韦思琦 江 雪
南京审计大学,江苏 南京 211815
随着大数据时代的到来,个人信息的商业价值被极大地发掘,针对公民个人信息的侵害手段层出不穷,犯罪案件日益兴起。个人信息的保护也面临着更多的挑战与风险。大学生由于缺乏自我保护意识,往往成为容易受害的群体,对大学生个人信息进行有效的保护显得日益重要。
一、国内外关于个人信息保护的立法现状
(一)我国立法现状
我国关于公民个人信息的保护散见于民法总则、侵权责任法、刑法中,迄今为止没有一部统一的个人信息保护法。
到2009年,《刑法修正案(七)》中增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪两种侵犯公民个人信息的犯罪,将公民个人信息置于刑法的保护中。具体表述为第1款:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。”第2款:“窃取或者以其他方法非法获取上述信息,情节严重的依照前款的规定处罚。”第3款:“单位犯该罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”诚然,这体现了我国立法机关对公民个人信息予以保护的立法精神,叙明罪状的立法模式增强了司法实践过程中的可操作性,但是有待进一步完善。
《中华人民共和国刑法修正案(九)》针对此条的缺陷予以修订,修订的内容主要是将本罪主体由特殊主体修改为一般主体,并规定对特殊主体要从重处罚。相比《刑法修正案(七)》扩大了犯罪主体,其次对特殊主体(履行职责或者提供服务)加重处罚。但是某些司法认定问题仍然具有争议。“非法”指获取公民信息的手段或者行为非法,还是获取公民个人信息的主体没有获取资格?公民个人信息的具体内涵是什幺?情节严重是否包括给他人造成危害结果?
种种大学生因个人信息泄露被骗的案件层出不穷,造成恶劣的社会影响。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下文简称“两高司法解释”)也随之出台。在这次的司法解释中,明确了公民个人信息的概念以及情节严重和情节特别严重的情形种类,但是这只能解决司法实践中的认定方面的问题,并不能有效的对公民个人信息予以事前控制。并且侵犯公民个人信息罪的成立以违反国家规定为前提,国家规定包括全国人大及其常委会制定的法律、国务院制定的行政法规、规定的行政措施和发布的行政命令。因此侵犯公民个人信息的犯罪行为具备行政违法的法律性质,应当在受到刑事处罚的同时承担行政违法责任。但是目前我国并没有统一、完备的行政法律制裁体系与刑事制裁相衔接,公民难以提起行政诉讼获取救济。若对信息泄露的源头予以控制和规范,可以有效地规范信息传递的过程并减少不法分子使用个人信息借此牟利的情形出现。
(二)国外立法现状
随着经济全球化的发展,各国联系日益加强,纵观世界各国,个人信息泄露问题在国际社会的影响也越来越恶劣。、美国、欧盟、日本等发达国家或地区在个人信息保护在立法方面更加成熟和完善,值得为我国所借鉴。
美国形成了由宪法、制定法、普通法组成的结构清晰、层次分明的个人信息保护法体系。更为重要的是,美国已建立了完善的个人信息数据库。美国政府了解公民信息的渠道分为两类:一类是美国的各级政府从DMV(机动车辆处)那里获得公民信息;另一类是居民的社会保障记录,这是由于在美国,所有的合法居民都有社会保障卡,社会保障卡与美国人的生活息息相关,就业、领工资、交税以及领取社会保障等等都要通过社会保障卡实现。
与美国强调个人信息的事后救济不同,欧盟更注重事先控制,着力于制定统一的个人信息保护法,1995年,欧盟颁布了《关于个人信息处理保护及个人信息自由传输的指令》,其中要求欧盟各成员国均需要且至少设立一个个人信息保护的主管机构,在有效保护个人信息安全的同时也加重了各成员国的运行成本。为此2016年欧盟开始实行创新式的一站式管理,集中管理。设立领导机构(主要营业地)和相关机构(非主要营业地)共同管理的规则,大大的缩减了各国的开支,实际效果目前没有定论。
二、个人信息泄露的源头分析
“两高司法解释”明确了公民个人信息的概念,根据该司法解释,公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。现代社会,个人信息更多的体现出商业化的色彩,生活中会经常性的接到推销房地产,办理贷款等等电话,往往会令我们疑惑,我的个人信息怎幺会被他人所知?换言之,他人是否有资格获取个人信息?
(一)公民个人信息泄露源头之一:信息申请人
通常来讲,有权获取个人信息的主体是得到个人授权或经个人同意的。
参考德国《联邦个人信息保护法》第29条,符合两个条件,个人征信机构始得向申请人传递其所掌握的其他个人的信用信息。第一,申请人必须证明自己对于知晓该他人的信用信息,具有“值得保护的合法利益”。第二,在拟传递的信用信息上,当事人没有值得法律保护的利益。
显然,这两个条件之间存在利益冲突。必须证明传递信息所追求的利益大于当事人反对信息传递所追求的利益。何为值得保护的法益?何为不值得保护的法益?必须根据个案加以衡量。而这往往会导致司法实践过程中同案不同判的出现,行为人无法对自己的行为做出预期判断,增大了不确定性。因此,不妨从以下两个方面予以明确有权获取公民个人信息主体的资格。
首先,申请人只有在特定情形下才可以掌握到个人信息,这些特定情形具有共通之处:申请人承担比被申请人更大的风险。在金融领域,办理住房按揭贷款时须向银行提供一系列的材料。涉及身份证明、收入证明、征信报告是否单身等等信息,此时若信息主体拒绝提供基本信息,银行就会面临坏账的风险,长期以往,经济将陷入无序的状态。
其次,申请获得他人个人信息必须得到被申请人(个人信息主体)的同意。当事人在国家公权力以及单位、机构面前处于弱势的地位。若忽视被申请人的意思表示,其合法权益得不到有效的保障。掌握个人信息的主体必须充分尊重被申请人的意愿,不得以任何方式胁迫信息主体同意。同意必须明示作出,不得以沉默、不作为等默示方式推定为同意。
事实上,在经济活动中,消费者是不得不同意。大量格式合同存在着“授权传递个人信息”的条款,对这种条款的同意往往是合同成立的前提,若一味地拒绝也不利于参与经济活动,获取经济活动的机会将会因此大大削减。在这种情况下,当事人已经无法保证个人信息的隐秘性。为此须明确政府、行政机关及其他获取个人信息的主体对个人信息保护的职责及义务保障个人信息的安全。
(二)公民个人信息泄露源头之二:信息管理者
我国关于知情权和同意权(选择权)的概念首次出现在1993年10月31日颁布的《消费者权益保护法》中。“告知义务”是指拥有知情权的主体要求相对主体履行与之相关的告知的义务,这种告知义务可以是约定的,也可能是法定的。这里所指的履行“告知义务”的主体主要为公民个人信息管理者。
“知情同意”是指行为人在社会行为中特别是民事行为中,要求对对方信息的了解和知悉程度应与对方对自己的了解和知悉相对称,并在此基础上选择是否同意对方行为的权利。个人信息知情权,即信息主体有被告知其个人信息被收集处理及控制的权利。有权知道他人收集了哪些信息,信息的内容是什幺,以及这些信息的用途。
1.公民个人信息管理者的通知义务
经申请人请求后,掌握个人信息的机关、单位和社会团体等有义务将传递信息的种类、申请人的身份等必要的信息通知当事人,除非当事人明知上述信息。通知不限于书面形式。若违反此项义务将承担行政法意义上的不利后果。若给当事人造成损失,依据《侵权责任法》判断是否应承担侵权责任。因违反此项义务构成情节严重甚至特别严重的情形,参照刑法规定侵犯公民个人信息罪中单位犯罪的处罚,对掌握个人信息的机构、单位和社会团体等直接负责的主管人员和其他直接责任人员定罪处罚,并对未履行通知义务的机构、单位和社会团体判处罚金。贯彻公民的知情权的实际落实。
2.公民个人信息管理者的豁免权
当然,对个人信息的传递予以严格控制不利于信息的自由流动,无可置疑信息的自由流动会为社会带来巨大的利益,但在信息自由流动的同时,随着互联网技术的发展,个人信息易被收集,若是对这种行为认定犯罪行为,必然不利于信息的传播。为此需要建立针对侵犯个人信息的豁免制度,在限定情形下,对掌握个人信息的主体侵犯个人信息的行为予以免除法律责任的权利。“特定情形”的解释不宜随意扩大,应限制在为了公共利益及其他特定的事由中。有以下对公民个人信息管理者予以免责的特定情形:
(1)信息主体事先同意个人信息被传递的,事后以侵犯个人信息权为由主张获取救济的,不予支持。
(2)为了国家安全或者社会利益,需要使用或者提供个人信息的,免除掌握信息主体的责任。
为了保护国家安全或者维护社会利益,在我国的刑事诉讼领域,立案后,对于危害国家安全案件犯罪、恐怖活动犯罪、黑社会性质的组织犯罪、重大毒品犯罪或者其他严重危害社会的犯罪案件,根据侦查犯罪的需要,经过严格的批准手续,可以采取技术侦查措施(电话侦听、秘密跟踪、秘密搜查等等手段)。当然技术侦查措施要遵循严格的法定主义原则,只有在刑事案件立案之后才能适用。而且,该项措施只在确有必要的的情况下采用,为了更好的规范侦查技术措施的使用,还需要进行严格的审批手续。这一手段对迅速查清犯罪事实,发挥刑事诉讼惩罚犯罪的功能具有极为重要的意义。
(3)信息主体实施不法行为,损害了利害关系人的合法权益,此时主管机关可以根据利害关系人的申请提供适当的信息主体的相关信息借此维护利害关系人的权益。
三、完善公民个人信息源头控制的建议
(一)设置当事人自助查询的程序
我国目前的《个人信用信息基础数据库管理暂行办法》第15条规定:“征信服务中心可以根据个人申请有偿提供其本人信用报告。”“可以”一词并不足以说明个人信用中心负有提供信用信息的义务。甚至可以拒绝提供。实践中,政府部门及行政机关拒绝提供个人信息查询的现象屡见不鲜。并且我国国家机关或者电信、交通、教育、医疗等单位在设置当事人自助查询程序方面仍然有所欠缺。这种情况下,毋庸置疑信息主体的权益得不到保障。为此,针对这一情况不妨建立统一的信息查询体系供信息主体查询,加大力度建立统一个人信息数据库,以保证数据的准确性与一致性。这样不仅能提高行政效率,降低行政成本,同时也能体现在新时代下政府职能由管理职能向服务职能的转变,加快由管制型政府向服务型政府的转变进程,提升公共服务水平。保障了信息主体对其个人信息拥有全面的知情权。
(二)建立健全针对个人信息管理者的监督机制
1.内部自主监督
一般来说,行政系统内部监督对其自身的行政违法和不当行为发觉最快,具有灵活性、及时性、直接性的特征。从自身角度来说,在行政机关内设置专门监督机关实施的法律监督。对其所属各职能部门、主管机关、隶属机关的行为进行监督。与此同时,完善内部监督体系,明确监督主体与被监督主体的权利与义务。行政机关对自身的监督权力包括:对行政权力违法运用结果的撤销权或变更权、对违法违纪公务人员的行政处分以及其他人事处理权、专门的行政监察、审计权等。
2.外部独立监督
在我国,对于行政机关的外部监督主要是我国的权力机关对其予以监督。但权力机关对行政主体的监督存在滞后性,不能及时有效的对其进行监督。只有独立的监督机关才能真正做到技术同步,达到良好的监督效果。不妨建立专门针对个人信息管理者的高水平专业化的独立监督机构,并且赋予其权力,使其有权对泄露公民个人信息的相关个人信息管理者进行处罚。
3.对主要责任人或单位终生追责制度的建立
有权必有责,个人信息管理者在有权力对公民个人信息进行管理的同时,必须承担相应的责任,一旦泄露,终生追责。为了体现终生追责制度的强制性,迫切需要将其写入相关法律法规,以法律的形式将其固定下来,明确规定追责的情形,如:将为谋求个人利益,将公民个人信息对外出售。
四、总结
通过对各国关于个人信息保护问题的研究发现,国外对个人信息的保护从国家根本法宪法的层面,到制定法、普通法的规定,再到专门的、针对性的个人信息保护法的出台,形成一套完善的个人信息保护体系。反观我国,关于个人信息的保护,从立法层面上没有出台统一的个人信息保护法,对个人信息缺乏有效统一的保护。因此,从我国的国情出发,尽快出台统一的个人信息保护法,明确个人信息的范围、政府对个人信息保护的职责和义务以及行政机关收集、使用管理的职责和义务,形成以预防为主,救济为辅的法律体系。并设置专门的机构负责、监督及保护个人信息的使用,完善个人信息保护的救济程序。与此同时,也要加强公民的自我保护意识,运用法律的武器维护自身的合法权益。
[1]赵秉志.公民个人信息刑法保护研究[J].华东政法大学学报,2014-01-20.
[2]赵秉志.公民个人信息刑法保护研究[J].华东政法大学学报,2014-01-20.
[3]张莹.个人信息保护行政监督机制研究[D].长春理工大学,2008.
[4]隐私权保护与个人信息保护法[M].北京:法律出版社,2016:110.
[5]服务型政府构建中的行政人格塑造[D].河北师范大学,2016.
[6]朱维究,王成栋.一般行政法原理[M].北京:高等教育出版社,2005:452.
[7]琳琳.论环境行政不作为的行政监督制度[D].中国政法大学,2013.
[8]陈珺珺.我国行政法治精神及完善研究[D].华东师范大学,2013.
[9]陆宇池.论国家权力机关对行政主体的监督路径[J].理论观察,2016,122(8):1.
[10]张莹.个人信息保护行政监督机制研究[D].长春理工大学,2008.
