我国涉及隐私的个人信息保护与管理法律法规状况及要求分析
安小米 穆勇 王薇 刘精精 望旺 叶六奇
摘要:目前各类文献研究均指出我国涉及隐私的个人信息的保护与管理缺少专门立法,对于个人信息保护与管理的规定分散在多个法律法规条文中,但对相关法律法规文献的现状缺少全面的调查和信息管理研究视角的分析。本文调查了我国涉及隐私的个人信息保护与管理的103部法律法规文献,从个人信息全流程管理及其关键节点等多角度对这些法律法规的相关要求进行了分析,得出了我国涉及隐私的个人信息保护与管理的法律法规现状及未来工作建议。
关键词:个人信息 个人信息 保护 个人信息管理 隐私 法律法规
随着信息化建设的不断深入发展,涉及隐私的个人信息保护与管理问题已经渗透到社会生活的诸多方面,越来越受到社会的关注。近年来,过度收集、擅自披露和提供、非法买卖公民个人信息的案件时有发生,给公民生活带来了极坏的影响。调查研究涉及隐私的个人信息保护与管理法律法规现状,完善我国涉及隐私的个人信息保护与管理法律法规和制度,显得尤为必要和迫切[1]。
目前各类文献研究均指出我国个人信息保护与管理缺少专门立法,关于涉及隐私的个人信息保护与管理的规定分散在多个法律法规条文中,但对相关法律法规的现状缺少全面和系统的调查,现有研究主要为法律视角,缺少信息全流程管理的研究视角[1][2][3][4][5][6][7][8][9][10][11] 。本文以103部涉及隐私的个人保护与管理法律法规文献为样本(其中,法律33部,行政法规13部,部门规章22部,最高人民法院司法解释12部,规范性文件23部),以信息全流程管理思想为指导,定量研究和定性研究相结合,从多角度分析了我国涉及隐私的个人信息保护与管理的相关法律法规的现状。
一、涉及隐私的个人信息保护与管理
的法律法规文献数量及其时间分布
调查揭示,最早出现涉及隐私的个人信息文件是1984年制定的《人民法院诉讼档案管理办法》。1984年至2010年的27年间,相关文献数量大致呈现增长的趋势,详见图1。1984年至2000年文献数量增长较为缓慢,仅有部分年份产生1至2部涉及隐私的个人信息的法律法规,但在2001年至2010年期间,文献数量明显增长,仅2009年就有22部法律法规颁布,这也反映出,我国涉及隐私的个人信息保护和管理问题逐步受到重视,正在逐步走向法制轨道。另外,从文献内容来看,《刑法》、《邮政法》、《统计法》、《保险法》、《侵权责任法》、《调解法》等均有涉及隐私的个人信息议题,主题越来越丰富,涉及隐私的个人信息保护与管理的法制建设问题已经渗透到社会生活的方方面面。
二、涉及隐私的个人信息保护
与管理的法律法规文献主题分析
1984年至2010年的27年间,103部法律法规文献按主题划分,覆盖医疗、金融、行政、司法、社会劳动保障、网络、未成年人、信息化、农业、公安、证件、通信、电信、教育、妇女、律师、统计、旅游等18个方面。其中,医疗、金融、行政、司法、社会劳动保障和网络这六个主题的法律法规中涉及到隐私个人信息的法律法规最多,分别占到总量的13%、12%、11%、10%、9%和8%(如图2所示)。深入研究其内容发现,司法领域涉及隐私的个人信息保护与管理活动主要来源于行政诉讼、民事诉讼、刑事诉讼等案件处理活动;金融领域涉及隐私的个人信息主要有税收记录、信用记录、银行账户信息等个人信息;医疗领域涉及隐私的个人信息主要是患者的传染病信息、健康记录、保险信息等个人信息;社会劳动保障领域涉及隐私的个人信息主要是劳动争议记录、劳动者的就业信息等个人信息。
三、信息全流程管理視角下涉及隐私的
个人信息保护与管理的法律法规要求分析
以信息全流程管理为指导思想,以构建涉及隐私的个人信息管理体系为分析框架,以个人信息管理体系规划、实施、检查和改进(plan-do-check-act,简称PDCA)整个循环过程和全流程中的关键节点控制为分析对象,调查研究涉及隐私的个人信息保护与管理法律法规文献在基本术语定义、管理原则、信息采集、安全与保管、使用与共享、监察与问责、救济七个方面的管理要求。调查揭示103个文献中法律法规在安全性、使用与共享、使用与共享例外和管理咎责四个重要方面要求最多。
对于安全性要求,103部法律法规文献中有61部有明确要求,在保密制度、技术措施、保障机制和可控措施等方面都有较为完整的规定。如中办发〔2004〕34号《中共中央办公厅、国务院办公厅关于加强信息资源开发利用工作的若干意见》第二十六条规定:“遏止影响国家安全和社会稳定的各种违法、有害信息的制作和传播,依法打击窃取、盗用、破坏、篡改信息等行为。实行信息安全等级保护制度。加强信息安全技术开发应用,重视引进信息技术及产品的安全管理。”
对于使用与共享要求,在65部法律法规文献中有10部明确规定国家机关各部门间使用与共享涉及隐私的个人信息必须符合使用目的要求,有条件地进行。如《中华人民共和国邮政法》(2009)第三十六条规定:“因国家安全或者追查刑事犯罪的需要,公安机关、国家安全机关或者检察机关可以依法检查、扣留有关邮件,并可以要求邮政企业提供相关用户使用邮政服务的信息。邮政企业和有关单位应当配合,并对有关情况予以保密。”
对于使用与共享例外要求,在65部法律法规文献中有43部提及。使用与共享例外要求主要规定了国家机关各部门处理特定涉及隐私的个人信息时,不得使用和共享的情况。如《中华人民共和国行政诉讼法》(1989)第三十条规定:“代理诉讼的律师,可以依照规定查阅本案有关材料,可以向有关组织和公民调查,收集证据。对涉及国家秘密和个人隐私的材料,应当依照法律规定保密。经人民法院许可,当事人和其他诉讼代理人可以查阅本案庭审材料,但涉及国家秘密和个人隐私的除外。”
对于管理咎责要求,在65部法律法规文献中大多数都规定了对于违反人员的处罚行为,包括触犯法律法规,泄露涉及隐私的个人信息应追究的行政和刑事责任等。如《中华人民共和国民法通则》(1986)第一百二十条规定:“公民的姓名权、肖像权、名誉权、荣誉权受到侵害的,有权要求停止侵害,恢复名誉,消除影响,赔礼道歉,并可以要求赔偿损失。法人的名称权、名誉权、荣誉权受到侵害的,适用前款规定。”第一百二十一条规定:“国家机关或者国家机关工作人员在执行职务中,侵犯公民、法人的合法权益造成损害的,应当承担民事责任。”第一百三十四条规定:“承担民事责任的方式主要有:……(九)消除影响、恢复名誉。”
四、结论
1.关于涉及隐私的个人信息概念的界定
分析103部法律法规中提及隐私和个人信息的相关章节,涉及隐私的个人信息是指信息主体不愿向他人公开的个人信息,它包括身份信息、身体状况信息、个人活动记录和私人资料等。
其中,身份信息包括:姓名、出生日期、性别、种族、民族、国籍、宗教信仰、住址、公民身份证号、联系方式、教育背景、学历、职业、婚姻状况、指纹、血型等个人信息;身体状况信息包括:涉及个人生理和心理的健康信息、病史、医疗信息以及个人遗传信息等个人信息;个人活动记录包括:工作经历和个人经济事务、收入和财产记录、雇佣记录、信用记录、消费记录、交通记录、犯罪记录、银行账户信息、与安全码相关的访问码或密码等个人信息;私人资料包括:信函、电子邮件、日记、照片以及会对个人造成负面影响的个人活动文件、档案等个人信息。
2.关于涉及隐私的个人信息保护与管理的重点领域
调查揭示,法律法规涉及隐私个人信息保护最多的领域是医疗、金融、行政、司法、社会劳动保障和网络,是与人们日常工作和生活关系最为密切的活动领域,也是隐私个人信息最易泄露的领域。应该采用风险管理方法,将这些领域视为高风险领域,加强相关行业主管部门的监管,重视法律法规的教育,规范信息处理者的行为。
3.信息全流程管理視角下关于涉及隐私的个人信息保护与管理的关键节点控制
研究发现,我国法律法规重视对涉及隐私的个人信息的安全保护和合法使用,但缺少将个人信息作为机构和社会信息资源的全流程管理,缺少基于PDCA过程的个人信息管理体系及其法律法规要求。对信息化背景下不断出现的个人隐私泄露问题,应建立基于信息资源全流程管理的IT流程治理方案,以确保涉及隐私的个人信息的真实性、可靠性、完整性、安全保密性、合法合理可用性。保证涉及隐私的个人信息真实和可靠的关键是前端控制和动态更新,全程管理意味管理活动可跟踪审计。
各级政府应该重视涉及隐私的个人信息的保护和全流程管理,建立健全机构个人信息管理体系,明确个人信息管理法律法规要求,制定个人信息采集、安全与保管、使用与共享、监察与问责、救济的管理办法,特别重视法律法规对安全性、使用与共享、使用与共享例外和管理咎责的要求,依法依职能管好国家机关和高风险领域的个人信息,从全流程中的关键节点控制入手,逐步完善个人信息保护与管理的管理制度和规范。
注释:
[1]中国科学院法学所.个人信息保护现状调研报告[G]// 李林编,中国法制发展报告No.7. 北京:社会科学文献出版社,2009.
[2]蒋坡. 个人数据信息的法律保护[M].北京:中国政法大学出版社,2008.
[3]孔令杰.个人资料隐私的法律保护[M].武汉: 武汉大学出版社,2009.
[4]郎庆斌,孙毅,杨莉,孙鹏. 个人信息保护概论[M]. 北京:人民出版社,2008.
[5]刘德良.论个人信息的财产权保护[M].北京:人民法院出版社,2008.
[6]齐爱民. 拯救信息社会中的人格:个人信息保护法总论[M].北京:北京大学出版社,2009.
[7]齐爱民.个人资料保护法原理及其跨国流通法律问题研究[M].北京:武汉大学出版社,2004.
[8]夏平,王俊红,周伟民. IT的发展与个人信息保护[M].北京:经济日报出版社,2007.
[9]张秀兰.网络隐私权保护研究[M].北京: 北京图书馆出版社,2006.
[10]周汉华.个人信息保护前沿问题研究[M].北京:法律出版社,2006.
[11]周汉华. 中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006.
作者单位:安小米,刘精精,望旺,叶六奇,数据工程与知识工程教育部中国人民大学重点实验室;穆勇,王薇,北京市信息资源管理中心