個人信息的法律保護探究論文

時間:2022-11-01 10:41:00

導語:個人信息的法律保護探究論文一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

個人信息的法律保護探究論文

關鍵詞:行政主體/個人信息/行政信息/信息公開/個人信息保護法

內容提要:行政主體收集、處理和利用個人信息是一種行政事實行為。我國應盡快制定個人信息保護法,明確信息主體有權要求行政機關不能隨意處理個人信息,公開對其個人信息的收集和利用,規定個人信息保護的范圍、原則、監督和救濟制度。利益衡量是目前協調個人信息保護與行政信息公開的適當方法。

隨著行政權的擴張和行政活動的日益復雜,行政機關通過各種行政活動收集、處理和利用著大量的個人信息,同時也對個人信息構成了極大的威脅。傳統行政信息公開制度的建構只是通過信息公開法中的例外規定來實現對個人信息的保護,忽視了行政機關對個人信息的侵犯。依據聯合國指南規定的“不得用非法或者不合理的方法收集、處理個人信息,也不得以與聯合國憲章的目的和原則相違背的目的利用個人信息”,我國對個人信息的保護制度應當順應歷史潮流作適當調整。

一、行政主體收集、處理和利用個人信息的要件

個人信息是可以識別本人的一切信息的總和。作為管理的基礎、決策的依據,個人信息是政府活動不可或缺的重要資源。行政機關收集、處理和利用個人信息在行政活動中是非常必要的。行政主體對個人信息的收集、處理和利用是行政事實行為。它是行政主體基于職權而實施的,是運用行政權力的結果。由于對個人信息的收集、處理和利用不能產生、變更和消滅行政法律關系,因此它不是行政行為。但是行政主體收集、處理和利用個人信息時仍然要遵循一定的規則,符合特定的條件。

(一)有法律依據行政主體收集、處理和利用個人信息是行政事實行為,從較抽象的角度來講,任何公權力都應以追求公共利益為其目的,如果一個公權力行為不以公共利益為目的,則該行為就失去了正當性基礎。公益是行政作用所無法免于考慮的,國家機關之作為倘若背離公益,將失去其正當性。[1]而判斷行政機關的行為是否符合公共利益,就在于行政機關的行為是否符合憲法和法律。例如,《城市居民最低生活保障條例》第7條第2款規定,縣級人民政府民政部門以及街道辦事處和鎮人民政府,為審批城市居民最低生活保障待遇的需要,可以通過入戶調查、鄰里訪問以及信函索證等各種方式對申請人的家庭經濟狀況和實際生活水平進行調查核實。申請人及有關單位、組織或者個人都應當接受調查,如實提供有關情況。在此,行政法規授權縣級人民政府民政部門、街道辦事處和鎮人民政府,對城市低保申請人有關經濟狀況和生活水平的個人信息進行收集,以保證履行好行政給付職責,保障城市居民基本生活。

(二)特定的職責事務或特定的社會公共事務管理的目的

《突發公共衛生事件應急條例》第39條第1款規定,醫療衛生機構應當對因突發事件致病的人員提供醫療救護和現場救援,對就診病人必須接診治療,并書寫詳細、完整的病歷記錄,對需要轉送的病人,應當按照規定將病人及其病歷記錄的復印件轉送至接診的或者指定的醫療機構。此時,行政法授權醫療衛生機構收集患者和疑似病人的健康狀況的個人信息,從而能及時地救治病人,有效地控制和消除突發公共事件的危害,保障公眾身體健康和生命安全,履行好維護正常社會秩序的行政職責。特定目的要件蘊含著比例原則的要求。比例原則是大陸法系限制自由裁量權的重要理論。按照一般的理解,比例原則要求手段和目的的協調,嚴格禁止一切為達成目的不擇手段的國家行為。[2]比例原則要求行政機關實施行政行為時,在實現某一目的的各種不同方法中應運用其中最適當的方法;在不違背或減弱所追求目的的效果的前提下,應盡可能地選擇對相對人造成損害最小的方法;行政機關對公民個人利益的干預不得超過實現行政目的所追求的公共利益,兩者之間必須符合比例或者相稱。盡管行政主體收集、處理和利用個人信息有法律的授權,但是法律對行政主體收集、處理和利用個人信息的范圍、條件、程序等方面的規定往往不明確、具體,行政主體在遵守行政法規范的同時也就具有了一定的選擇、裁量的余地。根據比例原則,行政主體為履行特定行政職責而依法收集、處理和利用個人信息時,只能收集履行行政職責的特定目的范圍內的個人信息,不能收集其他不相關的個人信息,不能對收集的個人信息進行特定目的之外的處理和利用。

(三)告知或經個人信息主體的同意

美國隱私權法規定了禁止公開的原則,規定行政機關在公開個人的記錄以前必須首先通知被記錄的人,征求他的意見,在沒有取得個人的書面同意以前不能公開關于他的記錄。有學者認為國家機關的管理性收集行為必須通知個人信息主體,國家機關的服務性收集行為則必須經過資料本人的同意。[3]該觀點認為管理性的收集行為是國家機關履行職責的需要,相對人只有配合的義務而無拒絕的權利,國家行政機關只須履行告知程序即可,包括事前告知和事后告知。行政機關的服務性收集更多地是為私人主體的利益,與公共利益關系不大,應遵循意思自治原則,要有信息主體的同意才能進行。由于收集、處理和利用個人信息對信息主體個人權益關系重大,信息主體的同意原則上應以書面形式作出,以滿足保存和舉證的需要。同時,也應允許特殊情況下非書面的形式。如緊急情況下進行個人信息收集時,可以是口頭同意,事后再補做書面同意。

(四)保證個人信息的正確、完整、最新、安全和隱秘

個人信息反映信息主體的人格形象,不正確、不完整和不時新的個人信息將影響行政決定的正確性和合理性。因此,行政機關在對任何人作決定時,其所運用的檔案的記錄,均應保持正確、完整及最新,以使其在作出決定之時,能合理保證對該個人具有相當的公正性。此外,行政機關應當采取適當的行政性、技術性及物理性保障措施,保障記錄的安全與保密,防止可能對記錄的安全與完整造成的任何潛在的威脅與損害,因為,這些威脅或損害可能會對記錄所涉及的個人造成實質性危害、妨礙、不便或不公正影響。

二、建立我國個人信息的行政法保護制度

(一)制定個人信息保護法是當務之急

行政信息公開法、個人信息保護法和行政程序法是構成行政信息公開制度的主要法律。[4]行政信息公開法適用于全部政府信息,而個人信息保護法只適用于個人信息。信息公開是對社會公眾的公開,而個人信息保護法中的個人信息僅對信息主體公開,對社會公眾則是限制公開。所以,從行政機關將所持有的個人信息對信息主體公開這個角度來說,個人信息保護法屬于行政公開法律范疇。同時,行政機關收集、處理和利用個人信息的整個程序不僅向信息主體而且也向社會公眾公開。傳統的行政信息公開制度在建構上,對個人信息權的保護是作為行政信息公開的例外存在的,側重于從保護個人信息權不被行政機關以外的主體侵犯的角度來規定個人信息不予以公開。隨著行政權的擴張和行政活動的日趨復雜,行政機關對個人活動的控制范圍和對個人提供服務的范圍都達到了前所未有的程度。行政機關通過各種行政活動收集了大量的個人信息,特別是隨著信息技術的發展,行政機關收集、處理和利用個人信息的能力更是空前提高,行政活動對個人信息權已構成極大的威脅。傳統的行政信息公開制度由于忽視行政機關對個人信息的侵犯而需要調整。信息主體有權要求行政機關不能隨意處理個人信息,并要求公開對其個人信息的收集和利用。行政機關處理個人信息的整個程序應該向社會公開。信息技術的發展提高了行政機關行政信息處理的效率,同時也對行政機關的行政信息公開提出了更高的要求。對個人信息的保護也由信息公開法中的例外規定發展為個人信息保護的專項立法。可見,制定個人信息保護法是解決行政信息公開與個人信息權之間的矛盾、完善行政信息公開制度的重要途徑。

(二)個人信息保護與行政信息公開的協調

盡管行政信息公開法和個人信息保護法都屬于行政信息公開法律的范疇。但是,知情權與個人信息權的對立是不可避免的,兩者構成一對矛盾。如何處理它們之間的關系成為必須解決的實際問題。

利益衡量的方法不失為解決個人信息權與知情權的沖突的明智之舉。協調兩種權利的沖突就必須解決好不同利益之間的關系,即在公眾的了解利益和個人信息的人格利益之間進行取舍。適用利益衡量方法的前提是兩種利益互為矛盾,其中一方面利益的實現可能導致另一方面利益的減損。利益衡量的方法通過對兩種利益的估量和平衡,選擇價值更高的利益。如果公眾的了解利益比個人信息之上的人格利益明顯重要,則行政機關就應該公開其掌握的個人信息,反之則不予公開。根據個別比較衡量論,當個人信息權與知情權兩種價值發生沖突時,依據具體個案,分析公民了解的利益和個人信息之上的人格利益所受到的損害,將二者衡量比較,當保護前者利益較大時承認公民的知情權;當保護后者所獲利益較大時尊重個人信息權。個別比較平衡論中標準的隨意性過大而顯不足。界限確定衡量論認為,知情權是絕對價值,保障公民對國家政治信息的知情權占首要地位;而其他人權是相對價值,其自由可以在一定程度上予以限制。[5]該理論是基于對權利本質的分析。從權利本質上看,個人信息權是一項民事權利,它通過賦予信息主體支配與控制其個人信息的權利來保護信息主體存之于個人信息上的人格利益。知情權主要是一種政治權利和社會權利,與行政信息公開制度相關的知情權更表現出政治權利的屬性。在現代社會,隨著民主政治的發展,公民對政治的參與度日益提高,知情權所體現的是公益性,它要求整個社會更加透明和開放,要求人們能有更多的機會了解和參與政治,而個人信息權具有個人性,與公共利益無關。因此,在知情權與個人信息權的對抗中,由于前者代表了社會公共利益、體現了更高的利益價值而占據上風。當某項個人信息涉及到公共利益時,對個人信息權進行限制、將個人信息予以公開則成為必然。當然,對公民知情權的優先考慮并不意味著漠視個人信息權。當個人信息的公開純屬滿足個人的需要而與公共利益無關時,應該適當保護個人信息權而犧牲知情權。

三)通過立法完善我國的個人信息保護制度

美國將個人信息劃分為公共領域和非公共領域分別進行保護,公共領域的立法主要是規制政府收集、處理和利用個人信息的行為,防止政府對個人信息隱私權的侵犯;在非公共領域,各行業和領域中的個人信息分別由不同的聯邦法規通過普通法和侵權行為法予以保護,同時以建議性的行業指引、網絡隱私認證計劃、技術保護等行業自律形式增強個人信息保護的針對性。[6]這種模式盡管有其優點,但存在不足:分散立法易導致欠缺整體規劃,法治不統一,司法不協調;行業規范缺乏國家強制力的保障,實施效果不理想;普遍性不足,很多企業游離于行業規范之外;投訴和爭端解決機制不完善。同時,美國的行業自律是建立在行業組織高度發達且與政府互動明顯的基礎上。我國顯無這一基礎,故行業自律模式不符我國國情。多數歐洲國家則認為盡管政府機關收集、處理和利用個人信息時與非政府機關存在一些不同的行為規則,但是仍存在許多共性,而且公私領域在保護個人信息權的價值目標上是一致的,也都遵循同樣的基本原則,因此通過制定專門的個人信息保護的單行法,對公、私領域中的個人信息保護進行統一規范。結合我國的法律體制和法律傳統,我國的個人信息保護應借鑒歐洲國家的立法模式,進行統一規范、統一立法,主要內容應包括個人信息的一般規定,個人信息保護的基本原則,國家機關、非國家機關對個人信息的收集、處理和利用,以及監督和救濟等方面。尤其應該注意以下問題:

1.個人信息保護的范圍

法律保護的范圍應及于一切個人信息。在過去手工收集和處理個人信息的技術條件下,個人信息受到的威脅并不突出。隨著計算機技術的發展和互聯網技術的應用,這種威脅已變得十分現實和嚴重。因此,不少有關個人信息保護的立法僅對電腦處理的個人信息進行規范,如美國、英國、日本、我國臺灣地區等。而一些國家的立法則對自動化處理與人工處理的個人信息進行同時規范,如德國、荷蘭等。筆者認為,盡管電腦處理的個人信息更容易受到侵害,但不能因此而忽視人工處理和半自動系統處理的個人信息。個人信息立法應給以個人信息全面保護。

2.個人信息保護的基本原則

我國的個人信息保護法也應明確規定個人信息保護的基本原則,作為個人信息保護法的指導思想,同時也用來彌補具體規則的不足。借鑒國際立法經驗,個人信息保護法總體上應體現合法兼正當的原則,具體應規定以下原則:

(1)合法原則。行政主體行為的目的、方式、程序、內容均不能違反法律的規定。

(2)直接收集原則。個人信息的收集,原則上應該直接向信息主體收集。現代信息技術使得對個人信息的收集具有隱蔽性,該原則有利于實現信息主體對其個人信息的直接支配和控制。這是個人信息決定權的要求,同時也有利于信息主體獲得知悉權。

(3)目的明確原則。個人信息在收集時必須有明確的目的,禁止超出目的范圍而收集、處理和利用個人信息。對于行政機關來說,必須在行使行政職權、履行行政職責所需的目的范圍內收集、處理和利用個人信息。行政機關應告知信息主體信息收集的目的。

(4)公開原則。一般應對個人信息的收集、處理和利用保持公開,使信息主體了解其個人信息被收集、處理和利用的情況。當然,“公開”并非指將個人信息的內容向公眾公開,而是指將個人信息的收集、處理和利用的情況向信息主體公開,否則將違背個人信息保護的目的。

(5)完整正確原則。信息處理主體應保持所持有的個人信息的完整、準確和時新,信息主體對錯誤、有瑕疵的個人信息有要求更正的權利。當然,信息主體的更正權僅在于維護其個人信息的正確、完整與時新,其行使更正權的程序與內容應當受到適當的限制。

(6)安全原則。行政主體應采取安全保護措施,防止個人信息泄露、滅失和不正當使用。

3.個人信息保護的監督機關

個人信息保護監督機關的設置有獨立的監督機關和原行政機關自行監督兩種情形。法律授權的獨立監督機構固然有利于個人信息保護監督職責的履行,但設置新的機構涉及機構和人員的編制,需要必須的工作條件和經費,這顯然不符合機構精簡的原則,與我國行政管理體制改革的方向不符。而由原行政機關自行監督,屬于行為主體自己行為自己監督,其不足亦是顯而易見的。為解決這一問題,可以立足于我國現有的行政復議制度,把行政復議機關作為個人信息保護監督機關,賦予其相應的職權。行政復議本身具有監督行政的屬性,行政復議機關一般是作為被申請人的行政機關的上一級機關或所屬的一級政府,行政復議機關與作為被申請人的行政機關是一種領導與被領導的關系,或者是業務指導、主管的關系。因此,由信息處理主體的行政復議機關進行個人信息保護的監督,比信息處理主體的自行監督會有更好的效果。依《行政復議法》的規定,由行政復議機關的內部機構履行復議職責。而實踐中,一級政府和政府工作部門分別由其法制部門和內部的法制機構具體履行復議職責。復議機構工作人員的相對專業性和專職性也有利于其勝任個人信息保護的監督工作。結合各國個人信息保護法的規定,我國個人信息保護監督機關的職責應包括以下內容:對個人信息保護法的執行進行一般性監督;進行個人信息保護的研究和咨詢;并定期提交工作報告。

4.對信息主體的救濟

“無救濟則無權利”。要使信息主體的合法權利切實得到維護,則個人信息保護法中應明確對信息主體的救濟。例如,應當明確規定,信息主體公開、修改其個人信息的請求遭到行政主體的拒絕時,可以申請行政復議。行政復議機關未予以處理或者對行政復議的結果不服時,信息主體還可以提起行政訴訟。《行政復議法》和《行政訴訟法》都將受理案件的范圍限定于行政主體的具體行政行為。《行政復議法》第6條列舉了可以申請行政復議的案件。其中第9項和第10項規定,相對人申請行政機關履行保護人身權利、財產權利、受教育權利的法定職責,行政機關沒有依法履行的以及相對人認為行政機關的其他具體行政行為侵犯其它合法權益的。《行政訴訟法》第11條也對受案范圍進行了規定。其中第1款第5項和第8項規定,相對人申請行政機關履行保護人身權、財產權的法定職責,行政機關拒絕履行或者不予答復的以及認為行政機關侵犯其他人身權、財產權的。第2款規定,除前款規定外,人民法院受理法律、法規規定可以提起訴訟的其他行政案件。行政主體對信息主體的公開申請、修改申請拒絕或不予答復時,信息主體的個人信息權將受到影響,行政主體的拒絕決定屬于具體行政行為,不予答復屬于行政不作為。因此,依據我國現有的行政復議制度和行政訴訟制度,信息主體可以獲得救濟。個人信息保護法應規定信息主體因行政主體違法收集、處理和利用個人信息的行為遭受損害的,給予行政賠償。

注釋:

[1]城仲模:《行政法之一般法律原則》(二),三民書局1999年版,第167頁。

[2]肖金明:《原則與制度———比較行政法的角度》,山東大學出版社2004年版,第185頁。時,可以是口頭同意,事后再補做書面同意。

[3]齊愛民:《個人資料保護法原理及其跨國流通法律問題研究》,武漢大學出版社2004年版,第80頁。

[4]張明杰:《開放的政府———政府信息公開法律制度研究》,中國政法大學出版社2003年版,第17頁。

[5]劉迪:《現代西方新聞法制概述》,中國法制出版社1998年版,第120頁。

[6]王貴國:《國際IT法律問題研究》,中國方正出版社2003年版,第430頁