,所以他们会把德国的人格看作美国的隐私。后来,我又进行了一些调查,包括请教了特利尔大学毕业的张立安教授,他认为这种词语的理解是对的,德国没有隐私权,是把个人信息作为一个领域保护的。人格,这个概念又是美国法所没有的。美国法中隐私包含了人格,对于人的保护是以人格进行保护的。所以,争论或者混淆的发生,我国很多学者只懂得英文,所以发生了词语的混淆。
    我认为,隐私适用于美国,但是不适用于德国,更不适合于中国。人格,适合于德国和中国。我举个最简单的例子证明我的观点,比如在我们的观念中公开的东西都不是隐私,那么在网上登录的征婚资料都是隐私。如果一位男士写身高1米83,但有人恶搞写了1米38。那么,不但你没有找到老婆还想告他。而你诉他什么呢?难道1米83和1米38之间就有人格的贬损吗?可能还不存在,如果改成1米68就更不存在。所以,这说明个人信息不仅仅是隐私,而且还包括公开的那部分信息。有关财产权的说法是我坚决不同意的,我后面还要具体说。
    目前,国际社会对个人社会的保护,首先是从原则切入的。我们回顾一下1980年OECD确定的基本保护原则。
    第一,限制收集原则。限制一定是必要的,不能超过这个范围随意收集。
    第二,信息内容完整、正确、时新原则。时新是说要及时,up to date,不能让它out了。
    第三,信息利用目的明确化原则。
    第四,限制利用原则。限制收集是限制目的,而目的也是利用的目的和范围。
    第五,安全保护原则。要求对个人信息(进行)物理、技术、制度上的安全保护,防止它被泄露、篡改、灭失等。比如,机房不能被火烧,要防火等等。
    第六,公开原则。有争议的,即open,它是政策公开原则。是说如何收集利用个人信息,目的、方式、会不会二次利用、二次利用又传输给谁、会不会跨国,这些配套措施要求公开。
    第七,个人权利原则。个人对个人信息是享有权利的,什么权利没有明确列举。
    第八,责任原则。错误地利用、收集、处理了信息,需要承担责任,要赔偿。
    显然从大陆法系的立法传统来看,个人权利和责任制度显然不是基本原则,只是两个基本制度。
    这里我也尝试对我国未来《个人信息保护法》基本原则做出了一些分类。我认为我国《个人信息保护法》应该采取以下七个基本原则:
    第一,直接收集原则。直接收集原则是指个人信息原则上应该直接向本人收集。只有本人才有权决定是否提供其个人信息。这里也至少有三个例外: 1、不可能(找不着了);2、不成比例昂贵费用;3、可能危及公务机关履行其任务或使其任务困难履行时,比如侦查机关抓犯罪嫌疑人时,如果提前问了被收集人就会打草惊蛇。
    第二,目的明确原则。目的明确原则是指个人信息在收集时必须有明确的特定目的,并应将此目的进行公开。禁止超出目的范围收集、处理和利用个人信息。
    “特定目的”对国家机关来说就是根据行使职权、履行职责的需要处理和利用个人信息所具有的目的。商业机构而言就是其在收集个人信息之前确定的特定目的,需要经过有关部门同意。我国台湾地区的个人资料保护法,我记得是在1995年的电脑处理个人资料保护法的施行细则里面列举了110种特定目的,比如学校收集个人信息的特定目的就是学籍管理。特定目的确定后必须在网页上公告,比如凤凰网网站上就有个人信息收集政策,现在很多大的网站上都有列明。
    第三,政策公开原则。刚才也提到,政策公开原则是指对个人信息的收集、处理与利用的政策,应保持公开,本人有权利知悉个人信息的收集与利用情况。要强调的是,公开并非指个人信息内容之公开,而是个人信息收集、处理和利用政策的公开,信息内容是要保密的。
    第四,信息品质原则。具体指个人信息应该遵从其特定目的,在特定目的范围内必须保持完整、正确及时新。这个一定是在目的范围内收集,如果跨越了目的就是侵权,目的(范围)内完整、正确就够了。
    时新很难做到,工信部在做个人信息指南时,很多企业都反对;但时新是全球的通例,必须保证。《美国隐私法》第e条第五项规定:“行政机关在对任何人做决定时,其所运用的档案记录,均应保持正确、最新及完整,以使其在做成决定之时,能合理保证对该个人具有相当的公正性。”
    第五,限制利用原则。这也与目的相关,是指个人信息在利用时应该严格限定在收集的目的范围内,不应作收集目的之外使用。但有原则就有例外,很多情况下的例外情形都有法律确认并列举,不是由企业自行操作,比如为了个人的重大权益等。我国台湾“个人资料保护法”第5条规定:“个人资料的收集或利用,应尊重当事人之权益,依诚实及信用方法为之,不得逾越特定目的之必要范围。”
    第六,
    安全保护原则,是指个人信息应该处于安全的保护中,避免可能发生的个人信息的泄漏、意外灭失和不当使用。这一点《德国联邦个人数据保护法》规定的很详细:A、入口管制,B、出口管制,C、输入管制,D、使用者管制,E、取用管制,F、传递管制,G、投入管制,H、委托管制,I、运送管制,J、组织管制。防止个人资料被窃取、篡改、毁损、灭失、贩卖或泄漏。这一整套的东西有的是制度、有的是技术、有的是信息伦理。
    接下来给大家说一说信息主体的范围,这一点是有争议的。基本上我认为信息主体是产生个人信息的自然人,换言之是这些信息指向的那个人。为什么界定个人信息主体呢?因为在个人信息法律关系中,有信息主体还有信息控制者(是谁控制了我们的个人信息),我们是与信息控制者发生对抗。现实中可能更为复杂,因为信息控制者往往把信息分包给信息处理者。
    第一个争论是法人主体是否是个人信息主体?奥地利、挪威、卢森堡等国家的立法例都将法人纳入个人信息主体加以规定。他们的《个人信息保护法》就叫做资料保护法,既保护个人资料,也包括法人资料,这就是它们同质化。
    而我还是主张个人信息保护主体之限于自然人。理由是,首先自然人信息保护渊源于自然人人格保护理论,而法人尚存一些争议。我本人并不认为法人存在与自然人同样的人格权;其次,法人资料的价值和功用和自然人不同,一定的法人资料应该由民法(关于商业秘密、技术诀窍等的规定)和反不正当竞争法进行保护,也就是说法人秘密资料都归入知识产权保护法,公开的那些(比如桂林的案例,有一家超市专门雇人去另一家超市抄价格)这样就需要动用公法来保护;最后,法人欲使其资料获得资料保护法的保护,其必须同意将法人资料(包括商业秘密)向主管机关申报。这样做不但不能保护法人的资料,反而容易导致法人商业秘密的泄露。
    第二个争论是有关死者个人信息问题。比较法上有排除死者的立法例,英国1984年《资料保护法》规定:“个人资料是由有关一个活着的人的信息组成的资料”;我国台湾1995年《电脑处理个人资料保护法》的施行细则也明确规定,个人资料是指有生命的自然人的资料,不包括已死亡之人。当然也有相反的立法例,比如欧洲理事会对1992年《理事会资料保护条例》的修改建议稿规定:“个人资料是指有关一个可识别的自然人的任何信息,不局限于以可处理形式存在的信息,它包括任何种类和任何形式的信息,只要这种信息是有关个人的,不论是活着的人还是死去的人;并且只要这个人或这些人可以识别。”
    在这方面我认为虽然死者已没有主体资格,但是死者遗留的大量个人信息客观存在。这些个人信息不仅涉及到死者,以及与死者有关的人,同时也涉及到正常的社会秩序和善良风俗,这些基本利益不容立法忽视。所以,立法不必过分拘泥于某种理论学说的周延而放弃现实需要保护的利益,应将死者遗留的个人信息纳入保护范围。
    第三点是关于胎儿的个人信息。胎儿是不是人这一点也有争议,有的认为怀孕第七周有痛感就是人,有的认为要更久,我国与计划生育政策有关,不会选择是第七周。我个人认为,自然人始于出生,胎儿分娩前的诊断信息等个人信息,应该视为母亲的个人信息加以保护。而如果一个母亲是明星写回忆录,写儿子在娘胎里是怎样怎样,造成孩子很郁闷,孩子能否起诉呢?在这里我补充一点:家庭的个人信息是可以交叉的,胎儿的信息既是他脱离母体成人后的个人信息,也是母亲的个人信息,是交叉的。包括夫妻之间有些信息也肯定是交叉的。这里有个争论,家庭应作为主体存在纳入《个人信息保护法》,这一点我们是不赞同的。美国隐私法对个人信息主体也做了明确规定,“‘个人’是指美国公民或者在美国的永久居住权得到合法承认的外国人。”。
    第四点是外国人是否作为《个人信息保护法》的主体?我认为问题一跨国就会很复杂。比如,有形财产是不分国家的,事实上不是这样:赶一头猪去阿拉伯肯定会成为噩梦,猪在那里也不是财产。所以,对外国人个人信息的保护我认为主要是基于同等保护,保护法对外国人的个人资料实施同等保护并不能认为外国人是内国法主体。《个人信息保护法》是通过涉外条款对外国人的个人信息实行平等保护。
    下面第五个大问题,为大家介绍一种新类型的民事权利——个人信息权。
    对应的有三种学说:“所有权说”、“隐私权说”、“人格权说”,当然我们赞同“人格权说”。首先看一下“所有权说”,印象中上海有学者主张这一观点,最强力主张的是刘德良教授。我不赞同这个说法,下面我举个简单的例子:1000个人的个人信息,卖了1000元。请问,如果是财产权,你主张获得多少赔偿呢?如果主张财产权,只会让你获得一块钱的赔偿。那这里到底出现了什么问题呢?个人信息是不是财产呢?到现在一直有很大争议,我给大家提供了两条线索,供大家批评指正。第一条:个人信息是人格权的客体,权利名称叫个人信息权,归属于人格权;第二条,对个人信息控制者而言,他们收集了信息以后制成了个人信息数据库,数据库上的权利是财产权知识产权,这项权利是由信息控制者掌握的。所以,很多将个人信息权看作财产权的学者,是将个人信息权与对立的信息控制者的权利混淆了。
    第二种“隐私权说”,我们前面已经说了“隐私权说”适合于美国文化和美国法律制度,但不适合中国。这里给大家举个例子:在中国堕胎的过程是隐私,但决定是否堕胎不是隐私。而在美国无论是过程还是决定是否堕胎,都是隐私。所以,这就是大陆法系和美国的隐私观念的很大不同。
    第三种“人格权说”,我们认为个人信息体现的是一般人格利益,个人信息的保护应该采取人格权的保护模式。这种观点主要是吸收了德国的主张,但德国主张的是一般人格权,在此基础上发展了一个宪法判例形成了“信息自决权”,所以在德国是有着宪法和民法共同的权利基础的。
    个人信息权作为一项新的人格权,包括以下内容:
    第一,信息决定权——本人得以直接控制与支配其个人信息,并决定其个人信息是否被收集、处理与利用以及以何种方式、目的、范围收集、处理与利用的权利。这个权利,也就是德国宪法法院通过判例确立的“信息自决权”。
    第二,信息保密权——本人得以请求信息控制者保持个人信息隐秘性的权利。在这方面大家可能会有个问题:侵犯保密权是将信息传递出去呢还是让他人了解信息的内容?这里美国有个案例,美国一个丈母娘想了解未来的女婿,她就去社区调查,丈母娘对女婿查社区信息,发现女婿有前科。她是怎么看到的呢?开始工作人员也是拒绝将记录拿个她看的,说我不会给你看个人信息,否则违反了《隐私法》我就下岗了。老太太很执着,说如果他有前科你就眨下眼,我就走了。工作人员就眨了下眼。就是因为眨了一下眼,后来一起诉,他的工作丢了。因为,泄露了个人信息的内容就构成对个人信息的泄露,要求是比较严格的。
    第三,信息查询权——本人得以查询其个人信息及其有关的处理的情况,并要求答复的权利。这是个人信息权的基础,如果连个人享有哪些信息都不知道,个人信息权无法行使。一旦查询享有了哪些个人信息,如果发现有错误就会有下面的信息更正权。
    第四,信息更正权——本人得以请求信息控制者主体对不正确、不全面、不时新的个人信息进行更正与补充的权利。更正与补充是两方面针对错的和遗漏的,所以有的国家又把个人信息更正权分为两个。我们才能合一说。
    第五,信息封锁权。当我们认为个人信息错了而信息控制者认为没有错时,就有争议了,有争议时就要将个人信息封锁起来,谁都不能利用。所谓封锁就是以限制继续处理和使用个人资料为目的而对个人资料加注特定“符号”,加了符号以后不再使用。
    第六,信息删除权——是指在法定或约定的事由出现时,本人得以请求信息控制者删除其个人信息的权利。比如,约定的合同履行是有出现时,信息得以删除。
    关于个人信息权,给出一个结论,个人信息权是人格权的一种,但它在客体、内容、行使方式等方面有别于传统的具体人格权(如隐私权、肖像权),发挥着这些权利不可替代的作用,是《个人信息保护法》应该确认的一项新生的独立权利。最大的一点区别是:传统的人格权是消极性权利,而个人信息权是积极权利,可以要求查询、更正、封锁、删除等,所以这是最大的不同。
    由于时间关系,特殊领域个人信息的法律保护我们今天就不讨论了。
    下面我想给大家就开放平台用户信息共享与利用的法律规则最新研究汇报一下,有八方面内容:从互联网发展阶段开始,到跨国信息流动的法律规制。
    第一,互联网发展阶段。我们简单回顾一下,1995年美国互联网开始开放,由军方投入民间,这个阶段是接入为王。到后来1998年左右内容为王,“新浪”、“搜狐”产生了。2004年左右应用为王,内容逐渐多样化。2010年至今服务为王,它们都是以满足用户的需要为核心。但这两者有天壤之别:应用为王就是尽量做大做全,各种都有;服务为王是构建一个互联网平台,是开放平台,所有的商家都可以来买东西,也就是互联网从专卖店做成百货大楼,有更多的商家满足大家。比如:“腾讯”的开放平台,可以接入游戏、视频、电子商务等都可以。开放平台最前沿的问题就是Facebook开始的,不是对用户开放,而是对商家开放。“腾讯”用户量大,那么游戏就可以放到“腾讯”上,“腾讯”赚了钱以后会分成,“腾讯”是没有开发风险的。
    回到我们的主题,开放平台的分类有这三种。一是单向应用发布的开放平台,360属于这种;一是应用发布和信息交互的开放平台,“新浪微博”就属于这一种;还有一个是共享流量和用户的开放平台,“腾讯”是这一种。这些仅仅是理论模型,但实际上它们是交互在一起,就是看它以哪一个为主。
    对用户信息我们分成两大类,一类是个人信息,还有一类是信息资料,这是所有软件行业、信息产业的服务红线。至于我们电脑或者云里面的,我预计再过五年电脑内存、硬盘不需要,就需要键盘就可以了。因为所有的东西都会存在“云”,即提供商的服务器里面了。现在的云技术,很多人觉得不安全,这就类似与农民觉得把钱放在罐子里比放在银行里安全。那么交给哪个云呢?如果所有的中国人都把自己的资料交给微软,就会影响国家安全。国家为什么关注个人信息?因为这关乎国家安全。
    什么叫开放平台呢?比如是“腾讯”的账号,同时可以登人人网。这说明腾讯和人人网是开放平台,其他也还有很多。信息风险怎么规避呢?
    从企业的角度来说:第一,要有一个契约。这就贯彻了知情同意原则,图片上有三个选项(获得你的个人信息、好友关系,分享内容到你微博,获得你的评论),但网上已经打上勾了,只能点“授权”。但这样是格式合同,必须要经过法院,这是最不安全的一种。
    第二,红线规则,杜绝使用收集软件在用户不知情的情况下收集用户电脑中的信息。包括个人信息和其他信息资料,如用户电脑里的学术资料、商业资料、论文、设计图等。但现在在中国,这一点还做不到。中国现在是“信息天堂”的国家,只要在网上发生的,只要用QQ就全会被记录下来。如果你开通了异地漫游功能,这就是同意你的聊天记录储存在他的服务器里面,不然怎么会有异地漫游功能呢?如果真是储存在硬盘里面,是没有异地漫游功能的。
    还有一点对企业比较重要的就是,对个人信息匿名化处理并利用。匿名化处理,比如分析出大学一年级的男同学喜欢用海飞丝就可以直销了,这时大一的男生就会收到购买海飞丝的邮件。
    在开放平台中,重要的就是接入商的问题。哪些信息平台提供商能够或者应该给平台接入商?比如说在单向应用发布的开放平台,只需提供下载数量与排行等非个人信息:比如,“360”应用开放平台不需要个人信息的交互。“应用发布+信息交互”的开放平台,比如用QQ账号可以登“新浪微博”,这也就是说QQ已经把账号密码给了“新浪微博”。共享流量和用户的开放平台,就需要共享用户注册信息、行为信息和社会关系信息,比如说:“腾讯”,“人人网”,“百度”等。
    关于好友信息这个问题,我认为以后会出现案例。好友关系肯定是不可以显示的,否则大家的隐私不保。还有大家关注的网络实名制,这必须要推行、尽快推行。因为网络空间不是技术空间,而是社会空间、法治空间。那是不是说连我们买个菜都需要实名制呢?实名制只是对于后台便于管理,如果犯了事后公安机关可以通过实名制找到,但是至于在网上网络的交易、交流都不用实名,可以用自己的很多账号,可以变更。我国在这方面也做了很多努力。
    再一个问题,平台提供商与接入商之间的信息规则:包括目的特定规则、最小比例原则、知情同意原则、信息品质原则、安全保护原则、政策公开原则,围绕着这些形成的信息规则我们前面基本都提到了。最小比例原则是说平台提供商提供给接入商的应该是最少的、最必要的个人信息。
    个人信息权利机制如何实现呢?一个是选择退出opt-out,一个是选择进入opt-in(除非我同意才可以收集)。所以,选择退出机制对于信息产业而言是可能的,更加宽松。我们一般主张适用opt-out机制。
    最后一个问题:跨国信息流动的法律规则。我们知道在信息社会,信息自由流通不可避免,但毕竟和国家信息主权发生严重碰撞。当信息发生跨国流动时,我们认为至少有三个条件,第一,基于合同或类似合同关系的目的范围内:比如说,在合同磋商阶段、履行完毕后的服务阶段、保密阶段,是可以传递的。第二,基于传递单位的正当利益,且不足损害信息主体的重大利益。第三,基于信息主体同意,信息主体自己愿意是可以传递的。
    信息流通关系国家主权,所以在以下条件即便符合许可条件,也禁止传递。
    第一,涉及国家重大利益:比如在网上沸沸扬扬的金龙鱼油事件,金龙鱼油表明了是转基因大豆等。关于转基因产品,山西种植了大量转基因玉米,三年那里的老鼠绝迹。还有一个消息是说:美国人等白种人认为黄种人给地球带来了太大压力,所以他们就把转基因推向亚洲。为什么呢?因为转基因对白种人没有太多损害,但亚洲人的基因可能受不了的,我希望这仅仅是谣言。我们的基因信息肯定会涉及到国家的重大利益,是不能传递到国外的。很多国外医院来到我国说可以免费抽血看有没有病,其实这都是获取基因信息的,因此有很多的项目都被中国政府否了。
    第二,国际条约或协定有特别规定。
    第三,接受国对于个人信息的保护没有完善的法规,可能损害信息主体权益。比如中国,那为什么还有与中国的贸易呢?因为我们是信息输出国、信息产品的输入国,我们很少得到美国、英国、日本等国的个人信息,我们是买人家的信息产品输出自己的个人信息。
    第四,以迂回方法向第三国(地区)传输个人信息规避法律规则。比如说我们的信息不能传递给津巴布韦,就通过法国传给津巴布韦。这种法律规避也是被禁止的。
    讲到现在我想给大家总结一下:
    第一,个人信息是事关人权、基本权益(就业、医疗等个人基本利益的)。比如,可能出现的电子病历,本来是左边的肾有问题,但是黑客一黑变成了右边的肾有问题。一开刀把好肾开了。这说明牵涉到个人重大权益。
    第二,归结到立法上,不可能说设立人权法保护个人信息,那么就是民法和行政法。具体来说,民法先行确认个人信息的民事权利地位——个人信息权。
    第三,个人信息权不仅是个人的问题,还涉及国家主权;不仅仅是权益保护现象,还涉及到信息产业整个的发展。比如美国个人信息保护要宽松的多,因此征信业远远超过欧洲。我国现在才开始准备征信办法等,还没有正经的征信业。从人才需要而言,需要更多的有识之士来关注。我国的政府和企业特别需要这方面人才。
    我今天就讲这么多,讲的不对的地方请大家批评指正。
    主持人:谢谢齐老师精彩的演讲。下面,有请石佳友老师首先进行评议。
    石佳友:个人信息的法律保护是非常重要的题目。现在对于个人信息的保护确实不尽如人意,信息的滥用每天都在发生:比如买车上保险,在车险到期的前一个月,可能会接到上百的广告电话。当然很多都是同一个保险公司,这个信息肯定是从4S店泄露的。信息的非法收集和转让每天都会发生,商业机构的这种行为必须要得到规范。前面所说的目的合法、比例性原则(手段适当、有保障措施)等这些是个人信息收集的前提。在这方面我们的研究是滞后的,在制定法律的时候应首先想到这些方面。
    听了齐老师的报告我自己很受启发,尤其是开放平台模式下信息保护问题,我说三点意见:第一,如何界定权利性质。至少我不赞同财产权,人格权可能比较近,但财产权是可以排除的。从比较法,国外很多案例来看,收集个人信息都不是为了财产目的。比如说基因的信息、DNA的信息。09年欧洲人权案例:在曼彻斯特警方抓了两个嫌疑人,抽血记录DNA样本与此前的数据库比对,最后这两个人被无罪释放后要求警方销毁DNA信息,但警方拒绝说没有这样的先例,不能要求销毁信息。这两人根据人权公约第8条将英国警方告到人权法院,认为自己的私生活收到侵犯。人权法院认为英国警方保存无罪人员的DNA是违法的。另外一些信息,比如说欧洲和美国的旅客航班名字信息PNR等,更不是财产权。所以,肯定不是一种财产权。
    如果按照大陆法系两分财产和人格,可能跟人格权比较近,但是否是隐私权,我没有想好。我同意齐老师的观点,我们可能不能像美国对待隐私一样对待个人信息的概念。欧洲Private life的概念可能会涵盖大部分的个人信息的概念。所以,大部分情况下在欧洲可以援用第八条私生活保护,可能私生活的概念更符合,不是狭义上的隐私。这和狭义的隐私权的概念的差异在于,权利、利益侵害和救济方式是不同的,侵犯隐私与侵犯个人信息的保护还不一样,所以采取的保护手段还不一样。那么,我国在人格权立法、民法典制定中如何把个人信息嵌入进去是值得考虑的,用传统的隐私权保护可能是有缺陷的。
    现在还存在的一个问题在于,所有法学者都知道保护个人信息的重要性,但如何界定个人信息?标准界定上还是有争论的,这也不奇怪,在国外这也很难。在网络时代中,浏览习惯、Cookie、定位系统等是否是个人信息?在法国对于IP地址是否是个人信息也有争论:上诉法院的判决认为IP地址不是个人信息,而信息和自由委员会(负责信息保护的个人机构)认为IP地址是个人信息。所以,司法机构在一个判决中认为不是个人信息,而另一个行政机关中认为是;立法上国会有一个还没有通过的立法草案,倾向于认为IP地址是个人信息。在我国确实很难界定个人信息,比如包括刘德良老师认为IP地址就没有保护的必要,不认为是个人信息。所以,在立法时除了界定个人信息的性质,一定要考虑到实践中是否好判断。
    第三个立法模式的问题,我的个人观点是采取民法保护加行政法保护模式,在很多情况下要让侵权机构对国家承担公法上的责任,个人采取民事诉讼制止侵害行为的能力是很薄弱的。欧洲普遍采取的是行政保护模式,所以这里一定要采取民法+公法保护模式。第二,从立法体例来看,即使民法典可以做出规定,但特别法、单行法做出单独立法是必要的,应像其他国家或者我国台湾地区做出《个人信息保护法》是十分必要的,因为别人的《个人信息保护法》都七八十条上百条,不可能把这些内容全部放在民法典中。所以,必定是特殊法+基本法的模式。
    我就说这么多,谢谢!
    主持人:谢谢石佳友老师的点评!下面请涂永前研究员进行评议。
    涂永前:我一直在听,感觉很有收获。在这个领域我可能英美法的资料看的多一些,从前面齐老师、石老师的讲座、点评中,我特别注意到对于侵害个人信息的救济。去年七月份在丰台区有一个大量盗取个人信息被判刑的案例,前不久在深圳也有大量刻录个人信息光盘出售被抓获的,像这种已经普遍,因为收集个人信息很方便。单纯依靠民法只能对个人信息做出基础界定,对于如何救济是很大的问题。现在,我认为大规模侵犯个人信息的是公务部门和商业机构,就是齐老师说的信息控制者。他们没有对信息控制的很好,所以导致了信息的泄露,这是我们要加强严格管理的领域。江苏、深圳已经专门制定了相关的个人信息保护条例,在国家层面上还没有,所以我们亟需制定国家层面上的《个人信息保护法》,来约束公务机构、商业机构非法利用个人信息的行为。
    有些个人信息的保护是技术能够做到的事情,比如手机垃圾信息的屏蔽。所以如果技术能够做到的事情,为什么不去做?未来在制定《个人信息保护法》或者类似的行政法规的时候,要侧重规制公共部门、商业部门采集个人信息、利用个人信息等等这一系列程序透明化,明确法律责任,强化法律意识。
    在民事救济中,我一直在想很多人的信息披露之后如何救济?只是信息被披露而已,并没有造成实际损害的如何救济?用公益诉讼吗?所以,我一直在考虑如何保护受害者的权利,寻求法律的救济途径在哪里?我想对这些问题我还要进行进一步的思考,今天我就谈到这里,谢谢!
    主持人:谢谢涂研究员的评议,下面有请孟强老师进行评议!
    孟 强:今天听了齐老师的讲座收获很多,齐老师的讲座逻辑十分清晰、语言简短有力、PPT做得很精彩值得我们学习。我也谈几点自己的看法:首先,关于《个人信息保护法》和个人信息权。《个人信息保护法》从名字上来看,很像《未成年人保护法》和《妇女权益保护法》,就是说这绝对不是纯正的民法,而是隐私权的行政法保护,就说这些法律绝对是必要的,公权机关从管理的角度是必要的,但最终可以回归到基本的民法权利保护上。个人信息权的性质而言,肯定不是所有权,这一点需要和刘德良师兄商榷。因为大陆法系对于所有权的界定,是建立在有体物基础上,个人信息肯定不是有体物。所以,个人信息权和知识产权一样,肯定不能用财产权来理解。齐老师将个人信息权理解为一般人格利益,一般人格利益如果在人格权上对应一般人格权,是兜底性条款、一般条款,也就是具体人格权适用不了了,再用一般人格权。但我认为,个人信息权可以纳入隐私权的保护中。我国对于国外立法的继受是十分开放的态度,虽然在框架上吸收的是大陆法系的框架,但是在具体制度构建中对于英美法的制度绝对是不保守的,比如公司法中会引入英美法的独立董事等制度。隐私权也一样,在美国隐私权是最发达的,它从个人独处的权利、个人保持不受打扰的权利,到现在已经发展到个人事务的自主决定权,范围十分之广,我们的研究也是往这方面发展的。从这个角度来讲,个人信息都能够分化成隐私,当然也包括肖像等其他的。所以,个人信息权可以回归到隐私权,个人信息的保护范围回归到隐私的保护范围。
    齐老师讲的QQ继承案也非常有意思,这个案件和其他类似案件联系起来,是关于网络财产的定性问题。丈夫死了,他的QQ号能否继承?聊天记录是依附于QQ号的,如果有了QQ号就自然会查到记录。前段时间政法大学的一位老师准备请人到国外告新浪,因为他在新浪开了博客发了一些文章,后来他不再写了,新浪管理员就把前面写的一些敏感文章删除了。他认为虽然我没有写了,但是不代表我以前放上去的文章就不要了,未经我的允许把文章删除了是否侵犯了我的财产权?我认为,这个案件也一样,取决于网络财产的定性。如果认为允许用微博、QQ号,就界定了绝对的财产权,那么就会认为QQ号像财产一样可以继承;但如果认为这不是财产权,而是合同债权,允许在一定期限用我公司提供的虚拟空间,到期后或者一定条件下我收回,那这就不是财产权就不能继承。QQ聊天记录其实和人生前来往的书信一样,如果认为书信能继承,那么QQ的聊天记录也能继承。所以这不是个人信息的独特问题,而是涉及网络财产的定性问题。
    还有齐老师讲到的家庭等个人信息问题,这涉及到隐私权共有或者共同隐私的问题。还有一点齐老师赞同网络实名制,我们很关心这个问题。从理论上而言,这没有问题,网络实名制只是向有网络监督管理权的第三方提供实名,不影响在网络上匿名交往,只是出了纠纷后可以找到你。但是,我认为在中国现在的网络环境下,不适合网络实名制。因为如果我们的执法机关还未到一定的文明程度,公权力是一个双刃剑,有些时候会主动找到个人,所以由他作为运动员和裁判员的网络环境还不适宜网络实名制。
    我就谈这些还不太成熟的看法,谢谢齐老师!
    齐爱民教授:我来回应一下老师们的评议,非常感谢老师们的评议。
    首先,我先回应石老师的看法。和石老师提到的一样,我也主张《个人信息保护法》应该单独立法。但是,我国立法资源有限,比如人格权法、民法典还没有立,《个人信息保护法》牵涉到方方面面的态度,所以《个人信息保护法》任重道远。为了让个人信息的收集利用保护有法可依,我们应该走出第一步,先放入人格权法,以后制定民法典的话再放入民法典中。这起到的作用就是确权。将来条件成熟后,制定《个人信息保护法》。
    涂永前研究员提出的赔偿问题,在《个人信息保护法》上实行这样的赔偿机制:如果能够证明损害是多少,可以给予赔偿;如果不能证明或者损害微乎其微,这时采用法定赔偿额制度,
    只要胜诉了就会获得法定赔偿。我国还没有立法, 所以谈不上,但是德国、我国台湾地区都是采取这种方法,台湾好像是两万新台币。
    孟老师提到的,个人信息包含的范畴不局限于隐私,隐私太小了,美国的隐私观念已经进不来我国的民法体系。《民法通则》已经规定了隐私、最高人民法院也解释了隐私,隐私在我国只有这么大的范围,再把它扩大到美国法上的隐私,那么这两个隐私就会打架。还有一个问题就是QQ的案例,受孟老师的启发我又有了新的想法。关于QQ号可能不是财产,因为当我们说它是财产的话是很危险的,目前财产只有两类,一类是物权,一类是知识产权。世界上只有这两类财产,这些都是很绝对的权利。这里面有一种观点认为债权是财产权,但我不赞同这一观点。就这个问题,郑成思和梁慧星先生也发生过争论。QQ号作为知识产权而言,是腾讯的;而对于物权而言,它不是有体物,所以很难放入财产的范畴。书信因为是纸张,所以可以归为有体物,至少可以借助有体物的信息达到财产的继承。
    听了几位专家的评议我确实很有收获,也找到了很多需要进一步研究加强的方面,表示感谢!
    主持人:同学们有什么问题可以和齐老师进行面对面交流!
    学 生:我国目前个人信息保护起步比较晚,那么在很多个人信息已经扩散出去的情况下,个人信息保护立法后如何遏制呢?如何发现我的个人信息泄露的侵权人呢?如何进行救济和保护呢?看到欧洲有市场份额判断可能的个人信息侵权主体,这种方式在中国可行吗?还有个问题,确立权利就要有相应的救济措施,您刚才说的法定赔偿额能达到预防和遏制的效果吗?
    齐爱民教授:这是一个很好的问题。我们现在确实是处于“信息天堂”中,我们的很多信息都被别人掌握了。立法肯定不会说已经掌握的都销毁,已经掌握的我们默认是合法的,那么重点规制已经掌握的不要非法利用,只能在限定的范围内利用、传输,不能非法传输、贩卖,这样我们的个人私生活还是不会被打扰的。所以,对已经收集到的要控制在反滥用的范围下。还有一种就是我不知道个人信息是谁泄露的,我告谁?我国的法官可能要是按照欧洲市场份额判断可能的个人信息侵权主体,可能还有点难。
    对于法定赔偿额而言,其实还是有上下额度的,而且只针对单宗案件。如果出现几经倒手的现象,是可以分开起诉的。还有,如果超出了最高限怎么办?利用《个人信息保护法》就可能保护不了了,这时候用民法《人格权法》保护,民法仍然对它有补充。民法的人格权保护,是要求有精神损害,但是个人信息的保护只要求泄露的事实不要求精神损害。
    涂永前:对,而且这里面个人信息的保护里面还牵涉到举证问题,一定不能由受害人来举证。
    学 生:如果我们试图在《人格权法》中放入个人信息权的话,您刚才也提到如果个人信息权是区别于传统的具体人格权的,传统的具体人格权是消极的权利。那我能否理解为传统具体人格权主要是消极防御的功能,而个人信息权作为积极权利是积极利用的功能。如果是这样的话,个人信息权是否与正在争执的形象权(伴随着人格利益的商品化利用而出现)类似,如果将这些放入《人格权法》中,是否会造成它们的无限扩张而传统具体人格权逐渐萎缩的趋势呢?
    齐爱民教授:这个问题也非常好。在讨论个人信息权时,我们遇到的问题也是说:有人认为如果个人信息成为一种权利了,那不是会把姓名、肖像都包含了吗?其实,这是允许的。比如说名誉权、肖像权受到侵害时,都会涉及姓名的侵害。所以,本来在人格权领域,在具体人格权的划分上,我认为都是相对的。比如你的名誉权、荣誉权受到侵害时,我不相信既不侵害你的姓名权也不侵害你的肖像权,就能够让名誉权、荣誉权受到侵害,这可以存在特例,但通常情况下是同时侵害的。所以,在人格权领域这种权利的交叉本身是存在的,也是允许的。
    还有,个人信息被收集后做成数据库,就成了信息控制者的财产权了。但这和你刚才说的商品化权还不完全是一回事。公开权或者说商品化权,在美国是通过判例承认了。但这种权利的主体仅限于名人。对这个问题我曾经关注过,包括欧洲也是,欧洲很多国家拒绝这种权利,因为如果只有百分之一的人享有公开权,为什么还要接受这种权利?完全可以用合同、用姓名权名誉权界定,但是这时候又牵涉到赔偿问题。在美国认为赔的不够的时候,就提出了公开权或者商品化权。
    学 生:很多国家都将个人信息的保护排除于侦查阶段,请问对于侦查阶段的个人信息保护有哪些措施?
    齐爱民教授:谢谢你的问题!我国对于这个问题还没有进入立法阶段,但是德国修法的时候有三个机构争论特别大,包括我国台湾地区修法:将“电脑处理”去掉了;新闻机构认为自己不适用于该法,但最终还是把新闻机构纳入了《个人信息保护法》。德国国家安全部门和公安机关也提出了这个问题,但最后统统纳入《个人信息保护法》;先不说行为单就这些主体而言,都被拉入到《个人信息保护法》都概莫能外。其次,就侦查行为而言做了例外,它可以间接收集、利用侦查技术偷拍等。其实所有的证据都指向人,如果不指向人为什么要收集呢?所以这些都是个人信息,比如脚印、指纹、血迹、衣服等等。对于侦查领域个人信息的收集应该采取何种规则,那么既然是侦查我认为暗中收集肯定是允许的,只不过暗中收集需要按照特定的刑事侦查程序,获得批准手续。侦查的人的范围不能无限扩大,调查丈夫而跟踪妻子,甚至跟踪好友,但这种范围不能无限扩大。还有侦查信息中与本案无关的,不能再利用,只能够收集储存与本案有关的信息。
    石佳友:我补充一点,在欧洲很多国家个人信息保护的原则是一样的,只不过对于警察部门有些例外。但目的一定要合法,基于国家安全、侦查等等;也一定要遵循比例性原则。所以,这些基本原则是要遵循的,多了一些程序的控制原则。个人信息的保密、泄露是需要特别注意的:比如,很多地方也规定使用高清探头不能够照车头,不能照车尾的,这也是考虑保护隐私。
    还有个实名制的问题,我个人也觉得可能现阶段实行实名制还是比较让人担忧的,直接适用的后果可能会钳制舆论、言论自由的。
    学 生:GPS、智能手机等是可以追踪到个人所处位置的,像行踪信息如果纳入个人信息中,法律保护的界限就很难区分,那么这个问题如何把握呢?
    齐爱民教授:个人信息无论是国际组织还是国家立法,都是概括式的很少列举式的,最后都会落实到直接识别或间接识别。只要能识别你、我、他的,就一定是属于个人信息,这也是与统计资料的区别。
    主持人:非常感谢齐老师精彩的演讲和回答,也非常感谢在座老师和同学的积极参与!今天的讲座到此结束。
    (整理人:中国人民大学法学院2011级民商法硕士生赵格)
相关文章!