2、收集限制原则
该原则要求个人信息的收集应当有所限制而不能为所欲为,而且个人信息资料的取得方法还必须是合法、公开、公正的,并应通知信息主体,得到信息主体本人的同意。政府所能收集的有关个人信息的种类和数量都应当受到限制,并且政府收集该种信息的方法或手段也必须具备一定的要件。例如1974年的美国《隐私权法》规定,“政府收集个人的信息,如果可能导致对他作出不利的决定时,必须尽可能地由他本人提供,避免政府根据第三者提供的错误或存有偏见的信息而对执行职务相关和必要的范围内收集个人的信息。”1980年经合组织理事会通过的《关于隐私保护与个人数据跨国流通的指针》中对成员国个人信息的保护中也有“收集限制原则”。我国台湾《个人资料保护法》第6条规定,“个人资料的收集或利用应尊重当事人之权益,依诚实及信用方法为之,不得逾越特定目的之必要范围。”
3、目的明确原则
该原则指的是个人信息在收集和利用时其目的必须是明确的、不变的。而且这一目的应当在收集之前就明确化、特定化,其后的利用也不得与最初收集的目的相抵触,即使在该目的变更时也应该是特定的,而不能用于其他目的。这一原则在世界各国的法律实践中已有体现。例如,瑞典的《隐私权保护法》指出,“应该为了明确而限定的目的保持个人资料档案,与目的不符的资料,不得装入档案,没有明确的目的,个人资料不得被收集、公开和使用。”1980年经合组织理事会通过的《关于隐私保护与个人数据跨国流通的指针》中对成员国个人信息的保护中也有“目的特定化原则”。1999年德国的《个人信息保护法》第14条是目的明确原则的法律依据,该条规定,“资料档案控制者因执行其主管职务之必要,且为达成收集资料之目的,储存、变更和利用个人资料。如未先行收集者,仅限于为储存之目的,使得变更或利用资料。”2005年的日本《个人信息法》第15条规定“个人信息业者在处理个人信息时,必须尽可能限定其利用目的。在个人信息业者变更其利用目的时,不得超过与变更前的使用目的有一定的关联性的合理范围。”,该条规定实际上指的就是目的明确原则。
4、信息真实原则
该原则除要求个人信息应当符合其利用目的之外,还要去个人信息在必要范围内应当保持其真实、准确、完备和及时。根据该原则,一方面个人对于政府所保存的其个人信息的内容享有修改的权利。个人如果认为政府所保存的关于自己的信息记录不真实、不准确、不完整或者已过时,可以请求制作记录的行政机关予以删除、修改、完整化或更换。另一方面,作为个人信息的维护者,政府机关也负有积极责任,必须保证信息的真实性、准确性、完整性和及时性。如果因为政府机关根据错误的、片面的或过时的个人信息对个人做出不正确的判断或使用,将会损害了个人的合法权益,政府也将负赔偿责任。例如德国的《个人信息保护法》第20条规定,“不正确的个人资料应该更正”。该条规定赋予个人及政府维持个人信息真实的权利及义务。
5、安全保障原则
该原则要求对于收集的个人信息资料,应当予以合理的安全保障,以免遭受损失、不正当接近、破坏、非法利用、篡改或者披露。例如经合组织理事会通过的《关于隐私保护与个人数据跨国流通的指针》中对成员国个人信息的保护中也有“安全保障原则”。德国的《个人信息保护法》第9条规定,“处理个人资料的公务机关和非公务机关为了自己或他人的利益应该采取技术上和组织上的必要措施来保证遵守本法的规定,特别是本法附件中的要求。只要有关措施与达到期待的保护水平有关且是合理的,就应该采取该措施。”日本《个人信息保护法》第20条就规定“个人信息业者必须采取必要、切实的措施防止个人数据的泄露、灭失、毁坏,以及个人数据的安全管理。”第21条规定了“个人信息业者在其内部员工处理个人数据时,为了该个人信息的安全管理,必须对其进行必要、适当的监督。”第22条还规定“在个人信息业者将全部或者部分个人数据的处理委托给他人行使时,为了保证该部分个人数据的安全管理,对受托方进行必要、适当的监督。”这些规定都是个人信息安全保障原则的体现。
八、个人信息保护的模式
目前,学界认为世界范围内有关个人信息保护的立法模式通常有以下三种:
1、德国模式。德国模式又可以称为统一立法模式。所谓统一立法模式,是指在一个统一的国家内部,由立法机关采取统一标准和统一规范对个人信息(不分公共领域和非公共领域的个人信息)进行统一保护。该模式的优点明显,有利于充分、全面地保护个人信息,在司法上更便于操作,克服了分散立法模式中的条块分割、标准多样、错综复杂的弊端。作为大陆法系的典范,德国在个人信息立法保护上始终坚守统一立法模式。德国以“个人资料”作为基础概念,通过统一立法来规范个人信息的收集、处理和利用,以信息自决权和人格权作为权利基础,对个人信息进行统一保护。大陆法系国家以及英国等一些判例法系国家也纷纷仿效德国,以统一模式作为个人信息保护立法的基调。
2、美国模式。美国模式是分散立法和行业自律相结合的模式。美国把个人信息划分为公共领域的个人信息和非公共领域的个人信息,然后根据不同行业,不同标准分别立法。在公共领域以隐私权作为宪法和行政法基础,采取分散立法模式,逐一立法。在私人领域,美国依靠行业自律实现对个人信息的保护。由于分散模式中各法律针对的领域、范围、标准都不尽相同,因而使得个人信息保护呈现条块分割状况。可以说,宪法、联邦法规、判例法各有各的保护方式、各有各的侧重点,这种分散立法模式让美国的个人信息保护制度格外错综复杂,甚至有点支离破碎。
3、日本模式。日本模式可以称为“统分结合”立法模式。日本于1988年制定了《行政机关电脑处理个人情报保护法》,其后于2005年通过实施《个人情报保护法》。2005年《个人情报保护法》为保护个人情报的基本法,它统摄纵向的行政管理领域和横向的民事领域。鉴于1988年已经制定了行政机关处理个人情报的相关法律,因此,2005年个人情报保护法规定应对行政机关处理个人情报的具体规则进行修订,以契合该法的标准;对于医疗、金融等特殊领域,2005年个人情报保护法规定可以另行制定保护专法;而对于民间行业,该法只是制定了一个最低标准,而并不禁止行业根据具体情况制定高于个人情报保护法标准的行业规范。日本的立法模式有“统”有“分”,因此被称为统分结合模式。
九、我国现有法律对个人信息的保护
虽然世界上许多国家和地区都已经制定了自己的个人信息保护法,但是我国个人信息保护现状却不容乐观,到目前为止我国还没有任何一部法律以“个人信息保护”冠名。虽然在我国的单行法律和法规中已经有不少的内容涉及到了个人信息保护,但是从总体状况来看,法律规定比较零散、无体系,保护范围狭窄,很多内容仅仅涉及个人信息的一部分个人隐私,甚至对个人隐私的保护我国也没有专门的立法,并且缺乏统一的执行机制和机构。目前我国法律对个人信息的保护状况如下:
1、个人隐私保护
虽然目前我国法律没有明确对“隐私权”进行保护,但在相关法律中有对它的隐形保护。《宪法》第38条规定,“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”1986年的《民法通则》第101条规定,“公民、法人享有名誉权,公民的人格尊严受法律保护,禁止用侮辱、诽谤等方式损害公民、法人的名誉。”在随后1988年1月26日通过的最高人民法院《关于贯彻执行<;中华人民共和国民法通则>;若干问题的意见(试行)》第140条规定,“以书面、口头等形式宣场他人的隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。”在该部法律中首次出现了“隐私”的字眼。1993年8月7日最高人民法院《关于审理名誉权案件若干问题的解答》中再次强调“对未经他人同意,擅自公布他人的隐私材料或者以书面、口头形式宣扬他人隐私,致他人名誉受到损害的,按照侵害他人名誉权处理。”这些规定都是对公民隐私权的保护。
同时,鉴于妇女、未成年人的弱势地位,如何保护这一特殊群体的隐私问题,法律作了专门规定,如《妇女权益保障法》第42条规定,“妇女的名誉权、荣誉权、隐私权、肖像权等人格权受法律保护。禁止用侮辱、诽谤等方式损害妇女的人格尊严。禁止通过大众传播媒介或者其他方式贬低损害妇女人格。”《母婴保健法》中第34规定,“从事母婴保健工作的人员应当严格遵守职业道德,为当事人保守秘密。”《未成年人保护法》第39条规定,“任何组织或者个人不得披露未成年人的个人隐私。”这三项规定是对妇女和未成年人隐私权的明确保护。
此外,我国程序法也对个人隐私保护作了相关规定。如《民事诉讼法》第66条规定,“证据应当在法庭上出示,并由当事人互相质证。对涉及国家秘密、商业秘密和个人隐私的证据应当保密,需要在法庭出示的,不得在公开开庭时出示。”该规定说明了在运用证据时应注意保护公民个人的隐私权。该法第120条规定,“人民法院审理民事案件,除涉及国家秘密、个人隐私或者法律另有规定的以外,应当公开进行。离婚案件,涉及商业秘密的案件,当事人申请不公开审理的,可以不公开审理。”这一规定体现了法院在审判方式上也要保护公民个人的隐私权。再如《刑事诉讼法》第152条规定,“人民法院审判第一审案件应当公开进行。但是有关国家秘密或者个人隐私的案件,不公开审理。十四岁以上不满十六岁未成年人犯罪的案件,一律不公开审理。十六岁以上不满十八岁未成年人犯罪的案件,一般也不公开审理。”这些规定说明了法院在审理案件时要注意公民个人隐私权的保护,尤其要注意对未成年人隐私权的保护。还如《行政诉讼法》第30条规定,“代理诉讼的律师,可以依照规定查阅本案有关材料,可以向有关组织和公民调查,收集证据。对涉及国家秘密和个人隐私的材料,应当依照法律规定保密。经人民法院许可,当事人和其他诉讼代理人可以查阅本案庭审材料,但涉及国家秘密和个人隐私的除外。”第45条规定,“人民法院公开审理行政案件,但涉及国家秘密、个人隐私和法律另有规定的除外。”这些规定与《民事诉讼法》的规定相似,说明在行政案件中对证据的收集、材料查阅及法院审理方面都要注意公民个人隐私权的保护。
港澳地区也十分强调对个人隐私权的保护。如香港的《个人隐私条例》强调国际公认的个人信息保护原则,建立独立的管理机构、安排个人信息保护专员来保护公民在个人信息方面的隐私权。《澳门特别行政区基本法》更直接规定了“隐私权”,该法第30条规定,“澳门居民的人格尊严不受侵犯。禁止用任何方法对居民进行侮辱、诽谤和诬告陷害。澳门居民享有个人的名誉权、私人生活和家庭生活的隐私权。”
2、通信领域的个人信息保护
2009年4月修订后的《邮政法》第3条规定:“公民的通信自由和通信秘密受法律保护。除因国家安全或者追查刑事犯罪的需要,由公安机关、国家安全机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”第35条规定,“任何单位和个人不得私自开拆、隐匿、毁弃他人邮件。除法律另有规定外,邮政企业及其从业人员不得向任何单位或者个人泄露用户使用邮政服务的信息。”
随着电子邮件逐渐取代传统的书信成为一种重要的通信方式,1997年12月30日公安部颁布的《计算机信息网络国际互联网安全保护管理办法》第7条专门规定,“用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用国际联网侵犯用户的通信自由和通信秘密。”1998年3月6日国务院信息办发布的《计算机信息网络国际联网管理暂行规定实施办法》第18条规定:“用户应当服从接入单位的管理,遵守用户守则;不得擅自进入未经许可的计算机系统,篡改他人信息;不得在网络上散发恶意信息,冒用他人名义发出信息,侵犯他人隐私。”2000年10月8日信息产业部发布的《互联网电子公告服务管理规定》第12条规定,“电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意不得向他人泄露,但法律另有规定的除外。”这些规定都是对通信领域中个人隐私权的保护。