查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《互联网法律通讯》
个人信息保护模式的比较研究及我国的立法选择
【作者】 王学昊【作者单位】 北京大学
【分类】 比较法【期刊年份】 2011年
【期号】 3【页码】 96
【全文】法宝引证码CLI.A.1157395    
  一、个人信息保护模式的比较分析
  1.欧美个人信息保护理念之分歧
  在个人信息保护的理念上,欧美国家分歧甚大:欧盟国家一直以来都强调以国家为个人信息保护的主导,其个人信息保护模式具有三个特点:一是将公共部门和非公共部门都囊括在内制定统一的、高标准的个人信息保护法律;二是设立专门机构进行监督;三是严格限制个人信息的跨国流通;而美国的做法刻意回避了政府和国家强制干预个人信息,仅针对电信、金融、保险等公共部门和一些特殊领域,如驾驶员信息、影像制品租赁信息、教育信息和儿童网上隐私等制定了个人信息保护法律,在非公共部门则强调行业自律,奉行以市场为主导、以行业自治为中心的信息保护政策。
  本文认为,欧美国家在个人信息保护理念上的分歧虽然有有其政治文化的原因—如欧洲高度重视人权,认为个人信息作为公民的一项基本人权必须要国家通过公权力予以绝对保护,而美国重视“政府的有限权力”和自由,人们担心公共部门对个人信息的大规模侵犯,崇尚自由和自律等,—但最为关键的原因在于相关经济产业的发展,所谓经济基础决定上层建筑,诞生了计算机和互联网的美国是一个信息产业大国,不仅引领着全球信息产业发展的方向,并且还在力图全面控制和抢占新时期信息科技的制高点,如2004年美国投入巨资推行一系列包括信息技术在内的、被称为“美国创新的基础”的重大研究发展计划,以确保信息产业核心技术的领先地位。众所周知,信息的价值在于流通和利用,美国认为,类似欧盟那样统一的个人信息保护立法将阻碍信息的有效流通,会妨碍其信息产业的健康发展。
  早在克林顿政府时期,美国便提出了全球电子商务框架中的首要原则是“私营部门应起主导作用”,而这一原则也应用在了个人信息保护政策上,在是否对个人信息保护立法的问题上,白宫秉持其不介入的立场。这一立场在当时遭到了美国联邦贸易委员会(Federal Trade Commission,以下简称FTC)的质疑,并要求制定网络隐私权法规,当时美国私人行业,尤其是个人信息处理与网上贸易企业对FTC提出的立法与通过专门机构监督法律实施的建议纷纷表示反对,而此后虽然美国国会对此进行了热烈讨论,但也未指定联邦法,企业自律与行业自治的地位仍难以撼动。目前在美国有9个著名的互联网信息安全行业组织,包括美国计算机协会(ACM)、信息系统审查与控制协会(ISACA)、计算机安全协会(CSI)、国际互联网协会(ISOC)、计算机应急响应协调中心(CERT/CC)、美国计算机职业者社会责任协会(CPSR)等。这些行业组织在个人信息安全方面都方面制定了许多详细的职业道德规范。
  反观欧洲,欧盟信息产业的发展一直落后于美国,在某种程度上甚至受到美国“网络霸权”的威胁[1],因此,基于国家经济安全的考虑,欧盟制定了领先于全球的个人数据保护法,并试图借助其强大的经济实力将欧盟标准推广为全球标准,借此制约美国信息产业发展,并赶超美国。
  以美国社交网站Facebook为例,Facebook是全球第一大社交网站,掌握着大量的个人信息,虽然频繁遭到个人信息保护不力的批评,但美国政府对此一直持不干预的立场,而在欧洲,Facebook的日子远没有在美国好过:2010年5月13日,欧盟数据保护工作组(The Article 29 Working Party)向美国社交网站Facebook发送了一封信件,该工作组在这封信件中对Facebook侵犯个人信息的行为提出严厉批评;同年7月7日,德国政府一家数据保护机构表示,该机构已针对Facebook采取法律行动,指控Facebook非法读取并保存不使用该社交网站的用户的个人信息:同年11月4日,欧盟针对欧洲用户在欧盟范围内访问Facebook网站时分享个人信息数据的做法推出了新隐私保护法案,该法案被认为是1995年数据保护法案的修订版,法案赋予用户告知网站必须永久删除其注册的个人信息的权利,并且规定公司在以任何形式使用用户信息或对用户的个人信息进行编辑前必须获得用户的明确授权。这份长达20页的法案同时还指责互联网公司目前的隐私保护政策极不透明。
  可见,欧美个人信息保护理念的分歧不仅是政治文化方面的原因,更是两大经济体利益斗争的产物。
  2.个人信息保护的新思路:第三方保护模式的蓬勃发展
  根据个人信息保护的主体分类,除以国家为主导的立法规制模式,以市场为主导的行业自律模式以外,本文认为,目前还应区分出以技术为主导的第三方保护模式。第三方保护模式是指在政府和信息处理者之外,由独立的,具有权威性的第三方机构来制定个人信息保护标准,协助用户管理、保护个人信息。第三方保护模式最大的特点在于提供个人信息保护的主体并非政府或者信息处理者,而是独立于二者的机构,其独立性有助于第三方机构在保护个人信息中保持中立态度,避免出现作为信息处理者的商业组织来保护信息,难以获得用户信任的情况;另一方面,第三方机构保护秉持自由自愿的宗旨,相比政府干预,最大限度的减少了不利于信息产业发展的因素。
  第三方保护模式根据作用对象不同,主要分为第三方认证和第三方软件两种:
  一是第三方保护认证[2]。第三方认证主要作用于互联网领域的信息处理者,是指由第三方机构提供一个许可证明,来说明被证明的在线网站已具备了相关个人信息保护的最低标准。一个网站向第三方授权机构申请认证,应承诺遵守该机构规定的隐私保护条例,才会被允许在其网站主页上使用该机构的认证标志。用户可以点击认证标志进入第三方机构的网站来核实该标志是否有效。
  二是第三方保护软件[3]。第三方保护软件主要作用于用户,它是一个面向用户的个人信息保护策略,它将用户的个人隐私偏好设定在该软件中,并默认当用户所浏览的网站在收集或者交易用户个人信息时,提醒用户或禁止进入该网站。第三方保护软件嵌入在用户的浏览器中或同浏览器一同运行,在用户访问互联网时,支持该软件的网站会同平台所设定的个人信息保护标准相比对,若符合,用户可继续浏览,若不符合则提醒用户或禁止进入该网站。
  3.三类个人信息保护模式评析果然是京城土著
  以国家为主导的立法规制模式、以市场为主导的行业自律模式和以技术为主导的第三方保护模式都各有利弊,不能一概而论:
  从保护范围来看,行业自律模式所覆盖的范围最为广泛,任何涉及个人信息处理的行业都或多或少的受到行业自律组织的影响,而法律的效力具有天然界限,有诸多法律不适宜涉足的领域,保护范围要小于行业自律。第三方保护的范围最小,仅限于技术领域,目前甚至可以说仅限于互联网领域,对于现实中的个人信息保护显得力不从心。
  从保护力度来说,欧盟的统一立法为个人信息的收集、储存、处理、流通和使用从立法、执法到监督都建立了一套完整的行为规范,并对违法行为通过其强制力进行惩罚,在三种模式中保护力度最大,事实上,欧盟国家公民的个人信息安全程度也是世界上最高的;而行业自律模式相对而言保护力度最小,因为商业机构的目的在于盈利,通过行业自律保护个人信息也只是达到盈利目的的手段之一,如果侵犯个人信息可以获得更大的利润,即是最权威的自律组织也无法组织违法行为的发生。
  从促进产业发展来看,无疑行业自律模式可以最大限度的促进信息市场的自由流动,由于个人信息的收集、使用和传播都由市场这只无形的手来调控,从而达到信息在信息处理者之间的最优化配置,并实现最为适当的个人隐私保护水平。[4]而欧盟颁布的高标准法律规范,加重了信息处理者的负担,增加了信息产业的发展成本,必然会挫伤企业的积极性,并且法律具有滞后性,在高速发展的信息领域更是如此,如果都像针对Facebook和谷歌制定新隐私法案的话,不单会增加产业发展成本,更会增加高昂的立法成本。
  从国际个人信息保护趋势来看,立法规范越来越成为各国保护个人信息的首要选择,据中国社会科学院个人数据保护法研究课题组统计,世界上制定了个人信息保护法律的国家或地区已经超过五十个,即使在全球推行其隐私保护灵活策略的美国,在涉及金融、医疗等关键领域都制定了完善的隐私保护法律。与此同时,第三方保护模式也得到了越来越多的应用,如第三方认证机构TRUSTe已正式进军手机隐私市场,开始为手机用户提供个人隐私解决方案。
  4.日本个人信息保护的折衷之道
  日本建立个人信息保护制度始于20世纪70年代,其个人信息保护制度以《个人信息保护法》为核心。该法针对政府部门和非政府部门规定了保护个人信息的若干共同事项。在是否像欧盟国家那样,设立专门性的个人信息保护主管机构的问题上,日本在制定个人信息保护法的过程中就指出[5]:在制定个人信息保护法的过程中,如果像欧洲那样,设立对任何领域都拥有管理权限的个人信息保护机关,则有可能大幅限制非公共部门本应自由的活动,极不符合日本的国情,与其行政改革和放松管制的潮流相悖,故应构建富有成效的事后救济体系;至于适用于所有领域的登记制度,则会限制各种非公共部门从事经济活动,增加其经营成本与行政管理成本。
  《个人信息保护法》的全面实施意味着日本构筑了一个类似欧盟的、相对完整的以个人信息保护法为基本法,各部门单行法为补充的法律体系。但除了大规模的立法行动,日本的行业自律体系也非常完善,如日本电气通信业者协会、电信服务业提供商协会等行业组织,制定了一系列行业规范,如《Internet网络事业者伦理准则》,强调行业自律与法治相结合,使网络参与者的自律成为解决网络问题的重要方式。日本情报处理开发协会还创设了“隐私标识”(Privacy Mark)制度,向采取恰当措施保护个人信息的非公共部门颁发隐私标识,用以督促其通过自身努力改善其个人信息保护状况。
  因此从总体上讲,日本的立法模式是美国模式和欧洲模式的折衷,既注意到本国行业自律机制的有限性,依法实施规制的必要性,又没有一味迎合欧洲对个人信息实施严格保护的要求,而试图在保护个人权益与保障信息自由流动之间寻找平衡[6]。
  二、我国个人信息保护模式的立法选择
  1.我国的个人信息立法保护现状及评析
  近年来我国在个人信息保护领域的立法颇多,不但各地方已有保护个人信息的相关规定草案,国务院也开始了个人信息保护立法的起草工作,总结我国个人信息保护的立法规制程度,一是在金融、医疗、邮政、身份证等关系到国计民生的重要领域都已经有保护相关隐私的法律覆盖,这一点是和国际上大部分国家的做法都是相通的;二是我国针对特殊人群个人信息保护的立法颇为丰硕,包括未成年人,妇女、传染病人、服刑犯人甚至艾滋病人,都有各种法律法规予以隐私或者秘密保护;三是我国公民的个人信息之前通常使用人格权或名誉权来保护,立法不使用“隐私权”或者“个人信息”的字眼,但在2009年2月28日,全国人大通过的《刑法修正案(七)》中新增了“出售、非法提供公民个人信息罪[7]”,这一罪名的出台标志着我国刑法对个人信息的保护提升到了最高层次—用刑法对个人信息予以保护。
  但即使我国已将个人信息保护上升到刑法高度,其不足和缺陷也是显而易见的:首先,虽然《刑法修正案》首次将侵犯公民个人信息纳入刑法保护范畴,但条文规定还不够细致、全面。比如,要求“情节严重”才入罪,目前也没有明确的细则规定,而犯罪主体也十分有局限,范围过窄,比如犯罪主体中的“等”字应如何理解,亟待“两高”能尽快出台相关司法解释进行明确和细化。其次,我国法律对个人信息保护的规定较为分散,且不成体系,无法构成一个严密的个人信息保护体系;第三,我国法律对政府公共部门的个人信息保护规定匮乏,现有的《政府信息公开条例》涉及个人信息收集、储存、传输、处理程序的极少,如上文所述,政府部门是公民个人信息最大的收集者和控制者,比如政府部门掌握着公民的档案,但法律中却缺乏对个人档案的规定,缺乏个人查询档案的机制。可见相对于非公共部门,政府部门在如何合法处理信息,防控信息泄露方面仍是法律规定的薄弱环节;第四,现有的个人信息保护法律缺乏执行力,部分法律形同虚设,究其原因,一方面是缺乏一个明确的信息监督管理机构,另一方面则是个人信息侵权难以认定。个人信息泄露的途径和环节都较多,公民在日常生活中所接触的银行、电信、医院、车房中介等单位均有泄露信息的可能,究竟在哪一个环节信息被侵犯,难以调查取证。第五,针对互联网领域内的个人信息保护,我国法律规定不足。互联网是个人信息最易大面积遭受侵犯的领域,不论在搜索引擎,还是社交网站,都可以随意检索出很多个人信息来,从法律角度讲,这些网站都不存在违法问题,但却是信息违法犯罪的隐患。另外,在上文提到的“人肉搜索”案中,法院最后判决网

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买三年不开张,开张吃三年;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1157395      关注法宝动态:  

法宝联想
【共引文献】
【作者其他文献】
【引用法规】

热门视频更多