综述
在天则所的第288次双周学术讨论会上,周汉华教授讲了个人信息保护立法以及与之相关的一些问题。
首先,周教授从600个明星的电话号码被泄露的事来谈个人信息保护问题的缘起并引出五个问题。第一,在这件事里,只涉及到名字和电话号码,就引起轩然大波,如果泄露出更多信息,后果就更严重。第二个问题是关于知情权和个人信息保护该如何平衡的问题。有人说电影明星的电话号码就应该让大家知道,老百姓有知情权,对于明星来说,作为一个公众人物,是否应该承担这种结果?如果再换一些主体,比如说政府官员等,这个问题可能还是不可避免的。第三,泄露信息的行为在我国现行的法律体系当中该如何得到救补?现行法律好像还没包含这个行为,所以不太好救济,因此明星只能换电话,而这样的机会成本是很大的。这就引出一个问题,这样的行为是不是构成违法,如何衡量是否构成违法。第四个问题,如果泄露信息的行为构成违法,因为传统的隐私权的概念非常窄,我们原来讲的隐私和阴私是一回事,很见不得人的才叫隐私,这样电话号码是不是隐私首先就面临着法律上的界定。第五个问题,在这个侵权面当中,与传统救济有所不同,传统的侵犯隐私总有一个人到处去散布,可以找出其源头,而网络是多向,互动的,涉及到不同的主体,很难找到是谁最先把它搁到网上去的。
接着周教授谈到中国人民银行搞个人信用信息基础数据库管理办法的事情,这件事情涉及到很多理论和实践上的东西。首先是中国个人真信业模式的选择,现在国际上美国的真信公司的市场竞争力最强,和美国模式最接近的是公共真信,它是自然地通过政府力量把信息汇总起来,建立公共真信机构,这样就会损害漫长的市场发育的成果。而银行的模式一旦确立,就会给中国构建真信体系带来很多不确定因素。第二,因为我们的商业银行法只是规定银行要为储户的个人信息保密,但是央行实际上是通过自己部颁的规章命令银行和非银行的金融机构要把掌握的金融信息全部向数据库汇总,这就涉及到对个人权利的限制,金融机构经营权利的限制,就产生了法律上的不确定,即央行是否有权利来做这件事?第三,是信用信息的范围的问题。现在各地的步伐很不一样,范围越来越大,银行规定的范围是比较大的,现在央行要做的主要是将范围限制在金融机构,而以后范围就更大了。第四,央行办了一个真信管理局,现在又要办一个数据中心,这就涉及到一个广泛公开的问题。如何能让公共真信机构和民间的私营真信机构不争利,这就涉及到一系列机制构造的问题。第五,是个人权利的范围的问题。真信一旦滥用了给个人造成的影响可能比刑罚更严重,个人的权利究竟该如何得到保障也是个问题。第六,个人信息的准确性怎么得到保障的问题。我们现在的商业模式是真信公司只能从其他部门拿信息,所以一旦信息发生扭曲,其赔偿责任是很不好认定的,而且真信机构作为传送带也缺少核心竞争的能力。
由此,个人信息问题已经成了整个信息社会的一个最基本问题。它是个亘古不变的老问题,但也是网络时代的新问题。
然后,周教授谈了国际上对这个问题的解决方法。主要有四种模式:第一,综合立法的模式,即通过一部统一的法律来规范公共机构和私营部门对个人信息的使用,收集和传播,同时还会有监督机构来负责法律的实施,这是目前国际上发展最快的一个前沿的领域。第二,特别立法的模式,以美国为代表,主要考虑综合立法的成本太高。第三,自律的模式,即通过行业来共同制定自律的机制,保证规则的实施。第四,技术保护的模式,即可以通过技术手段来保护个人信息。
接着,他谈到中国要不要立法的问题。答案显然是需要的。第一,我们现在确实需要解决现实中大量存在的个人信息被滥用的问题,不光是一般业者,少数的政府机关也在行为方式上存在对信息的滥用,通过信息来谋取不当的利益。第二,立法可以为电子商务和电子政务提供一个制度基础,我们的电子商务一直开展不起来,很大的原因是大家对于网络环境下的安全没有信心,这样就必然会制约电子商务和电子政务的发展。第三,有助于维护个人权利,个人信息权实际上是一种人权,和传统的政治权利,自由是有区别,这种权利是来对抗一般的主体,也是对抗公共权利。第四,个人信息保护会成为类似于WTO的制度安排,国际上在这方面的发展是很快的,(个人信息保护)会成为某种新形式的贸易变量和新的国际贸易的制度。第五,现在中央对信息化非常重视,和信息化的整个推进的概念相联系的是有一个信息化的法律体系,从完善法律体系的角度来说也是很有必要的。第六,为构建诚信体系创造了基础条件,没有个人信息保护,诚信的体系是构建不起来的。第七,在国际竞争中,如果没有规则,对我们和国际的跨国公司或者真信企业的巨头竞争都是不利的;对专门的真信企业来说,有规则对于我们的好处要大于没有规则的好处。
最后周教授谈了各国立法的现状。真正使个人信息保护成为一个重要的问题是在60年代到70年代,即计算机系统出现以后,计算机系统带来的海量的处理能力很容易就剥掉人的每一层,这个时候就出现了各种立法的高潮,现在有超过50个国家,地区制定了个人信息保护的法律,而且绝大部分都是最近十多年制定的,在这其中,应该说欧盟的保护力度最强,也是对各国影响最大的,欧盟在95年制定一个指令,如果判定第三过的法律体系对个人信息保护不充分,欧盟委员会是可以禁止向第三国传送个人信息的,未来的国际贸易的新的制度安排可能会建立在这个基础上,各国政府都会效仿它。