在信息社会里,个人信息既是促进经济发展的资源,也是推动社会整合、制度变迁的动力,因而对个人信息的过度保护可能会阻碍信息的有效流动和功用发挥,但不足的保护又将导致个人信息被滥用,引发诚信危机。3月15日,十二届全国人大五次会议通过的《中华人民共和国民法总则》(下称“民法总则”)对公民个人信息保护作出了明确规定,再次引发对个人信息保护的关注。针对个人信息保护,是制定个人信息保护法还是梳理、整合现有法律法规,形成保护合力?近日,记者就此采访了中国人民大学教授张新宝、北京师范大学刑事法律科学研究院教授卢建平。
记者:如何界定公民个人信息及定性侵犯公民个人信息的行为?
张新宝:网络安全法第76条第5款明确了公民个人信息的概念,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。判断是否构成个人信息的核心标准和兜底规则是,凡是能够单独或者与其他信息结合识别自然人个人身份的信息,不局限于法律的明确列举,即使没有在法律条文中列举出来,也属于个人信息。
全国人大常委会关于加强网络信息保护的决定、刑法修正案(七)、刑法修正案(九)、网络安全法都对侵犯公民个人信息的行为进行了界定,民法总则第111条对侵犯公民个人信息的行为进行了更为详细的规定。其中,“不得非法收集、使用、加工、传输他人个人信息”,也就是任何没有得到法律授权、个人信息主体同意的收集、使用、加工、传输个人信息的行为都是非法行为,为法律所禁止。得到个人信息主体同意或者得到法律授权的收集、使用、加工、传输个人信息行为,则不是非法行为,不为法律所禁止。同时,民法总则还规定了不得非法买卖、提供或者公开个人信息,也就是说合法的交易或者提供个人信息不应被禁止。
卢建平:我认为,应当根据信息社会信息量大、传播速度快等特点,立足于权利保护的立场予以界定公民个人信息,未来还可以对个人信息的界定作进一步完善,如根据个人信息的重要程度,按照一定标准进行信息分层,对于不同层次的个人信息,制定不同的保护措施。
是否属于侵犯公民个人信息的行为,可以从合法性、必要性和正当性三个方面进行判断。首先,使用公民个人信息的行为必须有法律依据。其次,要求公民提供个人信息时,只要所需的个人信息能够满足使用目的即可,不能获取不必要的公民个人信息。再次,使用公民个人信息的目的是为了保护公民信息权利,为公民提供更好的服务。
记者:如何在合法保护与合理利用之间形成一种平衡的张力,在价值冲突下进行良好的协调?
卢建平:合法保护与合理利用二者会有一定冲突,因此,需要法律进行界定和保护。首先,应明确公民个人信息的权利属性,以及法律保障的公民个人信息的范围。其次,规定不同的使用主体、使用途径及可以合理利用的边界。此外,公民须对个人信息进行一定程度的让渡,使合法保护与合理利用形成一种相对的平衡。当然,让渡的目的是为了更好地保障人权和人格尊严。所以,网络安全法和民法总则都对公民个人信息的收集、使用作了诸多限制性规定,其目的是为了更好地保护公民个人信息的安全,实现合法保护与合理利用二者之间的平衡。
张新宝:所谓个人信息保护,就应是一种个人信息保护与合理利用的平衡。互联网和大数据时代来临,个人信息保护与个人信息合理利用的需求都亟待强化,问题的关键仍然在于个人信息保护与利用的利益平衡。我认为,可行的方案是以一定的标准实现对个人信息的区别保护和利用,结束个人信息保护与利用零和博弈的状态,实现个人信息保护与利用的多赢。对此,我提出“两头强化、三方平衡”的理论构想。具体说来,“两头强化”需要借助于“个人敏感(隐私)信息”的概念,在区分个人敏感(隐私)信息与个人一般信息的基础上,通过分别强化个人敏感(隐私)信息保护、强化个人一般信息利用,调和个人信息保护需求与个人信息利用需求之间的冲突,实现信息主体、政府、信息业者三方之间的利益平衡。
个人敏感(隐私)信息并不是一个新概念,欧盟立法中早就开始使用。在欧盟之外,也有不少国家和地区采用这个概念,比如日本、新加坡等。采用个人敏感(隐私)信息的概念,主要是对个人信息进行类型化区分,适用不同的保护和利用规则。这个概念本身,便预警着某些特殊类型的个人信息需要特别保护,需要求更高的安全等级保护,侵害此类个人信息,会面临更重的法律责任。
记者:依目前的情况来看,是对相应法律进行系统化梳理和整合来保护个人信息,还是制定一部个人信息保护法更具有操作性?
张新宝:对于我国未来个人信息保护的立法动向,我认为出台专门性的个人信息保护法较为妥当。世界范围内已经有多个国家或地区制定了个人信息保护法,这是一个全球面对信息化进程的立法趋势,原因就在于个人信息保护涉及的问题众多、原因复杂,需要进行基本法层面的体系化的立法,也就是统一的个人信息保护法。我国现在虽然有诸多规定涉及到个人信息保护问题,但碎片化的立法缺乏顶层设计,未来还是出台个人信息保护法更有利于治理侵犯个人信息乱象。
卢建平:从对公民个人信息保护的有效性和针对性来看,制定一部个人信息保护法是不可缺少的,国外一些国家也多有专门的公民个人信息保护法,例如,法国信息与自由法、加拿大个人信息保护和电子文件法案等。但需要注意的是,在信息社会,公民个人信息具有广泛性和渗透性,社会生活的方方面面都有公民个人信息的存在,仅靠一部法律对公民个人信息进行保护,力度是不够的,同时需要其他法律一起形成公民个人信息保护的合力,应该建构以个人信息保护法为主、其他法律为辅的公民个人信息保护法律体系。
记者:如何构筑立体化的民事、行政、刑事法律规范体系,使社会在畅享信息便捷优势的同时,不再为信息安全问题而瞻前顾后,实现个人信息的合法收集、有序流动、合理利用?
卢建平:个人信息属于公民人身权利的范畴,因此,个人信息的法律保护必须置于宪法的前提下,依靠行政法、刑法保护的“支柱”,在民法的原则基础上,通过公民个人信息法的专门立法,对于这一新型权利予以良善的保护。其中,公民个人信息的刑法保护需要注意以下问题:第一,刑法应当与后续出台的个人信息保护法实现高度衔接,进一步扩大刑法保护的范围,全面覆盖个人信息的采集、处理、保管、使用、期限等问题,特别关注内容敏感的个人信息。第二,犯罪主体应当包括自然人和法人,主观方面应当包括故意和过失,客观方面应当既有本人的实行行为,也有指使他人进行信息处理的行为,既有作为,也有不作为。第三,刑法既要考虑到个人信息本身的价值和易受侵害的特性,也要考虑到个人信息对于科学研究、统计等活动的重要意义,在立法规定禁止和制裁相关犯罪的同时,也应当为合理使用(如为了科学研究需要而进行的信息处理)留下足够的空间。
张新宝:完善的个人信息保护应当是包含民事救济、行政制裁、刑罚手段相结合的综合性责任体系,三者各有侧重。
就刑事责任而言,从刑法修正案(七)到刑法修正案(九)中的侵犯公民个人信息罪,犯罪主体进一步扩大,但是还应当通过司法解释等途径明确该罪中“情节严重”的认定标准。
对于行政处罚而言,最主要的问题是改变个人信息保护执法与监管的现状:一是多头监管的各部门分散监管体制,需要进行适度的职权集中,确立个人信息保护主管机关,组织、协调其他各部门的个人信息监管工作;二是创新个人信息保护执法方式,借助于网络技术手段,拓宽对违法犯罪行为的主动识别,改变行政监管被动的局面,建立个人信息监管的长效机制。
对于个人信息保护的民事责任体系,消费者权益保护法修订时,明确了消费者个人信息依法受到保护的权利,并规定了经营者侵害消费者此项权利相应的民事责任。民法总则将自然人个人信息受法律保护明确规定在民事基本法之中,未来民事主体可以据此请求违约责任或侵权责任。同时,对于“内外鬼”联合作案、客观上构成侵犯个人信息的违法犯罪行为等情形,可以适用连带责任、补充责任等规定,拓宽问责主体范围。