试论个人信息自决权的行政法保护

发布日期：2009-11-10 文章来源：互联网作者：张　娟

[摘　要] 在信息社会,个人信息不仅受到来自私权主体的侵犯,且因信息公开制度的建立和信息技术的变革,也受到来自公共部门的侵犯。文章在提出个人信息自决权概念的基础上,分析了个人信息自决权行政法保护的必要性,并提出制定我国《个人信息保护法》的初步立法建议。

关键词] 个人信息自决权行政法保护

随着计算机及网络在全球的应用和普及,人类由工业社会转变成后工业社会、信息社会。信息日渐成为主宰性的商品, 正是信息日趋商品化的走向,使得信息在信息社会活动中成为须臾不可分离的倚赖基础。其中,个人信息是一种重要的社会资源,“个人信息已成为现代商业和政府运行的基础动力”①。服务行政、行政公开需要政府对个人信息进行大规模收集,日趋复杂的信息技术使得政府对个人信息的处理极为便捷。与此同时, 政府对个人信息亦构成前所未有的隐患,对个人信息的处理有可能导致个人信息的泄露、扭曲和错误使用, 使得个人信息的行政法保护成为必然。 一、个人信息个人信息是一切可以识别本人的信息的总和。个人信息是与个人有关联的属人或属事的信息,所以不仅具有外在、物质的特征,内在、思想状态等也包括在内,如财产状况、家庭生活等信息。传统的个人信息包括个人的姓名、出生年月、身份证编号、指纹、婚姻、家庭、教育、病历、职业、财务情况等可以直接或间接识别该个人的信息资料。随着网络时代的到来,个人信息还包括许多新兴个人数据,如个人电子邮件地址、网域名称、网上银行的通行密码、博客地址等信息。同时, 伴随着电脑技术的发达可能产生“新的个人信息”, 如个人基因、指纹、视网膜或声音等可通过生物鉴定工具辨认出的独一无二的身体特征信息等。此外, 还包括关于种族血统、政治观点、宗教或哲学信仰、党派或性生活的信息等敏感性个人信息。对个人信息的定义在学理上有两种界定方式。一种为识别型定义。即个人信息是指个人的姓名、性别、年龄、血型、健康状况、身高、人种等可以直接或间接识别该个人的资料。所谓“识别”,指信息与信息本人存在某一客观确定的可能性,通过这些信息能直接或间接确定信息归属本人。如德国2003年《联邦数据保护法》第3 节第1 款规定:“个人数据,指任何一个已识别的或可识别的个人的私人或者具体状况的信息”②。我国台湾地区《电脑处理个人资料保护法》第3 条第1 款规定, 个人资料指自然人姓名、出生年月日、身份证编号、指纹、家庭、教育、健康、病历、财物、社会活动等足以识别该个人之资料;另一种为隐私权型定义。美国Parent教授认为,“个人信息是指社会中多数所不愿向外透露者或是个人极敏感而不愿他人知道者”①。 二、个人信息自决权(一)个人信息自决权的确立信息自决权的概念, 源于电脑的发明, 因为电脑将个人的意思除外,使得本人对于电脑中之资料无法掌控,个人对于自己信息之取用及正确性完全失去自主权, 并且在电脑资料相互间引用串连、沟通整合的结果,可能将某一个人的资料形象与其本人真实面貌大相径庭,对人格造成重大的伤害所产生的警觉,进而要求国家注重对人民资料之收集的限制、信息的准确、查询及更正本身资料之权利、接受资料收集通知的权利及确知资料之存在的权利,而此等权利, 不仅应使其不受他人干扰, 更在于对其所有之资料能加以有效控制与支配。个人就其个人信息所享有的权利称为“信息自决权”。“自决”这个概念最早产生于古希腊和古罗马。受文艺复兴和启蒙运动的影响, 现代哲学家认为“个人的自决”对拥有自由意志的现代人而言有很重要的道德意义。最早确立个人信息自决权的国家是德国。德国宪法法院1983 年在“人口调查第二案”的判决中第一次使用了“信息自决权”概念,使信息自决权成为德国个人资料保护的宪法依据②。德国1983 年宪法法院判决确立信息自决权的依据是德国基本法第1 条第1 项的“人性尊严”和第2 条第1 项的“人格自由发展”。宪法法院的判决认为, 个人信息是对个人生活事实的记载, 是对自然人的“人格图像”的勾画,故是人的尊严的一部分。作为在数据处理的现代条件下自由发展个性的前提,个人必须被保护免受个人数据的无限收集、储存、使用和传递。(二)个人信息自决权的涵义与内容所谓信息自决权, 或称“资讯自决权”或“资讯自主权”,台湾学者将之定义为“免于资料不当公开之自由”或“对自己资料之收集、输入、编辑、流通、使用,有完全决定及控制之权利”③。具体而言, 个人信息自决权是指个人依法对其个人信息所享有的决定、支配、控制并排除他人侵害的权利。个人信息自决权既是对私权利主体也是对公权力主体的一项权利, 对信息权的侵害既可能来自私权利主体, 也可能来自公权力主体。而对行政权力体侵害个人信息自决权的行为必须通过行政法之路径来预防、纠正与保护。从公法角度,就行政权对个人信息自决权可能进行的侵权行为意义而言, 个人信息自决权的内容包括: ( 1 )信息保密权,即个人依法请求公共部门保持本人信息秘密的权利。非经本人同意, 非基于公共利益的需要,公共部门不得向外界公

开个人信息, 或向第三人提供人个信息; (2)信息知情权,即个人依法享有知悉、查阅、复制本人信息的权利; ( 3 )信息支配权,即个人享有直接支配并控制本人信息权利,决定其本人信息是否能以及以何种方式、何种目的、多大范围被收集、处理和利用的权利; ( 4 )信息修改权,即个人拥有请求公共部门对不正确、不准确的个人信息进行修改、更正的权利。个人资料的不正确可能导致公共部门做出错误的行政决定,从而造成个人因此而受到侵害; (5)信息删除权,即因基于法定的信息采集目的已经完成或已超过法定的保存年限,在没有法律的特别规定的情形下, 个人拥有请求公共部门删除其本人信息的权利; ( 6 )信息救济权,即个人对本人信息享有的相关权利受到来自公共部门的侵犯时,所拥有的相应的行政救济和司法救济的权利。 三、个人信息自决权行政法保护的必要性(一)公共管理、信息公开的需要现代社会的发展,要求政府和其他公共部门积极行使公共权力,完成福利行政的使命。公共部门进行公共管理, 越来越多地依赖个人信息来完成。个人信息权保护的重要性在过去不是很明显,但在当代的情势下已变得十分突出。“因为当代行政活动的范围大为扩张, 政府对个人活动控制的范围, 以及政府对个人提供服务的范围, 都是前所未有的”①。驾驶信息、社会保障信息、医疗信息、个人信用信息、犯罪记录信息等个人信息在公共管理过程中呈现出多元、放射趋势。信息公开要求公共部门实现信息资源公开、共享, 个人信息的保护被忽视或侵犯的可能性大大提高。如果缺乏对个人信息的公法保护制度,在个人信息的公开与不公开之间没有一个明唽的界限, 则既不能保障个人, 也无法实现行政公开。(二)信息收集、处理、使用手段变革的使然随着数字技术的进步, 信息成为一种商品, 可采集并存储到大型数据库中,供他人有偿或无偿地使用。数字化使得政府的管理变得越来越便利, 但随之而来的是大量的个人信息被公用化, 个人偏好、通讯记录、疾病记录、性格倾向、信用记录、犯罪记录、雇佣信息等信息被录入政府数据库中。同时,因计算机技术、网络的发展,公共部门不仅在收集、存储、编辑传播信息的数量上大大增加, 信息可以组合为一个强大的信息群,而且这个信息群很容易被控制, 仅仅是便捷轻松地指间操作, 瞬间即可将信息群发送世界各地。如美国联邦政府各机构大约有2 000个数据库, 其中记录着数以百万计的公民信息。许多机构相当自由地分享着这些信息,或用来寻找诸如偷税者等可疑的行为不轨者②。伴随着数字、网络技术的飞速跃进,公共部门收集、处理和使用个人信息的能量如虎添翼, 势不可挡。信息保持独处的状态变得艰难,个人信息安全受到来自公共权力的严重威胁。在英国,实际上, 数据匹配的运作已产生了一个产业; 通过数据匹配, 可以从不同来源的数据中收集特定个人的情况介绍。如果警察局、国内税收部、社会保障部、健康服务部门及其他部门获得的信息集中于一个档案,那么个人自由将经受巨大的风险,私人信息的档案材料是极权主义国家的标志。(三)维护个人人格尊严、保障基本人权和国际接轨的需要个人信息自决权是人格尊严的体现。美国学者威廉·比尼认为:“个人信息自决权,也可以用人类尊严或个人尊严的字样来表达”。德国宪法法院在1983年人口普查案中,认为个人信息是对个人生活事实的记载, 是对自然人的“人格图像”的勾画,是人的尊严的一部分。个人的不受侵犯是人格尊严的重要体现, 与私生活相关的, 都与人格尊严密切相关,如果不受保护,将严重损害个人人格尊严。同时,个人信息自决权是一项基本人权。《世界人权宣言》、《公民权利和政治权利国际公约》等国际人权文件已将个人信息自决权作为一项重要的基本人权予以保护。随着我国批准《公民权利与政治权利公约》时间的临近, 个人信息保护的国际压力会越来越大。从世界范围来看,个人信息保护不仅是一个基本人权问题, 也极有可能成为某种新的贸易垒。在国际贸易层面上,随着新加入欧盟的国家逐步达到欧盟指令的要求,欧盟以及其他国家完全有可能根据对第三国个人信息保护水平的判断,对个人信息的跨国流动做出单方面的限制,进而影响到整个国际贸易的正常进行。个人信息保护法制不健全的国家会在国际人权与国际贸易两方面腹背受敌,国际地位十分被动。(四)个人信息自决权的行政侵权实践的要求信息化的社会给公共管理带来极大便利的同时,也为滥用公共权力侵犯信息打开了方便之门。实践中个人信息权的行政侵权行为现象并不少见,主要表现有: ( 1 ) 非法或不正当地收集个人信息。这主要是指非法收集或随意扩大范围的收集行为。如某计生委为制作计生宣传电视片,需要拍摄妇女分娩镜头。在未取得产妇同意而仅是取得医生同意的前提下进入拍摄①。个别地方在制作各种形式的社保卡或其他电子卡时, 非基于行政管理目的, 收集的个人信息多达100 多项, 存在严重的滥用危险; (2)不正当地使用个人信息。这是指依据合法途径收集的信息, 不是根据特定的目的加以使用,而是擅自将个人信息用于特定目的以外的用途;(3)恶意或重大过失披露个人信息。

这主要是指主观上明知或应当知道而不知,致使个人信息被披露的行为。如非典期间政府对非典病人的个人信息通过媒介予以公布的做法是否正当,值得进一步探讨; (4)个人信息对本人不予以公开。个人档案是个人信息的载体,而我国的个人人事档案与本人并不见面,个人对自己的人事档案记录内容及内容是否正确并不清楚。现实中有关组织基于有误的个人信息而对本人做出各种错误决定的现象并不鲜见; (5)个人信息匹配传输缺少必要限制。如,为遏制贪污腐败及其他金融违法犯罪,中国人民银行与公安部建成“公民信息联网核查系统”,全国各银行机构通过联网系统核对公民身份信息,验证客户出示的居民身份证所记载的姓名、公民身份号码、照片及签发机关等信息的真实性。但由于对个人信息的匹配传输缺乏有效的规范,个人信息将可能发生被滥用或被非法转卖牟利的现象。 四、我国个人信息自决权的行政法保护目前我国没有关于个人信息权行政法保护的专门立法,对个人信息权的法律保护仅体现在少数分散的法律文件中,且未能从权的体系中分立而进行专门保护。如2007 年通过的《政府信息公开条例》,规定个人信息涉及隐私权的不予公开;《居民身份证法》、《治安管理处罚法》、《执业医师法》、《律师法》、《未成年人保护法》等规定个人隐私信息不得公开或泄露。但这些规定零星散乱、语焉不详,对信息权的保护较为空洞抽象, 在行政执法和司法实践中缺少可操作性。对个人信息权予以行政法保护是社会发展的必然趋势,也是服务政府建设的题中应有之义。随着信息化社会中大量个人信息被公共部门收集利用,必须尽快制定《个人信息保护法》, 确立对个人信息自决的行政法保护。个人信息保护的立法在我国尚属首次, 面临着许多必须明确的先决问题,这些问题需要进一步加以论证。(一)立法模式各国对信息权保护的立法模式有美国、德国、日本三类,各有特色。美国模式区分对信息的公法和私法保护,其中对公共机关处理个人信息行为进行单独立法, 优点是公法和私法保护内容界定清楚,条理清晰,有利于个人对抗公共权力; 但在私领域采取行业自律的做法,显然不适应我国目前的实际。我国并没有美国发达的行业自律组织, 在很大程度上私法主体较强地依赖政府管理,缺少行业管理的自主性、自律性机制。德国模式对信息进行公法和私法统一保护,其优点是对公法主体和私法主体处理个人信息的共性进行统一规制,避免了立法上的冲突。但考虑到公共机关和私法主体利用信息的性质、公法和私法保护的救济路径存在较大差异,统一立法忽略了公法和私法保护的特性, 继而削弱了对信息的公法保护。笔者认为, 日本模式对我国有借鉴意义,我国目前宜采取公法和私法保护的统一且分离模式。具体可分两步: 第一步, 制定《个人信息保护法》,统一规定公共机关和私法主体信息处理行为的共性部分, 如保护原则、基本概念的界定、个人对本人信息享有的权利、罚则等内容;第二步, 根据公法私法领域及信息利用目的的不同,分别在特别领域制定相对应的法律。这种做法的优点是兼顾公法、私法主体处理信息行为的共性和公法、私法保护方式的特性, 既有利于实现在私法领域特别行业的信息利用与信息保护,也有利于对公共机关依据信息进行的公共管理与信息公开和对个人信息的保护。(二)立法结构个人信息保护法的基本内容与内部结构上可以作如下安排: 第一章, 总则。包括: 立法宗旨、适用范围、基本原则、基本概念; 第二章, 公共部门的个人信息处理。包括私人机构处理个人信息的权利和义务、信息主体对本人信息享有的权利; 第三章,私人机构的个人信息处理。包括私人机构处理个人信息的权利和义务、信息主体对本人信息享有的权利;第四章, 监督与救济。包括监督机构的设置、对公共机关和私人机构处理信息的监督途径、对信息主体的权利救济;第五章,法律责任。包括行政责任和刑事责任;第六章,附则。包括生效时间等。(三)立法宗旨个人信息保护法所确立的立法宗旨是保护个人信息, 但保护个人信息并非绝对的, 还需要考虑个人信息保护与其他利益间的衡量。对于公共部门和私人机构的处理个人信息行为,所要进行衡量的利益并不相同。从公法保护角度而言, 个人信息保护法一方面需要保护个人信息; 另一方面, 又不能妨碍公共机关处理个人信息基础上的公共管理,降低行政效率, 加大行本, 阻碍社会的进步。个人信息的保护并非绝对的,如果对个人信息的保护走入极端,势必使每一个人的信息被封锁、孤立,公共管理陷入困顿。恩格斯曾经指出:“个人一般应受到保护,但当个人私事甚至与最重要的公共利益政治生活发生联系的时候,个人的私事就已经不是一般意义上的私事, 而属于政治的一部分, 它不受隐私权的保护,应成为历史记载和新闻报道不可回避的内容”。因此, 如何协调好个人信息保护与公共管理的公共利益关系,可以说是各国立法当中最为重视的一对核心价值。个人信息保护的立法目的,应平衡信息保护的个人利益与信息处理的公共利益,在这一对利益关系中,偏废任何一个方面,都是不足取的。(四)基本原则个人信息的保护原则在公法和私法领域并未

有太多不同,二者可以保持一致。对于我国的个人信息保护法, 结合外国的经验, 信息保护的原则内容可以包括: (1 )合法原则。即对个人信息的处理必须符合法律,法律另有规定的除外; ( 2)必要性原则。必要性原则是对公共权力进行限制的一个公法原则,个人信息保护也应遵循此原则。具体要求个人信息的收集、处理和使用为公共管理的必要,非基于具体行政职权职责要求不得收集、处理和使用,且只能限于收集的目的加以处理和使用; ( 3 )公开原则。对个人信息的收集、处理和使用情况一般应对本人公开; ( 4 )个人参与原则。即个人享有对本人信息的修改权、删除权; ( 5 )保密和安全原则。即应采取相应技术手段和组织措施确保个人信息处理的保密性和安全性; ( 6 )信息品质原则。即应保证个人信息是准确的、最新的; (7)救济原则。个人信息受到公共权力的侵犯,应可以寻求行政救济和司法救济。(五)信息主体对本人信息享有的权利个人对本人信息享有的权利内容包括信息保密权、信息知情权、信息支配权、信息修改删除权及信息救济权。(六)监督与救济信息权强调个人对信息的控制权, 对信息的保护需要事中的监督与事后的救济。公共权力处理个人信息, 设立专门机构对处理行为进行事中监督,如日本的通报制度和咨询制度,德国的“联邦信息保护委员”等。考虑到我国《信息公开条例》中设置了信息公开工作机构,可对该机构的职能进行整合, 将信息公开监管职能与信息保护职能合二为一,成立“信息公开与个人信息保护机构”, 对公共部门处理个人信息行为进行行政监管。如果个人认为公共部门处理本人信息的行为涉嫌违法,个人可以向信息公开与个人信息保护机构提出事先的审查请求。个人对公共机关处理个人信息的行为认为侵犯其权,可以通过行政复议、行政赔偿、行政诉讼的途径寻求救济。 [参　考　文　献] [ 1 ] 　林　喆. 公民基本人权法律制度研究[M ]. 北京:北京大学出版社, 2006.[ 2 ] 　张新宝. 权的法律保护[M ]. 北京:群众出版社, 2004.[ 3 ] 　王名扬. 美国行政法[M ]. 北京:中国法制出版社, 1995.[ 4 ] 　周汉华. 个人信息保护前沿问题研究[M ]. 北京:法律出版社, 2006.[ 5 ] 　[德]马克思,恩格斯. 马克思恩格斯全集(第18卷) [M ]. 北京:人民出版社, 1964.[ 6 ] 　翁岳生,等. 资讯立法之研究[M ]. 台北:台湾三民书局, 1987.

没找到您需要的？您可以发布法律咨询，我们的律师随时在线为您服务