摘要:当前,个人信息保护是社会公众最关注最关切的现实问题之一。从《个人信息保护法(草案)》内容看,立法拟由国家网信部门统筹协调个人信息保护工作,并推动构建多维度的法律责任体系,力求加大个人信息保护力度。笔者认为,从完善立法考虑,还可以从以下方面加以探讨和研究:
一是进一步细化保护对象及保护信息的范围。个人信息的敏感性与个人的年龄、职业、性别、文化教育程度、阅历、心理等因素相关,立法要对一些特殊类型的主体制定专门的规定。比如,从民事行为能力情况及保护未成年的角度,《中华人民共和国未成年人保护法》中规定:"处理不满十四周岁未成年人个人信息的,应当征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外。"为与《民法典》同向而行,考虑现实性、可行性等因素,建议《个人信息保护法(草案)》第二条内容在自然人个人信息保护的基础上,可以增加涉及胎儿、死者、英雄烈士等信息保护规定。一是个人信息有很强的关联性和权益延展性。通过若干信息的组合研析,可以对个人和具有一定关系的人进行识别或预判。现实中,死者的遗传特征、重大遗传学疾病、性生活信息、个人癖好等具有高度敏感性。对死者延伸保护,实
际上更多的是保护活人的权益,符合逝者安息、活者安宁的正向价值。如加拿大、意大利等国家规定了对死者信息的保护年限(意大利规定涉及死者健康、性生活及家庭关系的信息在70年后才可以使用)。特别是,通过死者信息,可以识别其相关家属信息,基于公序良俗等考虑也应该进行保护。二是要贯彻落实《民法典》精神。《民法典》充分顺应信息社会发展趋势,加大个人信息的民事法律保护,为进一步增进人民福祉提供了坚实的法治保障。贯彻落实好《民法典》,需要加大个人信息保护的民事法律保护,《个人信息保护法(草案)》第二条对保护对象或调整对象"限缩"为自然人,第四条规定为"已识别或者可识别的自然人有关的各种信息",与《民法典》中有关规定存在差异,也不符合现实性需要。个人信息保护立法应秉承尊重和保障人民各项民事权利的要求,顺应时代发展需要。比如,地方立法《天津市社会信用条例》就作出比较科学的规定:市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息以及法律、行政法规规定禁止采集的其他个人信息。三是要考虑立法的前瞻性。现有规定不明确易引发实践中的争议。个人信息权益具有精神价值与财产价值,假若对胎儿、死者包括英雄烈士的个人信息不加以保护的情况下,则不便于权利救济。胎儿也有可识别信息,比如胎儿的影像、性别、疾病、身体特征如残缺等。胎儿信息与父母信息一起在医院等机构大量储存,需要一同加以保护。另外,一些父母、他人或
机构在网络上晒胎儿信息实在不妥。对胎儿信息的侵害亦应该加以禁止,以稳预期、利长远,不应还未出生就"透明化"。为保护数据的开发、司法的资源与效率、学术言论的自由等,避免出现台湾地区的"诽谤韩愈案",对于死者信息区分敏感信息与否规定一段不同的保护期,而非长期永久保护。另外,经过一段时间的实践后,可以对外国人、公众人物、不同职业、特征的体的个人信息规制进一步细化,或直接在法律责任章节中暂做概括性规定。比如,律师、房产中介等为了工作需要主动公布、工作单位及地址、基本教育情况等个人信息,则与普通人的信息有所区别,但在有关侵害个人信息案件的司法鉴定中去除还是依个案分析厘定则需要进一步研究。又如,体育、影视明星为了和粉丝互动交流公布自己的血型、身高、体重,显示个人生物信息等经同意后,敏感度降低。又如,违法犯罪者的个人信息保护及其限制,说明被遗忘权的适用要与公共利益维护进行平衡。个人信息的范围随着时代发展不断拓展,内容将更加丰富,储存载体和具体表现形式也将更加多元,需要不断延展保护。比如,电话、等在将来可能被其他通讯方式替代,财产信息因金融产品、科学技术创新也会增加其他具体类别如数字财产信息。故《个人信息保护法(草案)》第二条在原有内容基础上可再补充规定:"涉及胎儿信息权益保护的,胎儿视为具有民事权利能力。但是,胎儿娩出时为死体的,其信息权益可视为父母个人信息权益加以保护。涉及死者信息
权益保护的,其配偶、子女、父母有权依法请求行为人承担民事责任;死者没有配偶、子女且父母已经死亡的,其他近亲属有权依法请求行为人承担民事责任。死者的一般个人信息保护期为三年,敏感个人信息保护期为五十年,但无保护必要的信息除外。涉及私密信息的,适用法律有关隐私权的规定。涉及英雄烈士个人信息的,适用《中华人民共和国英雄烈士保护法》等有关法律的规定,但适用本法更有利的除外。"
二是进一步优化公益诉讼的架构设置。个人信息保护工作需要综合治理,公益诉讼是治理途径之一而非""。《个人信息保护法(草案)》在第七章规定了行政处罚、信用公示、行政内部管理和纪律处分、赔偿损失、公益诉讼、治安处罚或刑事制裁,非常全面。在国家机关中,行政职能部门是维护公益第一顺位的代表,立法也详细规定了行政机关在个人信息保护中的重要职能作用,下一步有必要对相关职能和措施进行细化,促进落地落实。《个人信息保护法(草案)》第六十六条规定了公益诉讼制度,指出人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以提起公益诉讼。而根据检察公益诉讼制度的定位,检察公益诉讼在维护公益方面具有协同性、督促性、补充性、兜底性等特点,参考已有检察公益诉讼的法律条文,建议《个人信息保护法(草案)》第六十六条进行适当修改。一是坚持检察公益诉讼定位,保持立法的延续性和个人信息保护工作的体系性、层次性。
检察职权具有监督性、程序性、有限性、兜底性和协同性等特征,检察公益诉讼亦是如此。在个人信息保护方面,要发挥职能部门行政管理优势,继续赋予行政机关第一顺位维护公益的地位。为保障法律的统一正确实施,适当坚持检察公益诉讼创立以来的定位,应由检察公益诉讼进行兜底,发挥补充性优势,而不是"代替"执法超前保护。即使在行政机关不履职或履职不到位的情况下,检察公益诉讼针对侵害众多个人信息的情况制发检察建议,提起行政公益诉讼或者单独提起民事公益诉讼,具有鲶鱼效应,目的仍是协同共治,本质是法律监督。二是借鉴个人信息保护实践,考虑检察公益诉讼的便利性。人民检察院办理案件比如刑事案件时,对于侵害众多个人信息权益的行为,一并提起刑事附带民事公益诉讼更容易操作。对于职能部门未办理,人民检察院主动履职的个人信息保护案件,可以单独提起民事公益诉讼,有利于发挥检察机关主动履职的积极性。上海、河北、河南、湖北、云南、广西、陕西、辽宁等多地的地方性法规等已将个人信息安全纳入检察公益诉讼范围。上海等多地检察院也办理了不少个人信息安全领域的公益诉讼案件,积累了丰富的实践经验。三是凝聚个人信息保护工作合力。个人信息保护工作靠一家行政机关单打独斗无法完成重任,需要个人积极维权,行业加强自律,司法严厉制裁,国际同向合作等。就检察机关发挥公益诉讼职能角度看,需要明确人民检察院督促、支持起诉的职权,健全检察机关履行法律监督的工作抓
手,从而发挥检察机关的法律工作优势,彰显检察官作为公共利益的代表价值。这也与《未成年人保护法》第一百零六条的体例保持相对一致。故建议《个人信息保护法(草案)》第六十六条修改为:
发布评论