国外对公民个人信息的法律保护及对我国的启示
刘国华 张力之 罗欣
摘要:在“互联网+大数据”时代下,每位公民的个人信息都可以成为数据,甚至通过被收集、分析、储存等方式在网络上构建,这无疑体现了“科学技术是一把双刃剑”的影响,即它对于社会来说是一项巨大的技术式和概念式飞跃,但是在社会矛盾运动中仍然存在着一定负面影响,即缺乏与经济基础相配套的上层建筑——法律法規。而这种情形对信息主体——公民来说,则是一场旷日持久的战争。通过介绍美国、新加坡、德国、日本以及欧洲联盟地区等对信息主体的法律保护,分析和对比上述国家或地区对公民个人信息保护的法律规范,并以此为由,期冀能对健全或完善我国公民个人信息的相关法律保护体系有一定的裨益。
关键词:公民个人信息;法律保护;权利;责任
Abstract: In the era of “Internet and data”, each citizen personal information can be data, or even by collection, analysis, storage and other ways to build on the Internet, it embodies the “science and technology is a double-edged sword,” the positive effect, for society that it is a huge technical and conceptual leap, but in the movement of social contradictions still exist some negative effects, namely technology matching with the lack of laws and regulations.In this case, for the data subject-citizens, it is a protracted war. This paper introduces the common law countries (the United States, Singapore), the mainland legal system countries (Germany, Japan), the legal protection of citizens personal information such as the region, through analysis and contrast the country or region to citizens personal information protection laws, and, for the reason of the hopes to improve and perfect our country citizens personal information related to legal protection system has certain benefits.
Keywords: Citizens Personal Information; Legal Protection; Rights; Responsibilities
一、国外对公民个人信息的法律保护
最早对公民个人信息进行法律保护的国家是美国,1971年4月通过《公平信用报告法》,它是关于公民个人信息法律保护的最早渊源。而在国际上,最新关于公民个人信息的法律保护为欧洲联盟于2018年5月25日出台的《通用数据保护条例》。
(一)美国对公民个人信息的法律保护
在以“民主”著称的国家——美国,公民个人信息保护的核心是——个人隐私权,它在法律上拥有神圣不可侵犯的重要地位。美国联邦法院通过对宪法和有关判例进行解读、总结,并对个人隐私权进行了补充和完善,使相关个人信息法律保护内容纳入了个人隐私权保护范围的法制轨道之中,从而使个人隐私权成为美国宪法所确认的基本权利;1974年12月31日,美国通过《隐私权法》(Privacy Act)规定了侵犯公民个人隐私或信息的犯罪行为将受到法律规制,它被视作为公民个人信息法律保护中的基本法,并将公民个人信息或公民个人隐私的基本内核理解为个人主义。托克维尔认为:“个人主义使每个公民同其他同胞大众隔离,同亲属和朋友疏远。”这种个人隐私权通过保护两个或多个个人之间的关系,以确保公民个人可以有不被别人窥探的私人空间。“个人隐私权的内核是公民个人享有的自主。”因此,作为个人基本权利的个人隐私权被纳入了美国公民个人信息的法律保护体系。据此,在Commonwealth of Kentucky v.Jeffrey wasson 案中,法院认为的隐私权是:“一旦超出对社会的直接保护所要求的任何范围,自由政府就无权去侵犯公民绝对权利的尊严。”因而,美国公权力机关不可以随意侵犯个人隐私的范畴。随着社会的不断发展,《隐私权法》并不能对方方面面的公民个人信息提供保护,因此美国关于侵犯公民个人信息的立法在公私两大领域中,分别采取了分散立法模式和行业自控模式。即美国形成了以《隐私权法》《金融服务现代化法》《消费者信息隐私权法案》《儿童网上隐私保护法》《社会安全号码保护法》等一系列法律为基础的立法保护模式。
在美国,公民个人信息法律保护以判例法为主要表现形式,而刑法规制的内容散落于诸法案或法规,即侵犯公民个人信息的犯罪行为主要依赖于各个部门法律规定的制裁。在美国,对有侵犯公民个人信息的犯罪行为,一般处罚一年以下的自由刑,并辅以罚金。此种立法模式存在诸多缺陷,一是法律较为散乱,甚至会有一些冲突,二是不同法律之间的规定也有不同,从而造成司法资源浪费的现象。
(二)新加坡对公民个人信息的法律保护
新加坡关于公民个人信息的法律保护最早规定在2001年通过的《行业内容操作守则》,该守则规定了信息控制者和信息管理者必须尊重公民个人隐私权,它属于行业自律规范的一种。2007年,新加坡通过《垃圾邮件控制法案》,该法案规定,对违反该规定发送垃圾电子邮件的信息控制者或信息处理者,信息权利主体可以请求其赔偿经济损失。2013年1月《个人信息保护法》在新加坡正式生效。该法案主要涵盖两方面:一是保护公民个人信息不被滥用;二是拒绝行业销售来电和信息。它的主要内容是:信息控制者和信息处理者在收集或者使用公民个人信息时,必须获得信息权利主体的允许,同时需要向信息权利主体解释收集或使用其个人信息的具体原因。2014年7月2日,新加坡通过《个人资料保护法令》(简称PDPA),它作为新加坡最新制定的公民个人信息或资料保护法,包含对公民个人信息进行收集、使用、披露和保管等各项行为的管理规定。它认为,公民个人拥有保护其个人信息或资料的各项权利,主要包括获得权和修改权,同时也认同了某些机构基于某种合法合理目的而收集、利用或披露个人信息或资料的需要。
该《法令》规定,凡是擅自收集、使用或披露他人身份证号码,或拷贝他人身份证复印件等,将成为违法行为。同时对没有保护好公民个人信息或资料的企业,将进行最高100万元罚款;在没有政府指示的情况下随意访问或披露公民个人信息,将判处高达 5000 新元的罚款或最高两年的监禁。
(三)德国对公民个人信息的法律保护
德国采用了思想家康德的“人格尊严”视角来看待公民个人信息法律保护问题,将公民个人信息划归于人格权的基本权利范畴之中,并通过德国联邦法院的人口普查案件,在实践中确认了公民个人信息的宪法权利地位。康德的“人格尊严”概念表现为,每一个公民人格中的人性是有别于他人人格中的人性,即它可以作为目的使用,而不是仅仅作为手段使用。”在1969年德国关于人口调查的第一案中,联邦宪法法院认为,每个人在自己的社交范围中获得认同与尊重是自己的权利。在联邦人口调查第二案中,法院判决为增强时代的适应性对个人信息进行了改进,由此,联邦法院决定将自我决定的意识赋予其一般人格权。最终,1970年在德国黑森林地区,德国历史上第一部,关于公民个人信息法律保护的专门立法——《信息保护法》诞生。1978年1月,德国最重要的公民个人信息保护法律《联邦数据保护法》正式生效。对比美国来说,德国关于公民个人信息的法律保护是比较完善的,因其涉猎范围及广,涵盖生活范围全面,从而具有精特性。
德国《联邦数据保护法》第43条用概括式和列举式对侵犯公民个人信息的违法犯罪行为进行了详细说明;第44条则对上述条款的违法行为确定了规制:为某一信息主体谋取各种非法利益,而故意地侵害其他信息主体的合法利益,应当判处2年以下的有期徒刑,或者判处罚金。后来,在德国修订的《刑法典》中单独设置了一章,即15章规定了私人生活和秘密领域的侵害,此章节对侵害言论、通信、他人隐私等秘密及利用他人秘密等具体行为分别总结在第201-205条之中。这些法律规定不仅对公民个人信息的刑法保护详细地规定在法条中,也强调了私人生活的重要性。
(四)日本对公民个人信息的法律保护
日本是一个信息化程度非常高的国家,公民个人信息通常被称之为“个人情报”。日本通过借鉴英美法系和大陆法系的相关法律法规,在公民个人信息立法进程中,形成了独树一帜的法律保护制度。日本相关法律法规起初是与政府推行的电子化活动息息相关,并在1988年12月通过《对行政机关持有计算机处理个人信息的法律》,此法规范了行政机关利用电子政务处理公民个人信息,管理国家政务的行为。2000年2月13日,通过《反黑客法》主要目的是为了保护公民个人信息能够安全与自由地传送,并以列举的方式规定了侵犯公民个人信息的各类网络违法犯罪行为。2003年3月7日,日本通过《个人信息保护法》,主要对公民个人信息的法律保护做出了详细的规定,并对侵犯公民个人信息的违法犯罪手段和行为方式进行了细化的说明。它的立法目的主要是保障公民个人信息的安全以及有效利用,从而使公民个人信息免受第三方信息处理者或控制者的侵害。另外,关于公民个人信息法律保护也散见于专门性立法的规定中,比如《户籍法》《电信事业法》等相关规定。
《日本刑法典》对公民个人信息的法律保护做出了详细规定,如133条关于开拆书信罪,违反该罪将处一年以下或者二十万日元以下罚金;134条关于泄露秘密罪则规定了特殊主体违反其职业道德泄露他人秘密的行为,将处六个月以下惩戒,或者十万日元以下罚金;以及135条规定本罪属于“不告不理罪”。
(五)欧盟对公民个人信息的法律保护
欧洲联盟地区对公民个人信息的法律保护采取统一立法模式。1981年1月28日,通过《有关个人数据自动化处理之个人保护公约》,对解决公民个人信息问题有了初步的见解。之后,1997年9月15日通过《电信部门个人数据处理和隐私保护指令》、2002年7月12日通过专门保护电商交易中客户隐私的《关于电子通信和隐私的保护指令》,以及2018年6月25日正式生效的《通用数据保护条例》等法律规范来看,逐渐形成了一个完整的关于保护公民个人信息的法律保护体系。
2016 年 4 月 27 日,欧洲联盟地区通过了规范信息权利主体、信息处理者以及信息控制者的《通用數据保护条例》,并于 2018 年 6 月 25 日 正式生效。一方面,该《条例》的重要影响表现为对欧盟成员国和为其提供产品或服务的过程中涉及到关于欧盟境内个人信息的商业领域或其他重要领域,诸如 Google、Facebook 等大型跨境互联网企业,将在该《条例》的指导下进行收集、处理公民个人信息,当违背该《条例》的规定时,这些大型跨境互联网企业将可能面临超高额罚款。此外,《条例》在公民个人信息法律保护领域内具有一定的创新,例如被遗忘权、数据携带权等,对现有公民个人信息保护法模式具有一定指导意义。
该《条例》的亮点之一在于“被遗忘权利”,又可被称之为“删除权”,它是指信息权利主体是否有权请求机构或企业删除其个人信息的权利,它是公民享有的系列信息权利中的核心权利,因为它决定了机构或企业是否还可以继续使用用户信息。亮点之二是“数据可携带权利”,该权利是公民个人可以将其个人信息或资料,从一个信息服务者或信息控制者处无阻碍地转移到另一个信息服务者或信息控制者处。主要包括两个方面:一是副本获取权利,二是信息转移权利。它在增强公民个人信息控制力的同时,也保护了公民个人信息的合法权益。
《条例》第四章规定了信息控制者和处理者所应承担的责任。其中第四章第一部分规定了上述两个主体,对侵犯公民个人信息的犯罪行为所应承担的一般责任。第二部分规定了上述两个主体对公民个人信息安全所给予的法律保护应承担的责任和应采取的措施。
《条例》通过对新型权利的介绍,极大地改变现有的法律框架,暗示了信息隐私保护的两种框架即人格权保护与隐私权保护。它通过对公民个人信息主体权利的强化,加强了某些跨境企业与其他主体在收集与使用公民个人信息所产生的重要影响。
二、国外公民个人信息法律保护的比较分析
(一)法律价值取向存在差别
人们在创建、维护和促进个人信息保护的过程中,不同国家的法律文化产生了不同的个人信息价值观念。美国、新加坡、德国、日本以及欧洲联盟地区的法律文化所呈现的核心价值观使其在公民个人信息法律保护中各有侧重点。美国、新加坡等国家将公民个人信息划归为个人隐私权,其对个人隐私权的论述经过自主性、自我评价以及人际社会关系的保护来论述“个人的益处”,即被视为最重要的个人价值,此种情况下该隐私权将会侵害某种社会需求,引发社会不稳定发展。德国、日本以及欧洲联盟等国家或地区将公民个人信息放在私领域和公共领域分界上,寻求一种私人利益和公共利益之间的动态平衡点。它认为,在私人领域或公共领域中的公民个人信息,其直接利益或间接利益都应该受到法律保护。
(二)公民个人信息法律保护的立法模式不同
1.美国是分散立法和行业自控的立法模式
以分散为模式的行业自律立法,主要指对公私两个范畴的公民个人信息进行分别立法。一方面,公权力机关采取分散式立法模式,即通过制定单行法对不同领域的公民个人信息进行强而有力的保护。另一方面,私权利主体采取行业自控模式,即行业协会通过对某些行为进行规范或调整,从而保护公民个人信息。总的来说,该立法模式具有很大优越性,其针对不同领域或行为的特点,制定出更具有特色性和指向性的法律规定,从而对公民个人信息进行有效的保护。
2.德国是统一法律规制的立法模式
所谓“统一法律规制的立法模式”,即指国家对在公私两大领域中的公民个人信息进行统一保护,从而制定专门法律法规进行规制。统一立法模式可以使公民个人信息权利成为一项具有绝对性的法律权利,这无疑是有利于公民权利的实现。同时,通过对公私领域采取标准化统一的方式,保证了法律的适用,避免了出现行业自律模式各行其是的弊端。
3.日本采取行业自控和统一法律规制的立法模式
该立法模式具有欧美国家的法律特色又充分彰显自身特色,在公民个人信息保护与公民个人信息流动之间找到了平衡点,但其实质上吸收了美国对公民个人信息的保护内核——即尊重公民个人的隐私权。2003年3月7日通过的《个人信息保护法》,其表现为对本国行业自律特点地更加重视。该法使日本公民个人拥有了维护其个人信息的法律武器。
4.新加坡采取成文法与判例法相结合的立法模式
它以英国判例法为基础,制定了专门保护公民个人信息的法律法规——《个人信息保护法》《个人资料保护法令》。以上述两法为代表的一系列法律法规使新加坡迅速形成了公民个人信息法律保护的一整套运作体系,其亮点在于法律执行的程度及公众投诉的便利。同时,《个人资料保护法令》与新加坡其他信息保护法律不存在冲突,原有的法律仍然有效。
5.欧盟采取统一的综合立法模式
歐洲联盟地区是采取欧洲联盟地区成员国对公民个人信息制定的法律法规,并统一规范国家公权力机关以及信息权利主体收集、处理和利用公民个人信息的立法模式。欧洲联盟地区以《通用数据保护条例》为代表的一系列指令构成,以保护公民个人的基本权利为理念,统一了此前欧洲联盟地区关于公民个人信息的规制,且其效力具有强制性,并所有成员国具有直接的执行效力,不必转化为他国国内法律法规。
(三)侵犯公民个人信息行为的法律救济方式不同
美国、日本等国家对侵犯公民个人信息行为的法律救济方式是自诉方式,采取此种方法,是因为侵犯公民个人信息行为通常由被害人较早发现,为了让被害人能够有效快速地保护自己的权利,或者能够有效地将损失控制在最小范围内,给被害人以更大的选择余地来决定如何维护自己的权益。德国、新加坡以及欧洲联盟等国家或地区对侵犯公民个人信息行为的法律救济方式是公诉与自诉相结合的方式。公诉方式的弊端在于——当个人信息受到侵害时,因需要由公诉机关提起诉讼而处于被动地位,容易使自身的损失呈现出扩大化,从而降低司法效率、浪费司法资源。德国通过采取公诉与自诉相结合的方式,有利于在自诉防范不到位的情况下采取公诉,或者在公诉不能快速保护个人利益的时候采取自诉方式,两者合一,使该救济方式更具有合理性,既充分发挥了公民个人的积极主动创造性,也避免了司法资源的浪费。
三、对我国的启示
(一)健全公民个人信息法律保护体系
1.从民法角度健全公民个人信息法律保护体系
一是在立法中明确“公民个人信息权”的概念。目前,在公民个人信息遭受侵害时,由于相关法律法规中有关公民个人信息权概念的不健全,导致公民个人信息得不到有效保护。因此,国家权力机关和政府应针对“公民个人信息权”的概念及内容进行扩充和完善,以达到保护公民个人信息的法律目的。二是加强公民个人信息权的财产属性。目前,法律法规中只规定了公民个人信息因遭受侵害而导致隐私泄露、名誉尊严受损时的处罚管理方法,而对与公民个人信息相关的财产属性方面的法律法规却少之又少。当出现侵害公民个人信息行为时,相关法律一般也只是责令侵害者停止继续侵害公民个人信息,受害者也很难得到相应的经济补偿。三是针对公民个人信息制定专门的法律法规。当前,我国《民法总则》对公民的姓名、肖像等公民个人信息的法律保护进行了较为详细的规定,但是法律规定相对分散,同时对公民个人信息相关的保护措施并没有详细规定,对此,制定有关公民个人信息的法律法规是十分必要的。
2.从行政法角度健全公民个人信息法律保护体系
一是建立和完善公民个人信息的法律保护监督体制。其一,国家公权力机关是首要的监督管理机构,应当明确公民个人信息管理机构的权利与义务。其二,企事业单位、社会团体作为市场参与者,需要增强行业自律的监督管理,明确其应承担的相关责任和义务,提供权利救济渠道来保护公民个人信息的合法权益。行政机关也对公民个人信息存在较大威胁,且侵犯公民个人信息的情况也是普遍存在的,因此公民可以通过行政复议和行政诉讼渠道维护自身合法权益。
三是完善公民个人信息方面的行政法规。国家公权力机关存在着对公民个人信息收集、整理以及使用等各种行为,由于目前法律法规没有明确规定的情形下,国家公权力机关更应该采取相关的措施,完善或者出台相关行政法规来解决实际生活中国家公权力机关与公民个人之间以及公民个人与公民个人之间关于收集、整理以及使用公民个人信息行为不当的情形。
3.从刑法角度健全公民个人信息法律保护体系
一是明确“公民个人信息”的含义。2017年5月9日,两高公布《侵犯公民个人信息刑事案件适用法律若干问题的解释》及相关典型案例,以列举的方式确定“公民个人信息”概念。通过对“公民个人信息”采取列举和概括并行的方式进行扩充,解决了在司法实践中“公民个人信息”概念不明确的问题,从而保证了司法的公平与公正。二是补充侵犯公民个人信息行为构成要件的内容。侵犯公民个人信息犯罪行为构成要件的完善,需要从犯罪主观方面这一构成要件的规定范围内进行补充与完善。根据我国《刑法》的规定,侵犯公民个人信息的主观方面仅限于故意。然而在司法实务中,存在着某些情况——负有法定义务保护公民个人信息的信息控制者与信息处理者所掌握的公民个人信息一经泄露,便会对信息权利主体造成难以弥补的损害。因此,在刑法规制中可以扩大该行为的主观方面——即引进“重大过失”概念。三是完善刑法对公民个人信息行为的保护方式。我国现行《刑法》规定了三种侵犯公民个人信息的非法行为——即出售、非法提供与窃取,同时《刑法》所规定的“其他方法”在《解释》中也明确列举规定,即一是通过购买、收受、交换等方式不正当获取公民个人信息;二是特殊主体在履行职责、提供服务过程中违反相关规定收集、出售公民个人信息。尽管在《刑法》《解释》中明确规定该犯罪行为的行为方式,却疏忽了“使用”公民个人信息的行为方式。在生活中,仍存在着大量信息控制者与信息处理者之间达成协议,通过向信息权利主体发送信息以获取不正当的利益。由于此行为只是属于“使用”范畴,并没有相关法律法规的规定,因此难以将其定性为犯罪行为。由此可得,在我国《刑法》中应该引进“使用”的行为方式作为侵犯公民个人信息的非法行为。
由此,民法、行政法、刑法构成了对公民个人信息保护的三维法律体系,层层相联,层层相互递进,并通过法律手段对违法犯罪活动予以打击和惩治,健全公民个人信息法律保护的体系。
(二)立法模式更具有科学性
从全球范围看,大数据时代下,公民个人信息的法律保护是重中之重。通过借鉴美国、德国、日本以及新加坡等国家以及欧洲联盟地区的立法模式,并结合我国具体国情,应采取统一立法为主并辅以行业自律的立法模式。
采取統一立法为主模式,是由于我国在公民个人信息保护方面的相关法律规范不够健全与完整,因此就必须要专门制定的个人信息保护法作为母法,使之在根本上做出系统全面且具有指导性意义的公民个人信息保护法。采取行业自律为辅助模式不仅是因为个人信息保护十分复杂,还因为法律存在局限性,通过在不同领域内进行分散式立法来制定具有指向性的具体规则,以健全和补充相关法律体系。
(三)明确界定相关公民个人的权利与责任
对于公民个人主体而言,应当借鉴欧盟立法经验——即借鉴《通用数据保护条例》关于公民个人权利与责任的内容,专门进行立法来制定“公民个人信息保护法”作为基础法,保障公民个人拥有知情权、数据获取权、修改权及携带权等基本权利。对于公民个人而言,应当明确其保护公民个人隐私和信息安全所应承担的法律责任,要求其采取必要的技术管理措施,全面加强数据保护。由此,一是建立信息泄露通知制度,当公民个人信息有泄露的风险时,信息保管的主体必须及时向有关机构上报,通知并配合相关信息主体采取合理措施,降低其可能存在的潜在负面影响,并承担相应法律责任。二是确立信息收集的最小化原则,即第三方主体仅仅采集、储存和使用与其开展特定业务活动所直接相关联的公民个人信息,并保障信息利用者在小范围内进行使用。三是信息保管方在委托第三方对数据进行处理或共享信息时,信息使用主体应当履行监督义务,并承担相应法律责任。
四、结论
我们通过比较美国、德国、日本、新加坡、欧洲联盟等不同国家和地区对公民个人信息的法律保护,针对上述问题,认为大数据时代下公民个人信息的法律保护应从立法和司法角度,提出具有可行性的建议与对策,通过学习和借鉴国外先进经验和立法模式,取其精华,去其糟怕,并以我国的实际国情为攻克点,采取统一立法为主并辅以行业自律的立法模式,逐渐健全公民个人信息的法律保护体系。同时我国更宜采取公诉与自诉相结合的方式,即以自诉为主,公诉为辅的救济方式,充分发挥个人的积极主动性,避免造成司法资源的浪费。
[参考文献]
[1]齐爱民.个人信息保护法研究[J].河北法学,2008(4):18-25.
[2]于志刚.“公民个人信息”的权利属性与刑法保护思路[J].浙江社会科学,2017(10):7-10.
[3]李珂.非法获取公民个人信息行为研究[J].法制与社会,2017(5):35-36.
[4]周建.美国《隐私权法》与公民个人信息保护[J].情报科学,2001(6):6-10.
[5]王一帆.美国公立大学图书馆个人信息保护政策研究[J].情报资料工作,2010(6):28-30.
[6]肖志宏、赵东.美国保障信息安全的法律制度及借鉴[J].中国人民公安大学学报(社会科学版),2007(5):55-60.
[7]马民虎,冯立杨.德国联邦数据保护法的发展趋势[J].图书与情报,2009(1):104-106.
[8]蒋舸.个人信息保护法立法模式的选择——以德国经验为视角[J].法律科学(西北政法大学学报),2011(2):114-120.
[9]齐爱民.德国个人资料保护法简论[J].武汉大学学报,2004(4):466-469.
[10]马民虎,赵蝉.欧盟信息安全法律框架之解读[J].河北法学,2008(11):152-155.
[11]马治国,张磊.新加坡个人信息保护的立法模式及对中国的启示[J].上海交通大学学报(哲学社会科学版),2015(5):90-95.
[12]张苑.日本个人信息保护法的实施及其对中国的启示[D].对外经济贸易大学,2006:5-14.
[13]黄晨.日本个人信息保护法立法问题研究[D].重庆大学,2014:2-7.
(责任编辑:郭丽春 梁宏伟)