個人法律保護下的電子信息論文

導語：個人法律保護下的電子信息論文一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

一、法律保護客體厘定

法律明確規定，國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息。任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息。

(一)公民個人隱私的電子信息

民法學界對于隱私權的性質界定和范圍劃分在立法上沒有明確，以《侵權責任法》為例，未詳細規定隱私權的概念和范圍，但第2條第2款規定:“本法所稱民事權益，包括生命權、健康權、姓名權、名譽權、榮譽權、肖像權、隱私權、婚姻自主權……”第62條第1款規定:“醫療機構及其醫務人員應當對患者的隱私保密。泄露患者隱私或者未經患者同意公開其病歷資料，造成患者損害的，應當承擔侵權責任。”目前，民法學界通行的觀點認為，隱私權作為一項具體人格權，是指自然人享有的私人生活安寧與私人信息秘密依法受到保護，不被他人非法侵擾、知悉、搜集、利用和公開的一種人格權。這就意味著在電子信息保護的角度，仍需要具體界定個人隱私的內涵和外延。一般認為，隱私權仍應以生活安寧和私人秘密作為基本內容，當然可以進一步類型化為獨處的權利、個人生活秘密的權利、通信自由、私人生活安寧、住宅隱私，等等。就私人生活秘密而言，又可進一步分類為身體隱私、家庭隱私、個人信息隱私、健康隱私、基因隱私等;甚至根據不同的場所，又可以分為公共場所隱私和非公共場所隱私等。這些隱私權的內容與網絡手段相連接，如電子郵件、健康電子記錄、電子病歷，甚至一旦被攝像機偷錄偷拍的住宅隱私等，如何依據《決定》保護電子個人隱私，在現階段仍需考慮司法適用的恰當性，同時可以預期未來《人格權法》的具體界定。在現階段至少可以認定，何為公民個人隱私的電子信息，一方面需要與民法相關規定相結合，從法理理論理解或者闡述隱私權和網絡隱私權的具體人格權性質;另一方面，司法解釋或者司法實務可以把無爭議的隱私權事項固定下來，一般認為傳統隱私事項包括教育、財務、醫療、電話號碼、職業、犯罪狀況或與家庭生活有關的信息以及與性有關的信息，等等。既然在傳統隱私權角度視為隱私，在電子信息領域作為個人隱私保護當無可置疑。

(二)可識別公民個人身份的電子信息

關于能夠識別公民個人身份的電子信息“可識別性(identified)”是其本質特征。中國對于“可識別性”缺少具體的界定，域外法則有相對明確的規定。例如，歐盟1995年《EU數據保護指令》第2條:“身份可識別的人是指其身份可以直接或者間接確定其身份，特別是通過身份證號碼或者一個或多個與其身體、生理、精神、經濟、文化或社會身份有關的。”根據中國的社會文化解讀法律，能夠識別公民個人身份的電子信息是指能夠直接或者間接識別公民個人身份的一切電子信息，一般包括公民個人基本信息(身份證號、姓名、性別、年齡、民族等)，家庭基本狀況(戶籍所在地、出生地、父母子女配偶情況等)，社會生活經歷(教育程度、升學就業狀況、工作經歷)以及政治背景和宗教(政治傾向、參加政治黨派、宗教信仰等)方面。能夠識別公民個人身份的電子信息，需要明確以下幾個問題:第一，法律僅僅保護能夠識別公民身份的個人電子信息，排除外國人、無國籍人不具有公民身份的自然人和法人的電子信息。在這個問題上，《決定》僅是從對中國公民權利的保護角度來立法的，首先在立法上忽略了在中國生活和工作的外國人群體。其次，在立法理念上忽略了個人電子信息作為一種戰略資源的重要地位。現今國際社會對于個人信息的立法不僅在于保護，更在于加強信息的流動性。如《EU數據保護指令》第1條明確規定，不得以保護自然人的基本權利及自由為由，限制、禁止個人數據在成員國之間自由流通。也就是說，個人信息保護制度作為基本準則被確立之后，必須注意到促進經濟活動自由才是目的。同時，歐盟各國在與EU指令相銜接立法中都明確規定，對于個人信息保護不力的國家，禁止向其傳輸和流通個人信息。中國立法如果僅保護本國公民信息安全，在整個國際信息化建設和資源流通上將陷于被動境地。因此，在可識別個人身份的電子信息方面，公民范疇狹窄，應從自然人角度調整立法，以適應國際立法的一貫模式。第二，直接識別或間接識別，即可識別性的判斷標準。現行法律僅規定了可識別這個法律術語，如何在司法適用中確認哪些為可識別的信息，哪些不能明確識別公民身份，一般可以采取列舉的方式。但個人信息在網絡傳播時代很難由法律機械規定全部可識別的信息。綜觀歐盟各國立法，幾乎都采納了“可識別性”作為基本定義。所謂識別，在電子信息領域是指在個人電子信息與電子信息的公民主體之間存在必然的客觀性聯系，通過一般人的甄別、鑒別，能夠把電子信息與公民主體連接起來或者鑒別公民主體的信息界定、傳播等行為。那么，在司法適用過程中需要界定哪些電子信息可以識別公民身份，一般可以把信息分為直接識別信息和間接識別信息兩類，當然在一定環境下，這兩種信息可能發生轉換。一般而言，直接識別信息是指可以單獨或者直接識別公民個人身份的電子信息，比如身份證號碼、基因信息等;間接識別信息一般需要數個信息相互印證才能識別公民個人身份，比如姓名、性別、年齡、民族、職業等。當然這種劃分標準只是相對的，比如姓名，在一定范圍內(一個班級內QQ群或者論壇)可以直接區分，但在一個行政區域或者全國領域內就不能作為直接識別信息。又比如，生活經歷，絕大多數公民單純憑借生活經歷很難具有可識別性，但在特定歷史時期，經歷有特殊性并且為大眾所熟知，一般人可以很直接地斷定身份，可視為直接識別信息。其次，無論是直接識別信息還是間接識別信息，識別遵循如下順序，非法獲取、出售或提供電子信息———識別———反饋或信息再流動。所以，進入法律視野的可識別的公民個人信息在手段上有非法性、信息本身具有可識別性、結果具有流通性。若手段合法，則不存在法律介入;如果信息不能識別公民身份，就不會造成侵權;若僅有識別而沒有反饋(如跟帖內容中表明公民身份、人肉搜索等行為)和信息再流動，很難確認該信息是否有識別性。最后，在第二階段識別具體的判斷標準是遵循客觀標準還是主觀標準，是一般人標準還是專業標準。采納客觀標準意味著判斷是否屬于“可識別性”，需要具備直接識別信息或者幾個間接識別信息，能夠形成一個標準的、可操作的規范。選擇主觀標準則更靈活，只要經過主體判斷能夠達到內心確信的識別該公民則符合要求。一般而言，網絡公民電子信息的侵權絕大多數發生在民事領域，判斷標準要求不需要太嚴格，同時為了加大對非法獲取、出售、提供電子信息的打擊，以一般人標準和主觀標準鑒別即可。

二、個人電子信息收集、使用原則

為了有效地保護公民個人信息，許多國家和地區立法時在保障信息流動的前提下，設置了信息收集、使用、傳播的基本原則，貫徹整個法律。在網絡個人電子信息領域中國規定了以下基本原則:

(一)目的明確原則

收集個人電子信息的目的應先予明確說明，并且使用或處理應當符合上述目的。《決定》第二項規定:“網絡服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意，不得違反法律、法規的規定和雙方的約定收集、使用信息。”具體而言，公民個人電子信息可以收集、使用，但是應當遵循制定的一個或者多個合法的目的，并且收集和使用規則應事先公開，保障公民的知情權，這對相關信息收集、使用企業和其他組織提出了具體的要求。

(二)合法、公正原則

對個人電子信息應通過合法公正的方式獲取、處理、使用，必要時應當通知個人信息主體或征得同意。“網絡服務提供者和其他事業單位在收集、使用公民個人電子信息時應當合乎法律、法規或者雙方的約定。”這一原則是立法和司法的基礎，具體在司法適用中，如何認定是否符合收集目的、方式和范圍，哪些必須征得信息主體同意，哪些只要通知信息主體即可，目前未作明確規定。在中國，網絡公民個人電子信息侵權的表現是最復雜和高發的，一方面與網絡本身的特點有關，另一方面也與公民個人對信息保密不重視有關。例如，消費者購買產品，為了所謂VIP客戶或者折扣返現等優惠政策，有些電子商務網站不僅要求消費者留下姓名、地址、電話，甚至有的要求提供身份證號碼，而消費者一旦拒絕則不能享受相應的優惠待遇，消費者只能屈從于這些信息收集者，使之獲得大量非必要信息。再如，很多網站或者軟件程序在申請使用其服務時，要求消費者同意一些知情條款，這些格式條款貌似向公民個人履行了征得同意或者通知的義務，但是一旦消費者拒絕該條款則不能享受相關服務，實際上剝奪了其同意權。因此，在收集使用方式上，其行為和手段均要合法，必要時應通知信息主體或者征得其同意，一般應以書面的形式。在收集信息時，應出示收集的法律依據、目的或者相關文件;為避免對信息主體造成不利影響，必須盡量向信息主體本人收集。如果個人電子信息涉及能夠識別公民個人身份的信息和公民個人隱私信息，不同的信息要求條件也應有差異，對個人隱私等敏感信息要求更嚴格。

(三)安全保障原則

在安全保障原則統領下，要求網絡服務提供者和企業、事業單位在業務活動中保障公民個人電子信息安全，采取必要的措施，如電子加密、加強監督管理、電子信息授權訪問制度等，在業務領域杜絕泄露丟失等現象。同時，網絡服務者須加強日常監管，對于網絡禁止或傳輸的信息，如人肉搜索或者侵犯名譽權的信息，一旦查實，應采取相應安全保障措施，維護整個網絡環境安全。

(四)權利保護原則

該原則賦予個人申請權利保護的權利，雖然中國尚未明確規定個人參與原則，但是可以作為公民個人信息控制權的雛形，在一定程度上獲得權利保護。主要包個人的拒絕權、信息刪除申請權以及舉報、控告、起訴權。拒絕權針對的是消費者反映強烈的垃圾短信息的問題，明確任何組織和個人未經電子信息接收者同意或者請求，以及電子信息接收者明確表示拒絕的，不得向其固定電話、移動電話或者個人電子郵箱發送商業性電子信息。這一規定從源頭解決了個人信息販賣問題。信息刪除申請權是在公民發現泄露個人身份、散布個人隱私等侵害其合法權益的網絡信息，或者受到商業性電子信息侵擾時，有權要求網絡服務提供者刪除有關信息或者采取其他必要措施予以制止。該權利也是信息控制權的內容之一，個人信息保護或者隱私權的保護在信息時代不再僅僅是對侵權行為的懲處，而更多的是個人參與控制自身信息的權利。申訴、控告及起訴權是任何組織和個人對竊取或者以其他非法方式獲取、出售或者非法向他人提供公民個人電子信息的違法犯罪行為以及其他網絡信息違法犯罪行為，有權向主管部門舉報、控告;接到舉報、控告的部門應當依法及時處理。被侵權人可以依法提起訴訟。

(五)責任原則

對有違反本決定行為的，依法給予警告、罰款、沒收違法所得、吊銷許可證或者取消備案、關閉網站、禁止有關責任人員從事網絡服務業務等處罰，記入社會信用檔案并予以公布;構成違反治安管理行為的，依法給予治安管理處罰;構成犯罪的，依法追究刑事責任;侵害他人民事權益的，依法承擔民事責任。

三、監管機構與行業自律機制互動

在中國如何設置監管機構，《決定》僅籠統地提到了相關主管機關，并沒有詳細進行權限的劃分，僅僅對于網絡服務提供者和其他企事業單位參與保護提出了相關要求。在設置監管機構的國家中，不同法系國家選擇了不同的具體設置模式，如德國在公共領域，鑒于各公共機構有義務保障公民個人信息安全，一般設置內部監督機構，同時設置了第三方的聯邦數據保護監察官。監察官由聯邦議會選舉產生，執行任務時獨立于一切機構和個人，只服從法律并接受聯邦政府法律的監督和聯邦內務大臣的業務監督，能夠保障監察的獨立性和公正性。鑒于中國監管系統較為混亂的狀態，設置專門機構管理仍有其必要性，可以在縣級以上人民政府工業和信息化主管部門設置專門信息監管機構。美國自律機制是和歐盟模式并稱于世的調整機制之一。美國政府在個人信息保護上，認為政府不應過度干涉新興信息領域，應由其自由競爭、發展，其政策取向是，既要在國際范圍內保護個人隱私，又不應阻斷跨境信息流動，影響電子商務和跨境貿易。因此，在立法選擇上，美國并沒有統一制定一部聯邦法律，而是專項立法和自律機制結合，配合政府執法保障，當然在高度敏感領域，美國政府針對兒童信息、醫療健康檔案以及種族、政治派別、宗教信仰、性傾向、社會安全號碼和金融等信息通過國會立法等方式給予特殊關注。在行業自律方式上，美國眾多行業尤其是網絡企業采取行業內部制定行為規范或者規章的形式，實現行業內部在個人信息收集和使用上的自我約束，如隱私軟件技術、隱私圖章認證計劃、TRUSTe(美國最具權威性的第三方隱私認證機構)、參加數字廣告聯盟(DAA)、承諾尊重內嵌在網絡瀏覽器中的“不跟蹤”技術，等等。在中國，自下而上的行業內部自律機制也有生存空間和優勢。首先，在法律體系尚未建立時，單純依靠原則性的法律規定難以適應復雜的形勢，即使有法可依單純依靠監管機構規制，也要支付昂貴的執法成本，法律規制效果也很難企及社會生活的各個角落。其次，美國政府最早反對EU數據保護指令，理由之一就是立法過早可能損害電子信息等新興產業的發展。以電子商務為例，過高標準的個人信息保護對物流行業、支付第三方業務等都會帶來沖擊，如何維護社會公平正義、價值和秩序，同時推動某個產業的蓬勃發展，是法律保護機制平衡的重要問題之一。當然在中國探索行業自律模式還是應該注重專門監管機構和法律體系的建設，協調監管機構和行業內部自律機制的良性互動。目前，中國行業協會的建設仍需要依據法律規定的程序，在法定的權利義務范圍內進行自我規范和自我約束，那么對于個人電子信息乃至未來所有個人信息的保護，對于政府信息資源主管部門和監管機構的權限劃分，更需要長時間在復雜的現實環境下逐漸培育。而且中國社會對于政府公權力的信任度較高，一般民眾和立法者仍傾向于以監管機構為主、以法律調整為基礎，兼顧行業自律機制的調整模式。

作者：葛麗明馬紹峰工作單位：石家莊經濟學院法政學院