論網路個人信息的行政法保護
A. 網路游戲帳號受法律保護么
應當將網路游戲消費者對游戲帳號及游戲中裝備享有的專屬權利視為一種新類型的物權,則我們如何對此類物權予以保護,如何對侵害此類物權的行為予以制裁?
(1) 刑法保護
實踐中曾有公安機關在網路游戲玩家的協助下抓獲盜竊玩家帳號的「慣犯」,該慣犯多次盜竊總計價值數萬元的高級別玩家帳號並出售其中的裝備,最終公安機關的網路安全管理部門以破壞計算機網路管理秩序為由對該名慣犯予以罰款的行政處罰。筆者認為,該則案例中以行政處罰代替刑罰處罰並不適當。然而,對盜竊網路游戲帳號或網路游戲虛擬財產數額較大的是否應當予以刑罰處罰?如果應當進行刑罰處罰,適用何種罪名?此類問題在學界頗有爭議。
實踐中有公安機關對將侵犯網路游戲中虛擬財產的行為納入刑罰處罰的觀點頗有微詞。據筆者了解,公安機關對打擊此類行為態度不夠積極的原因除法律無明文規定外,另有「隱情」。據統計,著名的網路游戲「傳奇」在鼎盛時期全國共有注冊游戲用戶7000萬人,每日「沉溺」其中的玩家逾60萬,而每日發生的「盜號」案件數量根本無法統計。倘若刑法規定對盜竊游戲帳號的行為進行刑罰處罰,則各地公安機關人手本來匱乏的網路安全部門必將陷入極度繁忙的被動局面。
更有甚者認為:目前上網人員以在校大、中、小學生為多,有些游戲公司想盡各種手段來促銷,爭奪學生的學習時間,網路游戲應該如何發展,本來就是一個爭議頗大的問題,網路游戲不值得提倡,甚至還需考慮在一定層面上進行限制。
然筆者認為,實踐操作層面的可行性矛盾固然存在,但可以通過適當的途徑解決,不能因為操作層面有困難我們即迴避問題。同時,正如我們不能因青少年可能通過網路接觸不良信息而限制網路發展一樣,我們也不能以網路游戲可能「謀殺「青少年學習時間而扼殺網路游戲或者拒絕對該新興產業進行應有的法律保護。
正如前文所述,網路游戲的消費者通過購買「點卡」的方式支付了相應價金而取得的游戲帳號和游戲裝備等盡管無形,但同樣為公民個人所有的合法財產,其所有權理應受到刑法的保護。否則,將與《憲法》規定的保護公民合法個人財產的原則不符,亦有悖法律的「公平」理念。而以行政處罰或民事侵權賠償等手段替代刑罰處罰也有處罰力度不夠,不足以控制此類行為蔓延之虞。故筆者以為,應當將盜竊游戲帳號的行為納入刑法調整的范圍。
我們首先來考察現行《刑法》對計算機網路犯罪的有關規定。1、非法侵入計算機信息系統罪。《刑法》第二百八十五條規定:「違反國家規定,侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的,處三年以下有期徒刑或者拘役。」盜竊網路游戲帳號和游戲裝備行為顯然並無侵入國家事務、國防建設、尖端科學技術領域計算機信息系統的客觀方面,故不能適用該罪名。2、破壞計算機信息系統罪。《刑法》第二百八十六條共三款,規定了「對計算機信息系統功能進行刪除、修改、增加、干擾」,「對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加」,「故意製作、傳播計算機病毒等破壞性程序,影響計算機正常運行」等造成嚴重後果的行為可予以刑罰處罰。該條規定針對的是破壞計算機信息系統的犯罪,而盜竊網路游戲帳號和游戲裝備的行為本身並不破壞網路,而只是利用網路竊取他人的無形(虛擬)財產,故援用該罪名亦不適當。
現行《刑法》第二百八十七條的規定給了我們一定的導向。該條文規定:「利用計算機實施金融詐騙、盜竊、貪污、挪用公款、竊取國家秘密或者其他犯罪的,依照本法有關規定定罪處罰」。盜竊網路游戲帳號和游戲裝備的行為必然利用計算機方能實施,依照前文所述,玩家對網路游戲帳號和游戲裝備享有的專屬權可歸入特殊物權一類,因此,我們能否將盜竊網路游戲帳號和游戲裝備的行為歸入侵犯公民財產權利的犯罪類型?
《刑法》第二百六十四條規定了對盜竊公私財物犯罪的處罰。通說認為,盜竊罪的客觀方面為秘密竊取他人財物且數額較大,侵犯的客體為他人合法的財產權利;盜竊罪的主體為一般主體,盜竊罪的主觀方面為有非法佔有他人財物的意圖。按盜竊罪的構成要件來考察盜竊他人網路游戲帳號和裝備的行為,我們不難發現,其完全(可以)契合盜竊罪的四個構成要件——一般主體以非法佔有為目的,採用秘密竊取手段,侵害他人合法無形財產權益。但是,在此之前,我們需要解決兩個疑問:網路游戲帳號和游戲裝備是否是他人合法「財產」?如果屬於他人合法財產,如何確定該財產的價值,以界定是否「數額較大」而構成了犯罪?
首先,筆者認為,《刑法》二百六十四條中所言之「公私財物」與民法物權保護的權利標的物當屬同一范疇,其包含了公民所有的有形和無形的個人合法財產。《最高人民法院關於審理盜竊案件具體應用法律若干問題的解釋》第一條第三款已經將盜竊電力、煤氣、天然氣等無形物的行為納入盜竊罪的處罰范圍,由此可以推斷盜竊罪中的「公私財物」並非局限於有形物,具有稀缺性的無形財物同樣受刑法保護。
其次,如何確定被盜竊的網路游戲帳號與游戲裝備的價值是必須解決的第二個難題。因為,第一,網路游戲帳號與裝備等盡管在玩家這一特殊群體中可能價值不菲,但對於網路游戲消費者以外的其他人群而言便「一文不值」;第二,網路游戲帳號與裝備在玩家當中可能有較明確的價格,但在不同時間或者不同地域,其價格可能波動較大。
有觀點認為,刑法保護的公私財物應當在「普遍意義」上具有一定價值,即對於一般人群而言均具有價值,故網路游戲帳號和裝備不應當納入刑法的保護之列。對次觀點,筆者不敢苟同。筆者認為,刑法所保護的公私財物具有如下性質:其一,財產權屬的合法性,即屬於權利主體合法所有;其二,財物的稀缺性;其三,財物的有價值性。這里我們不妨引入經濟學上物的「價值」與「使用價值」的概念。物的使用價值指物能夠滿足人們生產和生活某種需要的功能,就該意義而言,網路游戲帳號與裝備並不具有普遍意義的使用價值;而價值指物所凝聚的一般人類勞動,換言之即指物有兌換為貨幣的可能,就這一點而言,顯然網路游戲帳號與裝備具有價值。刑法既然對郵票、紀念幣等對於收藏愛好者以外的人群同樣無「使用價值」但可「變現」的財物予以保護,則理應對網路游戲帳號與裝備「一視同仁」。
至於如何確定被盜游戲帳號與裝備的價值,筆者認為應當以案發當時、當地在游戲玩家中該級別帳號與虛擬財產的「市場」價格界定。據筆者了解,公開出售網路游戲帳號與裝備的網站不少,在認定被盜帳號與裝備時,可以參照此類網站發布的價格。同時,公安機關可以調查網路游戲帳號與裝備在玩家間交易的一般價格以確定被盜帳號與裝備的價格用以作為量刑時的參考。
(2) 民法保護
實踐中,除盜竊網路游戲帳號和裝備用以出售牟利的案例較為常見外,惡作劇性質的竊取、修改他人游戲密碼,令游戲玩家無法進入游戲的案例同樣屢見不鮮。既然我們此前已經明確玩家對游戲帳號與游戲虛擬財產享有的專屬權屬物權的范疇,因此,對於此類案例,筆者認為,情節嚴重的,可適用刑法二百七十五條「故意破壞財物罪」之規定;情節輕微的,受到侵害的游戲玩家只要掌握了足夠的證據,可以提起民事侵權之訴來維護自己的財產權利。法院對於原告確有證據證明侵權行為發生的,可以判令侵權方停止侵害、返還財產(游戲帳號或裝備)、賠禮道歉、賠償損失等。當然,提起此類民事侵權之訴的難點在於,侵權方通過互聯網即可實施侵害行為,故具有相當大的隱蔽性,受侵害方要找到侵權方並證明其實施了侵權行為難度頗大。然而,筆者認為,只要受侵害方能夠舉證證明侵權人實施了侵權行為,法院即應當比照一般財產侵權之訴作出維護權利人合法權益的判決。
(3) 行政法保護
前文提到,實踐中已經有公安機關參照維護網路秩序方面的行政規章對盜竊游戲帳號才行為予以罰款的行政處罰。筆者認為,以行政處罰代替刑罰處罰確有不妥,但對於擾亂網路游戲秩序但情節輕微、涉案金額不大、尚不構成犯罪的行為予以罰款乃至拘留等適當的行政處罰亦有積極意義。一來可以震懾此類不法行為,二來也可以增加公安機關監管此類行為的積極性。
筆者認為,不論從刑法、民法抑或行政法的角度制裁擾亂網路游戲秩序的行為,當務之急均是盡快修訂相關法律、法規,或出台相關的司法解釋和行政規章,從立法或准立法的層面明確將侵害網路游戲秩序的行為納入法律、法規調整的范圍。因為,「沒有政策面的推動,(網路游戲)這一『新生事物』要以正當行業的面目浮出水面,不太可能」;也惟有如此,才能打消公安、司法機關在處理此類案例上「法無明文規定」的顧慮,依法制裁破壞網路游戲秩序的行為,還網路游戲這一新興產業以健康的發展空間。
B. 公民衛生健康信息在行政法中的體現
現有行政法對個人信息的保護:
1.個人信息保護的行政立法
我國眾多法典中有眾多關於個人信息保護的法律,但分布過於鬆散,規定不夠明確統一,很多條款都無法確定范圍並且缺乏實施性,即使法律條款眾多也不能起到保護作用。
將部分法規根據效用與規定內容進行劃分,可分為四類。第一類主要進行事前預防,內容為個人信息的內容和收集范圍,主要的法規有《中華人民共和國護照法》《全國人口普查條例》《中華人民共和國居民身份證法》等。第二類也是進行事前預防,但內容為信息處理者接收個人信息應承擔保密義務,主要條例有《中華人民共和國政府信息公開條例》《中華人民共和國行政許可法》和《中華人民共和國統計法》。第三類主要進行事中監管,規定內容為信息使用者申請使用時的審核和查詢程序,主要法規為《徵信管理條例》。第四類主要進行事後監督和救濟,規定內容為公民個人信息受到行政主體侵害時應承擔相應的行政責任,主要法規有《行政復議》《中華人民共和國行政處罰法》和《中華人民共和國行政訴訟法》。
2.個人信息保護的行政執法
個人信息泄露往往可以通過多種途徑,其中一種就是行政機關管理不到位引起。我國對於個人信息的保護沒有切實可靠的規章制度,行政機關通過互聯網收集公民個人信息的途中或是存儲等環節都有可能發生資料泄露的情況。在我國的相關法規中,雖然事前、事中、事後都做到了相應規定,但是這些法規都只屬於理論層次,操作性不強,並且分散於不同法規,缺乏針對性,無法真正做到保護個人信息安全。
C. 中國個人隱私法條例有那些
有關涉及到個人隱私的法律條文有以下規定:
1、《憲法》規定,第三十八條中華人民共和國公民的人格尊嚴不受侵犯。
2、《民法通則》規定,第一百零一條 公民、法人享有名譽權,公民的人格尊嚴受法律保護,禁止用侮辱、誹謗等方式損害公民、法人的名譽。【人格權就包括隱私權】
3、《治安管理處罰法》第四十二條有下列行為之一的,處五日以下拘留或者五百元以下罰款;情節較重的,處五日以上十日以下拘留,可以並處五百元以下罰款:(二)公然侮辱他人或者捏造事實誹謗他人的;(六)偷窺、偷拍、竊聽、散布他人隱私的。
4、《侵權責任法》規定, 第二條 侵害民事權益,應當依照本法承擔侵權責任。本法所稱民事權益,包括生命權、健康權、姓名權、名譽權、榮譽權、肖像權、隱私權、婚姻自主權、監護權、所有權、用益物權、擔保物權、著作權、專利權、商標專用權、發現權、股權、繼承權等人身、財產權益。
5、《民事訴訟法》規定
第一百三十四條人民法院審理民事案件,除涉及國家秘密、個人隱私或者法律另有規定的以外,應當公開進行。
第一百五十六條公眾可以查閱發生法律效力的判決書、裁定書,但涉及國家秘密、商業秘密和個人隱私的內容除外。
6、《刑事訴訟法》規定,第五十二條人民法院、人民檢察院和公安機關有權向有關單位和個人收集、調取證據。有關單位和個人應當如實提供證據。......對涉及國家秘密、商業秘密、個人隱私的證據,應當保密。
第一百五十條採取技術偵查措施,必須嚴格按照批準的措施種類、適用對象和期限執行。偵查人員對採取技術偵查措施過程中知悉的國家秘密、商業秘密和個人隱私,應當保密;
第一百八十三條人民法院審判第一審案件應當公開進行。但是有關國家秘密或者個人隱私的案件,不公開審理;涉及商業秘密的案件,當事人申請不公開審理的,可以不公開審理。
拓展資料:
隱私權是指自然人享有的私人生活安寧與私人信息秘密依法受到保護,不被他人非法侵擾、知悉、收集、利用和公開的一種人格權,而且權利主體對他人在何種程度上可以介入自己的私生活,對自己的隱私是否向他人公開以及公開的人群范圍和程度等具有決定權。隱私權是一種基本人格權利。
D. 個人信息保護法的現象分析
個人信息的法律保護問題是近半個世紀以來隨著信息社會的發展而日益凸顯的問題。由於社會觀念、信息產業、科學技術以及立法規劃等方面的原因,我國很長一段時間以來沒有認識到保護個人信息的重要性,因此直到現在為止,我國還沒有制定專門的個人信息保護方面的法律。當然,這並不意味著我國對個人信息不進行保護。現階段,我國對個人信息的保護,主要體現在兩大方面:一是在與個人信息保護有關的法律法規中設置個人信息保護條款對個人信息加以法律保護。個人信息的法律保護又可以表現為法律的直接保護和間接保護,所謂法律的直接保護即法律法規明確提出對「個人信息」進行保護;間接保護即法律法規通過提出對「人格尊嚴」、「個人隱私」、「個人秘密」等與個人信息相關的范疇進行保護進而引申出對個人信息的保護。二是通過信息控制人的單方承諾或特定行業的自律規范的承諾對個人信息加以自律性質的保護。個人信息在自律保護也表現為兩方面,即企業通過單方承諾這種市場運作方式對個人信息加以保護,以及特定行業組織通過行業自律規范對個人信息確立行業保護標准進而進行保護。
一、我國法律對個人信息的直接保護
通過全國人大網站中全國法律法規資料庫搜索引擎的搜索,我們發現,我國直接對「個人信息」加以保護的法律、法規、規章及司法解釋的數量相當有限,其中全國性的法律中僅有《中華人民共和國護照法》、《中華人民共和國身份證法》直接規定了「個人信息」的保護問題。《中華人民共和國護照法》(2006年4月29日通過,2007年1月1日實施)第十二條第三款規定:「護照簽發機關及其工作人員對因製作、簽發護照而知悉的公民個人信息,應當予以保密。」第二十條規定:「護照簽發機關工作人員在辦理護照過程中有下列行為之一的,依法給予行政處分;構成犯罪的,依法追究刑事責任:……(五)泄露因製作、簽發護照而知悉的公民個人信息,侵害公民合法權益的……」《中華人民共和國身份證法》(2003年6月28日通過,2004年1月1日實施)第六條第三款規定:「公安機關及其人民警察對因製作、發放、查驗、扣押居民身份證而知悉的公民的個人信息,應當予以保密。」第十九條規定:「人民警察有下列行為之一的,根據情節輕重,依法給予行政處分;構成犯罪的,依法追究刑事責任:……(五)泄露因製作、發放、查驗、扣押居民身份證而知悉的公民個人信息,侵害公民合法權益的。」
在全國范圍內具有規范效力的行政法規、部門規章和司法解釋直接提及「個人信息」保護問題的主要也僅有如下幾項:(1)《2006---2020年國家信息化發展戰略》。該《發展戰略》第六條第五項提出了「推進信息化法制建設」的要求,並提出:「加快推進信息化法制建設,妥善處理相關法律法規制定、修改、廢止之間的關系,制定和完善信息基礎設施、電子商務、電子政務、信息安全、政府信息公開、個人信息保護等方面的法律法規,創造信息化發展的良好法制環境。根據信息技術應用的需要,適時修訂和完善知識產權、未成年人保護、電子證據等方面的法律法規。加強信息化法制建設中的國際交流與合作,積極參與相關國際規則的研究和制定。;(2)《互聯網電子公告服務管理規定》(2000年10月8日通過,同日起施行)。該《管理規定》第十二條規定:「電子公告服務提供者應當對上網用戶的個人信息保密,未經上網用戶同意不得向他人泄露,但法律另有規定的除外。 (3)《最高人民法院、最高人民檢察院關於切實保障司法人員依法履行職務的緊急通知》(法[2005] 173號)(2005年8月25日頒布,同日起施行)。該《通知》第六條「加強司法警察隊伍建設和保密工作,做好宣傳教育工作」指出:「……強化案件保密工作,嚴禁違反規定泄露案情以及辦案人員的通訊方式、住址等個人信息,對於泄密行為,應當依照《人民法院審判紀律處分辦法》、《檢察人員紀律處分條例》的有關規定嚴肅懲處……」另外,少數地方性法規中,也偶有涉及個人信息保護的直接規定,例如:2003年修正的《北京市未成年人保護條例》第四十九條規定:「……任何組織和個人未經未成年人的監護人同意,不得在互聯網上收集、使用、公布未成年人的個人信息。」2003年12月23日上海市通過了個人信用信息方面的地方性法規—《上海市個人信用徵信管理試行辦法》,對個人信用信息的採集、處理、提供等作了較為詳細的規定。
需要特別指出的是,中國人民銀行2005年通過了有關個人信用信息管理及保護的專門性部門規章—《個人信用信息基礎資料庫管理暫行辦法》(2005年6月16日通過,2005年10月1日起實施)。該辦法包括總則、報送和整理、查詢、異議處理、安全管理、罰則、附則七章,共45條,對個人信用信息的收集、處理、利用、流通等作了較為詳細的規定。從內容方面觀察,該辦法在很大程度上遵循了個人信息保護的收集限制原則、信息質量原則、目的特定原則、使用限制原則、安全保障原則、公開原則、個人參與原則及責任原則。雖然該辦法在內容上還存在一些缺陷和漏洞,例如缺乏爭議信息的封存制度、錯誤信息導致個人損害的民事賠償制度等,但無論如何,我們可以將該辦法視為我國個人信息保護立法史上的一座里程碑,它開創了我國特殊領域的個人信息保護立法。
二、我國法律對個人信息的間接保護
在我國,除了上述直接明確提出對個人信息加以保護的法律法規之外,還存在一些通過規定保護人格尊嚴、個人隱私、個人秘密等與個人信息相關的范疇進而保護個人信息的法律。在根本大法方面,我國《憲法》(1982年)的「公民的人格尊嚴不受侵犯」、「公民住宅不受侵犯』,、「公民享有通信自由和通信秘密的權利」、「國家尊重和保障人權」等相關條款均可解釋為個人信息應當受到法律保護的憲法依據。在國家的基本部門法中,也或多或少、或明或暗地存在一些與個人信息保護有關的法律條款,例如:《民法通則》(1986年)關於人身權的相關規定中規定了「公民的人格尊嚴受法律保護」;《刑法》(1997年)在「侵犯公民人身權利、民主權利」的專章中,明確將「非法搜查他人身體、住宅,或者非法侵入他人住宅」、「侵犯公民通信自由」等行為列為犯罪行為;《民事訴訟法》(1991年)規定「對涉及個人隱私的案件應當不公開審理」;《刑事訴訟法》規定「涉及個人隱私的案件不公開審理」、「十四歲以上不滿十六歲未成年人犯罪案件,一律不公開審理。十六歲以上不滿十八歲未成年人犯罪的案件,一般也不公開審理」。
關於個人信息的間接保護,在淵源上除了上述國家根本大法和基本部門法之外,還有許多容易被忽視的部門法或行政法規、規章、司法解釋等。在婦女兒童個人信息的特殊保護方面:《婦女權益保護法》(1992年)規定:「婦女的人格尊嚴受法律保護」;《未成年人保護法》(1991年)規定:「尊重未成年人的人格尊嚴」、「任何組織和個人不得披露未成年人的個人隱私」;《母嬰保護法》(1994年)規定:「從事母嬰保健工作的人員應當嚴格遵守職業道德,為當事人保守秘密」。在個人醫療信息方面:《執業醫師法》(1999年)規定「醫生不得披露治療中獲得的健康信息」;《醫療機構病歷管理規定》(2002年)要求「除對患者實施醫療活動的醫務人員及醫療服務質量監控人員外,其他任何機構和個人不得擅自查閱患者的病歷」;《醫療事故處理條例》(2002年)進一步要求「醫療機構在復制或復印病歷資料時應當有患者在場」;《傳染病防治法》(2004年)禁止「故意泄露傳染病病人、病原攜帶者、疑似傳染病病人、密切接觸者涉及個人隱私的有關信息、資料」;《關於對艾滋病病毒感染者和艾滋病病人的管理意見》(1995年)規定:「從事艾滋病病毒感染者和艾滋病病人診斷、治療及管理工作的人員,不得向無關人員泄露有關信息。任何單位和個人不得將艾滋病病毒感染者和艾滋病病人的姓名、住址等個人情況公布或傳播」。在個人通訊信息方面:《郵政法》(1986年)規定:「除法律另有規定外,郵政企業和郵政工作人員不得向任何組織或者個人提供用戶使用郵政業務的情況」;《全國人民代表大會常務委員會關於維護互聯網安全的決定》(2000年)禁止「非法截獲、篡改、刪除他人電子郵件或者其他數據資料」;《互聯網安全保護技術措施規定》(2005年)規定:「互聯網服務提供者、聯網使用單位應當建立相應的管理制度。未經用戶同意不得公開、泄露用戶注冊信息,但法律、法規另有規定的除外。」在個人金融信息方面:《商業銀行法》規定:「商業銀行應當遵循為存款人保密的原則」、「對個人儲蓄存款,商業銀行有權拒絕任何單位或者個人查詢、凍結、扣劃,但法律另有規定的除外」;《個人存款賬戶實名制規定》規定:「除法律法規另有規定以外,金融機構不得向任何單位或者個人提供有關個人存款賬戶的情況」。在律師執業方面:《律師法》(2001年)規定:「律師應當保守在職業活動中知悉的當事人的隱私」;《律師執業行為規范》(2004年)規定:「律師必須保守委託人的個人隱私」。在檔案信息方面,《檔案法》規定:「一切國家機關、武裝力量、政黨、社會團體、企業事業單位和公民都有保護檔案的義務。」
三、個人信息保護的信息控制人自律機制
由於現階段我國缺乏對個人信息保護的專門性、統一性的立法,一些信息控制人為了增強行為相對人的信心,進而促進相關行業通過收集、處理、利用、傳遞個人信息而獲得更大的發展,單方面作出了保護個人信息的承諾或制定了保護個人信息的內部行為規范。這是信息控制人採取的一種典型的保護個人信息的自律措施。我國採取此類自律措施保護個人信息的信息控制人主要集中在非公共部門,特別是一些大型的商業網站,當然也有其他行業如銀行業的經營者。以下就列舉幾個典型的非公共部門信息控制人對個人信息保護採取的自律措施。
知名的綜合性網站「新浪網」在其首頁即載明了該網站的「隱私保護」政策。該隱私保護政策比較典型地體現了當前網站經營者所採取的自律措施,因此本文對此作一簡要介紹。在其隱私保護政策中,新浪網首先表明:「隱私權是您的重要權利。向我們提供您的個人信息是基於對我們的信任,相信我們會負責的態度對待您的個人信息。我們認為您提供的信息只能用於幫助我們為您提供更好的服務。因此,我們制定了新浪網上個人信息保密制度以保護您的個人信息。」新浪網有關個人信息保護的自律措施大致包括以下內容:第一,該網站所收集的個人信息的種類。「通常,您能在匿名的狀態下訪問我們的網站並獲取信息。在我們請求您提供有關信息之前,我們會解釋這些信息的用途。我們有些站點需要注冊才能加入,在通常情況下,這類注冊只要求您提供一個電子郵件地址和一些諸如您的工作,職務一類的基本信息。有時我們也會請您提供更多的信息。我們這樣做是為了使我們更好的理解您的需求,以便向您提供有效的服務。我們站點收集的信息包括姓名,地址和電話號碼。您有權隨時決定不接受來自我們的任何資料。」第二,關於敏感個人信息保護及個人信息的使用。「我們將採取適當的步驟保護您的隱私。每當您提供給我們敏感信息時,我們將採取合理的步驟保護您的敏感信息,我們也將採取合理的安全手段保護已存儲的個人信息。除非根據法律或政府的強制性規定,在未得到您的許可之前,我們不會把您的任何個人信息提供給無關的第三方(包括公司或個人)。但是,如果您要求我們提供特定客戶支援服務或把一些物品送交給您,我們則需要把您的姓名和地址提供給第三者如運輸公司。我們的網站將會提供第三者網站的鏈接。由於我們不能控制這些網站,所以我們建議您細閱這些第三者網站的個人信息保密制度。」第三,該網站隱私保護的原則。(1)每當新浪網需要識別您的身份或與您聯絡時,會明確的詢問所需的資料,即個人資料。一般而言,當您在網站上注冊,要求提供特別服務,或是如參加獎金競賽,便會被詢問到這項資料。可能的話,新浪網會利用一些方法,確認您的個人資料的正確性與時效性。(2)新浪網站及其必要的服務夥伴使用您的個人資料來運作網站和服務,並且會通知您各項新的功能與服務,以及新浪網和其附屬公司的各類產品。新浪網也會謹慎地挑選來自其他公司的產品或服務資料傳送給您,通常是有關於站點本身的服務,但這並非必要(僅是次要用途)。(3)如果新浪網想要將個人資料用在次要用途上,新浪會提供您如何拒絕這項服務的說明。您可以依照新浪網寄給您的資料或促銷信件上的說明,終止這些信件的發送。(4)新浪網也許會因法律要求公開個人資料,或者因善意確信這樣的作法對於下列各項有其必要性:符合法律公告或遵守適用於新浪站點的合法程序;保護新浪網的用戶之權利或財產;在緊急的情況下,為了保護新浪及其用戶之個人或公眾安全。(5)任何時候如果您認為新浪沒有遵守這些原則時,請利用電子郵件privacy@staff sina.com通知我們,我們會盡一切努力,請合理適當的范圍內立即改善這個問題。」第四,Cookies的用途。「新浪網站有時會使用cookies以便我們知道哪些網站受歡迎,使您在訪問我們的網站時得到更好的服務。cookies不會跟蹤個人信息。當您注冊我們的網站程式時,新浪亦會使用cookies。在這種情況下,會存儲有用信息,使我們的網站在您再次訪問我們的網站時可辨認您的身份。來自新浪網站的cookies只能被新浪網站讀取。如果您的瀏覽器被設置為拒絕cookies您仍然能夠訪問我們的大多數網站。」第五,關於個人信息的更新及隱私保護政策的更新。「如果您的地址,職務(職稱),電話或e-mail地址發生變化,您可以按新浪網站中公布的聯系方式通知新浪,以幫助我們保持您的資料的准確性。你也可以通過登陸新浪網用戶注冊頁面的更新會員資料欄的方式自行更新您的個人信息。新浪歡迎您對這項保密制度給予評論並提出質疑。我們將致力於保護您的個人信息,盡全力保證這些信息的安全。由於網上技術的發展突飛猛進,我們會隨時更新我們的信息保密制度。」
在銀行業方面,一些銀行通過制定相關內部規定對客戶個人信息進行保護。1999年,中國工商銀行發布了《中國工商銀行員工行為守則》,規定工商銀行員工應當「嚴守客戶秘密。對於客戶提供的信息資料,員工有保密的義務,以維護客戶的合法權益。除依法可以提供或客戶同意提供的信息外,員工無權擅自披露客戶信息。非工作需要,不得與同事隨意談論客戶情況。以電話、電子手段交流或傳遞業務信息時,要注意保護客戶信息安全。答復有關信用情況咨詢,應對咨詢者和咨詢對象雙方負責。提供對方的數據不得超出銀行允許的范圍。無關人員不能隨意接觸客戶信息,更不得為個人目的利用客戶信息。向公安局、檢察院、法院等司法機關提供客戶信息,須有公安、司法等部門出具的完備手續,並嚴格按規定程序進行。嚴禁向親屬、朋友透露或提供客戶信息。」2002年,中國建設銀行發布了《中國建設銀行個人VIP客戶服務管理辦法(試行)》,該辦法規定:「各級行必須為每個VIP客戶建立檔案,記錄客戶個人資料和服務信息,不得遺漏。」「各級行必須妥善保管客戶檔案資料,非依法律規定或客戶允許,任何單位和個人不得對外公開或泄露客戶的個人資產和賬戶交易等客戶資料。」
四、個人信息保護的行業自律機制
在我國,作為信息產業重要組成部分的互聯網行業對個人信息所遭受的日益嚴峻的威脅有較為密切的關注。我國對個人信息保護採取行業自律機制措施的行業也主要表現為互聯網行業。中國互聯網協會於2002年公布了《中國互聯網行業自律公約》,倡議互聯網全行業從業者加入本公約,並要求成員「自覺維護消費者的合法權益,保守用戶信息秘密;不利用用戶提供的信息從事任何與向用戶作出的承諾無關的活動,不利用技術或其他優勢侵犯消費者或用戶的合法權益」。同時約定,由中國互聯網協會負責組織實施該公約,負責向公約成員單位傳遞互聯網行業管理的法律、政策及行業自律性信息,及時向政府主管部門反映成員單位的意願和要求,維護成員單位的正當利益,組織實施互聯網行業自律,並對成員單位遵守本公約的情況進行監督。
行業自律標識作為個人信息保護行業自律機制的重要實施手段,在我國也己出現。我國互聯網行業的迅猛發展,但是,行業快速增長的背後也隱藏著一系列不和諧的音符:垃圾郵件泛濫、病毒、惡意軟體滋生、網路語言暴力、網路色情等等現象讓網民己經無法自由享受互聯網生活,網民的基本權益受到嚴重的侵害。2006年11月1日,中國互聯網協會、違法和不良信息舉報中心、反垃圾郵件中心、晚報協會、奇虎公司共同正式宣布,首個互聯網公益品牌「凈藍絲帶」正式啟動。凈藍絲帶作為杜絕互聯網惡意行為的一個標識,用於宣傳「凈化互聯網空間人人有責,打擊互聯網犯罪人人出力」的信息,並呼籲「拯救網路弱勢群體,杜絕網路惡意行為」。藍絲帶象徵紐帶,將政府有關機構、互聯網企業、網民緊緊聯系在一起,共同抵抗網路惡意,象徵著國家對互聯網行業健康發展的關心和支持,象徵著網民對互聯網熱愛和對純凈互聯網空間的渴望,象徵著互聯網企業關注網民感受,洛守自律的承諾。
五、小結
基於上文的論述,我們可以判斷,我國個人信息保護之現狀具有如下特徵:
第一,在個人信息的法律保護方面:(1)就法律的適用范圍而言,保護個人信息的法律條款數量較為有限、適用范圍相對狹窄,沒有專門的針對所有信息控制人均適用的統一的個人信息保護法;(2)就個人信息的法律保護手段而言,重「刑事處罰」和「行政管理」,輕「民事確權」與「民事歸責」,導致個人信息遭受侵害後,即使侵權行為人最終遭致刑事處罰或行政處罰,但信息主體的財產及非財產損失卻得不到任何實質性的補償;(3)就法律的可操作性而言,大部分規定缺乏可操作性,許多條款僅僅規定了對個人信息的保密義務,而沒有規定違背該義務的後果;(4)就法律的體系性而言,現有規定之間缺乏體繫上的呼應,給人一種「雜亂無章」、「群龍無首」的感覺,不符合我國已經繼受的大陸法系的法律思維,同時也不利於法律的適用;(5)就法律條款的具體內容而言,大部分條款通常僅對個人信息保護問題輕描淡寫、一帶而過,往往未能揭示個人信息保護的立法理由、個人信息保護的基本原則、信息主體的權利、個人信息收集、處理、利用及傳遞的規則、個人信息保護的執行機制及監督機制等個人信息保護法應當具備的重要內容。(6)就保護個人信息的觀念而言,我國法律對個人信息的直接保護是近幾年來的新近發展趨勢,在較長時間內由於對個人信息保護的重要意義缺乏正確認識而僅對個人信息採取了有限的間接保護措施。
第二,在個人信息的自律保護方面:(1)非公共部門,特別是一些商業網站,己經逐步認識到了個人信息的巨大價值以及個人信息對信息主體的重大意義,為了增強消費者使用網路的信息,提供了相對較為詳細的隱私保護政策。但也應注意到,我國國內各商業網站的個人信息保護水平差異很大,大型的商業網站大多有比較完備的個人信息保護政策;但一些小型網站在個人信息保護方面是令人擔憂的,它們不僅沒有公開相應的個人信息保護政策,甚至不惜商業信譽,只要能給網站的經營者帶來利益,就會不適當地收集、利用乃至出售訪問者的個人信息。另外,非公共部門中,除了商業網站及為數不多的其他主體之外,大多數非公共部門並沒有單方面向相對人提供個人信息保護政策。與上述單個信息控制人在個人信息保護方面的自律措施相對應的是,除了互聯網行業,其他的非公共部門行業也鮮有保護個人信息的行業自律公約。
(2)就公共部門而言,出於長期以來形成的「官本位」的思維定勢,對個人信息的關注基本上是出於其管理的需要,強調得更多的是個人提供信息的義務,而個人就其自身信息所享有的權利基本被漠視。舉例而言,如今瀏覽我國的各級政府網站,幾乎無法看到與一些大型商業網站所具備的「隱私政策」,哪怕是中央人民政府的網站一一「中國政府網」對個人上網信息的保護問題也沒有提供相應的政策,這不能不說是我國電子政務發展至今的一大遺憾。就這一現象,有學者認為,「這可能由於我國政府網站還處於發展的開始階段,主要功能還只是對政府政策、辦事流程的公示,起到的只是一個電子公告版的作用。政府網站之提供給網路用戶閱讀信息、資料,而不收集網路用戶的個人信息。」但是,這些學者同時也認為,「政府網站發展成為和大多數商業網站那樣具有互動式的平台是必然的趨勢。為了更好的為納稅人服務,政府網站將來肯定會朝著功能多樣化的方向發展。為了方便用戶和網站的運作,提供更加個性化的服務,將來的政府網頁完全可能發展到給不同的用戶發送不同的、適合用戶胃口的個性化網頁。這樣,政府網站也就不可能不收集網路用戶的個人信息而永遠停留在電子黑板報的層次。另外,不同的政府部門通過網上政務處理,掌握大量關於市民通過網路提交的方方面面的信息,如果缺乏個人信息保護政策,就很肯能侵犯個人信息。」對於這一論述,筆者深表贊同。
正因為個人信息保護機制的這種現狀,導致了我國社會生活中個人信息頻頻遭受各種威脅。面臨這樣的狀況,除了由每一個人自己加強自我保護、倡導個人信息保護自律機制的建構之外,越來越多的人們希望我國能夠在個人信息保護領域制定一部專門的法律。事實上,如果從建設法治社會的大背景出發,無論是加強信息主體的自我保護、倡導建構個人信息保護的自律機制,還是制定個人信息保護法,均應當著重從民法保護個人信息的角度進行觀察與理解。刑法和行政法對個人信息的保護固然能夠起到重要的不可或缺的作用,在一定程度上也能夠起到預防侵害個人信息行為的發生,但刑法重在懲罰、行政法重在行政管理,其對信息主體的權利確認及事後的全面救濟的作用是有限的。
首先,信息主體保護自身個人信息的力量可以通過民法上的自力救濟制度得以強化。在法治社會,雖然原則上不允許自力救濟,但在來不及採取公力救濟措施並且權利有被侵害的現實危險時,法律允許有限地採用自力救濟,信息主體可以在法律允許的限度內通過實施自衛行為或自助行為保護自身的個人信息。
其次,就自律機制而言,若信息控制人主動單方面地作出信息保護的承諾,則可以將控制人的這一行為判定為民法上附生效條件的法律行為,一旦條件成就,即信息主體的信息被承諾人所控制,則信息控制人的承諾行為即發生法律效力,信息控制人此時即應當承擔其承諾的信息保護義務;若行業自律組織對個人信息保護作出了承諾,則可以視為加入該自律組織的信息控制人均作出了信息保護的承諾,如此一來,同樣可以採用附生效條件的法律行為的相關理論進行解釋與處理。
另外,如果從民法生長的社會基礎—市民社會的理論出發,行業組織是現代市民社會的重要構成環節。是國家權力與市民權利的緩沖地帶,行業組織對個人信息保護的重要作用是不可小覷的。最後,個人信息保護法的制定,其內容雖然離不開個人信息的行政保護及刑事保護,但對信息主體而言,對其最有力也是最為實質的保護是通過個人信息保護法賦予其相應權利,使信息主體能夠通過自身權利對抗公權力對其個人信息的不當干預、並平衡與其他私權利主體之間的權利沖突。與此同時,當不當侵害他人個人信息時,通過法律對侵權行為人苛以民事責任,則能使被侵害的信息主體得到全面的救濟與補償。