个人信息的行政法保护Word文档格式.docx
《个人信息的行政法保护Word文档格式.docx》由会员分享,可在线阅读,更多相关《个人信息的行政法保护Word文档格式.docx(23页珍藏版)》请在冰豆网上搜索。
法律仅保护涉及个人隐私的个人信息,而不保护不涉及个人隐私的个人信息。
而“个人资料”或“个人数据”侧重于客观的形式,不以资料、数据反映的内容与对人的影响为主要目的,但信息却恰恰相反。
“无数客观事物的信息,正是通过人的眼、耳、鼻、舌、身这五个功能,‘传递’给人们,经过人们的大脑进行‘去粗取精、去伪存真’的加工,人们才认识了世界,又转过来改造世界”。
④从资料,数据与信息的内在关系看,它们是信息的载体,信息是它们表现的内容。
不同的资料,数据也可以表示相同的信息;
而一条信息也可以通过多条资料或数据表达。
通过对这些概念内容及相互关系的分析,可以更加明确本文所指的“个人信息”。
最后,本文将个人信息界定为:
个人信息是指以任何形式存在的、可以直接或间接识别特定个人的信息的总和。
它既包括个人本人的信息也包括与他相关的家庭信息;
既包括个人隐私信息也包括非隐私信息。
2.特征及其分类
2.1特征
可识别性是个人信息最重要的特征。
上述“欧盟95年指令”对个人信息的立法定义在学术上被称为“识别说”。
随着“欧盟95年指令”被欧洲各国的接受和成为国内立法的准则,个人信息的“识别说”已成为立法和理论研究的主流学说。
从本文对个人信息的定义来看,也体现了这一界定标准。
但需要明确的是有些信息虽然与个人相关,但并一定就具有可识别性。
并且那些信息只有对信息主体而言,才具有法律保护价值。
它必须是具有可识别性的有关个人身份、特性或活动的信息。
可识别性是指通过资料中所反应的各种信息加上人们的判读就可以确定这些资料是有关某个人的,或者说通过资料中的信息可以确认特定个人的身份。
①它包括可直接识别和间接识别。
各国对个人信息保护无不强调个人信息的可识别性。
并且直接与间接识别相结合的识别标准已经成为立法实践和学界通说。
世界各国的立法文件,就体现了可识别性是各国立法公认的个人信息应具备的基本特征之一。
例如:
英国1984年,1998年《数据保护法》、美国1975年《隐私权法》、《德国联邦个人资料保护法》、我国台湾地区1995年《计算机处理个人数据保护法》。
广泛性也是个人信息的特征之一。
既包括内容上的广泛,也体现在个人信息存在形式上的广泛性。
它包括个人生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的灯方面。
即凡是与个人相关、能识别该个人的所有个人资料与数据都属于个人信息的范畴。
它包括所有的、以任何形式存在的与个人有关的信息:
标识个人基本情况的信息;
标识个人生活、学习与工作情况的信息;
标识个人的信用和财产状况方面的信息;
存在于网络上的各种帐号,在网上的活动踪迹,购物、消费、交易信息等等。
可公开性是个人信息的另一个特征。
在一定的时间和空间,在一定的范围与程度内,个人信息可以公开。
但有关个人隐私的便属于不能或不该公开的信息,不具有公开性。
个人信息具有公开性是指信息主体有获得个人信息的权利。
个人信息对于它所针对的自然人具有公开性。
信息主体有权要求使用者公开其掌握的关于本人的个人信息;
如果发现个人信息记录的内容有错误或不正确的,有权要求使用者予以更正或停止使用。
同时政府机关或其他个人信息处理者应及时主动的公开那些可以公开的,与个人有切身利益关系的个人信息。
需要强调的是,对于那些可以公开的个人信息,需规范对它的收集、处理,防止其被滥用;
而对于那些不可以公开的则是如何保护的问题。
2.2分类
个人信息是一切可以识别本人的信息的总和。
它在内容和存在形式上都具有广泛性。
根据不同的标准,齐爱民教授将个人信息划分为四种不同的类别。
本文在总结各专家教授观点基础之上作出以下的分类。
以能否直接识别本人为标准,个人信息可以分为直接个人信息和间接个人信息。
直接个人信息,是指可以单独识别本人的个人信息。
间接个人信息,是指不能单独识别本人,但和其他信息结合可以识别本人的个人信息。
这种分类方法的法律意义在于表明了间接个人信息属于个人信息的一种,同样应受到法律的保护。
以个人信息是否涉及个人隐私为标准,个人信息可以分为敏感个人信息和琐细个人信息。
敏感个人信息,是涉及个人隐私的信息。
根据英国1998年《资料保护条例》的规定,敏感个人信息是“由资料客体的种族或道德起源,政治观点,宗教信仰或与此类似的其他信仰,工会所属关系,生理或心理状况,性生活,代理或宣称的代理关系,或与此有关的诉讼等诸如此类的信息组成的个人资料”。
琐细个人信息是指不涉及个人隐私的信息。
根据瑞典《资料法》的规定,琐细信息是指“很明显的没有导致被记录者的隐私权受到不当侵害的资料”。
这种分类的法律意义在于体现对于琐细信息与敏感信息的保护方式与程度的不同。
以个人信息是否公开为标准,可以分为公开个人信息和隐秘个人信息。
公开个人信息,是指通过特定、合法的途径可以了解和掌握的个人信息。
隐秘个人信息和公开个人信息相对应,是指不公开的个人信息。
这种分类的法律意义在于,公开个人信息无论是否属于敏感个人信息,都已经丧失了隐私利益,因此不能取得敏感个人信息的特殊保护。
除此之外,以个人信息的内容为标准,个人信息包括反应个人情况,其家庭情况,甚至包括可以间接识别个人的观点和意图等等;
①以个人你信息的处理技术为标准,可以将个人信息划分为经过电脑处理的个人信息与非经过电脑处理的个人信息。
二.个人信息保护的基本内容
1.基本原则
为有效保护个人信息,同时,也为了便利信息的有序流动,许多国家或地区的个人信息保护法均规定了一些基本原则,用以指导个人信息处理活动。
经济合作与发展组织理事会通过了《关于隐私保护与个人数据跨国流通的指针》中明确规定了国内个人信息保护的八大原则,为各国国内立法所吸收和借鉴,其主要内容如下:
②
第一,收集限制原则。
个人数据的收集应该受到限制,收集任何个人数据都要采用合法的、公正的手段,在适当的情况下,要经过数据主体的默示或同意。
第二,数据质量原则。
个人数据的收集与利用必须符合利用该数据的必要范围。
个人数据应该精确、完整和被保持为最新状态。
第三,列明目的原则。
收集个人数据的目的应该在数据收集之前列明,并且随后的使用应限于实现这些目的,其后的使用也不得与最初收集的目的相抵触。
第四,使用限制原则。
除非经过数据主体的同意,或者经过法律的授权,不应该在列明的目的之外披露或公开使用个人数据。
第五,安全保护原则。
个人数据应该受到合理的安全保护,以免被丢失或XX而被获取、破坏、使用、修改或披露。
第六,公开原则。
成员国关于个人信息的开发、利用以及相关政策,应当有关于个人数据的一般政策,即应该制定关于个人数据的发展、实践和政策的一般的公开政策。
应该确立便利的措施,以确定个人数据的存在和性质,它们使用的主要目的,以及数据控制者的身份和通常住所。
第七,个人参与原则。
个人应当有权利从数据控制者那里获得或者确认数据控制者是否拥有有关他的数据。
并有权在合理期间内以合理的价格和方法以及可以理解的方式接触到有关自己的数据资料。
如果这些要求被拒绝,个人有权获知理由,可以挑战此拒绝;
如果这一挑战成功,他可以删除、纠正、补充完整或修改这些数据。
第八,责任原则。
数据控制者有责任遵守赋予上述原则以效力的措施。
因违反有关的规定,造成个人数据当事人损害的,个人数据管理人应当承担损害赔偿责任。
经合组织指南所确立的这八大原则,已经成为当今世界各国相关立法的重要参考。
因此大多数国家所确立的基本原则大致上都在上述这些原则的范围之内,但也有的国家在此基础上确立了一些更进一步的原则,比如德国的联邦数据保护法第3a条就确立了“信息缩减与信息节约”的规定,要求信息处理系统尽可能不采用或者采用最少量的个人信息,而且,应尽可能采用匿名的个人信息。
同样,美国专门制定了公文削减法,要求政府机关收集信息尽快可能降低社会的成本。
由于各国的国情不同,对个人信息保护的方式,程度都存在差异。
各国或地区究竟采用哪些基本原则,很大程度上取决于对个人信息保护的不同认识。
关于我国在对个人信息的行政法保护中,应遵循哪些具体的原则,在充分辨析、吸收、借鉴域外立法经验的同时,考虑到我国个人信息保护的现实状况,本文将着重在第四章中论述,以择定适合我国个人信息保护的基本原则。
2.信息主体的界定
就个人信息保护而言,所谓信息主体,是指个人信息所指向的个人,即个人信息所属
的独立人格体。
1998年英国数据发规定:
数据主体是指个人数据所指向或涉及到的个人。
①关于信息主体的范围,在立法和学理上主要存在以下几个方面的分歧:
2.1关于法人主体的争议。
大多数国家规定法律保护的对象是作为自然人的个人,而不是企业或其他组织。
但
个别国家,如阿根廷,个人信息保护法也适用于法人信息;
奥地利政府主张个人信息的主体应包括法人,并认为法人信息由自然人信息组成,保护法人就是保护自然人。
除此之外,挪威、卢森堡等少数国家的立法例也将法人作为信息主体加以规定。
然而,总体来说这种情况比较罕见,没有普遍性。
较为普遍的立法是个人信息的主体范围仅限自然人,大部分国家对法人采取否定立场,明确界定保护主体的范围。
笔者认为:
我国个人信息保护法的对象也应仅限于自然人。
有关法人或者其他组织的信息可以通过商业秘密法和反不正当竞争法予以规制。
2.2关于死者主体的争议
笔者认为我国个人信息保护法的保护对象仅限于自然人。
但自然人是否包括死者,还存在争议。
英国1984年《资料保护法》规定:
“个人资料是由有关一个活着的人的信息组成的资料,对于这个人,可以通过该信息(或该用户拥有的其它信息)识别出来,该信息包括对有关个人的评价,但不包括对个人资料用户表示的意图。
”其1998年《资料保护条例》也坚持了“活着的人”的规定。
也就是说,英国法将死者排除在个人信息的主体之外。
我国台湾《电脑处理个人资料保护法》的施行细则也明确规定,个人资料是指有生命的自然人的资料,不包括已死亡之人。
这种立法是基于,个人信息保护的是自然人的人格权,而死者的人格权随着其死亡而不存在,因此认为没有保护死者人格权的必要。
故将死者排除在信息主体之外;
而相反的观点则认为:
个人信息的主体应该包括死者。
欧洲理事会1992年《理事会资料保护条例》的修改建议稿规定:
“个人资料是指有关一个可识别的自然人的任何信息,不局限于以可处理形式存在的信息,它包括任何种类和任何形式的信息,只要这种信息是有关个人的,不论是活着的人还是死去的人;
并且只要这个人或这些人可以识别。
”可以看出,欧洲理事会主张,个人信息的主体包括一切人,无论是活着的人还是已经死亡的人。
对此,齐爱民教授认为:
虽然死者已没有主体资格,但是死者遗留的大量个人信息客观存在。
这些个人信息不仅涉及死者,以及与死者有关的人,同时也涉及正常的社会秩序和善良风俗,这些基本利益不容立法忽视。
笔者也同意齐爱民教授的这种观点,认为在对个人信息行政法保护过程中,应注重现实需要保护的利益,应该将死者遗留的个人信息一并纳入保护范围。
3.信息主体的权利
3.1信息决定权
信息决定权是指信息主体得以直接控制与支配其个人信息,并决定其个人信息是否
被收集、处理与利用以及以何种方式、目的、范围、处理与利用的权利。
它在各个人信息权利内容中处于核心地位。
但是,在许多情况下,个人信息的收集是在无法取得信息主体的统一,甚至是毫不知情的状况下进行的,比如个人信用信息、重要医疗信息等的收集。
而且,某些情况下,为了促进信息共享,只要符合最初的收集目的并采取妥善的安全保障措施,未经本人同意而转让一部分个人信息也是被允许的,例如行政机关为履行其职责而可以自其他机关处获得某些个人信息。
②但是一般而言,在收集本人的个人信息之前,有获得通知的权利,通过了解信息收集的目的和用途决定是否同意他人或组织收集本人的个人信息。
同意分为明示的同意和默示的同意。
明示是直接明确地表达自己的意志,而默示是由本人的行为直接表现或者推定的意思表示。
3.2信息查询权
信息查询权是指本人得以查询其个人信息及其有关的处理的情况,了解自己的个人信息被收集和使用的具体情形,并要求答复的权利。
对信息的控制与支配,必须首先了解哪些个人信息被收集、处理与利用的情况,特别是在此过程中信息是否被保持完整、正确。
随着社会的不断发展,越来越多的公共部门和非公共部门在收集、保存、交换着大量的个人信息,有些甚至是在信息主体不知情的情况下进行的,而往往这些信息对个人的就业、融资、享受各种公共服务、人身与财产安全等有着重要的影响。
因此,从保护个人的合法权益角度出发,信息主体必须享有查询告知的权利。
3.3信息更正权
信息更正权是指本人得以请求信息处理主体对不正确、不全面的或者过时的个人信息进行更正、补充与更新的权利。
具体包括:
个人信息错误更正全,即对于错误的个人信息本人有更正的权利。
个人信息补充权,即对于遗漏或新发生的个人信息,本人有补充的权利。
个人信息更新权势本人要求对于过时的个人信息及时更新的权利。
3.4信息赔偿请求权
信息赔偿请求权,即获得救济的权利。
上述各项具体权利权利受到侵害的,信息主体可以采取向个人信息处理者投诉、要求个人信息处理的主管部门予以查处的方式或者通过诉讼途径予以解决。
个人信息处理者为公共部门的,则主要是通过行政复议、行政诉讼等途径解决。
4.信息使用者的义务
信息使用者,是指为实现一定的目的而使用公民个人信息的组织或个人。
从我国《个人信息保护法(专家建议稿)》中,将信息使用者分为两大类:
“政府机关”是指行政机关与法律、法规授权行使行政管理职能或提供公共服务的其他组织;
“其他个人信息处理者”是指政府机关之外,依据本法规定进行个人信息处理的法人、组织或个人。
并分别在其第二章,第三章对于这两类使用者在进行个人信息处理过程中需遵循的程序,履行的义务作出了一些规定。
笔者在此基础上,对政府机关,其他个人信息处理者在处理个人信息过程中需履行的义务总结如下:
(1)收集或使用个人信息之前,向主管机关登记以获得相应的使用资格。
①个人信息被收集或使用之前通知信息主体并取得同意(法律另有规定除外)。
儿童的心智尚不健全,他们的自我保护能力较弱,收集或使用儿童的个人信息之前,应征得儿童的父母或其他合法监护人的同意。
数据库经营者在用户填写表格提供个人信息之前,需提醒他们这种行为可能带来的危害,明确用户的个人权利保护措施,告知信息采集、处理存储的内容、目的、方式及使用期限等。
②
(2)政府机关或其他个人信息处理者的工作人员有义务采取合理的保密措施,对其任职期间因处理个人信息所获知的内容,负有保守秘密的职业义务,不得擅自告知他人或者以其他方式加以披露或使用,确保所持有的个人信息的安全。
(3)允许信息主体查阅、使用自己的个人信息。
申请人提出公开请求的,政府机关有义务向申请人公开其个人信息。
(除法定的例外情况)
(4)政府机关和其它个人信息处理者有义务在收集个人信息时所明确的使用目的范围内处理个人信息。
但符合法定的例外情况可以在使用目的范围之外处理个人信息。
三.个人信息保护的法理基础
在国际社会,人们谈论个人信息保护问题时往往将其同隐私权保护相等同,而对隐私权的保障确实是个人信息保护的主要目的和逻辑前提。
①基于此,这里先考察隐私权利益的理论基础,作为讨论个人信息保护法理依据的起点。
1948年联合国大会制定的《世界人权宣言》以重塑人文主义作为其历史使命,将保护“人的尊严”作为其基本价值目标。
其中第12条即明确将隐私权界定为基本人权:
“无人应遭受对其隐私、家庭、住宅或通讯的任意干预,也不应遭受对其荣誉和名声的攻击,每个人均享有受法律保护以对抗干预或攻击的权利。
”另外,关于隐私权利益的理论基础,维拉曼特在《法律导引》中这样写道:
“隐私权利益的理论基础来自于这样的事实,即每个人都需要一个围绕着自己的、保护自己身体和思想的天地,一个免遭侵犯的小块绿州。
如果没有这种保护,他的个体就会被侵犯。
”②由此可以看出,在隐私权人格尊严、自由这两种价值中,维拉曼特的理论更接近于以欧洲为代表的维护人格尊严的价值基础。
笔者认为,个人信息保护的法理基础不仅在于人格尊严,更在于自由价值。
保护个人信息是对个人自主的尊重。
我国宪法第38条规定:
“中华人民共和国公民的人格尊严不受侵犯。
”人格尊严成为宪法价值的一部分,并属于宪法秩序的基础。
具体而言,就是公民的人身、住宅、通讯秘密等这些个人信息不受侵犯;
尊重人格尊严,最终应该落实到予个人以充分自治的自由的空间和领地,划出不受干涉的、尤其是不受国家强制力干涉的私欲的范围和界限,它从对个人自主的尊重出发,给个人选择的自由空间。
即使是新兴资讯权主张积极的自我参与,其价值基础也是个人私域自我选择、自我支配这种不受干预的个人自治,自由价值的实现。
作为德国个人资料保护法发展里程碑的德国宪法法院1983年《人口普查法案》的判决,②在判决中,宪法法院适用了“信息自决权”的概念,使个人资料权利成为一项明确的宪法权利。
信息自决权的核心内容是:
法律保护建立于个人资料之上的一般人格权;
法律保留,即对个人资料权利的限制只能由法律做出;
个人资料的收集应受严格的、具体的、明确的目的限制。
自此以后,这一概念成为各国个人信息保护立法的核心精神。
因此,信息自决权作为个人的一项基本权利正是个人信息保护在法理上的依据。
第二章国外个人信息法律保护之模式及启示
一.国外个人信息法律保护之模式
1.欧盟的模式:
“一刀切”或“立法主导模式”
欧盟毫无疑问是个人信息保护立法的模范和先驱。
欧盟国家最先关注信息通信技术对社会的影响问题。
1995年,欧盟议会通过了欧盟数据保护指令,③为个人数据提供了非常全面的保护。
规定了为了保护个人资料在欧洲共同体内自由流通,成员国必须保证信息主体在个人信息处理过程中的权利和自由,特别是他们的隐私权。
欧盟1995年《个人数据保护指令》首先确立了保护自然人基本人权及自由,尤其是关于个人信息隐私权的保护的原则。
该指令中所指的“个人数据处理”(processingofpersonaldata)包括:
不论以自动或非自动的方式“处理个人资料的运作”。
可见,该指令在适应范围上十分广泛,包括所有的个人资料且不限使用对象,仅有两种情形不使用:
在共同体法律适用范围以外的活动,例如,事关国家安全和刑事法;
自然人在纯粹属于私人活动领域内的资料使用。
1995年欧盟数据保护指令是欧盟数据保护规章的核心。
下面就欧盟95指令的主要内容做一个介绍:
第一,指令的目的。
欧盟95指令的第一条开宗明义地规定了指令的目的:
根据本指令,成员国应保护自然人的基本权利和自由,特别是私人数据处理上他们的隐私权(第1条);
成员不应依与第一款规定的保护有关的理由,限制或禁止私人数据在成员国之间的自由流动。
第二,在该指令中,所指的“个人资料”为:
与特定或可待定的自然人相关的所有信息,不限种类及形式。
第三,使用范围。
该指令中所指的“个人数据处理”包括:
第四,信息主体的权利。
信息主体享有以下权利:
访问权修改删除权(第13条)、拒绝权(第14条)、自主决定权(第15条)、获得救济权(第23条)
第五,管理者和控制者的义务:
公平合法的处理资料,处于特定、明确、合法的目的进行收集,所进行的进一步处理不能违反这些目的,并确保个人资料的精确。
如果必要还必须不断的更新(第16条);
在进行全部或者部分自动化处理操作或为了单一或几个相关目的而进行操作之前,必须通知监督机关(第18条)
可以看出,欧盟95指令价值倾向明显,覆盖范围广泛。
之后为了使各国对于通信行业个人资料处理中基本权利和自由所进行的保护,并保证资料和电信设备及服务能够在欧共体内自由流通,在欧盟95指令基础上,欧洲理事会于1996年通过了《欧盟电子通讯数据保护指令》,作为1995年指令在电子通讯领域的延伸和补充。
这两个指令构成欧盟个人数据保护法律框架的基础。
1999年,欧盟委员会又先后制定了《互联网上个人隐私权保护的一般原则》、《关于互联网上软件、硬件进行的不可见的和自动化的个人数据处理的建议》、《信息公路上那个个人数据收集、处理过程中个人权利保护指南》等相关法规,在成员国内建立起有关网络隐私权保护的法律法规体系。
①在欧盟95指令的要求下,除开新近入盟的十几个国家外,其他欧盟成员国均已完成了新一轮的个人信息保护立法或者修法工作,如德国的《联邦数据保护法》。
德国1977年的数据保护法的立法目的有两个:
第一,在个人资料处理过程中对个人隐私给予统一而充分的保护。
第二,使个人资料处理行为合法化。
②之后经过1994年、1997年分别修正,2001年5月最终修正,以符合欧盟指令的要求。
通过以上的介绍,可以总结出欧盟的个人信息保护制度可以分为两个层次:
一是在欧盟体制下的统一立法,包括以系列的数据保护指令,这些指令为欧盟内部的个人信息流动提供了广泛的保护框架;
二是欧盟各国根据指令所确定的标准而制定的专门性国内法,这些个人信息保护法的使用范围很广,包括各种形式的个人信息,并使用与不同领域的信息适用者。
③这种个人信息保护策略可以成为“立法主导模式”。
按美国官方的正式评价,欧盟的这种立法模式是一种“一刀切”(one-size-fits-all)式的规制模式。
2.美国的模式:
分散立法和行业自律相结合
虽然,美国在隐私权保护方面的理论研究和立法都比较早,但相对欧盟严格的法律管制而言,美国的个人信息保护制度处于分散状态,在个人信息保护方面,还没有一部专门的系统的立法。
美国采用个人信息保护分散立法模式,散见于诸多法案中。
1966年《信息自由法》确定了政府
升级会员 