288
个人信息保护及立法
周汉华
张曙光:今天我们请周汉华教授作关于个人信息保护的讲演,这是一个很有意思的问题,因为我们现在法律在逐步健全,个人信息保护问题也是个很困难的问题,这个问题我们过去讨论地不多,汉华既研究这个问题,又参与这方面法律的起草,我想今天的讲演可能既有理论意义又有实际意义。
周汉华:今天我跟大家一起讨论个人信息保护立法以及相关的问题。这个问题现在来讨论实际上还是很有意思的,最近媒体等各个方面对这个问题的关注都很强,现在我们确实已经进入了信息时代,在这个信息时代,人的存在形式等实际上都已简化成了一系列信息,其中很重要的一块是个人信息,所以在这个大的信息时代的背景下,信息的公开,信息的有效流动,个人信息的保护,信息资源的开发,都涉及到经济,政治,社会生活等各个方面。个人信息保护是在这个大的网络信息时代的背景下出现的问题。我今天主要想谈五个方面的问题:一,个人信息保护问题的缘起;二,个人信息保护问题在国际上的解决方法;三,中国要不要立法;四,简单介绍一下各国立法的发展情况;五,探讨一下在立法中可能会遇到或者需要解决的一些主要问题。
首先,我来谈一下这个问题的缘起,这是信息时代问题的集中体现。我们可以从最近的两件事情谈起。第一,是600个明星的电话号码被泄露的事情,这是5月底发生的,现在还受到各界的关注。这就是一个很典型的个人信息问题。把电话号码泄露之后,正常的生活就会受到影响,所以有的明星就把电话号码换了,这样就和社会失去联系了,更多的人在抱怨这个事情。这里有几个问题特别值得关注,第一,在这件事里面,实际上只涉及到一个人的名字和电话号码,就引起了这么大的波动,使得明星们感觉到无法生活了,那么我们可以设想一下,如果泄露出来的信息更多,会是一个什么情况?很多作家都有在这方面的描述,大家都生活在显微镜下,每个人都是透明的人,没有自己的隐私可言,人就会失去所有的保护,那么这个危险(除了个人的姓名和电话号码之外,把所有的信息都拿走)是不是存在?这已经是非常现实的,现在不光是电话号码别人可以拿走,现在手机过去几个月跟谁通过话,跟谁发过短信都可以被复制出来。广东有个记者花了很长时间调查广东的私人侦探,揭露的情况非常触目惊心,什么都可以被找出来,不管是法院的还是电信部门的,法院做不了的他们做得了,公安局完成不了的任务他们也能完成,所以这种大面积的信息泄露已经成为现实了。这是中国的私人侦探的情况,现在国际上的商务调查公司更厉害,国外公司在中国雇人之前都要进行比较高级的商务调查,已经到了可以充分掌握个人信息的阶段。实际上现在包括我们的政府执法机关也有这方面的案例,公安系统只要把某人的名字输进去,就能很快地得到很多信息,包括住哪个宾馆,哪个房间等。这里值得我们深思的第一个问题是一旦泄露信息的范围扩大会是什么样的状况?比如包括你的资产状况,家庭情况,家庭住址,你家孩子在哪里上学,有多少房产,甚至有多少存款以及贷了多少款,还款状况如何等都是很详细的。第二个问题是知情权和个人信息保护到底如何平衡。也有人在网上说电影明星的电话号码就应该让大家知道,既然当明星,就应该承担做明星的代价,老百姓有知情权。所以这里就涉及到两个权利该如何平衡的问题。对于明星来说,作为一个公众人物,他(她)是否应该承担这种结果(明星的电话号码就应该被大家所周知)?如果我们再换一些主体,比如说政府官员等,可能还会面临这样的问题,即怎么来平衡个人信息权利和公众知情权之间的关系,这应该用什么标准来衡量,比如在座的经济学家是否算公众人物,电话号码是否可以被泄露,和电影明星的区别是什么。第三个问题是这样的行为(把大家的信息泄露出来)在我们国家现行的法律体系当中怎么样才能得到救补?甚至包括是不是违法?在这个事情出来之后,还不像原来的,原来明星还喜欢打官司,总有一个比较现成的渠道,现在好像还没有什么渠道,现行的法律好好像还没包含这个行为,不太好救济,因此明星没办法,只能自己换电话,换电话实际上机会成本是很大的。那么在现行的法律里面至少没有明确地提供一个救济的方法,所以这就引出一个问题,(这样的行为)是不是构成违法,怎么样来衡量是否构成违法?第四个问题是如果(这样的行为)构成违法,比如我们用民法通则里面暗含有的隐私权,实际上民法通则里面是叫名誉权,如果我们认定这是侵犯隐私权,那么这个还有待一说,因为我们传统的隐私权的概念非常窄,而且民法通则里面没有隐私权的概念。我们原来讲的隐私和阴私是一回事,很负面,很个人,或者很见不得人的我们就叫隐私,这样电话号码是不是隐私首先就面临着法律上的界定。即使能够根据现有的隐私来推,传统的民事救济实际上是事后救济,而网络所造成的后果往往是事后无法补救的,在这个事情里边表现得很明显,只要网络上一公布,马上全世界的人都知道了。第五个问题是在这个侵权面当中,和传统救济是不一样的,它涉及到不同的主体,侵权面是由一系列构成的,现在已经很难找到是谁最先把它搁到网上去了。那么现在真正侵权的可能就是后来链接的,转载的网站。所以可能涉及到个人,网站,以及我们现在所说的ISP,这里有一个侵权面,在这个侵权面里到底该追究谁的责任?这又和传统的不一样,传统的侵犯隐私总有一个人到处去散布,可以找出其源头,而网络是多向,互动的,和我们原来传统的树状结构不一样,在网上是找不到根的。而且链接或者转载又该负什么责任,尤其对于网站来说,网站的经营这对于BBS上的有些东西是控制不了的,他应该在什么情况下承担责任?这实际上提出了一系列的法律问题。我想从这个事件追问下去,涉及到一系列理论和法律的问题,现在也都没有解答。
第二个缘由是中国人民银行在4月15号之前曾经搞过一个个人信用信息基础数据库这样一个管理办法,因为从十五大,十六大之后中央就把打造一个诚信体系放到一个很高的位置,前两年是六个部委联手想制定一个真信管理条例,后来由于各方面的争议比较大,真信管理条例一直出不了台。后来中国人民银行干了两个事情,一是企业信贷分级系统,已经开始运行了,是为了防止欺诈,以及防止一些知信不良的公司的经营。第二是个人的。这些年来个人的贷款也多了,买房子的,买车子的,但是这中间出现的不还贷的行为也多起来了,要从买房子的角度来说,实际上是构成金融风险的很大的一块,人民银行专门成立了一个真信管理局,是想做这么一个规定,当时是在网上公开征求意见,4月15号截止。围绕这个东西的制定,在个人真信业(个人真信业是一个很有前途的企业,如美国的邓百氏以及标准普尔等做信用评级的都是非常厉害的。)引起轩然大波,然后媒体和一般的学界对这个问题好像不是特别关注,但这确实是个很重要的问题。这个问题基本上是围绕着个人信用信息的,中国人民银行的思路是要求银行和其他金融机构把个人信息全部汇总,中国人民银行设立一个个人信用信息的基础数据库,至于如何使用这个数据库却没说,这就变成一个事业单位,免费提供这个数据库,以后就向其他真信公司或者使用主体提供汇总的个人信息,防止不诚信的行为。这件事情涉及到很多理论和实践上的东西,首先是中国个人真信业模式的选择。现在我们的社会环境很差,缺少诚信,那么就要建立诚信,建立诚信很重要的手段就是真信业。我们原来没有真信业,所以大家都抢着去违。,那么真信业的建立究竟那种模式更合适呢?现在在国际上是美国的真信公司是最狠的,不管是个人真信,企业真信还是信用评级,都是美国的公司在国际上的市场竞争力最强,但是美国走的这条路是通过100多年的市场化形成的,在市场竞争中逐步形成大的真信公司。其他国家的情况和美国有所不同,和美国模式最接近的是公共真信,这和我们银行想做的有点类似,大陆法系的国家公共真信比较发达,公共真信是自然地通过政府力量把信息汇总起来,建立公共真信机构,这样就损到漫长的市场发育的成果。在国际上,关于到底应该采用公共真信还是民间真信的问题争议很大,原来各地都在做这个东西,中央想搞一个诚信社会,各地都搞,尤其是上海和深圳,地方成立一个真信公司,最开始都是政府做大股东,然后政府下命令把相关的信息全部整合过来,而银行的模式一旦确立,就会对既有的模式产生很大的撬动的作用,给中国构建真信体系带来很多不确定因素。第二个大问题是,因为我们的商业银行法只是规定银行要为储户的个人信息保密,但是央行实际上是通过自己部颁的规章命令银行和非银行的金融机构要把掌握的金融信息全部向数据库汇总,这就涉及到对个人权利的限制,金融机构经营权利的限制,这就产生了法律上的问题,即央行是否有权利来做这件事?因为央行是没有办法,原来想做真信管理条例,但是后来十六个部门一直协调不下来,所以央行最后就干脆自己做,但是这样就产生了法律上的不确定。第三是信用信息的范围到底有多大?因为现在各地的步伐很不一样,范围是越来越大,银行规定的范围是比较大的,包括个人的信贷交易信息,以及反映个人信用状况的其他信息,“其他”使得这个范围就有可能无边了,现在央行要做的主要是将范围限制在金融机构,而以后就不光是金融机构了,比如水电费忘交了,这个信息也会进入到数据库里。第四,央行办了一个真信管理局,现在又要再办一个事业单位,办一个数据中心,这就涉及到一个广泛公开的问题。公共真信机构可以搞,尤其是在符合我们大陆法系的特点的条件下,但是公共真信机构该如何体现其治理结构?怎么能让公共真信机构和民间的私营真信机构不争利,这就涉及到一系列机制构造的问题。第五,个人到底有多大的权利?因为这些信息是很要命的,真信一旦滥用了给个人造成的影响可能比刑罚更严重,个人的权利究竟该如何得到保障?第六,个人信息的准确性怎么保障?因为现在很多公司做“短,平,快”业务,他们并不做信息的加工,也不做自己的数据库,跟美国不一样,美国当年大公司的形成是历尽艰辛,通过很多商业模式来构筑具有核心竞争力的数据库,而我们现在的真信企业都没这个耐心,都不是这么干的,我们现在大致的模式是通过政府,这和具有核心竞争力的真信业的模式是根本不一样的,为什么美国的大公司的竞争力强?因为它能拿出来的东西政府都是拿不出来的,我们的公司现在都是搞“短,平,快”项目,所以这样一旦个人信息发生失误,我们该怎么办?美国当年在真信业起步的时候最大的风险就是法律风险,因为个人信息一旦搞错了,人家就什么都干不成了,想买房子买不成,想出国出不了,想借款借不了,这样的法律官司打起来需要赔偿的额度是天价的。而我们现在的商业模式不是那回事,真信公司只能从其他部门拿信息,所以信息到底是由谁提供的就说不准了,所以信息一旦发生扭曲,其赔偿责任是很不好认定的,而且真信机构作为传送带也缺少核心竞争的能力。
我讲这两个例子(明星电话号码被泄露和个人信息数据库的建立)是想说明个人信息问题已经成了整个信息社会的一个最基本的细胞,不管是信息发展,不管是治理结构,不过是公民权利的保障,不管是对政府新的要求等等都提出一系列挑战。个人信息保护是个亘古不变的老问题,但也是网络时代的新问题,原来我们谈到的隐私保护或者个人信息保护都是在传统的社会形态下的一些特点,而在网络时代个人信息保护又具有了新的特点,是一个尤其突出的新问题,网络时代改变了人们的生活方式和行为方式,改变了信息的流通方式以及整个社会的结构,个人信息保护正是在这个互联网的环境下处于一个更加突出的位置。
国际上是如何解决这个问题的呢?主要有四种模式来解决个人信息及其保护的问题。第一是通过综合立法的模式,即通过一部统一的法律来规范公共机构和私营部门对个人信息的使用,收集和传播,同时还会有监督机构来负责法律的实施,这是目前国际上发展最快的一个前沿的领域,即通过综合立法来应对网络时代个人信息保护的问题。第二是特别立法的模式,避免了大一统的综合立法,而是制定了一些特别的法,一个一个地解决,主要考虑是综合立法的成本太高,因为一旦个人信息保护推出来,可以实现个人信息保护的目的,另外一个角度,确实也会对信息流产生一个负作用,所以国外很多大公司一听说中国要搞信息保护法,比媒体还关注。以美国为代表,它是不愿意制定一个大一统的,它愿意搞一个单行的(法律)。第三个模式是自律的模式,即通过行业来共同制定自律的机制,通过行业自律的方式来保证规则的实施,而且美国人是非常重视这一块的,他们就宣称美国对个人信息保护的效果实际上是要优于欧盟的保护,当时现在结果很难判断。第四是技术保护的模式,即可以通过技术手段来保护个人信息,因为在网络社会,别人盗取你的信息,滥用你的信息等都可以通过技术手段来解决的。
那么中国要不要立法?这个看起来可能不成为问题,因为大家初步想起来都觉得这应该是不言自明的,答案显然是要立法。但实际上回答这个问题不是那么简单的,首先,现在这个问题在国际上引起了激烈的争论,尤其是美国人,他们不认为应该搞立法,因为这样加大了企业的成本,而在我们国家,在我们课题组公布了我们的一些研究成果后才引起各界关注的,但即使这样,要不要立法也应该经过很慎重的考虑的,我们研究后觉得还是应该立法的。一般的道理中国和外国还是可以通用的,第一,我们现在确实需要解决现实中大量存在的个人信息被滥用的问题,刚才我们已经讲过,现在个人信息被滥用已经非常严重了,不光是一般业者,少数的政府机关也在行为方式上存在对信息的滥用,这几年政府机关的权利受到更多的限制,有的政府机关早就转型了,通过信息来谋取不当的利益,而现在媒体以及学术界对这个问题还没有给予很高度的关注。第二个理由是要为电子商务和电子政务提供一个制度基础,我们的电子商务一直开展不起来,很大的原因是大家对于网络环境下的安全没有信心,这样就必然会制约电子商务和电子政务的发展。第三是维护个人权利的问题,个人信息权实际上是一种人权,这种人权和传统的政治权利,自由是有区别的,这种权利是来对抗一般的主体,实际上也是对抗公共权利。第四,个人信息保护会成为类似于WTO的制度的安排,国际上在这方面的发展是很快的,(个人信息保护)会成为某种新形式的贸易变量和新的国际贸易的制度。第五,现在中央对信息化非常重视,和信息化的整个推进的概念相联系的是有一个信息化的法律体系,这在中国的法律体系当时是个很重要的部分,包括政府的信息公开,个人信息的保护,包括电信法,信息安全等与信息有关的立法,都属于信息化产业体系的很重要的组成部分,所以从完善法律体系的角度来说也是很有必要的。第六,为构建诚信的体系创造了基础条件,没有个人信息保护,诚信的体系是构建不起来的,我们现在讲构建诚信体系,有时候从一个极端走到另一个极端,即把诚信体系的构建建立在使个人所有信息都透明的基础上,事实上这样的诚信体系是建立不起来的,如果大家都透明了,那么一系列的后果就出来了,就不可能有真实的信息,而且一旦透明的话,信息就没有安全感了,就不可能有交易,就走到了另一个极端,所以只有个人对自己的信息有充分的安全感,然后再建立一个诚信体系,这个诚信体系才能打进去。第七,可以促进政府信息的公开,现在政府信息之所以公开不了是因为信息是借鉴化的信息,政府信息应该以公开为原则,个人信息应该以保密为原则,现在个人信息没有保护,所以政府信息也难以公开。我觉得这七点是我们要立法的主要理由。还有一点不太成熟,在国际竞争中,中国显然处于劣势,在这样的情况下,如果没有规则,实际上对我们和国际的跨国公司或者真信企业的巨头竞争都是不利的,因为他们有很强的信息收集处理的能力而且有先发的优势,如果没有规则,他们也会横冲直撞,大家都胡乱开车,他们开的是宝马,我们开的是破车,那么我们的企业可能都会撵垮。所以特定的规则可能对于我们国内企业之间的竞争会有好处,因为初步的观察得到跨国公司从没有规则当中获取的利益比我们国内公司获取的利益要大得多。第二,对专门的真信企业来说,有规则对于我们的好处要大于没有规则的好处,但这个东西需要论证,我现在一直在思考这个问题,我不知道有没有道理,在这种平等的情况下,公司和公司以及真信企业和真信企业之间,有规则到底是对力量大的有优势还是对力量小的有优势?我个人的看法是有规则对小的好,即对我们更有利,如果大家都有成本,那么这个成本对我们的企业来说可能要更好一些,由于国外的大公司太大了,所以个人信息保护对于他们来说成本太大,到底怎么论证,我现在还没考虑清楚。
那么各国立法现在是什么样的呢?个人信息保护对于各国来说都是个亘古不变的老问题,网络时代的新问题,所以很早就受到关注了,我们经常引用威廉·彼特的这句话,风能进,雨能进,国王不能进,在当年(1763年)这句话体现了保护个隐私权利,后来一些国家也纷纷制定了有些规定,但是真正使个人信息保护成为一个重要的问题应该是在60年代到70年代,即计算机系统出现以后,计算机系统带来的海量的处理能力很容易就剥掉人的每一层,这个时候就出现了各种立法的高潮,现在我们统计了一下,超过50个国家,地区制定了个人信息保护的法律,而且绝大部分都是最近十多年制定的,所以这个问题是新问题,你去看电子签名法也有类似的现象,电子签名法也是最近十多年有了迅猛的发展,十多年前可能大家还都觉得是个不算很重要的问题,突然一下网络时代就有新的问题出来了,在这个当中,应该说欧盟的保护力度最强,也是对各国影响最大的,欧盟在95年制定一个指令,如果判定第三过的法律体系对个人信息保护不充分,欧盟委员会是可以禁止向第三国传送个人信息的,这条是最要命的,未来的国际贸易的新的制度安排可能会建立在这个基础上,各国政府都会效仿它,都会把个人信息保护的门槛提高,这样就对其他各国产生一系列的影响。这是我要谈的第四个问题,各国立法的概况。
(余下部分录音故障,约15分钟)
腾彪:安全部门和公安部门对公民的电话,电子邮件以及普通邮件的监视都是非常厉害的。前段时间四川的王怡通过普通邮件递给朋友一些书,这些书只是朋友之间相互传阅的,却被监视到了,所有的书还被没收了,还要罚款等等。我还想起了罗马尼亚社会主义制度倒台以后,原来的制度还有惯性,秘密警察等机关还在持续,一个美国学者去罗马尼亚,过了一周之后他往美国打电话说一切都挺好的,罗马尼亚的人民也很友好,说了一些好话,然后他电话刚挂,电话就又响了,那个人说我是罗马尼亚的秘密警察,非常感谢你说罗马尼亚的好话,对个人信息的隐私权最大的威胁就是政府,还有档案制度,我不知道别的国家有没有类似于中国这样的档案制度,它记载我们受了什么处分,做了什么事情,但是我们也不能随便地去看档案。隐私权在其发展历史中有一个与社会技术相关联的转向,它最开始的含义是to be let it alone,就是让他独处的意思,私人信息,私人空间不能被打扰。风能进,雨能进,国王不能进,不能随便进他的屋子,不能随便拆看他的信件。
但是随着技术的发展,在欧洲比较明显,它变成了对个人信息的控制权,原来是被动的,不能随便地侵入一个人的私生活,把个人信息给泄露出去,现在是主动的,我对我个人信息有一个控制权,政府哪个部门有我的信息我有权利知道,而且这个信息如果错了,我有权利修改,政府为什么有我的信息,哪些信息不应该有,而且你保存我的信息要符合公共事务的目的等等,这是对个人信息的一个控制权,这里就涉及到周老师参与(起草的)个人信息保护法的草案,我最想知道的是它的性质,它到底是从民法的角度保护个人隐私的侵权法还是一个行政法(即对行政机关的限制)?
美国1974年出台了隐私权法,在这之前1967年出台的叫信息自由法,这两个法,包括日本的以及欧洲的也一样,以美国为例,实际上都是对政府权利的一个限制,隐私权法着重于个人信息的记录,其立法权责是:第一,行政机关不能保有秘密的个人信息记录;第二,个人有权知道在行政机关保存的信息;第三,政府采集的信息不能用于其他目的;第四,行政机关没有取得公民的许可就不能公开这些记录,这些都是对个人信息的保护和对行政机关的限制。1967年的信息自由法也一样是对行政机关的限制,侧重于政府的记录,即政府要通过什么程序可以公开这个信息,前一个侧重于对个人信息的保护,后一个侧重于对个人信息的索取权和知情权。不管怎样,包括日本的都是对政府机关的限制,采集信息必须要有什么手续,公民有权利知道政府机关保留的个人信息,所以在中国这种情况下来出台个人信息保护法一定要把这个东西弄清楚。比如我在递简历的时候我这些信息被出卖了,被公开了,或者我的婚外恋被别人泄露了,这些当然很重要,但是最最重要的是政府部门对隐私权的侵犯。这里面公众人物,国家官员的隐私权也不是完全没有,比如他的通信秘密,他的夫妻生活,这些东西不能说他是官员就不享有,不能够侵入他的住宅,不能够监听他的电话,另外很重要的一点是国家官员隐私权被侵犯了之后,必须由他来举证其隐私与公共利益,公共职务无关,这是很重要的,而对于普通公民来讲,举证的责任是由另一方来举证的。这是我说的主要的问题,即它的归类的问题。
当然还有一些小的问题我也提出来,比如草案的一个很重要原则是不保护个人的不良信息,对于这个我是有不同看法的,中国的隐私以前就等于阴私,就是男女之间不好的关系,但是隐私最重要的含义在于,不管它是好的还是坏的,只要不想让别人知道,比如说我做了好事,我不想让别人知道,这也是隐私;我的一些很丑的东西也不想让别人知道,这个同样是隐私,我的不良信息仍然属于被法律保护之列。还有就是给三种机构(国家安全机构,科研机构,新闻机构)给的一些特权,这里面一定要小心,因为我最担心的是安全部门,公安部门对隐私权的侵犯,最重要的背景是中国的司法不独立,没有一个非常完整的对于警察执法的司法限制,这是非常危险的,如果公安部门有这样的特权,那么这是非常危险的。在欧美一些国家,警察通过非常严格的一些手续才能去监听电话,监视通信等等,这个我也是有一些看法。还有刑事责任也是一个比较有争议的问题,我觉得这一定要慎重,对侵犯隐私权,即使是非常非常严重的情况下,我也不赞成用刑事责任来处罚,因为用民事责任就够了,罚款,赔礼道歉等等。国外可能有用刑事责任来对付侵犯隐私权的现象,但是有两个很大的不同:一,中国没有司法独立,司法制度不完善;二,刑事制度上国外的门槛比较低,小偷小摸等都可以用刑事责任,普遍都是非常轻的刑事责任,但它也是刑事责任。在中国一旦上升到刑事责任,后果就非常严重,对公民的利益是非常严重的威胁。我就说这些吧。
张曙光:好,下面请吕艳滨。
吕艳滨:我也是几年之前就开始关注这个问题,也是和周老师在一起做这个课题。今天我想谈论以下几点:首先,刚才有人提到个人信息保护的基础,我觉得基础很简单,周老师刚才也提到,就是隐私权的保障。但是仅仅靠我们国家现在对隐私权概念的理解,那么我们没法判断,因为我们现在的隐私权是一个比较传统的概念,是一个消极被动的权利,但是随着信息化的发展,在各国对于隐私权都有一个发展,这个过程包括两个层次:一,普通公民之间的权利保障到**权利的保障;二,从消极权利的保障到积极权利的保障,随后从积极权利的保障发展到个人信息的控制权,即他能控制自己的信息被人收集,被人利用,传播给第三者。如果我们现在不发展我们国家的隐私权,实际上是找不到逻辑的基础的。而隐私权和个人信息保护之间是有差距的,对于个人信息保护有些专家是这么界定的,说它是一个个人信息管理法,我觉得这个词是比较恰当的,周老师刚才提到,隐私权强调事后的救济,个人信息强调的是事前的预防,其预防是对个人信息处理进行管制,从那个角度讲,如果非要给这个法律来定性的话,我想像美国的隐私权法实际上是一种公法,它是在约束行政机关如何行使权利,处理个人信息。而有些国家制定法律是针对私人主体的,等于是公权介入到两三个私权这样的主体当中,那么这种法律该怎么界定?我觉得不妨像日本那样将其界定为社会法,这样可能更好,实际上它也是一个公权过渡的过程,刚才有个专家提到对于个人信息保护的三种关系,但是我觉得不是非常全面,比如我们天则所收集了很多学者的信息,实际上也是一个个人信息的处理主体,那么学者和天则之间是什么关系呢?不是消费者与经营者之间的关系,也不是员工与雇主之间的关系,也就是说这种分类法是不严格的,而我们在立法当中采取的模式是国家行政机关的个人信息处理和其他个人信息主体的个人信息处理这两类,我觉得这个可能更严格一点。刚才提到的消费者,经营者,员工,我觉得涉及到周老师提到的另外一个问题,对于有些个人信息的处理关系应该专门针对它有一部法律的,像媒体,学术机构,包括研究机构,它的这种个人信息处理的行为可能是个特例,这种特例是什么?是不是它就不受隐私权的控制?也不是,只不过在事前的机制上放宽了对它的管制,而一旦它违反了对隐私权的保障的规定的话,实际上通过宪法的途径,通过事后救济来约束它,是这样的一种关系,我的看法是这样的。
另外关于公众人物的问题,这就涉及到隐私权还有个人信息保护同知情权和政府信息公开之间的关系,这两对关系实际上是有点排斥的,但是也不是你死我活这种关系,我记得日本在里面(法律里面)就很明确地讲,隐私权和知情权之间没有一个你死我活的关系,而只不过是相互划定了一个界限,等于说你可以知道的事物的界限已经被隐私权来划定了,而隐私权所应该保证的信息的范围是通过知情权来划定的,凡是与公共利益有关的就应该服从知情权的要求,无关的就应该由隐私权来保障。那么具体到公众人物,像歌星,官员的家庭变化,我觉得毫无疑问,都应该是隐私权进行保障的,至于说收入,像去年有一个机构统计大腕的年收入产生了争议,那如果它统计的是官员的信息,又是另外一回事了,因为没有涉及到公共利益的时候和涉及到公共利益的时候其结果是不一样的。我还记得有一个案例是发生在日本的,大阪府有一个公民依据大阪府的政府信息公开条例提出了一个请求:公开大阪府的知事用政府招待费来招待的情况。后来法院并没有完全支持他的请求,当时大阪府的知事就提出来一个理由,确实拿着公费去了,但是如果公开请客的对方,可能会影响他的个人隐私,实际上是这么一个问题:公共利益怎么划定?因为在很多国家是通过司法判决个案来判断的,而没有一个非常明确的界线。
还有我再谈一下媒体,现在我们国家在相当一段时间公民的权利意识比较淡漠,然后公民权利保障机制不健全,当权利开始被认识的时候,大家都开始过分地强调它,比如知情权和采访权,现在很多人一味地强调应该对媒体的权利加以保障,我并不反对这一点,但是往往有一些媒体走过了,它的采访权的界限已经逾越了,有很多信息的公开完全没有考虑到被采访人的利益,包括前段时间报纸报道的一个骨髓捐赠的库的信息都被公开了,后来有些人本来愿意捐赠骨髓的就不愿意捐赠了,就因为媒体在这里起到一个作用,我觉得还是应该加强媒体的一些自律。所以我们在立法的研究过程当中我们也是特意地关注自律,因为像日本这样的一个国家,它是一个纯东方的国家,但是它也吸收了很多西方的东西,尤其是受到美国的影响,它的立法模式实际上是一种自律占了很大程度的立法模式,特别强调自律的机制,而且它现在已经把自律这种机制加入到它的工业标准里面去了,作为工业标准来约束企业,但是自律机制也没有发挥很大的作用,所以后来它有制定了一系列的个人信息保护法。我想在相当长的一段时间内,我们的自律机制是很难建立的,因为我们刚刚看到民政部门的**管理条例的修订草案,它还是沿用老一套,**管理体制,以及登记审批这样的机制,导致了很多完全可以从事公益事业的机构没法发挥它的作用,这样就导致自律机制不能自下而上地建立,所以我觉得自律机制的建立和整个个人信息保护法发挥作用可能要牵扯到很多周边的相关法律的运作。这就是我的感想,谢谢。
刘凯湘:这是非常好的一个主题,听了各位的评议,我想谈谈自己的一点感想。我想集中谈一个问题:个人信息保护立法当中个人权利与公共利益的关系问题。无论是学术研究个人信息的还是立法还是有关的司法判例这都是最核心的一个问题。个人信息保护法如何来协调这方面的关系?从它们(个人权利和公共利益)的属性来说,(它们)肯定是有冲突的,毫无疑问,这是一对矛盾,个人隐私扩展的空间越大,社会的保护越严格,那么这种知情权涉及到公共利益的时候可能受到某种程度的排挤。如果对所谓的公共利益保护过度,那么个人隐私的空间就会被压缩,可能这有个此消彼长的问题。但是立法是通过一种比较好的科学的立法技巧找到一个比较好的平衡点,既能做到保护个人隐私,又能够达到公共利益的目的,这是一个焦点性的问题。
对个人信息保护的一个基本的价值判断,我想是个人信息或者个人隐私也有些保护的原则,因为有关个人隐私的法律制度包括把隐私这种利益权利化,覆盖了两个最基本的但是非常重要的价值:一个就是人格尊严,人不能没有名誉来生活,人也不能没有隐私来生活,没有隐私的人不是一个自然意义上的人,更不是一个社会意义上的人(文化意义上的人)。第二就是意志自由,我可以控制隐私,我可以披露隐私,向谁披露,多大程度上的披露等等就存在一个意志表达的自由。隐私权综合了这两种当今社会非常高的法律价值在里面,所以隐私权或者对各种信息保护与公共利益之间,前者必须放在一个优先考虑的位置。在取舍方面,我们假定如果这种隐私保护可能涉及到公共利益的时候,我们就会考虑到把它进行某种限缩,但前提是隐私权或者各种信息应该得到优先的保护,这是第一位的。但是第二位的,我们确实也应该考虑到现在社会的发展,有两个因素使得我们必须对个人隐私有某种程度的限制。第一,公共利益的问题涉及到国家安全,万众利益,国防利益等等。随着科学技术的发展,每个人自己的基因状况是属于个人隐私的,但是对于整个国家来说,整个民族,整个国家的基因状况是整个国家,整个民族的一种财产,所以过度地保护个人隐私是不太可能的,它会妨碍整个基因科技的发展,当更多地涉及到国防,万众利益的时候,它会有公共利益的考虑,国家利益本身也会涉及到公共利益,公共利益有一个扩张的趋势,人越来越生活在一个国家和社会的共同体当中,这是无法回避的。第二,商业的发展必然也会对个人隐私作出某种程度的限缩,通过商业对个人隐私的某些利用,它最终也能反过来造福人们,人们能获得商业发展带来的一些福祉,这个可能也有某种程度的限制,比如刚才举的基因技术的例子,我们担心的是以后基因技术发展了,每个人的基因构图状况出来了,那么你可能得什么病,能不能治,可能都会通过基因图谱一查就出来了,这就可能导致基因歧视。但是另一方面,如果基因技术真的到这种程度的时候,通过信息的商业利用,能够更好地使得我们每个人能够得到更适合于个人的工作等等。所以基因这两个方面的发展,可能对隐私有某种程度的限缩,个人隐私优先得到保护的同时,可能更要兼顾社会公共利益和商业发展的关系。
关于个人信息保护立法的问题,第一是个人信息范围的问题,总体来讲,从国际发展来看,个人信息是不断扩大化的,但是这种扩大化本身也是商业科技的发展带来的一种扩大化,是隐私范围的扩大化,我觉得从立法上来讲,除了列举性的表述以外,原则性的表述采用什么形式比较好?是开放性的还是限缩性的?比较好的办法是采用概括性的表述加上一些能够穷尽的列举这样的立法方式,我觉得总体上应该采取开放性的隐私范畴,同时也要让大部分的民众甚至包括政府要了解个人有哪些隐私是属于社会法律保护的,是权利化的利益。这种列举性,从其他国家的立法中看出可以尽量详尽的列举,但是怎么表述好?是表述为个人对自己的私生活或者其他方面的个人信息等等活动的控制还是与其相反,即不受其他人侵犯的排他性的一种问题呢?所以我觉得如果换一个方面,从立法上来说,如果对它列举的话,必须有一个概括性的条款,直接采取列举的方式会导致一种误解,现在的法律能根据生活经验设法判定,不能判定的通过概括性立法,这样随着以后科技的发展,不断有新的隐私能够通过这样的立法装进去。第二是关于利用个人信息的主体这一方有个界限。通过合法能够获得,利用个人信息的有三个主体:政府机构,政府机构是有无偿的,强制性的,基于公共利益的获得个人信息;商业主体,它是需要通过有偿的,经过同意的;一般的个人,也是基于同意为原则的。这三个主体有不同的规则,包括取得的原则,使用的方法,来源以及能够获得信息的范围等个方面都要由立法来规定。第三,咱们现在是想搞个人信息保护,实际上也决定着私人信息保护的问题,到底是personal privacy还是private privacy的问题,这也是立法应该考察的问题,比如公司立法修改的问题,信息披露到什么程度完全是公司本身的商业秘密,披露得越多一方面可以降低交易成本,但另一方面可能涉及到公司的商业秘密,这里如何协调也是个问题。所以个人信息保护以后,接下来就有私人信息的更广义上的保护问题,对以后的商事立法,公司立法等等也能提供一个很好的借鉴作用。我就讲到这。
盛洪:其实这也是经济学上的问题,人和人交往的社会中,随时都需要向别人披露信息的,包括找个职位或者跟人谈判等。有的时候可能信息披露得不足,按经济学的讲法,可能导致的不是一个最佳交易,效率受到损失。信息披露过度也是有损害的,实际上信息披露也是有某个均衡状态的,在现代的信息技术革命之前,原来有一个均衡状态,随着信息技术的变化,导致信息披露的成本下降,那么信息披露的量就大了,原来看来可以通过技术限制的,技术比较贵,它是不可能广泛传播的,比如明星的电话号码,如果没有互联网,那么只靠口耳相传的话,根本不构成伤害,所以恰恰是技术变了,成本变了,才导致信息披露的变化。我觉得要指定一个法律最重要的是度的问题,信息披露到什么程度是恰当的,那么过了就不恰当了,我觉得关键是一个度的问题。刚才已经从经济学的角度讲过,信息披露过度和信息披露不足都会导致交易效率的下降,比如一个上市公司可能担心它的信息披露不够,如果信息披露不够可能导致一个很糟糕的交易,看我们今天的股市就很明显,政监会规定上市公司的信息要披露,但是实际上很多交易是有问题的,这是(信息披露)不足的问题。(信息披露)过度的问题实际上就是刚才汉华讲的明星的问题,我觉得从经济学上讲,要看这件事情是否导致一种伤害,这种伤害是不能补偿的,比如像明星的私生活受到干扰,这是一种伤害,而另一部分如影迷们获得利益,但是这种利益是不能补偿明星受到的伤害的,比如100万元全给明星打电话了,那他们获得利益比明星的损害还大吗?不能说,因为这不可比的,一般来讲,只要你获得利益导致他的伤害,这就是一种伤害。所以我觉得这可以从效率来判断,关键问题在于我们要从效率角度来把握它,这是很重要的,当然怎么去判断可能会有些问题。
我觉得(在披露信息中)自愿的原则很重要,你要是被迫地去披露的话,可能会有问题。还有一个原则是对等原则,其实也非常重要,因为如果信息披露是单向的话是有问题的,那么你说信息披露越多越好,也未必,刚才谈了很多问题其实是不对等的,银行对客户的信息收集和整理实际上是单向的,因为银行本身也有违约的时候,举一个很简单的例子,假如电话没有交费,但电信公司随便把你掐掉的时候是算多了。比如我这个无线上网,突然哪天它给我断掉了,然后说我这个漫游过了,但是他给我停了几天它是没有算钱,我漫游可能多了2毛钱它就给我断了,然后我过去交了两毛钱,然后它给我开通,这就是单向的,也就是新的技术在不同的人之间是不对等的,一个政府部门利用新的技术是更有优势的,其实这种不对等导致的结果是非常糟糕的。
我们再扩展一下,如果我们的原则通行于整个社会,我们首先应该关注谁的信用,谁的行为呢?首先应该是公权利的行为,那么我们就应该作一个更好的信息扩充,我怎么样把你说的话,你通过的法律,你通过的政策全给录进来,然后让我来评判。现在只关心公民的行为,而不关心政府的行为,不关心这些公权利的行为,也包括大的垄断机构的行为,我觉得那是很大的问题,对等的原则在立法中必须要非常清楚,当然也很麻烦,这种垄断的力量也很强,我们显然是受制于它的,我觉得这可能是个问题。
还有就是信息的方向的问题,比如刚才讲的,某人地铁逃票了,但是他做过的很多守信用的事情可能没有记录进来,我觉得信息不能是单向的,他可能犯了一个小错误,但是他也做了很多好事,为什么不记录进来呢?另外,信息有效性也是一个问题,比方说一件事情落在一个人身上,时间过了人就发生变化了,所以信息的价值是要变化的,这也很重要。至于怎么办,我的想法是,这个社会是需要披露信息,而且大家如果能够自觉地把信息披露到一个恰当的位置,我觉得是最好的,就不需要强制了。当然也可以把私人信息保留到一个恰当的位置,而且是互相自愿的,那也是很好的。所以我觉得社会有好多制度也要注意,第一是市场的制度,其实大家很自然地不愿意披露对自己不利的信息,因为在市场中有交易,当然市场的竞争会导致你说出真话,我觉得这点确实挺重要的。另外就是家庭也逼着你说真话,尤其是夫妻间的信任,比如你跟另外一个异性交往,为了避免误会,会主动地去说一下,这样就有很多的制度安排,比如宗教的方式,其实这些我觉得都要考虑考虑的,当其他制度都没法达到我们的结果的时候,我们才要考虑法律。我觉得还是要限定法律的范围,把更多的空间给大家的自律行为,在被证明不能自律的时候再用法律。我就说这些。
王振宇:我正好是去年开始对这个问题比较感兴趣,来自于两个新闻报道,一个是征信管理条例即将出台,还有一个是隐私权即将被明确界定,我看着这两个新闻,觉得都比较荒唐。征信管理条例即将出台是央行弄的,然后它把进入的门槛设得非常高,说是要5000万,而涉及到个人征信的话,注册是要1亿,现在中国据说有500多家真信机构,但是按照它的门槛一弄的话,可能就死得差不多了,最后可能只剩下央行垄断了,这我觉得有问题。还有隐私权即将被明确约定也是来源于征信管理条例,由于央行一确定,隐私权就明确了,我觉得这肯定是有问题的,因为隐私权肯定不是央行这样的规章来决定的。
但是有几个问题我也没有思考清楚,一是周老师说的可能是更倾向于制定个人信息保护法,我想问的是这是什么层级的立法?如果还是政府的行政规章之类的话我觉得是无法对抗对个人隐私的侵犯的,那么立法可能花费很大成本,最后也没什么用。
还有我有两个疑问,一是腾彪刚才说过,周老师说单行条例中可能有刑罚的问题,我觉得这个问题非常重要,我倾向于如果是觉得有刑事处罚的话更加有利于保障信息的话,那么最好不要用单行条例的方式,可以用刑法或者通过立法来解决,我们现在刑法是被滥用的而不是不足。还有我比较担心的是李先生提到的媒体对个人信息披露过了,我觉得这个也比较令人担心,因为我们知道现在侵犯个人隐私的威胁也不是来自媒体,所以如果这种想法带到立法中去,可能信息保护立法又会变成对侵犯信息的(防范)。
还有我觉得对信息保护引起重视,可能有这么几个背景:一是信息商品化,大家都觉得这有利益,都在这做,可能会侵犯个人信息,或者信息利益如何分配的问题,比如谁可以从信息转让中获得收益,怎么分配这是一个问题。还有就是公权利对信息的侵犯,还有媒体确实是有一些问题的,边界不清楚。可能有一个核心问题是公权利和利益的问题,我觉得真信机构或者政府机构都可以从它争得的利益中获取利益的话,怎么来保证信息源?比如我有一个信息,政府如果出于公共利益考虑,你可以拿去,这是无偿的。如果政府5元查询一次,这个利益我可不可以分享?还有真信机构处理,加工收集信息后得到的利益,我这个信息源的利益能不能得到分享?我觉得有没有这种制度设计呢?如果有的话可能各方面的权利和义务比较均衡些。对于这些我都是有疑问的,还请各位老师给我指点吧。
张曙光:我提一个问题,我对这个个人信息保护法有一点质疑,商业化的东西如果不和公权利结合起来,个人也有对抗的地方,对这个问题,如果立一个个人信息保护法,而这个法的层级又比较低,实际上是扩大公权利的一个东西主要是实施又很难,执法又很宽,执法上又是公共权利,不可能向个人提供保护,而往往又向着政府的状况,所以我对这个问题有点质疑,如果这个问题能够提升起来,作为宪法的权利,明确地讲是要求政府的,也许这样弄起来后才有好处,如果能执行的话,也许有更多的好处,所以对这个法律到底界定在什么状况上这是首先得弄清楚的,如果这个问题不解决的话,立法的结果不见得对社会有太好的作用。这是我比较质疑的一点。
周汉华:那我就先从张老师这个问题说起,刚才几位的发言,评论,问题都使我非常受启发的,那我就综合一下,一起回应一下。张老师提出的问题确实是这个法首先要解决的问题,即涉及到立法的层级,因为立法的层级是很高的,而且从我们的研究,建议来说就是想解决张老师刚才所讲的问题,把它(隐私权)作为一个基本权利,而不是简单地把它作为一个民事权利,所以要讲的第一个困惑就是法律的范围,不光是来自私的情况,而且很重要的一块是来自公权利的情况,并且要进行调整,这也是我们为什么要接手这个事情,如果只是一个侵权法,那么我们不会做。如果是民法,那么我们也不敢在这里讲这个事情,我们证明的就是它是一项基本的权利,实际上刚才艳滨已经讲到这个,他对日本的研究是非常透彻的,他刚才在讲立法的必要性的时候也提到在日本的学术理论里边如何将它从一种过去传统的私的权利演变为一种基本权利,只有上升到这个高度,才能解决问题。否则如果只是民事关系的话,虽然民法通则没有讲隐私权,但是通过法官的推理也能解决问题。这是对张老师的问题的一个回应,不知道能否打消张老师的疑惑。
其他几个问题我想打包一起谈一下,刚才好几位都提到概念的问题,这个概念在美国就是隐私(privacy),被翻译成自由生活权,因为只是翻译成隐私也不能表达privacy的英文含义,自由生活权可能是最恰当的一个翻译。欧洲人不用privacy,而用personal data,即个人数据保护法,我们开始在立法计划的时候用的名字就是个人数据保护法,后来经过研究之后我们决定用第三个名称——个人信息保护法。我还是很希望大家能把概念统一到个人信息保护上,这是有很多考虑的,第一,在美国的法律里面,privacy是一个很大的伞,虽然宪法里面没有规定,但是它是作为宪法惯例出现的,它概括的面可以很广,隐私权可以扩得很大,包括身体,信息,住宅等等,这是一个很独特的传统。但是中国如果用隐私的概念就概括不了这些东西,美国宪法可以用隐私权概括这个东西,除非我们花很多精力把美国的隐私权的概念完完整整地介绍回来,然后说我们用的隐私权是很美国对得上号的,但是这还是解决不了问题,到欧洲去了之后,欧洲人可以不用这个东西,因为美国宪法是美国宪法史上演变下来的。而我们的隐私权确实是在民法通则的取得名誉权里的一小部分,我们的名誉权就已经很小很小了,是公民的人身权的一部分,我们没有美国法文化里边足以把那么大一个伞盖下来的隐私概念,所以在这种情况下,如果要真正推动这个权利的保护,可能是逐个解决问题的方法比较好,因为我们现在就是要解决个人信息保护存在的问题,而按照民法规定的隐私权,权利的性质是一个民事权利,而不是宪法权利。比如谁谁寄书,后来书被查了,这个你不能说侵犯她的隐私权的,只能说侵犯了通信秘密,法律有明确规定的。中国宪法的权利体系和美国宪法的权利体系是不一样的,所以我们硬要用隐私权的概念的话,我是觉得很难往上套。再一个是从国际对话的角度,欧洲人用data,美国人用privacy,这里边已经包含了价值判断。美国人用privacy的时候实际上是想体现其个人信息保护上的价值偏好,欧洲人用data的时候实际上是包括一种很强的高度规制的偏好,所以这个时候怎么办呢?像日本用了一个词就是叫信息,韩国人也是叫信息,实际上这是第三条道路,从价值选择上,这是处于两者之间的,中国本来就和他们不一样,老美非常敏感,我们第一次跟美国作越洋的电视电话的时候,美国人很快意识到中国用的是信息(information),所以我觉得大家以后在这个地方要形成共识,中国是一个特殊的体制,这是价值上我们的一个独立的选择,也是我们在现有体制下解决这个问题的一个重要的立法,那么其他的问题怎么办?比如窃听,监听,拆信的问题,或者其他一些涉及到传统隐私权的问题,我想这些可能需要一个一个解决,所以如果按照美国那种概念的话,可能一个问题也解决不了,最后真正要保护个人信息这块可能也保护不了,那可能要通过其他的手段,比如要采取监听措施,主要是通过内控,就安全部门而言,实际上现在内控还是起作用的,不是大家所想象的那么容易就失去作用的,国家立法没有明确这个东西,关键是别人不知道。我们叫个人信息保护并不以为着无视这些问题,这些问题应该是再通过技术设计解决的,不可能把所有的鸡蛋放进一个篮子里,这种解决问题的力度和中国式的改革,中国法制建设基本的渐进式可能也很难切合上来。这个法的性质我们肯定是要把它作为很重要的公法的一部分,即使是平等主体间的侵权行为,个人信息保护法的重点是在于政府来进行规定,所以显然它主要是一个公法,而不是民事的侵权法,这一点我想是非常明确的,即使在调整平等主体之间的时候我们强调的是政府必须要对平等主体间的信息收集,处理,使用要立下规则的。今天几位还讲到例外的问题,尤其是媒体,安全机关和学术研究机构,例外的处理是各国的通例,中国的问题难就难在有些通例在中国确实不太好说,比如安全机关,确实有些警察在执法中存在问题,但另外一个方面,他要公正执法确实也需要这些权利。我就讲到这。
张曙光:好,今天会议到此为止。
--------------------------------------------------------------------------------
北京天则经济研究所版权所有。如您有何建议或问题,请与我们联系
北京市海淀区万柳阳春光华橡树园11楼A-4-902室,100089
Tel(fax):86-10-62132181 Email: unirule@263.net.cn
周汉华
张曙光:今天我们请周汉华教授作关于个人信息保护的讲演,这是一个很有意思的问题,因为我们现在法律在逐步健全,个人信息保护问题也是个很困难的问题,这个问题我们过去讨论地不多,汉华既研究这个问题,又参与这方面法律的起草,我想今天的讲演可能既有理论意义又有实际意义。
周汉华:今天我跟大家一起讨论个人信息保护立法以及相关的问题。这个问题现在来讨论实际上还是很有意思的,最近媒体等各个方面对这个问题的关注都很强,现在我们确实已经进入了信息时代,在这个信息时代,人的存在形式等实际上都已简化成了一系列信息,其中很重要的一块是个人信息,所以在这个大的信息时代的背景下,信息的公开,信息的有效流动,个人信息的保护,信息资源的开发,都涉及到经济,政治,社会生活等各个方面。个人信息保护是在这个大的网络信息时代的背景下出现的问题。我今天主要想谈五个方面的问题:一,个人信息保护问题的缘起;二,个人信息保护问题在国际上的解决方法;三,中国要不要立法;四,简单介绍一下各国立法的发展情况;五,探讨一下在立法中可能会遇到或者需要解决的一些主要问题。
首先,我来谈一下这个问题的缘起,这是信息时代问题的集中体现。我们可以从最近的两件事情谈起。第一,是600个明星的电话号码被泄露的事情,这是5月底发生的,现在还受到各界的关注。这就是一个很典型的个人信息问题。把电话号码泄露之后,正常的生活就会受到影响,所以有的明星就把电话号码换了,这样就和社会失去联系了,更多的人在抱怨这个事情。这里有几个问题特别值得关注,第一,在这件事里面,实际上只涉及到一个人的名字和电话号码,就引起了这么大的波动,使得明星们感觉到无法生活了,那么我们可以设想一下,如果泄露出来的信息更多,会是一个什么情况?很多作家都有在这方面的描述,大家都生活在显微镜下,每个人都是透明的人,没有自己的隐私可言,人就会失去所有的保护,那么这个危险(除了个人的姓名和电话号码之外,把所有的信息都拿走)是不是存在?这已经是非常现实的,现在不光是电话号码别人可以拿走,现在手机过去几个月跟谁通过话,跟谁发过短信都可以被复制出来。广东有个记者花了很长时间调查广东的私人侦探,揭露的情况非常触目惊心,什么都可以被找出来,不管是法院的还是电信部门的,法院做不了的他们做得了,公安局完成不了的任务他们也能完成,所以这种大面积的信息泄露已经成为现实了。这是中国的私人侦探的情况,现在国际上的商务调查公司更厉害,国外公司在中国雇人之前都要进行比较高级的商务调查,已经到了可以充分掌握个人信息的阶段。实际上现在包括我们的政府执法机关也有这方面的案例,公安系统只要把某人的名字输进去,就能很快地得到很多信息,包括住哪个宾馆,哪个房间等。这里值得我们深思的第一个问题是一旦泄露信息的范围扩大会是什么样的状况?比如包括你的资产状况,家庭情况,家庭住址,你家孩子在哪里上学,有多少房产,甚至有多少存款以及贷了多少款,还款状况如何等都是很详细的。第二个问题是知情权和个人信息保护到底如何平衡。也有人在网上说电影明星的电话号码就应该让大家知道,既然当明星,就应该承担做明星的代价,老百姓有知情权。所以这里就涉及到两个权利该如何平衡的问题。对于明星来说,作为一个公众人物,他(她)是否应该承担这种结果(明星的电话号码就应该被大家所周知)?如果我们再换一些主体,比如说政府官员等,可能还会面临这样的问题,即怎么来平衡个人信息权利和公众知情权之间的关系,这应该用什么标准来衡量,比如在座的经济学家是否算公众人物,电话号码是否可以被泄露,和电影明星的区别是什么。第三个问题是这样的行为(把大家的信息泄露出来)在我们国家现行的法律体系当中怎么样才能得到救补?甚至包括是不是违法?在这个事情出来之后,还不像原来的,原来明星还喜欢打官司,总有一个比较现成的渠道,现在好像还没有什么渠道,现行的法律好好像还没包含这个行为,不太好救济,因此明星没办法,只能自己换电话,换电话实际上机会成本是很大的。那么在现行的法律里面至少没有明确地提供一个救济的方法,所以这就引出一个问题,(这样的行为)是不是构成违法,怎么样来衡量是否构成违法?第四个问题是如果(这样的行为)构成违法,比如我们用民法通则里面暗含有的隐私权,实际上民法通则里面是叫名誉权,如果我们认定这是侵犯隐私权,那么这个还有待一说,因为我们传统的隐私权的概念非常窄,而且民法通则里面没有隐私权的概念。我们原来讲的隐私和阴私是一回事,很负面,很个人,或者很见不得人的我们就叫隐私,这样电话号码是不是隐私首先就面临着法律上的界定。即使能够根据现有的隐私来推,传统的民事救济实际上是事后救济,而网络所造成的后果往往是事后无法补救的,在这个事情里边表现得很明显,只要网络上一公布,马上全世界的人都知道了。第五个问题是在这个侵权面当中,和传统救济是不一样的,它涉及到不同的主体,侵权面是由一系列构成的,现在已经很难找到是谁最先把它搁到网上去了。那么现在真正侵权的可能就是后来链接的,转载的网站。所以可能涉及到个人,网站,以及我们现在所说的ISP,这里有一个侵权面,在这个侵权面里到底该追究谁的责任?这又和传统的不一样,传统的侵犯隐私总有一个人到处去散布,可以找出其源头,而网络是多向,互动的,和我们原来传统的树状结构不一样,在网上是找不到根的。而且链接或者转载又该负什么责任,尤其对于网站来说,网站的经营这对于BBS上的有些东西是控制不了的,他应该在什么情况下承担责任?这实际上提出了一系列的法律问题。我想从这个事件追问下去,涉及到一系列理论和法律的问题,现在也都没有解答。
第二个缘由是中国人民银行在4月15号之前曾经搞过一个个人信用信息基础数据库这样一个管理办法,因为从十五大,十六大之后中央就把打造一个诚信体系放到一个很高的位置,前两年是六个部委联手想制定一个真信管理条例,后来由于各方面的争议比较大,真信管理条例一直出不了台。后来中国人民银行干了两个事情,一是企业信贷分级系统,已经开始运行了,是为了防止欺诈,以及防止一些知信不良的公司的经营。第二是个人的。这些年来个人的贷款也多了,买房子的,买车子的,但是这中间出现的不还贷的行为也多起来了,要从买房子的角度来说,实际上是构成金融风险的很大的一块,人民银行专门成立了一个真信管理局,是想做这么一个规定,当时是在网上公开征求意见,4月15号截止。围绕这个东西的制定,在个人真信业(个人真信业是一个很有前途的企业,如美国的邓百氏以及标准普尔等做信用评级的都是非常厉害的。)引起轩然大波,然后媒体和一般的学界对这个问题好像不是特别关注,但这确实是个很重要的问题。这个问题基本上是围绕着个人信用信息的,中国人民银行的思路是要求银行和其他金融机构把个人信息全部汇总,中国人民银行设立一个个人信用信息的基础数据库,至于如何使用这个数据库却没说,这就变成一个事业单位,免费提供这个数据库,以后就向其他真信公司或者使用主体提供汇总的个人信息,防止不诚信的行为。这件事情涉及到很多理论和实践上的东西,首先是中国个人真信业模式的选择。现在我们的社会环境很差,缺少诚信,那么就要建立诚信,建立诚信很重要的手段就是真信业。我们原来没有真信业,所以大家都抢着去违。,那么真信业的建立究竟那种模式更合适呢?现在在国际上是美国的真信公司是最狠的,不管是个人真信,企业真信还是信用评级,都是美国的公司在国际上的市场竞争力最强,但是美国走的这条路是通过100多年的市场化形成的,在市场竞争中逐步形成大的真信公司。其他国家的情况和美国有所不同,和美国模式最接近的是公共真信,这和我们银行想做的有点类似,大陆法系的国家公共真信比较发达,公共真信是自然地通过政府力量把信息汇总起来,建立公共真信机构,这样就损到漫长的市场发育的成果。在国际上,关于到底应该采用公共真信还是民间真信的问题争议很大,原来各地都在做这个东西,中央想搞一个诚信社会,各地都搞,尤其是上海和深圳,地方成立一个真信公司,最开始都是政府做大股东,然后政府下命令把相关的信息全部整合过来,而银行的模式一旦确立,就会对既有的模式产生很大的撬动的作用,给中国构建真信体系带来很多不确定因素。第二个大问题是,因为我们的商业银行法只是规定银行要为储户的个人信息保密,但是央行实际上是通过自己部颁的规章命令银行和非银行的金融机构要把掌握的金融信息全部向数据库汇总,这就涉及到对个人权利的限制,金融机构经营权利的限制,这就产生了法律上的问题,即央行是否有权利来做这件事?因为央行是没有办法,原来想做真信管理条例,但是后来十六个部门一直协调不下来,所以央行最后就干脆自己做,但是这样就产生了法律上的不确定。第三是信用信息的范围到底有多大?因为现在各地的步伐很不一样,范围是越来越大,银行规定的范围是比较大的,包括个人的信贷交易信息,以及反映个人信用状况的其他信息,“其他”使得这个范围就有可能无边了,现在央行要做的主要是将范围限制在金融机构,而以后就不光是金融机构了,比如水电费忘交了,这个信息也会进入到数据库里。第四,央行办了一个真信管理局,现在又要再办一个事业单位,办一个数据中心,这就涉及到一个广泛公开的问题。公共真信机构可以搞,尤其是在符合我们大陆法系的特点的条件下,但是公共真信机构该如何体现其治理结构?怎么能让公共真信机构和民间的私营真信机构不争利,这就涉及到一系列机制构造的问题。第五,个人到底有多大的权利?因为这些信息是很要命的,真信一旦滥用了给个人造成的影响可能比刑罚更严重,个人的权利究竟该如何得到保障?第六,个人信息的准确性怎么保障?因为现在很多公司做“短,平,快”业务,他们并不做信息的加工,也不做自己的数据库,跟美国不一样,美国当年大公司的形成是历尽艰辛,通过很多商业模式来构筑具有核心竞争力的数据库,而我们现在的真信企业都没这个耐心,都不是这么干的,我们现在大致的模式是通过政府,这和具有核心竞争力的真信业的模式是根本不一样的,为什么美国的大公司的竞争力强?因为它能拿出来的东西政府都是拿不出来的,我们的公司现在都是搞“短,平,快”项目,所以这样一旦个人信息发生失误,我们该怎么办?美国当年在真信业起步的时候最大的风险就是法律风险,因为个人信息一旦搞错了,人家就什么都干不成了,想买房子买不成,想出国出不了,想借款借不了,这样的法律官司打起来需要赔偿的额度是天价的。而我们现在的商业模式不是那回事,真信公司只能从其他部门拿信息,所以信息到底是由谁提供的就说不准了,所以信息一旦发生扭曲,其赔偿责任是很不好认定的,而且真信机构作为传送带也缺少核心竞争的能力。
我讲这两个例子(明星电话号码被泄露和个人信息数据库的建立)是想说明个人信息问题已经成了整个信息社会的一个最基本的细胞,不管是信息发展,不管是治理结构,不过是公民权利的保障,不管是对政府新的要求等等都提出一系列挑战。个人信息保护是个亘古不变的老问题,但也是网络时代的新问题,原来我们谈到的隐私保护或者个人信息保护都是在传统的社会形态下的一些特点,而在网络时代个人信息保护又具有了新的特点,是一个尤其突出的新问题,网络时代改变了人们的生活方式和行为方式,改变了信息的流通方式以及整个社会的结构,个人信息保护正是在这个互联网的环境下处于一个更加突出的位置。
国际上是如何解决这个问题的呢?主要有四种模式来解决个人信息及其保护的问题。第一是通过综合立法的模式,即通过一部统一的法律来规范公共机构和私营部门对个人信息的使用,收集和传播,同时还会有监督机构来负责法律的实施,这是目前国际上发展最快的一个前沿的领域,即通过综合立法来应对网络时代个人信息保护的问题。第二是特别立法的模式,避免了大一统的综合立法,而是制定了一些特别的法,一个一个地解决,主要考虑是综合立法的成本太高,因为一旦个人信息保护推出来,可以实现个人信息保护的目的,另外一个角度,确实也会对信息流产生一个负作用,所以国外很多大公司一听说中国要搞信息保护法,比媒体还关注。以美国为代表,它是不愿意制定一个大一统的,它愿意搞一个单行的(法律)。第三个模式是自律的模式,即通过行业来共同制定自律的机制,通过行业自律的方式来保证规则的实施,而且美国人是非常重视这一块的,他们就宣称美国对个人信息保护的效果实际上是要优于欧盟的保护,当时现在结果很难判断。第四是技术保护的模式,即可以通过技术手段来保护个人信息,因为在网络社会,别人盗取你的信息,滥用你的信息等都可以通过技术手段来解决的。
那么中国要不要立法?这个看起来可能不成为问题,因为大家初步想起来都觉得这应该是不言自明的,答案显然是要立法。但实际上回答这个问题不是那么简单的,首先,现在这个问题在国际上引起了激烈的争论,尤其是美国人,他们不认为应该搞立法,因为这样加大了企业的成本,而在我们国家,在我们课题组公布了我们的一些研究成果后才引起各界关注的,但即使这样,要不要立法也应该经过很慎重的考虑的,我们研究后觉得还是应该立法的。一般的道理中国和外国还是可以通用的,第一,我们现在确实需要解决现实中大量存在的个人信息被滥用的问题,刚才我们已经讲过,现在个人信息被滥用已经非常严重了,不光是一般业者,少数的政府机关也在行为方式上存在对信息的滥用,这几年政府机关的权利受到更多的限制,有的政府机关早就转型了,通过信息来谋取不当的利益,而现在媒体以及学术界对这个问题还没有给予很高度的关注。第二个理由是要为电子商务和电子政务提供一个制度基础,我们的电子商务一直开展不起来,很大的原因是大家对于网络环境下的安全没有信心,这样就必然会制约电子商务和电子政务的发展。第三是维护个人权利的问题,个人信息权实际上是一种人权,这种人权和传统的政治权利,自由是有区别的,这种权利是来对抗一般的主体,实际上也是对抗公共权利。第四,个人信息保护会成为类似于WTO的制度的安排,国际上在这方面的发展是很快的,(个人信息保护)会成为某种新形式的贸易变量和新的国际贸易的制度。第五,现在中央对信息化非常重视,和信息化的整个推进的概念相联系的是有一个信息化的法律体系,这在中国的法律体系当时是个很重要的部分,包括政府的信息公开,个人信息的保护,包括电信法,信息安全等与信息有关的立法,都属于信息化产业体系的很重要的组成部分,所以从完善法律体系的角度来说也是很有必要的。第六,为构建诚信的体系创造了基础条件,没有个人信息保护,诚信的体系是构建不起来的,我们现在讲构建诚信体系,有时候从一个极端走到另一个极端,即把诚信体系的构建建立在使个人所有信息都透明的基础上,事实上这样的诚信体系是建立不起来的,如果大家都透明了,那么一系列的后果就出来了,就不可能有真实的信息,而且一旦透明的话,信息就没有安全感了,就不可能有交易,就走到了另一个极端,所以只有个人对自己的信息有充分的安全感,然后再建立一个诚信体系,这个诚信体系才能打进去。第七,可以促进政府信息的公开,现在政府信息之所以公开不了是因为信息是借鉴化的信息,政府信息应该以公开为原则,个人信息应该以保密为原则,现在个人信息没有保护,所以政府信息也难以公开。我觉得这七点是我们要立法的主要理由。还有一点不太成熟,在国际竞争中,中国显然处于劣势,在这样的情况下,如果没有规则,实际上对我们和国际的跨国公司或者真信企业的巨头竞争都是不利的,因为他们有很强的信息收集处理的能力而且有先发的优势,如果没有规则,他们也会横冲直撞,大家都胡乱开车,他们开的是宝马,我们开的是破车,那么我们的企业可能都会撵垮。所以特定的规则可能对于我们国内企业之间的竞争会有好处,因为初步的观察得到跨国公司从没有规则当中获取的利益比我们国内公司获取的利益要大得多。第二,对专门的真信企业来说,有规则对于我们的好处要大于没有规则的好处,但这个东西需要论证,我现在一直在思考这个问题,我不知道有没有道理,在这种平等的情况下,公司和公司以及真信企业和真信企业之间,有规则到底是对力量大的有优势还是对力量小的有优势?我个人的看法是有规则对小的好,即对我们更有利,如果大家都有成本,那么这个成本对我们的企业来说可能要更好一些,由于国外的大公司太大了,所以个人信息保护对于他们来说成本太大,到底怎么论证,我现在还没考虑清楚。
那么各国立法现在是什么样的呢?个人信息保护对于各国来说都是个亘古不变的老问题,网络时代的新问题,所以很早就受到关注了,我们经常引用威廉·彼特的这句话,风能进,雨能进,国王不能进,在当年(1763年)这句话体现了保护个隐私权利,后来一些国家也纷纷制定了有些规定,但是真正使个人信息保护成为一个重要的问题应该是在60年代到70年代,即计算机系统出现以后,计算机系统带来的海量的处理能力很容易就剥掉人的每一层,这个时候就出现了各种立法的高潮,现在我们统计了一下,超过50个国家,地区制定了个人信息保护的法律,而且绝大部分都是最近十多年制定的,所以这个问题是新问题,你去看电子签名法也有类似的现象,电子签名法也是最近十多年有了迅猛的发展,十多年前可能大家还都觉得是个不算很重要的问题,突然一下网络时代就有新的问题出来了,在这个当中,应该说欧盟的保护力度最强,也是对各国影响最大的,欧盟在95年制定一个指令,如果判定第三过的法律体系对个人信息保护不充分,欧盟委员会是可以禁止向第三国传送个人信息的,这条是最要命的,未来的国际贸易的新的制度安排可能会建立在这个基础上,各国政府都会效仿它,都会把个人信息保护的门槛提高,这样就对其他各国产生一系列的影响。这是我要谈的第四个问题,各国立法的概况。
(余下部分录音故障,约15分钟)
腾彪:安全部门和公安部门对公民的电话,电子邮件以及普通邮件的监视都是非常厉害的。前段时间四川的王怡通过普通邮件递给朋友一些书,这些书只是朋友之间相互传阅的,却被监视到了,所有的书还被没收了,还要罚款等等。我还想起了罗马尼亚社会主义制度倒台以后,原来的制度还有惯性,秘密警察等机关还在持续,一个美国学者去罗马尼亚,过了一周之后他往美国打电话说一切都挺好的,罗马尼亚的人民也很友好,说了一些好话,然后他电话刚挂,电话就又响了,那个人说我是罗马尼亚的秘密警察,非常感谢你说罗马尼亚的好话,对个人信息的隐私权最大的威胁就是政府,还有档案制度,我不知道别的国家有没有类似于中国这样的档案制度,它记载我们受了什么处分,做了什么事情,但是我们也不能随便地去看档案。隐私权在其发展历史中有一个与社会技术相关联的转向,它最开始的含义是to be let it alone,就是让他独处的意思,私人信息,私人空间不能被打扰。风能进,雨能进,国王不能进,不能随便进他的屋子,不能随便拆看他的信件。
但是随着技术的发展,在欧洲比较明显,它变成了对个人信息的控制权,原来是被动的,不能随便地侵入一个人的私生活,把个人信息给泄露出去,现在是主动的,我对我个人信息有一个控制权,政府哪个部门有我的信息我有权利知道,而且这个信息如果错了,我有权利修改,政府为什么有我的信息,哪些信息不应该有,而且你保存我的信息要符合公共事务的目的等等,这是对个人信息的一个控制权,这里就涉及到周老师参与(起草的)个人信息保护法的草案,我最想知道的是它的性质,它到底是从民法的角度保护个人隐私的侵权法还是一个行政法(即对行政机关的限制)?
美国1974年出台了隐私权法,在这之前1967年出台的叫信息自由法,这两个法,包括日本的以及欧洲的也一样,以美国为例,实际上都是对政府权利的一个限制,隐私权法着重于个人信息的记录,其立法权责是:第一,行政机关不能保有秘密的个人信息记录;第二,个人有权知道在行政机关保存的信息;第三,政府采集的信息不能用于其他目的;第四,行政机关没有取得公民的许可就不能公开这些记录,这些都是对个人信息的保护和对行政机关的限制。1967年的信息自由法也一样是对行政机关的限制,侧重于政府的记录,即政府要通过什么程序可以公开这个信息,前一个侧重于对个人信息的保护,后一个侧重于对个人信息的索取权和知情权。不管怎样,包括日本的都是对政府机关的限制,采集信息必须要有什么手续,公民有权利知道政府机关保留的个人信息,所以在中国这种情况下来出台个人信息保护法一定要把这个东西弄清楚。比如我在递简历的时候我这些信息被出卖了,被公开了,或者我的婚外恋被别人泄露了,这些当然很重要,但是最最重要的是政府部门对隐私权的侵犯。这里面公众人物,国家官员的隐私权也不是完全没有,比如他的通信秘密,他的夫妻生活,这些东西不能说他是官员就不享有,不能够侵入他的住宅,不能够监听他的电话,另外很重要的一点是国家官员隐私权被侵犯了之后,必须由他来举证其隐私与公共利益,公共职务无关,这是很重要的,而对于普通公民来讲,举证的责任是由另一方来举证的。这是我说的主要的问题,即它的归类的问题。
当然还有一些小的问题我也提出来,比如草案的一个很重要原则是不保护个人的不良信息,对于这个我是有不同看法的,中国的隐私以前就等于阴私,就是男女之间不好的关系,但是隐私最重要的含义在于,不管它是好的还是坏的,只要不想让别人知道,比如说我做了好事,我不想让别人知道,这也是隐私;我的一些很丑的东西也不想让别人知道,这个同样是隐私,我的不良信息仍然属于被法律保护之列。还有就是给三种机构(国家安全机构,科研机构,新闻机构)给的一些特权,这里面一定要小心,因为我最担心的是安全部门,公安部门对隐私权的侵犯,最重要的背景是中国的司法不独立,没有一个非常完整的对于警察执法的司法限制,这是非常危险的,如果公安部门有这样的特权,那么这是非常危险的。在欧美一些国家,警察通过非常严格的一些手续才能去监听电话,监视通信等等,这个我也是有一些看法。还有刑事责任也是一个比较有争议的问题,我觉得这一定要慎重,对侵犯隐私权,即使是非常非常严重的情况下,我也不赞成用刑事责任来处罚,因为用民事责任就够了,罚款,赔礼道歉等等。国外可能有用刑事责任来对付侵犯隐私权的现象,但是有两个很大的不同:一,中国没有司法独立,司法制度不完善;二,刑事制度上国外的门槛比较低,小偷小摸等都可以用刑事责任,普遍都是非常轻的刑事责任,但它也是刑事责任。在中国一旦上升到刑事责任,后果就非常严重,对公民的利益是非常严重的威胁。我就说这些吧。
张曙光:好,下面请吕艳滨。
吕艳滨:我也是几年之前就开始关注这个问题,也是和周老师在一起做这个课题。今天我想谈论以下几点:首先,刚才有人提到个人信息保护的基础,我觉得基础很简单,周老师刚才也提到,就是隐私权的保障。但是仅仅靠我们国家现在对隐私权概念的理解,那么我们没法判断,因为我们现在的隐私权是一个比较传统的概念,是一个消极被动的权利,但是随着信息化的发展,在各国对于隐私权都有一个发展,这个过程包括两个层次:一,普通公民之间的权利保障到**权利的保障;二,从消极权利的保障到积极权利的保障,随后从积极权利的保障发展到个人信息的控制权,即他能控制自己的信息被人收集,被人利用,传播给第三者。如果我们现在不发展我们国家的隐私权,实际上是找不到逻辑的基础的。而隐私权和个人信息保护之间是有差距的,对于个人信息保护有些专家是这么界定的,说它是一个个人信息管理法,我觉得这个词是比较恰当的,周老师刚才提到,隐私权强调事后的救济,个人信息强调的是事前的预防,其预防是对个人信息处理进行管制,从那个角度讲,如果非要给这个法律来定性的话,我想像美国的隐私权法实际上是一种公法,它是在约束行政机关如何行使权利,处理个人信息。而有些国家制定法律是针对私人主体的,等于是公权介入到两三个私权这样的主体当中,那么这种法律该怎么界定?我觉得不妨像日本那样将其界定为社会法,这样可能更好,实际上它也是一个公权过渡的过程,刚才有个专家提到对于个人信息保护的三种关系,但是我觉得不是非常全面,比如我们天则所收集了很多学者的信息,实际上也是一个个人信息的处理主体,那么学者和天则之间是什么关系呢?不是消费者与经营者之间的关系,也不是员工与雇主之间的关系,也就是说这种分类法是不严格的,而我们在立法当中采取的模式是国家行政机关的个人信息处理和其他个人信息主体的个人信息处理这两类,我觉得这个可能更严格一点。刚才提到的消费者,经营者,员工,我觉得涉及到周老师提到的另外一个问题,对于有些个人信息的处理关系应该专门针对它有一部法律的,像媒体,学术机构,包括研究机构,它的这种个人信息处理的行为可能是个特例,这种特例是什么?是不是它就不受隐私权的控制?也不是,只不过在事前的机制上放宽了对它的管制,而一旦它违反了对隐私权的保障的规定的话,实际上通过宪法的途径,通过事后救济来约束它,是这样的一种关系,我的看法是这样的。
另外关于公众人物的问题,这就涉及到隐私权还有个人信息保护同知情权和政府信息公开之间的关系,这两对关系实际上是有点排斥的,但是也不是你死我活这种关系,我记得日本在里面(法律里面)就很明确地讲,隐私权和知情权之间没有一个你死我活的关系,而只不过是相互划定了一个界限,等于说你可以知道的事物的界限已经被隐私权来划定了,而隐私权所应该保证的信息的范围是通过知情权来划定的,凡是与公共利益有关的就应该服从知情权的要求,无关的就应该由隐私权来保障。那么具体到公众人物,像歌星,官员的家庭变化,我觉得毫无疑问,都应该是隐私权进行保障的,至于说收入,像去年有一个机构统计大腕的年收入产生了争议,那如果它统计的是官员的信息,又是另外一回事了,因为没有涉及到公共利益的时候和涉及到公共利益的时候其结果是不一样的。我还记得有一个案例是发生在日本的,大阪府有一个公民依据大阪府的政府信息公开条例提出了一个请求:公开大阪府的知事用政府招待费来招待的情况。后来法院并没有完全支持他的请求,当时大阪府的知事就提出来一个理由,确实拿着公费去了,但是如果公开请客的对方,可能会影响他的个人隐私,实际上是这么一个问题:公共利益怎么划定?因为在很多国家是通过司法判决个案来判断的,而没有一个非常明确的界线。
还有我再谈一下媒体,现在我们国家在相当一段时间公民的权利意识比较淡漠,然后公民权利保障机制不健全,当权利开始被认识的时候,大家都开始过分地强调它,比如知情权和采访权,现在很多人一味地强调应该对媒体的权利加以保障,我并不反对这一点,但是往往有一些媒体走过了,它的采访权的界限已经逾越了,有很多信息的公开完全没有考虑到被采访人的利益,包括前段时间报纸报道的一个骨髓捐赠的库的信息都被公开了,后来有些人本来愿意捐赠骨髓的就不愿意捐赠了,就因为媒体在这里起到一个作用,我觉得还是应该加强媒体的一些自律。所以我们在立法的研究过程当中我们也是特意地关注自律,因为像日本这样的一个国家,它是一个纯东方的国家,但是它也吸收了很多西方的东西,尤其是受到美国的影响,它的立法模式实际上是一种自律占了很大程度的立法模式,特别强调自律的机制,而且它现在已经把自律这种机制加入到它的工业标准里面去了,作为工业标准来约束企业,但是自律机制也没有发挥很大的作用,所以后来它有制定了一系列的个人信息保护法。我想在相当长的一段时间内,我们的自律机制是很难建立的,因为我们刚刚看到民政部门的**管理条例的修订草案,它还是沿用老一套,**管理体制,以及登记审批这样的机制,导致了很多完全可以从事公益事业的机构没法发挥它的作用,这样就导致自律机制不能自下而上地建立,所以我觉得自律机制的建立和整个个人信息保护法发挥作用可能要牵扯到很多周边的相关法律的运作。这就是我的感想,谢谢。
刘凯湘:这是非常好的一个主题,听了各位的评议,我想谈谈自己的一点感想。我想集中谈一个问题:个人信息保护立法当中个人权利与公共利益的关系问题。无论是学术研究个人信息的还是立法还是有关的司法判例这都是最核心的一个问题。个人信息保护法如何来协调这方面的关系?从它们(个人权利和公共利益)的属性来说,(它们)肯定是有冲突的,毫无疑问,这是一对矛盾,个人隐私扩展的空间越大,社会的保护越严格,那么这种知情权涉及到公共利益的时候可能受到某种程度的排挤。如果对所谓的公共利益保护过度,那么个人隐私的空间就会被压缩,可能这有个此消彼长的问题。但是立法是通过一种比较好的科学的立法技巧找到一个比较好的平衡点,既能做到保护个人隐私,又能够达到公共利益的目的,这是一个焦点性的问题。
对个人信息保护的一个基本的价值判断,我想是个人信息或者个人隐私也有些保护的原则,因为有关个人隐私的法律制度包括把隐私这种利益权利化,覆盖了两个最基本的但是非常重要的价值:一个就是人格尊严,人不能没有名誉来生活,人也不能没有隐私来生活,没有隐私的人不是一个自然意义上的人,更不是一个社会意义上的人(文化意义上的人)。第二就是意志自由,我可以控制隐私,我可以披露隐私,向谁披露,多大程度上的披露等等就存在一个意志表达的自由。隐私权综合了这两种当今社会非常高的法律价值在里面,所以隐私权或者对各种信息保护与公共利益之间,前者必须放在一个优先考虑的位置。在取舍方面,我们假定如果这种隐私保护可能涉及到公共利益的时候,我们就会考虑到把它进行某种限缩,但前提是隐私权或者各种信息应该得到优先的保护,这是第一位的。但是第二位的,我们确实也应该考虑到现在社会的发展,有两个因素使得我们必须对个人隐私有某种程度的限制。第一,公共利益的问题涉及到国家安全,万众利益,国防利益等等。随着科学技术的发展,每个人自己的基因状况是属于个人隐私的,但是对于整个国家来说,整个民族,整个国家的基因状况是整个国家,整个民族的一种财产,所以过度地保护个人隐私是不太可能的,它会妨碍整个基因科技的发展,当更多地涉及到国防,万众利益的时候,它会有公共利益的考虑,国家利益本身也会涉及到公共利益,公共利益有一个扩张的趋势,人越来越生活在一个国家和社会的共同体当中,这是无法回避的。第二,商业的发展必然也会对个人隐私作出某种程度的限缩,通过商业对个人隐私的某些利用,它最终也能反过来造福人们,人们能获得商业发展带来的一些福祉,这个可能也有某种程度的限制,比如刚才举的基因技术的例子,我们担心的是以后基因技术发展了,每个人的基因构图状况出来了,那么你可能得什么病,能不能治,可能都会通过基因图谱一查就出来了,这就可能导致基因歧视。但是另一方面,如果基因技术真的到这种程度的时候,通过信息的商业利用,能够更好地使得我们每个人能够得到更适合于个人的工作等等。所以基因这两个方面的发展,可能对隐私有某种程度的限缩,个人隐私优先得到保护的同时,可能更要兼顾社会公共利益和商业发展的关系。
关于个人信息保护立法的问题,第一是个人信息范围的问题,总体来讲,从国际发展来看,个人信息是不断扩大化的,但是这种扩大化本身也是商业科技的发展带来的一种扩大化,是隐私范围的扩大化,我觉得从立法上来讲,除了列举性的表述以外,原则性的表述采用什么形式比较好?是开放性的还是限缩性的?比较好的办法是采用概括性的表述加上一些能够穷尽的列举这样的立法方式,我觉得总体上应该采取开放性的隐私范畴,同时也要让大部分的民众甚至包括政府要了解个人有哪些隐私是属于社会法律保护的,是权利化的利益。这种列举性,从其他国家的立法中看出可以尽量详尽的列举,但是怎么表述好?是表述为个人对自己的私生活或者其他方面的个人信息等等活动的控制还是与其相反,即不受其他人侵犯的排他性的一种问题呢?所以我觉得如果换一个方面,从立法上来说,如果对它列举的话,必须有一个概括性的条款,直接采取列举的方式会导致一种误解,现在的法律能根据生活经验设法判定,不能判定的通过概括性立法,这样随着以后科技的发展,不断有新的隐私能够通过这样的立法装进去。第二是关于利用个人信息的主体这一方有个界限。通过合法能够获得,利用个人信息的有三个主体:政府机构,政府机构是有无偿的,强制性的,基于公共利益的获得个人信息;商业主体,它是需要通过有偿的,经过同意的;一般的个人,也是基于同意为原则的。这三个主体有不同的规则,包括取得的原则,使用的方法,来源以及能够获得信息的范围等个方面都要由立法来规定。第三,咱们现在是想搞个人信息保护,实际上也决定着私人信息保护的问题,到底是personal privacy还是private privacy的问题,这也是立法应该考察的问题,比如公司立法修改的问题,信息披露到什么程度完全是公司本身的商业秘密,披露得越多一方面可以降低交易成本,但另一方面可能涉及到公司的商业秘密,这里如何协调也是个问题。所以个人信息保护以后,接下来就有私人信息的更广义上的保护问题,对以后的商事立法,公司立法等等也能提供一个很好的借鉴作用。我就讲到这。
盛洪:其实这也是经济学上的问题,人和人交往的社会中,随时都需要向别人披露信息的,包括找个职位或者跟人谈判等。有的时候可能信息披露得不足,按经济学的讲法,可能导致的不是一个最佳交易,效率受到损失。信息披露过度也是有损害的,实际上信息披露也是有某个均衡状态的,在现代的信息技术革命之前,原来有一个均衡状态,随着信息技术的变化,导致信息披露的成本下降,那么信息披露的量就大了,原来看来可以通过技术限制的,技术比较贵,它是不可能广泛传播的,比如明星的电话号码,如果没有互联网,那么只靠口耳相传的话,根本不构成伤害,所以恰恰是技术变了,成本变了,才导致信息披露的变化。我觉得要指定一个法律最重要的是度的问题,信息披露到什么程度是恰当的,那么过了就不恰当了,我觉得关键是一个度的问题。刚才已经从经济学的角度讲过,信息披露过度和信息披露不足都会导致交易效率的下降,比如一个上市公司可能担心它的信息披露不够,如果信息披露不够可能导致一个很糟糕的交易,看我们今天的股市就很明显,政监会规定上市公司的信息要披露,但是实际上很多交易是有问题的,这是(信息披露)不足的问题。(信息披露)过度的问题实际上就是刚才汉华讲的明星的问题,我觉得从经济学上讲,要看这件事情是否导致一种伤害,这种伤害是不能补偿的,比如像明星的私生活受到干扰,这是一种伤害,而另一部分如影迷们获得利益,但是这种利益是不能补偿明星受到的伤害的,比如100万元全给明星打电话了,那他们获得利益比明星的损害还大吗?不能说,因为这不可比的,一般来讲,只要你获得利益导致他的伤害,这就是一种伤害。所以我觉得这可以从效率来判断,关键问题在于我们要从效率角度来把握它,这是很重要的,当然怎么去判断可能会有些问题。
我觉得(在披露信息中)自愿的原则很重要,你要是被迫地去披露的话,可能会有问题。还有一个原则是对等原则,其实也非常重要,因为如果信息披露是单向的话是有问题的,那么你说信息披露越多越好,也未必,刚才谈了很多问题其实是不对等的,银行对客户的信息收集和整理实际上是单向的,因为银行本身也有违约的时候,举一个很简单的例子,假如电话没有交费,但电信公司随便把你掐掉的时候是算多了。比如我这个无线上网,突然哪天它给我断掉了,然后说我这个漫游过了,但是他给我停了几天它是没有算钱,我漫游可能多了2毛钱它就给我断了,然后我过去交了两毛钱,然后它给我开通,这就是单向的,也就是新的技术在不同的人之间是不对等的,一个政府部门利用新的技术是更有优势的,其实这种不对等导致的结果是非常糟糕的。
我们再扩展一下,如果我们的原则通行于整个社会,我们首先应该关注谁的信用,谁的行为呢?首先应该是公权利的行为,那么我们就应该作一个更好的信息扩充,我怎么样把你说的话,你通过的法律,你通过的政策全给录进来,然后让我来评判。现在只关心公民的行为,而不关心政府的行为,不关心这些公权利的行为,也包括大的垄断机构的行为,我觉得那是很大的问题,对等的原则在立法中必须要非常清楚,当然也很麻烦,这种垄断的力量也很强,我们显然是受制于它的,我觉得这可能是个问题。
还有就是信息的方向的问题,比如刚才讲的,某人地铁逃票了,但是他做过的很多守信用的事情可能没有记录进来,我觉得信息不能是单向的,他可能犯了一个小错误,但是他也做了很多好事,为什么不记录进来呢?另外,信息有效性也是一个问题,比方说一件事情落在一个人身上,时间过了人就发生变化了,所以信息的价值是要变化的,这也很重要。至于怎么办,我的想法是,这个社会是需要披露信息,而且大家如果能够自觉地把信息披露到一个恰当的位置,我觉得是最好的,就不需要强制了。当然也可以把私人信息保留到一个恰当的位置,而且是互相自愿的,那也是很好的。所以我觉得社会有好多制度也要注意,第一是市场的制度,其实大家很自然地不愿意披露对自己不利的信息,因为在市场中有交易,当然市场的竞争会导致你说出真话,我觉得这点确实挺重要的。另外就是家庭也逼着你说真话,尤其是夫妻间的信任,比如你跟另外一个异性交往,为了避免误会,会主动地去说一下,这样就有很多的制度安排,比如宗教的方式,其实这些我觉得都要考虑考虑的,当其他制度都没法达到我们的结果的时候,我们才要考虑法律。我觉得还是要限定法律的范围,把更多的空间给大家的自律行为,在被证明不能自律的时候再用法律。我就说这些。
王振宇:我正好是去年开始对这个问题比较感兴趣,来自于两个新闻报道,一个是征信管理条例即将出台,还有一个是隐私权即将被明确界定,我看着这两个新闻,觉得都比较荒唐。征信管理条例即将出台是央行弄的,然后它把进入的门槛设得非常高,说是要5000万,而涉及到个人征信的话,注册是要1亿,现在中国据说有500多家真信机构,但是按照它的门槛一弄的话,可能就死得差不多了,最后可能只剩下央行垄断了,这我觉得有问题。还有隐私权即将被明确约定也是来源于征信管理条例,由于央行一确定,隐私权就明确了,我觉得这肯定是有问题的,因为隐私权肯定不是央行这样的规章来决定的。
但是有几个问题我也没有思考清楚,一是周老师说的可能是更倾向于制定个人信息保护法,我想问的是这是什么层级的立法?如果还是政府的行政规章之类的话我觉得是无法对抗对个人隐私的侵犯的,那么立法可能花费很大成本,最后也没什么用。
还有我有两个疑问,一是腾彪刚才说过,周老师说单行条例中可能有刑罚的问题,我觉得这个问题非常重要,我倾向于如果是觉得有刑事处罚的话更加有利于保障信息的话,那么最好不要用单行条例的方式,可以用刑法或者通过立法来解决,我们现在刑法是被滥用的而不是不足。还有我比较担心的是李先生提到的媒体对个人信息披露过了,我觉得这个也比较令人担心,因为我们知道现在侵犯个人隐私的威胁也不是来自媒体,所以如果这种想法带到立法中去,可能信息保护立法又会变成对侵犯信息的(防范)。
还有我觉得对信息保护引起重视,可能有这么几个背景:一是信息商品化,大家都觉得这有利益,都在这做,可能会侵犯个人信息,或者信息利益如何分配的问题,比如谁可以从信息转让中获得收益,怎么分配这是一个问题。还有就是公权利对信息的侵犯,还有媒体确实是有一些问题的,边界不清楚。可能有一个核心问题是公权利和利益的问题,我觉得真信机构或者政府机构都可以从它争得的利益中获取利益的话,怎么来保证信息源?比如我有一个信息,政府如果出于公共利益考虑,你可以拿去,这是无偿的。如果政府5元查询一次,这个利益我可不可以分享?还有真信机构处理,加工收集信息后得到的利益,我这个信息源的利益能不能得到分享?我觉得有没有这种制度设计呢?如果有的话可能各方面的权利和义务比较均衡些。对于这些我都是有疑问的,还请各位老师给我指点吧。
张曙光:我提一个问题,我对这个个人信息保护法有一点质疑,商业化的东西如果不和公权利结合起来,个人也有对抗的地方,对这个问题,如果立一个个人信息保护法,而这个法的层级又比较低,实际上是扩大公权利的一个东西主要是实施又很难,执法又很宽,执法上又是公共权利,不可能向个人提供保护,而往往又向着政府的状况,所以我对这个问题有点质疑,如果这个问题能够提升起来,作为宪法的权利,明确地讲是要求政府的,也许这样弄起来后才有好处,如果能执行的话,也许有更多的好处,所以对这个法律到底界定在什么状况上这是首先得弄清楚的,如果这个问题不解决的话,立法的结果不见得对社会有太好的作用。这是我比较质疑的一点。
周汉华:那我就先从张老师这个问题说起,刚才几位的发言,评论,问题都使我非常受启发的,那我就综合一下,一起回应一下。张老师提出的问题确实是这个法首先要解决的问题,即涉及到立法的层级,因为立法的层级是很高的,而且从我们的研究,建议来说就是想解决张老师刚才所讲的问题,把它(隐私权)作为一个基本权利,而不是简单地把它作为一个民事权利,所以要讲的第一个困惑就是法律的范围,不光是来自私的情况,而且很重要的一块是来自公权利的情况,并且要进行调整,这也是我们为什么要接手这个事情,如果只是一个侵权法,那么我们不会做。如果是民法,那么我们也不敢在这里讲这个事情,我们证明的就是它是一项基本的权利,实际上刚才艳滨已经讲到这个,他对日本的研究是非常透彻的,他刚才在讲立法的必要性的时候也提到在日本的学术理论里边如何将它从一种过去传统的私的权利演变为一种基本权利,只有上升到这个高度,才能解决问题。否则如果只是民事关系的话,虽然民法通则没有讲隐私权,但是通过法官的推理也能解决问题。这是对张老师的问题的一个回应,不知道能否打消张老师的疑惑。
其他几个问题我想打包一起谈一下,刚才好几位都提到概念的问题,这个概念在美国就是隐私(privacy),被翻译成自由生活权,因为只是翻译成隐私也不能表达privacy的英文含义,自由生活权可能是最恰当的一个翻译。欧洲人不用privacy,而用personal data,即个人数据保护法,我们开始在立法计划的时候用的名字就是个人数据保护法,后来经过研究之后我们决定用第三个名称——个人信息保护法。我还是很希望大家能把概念统一到个人信息保护上,这是有很多考虑的,第一,在美国的法律里面,privacy是一个很大的伞,虽然宪法里面没有规定,但是它是作为宪法惯例出现的,它概括的面可以很广,隐私权可以扩得很大,包括身体,信息,住宅等等,这是一个很独特的传统。但是中国如果用隐私的概念就概括不了这些东西,美国宪法可以用隐私权概括这个东西,除非我们花很多精力把美国的隐私权的概念完完整整地介绍回来,然后说我们用的隐私权是很美国对得上号的,但是这还是解决不了问题,到欧洲去了之后,欧洲人可以不用这个东西,因为美国宪法是美国宪法史上演变下来的。而我们的隐私权确实是在民法通则的取得名誉权里的一小部分,我们的名誉权就已经很小很小了,是公民的人身权的一部分,我们没有美国法文化里边足以把那么大一个伞盖下来的隐私概念,所以在这种情况下,如果要真正推动这个权利的保护,可能是逐个解决问题的方法比较好,因为我们现在就是要解决个人信息保护存在的问题,而按照民法规定的隐私权,权利的性质是一个民事权利,而不是宪法权利。比如谁谁寄书,后来书被查了,这个你不能说侵犯她的隐私权的,只能说侵犯了通信秘密,法律有明确规定的。中国宪法的权利体系和美国宪法的权利体系是不一样的,所以我们硬要用隐私权的概念的话,我是觉得很难往上套。再一个是从国际对话的角度,欧洲人用data,美国人用privacy,这里边已经包含了价值判断。美国人用privacy的时候实际上是想体现其个人信息保护上的价值偏好,欧洲人用data的时候实际上是包括一种很强的高度规制的偏好,所以这个时候怎么办呢?像日本用了一个词就是叫信息,韩国人也是叫信息,实际上这是第三条道路,从价值选择上,这是处于两者之间的,中国本来就和他们不一样,老美非常敏感,我们第一次跟美国作越洋的电视电话的时候,美国人很快意识到中国用的是信息(information),所以我觉得大家以后在这个地方要形成共识,中国是一个特殊的体制,这是价值上我们的一个独立的选择,也是我们在现有体制下解决这个问题的一个重要的立法,那么其他的问题怎么办?比如窃听,监听,拆信的问题,或者其他一些涉及到传统隐私权的问题,我想这些可能需要一个一个解决,所以如果按照美国那种概念的话,可能一个问题也解决不了,最后真正要保护个人信息这块可能也保护不了,那可能要通过其他的手段,比如要采取监听措施,主要是通过内控,就安全部门而言,实际上现在内控还是起作用的,不是大家所想象的那么容易就失去作用的,国家立法没有明确这个东西,关键是别人不知道。我们叫个人信息保护并不以为着无视这些问题,这些问题应该是再通过技术设计解决的,不可能把所有的鸡蛋放进一个篮子里,这种解决问题的力度和中国式的改革,中国法制建设基本的渐进式可能也很难切合上来。这个法的性质我们肯定是要把它作为很重要的公法的一部分,即使是平等主体间的侵权行为,个人信息保护法的重点是在于政府来进行规定,所以显然它主要是一个公法,而不是民事的侵权法,这一点我想是非常明确的,即使在调整平等主体之间的时候我们强调的是政府必须要对平等主体间的信息收集,处理,使用要立下规则的。今天几位还讲到例外的问题,尤其是媒体,安全机关和学术研究机构,例外的处理是各国的通例,中国的问题难就难在有些通例在中国确实不太好说,比如安全机关,确实有些警察在执法中存在问题,但另外一个方面,他要公正执法确实也需要这些权利。我就讲到这。
张曙光:好,今天会议到此为止。
--------------------------------------------------------------------------------
北京天则经济研究所版权所有。如您有何建议或问题,请与我们联系
北京市海淀区万柳阳春光华橡树园11楼A-4-902室,100089
Tel(fax):86-10-62132181 Email: unirule@263.net.cn
posted by BFF at 1:08 PM
0 Comments:
Post a Comment
<< Home