《周汉华个人信息保护及立法.doc》由会员分享,可在线阅读,更多相关《周汉华个人信息保护及立法.doc(13页珍藏版)》请在三一文库上搜索。
1、个人信息保护及立法 周汉华在天则所的第288次双周学术讨论会上,周汉华教授讲了个人信息保护立法以及与之相关的一些问题。首先,周教授从600个明星的电话号码被泄露的事来谈个人信息保护问题的缘起并引出五个问题。第一,在这件事里,只涉及到名字和电话号码,就引起轩然大波,如果泄露出更多信息,后果就更严重。第二个问题是关于知情权和个人信息保护该如何平衡的问题。有人说电影明星的电话号码就应该让大家知道,老百姓有知情权,对于明星来说,作为一个公众人物,是否应该承担这种结果?如果再换一些主体,比如说政府官员等,这个问题可能还是不可避免的。第三,泄露信息的行为在我国现行的法律体系当中该如何得到救补?现行法律好像
2、还没包含这个行为,所以不太好救济,因此明星只能换电话,而这样的机会成本是很大的。这就引出一个问题,这样的行为是不是构成违法,如何衡量是否构成违法。第四个问题,如果泄露信息的行为构成违法,因为传统的隐私权的概念非常窄,我们原来讲的隐私和阴私是一回事,很见不得人的才叫隐私,这样电话号码是不是隐私首先就面临着法律上的界定。第五个问题,在这个侵权面当中,与传统救济有所不同,传统的侵犯隐私总有一个人到处去散布,可以找出其源头,而网络是多向,互动的,涉及到不同的主体,很难找到是谁最先把它搁到网上去的。接着周教授谈到中国人民银行搞个人信用信息基础数据库管理办法的事情,这件事情涉及到很多理论和实践上的东西。首
3、先是中国个人真信业模式的选择,现在国际上美国的真信公司的市场竞争力最强,和美国模式最接近的是公共真信,它是自然地通过政府力量把信息汇总起来,建立公共真信机构,这样就会损害漫长的市场发育的成果。而银行的模式一旦确立,就会给中国构建真信体系带来很多不确定因素。第二,因为我们的商业银行法只是规定银行要为储户的个人信息保密,但是央行实际上是通过自己部颁的规章命令银行和非银行的金融机构要把掌握的金融信息全部向数据库汇总,这就涉及到对个人权利的限制,金融机构经营权利的限制,就产生了法律上的不确定,即央行是否有权利来做这件事?第三,是信用信息的范围的问题。现在各地的步伐很不一样,范围越来越大,银行规定的范围
4、是比较大的,现在央行要做的主要是将范围限制在金融机构,而以后范围就更大了。第四,央行办了一个真信管理局,现在又要办一个数据中心,这就涉及到一个广泛公开的问题。如何能让公共真信机构和民间的私营真信机构不争利,这就涉及到一系列机制构造的问题。第五,是个人权利的范围的问题。真信一旦滥用了给个人造成的影响可能比刑罚更严重,个人的权利究竟该如何得到保障也是个问题。第六,个人信息的准确性怎么得到保障的问题。我们现在的商业模式是真信公司只能从其他部门拿信息,所以一旦信息发生扭曲,其赔偿责任是很不好认定的,而且真信机构作为传送带也缺少核心竞争的能力。由此,个人信息问题已经成了整个信息社会的一个最基本问题。它是
5、个亘古不变的老问题,但也是网络时代的新问题。然后,周教授谈了国际上对这个问题的解决方法。主要有四种模式:第一,综合立法的模式,即通过一部统一的法律来规范公共机构和私营部门对个人信息的使用,收集和传播,同时还会有监督机构来负责法律的实施,这是目前国际上发展最快的一个前沿的领域。第二,特别立法的模式,以美国为代表,主要考虑综合立法的成本太高。第三,自律的模式,即通过行业来共同制定自律的机制,保证规则的实施。第四,技术保护的模式,即可以通过技术手段来保护个人信息。接着,他谈到中国要不要立法的问题。答案显然是需要的。第一,我们现在确实需要解决现实中大量存在的个人信息被滥用的问题,不光是一般业者,少数的
6、政府机关也在行为方式上存在对信息的滥用,通过信息来谋取不当的利益。第二,立法可以为电子商务和电子政务提供一个制度基础,我们的电子商务一直开展不起来,很大的原因是大家对于网络环境下的安全没有信心,这样就必然会制约电子商务和电子政务的发展。第三,有助于维护个人权利,个人信息权实际上是一种人权,和传统的政治权利,自由是有区别,这种权利是来对抗一般的主体,也是对抗公共权利。第四,个人信息保护会成为类似于WTO的制度安排,国际上在这方面的发展是很快的,(个人信息保护)会成为某种新形式的贸易变量和新的国际贸易的制度。第五,现在中央对信息化非常重视,和信息化的整个推进的概念相联系的是有一个信息化的法律体系,
7、从完善法律体系的角度来说也是很有必要的。第六,为构建诚信体系创造了基础条件,没有个人信息保护,诚信的体系是构建不起来的。第七,在国际竞争中,如果没有规则,对我们和国际的跨国公司或者真信企业的巨头竞争都是不利的;对专门的真信企业来说,有规则对于我们的好处要大于没有规则的好处。 最后周教授谈了各国立法的现状。真正使个人信息保护成为一个重要的问题是在60年代到70年代,即计算机系统出现以后,计算机系统带来的海量的处理能力很容易就剥掉人的每一层,这个时候就出现了各种立法的高潮,现在有超过50个国家,地区制定了个人信息保护的法律,而且绝大部分都是最近十多年制定的,在这其中,应该说欧盟的保护力度最强,也是
8、对各国影响最大的,欧盟在95年制定一个指令,如果判定第三过的法律体系对个人信息保护不充分,欧盟委员会是可以禁止向第三国传送个人信息的,未来的国际贸易的新的制度安排可能会建立在这个基础上,各国政府都会效仿它。 个人信息保护及立法 周汉华张曙光:今天我们请周汉华教授作关于个人信息保护的讲演,这是一个很有意思的问题,因为我们现在法律在逐步健全,个人信息保护问题也是个很困难的问题,这个问题我们过去讨论地不多,汉华既研究这个问题,又参与这方面法律的起草,我想今天的讲演可能既有理论意义又有实际意义。周汉华:今天我跟大家一起讨论个人信息保护立法以及相关的问题。这个问题现在来讨论实际上还是很有意思的,最近媒体
9、等各个方面对这个问题的关注都很强,现在我们确实已经进入了信息时代,在这个信息时代,人的存在形式等实际上都已简化成了一系列信息,其中很重要的一块是个人信息,所以在这个大的信息时代的背景下,信息的公开,信息的有效流动,个人信息的保护,信息资源的开发,都涉及到经济,政治,社会生活等各个方面。个人信息保护是在这个大的网络信息时代的背景下出现的问题。我今天主要想谈五个方面的问题:一,个人信息保护问题的缘起;二,个人信息保护问题在国际上的解决方法;三,中国要不要立法;四,简单介绍一下各国立法的发展情况;五,探讨一下在立法中可能会遇到或者需要解决的一些主要问题。首先,我来谈一下这个问题的缘起,这是信息时代问
10、题的集中体现。我们可以从最近的两件事情谈起。第一,是600个明星的电话号码被泄露的事情,这是5月底发生的,现在还受到各界的关注。这就是一个很典型的个人信息问题。把电话号码泄露之后,正常的生活就会受到影响,所以有的明星就把电话号码换了,这样就和社会失去联系了,更多的人在抱怨这个事情。这里有几个问题特别值得关注,第一,在这件事里面,实际上只涉及到一个人的名字和电话号码,就引起了这么大的波动,使得明星们感觉到无法生活了,那么我们可以设想一下,如果泄露出来的信息更多,会是一个什么情况?很多作家都有在这方面的描述,大家都生活在显微镜下,每个人都是透明的人,没有自己的隐私可言,人就会失去所有的保护,那么这
11、个危险(除了个人的姓名和电话号码之外,把所有的信息都拿走)是不是存在?这已经是非常现实的,现在不光是电话号码别人可以拿走,现在手机过去几个月跟谁通过话,跟谁发过短信都可以被复制出来。广东有个记者花了很长时间调查广东的私人侦探,揭露的情况非常触目惊心,什么都可以被找出来,不管是法院的还是电信部门的,法院做不了的他们做得了,公安局完成不了的任务他们也能完成,所以这种大面积的信息泄露已经成为现实了。这是中国的私人侦探的情况,现在国际上的商务调查公司更厉害,国外公司在中国雇人之前都要进行比较高级的商务调查,已经到了可以充分掌握个人信息的阶段。实际上现在包括我们的政府执法机关也有这方面的案例,公安系统只
12、要把某人的名字输进去,就能很快地得到很多信息,包括住哪个宾馆,哪个房间等。这里值得我们深思的第一个问题是一旦泄露信息的范围扩大会是什么样的状况?比如包括你的资产状况,家庭情况,家庭住址,你家孩子在哪里上学,有多少房产,甚至有多少存款以及贷了多少款,还款状况如何等都是很详细的。第二个问题是知情权和个人信息保护到底如何平衡。也有人在网上说电影明星的电话号码就应该让大家知道,既然当明星,就应该承担做明星的代价,老百姓有知情权。所以这里就涉及到两个权利该如何平衡的问题。对于明星来说,作为一个公众人物,他(她)是否应该承担这种结果(明星的电话号码就应该被大家所周知)?如果我们再换一些主体,比如说政府官员
13、等,可能还会面临这样的问题,即怎么来平衡个人信息权利和公众知情权之间的关系,这应该用什么标准来衡量,比如在座的经济学家是否算公众人物,电话号码是否可以被泄露,和电影明星的区别是什么。第三个问题是这样的行为(把大家的信息泄露出来)在我们国家现行的法律体系当中怎么样才能得到救补?甚至包括是不是违法?在这个事情出来之后,还不像原来的,原来明星还喜欢打官司,总有一个比较现成的渠道,现在好像还没有什么渠道,现行的法律好好像还没包含这个行为,不太好救济,因此明星没办法,只能自己换电话,换电话实际上机会成本是很大的。那么在现行的法律里面至少没有明确地提供一个救济的方法,所以这就引出一个问题,(这样的行为)是
14、不是构成违法,怎么样来衡量是否构成违法?第四个问题是如果(这样的行为)构成违法,比如我们用民法通则里面暗含有的隐私权,实际上民法通则里面是叫名誉权,如果我们认定这是侵犯隐私权,那么这个还有待一说,因为我们传统的隐私权的概念非常窄,而且民法通则里面没有隐私权的概念。我们原来讲的隐私和阴私是一回事,很负面,很个人,或者很见不得人的我们就叫隐私,这样电话号码是不是隐私首先就面临着法律上的界定。即使能够根据现有的隐私来推,传统的民事救济实际上是事后救济,而网络所造成的后果往往是事后无法补救的,在这个事情里边表现得很明显,只要网络上一公布,马上全世界的人都知道了。第五个问题是在这个侵权面当中,和传统救济
15、是不一样的,它涉及到不同的主体,侵权面是由一系列构成的,现在已经很难找到是谁最先把它搁到网上去了。那么现在真正侵权的可能就是后来链接的,转载的网站。所以可能涉及到个人,网站,以及我们现在所说的ISP,这里有一个侵权面,在这个侵权面里到底该追究谁的责任?这又和传统的不一样,传统的侵犯隐私总有一个人到处去散布,可以找出其源头,而网络是多向,互动的,和我们原来传统的树状结构不一样,在网上是找不到根的。而且链接或者转载又该负什么责任,尤其对于网站来说,网站的经营这对于BBS上的有些东西是控制不了的,他应该在什么情况下承担责任?这实际上提出了一系列的法律问题。我想从这个事件追问下去,涉及到一系列理论和法
16、律的问题,现在也都没有解答。第二个缘由是中国人民银行在4月15号之前曾经搞过一个个人信用信息基础数据库这样一个管理办法,因为从十五大,十六大之后中央就把打造一个诚信体系放到一个很高的位置,前两年是六个部委联手想制定一个真信管理条例,后来由于各方面的争议比较大,真信管理条例一直出不了台。后来中国人民银行干了两个事情,一是企业信贷分级系统,已经开始运行了,是为了防止欺诈,以及防止一些知信不良的公司的经营。第二是个人的。这些年来个人的贷款也多了,买房子的,买车子的,但是这中间出现的不还贷的行为也多起来了,要从买房子的角度来说,实际上是构成金融风险的很大的一块,人民银行专门成立了一个真信管理局,是想做
17、这么一个规定,当时是在网上公开征求意见,4月15号截止。围绕这个东西的制定,在个人真信业(个人真信业是一个很有前途的企业,如美国的邓百氏以及标准普尔等做信用评级的都是非常厉害的。)引起轩然大波,然后媒体和一般的学界对这个问题好像不是特别关注,但这确实是个很重要的问题。这个问题基本上是围绕着个人信用信息的,中国人民银行的思路是要求银行和其他金融机构把个人信息全部汇总,中国人民银行设立一个个人信用信息的基础数据库,至于如何使用这个数据库却没说,这就变成一个事业单位,免费提供这个数据库,以后就向其他真信公司或者使用主体提供汇总的个人信息,防止不诚信的行为。这件事情涉及到很多理论和实践上的东西,首先是
18、中国个人真信业模式的选择。现在我们的社会环境很差,缺少诚信,那么就要建立诚信,建立诚信很重要的手段就是真信业。我们原来没有真信业,所以大家都抢着去违。,那么真信业的建立究竟那种模式更合适呢?现在在国际上是美国的真信公司是最狠的,不管是个人真信,企业真信还是信用评级,都是美国的公司在国际上的市场竞争力最强,但是美国走的这条路是通过100多年的市场化形成的,在市场竞争中逐步形成大的真信公司。其他国家的情况和美国有所不同,和美国模式最接近的是公共真信,这和我们银行想做的有点类似,大陆法系的国家公共真信比较发达,公共真信是自然地通过政府力量把信息汇总起来,建立公共真信机构,这样就损到漫长的市场发育的成
19、果。在国际上,关于到底应该采用公共真信还是民间真信的问题争议很大,原来各地都在做这个东西,中央想搞一个诚信社会,各地都搞,尤其是上海和深圳,地方成立一个真信公司,最开始都是政府做大股东,然后政府下命令把相关的信息全部整合过来,而银行的模式一旦确立,就会对既有的模式产生很大的撬动的作用,给中国构建真信体系带来很多不确定因素。第二个大问题是,因为我们的商业银行法只是规定银行要为储户的个人信息保密,但是央行实际上是通过自己部颁的规章命令银行和非银行的金融机构要把掌握的金融信息全部向数据库汇总,这就涉及到对个人权利的限制,金融机构经营权利的限制,这就产生了法律上的问题,即央行是否有权利来做这件事?因为
20、央行是没有办法,原来想做真信管理条例,但是后来十六个部门一直协调不下来,所以央行最后就干脆自己做,但是这样就产生了法律上的不确定。第三是信用信息的范围到底有多大?因为现在各地的步伐很不一样,范围是越来越大,银行规定的范围是比较大的,包括个人的信贷交易信息,以及反映个人信用状况的其他信息,“其他”使得这个范围就有可能无边了,现在央行要做的主要是将范围限制在金融机构,而以后就不光是金融机构了,比如水电费忘交了,这个信息也会进入到数据库里。第四,央行办了一个真信管理局,现在又要再办一个事业单位,办一个数据中心,这就涉及到一个广泛公开的问题。公共真信机构可以搞,尤其是在符合我们大陆法系的特点的条件下,
21、但是公共真信机构该如何体现其治理结构?怎么能让公共真信机构和民间的私营真信机构不争利,这就涉及到一系列机制构造的问题。第五,个人到底有多大的权利?因为这些信息是很要命的,真信一旦滥用了给个人造成的影响可能比刑罚更严重,个人的权利究竟该如何得到保障?第六,个人信息的准确性怎么保障?因为现在很多公司做“短,平,快”业务,他们并不做信息的加工,也不做自己的数据库,跟美国不一样,美国当年大公司的形成是历尽艰辛,通过很多商业模式来构筑具有核心竞争力的数据库,而我们现在的真信企业都没这个耐心,都不是这么干的,我们现在大致的模式是通过政府,这和具有核心竞争力的真信业的模式是根本不一样的,为什么美国的大公司的
22、竞争力强?因为它能拿出来的东西政府都是拿不出来的,我们的公司现在都是搞“短,平,快”项目,所以这样一旦个人信息发生失误,我们该怎么办?美国当年在真信业起步的时候最大的风险就是法律风险,因为个人信息一旦搞错了,人家就什么都干不成了,想买房子买不成,想出国出不了,想借款借不了,这样的法律官司打起来需要赔偿的额度是天价的。而我们现在的商业模式不是那回事,真信公司只能从其他部门拿信息,所以信息到底是由谁提供的就说不准了,所以信息一旦发生扭曲,其赔偿责任是很不好认定的,而且真信机构作为传送带也缺少核心竞争的能力。我讲这两个例子(明星电话号码被泄露和个人信息数据库的建立)是想说明个人信息问题已经成了整个信
23、息社会的一个最基本的细胞,不管是信息发展,不管是治理结构,不过是公民权利的保障,不管是对政府新的要求等等都提出一系列挑战。个人信息保护是个亘古不变的老问题,但也是网络时代的新问题,原来我们谈到的隐私保护或者个人信息保护都是在传统的社会形态下的一些特点,而在网络时代个人信息保护又具有了新的特点,是一个尤其突出的新问题,网络时代改变了人们的生活方式和行为方式,改变了信息的流通方式以及整个社会的结构,个人信息保护正是在这个互联网的环境下处于一个更加突出的位置。国际上是如何解决这个问题的呢?主要有四种模式来解决个人信息及其保护的问题。第一是通过综合立法的模式,即通过一部统一的法律来规范公共机构和私营部
24、门对个人信息的使用,收集和传播,同时还会有监督机构来负责法律的实施,这是目前国际上发展最快的一个前沿的领域,即通过综合立法来应对网络时代个人信息保护的问题。第二是特别立法的模式,避免了大一统的综合立法,而是制定了一些特别的法,一个一个地解决,主要考虑是综合立法的成本太高,因为一旦个人信息保护推出来,可以实现个人信息保护的目的,另外一个角度,确实也会对信息流产生一个负作用,所以国外很多大公司一听说中国要搞信息保护法,比媒体还关注。以美国为代表,它是不愿意制定一个大一统的,它愿意搞一个单行的(法律)。第三个模式是自律的模式,即通过行业来共同制定自律的机制,通过行业自律的方式来保证规则的实施,而且美
25、国人是非常重视这一块的,他们就宣称美国对个人信息保护的效果实际上是要优于欧盟的保护,当时现在结果很难判断。第四是技术保护的模式,即可以通过技术手段来保护个人信息,因为在网络社会,别人盗取你的信息,滥用你的信息等都可以通过技术手段来解决的。那么中国要不要立法?这个看起来可能不成为问题,因为大家初步想起来都觉得这应该是不言自明的,答案显然是要立法。但实际上回答这个问题不是那么简单的,首先,现在这个问题在国际上引起了激烈的争论,尤其是美国人,他们不认为应该搞立法,因为这样加大了企业的成本,而在我们国家,在我们课题组公布了我们的一些研究成果后才引起各界关注的,但即使这样,要不要立法也应该经过很慎重的考
26、虑的,我们研究后觉得还是应该立法的。一般的道理中国和外国还是可以通用的,第一,我们现在确实需要解决现实中大量存在的个人信息被滥用的问题,刚才我们已经讲过,现在个人信息被滥用已经非常严重了,不光是一般业者,少数的政府机关也在行为方式上存在对信息的滥用,这几年政府机关的权利受到更多的限制,有的政府机关早就转型了,通过信息来谋取不当的利益,而现在媒体以及学术界对这个问题还没有给予很高度的关注。第二个理由是要为电子商务和电子政务提供一个制度基础,我们的电子商务一直开展不起来,很大的原因是大家对于网络环境下的安全没有信心,这样就必然会制约电子商务和电子政务的发展。第三是维护个人权利的问题,个人信息权实际
27、上是一种人权,这种人权和传统的政治权利,自由是有区别的,这种权利是来对抗一般的主体,实际上也是对抗公共权利。第四,个人信息保护会成为类似于WTO的制度的安排,国际上在这方面的发展是很快的,(个人信息保护)会成为某种新形式的贸易变量和新的国际贸易的制度。第五,现在中央对信息化非常重视,和信息化的整个推进的概念相联系的是有一个信息化的法律体系,这在中国的法律体系当时是个很重要的部分,包括政府的信息公开,个人信息的保护,包括电信法,信息安全等与信息有关的立法,都属于信息化产业体系的很重要的组成部分,所以从完善法律体系的角度来说也是很有必要的。第六,为构建诚信的体系创造了基础条件,没有个人信息保护,诚
28、信的体系是构建不起来的,我们现在讲构建诚信体系,有时候从一个极端走到另一个极端,即把诚信体系的构建建立在使个人所有信息都透明的基础上,事实上这样的诚信体系是建立不起来的,如果大家都透明了,那么一系列的后果就出来了,就不可能有真实的信息,而且一旦透明的话,信息就没有安全感了,就不可能有交易,就走到了另一个极端,所以只有个人对自己的信息有充分的安全感,然后再建立一个诚信体系,这个诚信体系才能打进去。第七,可以促进政府信息的公开,现在政府信息之所以公开不了是因为信息是借鉴化的信息,政府信息应该以公开为原则,个人信息应该以保密为原则,现在个人信息没有保护,所以政府信息也难以公开。我觉得这七点是我们要立
29、法的主要理由。还有一点不太成熟,在国际竞争中,中国显然处于劣势,在这样的情况下,如果没有规则,实际上对我们和国际的跨国公司或者真信企业的巨头竞争都是不利的,因为他们有很强的信息收集处理的能力而且有先发的优势,如果没有规则,他们也会横冲直撞,大家都胡乱开车,他们开的是宝马,我们开的是破车,那么我们的企业可能都会撵垮。所以特定的规则可能对于我们国内企业之间的竞争会有好处,因为初步的观察得到跨国公司从没有规则当中获取的利益比我们国内公司获取的利益要大得多。第二,对专门的真信企业来说,有规则对于我们的好处要大于没有规则的好处,但这个东西需要论证,我现在一直在思考这个问题,我不知道有没有道理,在这种平等
30、的情况下,公司和公司以及真信企业和真信企业之间,有规则到底是对力量大的有优势还是对力量小的有优势?我个人的看法是有规则对小的好,即对我们更有利,如果大家都有成本,那么这个成本对我们的企业来说可能要更好一些,由于国外的大公司太大了,所以个人信息保护对于他们来说成本太大,到底怎么论证,我现在还没考虑清楚。那么各国立法现在是什么样的呢?个人信息保护对于各国来说都是个亘古不变的老问题,网络时代的新问题,所以很早就受到关注了,我们经常引用威廉彼特的这句话,风能进,雨能进,国王不能进,在当年(1763年)这句话体现了保护个隐私权利,后来一些国家也纷纷制定了有些规定,但是真正使个人信息保护成为一个重要的问题
31、应该是在60年代到70年代,即计算机系统出现以后,计算机系统带来的海量的处理能力很容易就剥掉人的每一层,这个时候就出现了各种立法的高潮,现在我们统计了一下,超过50个国家,地区制定了个人信息保护的法律,而且绝大部分都是最近十多年制定的,所以这个问题是新问题,你去看电子签名法也有类似的现象,电子签名法也是最近十多年有了迅猛的发展,十多年前可能大家还都觉得是个不算很重要的问题,突然一下网络时代就有新的问题出来了,在这个当中,应该说欧盟的保护力度最强,也是对各国影响最大的,欧盟在95年制定一个指令,如果判定第三过的法律体系对个人信息保护不充分,欧盟委员会是可以禁止向第三国传送个人信息的,这条是最要命
32、的,未来的国际贸易的新的制度安排可能会建立在这个基础上,各国政府都会效仿它,都会把个人信息保护的门槛提高,这样就对其他各国产生一系列的影响。这是我要谈的第四个问题,各国立法的概况。(余下部分录音故障,约15分钟)腾彪:安全部门和公安部门对公民的电话,电子邮件以及普通邮件的监视都是非常厉害的。前段时间四川的王怡通过普通邮件递给朋友一些书,这些书只是朋友之间相互传阅的,却被监视到了,所有的书还被没收了,还要罚款等等。我还想起了罗马尼亚社会主义制度倒台以后,原来的制度还有惯性,秘密警察等机关还在持续,一个美国学者去罗马尼亚,过了一周之后他往美国打电话说一切都挺好的,罗马尼亚的人民也很友好,说了一些好
33、话,然后他电话刚挂,电话就又响了,那个人说我是罗马尼亚的秘密警察,非常感谢你说罗马尼亚的好话,对个人信息的隐私权最大的威胁就是政府,还有档案制度,我不知道别的国家有没有类似于中国这样的档案制度,它记载我们受了什么处分,做了什么事情,但是我们也不能随便地去看档案。隐私权在其发展历史中有一个与社会技术相关联的转向,它最开始的含义是to be let it alone,就是让他独处的意思,私人信息,私人空间不能被打扰。风能进,雨能进,国王不能进,不能随便进他的屋子,不能随便拆看他的信件。但是随着技术的发展,在欧洲比较明显,它变成了对个人信息的控制权,原来是被动的,不能随便地侵入一个人的私生活,把个人
34、信息给泄露出去,现在是主动的,我对我个人信息有一个控制权,政府哪个部门有我的信息我有权利知道,而且这个信息如果错了,我有权利修改,政府为什么有我的信息,哪些信息不应该有,而且你保存我的信息要符合公共事务的目的等等,这是对个人信息的一个控制权,这里就涉及到周老师参与(起草的)个人信息保护法的草案,我最想知道的是它的性质,它到底是从民法的角度保护个人隐私的侵权法还是一个行政法(即对行政机关的限制)?美国1974年出台了隐私权法,在这之前1967年出台的叫信息自由法,这两个法,包括日本的以及欧洲的也一样,以美国为例,实际上都是对政府权利的一个限制,隐私权法着重于个人信息的记录,其立法权责是:第一,行
35、政机关不能保有秘密的个人信息记录;第二,个人有权知道在行政机关保存的信息;第三,政府采集的信息不能用于其他目的;第四,行政机关没有取得公民的许可就不能公开这些记录,这些都是对个人信息的保护和对行政机关的限制。1967年的信息自由法也一样是对行政机关的限制,侧重于政府的记录,即政府要通过什么程序可以公开这个信息,前一个侧重于对个人信息的保护,后一个侧重于对个人信息的索取权和知情权。不管怎样,包括日本的都是对政府机关的限制,采集信息必须要有什么手续,公民有权利知道政府机关保留的个人信息,所以在中国这种情况下来出台个人信息保护法一定要把这个东西弄清楚。比如我在递简历的时候我这些信息被出卖了,被公开了
36、,或者我的婚外恋被别人泄露了,这些当然很重要,但是最最重要的是政府部门对隐私权的侵犯。这里面公众人物,国家官员的隐私权也不是完全没有,比如他的通信秘密,他的夫妻生活,这些东西不能说他是官员就不享有,不能够侵入他的住宅,不能够监听他的电话,另外很重要的一点是国家官员隐私权被侵犯了之后,必须由他来举证其隐私与公共利益,公共职务无关,这是很重要的,而对于普通公民来讲,举证的责任是由另一方来举证的。这是我说的主要的问题,即它的归类的问题。当然还有一些小的问题我也提出来,比如草案的一个很重要原则是不保护个人的不良信息,对于这个我是有不同看法的,中国的隐私以前就等于阴私,就是男女之间不好的关系,但是隐私最
37、重要的含义在于,不管它是好的还是坏的,只要不想让别人知道,比如说我做了好事,我不想让别人知道,这也是隐私;我的一些很丑的东西也不想让别人知道,这个同样是隐私,我的不良信息仍然属于被法律保护之列。还有就是给三种机构(国家安全机构,科研机构,新闻机构)给的一些特权,这里面一定要小心,因为我最担心的是安全部门,公安部门对隐私权的侵犯,最重要的背景是中国的司法不独立,没有一个非常完整的对于警察执法的司法限制,这是非常危险的,如果公安部门有这样的特权,那么这是非常危险的。在欧美一些国家,警察通过非常严格的一些手续才能去监听电话,监视通信等等,这个我也是有一些看法。还有刑事责任也是一个比较有争议的问题,我
38、觉得这一定要慎重,对侵犯隐私权,即使是非常非常严重的情况下,我也不赞成用刑事责任来处罚,因为用民事责任就够了,罚款,赔礼道歉等等。国外可能有用刑事责任来对付侵犯隐私权的现象,但是有两个很大的不同:一,中国没有司法独立,司法制度不完善;二,刑事制度上国外的门槛比较低,小偷小摸等都可以用刑事责任,普遍都是非常轻的刑事责任,但它也是刑事责任。在中国一旦上升到刑事责任,后果就非常严重,对公民的利益是非常严重的威胁。我就说这些吧。张曙光:好,下面请吕艳滨。吕艳滨:我也是几年之前就开始关注这个问题,也是和周老师在一起做这个课题。今天我想谈论以下几点:首先,刚才有人提到个人信息保护的基础,我觉得基础很简单,
39、周老师刚才也提到,就是隐私权的保障。但是仅仅靠我们国家现在对隐私权概念的理解,那么我们没法判断,因为我们现在的隐私权是一个比较传统的概念,是一个消极被动的权利,但是随着信息化的发展,在各国对于隐私权都有一个发展,这个过程包括两个层次:一,普通公民之间的权利保障到*权利的保障;二,从消极权利的保障到积极权利的保障,随后从积极权利的保障发展到个人信息的控制权,即他能控制自己的信息被人收集,被人利用,传播给第三者。如果我们现在不发展我们国家的隐私权,实际上是找不到逻辑的基础的。而隐私权和个人信息保护之间是有差距的,对于个人信息保护有些专家是这么界定的,说它是一个个人信息管理法,我觉得这个词是比较恰当
40、的,周老师刚才提到,隐私权强调事后的救济,个人信息强调的是事前的预防,其预防是对个人信息处理进行管制,从那个角度讲,如果非要给这个法律来定性的话,我想像美国的隐私权法实际上是一种公法,它是在约束行政机关如何行使权利,处理个人信息。而有些国家制定法律是针对私人主体的,等于是公权介入到两三个私权这样的主体当中,那么这种法律该怎么界定?我觉得不妨像日本那样将其界定为社会法,这样可能更好,实际上它也是一个公权过渡的过程,刚才有个专家提到对于个人信息保护的三种关系,但是我觉得不是非常全面,比如我们天则所收集了很多学者的信息,实际上也是一个个人信息的处理主体,那么学者和天则之间是什么关系呢?不是消费者与经
41、营者之间的关系,也不是员工与雇主之间的关系,也就是说这种分类法是不严格的,而我们在立法当中采取的模式是国家行政机关的个人信息处理和其他个人信息主体的个人信息处理这两类,我觉得这个可能更严格一点。刚才提到的消费者,经营者,员工,我觉得涉及到周老师提到的另外一个问题,对于有些个人信息的处理关系应该专门针对它有一部法律的,像媒体,学术机构,包括研究机构,它的这种个人信息处理的行为可能是个特例,这种特例是什么?是不是它就不受隐私权的控制?也不是,只不过在事前的机制上放宽了对它的管制,而一旦它违反了对隐私权的保障的规定的话,实际上通过宪法的途径,通过事后救济来约束它,是这样的一种关系,我的看法是这样的。
42、另外关于公众人物的问题,这就涉及到隐私权还有个人信息保护同知情权和政府信息公开之间的关系,这两对关系实际上是有点排斥的,但是也不是你死我活这种关系,我记得日本在里面(法律里面)就很明确地讲,隐私权和知情权之间没有一个你死我活的关系,而只不过是相互划定了一个界限,等于说你可以知道的事物的界限已经被隐私权来划定了,而隐私权所应该保证的信息的范围是通过知情权来划定的,凡是与公共利益有关的就应该服从知情权的要求,无关的就应该由隐私权来保障。那么具体到公众人物,像歌星,官员的家庭变化,我觉得毫无疑问,都应该是隐私权进行保障的,至于说收入,像去年有一个机构统计大腕的年收入产生了争议,那如果它统计的是官员的
43、信息,又是另外一回事了,因为没有涉及到公共利益的时候和涉及到公共利益的时候其结果是不一样的。我还记得有一个案例是发生在日本的,大阪府有一个公民依据大阪府的政府信息公开条例提出了一个请求:公开大阪府的知事用政府招待费来招待的情况。后来法院并没有完全支持他的请求,当时大阪府的知事就提出来一个理由,确实拿着公费去了,但是如果公开请客的对方,可能会影响他的个人隐私,实际上是这么一个问题:公共利益怎么划定?因为在很多国家是通过司法判决个案来判断的,而没有一个非常明确的界线。还有我再谈一下媒体,现在我们国家在相当一段时间公民的权利意识比较淡漠,然后公民权利保障机制不健全,当权利开始被认识的时候,大家都开始
44、过分地强调它,比如知情权和采访权,现在很多人一味地强调应该对媒体的权利加以保障,我并不反对这一点,但是往往有一些媒体走过了,它的采访权的界限已经逾越了,有很多信息的公开完全没有考虑到被采访人的利益,包括前段时间报纸报道的一个骨髓捐赠的库的信息都被公开了,后来有些人本来愿意捐赠骨髓的就不愿意捐赠了,就因为媒体在这里起到一个作用,我觉得还是应该加强媒体的一些自律。所以我们在立法的研究过程当中我们也是特意地关注自律,因为像日本这样的一个国家,它是一个纯东方的国家,但是它也吸收了很多西方的东西,尤其是受到美国的影响,它的立法模式实际上是一种自律占了很大程度的立法模式,特别强调自律的机制,而且它现在已经
45、把自律这种机制加入到它的工业标准里面去了,作为工业标准来约束企业,但是自律机制也没有发挥很大的作用,所以后来它有制定了一系列的个人信息保护法。我想在相当长的一段时间内,我们的自律机制是很难建立的,因为我们刚刚看到民政部门的*管理条例的修订草案,它还是沿用老一套,*管理体制,以及登记审批这样的机制,导致了很多完全可以从事公益事业的机构没法发挥它的作用,这样就导致自律机制不能自下而上地建立,所以我觉得自律机制的建立和整个个人信息保护法发挥作用可能要牵扯到很多周边的相关法律的运作。这就是我的感想,谢谢。刘凯湘:这是非常好的一个主题,听了各位的评议,我想谈谈自己的一点感想。我想集中谈一个问题:个人信息
46、保护立法当中个人权利与公共利益的关系问题。无论是学术研究个人信息的还是立法还是有关的司法判例这都是最核心的一个问题。个人信息保护法如何来协调这方面的关系?从它们(个人权利和公共利益)的属性来说,(它们)肯定是有冲突的,毫无疑问,这是一对矛盾,个人隐私扩展的空间越大,社会的保护越严格,那么这种知情权涉及到公共利益的时候可能受到某种程度的排挤。如果对所谓的公共利益保护过度,那么个人隐私的空间就会被压缩,可能这有个此消彼长的问题。但是立法是通过一种比较好的科学的立法技巧找到一个比较好的平衡点,既能做到保护个人隐私,又能够达到公共利益的目的,这是一个焦点性的问题。对个人信息保护的一个基本的价值判断,我
47、想是个人信息或者个人隐私也有些保护的原则,因为有关个人隐私的法律制度包括把隐私这种利益权利化,覆盖了两个最基本的但是非常重要的价值:一个就是人格尊严,人不能没有名誉来生活,人也不能没有隐私来生活,没有隐私的人不是一个自然意义上的人,更不是一个社会意义上的人(文化意义上的人)。第二就是意志自由,我可以控制隐私,我可以披露隐私,向谁披露,多大程度上的披露等等就存在一个意志表达的自由。隐私权综合了这两种当今社会非常高的法律价值在里面,所以隐私权或者对各种信息保护与公共利益之间,前者必须放在一个优先考虑的位置。在取舍方面,我们假定如果这种隐私保护可能涉及到公共利益的时候,我们就会考虑到把它进行某种限缩
48、,但前提是隐私权或者各种信息应该得到优先的保护,这是第一位的。但是第二位的,我们确实也应该考虑到现在社会的发展,有两个因素使得我们必须对个人隐私有某种程度的限制。第一,公共利益的问题涉及到国家安全,万众利益,国防利益等等。随着科学技术的发展,每个人自己的基因状况是属于个人隐私的,但是对于整个国家来说,整个民族,整个国家的基因状况是整个国家,整个民族的一种财产,所以过度地保护个人隐私是不太可能的,它会妨碍整个基因科技的发展,当更多地涉及到国防,万众利益的时候,它会有公共利益的考虑,国家利益本身也会涉及到公共利益,公共利益有一个扩张的趋势,人越来越生活在一个国家和社会的共同体当中,这是无法回避的。
49、第二,商业的发展必然也会对个人隐私作出某种程度的限缩,通过商业对个人隐私的某些利用,它最终也能反过来造福人们,人们能获得商业发展带来的一些福祉,这个可能也有某种程度的限制,比如刚才举的基因技术的例子,我们担心的是以后基因技术发展了,每个人的基因构图状况出来了,那么你可能得什么病,能不能治,可能都会通过基因图谱一查就出来了,这就可能导致基因歧视。但是另一方面,如果基因技术真的到这种程度的时候,通过信息的商业利用,能够更好地使得我们每个人能够得到更适合于个人的工作等等。所以基因这两个方面的发展,可能对隐私有某种程度的限缩,个人隐私优先得到保护的同时,可能更要兼顾社会公共利益和商业发展的关系。关于个人信息保护立法的问题,第一是个人信息范围的问题,总体来讲,从国际发展来看,个人信息是不断扩大化的,但是这种扩大化本身也是商业科技的发展带来的一种扩大化,是隐私范围的扩大化,我觉得从立法上来讲,除了列举性的表述以外,原则性的表述采用什么形式比较好?是开放性的还是限缩性的?比较好的办法是采用概括性的表述加上一些能够穷尽的列举这样的立法方式,我觉得总体上应该采取开放性的隐私范畴,同时也要让大部分的民众甚至包括政府要了解个人有哪些隐私是属于社会法律