昆明信息港首页 要闻 昆明 云南 原创 县区 资讯
首页 存档 正文
北邮教授:个人信息保护的法理错了
2009-03-21 17:22:08      来源:网易

    访北京邮电大学法律系教授刘德良

    没有人不重视自己的个人信息安全,但在这样一个网络信息时代,单纯的道德审判已经没有多少现实意义,法理和制度的重新建构才是最重要的。

    错误的现行立法基础

    《中国经营报》:今年央视“3·15”晚会的焦点之一仍是个人信息安全问题,这已经是其连续两年上榜黑名单。中国青年报社会调查中心对2422名公众进行的一项调查显示,88.8%的人表示自己有因为个人信息泄露而遭遇困扰的经历。而其中垃圾短信、电话骚扰、垃圾邮件被视为信息泄露的三大“恶果”,这种情况为什么屡禁不止?

    刘德良:垃圾短信屡禁不止,个人信息滥用的现象得不到遏制,其症结就在于现在立法的基础——法律理论和法律制度存在问题。我国目前对个人信息的保护,还是在照搬欧盟的标准:把个人信息保护纳入到人格权的保护之下,将其看成隐私权。而隐私权是一种消极性的权利,即保证这个信息不让别人知道的权利。从民法及其理论上讲,对此类案件做出的判决基本上是要求被告停止侵害、赔礼道歉、消除影响、精神损害赔偿等等。前面几项都没有实际意义上的补偿;而如果寻求精神赔偿,原告就必须举证精神受到了很大的损害,这个是相当困难的。即便此项判罚成立,赔偿数额也非常小,因此,在既有的法律和理论下,商家侵权行为的成本几乎为零;但是原告的诉讼费用——即维权成本却非常高。可以说,用传统的隐私权制度和理论来保护个人信息的做法在客观上会纵容侵权行为的发生而不能起到应有的预防和威慑作用。

    《中国经营报》:今年2月28日,由十一届全国人大常委会第七次会议表决通过《刑法修正案(七)》,将泄露个人信息的行为入刑,这是否会加强对个人信息的保护?

    刘德良:在个人信息的保护问题上的确是一个进步。但是结合现实情况来看,这个法律的效果有限,尤其对于垃圾短信的治理问题,效果基本为零。实际上,早在几年前根据欧盟对个人信息保护的处理方式,我国也提出了“信息自决权”,也可以称为“信息控制权”,就是如果要使用个人信息,必须征得当事人的同意,不得随意使用;当事人对收集的信息有信息查询、更正等权利。也就是要对这些信息收集单位的行为进行规范。这个提议与目前的《刑法修正案》一样,缺少这样的一个技术背景和逻辑前提:就是首先你要知道你自己的信息何时何地被何人收集,保存在一个什么地方。也就是说,你知道是谁泄露了你的信息,之后才能讲到追溯责任人的问题。

    事实上,欧盟1995年通过的《个人数据保护指令》就有类似的规定,但这个指令现在来看,是有着致命缺陷的,就是技术过时。其技术背景应该是上世纪六七十年代,信息收集只有少数大型公司进行,所以信息收集方是确定的,因此作为信息所有人的个人可以行使进入权、更正权等的权利。但现在,我们的信息已经通过各种渠道被收集了,甚至多数情况下就是我们自己在不经意的情况下公开的,这些信息很多又转到了网络上变得尽人皆知,你能在这种情况下认定信息发布者是谁,进而寻求法律救济吗?几年前欧盟也对这个指令的实施情况作了一个调查报告,结果表明效果很不理想。

    信息的财产权属性

    《中国经营报》:如果现在的法律对此问题还不能有效解决,那应该如何改善立法,保护个人的信息安全?

    刘德良:现在的问题不是要盲目地加强立法,而要先弄清楚问题的症结所在。事实上,并非所有的个人信息都不可以公开;只有像裸照、性生活信息、不为人知的重大疾病缺陷等与人格尊严有直接关系的个人信息,一经披露或为他人知悉,就会对主体的尊严、社会评价或精神造成消极影响,因此才需要保密,未经允许不得擅自收集、披露和利用。

    而像姓名、工作单位、家庭住址、联系电话等与人格尊严没有直接关系的个人信息,其功能就是保障人们正常社会活动和社会交往。同时,这些信息还是社会公众知情权和言论自由权赖以实现的基础。公开或知道这些信息本身并不会直接对我们造成伤害,而真正造成伤害的是后续的滥用行为。因此,法律规制的重点应该是防止后续的滥用行为,尤其是商业性滥用行为。

    一般人理解的个人信息安全就是信息不能被别人知道,事实上,这涉及一个个人信息分类的问题,不同的信息应该有不同程度、不同方式的法律保护。

    《中国经营报》:这样说来是否应该对以上的两类个人信息的法律保护区别对待?

    刘德良:按照法律理论和逻辑,如果要预防和减少以营利为目的的侵权行为,应该通过加大侵权行为的成本,即要求和加大其侵权责任 ——财产责任;这种财产责任只能适用于侵害财产权或财产利益的情形;而侵犯人格权一般是不能要求侵权者承担此法律责任的。

    因此,必须承认个人信息的商业价值是一种财产,属于个人所有。这样,一旦侵权行为发生,受害人就可以要求商家承担财产责任。从实际操作来讲,未来的立法可以预先规定一个法定的赔偿数额(这个数额的设定要考虑到侵权行为的成本和受害人维权的成本等因素),如一次商业性滥用的侵权行为法律责任为5000元人民币,而如果受害人能够证明自己的损失或违法者因此获利的数额,也可以按其实际损失或对方实际获利的数额来请求赔偿。

    而那些私密性的信息,既具有人格利益,又具有财产利益,因此,对于那些以营利为目的而非法收集、加工、买卖和利用与人格尊严有直接关系个人信息的行为,受害人不仅可以要求加害人承担人格侵权的法律责任,还可以同时要求其承担相应的财产责任。

    另外,对个人信息赋予法律的财产权,也是对其潜在的商业价值的认可和尊重,能够支持个人信息价值的积极流转。现在商场中发行的会员卡,提供给消费者一些打折、积分的优惠条件,但需要顾客出让自己一部分个人信息的使用为交换,当然,这是在双方认可的协议框架之内所做的交易,这就是一种个人信息合法化的使用。

编辑: 孙红亮 责任编辑: 徐婷