个人信息保护需要的不仅是一部宏观意义上的“母法”,更要求构建起一个微观性的法律法规体系,如此才能为公民个人信息权提供全面而细致入微的保障
□第一看法
傅达林
正在公开征求意见的刑法修正案(七)草案,新增了惩罚非法泄露公民个人信息的条款,引起舆论广泛关注。与此同时,9月2日《京华时报》报道说,个人信息保护法草案日前也已呈交至国务院。
当今社会,信息作为一种权利资源,其有序流动对于信息社会的发展具有基础性意义。基于信息资源的战略性地位,各种主体都会采取不同手段争夺信息优势,并可能导致权利失衡和秩序紊乱。比如有的单位随意安装闭路电视监控设备;有些企业将应聘人员信息随意公开;甚至有不少人利用工作岗位的特殊性,将一些个人信息作为商业情报提供给商业公司;而随着信息技术的发展和批量处理、传递个人信息越来越容易,个人信息遭到不当收集、恶意使用、篡改的隐患也随之增多。为了遏制这种现象,世界上已有50多个国家和地区都制定了相应的个人信息保护法律。可见,通过立法建立个人信息保护制度已是刻不容缓。
在国家还未构建起个人信息保护法框架时,刑法的“单兵突进”能在一定程度上满足民众对个人信息保护的立法需求,也能有效遏制现实生活中严重侵犯个人信息的不法行为。但从整体环境而言,单靠刑法的单个条文显然难以承受捍卫公民信息权的重任,单一化的刑事制裁也容易陷入“孤立无援”的困境。正因为如此,一部统领意义上的个人信息保护法更加令人期待。
然而,从2003年开始起草至今,个人信息保护法历经5年仍未“宝剑出鞘”,可见其难度之大。笔者以为,当前最紧要的不是对个人信息保护立法的激情呼吁,而是需要切实突破立法中的那些藩篱。
作为社会信息化程度相对较低的国家,信息立法首先面临着信息种类和范围的界定难题。从概念上讲,凡一切与公民个人相关的资讯都应属于个人信息,但对于立法而言,只能将其中的部分信息纳入保护范围,如何划分这个界限就考验着立法者的智慧。是为应受法律保护的个人信息设置具体的标准,还是深入实践排列出个人信息的具体类别,是抽象化地对一般人信息作出规范,还是区分性地对公众人物的信息进行单独规范,这些难题都应当进行科学论证。
不仅如此,如何增强立法的可操作性和公民信息权的可救济性,也是个人信息立法所必须考虑的重要问题。从以往经验看,一部法律的出台不仅要在价值观上满足公众的期待,更要在实践中能解决人们的实际难题。个人信息保护立法必须在确立起一个法律制度框架的同时,于条文设计上注重规范的可操作性,不仅规定公民个人信息的权利范围和对个人信息的保密义务,更需要具体设定国家公权力的相关职责,明确违背职责和保密义务的各种具体法律后果。这样做的最终目的,在于为司法机关提供具体的指引,为公民信息权提供坚实的司法保障,以防止个人信息立法成为装饰性的“花瓶立法”。
另外,对立法模式的选择,也制约着个人信息保护的立法质量。是选择“大一统”的法典模式,还是实行分门别类的法规模式?从国外看,对个人信息的立法保护,一般是在不同领域实行不同的单项立法。例如在网络信息保护方面,美国1998年出台了专门的《儿童网上隐私权保护法》,德国1997年出台了《电信服务数据保护法》,英国1984年制定了《数据保护法》,法国1978年出台了《信息技术与自由法案》,日本1990年实施了《关于保护行政机构与电子计算机处理有关的个人数据法律》等。可见,个人信息保护需要的不仅是一部宏观意义上的“母法”,更要求构建起一个微观性的法律法规体系,如此才能为公民个人信息权提供全面而细致入微的保障。