个人信息权保护研究
关键词 个人 信息权 立法 保护
作者简介:贺娟,太原科技大学法学院。
中图分类号:D923.8 文献标识码:A DOI:10.19387/j.cnki.1009-0592.2018.03.098
我国《民法总则》第111条规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”本条是对个人信息权保护的基本原则,是我国今后制定《个人信息保护法》重要的立法依据。一、 个人信息权的内涵与外延
个人信息权作为公民的一项基本民事权利被《民法总则》首次明确规定,为很多学者所肯定,王利民教授认为这一规定强化了现代社会的人文关怀,增强了互联网时代公民个人的私权保护 ,可以说对个人信息予以明确的法律保护,表明了我国法治的与时俱进。
(一) 个人信息权的内涵
随着信息社会的来临,个人信息权这一概念也随之产生。所谓个人信息权就是个人对于个人信息所享有的支配、控制并排除他人侵害的权利。很多国家已经对于个人信息权予以了立法上的保护,如德国《联邦资料保护法》,美国的《信息自由法》等,但是目前在我国并没有统一的个人信息权立法保护,亟待立法的完善。
当下关于个人信息权的法律属性有多种学说,武汉大学张里安教授对此做了详细划分并提出了自己的见解,他认为个人信息权的宪法人权说不符合我国国情,我国《宪法》中的通信自由权并不可能衍生出个人信息权利保护的内涵;而一般人格权说则忽视了个人信息权的与互联网紧密相连的特性,以及未来公民个人信息保护发展的需求;隐私权说则更为不合适,因为大数据时代的个人信息与隐私属于两个不同范畴,其中可能会有交叉但不重合;财产权说与新型权利说均混淆了财产利益与财产权的区别并忽视人格权商品化的新发展,只有独立人格权符合个人信息权的内在属性,所以他认为个人信息权在法律属性上应视为一项独立的人格权 。笔者也很赞同这一观点。
(二) 个人信息权的法条评析
《民法总则》第111条的规定具体可以分为两个维度:
其一,加强了个人信息使用主体的注意义务,为需要获取他人信息的组织和个人设定两项基本义务:一项是“依法取得”的义务;二是确保所取得的“信息安全”的义务。
其二,规定任何组织和个人“不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”,这实质上属于禁止性强制规定,同时这也为人民法院在审理个人信息案件的时候,确认组织或者个人侵害他人个人信息的法律行为是否违法,或者追究侵害人的侵权赔偿责任,提供了裁判上的法律依据 。
但是,这一条文也存在一些不足之处。一是关于个人信息权的权利客体并未给予明确规定,实践中我们很难根据此条文判断个人信息具体哪些受法律保护以及个人信息受到法律保护程度的底线在哪里;二是规定的“任何组织和个人”的禁止性强制规定,其“任何组织”的范围是否包括国家组织,行政机关之类,因为这类机关也会涉及对公民个人信息的侵权,还有条文中所列举的禁止性行为是否限制了法律调整的范围,因为随着时代的发展,极有可能出现其他的对个人信息的侵犯的方式,采用概括列举的方式或许能够更好的适应时代需求;三是该条文只是一个原则性的规范,并未规定相应的法律后果,这使得其在今后的司法实践中难以起到约束行为人的作用。
所以笔者认为今后我们可以在民法分则中进行一些明确的规定或者我国也可以制定具体的《个人信息保护法》来弥补以上这些缺漏。二、个人信息权的现实问题
现今互联网应用普及,人们对互联网也越来越依赖,信息倒卖“黑链条”,手机泄露、电脑感染和网站漏洞,这些都使得公民个人信息泄露问题日益凸显。无疑不表明着我国在公民个人信息保护上还面临着一系列的现实问题。
(一)立法上体系庞杂,内容分散
目前,我国尚未制定关于个人信息保护的专项法律,虽然我国在民法、侵权法领域中都有关于个人信息保护的民事制度,但其规定在内容都相对缺乏针对性;刑法领域主要是针对个人信息犯罪方面做了规定;其他部门法对于个人信息的保护也均有体现,如《中华人民共和国网络安全法》、《中华人民共和国消费者权益保护法》、《中华人民共和国居民身份证法》等。但是这些都未对个人信息权形成系统完善的保护,对公民的个人信息保护的范围,保护个人信息的主要主体、方式以及如何对侵犯公民个人信息权的行为进行惩戒也都未作明确具体的规定,这都需要尽快制定一部系统的法律去完善个人信息权的保护。
(二)保护不足,侵权现象频发
现实中,我们的手机骚扰电话不断,网络上的“人肉搜索”,还有当下最引人关注的电信诈骗案件,这些都是我们个人信息被侵权现象。但是很多人信息被侵权后不知道找谁来维护自己的权利,公民个人自己的受保护信息具体包括哪些,这些在我国当前的立法保护体系中并没有明确规定,另外,我国目前还未成立专门的个人数据信息的监督保护机构,这也会造成个人数据信息安全保护的缺失和遭受侵害时的救济缺失。
(三)追究侵权责任困难
由于当前互联网技术的发展,大数据时代的影响,使得我们个人信息被侵犯泛滥成灾,并且往往这种侵权行为还不止一家或者单个主体实施,共同侵权成为个人信息权主要形式。这就造成了个人信息权追究侵权责任的困难,还有就是信息主体向侵权者主张赔偿责任包括哪些,赔偿标准又如何规定,就如“徐玉玉案”(未申请民事赔偿),但如果当事人申請其赔偿标准又当如何使用?这些都需要法律上予以明确的规定。三、个人信息权保护的立法完善
(一)制定统一的个人信息保护法
民法总则和网络安全法都为个人信息保护提供了原则性的规定,但是对于如何具体实践,并没有详细规定,在操作上还有很大的模糊地带。例如,网络安全法虽然明规定了有关个人信息买卖的问题,但在现实中如何确定是由谁泄露、如何泄露、如何取证、如何维权等实操问题,并没有明确。又如网络运营方的连带责任如何确认,网络安全法也没有涉及。虽然网络安全法为个人信息保护制度的确立开了一个好头,但是仍需要一部完善的个人信息保护法来进一步解决实践中的操作问题。
国际上已经有很多国家制定了个人信息保护法,如瑞典、美国、欧盟等国家。我们可以借鉴他们的成功经验,制定统一的个人信息保护法,明确公民个人对其信息享有的基本权利和义务,确立个人信息权的范围以及个人信息分类保护的负责主体,明确企业收集和使用个人信息的基本规范,还有对个人信息数据流动规则等基本问题作出相应规定。通过统一的个人信息保护法来规范个人信息管理机构对个人信息的安全管理,对涉及个人信息采集、加工、存储、使用及删除等全数据生命周期过程提出对相关机构的法律约束,并要求其建立并制定相应的内部管控流程和制度,确保公民个人信息安全。
(二)成立专门的个人数据信息的监督保护机构
设立专门的个人数据信息的监督保护机构,对个人信息安全承担全面的责任,这对于公民个人信息权的保护具有重要意义。保护公民个人信息,需要有一个专门的管理部门对个人信息使用的相关企业和机构进行有效监管。一方面,督促相关企业和机构要加强行业自律,依法依规地采集、整理和使用个人信息;另一方面,做好相关企业和机构个人信息使用的监管工作,定期对其进行审查,决不能让不法分子利用公民个人信息谋取利益。同时这一机构的存在,也为公民寻求法律上的救济提供了途径。
建立统一、专门的个人信息监督保护机构,由其来集中担负个人信息保护的立法落地、督促相关机构落实执法监管责任,采取切实有效的技术和管理措施,防止泄露、损害、违法使用个人信息,同时,这一机构还可以提高对信息处理违规行为的处罚和赔偿标准,严厉打击非法窃取、收集、买卖、转移个人信息的行为。此外,还可以利用市场机制鼓励大型互联网企业间建立信息保护联盟和行业自律机制,推动企业从保护商业利益、企业商誉和竞争力角度加强个人信息保护,形成竞争性隐私保护和信息安全商业环境。这对我国公民个人信息权的保护具有重要的意义。
(三) 明确个人信息的侵权责任
针对个人信息侵权原则,可以参照我国《侵权责任法》的相关规定,合理分析个人信息网络侵权责任的构成要件,明确个人信息侵权责任构成要件需要注意的事项,针对当前个人信息侵权行为的特点以及具体方式,从侵权行为主体、侵犯个人信息的目的以及侵犯个人信息的行为方式来具体规定侵权者责任承担责任的具体形态(单方侵权责任、双方侵权和共同侵权责任,直接责任和替代责任);还有不同承担责任的主体需要进行合理区分,如:国家机构、非国家机构、网络运营者等不同主体;最后关于公民个人信息侵权精神损害赔偿的范围、数额确定、以及侵权免责事由等给予相关的法律根据。
在现今网络时代,必须要有一部个人信息保护法作为法律主体,也就是确认和保护公民的信息权,这是十分必要的。通过立法,公民个人信息权有法可依,有专门的机构和机制来保护公民个人信息权,公民才能避免发生“徐玉玉事件”的悲剧。
注释:
王利明.《民法总则》实现对个人私权的全面保护.法治-人民网.2017年10月18日.http://legal.people.com.cn/n1/2017/0525/c42510-29300148.html.
张里安、韩旭至.大数据时代下个人信息权的私法属性.法学论坛.2015(3).119-129.
梁慧星.《民法总则》重要条文的理解与适用.中国社会科学网.2017年10月21日访http://ex.cssn.cn/fx/fx_yzyw/201708/t20170822_3617955_3.shtml.
参考文献:
[1]杨咏婕.個人信息的私法保护研究.吉林大学.2013.
[2]孙平.系统构筑个人信息保护立法的基本权利模式.法学.2016(4).
[3]罗昆.个人信息权的私权属性与民法保护模式.广西大学学报(哲学社会科学版).2015,37(3).
[4]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心.现代法学.2013,35(4).
作者简介:贺娟,太原科技大学法学院。
中图分类号:D923.8 文献标识码:A DOI:10.19387/j.cnki.1009-0592.2018.03.098
我国《民法总则》第111条规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”本条是对个人信息权保护的基本原则,是我国今后制定《个人信息保护法》重要的立法依据。一、 个人信息权的内涵与外延
个人信息权作为公民的一项基本民事权利被《民法总则》首次明确规定,为很多学者所肯定,王利民教授认为这一规定强化了现代社会的人文关怀,增强了互联网时代公民个人的私权保护 ,可以说对个人信息予以明确的法律保护,表明了我国法治的与时俱进。
(一) 个人信息权的内涵
随着信息社会的来临,个人信息权这一概念也随之产生。所谓个人信息权就是个人对于个人信息所享有的支配、控制并排除他人侵害的权利。很多国家已经对于个人信息权予以了立法上的保护,如德国《联邦资料保护法》,美国的《信息自由法》等,但是目前在我国并没有统一的个人信息权立法保护,亟待立法的完善。
当下关于个人信息权的法律属性有多种学说,武汉大学张里安教授对此做了详细划分并提出了自己的见解,他认为个人信息权的宪法人权说不符合我国国情,我国《宪法》中的通信自由权并不可能衍生出个人信息权利保护的内涵;而一般人格权说则忽视了个人信息权的与互联网紧密相连的特性,以及未来公民个人信息保护发展的需求;隐私权说则更为不合适,因为大数据时代的个人信息与隐私属于两个不同范畴,其中可能会有交叉但不重合;财产权说与新型权利说均混淆了财产利益与财产权的区别并忽视人格权商品化的新发展,只有独立人格权符合个人信息权的内在属性,所以他认为个人信息权在法律属性上应视为一项独立的人格权 。笔者也很赞同这一观点。
(二) 个人信息权的法条评析
《民法总则》第111条的规定具体可以分为两个维度:
其一,加强了个人信息使用主体的注意义务,为需要获取他人信息的组织和个人设定两项基本义务:一项是“依法取得”的义务;二是确保所取得的“信息安全”的义务。
其二,规定任何组织和个人“不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”,这实质上属于禁止性强制规定,同时这也为人民法院在审理个人信息案件的时候,确认组织或者个人侵害他人个人信息的法律行为是否违法,或者追究侵害人的侵权赔偿责任,提供了裁判上的法律依据 。
但是,这一条文也存在一些不足之处。一是关于个人信息权的权利客体并未给予明确规定,实践中我们很难根据此条文判断个人信息具体哪些受法律保护以及个人信息受到法律保护程度的底线在哪里;二是规定的“任何组织和个人”的禁止性强制规定,其“任何组织”的范围是否包括国家组织,行政机关之类,因为这类机关也会涉及对公民个人信息的侵权,还有条文中所列举的禁止性行为是否限制了法律调整的范围,因为随着时代的发展,极有可能出现其他的对个人信息的侵犯的方式,采用概括列举的方式或许能够更好的适应时代需求;三是该条文只是一个原则性的规范,并未规定相应的法律后果,这使得其在今后的司法实践中难以起到约束行为人的作用。
所以笔者认为今后我们可以在民法分则中进行一些明确的规定或者我国也可以制定具体的《个人信息保护法》来弥补以上这些缺漏。二、个人信息权的现实问题
现今互联网应用普及,人们对互联网也越来越依赖,信息倒卖“黑链条”,手机泄露、电脑感染和网站漏洞,这些都使得公民个人信息泄露问题日益凸显。无疑不表明着我国在公民个人信息保护上还面临着一系列的现实问题。
(一)立法上体系庞杂,内容分散
目前,我国尚未制定关于个人信息保护的专项法律,虽然我国在民法、侵权法领域中都有关于个人信息保护的民事制度,但其规定在内容都相对缺乏针对性;刑法领域主要是针对个人信息犯罪方面做了规定;其他部门法对于个人信息的保护也均有体现,如《中华人民共和国网络安全法》、《中华人民共和国消费者权益保护法》、《中华人民共和国居民身份证法》等。但是这些都未对个人信息权形成系统完善的保护,对公民的个人信息保护的范围,保护个人信息的主要主体、方式以及如何对侵犯公民个人信息权的行为进行惩戒也都未作明确具体的规定,这都需要尽快制定一部系统的法律去完善个人信息权的保护。
(二)保护不足,侵权现象频发
现实中,我们的手机骚扰电话不断,网络上的“人肉搜索”,还有当下最引人关注的电信诈骗案件,这些都是我们个人信息被侵权现象。但是很多人信息被侵权后不知道找谁来维护自己的权利,公民个人自己的受保护信息具体包括哪些,这些在我国当前的立法保护体系中并没有明确规定,另外,我国目前还未成立专门的个人数据信息的监督保护机构,这也会造成个人数据信息安全保护的缺失和遭受侵害时的救济缺失。
(三)追究侵权责任困难
由于当前互联网技术的发展,大数据时代的影响,使得我们个人信息被侵犯泛滥成灾,并且往往这种侵权行为还不止一家或者单个主体实施,共同侵权成为个人信息权主要形式。这就造成了个人信息权追究侵权责任的困难,还有就是信息主体向侵权者主张赔偿责任包括哪些,赔偿标准又如何规定,就如“徐玉玉案”(未申请民事赔偿),但如果当事人申請其赔偿标准又当如何使用?这些都需要法律上予以明确的规定。三、个人信息权保护的立法完善
(一)制定统一的个人信息保护法
民法总则和网络安全法都为个人信息保护提供了原则性的规定,但是对于如何具体实践,并没有详细规定,在操作上还有很大的模糊地带。例如,网络安全法虽然明规定了有关个人信息买卖的问题,但在现实中如何确定是由谁泄露、如何泄露、如何取证、如何维权等实操问题,并没有明确。又如网络运营方的连带责任如何确认,网络安全法也没有涉及。虽然网络安全法为个人信息保护制度的确立开了一个好头,但是仍需要一部完善的个人信息保护法来进一步解决实践中的操作问题。
国际上已经有很多国家制定了个人信息保护法,如瑞典、美国、欧盟等国家。我们可以借鉴他们的成功经验,制定统一的个人信息保护法,明确公民个人对其信息享有的基本权利和义务,确立个人信息权的范围以及个人信息分类保护的负责主体,明确企业收集和使用个人信息的基本规范,还有对个人信息数据流动规则等基本问题作出相应规定。通过统一的个人信息保护法来规范个人信息管理机构对个人信息的安全管理,对涉及个人信息采集、加工、存储、使用及删除等全数据生命周期过程提出对相关机构的法律约束,并要求其建立并制定相应的内部管控流程和制度,确保公民个人信息安全。
(二)成立专门的个人数据信息的监督保护机构
设立专门的个人数据信息的监督保护机构,对个人信息安全承担全面的责任,这对于公民个人信息权的保护具有重要意义。保护公民个人信息,需要有一个专门的管理部门对个人信息使用的相关企业和机构进行有效监管。一方面,督促相关企业和机构要加强行业自律,依法依规地采集、整理和使用个人信息;另一方面,做好相关企业和机构个人信息使用的监管工作,定期对其进行审查,决不能让不法分子利用公民个人信息谋取利益。同时这一机构的存在,也为公民寻求法律上的救济提供了途径。
建立统一、专门的个人信息监督保护机构,由其来集中担负个人信息保护的立法落地、督促相关机构落实执法监管责任,采取切实有效的技术和管理措施,防止泄露、损害、违法使用个人信息,同时,这一机构还可以提高对信息处理违规行为的处罚和赔偿标准,严厉打击非法窃取、收集、买卖、转移个人信息的行为。此外,还可以利用市场机制鼓励大型互联网企业间建立信息保护联盟和行业自律机制,推动企业从保护商业利益、企业商誉和竞争力角度加强个人信息保护,形成竞争性隐私保护和信息安全商业环境。这对我国公民个人信息权的保护具有重要的意义。
(三) 明确个人信息的侵权责任
针对个人信息侵权原则,可以参照我国《侵权责任法》的相关规定,合理分析个人信息网络侵权责任的构成要件,明确个人信息侵权责任构成要件需要注意的事项,针对当前个人信息侵权行为的特点以及具体方式,从侵权行为主体、侵犯个人信息的目的以及侵犯个人信息的行为方式来具体规定侵权者责任承担责任的具体形态(单方侵权责任、双方侵权和共同侵权责任,直接责任和替代责任);还有不同承担责任的主体需要进行合理区分,如:国家机构、非国家机构、网络运营者等不同主体;最后关于公民个人信息侵权精神损害赔偿的范围、数额确定、以及侵权免责事由等给予相关的法律根据。
在现今网络时代,必须要有一部个人信息保护法作为法律主体,也就是确认和保护公民的信息权,这是十分必要的。通过立法,公民个人信息权有法可依,有专门的机构和机制来保护公民个人信息权,公民才能避免发生“徐玉玉事件”的悲剧。
注释:
王利明.《民法总则》实现对个人私权的全面保护.法治-人民网.2017年10月18日.http://legal.people.com.cn/n1/2017/0525/c42510-29300148.html.
张里安、韩旭至.大数据时代下个人信息权的私法属性.法学论坛.2015(3).119-129.
梁慧星.《民法总则》重要条文的理解与适用.中国社会科学网.2017年10月21日访http://ex.cssn.cn/fx/fx_yzyw/201708/t20170822_3617955_3.shtml.
参考文献:
[1]杨咏婕.個人信息的私法保护研究.吉林大学.2013.
[2]孙平.系统构筑个人信息保护立法的基本权利模式.法学.2016(4).
[3]罗昆.个人信息权的私权属性与民法保护模式.广西大学学报(哲学社会科学版).2015,37(3).
[4]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心.现代法学.2013,35(4).
