试析我国个人数据法律保护的趋势,本文主要内容关键词为:法律保护论文,趋势论文,我国论文,数据论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
信息时代,个人数据是一种具有潜在价值的信息,个人数据所有者享有对个人数据无可争议的所有权。个人数据具有鲜明的法律特征,其他相关人只能享有受限制的使用权。因此,必须加强对个人数据的立法保护,只有这样才能从根本上保护个人数据所有者的合法权益不受侵害。
1 个人数据的概念及法律特征
1.1 个人数据的概念
对于个人数据的概念,各个国家的法律表述是不同的。目前有两种代表性的看法,一种观点认为个人数据主体是自然人,英国在1984年制定的《数据保护法》对个人数据的规定相对全面、完整,比较有代表性。《数据保护法》规定:“个人数据是由有关一个活着的人的信息组成的数据,对于这个人,可以通过该信息(或者通过数据用户拥有的该信息的其他信息)识别出来,该信息包括对有关该个人的评价,但不包括对个人数据用户表示的意图。”[1] 另外一种有代表性的观点是,个人数据主体包括自然人以及死去的人,比如欧洲理事会在1992年的《理事会数据保护条例》修改建议稿中规定“个人数据是指有一个可识别的自然人的任何信息,不局限于以可处理形式存在的信息,它包括任何种类和任何形式的信息,只要这种信息是有关个人的,不论是活着的人或死去的人,并且只要这个人或者这些人是可以识别的”。
1.2 个人数据的法律特征
1)个人数据的内容是数据主体可被识别的个人信息。首先,个人数据是有关个人的信息,但不是指有关自然人的集合体的信息,也不包括有关公司、企业等法人或其他组织的信息。其次,个人数据应是足以对主体构成识别的信息。个人的姓名、性别、年龄、血型、健康状况、身高、地址、经历等都可以构成个人数据的内容,但这些内容必然构成对数据主体的识别,即通过这些信息所反映的内容再加上人们的一般判断,就可以从其他人中将该主体识别出来。然而,仅凭单个的个人数据对主体加以识别是非常困难的,因此,数据采集者往往根据其需要对主体的个人数据进行多角度、多层次的采集。在当今,有的数据采集(如采集某家族的血样)更是涉及到了主体的潜态数据(如血型、亲子关系、基因图谱等)[1]。可见,由多方位采集的个人数据对数据主体的识别功能越强,对个人隐私的保护要求越高。
2)个人数据的所有权为该数据的生成者所拥有。在当代,个人财产所有权已经为公众所熟知,但仍有一部分人并不清楚每个人都拥有对自己的个人数据的所有权和控制权。根据所有权的权能,只要不与法律和公共利益相抵触,所有权人均享有对个人数据的占有、使用、收益、处分的权利。但是,要把个人数据的所有者与提供者区分开来。在通常情况下,个人数据的所有者就是个人数据的提供者,这时两者没有区分的必要。然而在某些情况下,个人数据的所有者与提供者可能出现分离的情况,即数据的所有者与提供者是不同的主体。个人数据的所有者是该数据的生成体个人,无论他人对主体个人数据的获取方式与知悉程度如何,都不能改变个人数据的所有权归属。而无权处分人一旦对该主体个人数据实施处分或授权处分人对该信息处分不当,则都应承担相应的侵权或违约责任。
3)个人数据是构成个人隐私的重要内容。隐私权是公民依法享有拒绝、排斥任何未经法律批准的监视、窥探和防止个人私生活秘密、个人信息(个人数据)被披露的权利。隐私权是每个公民的法定权利,在任何一个民主的国度里,每个人都享有不受干扰地生活在社会中的自由,只要他没有违反法律的禁止性规定,本人又没有放弃隐私权,那么国家就有义务保障其个人数据、个人私事、个人领域的秘密不受侵害。隐私权既然是一种权利,主体就可以自主地处分自己的权利。因此,只要公民具备完全的民事行为能力,就有权自主决定自己的个人数据是否与别人分享以及与何人分享。一旦个人数据被别人非法占有、使用,公民就可依隐私权不受侵害的法律规定主张权利保护。在现有的科技水平下,基因是对个体具有最高识别能力的个人数据,比如个人的基因图谱就是一个人生命的全部秘密,它可以被用于对人的品格、智力、健康水平尤其是某种潜在素质的解释,对个人基因图谱的不正当使用,会给他的升学、就业和保险等方面带来歧视或不合理待遇,因此,个人基因图谱的保密是至关重要的。
4)个人数据控制权丧失后具有不可恢复性。网络空间及计算机设备具有无可比拟的信息传播与加工能力,任何有价值的信息一旦与人分享就会给分享者带来利益,个人数据被数据使用者获取后的潜在价值更是不可估量。由于个人数据具有信息的一般属性,因此,个人数据一旦与人分享,对数据使用者而言,信息控制权的回复只能具有形式上的意义,其实质意义则失之不可再得。因此,个人数据控制权的丧失并不意味着主体对该数据的物质形态失去了控制,而是其对该数据价值形态失去了控制,这种权利的丧失具有明显的不可恢复性。也就是说,与一般的所有权人享有对所有物的返还请求权不同,个人数据一旦与人分享,该个人数据就难以被权利人收回。即便该个人数据在物质形态上得以返还,但该数据为数据使用人所产生的利益是无从追索的。而且这种权利丧失,还可能带来个人隐私暴露于全球网络空间的巨大隐性危险。
2 我国个人数据法律保护的现状
目前已有近20个国家制定了个人数据保护方面的法律。瑞典在1973年制定了《数据库法》,其中规定:建立瑞典数据监督局,未经该局批准,任何人不得非法拥有他人的个人数据,并对有关数据资料的收集、利用、保管等方面进行了规范。1984年英国制定了《数据保护法》,规定不允许以欺骗手段从数据主体那里取得信息,取得个人信息必须征得有关个人的同意;只有为特定的和合法的目的,才能持有个人数据;使用或透露个人数据不得与持有数据的目的相冲突;必须采取安全措施,以防止个人数据未经许可而被扩散、更改、透露或销毁。日本也分别于1988年和1990年实施了《个人信息保护法》和《关于保护行政机构与电子计算机处理有关的个人数据法律》[2]。
2.1 我国个人数据法律保护的学理解释
目前我国关于个人数据和个人隐私,只有学理解释,没有法律界定。许多学者对个人数据或个人隐私进行了学理上的探讨。《中国民法典·人格权篇草案建议稿》把隐私权的保护范围界定为私人信息、私人活动、私人空间、身体隐私、生命信息、通讯自由和通讯秘密、个人资料等。在目前尚无个人信息保护立法的情况下,这种界定是为了适应信息时代隐私权发展的特点,尽可能实现对个人隐私的全面保护[3]。
2.2 我国现行个人数据保护的适用法律
我国的《宪法》和《民法通则》中都没有专门设立隐私权的概念,只是出现在人身权的相关保护之中。对公民的隐私一般采取适用的其他法律保护办法。《民法通则》虽没有直接涉及保护隐私权的规定,但最高人民法院的司法解释规定传播他人隐私的行为属于侵犯名誉权的行为。其他有关人格权制度的规定也体现了对隐私权的保护。另外诸如《刑法》、《刑事诉讼法》、《民事诉讼法》、《行政诉讼法》、《律师法》、《统计法》等法律法规也都或多或少地涉及到了隐私权的法律保护。我国目前对网上个人数据的保护还没有专门的法律规定。信息产业部2000年10月8日第4次部务会议通过并于11月7日实行的《互联网电子公告服务管理规定》第十二条规定:电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意不得向他人泄露,但法律另有规定的除外[4]。
2.3 我国个人数据法律保护中存在的问题
公众对隐私问题的认识还有许多误区,对保护自己和他人隐私的意识还很薄弱,社会存在着各种侵犯隐私的行为和现象。到目前为止我国还没有一部完整意义上的个人信息保护法或个人数据保护法,但是国务院信息管理办公室已经开始起草个人信息保护法(专家建议稿),近日已将建议稿提交[5]。按照立法程序,国务院信息管理办公室将根据专家建议稿形成个人信息保护法草案,提交国务院审议,国务院审议认可后将向全国人大常委会提交草案。
3 我国个人数据法律保护的趋势
3.1 制定《个人信息法》
3.1.1 明确个人数据的范围 法律应当对所保护的个人数据的客体包括公共事务管理机关可以收集的个人数据的范围加以界定。如英国1984年《数据保护法》、加拿大《个人隐私法》、美国《个人隐私法》及欧盟1995年《数据保护规章》对此均有界定。我国台湾的《电脑处理个人资料保护法》中规定[6]:保护客体即是个人资料,所谓“个人资料”是指自然人的姓名、出生年月日、身份证号码、特征、指纹、婚姻、家庭、教育、职业及其他足以识别该个人的资料,亦即可以凭借该资料辨识谁是资料本人的资料。
3.1.2 明确数据主体的权利 个人数据主体也就是个人数据所有者的权利是两种权利的结合:其一,是基于数据所有者对数据的所有权而产生的个人权利,内容包括:控制权、受益权、知情权、修改权、完整权、请求司法救济权;其二,是基于该数据所有者所提供的个人数据作为个人数据集合体——数据库的组成部分而产生的集合权利。
3.1.3 确定数据用户的义务 ①首先要确立对个人数据不得任意收集的原则。对于大规模个人数据的收集只能是由法定的公共事务管理机构,如公安机关等,按法定的程序来收集。这种在公共事务管理机构之间的使用范围的扩大也不得随意,法律应当规定何种情况可以扩大,何种情况不可;按照对个人数据的分类,哪些个人数据可以共享,哪些不可以共享;并对访问权限进行设置。总之,这种获得个人数据的行为,不论是收集还是从他处实现共享,都必须是法律授权的,也就是要有法律依据。②法律应当规定个人与个人数据收集机构的权利义务。对于个人来说,法律应明确赋予其控制自身数据的权利;在其按规定向收集机关提供其个人数据后享有获得相应服务、办理相关事务的权利等。同时个人又负有按规定主动、如实地向收集机关提供、及时更正其个人数据的义务等。对于个人数据收集机构来说,拥有按法律规定收集、加工、使用个人数据的权利以及维护其收集工作正常进行的权利等。其义务在于告知数据提供人其权利义务;保护数据提供人的隐私;维护所收集个人数据的安全和完整;透明化对个人数据的使用状况;接受法定监督机关以及公民的监督等。这里需要指出的是,由于个人数据一旦成为收集机关加以使用的数据,即具有权威性,对个人的权益产生影响,所以个人对其提供的数据的真实可靠性负有责任,收集机关亦有在数据的收集、加工、使用过程中避免其出现差错的责任,由此产生的不利后果应当由过错方承担。
3.2 网络环境下个人数据的法律保护问题成为重点
在网络环境下,每一个用户的个人数据信息都有被他人窃取、存储和复制的可能,如何保护我们每一个人的网上隐私就变得尤为重要。从历史上来看,政府可以通过法律和政策对媒体予以限制,从而达到保护个人隐私不受侵犯的目的。这就意味着,政府同样可以通过法律和政策对因特网上搜集个人数据、侵犯个人隐私的行为进行规范和限制。
所以就我国的互联网用户而言,在法律上既没有新的网络隐私保护的规定可供适用,也不能求助于传统隐私权的保护手段来保护个人的网络隐私。在这种情况下,我国2000多万网上用户的隐私权实际上处于一种非常危险的状态,一旦出现互联网服务提供商或其他的主体通过网络非法搜集网上个人用户的隐私资料,并用作对当事人不利的方面,网上用户很容易陷入孤立无援的境地[7]。目前,对于网上用户来讲,要想获得自己隐私权的法律保护几乎是不可能的。但这不等于用户不关心自己的网上隐私,不担心自己网上的隐私材料被他人非法搜集或利用。到目前为止,我国出现过网上非法搜集他人隐私材料并将之用于商业用途的实例。越来越多的用户,包括专家都对这一问题有了清醒的认识,强烈呼吁完善并健全我国的有关立法,加强对网上用户个人隐私的保护。
总之,随着互联网技术的普及,通过互联网对个人数据的搜集也达到了前所未有的程度。它所带来的直接后果之一便是个人隐私权保护变得更加困难。因此,无论是从个人的角度,还是从社会的角度,解决这一问题的关键是如何在两种相互冲突的利益之间,通过法律及法律的实施来保持二者之间的平衡,既不能因过分考虑社会利益而忽视个人利益,更不能仅从维护个人隐私权的角度出发,盲目限制政府或其他商业组织对个人数据的搜集和利用,这些都是我国在制定个人数据法律所要考虑的。