我国“ 个人信息保护法”的现状与走向

在中国新闻史学会传媒法规和伦理分会首届“悖论与责任:新时代的媒介法规和伦理研究”年会上主旨发言(2018年9月14日)

华中师范大学新闻传播学院研究生董晟记录整理

一、 信息时代个人信息保护成为“悖论”

对于悖论和责任的理解,两者是相辅相成的,这是一对矛盾。法律和伦理实际上都是要解决悖论的,已故彭真委员长说过一句话:法律就是在矛盾中间砍一刀,这句话讲得非常深刻。我想,我们确实面临着大量的悖论,现在我们个人的信息保护就是一个悖论。个人信息在三种社会形态中的进化转变,农业社会,人民老死不相往来;工业社会,开始提出隐私权,当时的基本要求是“不打扰”,或称“独处权”,right to be let alone;信息社会,自己信息自己控制。我们购物、旅游、聊天、阅读等各种活动,都会留下个人的数据与信息,因为我们处在网络时代。我们非但不能离开互联网,反而卷入互联网越来越深。用李彦宏的话来说就是我们用户是自愿把隐私拿出来的。

我们每天都把自己的隐私留在网上,这就带来一个担心:我们的个人信息泄露了怎么办?我们时常面临隐私被非法泄露所带来的侵害。现在有一个说法:2018年是个人信息保护元年。对此,并非指现在才开始保护个人信息,而是说这样的趋势于今年到了一个高潮。比方说,全国人大常委会宣布把《个人信息保护法》列入五年立法计划。还有欧盟GDPR(General Data Protection Regulation《通用数据保护条例》)今年在欧洲开始生效,它规制任何发生在欧盟境内的数据处理行为,包括任何一个为欧盟境内数据主体提供产品和服务的企业,所以对我国互联网企业也有影响,有人称为“史上最严个人信息保护法”。整个条例11章,包括了基本原则、数据主体权利、个人数据处理者和控制者等等,我看称为至今最完整的个人信息保护体系也许更恰当一些。

接下来几位学人对GDPR有系统演讲,我不多说。

二、目前我国保护个人信息的基本规范

那么,中国的情况如何?目前,中国对个人信息的保护规范主要是“两法一决定” 加“一个罪名”, 即全国人大常委会《关于加强网络信息保护的决定》、《消费者权益保护法》、《网络安全法》以及《刑法》第253条之一中的“侵犯个人信息罪”。

《民法总则》是全国人大通过的基本法,其中第111条“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”其中,“依法取得”“不得非法”是一个原则性的规定。“决定”是指全国人大保护网络信息的决定,2014年《消费者权益保护法》把人大的决定基本内容写入了法律。这“两法一决定”可以说是《民法总则》“依法”的具体化, 再加上一个《刑法》罪名:侵犯个人信息罪。这是现在中国保护个人信息的基本规范。其中对收集、使用者的义务和责任中,如“合法、正当、必要,明示目的、方式和范围,征得同意”,这样的表述在GDPR中也有,是同国际接轨的。关于信息主体的权利:自主权和控制权,在法律没有具体文字,但是法律提到了收集、使用者的义务和责任,那么当然可以理解为信息主体的自主权和控制权。另外法律明文规定了删除权和更正权。

国家机关有相关措施惩处侵犯个人信息与非法获取信息的行为。个人信息的保护可以分为两个方面。一方面是行政与刑法的保护,即公法保护:2017年“两高”关于侵犯个人信息犯罪司法解释;2016年公安部两次发布典型案例共18个;2017年最高检发布典型案例6个;最高法发布典型案例7个;警方集中打击侵犯个人信息犯罪等等。另一方面是民法保护,属于私法保护,2014年最高法关于网络侵权司法解释第12条,一个月以前最高法院公布了十个互联网典型案例,其中有一个案例就是关于个人信息的:庞理鹏诉东航和去哪儿网隐私权纠纷案,庞先生通过去哪儿网买了一张飞机票,三天后收到一条短信被告知本航班取消,可以免费改签另外的航班,并附上链接。庞先生没有去点这个链接,而是打电话给东航,得知此次航班并没有取消,由此断定这是一个钓鱼短信,并以信息泄露为由将航空公司与票务公司告到法院,要求两家承担连带责任。北京海淀法院一审判决驳回庞的诉求,但北京市一院二审判决两个被告构成侵犯隐私权,负有连带责任。此案例成为最高法典型案例。

三、我国个人信息保护存在的不足

我国的个人信息保护还是有不足的,否则就不用再制定《个人信息保护法》了。第一,个人对于自己的信息有没有知情权?GDPR 中第15条: right of access by data subject(访问权或接近权)是有具体规定的,本人可以获悉自己的个人信息在什么地方,将被如何使用,以及是否会被转移到第三者。在我国现行法律找不到这样的规定,问了几位学友说确实是没有类似知情权的规定。没有知情权就很难行使删除权(被遗忘权)和更正权,我们无法判定我们在什么情形需要对个人信息进行删除与更正。第二,没有就国家机关收集和处理个人信息的义务和责任作出规定。且看“两法一决定”, 全国人大常委会《关于加强网络信息保护的决定》中规定责任主体是“互联网服务提供者和其他企业事实单位”;《消费者权益保护法》规定责任主体是“经营者”;《网络安全法》规定责任主体是网络运营者;《刑法》规定责任主体是自然人,没有“单位犯罪”的规定。

这样就带来启动救济渠道的问题。好比我们要买感冒药,药店要求出示并登记身份证,说这是国家药监局规定的,因为感冒药里面含有可卡因,这是可以用来制造毒品的。这非但不符合《居民身份证法》规定使用身份证必须有法律、行政法规规定,而且也不符合“必要”原则,买一盒感冒药的分量完全无法制作毒品,禁止买一百盒感冒药还说得过去。但是,我们无法与药店理论,出示身份证是不是合法,没有一个救济渠道可以阻止国家机关超越法律规定查阅身份证。近期,一位自称为记者的人走过一个地方被警察要求检查身份证 ,他认为警察无权检查他的身份证,引起双方争执,引起了关于公民权利的讨论。按照《人民警察法》规定,民警对有违法犯罪嫌疑的人,可以盘问、检查,还要出示证件,随随便便拦住过路人就要查身份证不符合这条规定。不过现在有一个新的“人民警察法(征求意见稿)”,人民警察因履行职责的需要,可以依法查阅居民身份证。但这还是一个征求意见稿,是可以讨论的。我只是在港英时代的香港,见到港英警察会随时查看路人证件,当然查的是华人,高鼻子是不会查的,香港回归后就不搞这一套了。无论如何,这还没有法律效力,不能按照这个条文来办事。有人就说,这表明公权力天然有一种扩充权力趋向。有人借此引申出来,中国也存在“奥威尔1984”的效应:“Big brother is watching you”,当然这就说得极端了。个人信息保护法的发展,我们还在路上。

四、我国个人信息保护法的发展

GDPR出现的同时,我们公布了一个个人信息保护的国家标准,这个国家标准是比较全面的,规定了信息主体的访问、删除、更正、撤回同意、撤销等权利,其中访问权与欧盟的相似。但这是一个推荐性国家标准,是没有强制力的。还有就是2017年,全国人大常委吴晓灵等向人大提交了关于《关于制定<中国人民共和国个人信息保护法>的议案》,该议案考虑把国家机关搜集、处理和利用个人信息的责任和义务放在突出地位。十年前,周汉华和齐爱民分别起草过关于个人信息保护法的专家建议稿,吴稿的这个思路和他们是一致的,这是我们学界的一些努力。

但是我们还要充分理解知道中国的国情。最近的“滴滴惨案”案件中有一个细节,警方接到报警后,获得凶手的身份以及车牌号码时,已经过去了两个小时。滴滴公司解释是:对方仅凭借电话或者微信索要相关信息无法有效证明其身份,应当提供一定的证明,这样一来一往两个小时,被害人已经遇难。后来,滴滴老板程维提出的措施就是同公安联合,共建用户安全保护机制,高效响应各地公安部门的依法调证需求,并且启动测试已开发完成的警方自助查询系统。就是说滴滴在运营中获取个人信息可以随时同公安共享,以便及时得到警方保护。这是符合我们中国的传统习惯的,我们认为政府是老百姓最可靠的保护者,我们的老百姓愿意将信息提供给政府,这是和西方的意识形态不一样的。这样说起来,我们既要让政府掌握个人信息保护自己,又要避免公共权力过度扩张侵犯个人权益,这是不是也是一种“悖论”呢?

五、个人信息保护要根据中国国情具有中国特色

还要从整个国家法律体系层面来考察个人信息保护。前几年刚刚制定公布的总体的《国家安全法》有二十几项国家安全,军事、政治、文化等等的安全。网络安全是其中的一项。《网络安全法》下面有设施安全、运行安全、信息安全、内容安全,信息安全里包含个人的信息安全。在这个体系里,个人信息安全是总体国家安全体系中的一部分。

2012年全国人大常委会《关于加强网络信息保护的决定》决定,其最受关注的并不是个人信息保护,而是实名制,当时许多新闻报道的标题便是“全国人大常委会立法网络实名制”。实行实名制的目的,就是为了保护总体国家安全和社会安全。接下是2015年反恐法制定了若干项目,包括电信、互联网、金融、住宿、长途客运等等,都是要求我们将个人身份信息提交给有关经营者、服务者。我们可以从两个方面理解:第一,个人安全是国家安全的一部分,国家安全法就有“人民安全”的规定,损害个人信息安全有可能损害国家安全,为了国家安全,要保护个人安全;第二,国家安全高于个人安全,为了国家安全,国家需要知道许多个人信息,这是我们中国特色的制度,也是我们中国固有的意识形态。

近期,个人信息保护法被宣布列入十三届全国人大五年全国立法规划,这对于我们研究个人信息保护法是一个重要的课题,也可以使我们会有很多的学术成果。对于我国个人信息保护法而言,特别是其中如何处理好政府、企业与个人三者之间的关系,既不能照搬欧盟,也不应仿效美国,必须根据中国国情,建立中国特色的制度。

One Response to “我国“ 个人信息保护法”的现状与走向”

  1. 不知不觉中,发现已很久不看魏老师的博客文章;猛然觉出,不看魏老师文章的这几年,自己混入杂务俗务日深,真的要忘记当初求学的“初心”了!幸好时间不算太长,知来者之可追,我当尽快抽身出来,继续跟随魏老师,沉下心去,系统做传播法问题的学习思考,早点告别眼下的半瓶醋状态!不是表态,是敲醒自己……

Leave a Reply