个人信息保护立法若干问题比较研究
——兼对我国两份专家草案的评析
[摘要]:在现代信息社会中,个人信息极易受到侵害,危害人们的合法权益,各国陆续制定个人信息保护法律进行规制。个人信息保护立法有分别以欧盟和美国为代表的两大模式,在立法理念、立法路径、法律渊源以及具体法律制度上均有重要不同。我国个人信息保护立法已提上日程,并已有两份学者建议稿,分析、借鉴两种模式的经验,对加快我国个人信息保护立法有着重要意义。
[关键词]: 个人信息 立法保护比较 学者建议稿
信息,是个人及其活动的表征,人们在社会活动和市场交易中依赖信息的传递,也留下了相关的信息。随着计算机技术及通讯手段的快速发展, 信息传播更为迅捷、广泛。人们之间的沟通,交流日益方便、密切。人们越来越享受到信息社会的便利。同时,政府、社会团体和个人在进行活动时也往往会收集和保存大量个人信息,并借助信息技术-特别是计算机-批量地处理与广泛的传播,个人的合法权益因此极易受到伤害。例如:个人信息的过度收集、未经许可的二次利用、个人信息的非法交易、利用COOKIE技术跟踪消费者偏好以及木马软件非法获取他人帐号、密码等个人信息等等。为保护个人的合法权益免受侵害,并确保信息正确,安全,迅捷的传播,各国陆续制定相关法律来规制。本文通过分析各国相关立法路径与立法理念,立法原则与具体规则,以借鉴其中有益的经验,并以此比较和梳理我国现有的两份学者建议稿,以期对我国个人信息立法有所助益。
(一)各国个人信息立法概况
世界第一部个人信息保护立法颁布于上世纪七十年代。德国黑森州1970年颁布了资料保护法,拉开了个人信息立法保护的序幕,接着,瑞典,美国,德国,和法国也相继颁布了相关法律。上世纪后二十年,个人信息立法保护的内容更为广泛,水平更加深入,区域性保护统一立法和框架相继出台,。主要表现在几个国际法律文件:欧洲理事会1980年颁布的<有关个人数据自动化处理的个人保护协定>,欧盟于1995年颁布的<个人数据保护指南>以及1980年亚太经济合作组织颁布的<关于隐私保护和个人数据跨疆界流动的指导原则>,特别是欧盟指导原则,它协调成员国个人信息保护的水平,并保障数据在欧盟内部自由流动。由于该指南对个人信息保护的全面与严格, 特别是,它禁止个人信息数据从欧盟内部流通到欧盟认为并未能有效地保护个人信息的国家和地区,① 为了适应与欧盟经贸文化等方面的协作,许多国家以此为立法模本,以达到欧盟的要求。该指南在国际上产生了重要影响。目前,在世界范围内,个人信息保护立法及进一步完善,已经成为一股潮流。②
个人信息保护立法, 从法的渊源来看,主要有两种模式:以欧盟为代表的统一法典模式和以美国为代表的分散立法模式。前者不仅有欧盟范围内统一适用的<个人数据保护指南>,<隐私和电子通讯指令>等法律,还有各成员国依据欧盟法律制定的国内专门法令;后者则散见于,如《联邦公平信用报告法》,《驾驶员隐私保护法》以及《儿童在线隐私保护法》等单行法令中。
从法令名称来看,主要使用三种概念:个人数据、隐私与个人信息,前者主要以欧盟成员国以及受其影响较大的国家;普通法国家主要使用第二种概念;使用个人信息的有日本、韩国、俄罗斯等国。也有将个人信息与个人数据共同使用的国家,如日本。[1]P28采用不同的概念主要是源于不同的法律传统、历史经验和用语习惯,于法律实质并无影响。
各国法律的范围是个人信息,企业或社会团体的内部信息,在权利属性上与个人信息不尽相同,一般运用《商业秘密法》、《反不当竞争法》来保护。
(二)个人信息、隐私权与控制权-----立法理念比较分析
人在社会活动中必然留下印记,产生与自身相关的信息,但是不是全部个人讯息都是必须得到保护?换言之,都是个人保护法的规范对象呢?事实上,只有那些具有社会意义的个人信息才属于法律调整的范围,诸如人下意识的眨眼、咳嗽等动作不属于个人信息保护立法调整的对象----当然,如果长期观察下意识的动作,所得出能反映出行为人的行为倾向的信息,便属于调整范围之内。各国法律一般都对个人信息下了明确的定义。欧盟《个人数据保护指南》(第一章第2条)(A):"'个人数据'是指任何与已经确认的或可以确认的自然人(数据主体)有关的信息;可以确认的自然人是指直接或间接的参考他的识别号码或他所特有的身体、生理、精神、经济、文化和社会识别等众多因素中的一个或几个可以对其进行确认的人。"[2]P42美国《隐私权法》(第一部分o第四项):"'档案'指由某机关保管的有关个人情况的单项、集合或组合,包括但不限于其教育背景、金融交易、医疗病史、犯罪前科、工作履历及其姓名、身份证号码、代号或其他特属于该个人的身份标记,如指纹、身纹或照片。"第五项:"'档案系统'指由任何机关控制的档案组合,根据某人的姓名、身份证号码、代码或其他特属于该个人的身份标记,便可从该组合中查到有关的信息。"[2]P308《日本个人信息保护法》(第一章o第2条o第一项):"本法所称的'个人信息'系指与生存着的个人有关的信息中因包含有姓名、出生年月以及其他内容而可以识出特定个人的部分(包含可以较容易地与其他信息相比照并可以借此识别出特定个人的信息)。"[2]P366可见,采用不同术语概念的国家对个人信息的限定都大致相同,即"可以直接或间接识别该个人的资料。"[3]P36
事实上,有差别的是对个人信息权利属性定位及立法理念的不同,以此分别产生了以欧盟和美国为代表的两种立法模式,在法律渊源、立法路径及具体制度上均有重要区分。本质上,个人信息是隐私的一部分,实践中也属于隐私权保护的范畴。 隐私的概念早已有之,1232 年法国亚尔萨斯曾有一条"私生活应严加保护"的法律。现代意义上的隐私权最早产生于美国。1890 年哈佛大学法学院的教授路易斯·布兰迪斯和塞缪尔·沃伦在当年第4 期的《哈佛法学评论》(Harvard Law Review)上发表了一篇被称为"开拓性"的名为《隐私权》( The Right to Privacy) 的论文。并指出"在任何情况下,一个人都被赋予决定自己所有的信息是否公之于众的权利。"[4]P440①国际上通常认为隐私权包括四个方面内容:"1,信息隐私权;2身体隐私权;3通讯隐私权;4地域隐权"。[1]P29从权利特征上看,传统意义上的隐私权是一种消极性的权利,是一种被动地排除他人干扰、妨害的权利,具有防御性、静态性的特征。而随着信息技术的发展,信息的收集更加便利、迅捷和广泛。特别是在网络的环境下,人更像是一个"玻璃人"或"透明人",个人信息随时随地就可能受到侵害。并且这种侵害往往难以察觉和排除。传统隐私权被动地排除侵害已难以适应现代社会对个人信息保护的要求和维护个人的合法权益,有些情况也是传统隐私权所能涵盖的---如要求更正错误的个人信息,将个人信息用于商业交易等。缘此,学理和实践上,隐私权从一种"消极的权利"逐渐转变为"个人对信息控制及其利用的积极权利";即从"不被侵犯的权利"转变为"个人对信息选择与利用的权利"。"事实上,最近和正在进行中的隐私立法的主导趋势是使消费者能够控制市场中的信息,而不管是否利用信息导致损害。公共官员和私人律师主张'我们必须让消费者确信他们对个人信息有充分的控制',隐私是'只有在每一个美国人都有权控制他们的个人信息被使用或未被使用的情况才可能消失的问题'。" [5]P81区别在于: 欧洲更为注重从权利的角度保护个人信息。"欧洲人认为,数据保护是一项基本人权。"[6]P31。基本人权对诸如经济选择和机会等基本利益具有优先价值。而美国更加注重信息的流通,认为信息本身具有价值,基于利益间的比较与衡量,协调政府、社会与个人三方利益,在有限保护个人信息下充分促进信息的传播。即"分歧的缘由:重尊严还是重自由?"[7]P108
两种立法模式的区别主要表现在以下几个方面:
(1),统一、专门立法还是市场自律调节?欧盟数据保护法是当今世界上第一个采用综合方法保护隐私和数据的制度,即数据保护法对所有部门以及所有数据处理都发生效力,采取同一标准。同时,根据欧盟<个人数据保护指南>,,欧盟成员国都必须设立全国性的数据保护机构。目前,除了个别国家,大多数国家都已经设立了统一的数据保护机构:一部单独的全国性的数据保护法,一个独立的数据保护专员办公室。而美国希望通过对隐私保护采取平衡性措施,既保护个人隐私,又不妨害市场创新的发展。因此,它没有制定一部联邦性法律,保护措施散见于各个单行法令中。同时,美国更依赖于市场交易中行业与公司的自律,各自制定隐私保护行为准则或取得民间的认证制度来适应消费者的要求,主要有以下形式:建议性的行业指引(suggestive industry guidelines);网络隐私认证(online privacy program);技术保护模式(如opt out/opt in)等,采取了较为灵活的策略。[8]P69
(2),明确同意还是事后选择?在对个人信息收集、处理上,欧盟采取严格的规则,赋予信息主体优先的地位:数据处理者收集、使用个人信息,必须得到信息主体事先明确的同意。而美国除新近修改或制定的法律外,采取的是默示同意的方式:信息主体事后未明确表示反对,即视为同意,只须数据收集、处理者应给予信息主体选择的便利途径,且是免费的。认为这样有利于:推进社会公共福利;便利消费信贷;促进消费便利和服务;确定感兴趣的客户;促进竞争和创新等。[5]P89-93并且认为,完全的事先明确同意,加大了成本,只是一种幻想。
(3),个人信息国际传播是否严格受限?欧盟数据保护法的一大特色是,其不仅严格适用内部,还对信息的国际传播做出规定,要求个人信息不得从欧盟内部流通到欧盟所认为的未能给予个人信息充分和严格保护的国家和地区。目前,只有加拿大、阿根廷、新西兰等少数几个国家获得了欧盟的认可。①美国政府的政策是,既要在国际范围内保护个人信息,又不妨害信息流在国际上的传播,并没有个人信息国际流通的强制标准。事实上,欧盟对美国的自律性保护是否符合"个人信息保护的充分性标准"持有疑虑。目前两国主要是通过"安全港协议"进行信息流通:即由美国公司自愿做出承诺,保证遵循欧盟的要求,以获取欧盟的准许。如果美国公司违反协议,将受到美国司法部门的惩处。当然,加入"安全港协议"属于自愿和个别的认证。可以预见,欧盟与美国将在信息国际传播上继续协调。②
(三)个人信息保护立法原则比较分析
个人信息保护原则反应了一个国家对个人信息保护的力度和水平,也规划出了立法框架,具有重要意义,各类立法文件无不首要宣示其立法原则。
国际范围内具有重要影响的1995年欧盟《个人数据保护指南》规定了八项原则:
①,合法原则。即收集个人数据的目的、手段、存储都必须合法。
②,目的性原则。即个人数据仅得为指定定、合法和明示得目的收集,另行处理的,不得与目的相违背。
③,透明原则。即收集个人数据时应当明确告知数据主体有关数据处理得情况。
④,妥当性原则。即收集和处理个人数据时,应当保证个人数据的充分性、相关性和合适性。
⑤,安全和保密原则。即应当采取必要手段确保数据处理的保密性和安全性。
⑥,控制原则。即数据保护机构要监控数据的处理。
⑦,特殊信息豁免原则。即特殊行业和特定的信息,在保护的尺度上可以按照规定放宽。
⑧,国际数据流通限制原则。即各成员国应该规定,只有当第三国确保能够提供充足的保护时,才能向第三国转让处理或在转让后将要被处理的个人数据。
亚太经合组织也规定了8个原则:
①,收集限制原则。即个人数据的获得都应该通过合法和公正的方法,在适当的情况下,要经过数据主体的默示或同意。
②,数据质量原则。即个人数据应该与它们将要被使用的目的和该目的所必要的程度相关,个人数据应该精确、完整和保持最新状态。
③,列明目的原则。
④,安全保护原则。
⑤,使用限制原则。个人数据除非经过数据主体的同意或法律授权,个人数据不应该被披露和公开使用。
⑥,公开原则。即应该确定便利的措施,以确定个人数据的存在和性质,他们使用的主要目的,以及数据控制者的身份和通常住所。
⑦,个人参与原则。即个人有权利了解数据的处理、使用及保存状况。
⑧,责任原则。 即数据控制者由责任遵守赋予上述原则以效力的措施。
其他国家和地区所规定的原则,基本未超过上述两份纲领性法律文件的范围。上述原则得的本立足点在于,"应当在尊重个人人格的理念下慎重处理个人信息,有关方面必须设法正当处理个人信息。"《日本个人信息保护法》(第三条o基本理念)[2]P367
(四)敏感信息的处理禁止与例外
个人敏感信息的规制,是各国立法当中的一个重要领域。个人敏感信息,各国国情和历史文化背景不同,范围不一,但多包括以下几类:种族、民族起源、宗教或哲学上的信仰、政治倾向、工会成员资格、犯罪记录、健康状况及性生活等方面。历史经验表明,对上述个人信息的不当处理,会对个人权利甚至生命带来极大的侵害。如纳粹纯洁日尔曼人计划及对犹太人的灭绝计划;美国战后麦卡西主义对社会主义及左倾者的政治迫害;南非的种族个例计划等等,无不是以对上述信息的处理为前提条件。因此,各国禁止处理个人敏感信息为一般原则。如《意大利有关个人和其他主体的个人数据处理的保护法》(第四章o特殊范畴数据的处理o第二十二条):"只有当数据主体根据格然特(意大利个人数据保护机构的名称)的批准作出书面同意的情况下,才能处理那些允许对种族或民族起源、哲学或其他的信仰,政治观点,政党、商会、协会的成员资格或带有宗教、哲学、政治或商会性质的组织的成员资格,以及健康状况和性生活进行公开的个人数据。"[2]P231《荷兰个人数据保护法》(第二章o个人数据合法处理条件o第二节o特殊个人数据处理):"禁止处理涉及个人宗教、人生观、种族、政治信仰、健康、性生活及贸易联盟身份的个人数据。本章另有规定的除外。本禁止条款同样适用于涉及犯罪记录、违法行为或可能引起社会反对的行为的个人数据处理。"[2]P253
完全禁止处理个人敏感数据,有时也会极大妨害数据主体本身及社会公共利益。例如,健康及医疗信息,除了患者康复所必须外,也是从事医疗研究、进行医学理论创新、研制新型治疗药物所必须的。没有相当数量的个人健康信息的统计与分析,医疗研究人员就难以开展研究工作。另外,有时统计、处理与公开个人健康信息,是保护他人和公共健康所必要的,此时个人信息就具有公益性的特征。特别是在传染病防治领域,如03年的非典,非典病情的统计与公布、非典病人的隔离等措施有效地阻碍SARS的传播,保护了公共健康。再如对于HIV阳性者, "不顾HIV 阳性者的反对而直接向他人披露携带病毒的信息,必然导致HIV 阳性者隐私权的减损。""但另一方面,任何权利都是有界限的,任何权利的行使都不能以损害他人的合法权益为代价。……。 。如果优先保护HIV阳性者的隐私权,不承认其配偶或准配偶必要的知情权,HIV 阳性者就很可能根本不会采取任何预防措施,其配偶的合法权益就会遭受致命的侵害。"[9]P38-P39还有,当患者丧失意识或不具备完全民事行为能力时,他的健康信息需要向他人处取得;对于特殊的疾病,还需要跟踪治疗,长时间保存患者的信息等等,都不能一刀切。因此,各国一般规定在特定的情况下对敏感信息的处理做出豁免:数据主体的同意;医疗研究机构的医学研究、教学;新型药物的研发;司法机构为预防犯罪、矫正犯罪分子等;用人单位处理内部劳动关系所必须;宗教、政治团体内部的管理需要等。
(五)特定行业的适用
隐私权的本质在于私生活的自由和自治,公民个人有权决定自身隐私的公开与否,收集和处理个人信息需要当事人明确或默示的同意。但任何权利和事务都不能是绝对的,由于某些行业的特殊性,便需要区别对待。例如, "隐私权从其产生之日起就天然地与新闻自由存在冲突和矛盾,它一方面表现在新闻媒体对公民隐私权的侵权纠纷,另一方面表现在隐私权的过度主张对新闻自由的妨碍与抵触"。[10]P37新闻自由是指"公民和新闻传播媒体在法律规定或认可的情况下,搜集、采访、写作、传递、发表、印制、发行、获知新闻或其他作品的自主性状态。"[11]P56新闻自由实质上是公民知情权的内在化。现代社会是一个民主与法治的社会,国家组织、政府行政、社会公共事务都离不开公民的同意与参与,而这首要的前提是,公民必须知悉相关情况,了解相应的信息,新闻自由"作为被宪法确认与保护的自由,无疑是现代社会每一个公民以及整个社会不可或缺的。只有有了这一自由,才有可能造就一个真正的民主与法治的社会,人民才有可能发表自己的各种主张,政府及其官员才有可能受到舆论监督,同时人们的知情权也才有可能得到满足。言论表述和新闻出版自由,在一个社会的公共生活领域,尤其在政治生活领域,具有十分重要的意义。" [12]P115新闻自由是把双刃剑,肆意、歪曲的报道会对公民的隐私造成侵害,但是,新闻媒体的报道多涉及社会公共事务和政府行政,与公共利益息息相关,如果过度主张隐私权,则会限制现代民主法治社会所必需的公共信息的公开与传播,必然导致权利冲突的加剧,限制公民政治权利的行使。同时,新闻媒体对政府官员和公共人物的报道,也是民主监督的重要手段,面对新闻媒体和社会公众,他们的隐私权也相应地比普通公民受到更多的限制和约束。因此,需要在个人隐私与社会公共利益间达到平衡"认识所涉及的利益、评价这些利益各自的分量、在正义的天平上对它们进行衡量,以便根据某种社会标准来确保其间最为重要的利益的优先地位,最终达到利益的平衡。"[13]P145当然,公共利益与个人隐私的边界的尺度还需要界定,这是个动态的过程。一般认为,需要在以下几种情况对个人隐私权进行克减:"a。 防止、侦查或调查涉嫌犯罪的事项; b。 防止或消除非法行为、严重不道德行为、对公众不诚实行为和严重不端行为; c。 某人执行其公职或专业职务的能力; d。 某人是否适合担任他所担任的公职或者适合从事他所从事的专业; e。 保护公众的健康和安全; f。 保护国家的安全。"[14]P13-P14因此,各国多作出了适用例外的规定,欧盟《个人数据保护指南》(第37条):"出于新闻或文学艺术表达的目的,特别是在视听领域所进行的数据处理应该可以免受该指示中某些规定的要求,只要这样做对于调和个人的基本权利和《欧洲保护人权公约和基本自由条约》中第十条所特别保护的信息自由,尤其是接受和透漏信息的权利是必要的话。"[2]P40再如《日本个人信息保护法》(第五章o第50条o使用例外o1):"对于个人信息处理业者中以下各项所规定之当事人,如其处理该个人信息的全部或者一部分之目的分别系该项所规定之目的,则前一章之规定不予适用:(a)广播机关、报社、通信社以及其他报道机关(包括从事报道业务的个人):其目的系供其报道之用……"[2]P379
在个人征信行业(征信从业者根据申请,向有权的用户提供消费者个人的交易或诚信记录,以为申请者做出正确的交易决定提供帮助)、律师取证业务(律师根据委托,依据法律行使辩护或代理权,查证相关信息,以保护委托人的合法权益的行为)、医疗行为等场合,也需要对个人隐私权做出克减,否则,依据这些行业的特殊性,将难以开展正常活动,而这些活动是现代社会所必不可少的。各国随着社会的发展,隐私权的内涵与边界也在不断的发展变化,在某些特定行业做出相应的调整。
(六)我国现有两份专家建议稿评析
法治的进步、公民权利意识的觉醒与诉求、建设社会主义市场经济诚信体系、信息社会的发展以及对外交流的广泛与纵深,制订一部既符合我国国情又与国际立法现状与趋势相协调的个人信息保护法势在必行,相关的立法准备工作也已纳入了议程。
目前,国内有两份学者建议稿,一是受国务院信息办委托,由社会科学院法学研究所周汉华研究员牵头负责的个人数据保护法研究课题组所起草的《中华人民共和国个人信息保护法(专家建议稿)》[1](P1-P26);二是广西大学法学院的齐爱民教授所拟定的《中华人民共和国个人信息保护法示范法草案学者建议稿》[15] P2-P5前者的内容框架为:第一章,总则(目的与依据,立法原则,适用范围与例外等);第二章,政府机关的个人信息处理(包括三节,依次为:个人信息的收集与利用;信息主体获得个人信息的权利;个人信息的更正与停止使用);第三章,其他个人信息处理者的个人信息处理(包括四节,依次为:政府管理制度;个人信息的收集与使用;信息主体的权利;行业自律机制);第四章,法律的实施保障与救济;第五章,法律责任;第六章,附则(规定施行日期与实施后的衔接)。共七十二条。
后者的内容框架为:第一节,一般规定(立法目的,适用范围,定义保护原则等);第二节,国家机关对个人信息的收集、处理和利用(其中特别规定了个人信息的跨国传输与个人信息比对);第三节,非国家机关对个人信息的收集、处理和利用;第四节,损害赔偿(共同侵权,损害赔偿,精神损害赔偿)。共32条。
总体而言,两部学者建议稿立足于现有国情,借鉴他国立法的经验与得失,吸收了国际学术理论研究和实践中的最新进展,对推动个人信息保护立法工作与理论研究有着重要意义。当然,对于某些问题和某些方面,两份专家建议稿的规定还需要进一步研究,一些看法也值得进一步探讨,特别是在以下几个方面:
⑴对某些概念的界定和划分不清晰。 如对于个人信息处理者,两份建议稿均分 为政府机关与其他个人信息处理者两部分,分别规定。两类主体在处理个人信息的目的、权限与手段都存在较大差异,这样划分是较为妥当的。但是,按照我国现行法律规定,根据相关法律授权以及有权机关的委托,许多非行政机关也在从事着公务活动,涉及到个人信息的处理,就法理而言,在规则适用上,应与对政府机关的规定相同或近似。"政府机关"的概念是无法涵盖上述内容的。并且,两份建议稿也未把其纳入"其他个人信息处理者"部分规定---性质上也无法协调。因此,应改为"公共机构的个人信息处理"与"其他个人信息处理者的个人信息处理"较为妥当。
⑵对个人敏感信息的处理未做出规定。 制定者给出的理由是:①"域外立法中的敏感信息概念含义非常广泛,包含了政治权利、宗教信仰、结社自由、健康、性生活与司法公正等许多方面。在我国,由于国情不同,如果采用含义广泛的敏感个人信息概念,会导致个人信息保护法与我国宪法和根本政治制度的冲突。如果另起炉灶,采用含义狭窄的敏感个人信息概念(如集中于个人健康信息),一来没有必要,可以直接使用相关的概念;二来容易授人以柄,在国际人权对话中陷于被动。"②可以通过制定单行法规定。③不采用敏感个人信息概念,在域外立法当中也是一种比较常见的选择。[1]P79-80个人敏感信息与公民权利与合法权益密切相关,对个人敏感信息的不当处理极易造成难以弥补的损害,专家建议稿未予规定不能不说是一个缺失,给出的理由也难以信服:对公民权利和合法权益的维护,是我国宪法的使命,我国社会主义的根本制度也提供了充分与现实的条件,由于历史和现实条件的局限,隐私权保护还不全面和到位,作为隐私权重要内容的个人敏感信息更应得到妥当的保护,而不应以某些原因而回避;许多个人敏感信息与宪法规定的公民基本权利相连接,落实保护是公民基本权利的现实化;除了现实条件下极个别不宜立即规定的,如政党与政治信仰,并不仅仅局限于个人健康信息;在个人信息保护法不宜规定的,在单行法同样不宜规定,且缺乏涵盖性;统一规定宣示个人敏感信息保护的重要性;国际上也在加大对个人敏感信息的保护,这是趋势。未来的立法应当规定个人敏感信息处理的禁止与例外,这也是"权利本位"的体现。
⑶特殊行业没有做出例外规定。 "之所以在专家建议稿中没有具体规定任何特定的行业,是因为我国在个人信息保护方面还没有经验,并且,这些行业在我国有其不同于国外的特点,不宜简单照搬域外的立法经验。"并明确了以下几项原则:"①只要法律没有明确规定完全排除或限制适用;对个人信息保护法的规定均应平等地加以适用;②国务院信息资源主管部门可以制定规章,对,某些特定行业全部排除个人信息保护法的适用或着做出适用限制;③如果单行立法另行做出其他规定,包括做出比个人信息保护法更为严格的规定,应优先适用特别法的规定。"[1]P76这样的解释也是不妥当的:正如前文已经指出的,在特定行业做出例外规定是平衡个人隐私权利与信息自由流通,维护公共利益的体现,否则则会妨害社会的正常运作;我国现有法律仅对医疗信息做出规定,在《新闻法》迟迟不能出台,《刑事诉讼法》与《律师法》对律师取证条件限制过严的情况下,未来的个人信息保护法若未予规定例外,则对新闻自由与律师取证的开展极为不利;规章的位阶较低,不能与相关法律,如《新闻法》相衔接。这是需要进一步探讨和协调的问题,以实现各个法律部门之间以及公民权利与社会公益之间的和谐。
⑷其它方面,如个人信息保护执行机构的职责和设置需要进一步探讨;在刑事责任方面,虽然我国不允许行政刑法和空白刑法,但个人信息保护法还需要明确不法类型,当刑法增设相关罪名,明确罪状时,可以协调一致;信心主体的权利还需进一步完善和细化等等。
(七)结语
个人信息保护在我国还是一个崭新的课题,相关的研究也刚刚开始,制订一部良好的个人信息保护法对于引导公民权利意识,规范政府行为,明确不法侵害类型,应对信息社会带来的挑战无疑有着重要意义。这需要我们对相关理论做出深入探讨,并关注实践的最新进展,以期推进个人信息保护法制的完善与创新。
[参考文献]:
[1] 周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006.
[2] 周汉华.域外个人数据保护法汇编[Z].北京:法律出版社,2006.
[3] 张素华.个人信息商业运用的法律保护[J].苏州大学学报(哲学社会科学版),2005,(2).
[4] 王利明,杨立新.人格权与新闻侵权[M].北京:中国方正出版社,2004,第二版.
[5] FRED H.CATE.美国的隐私保护.周汉华.个人信息保护前沿问题研究[C].北京:法律出版社,2006.
[6] CHRISTOPHER. KUNER.欧盟的隐私和数据保护.周汉华.个人信息保护前沿问题研究[C].北京:法律出版社,2006.
[7] 洪海林.个人信息保护立法理念探究-在信息保护和信息流通之间[J].河北法学,2007,(1).
[8] 曾尔恕,黄昕宇. 美国网络隐私权的法律保护[J].中国人民公安大学学报,2003,(6).
[9] 徐继响.论HIV阳性者隐私权的边界[J].法学:2005,(7).
[10] 张军.新闻自由与隐私权的冲突和平衡[J].法学评论:2007,(1).
[11] 甄树青.论表达自由[M].北京:社会科学文献出版社,2000.
[12] 张新宝.隐私权的法律保护[M].北京:群众出版社,2004,第二版.
[13] 转引[美]博登海默.法理学---法律哲学与法律方法[M].北京:中国政法大学出版社1999.
[14] 魏永征,张咏华,林琳.西方传媒的法制、管理和自律[M].北京:中国人民大学出版社,2003.
[15] 齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿[J].河北法学:2005,(06).
作者:杨帆,上海师范大学法学硕士,研究方向:法律史、民商法、网络法
EMAIL:haishangyingfeng@163.COM
QQ:474397165
