中国个人数据保护立法的现状与展望

个人数据,是指与一个身份已确定或者身份可确定的自然人(数据主体)相关的任何信息。其中身份可确定的人是指其身份可以直接或者间接,特别是通过身份证件号码或一个或多个与其身体、生理、精神、经济、文化或社会身份有关的特殊因素来确定的人。[1]而个人数据处理,是指对个人数据进行的任何操作或一系列操作,而无论该操作是否是以自动化方式进行,例如收集、记录、组织、存储、改编或修改、恢复、查询、使用、通过传播、分发或者其他使个人数据可被他人利用的方式披露、排列或者组合、贴标隔离、删除或销毁。[2]随着信息时代的到来,互联网的迅速发展,以及经济全球化影响的日益深化,我国对个人数据保护的需求也日益紧迫。

  1、互联网时代的呼唤

  中国已经是一个仅次于美国的互联网大国。据统计,截止到2006年12月31日,中国的网民总数约为13700万人,占总人口的比例首次突破10%,达到10.5%,而上网的计算机总数约为5940万台。从发展趋势来看,中国的网民人数在两年内可能会超过美国。[3]届时中国的网民人数将在世界范围内排名第一。

  互联网的快速发展也给个人数据保护带来了棘手的难题。首先,互联网的存在是以计算机为基础的,个人利用计算机登陆互联网并在互联网上冲浪,该个人的个人信息和行为信息等将会被记录下来。这些被记录下来的信息如果被不正当的利用,就会成为个人数据保护的隐患。特别是在网民数量巨大的时候,这一隐患将更加突出。其次,互联网作为一种新兴的媒体,其特点是全球互联,接入方式简便。并且在该媒体上任何人都可以很方便的发表言论。由于全球网民数量巨大,这些言论在瞬间几乎就会传遍全球。所以一旦某些个人数据被公布到互联网上,那么该个人数据将会成为网民们轻易皆知的“秘密”了。

  总之,以计算机为基础的互联网正在迅速改变和深刻影响社会的每一个方面。以互联网为代表的现代个人数据收集、处理、传输和利用,既促进了社会经济的发展,为人们的工作和生活提供了极大的便利,同时也给人们的私生活带来了前所未有的严重威胁。

  2、国际经贸环境的要求

  随着中国改革开放政策的持续实施,中国市场已经成为世界市场不可或缺的一部分。国际贸易在中国经济中的地位与日俱增,这一点可以从近年来的外贸依存度中找到依据。外贸依存度是判断一国对外开放程度的重要指标,[4]根据该指标也可以判断出该国对世界经济的依赖水平。就2006年而言,中国的外贸依存度大约为65.1%.[5]在以欧盟指令为核心的欧洲个人数据保护法律模式和美国的个人数据保护法律模式,逐步介绍到中国之后,我们应该清醒的认识到,“数据保护壁垒”很可能成为“环境保护壁垒”(绿色壁垒)之后国际贸易关系中的另一个难题。我们需要制定相关法律与国际标准接轨,否则,如果美国、欧盟或者日本等传统贸易大国借题发挥,借口中国在个人数据的保护上没有这些发达国家的要求,并就此在对中国的国际贸易上设置贸易壁垒,那么将对中国的经济产生不可估量的负面影响。[6]

  3、法治社会建设的需要

  现在的银行等金融服务部门会在服务的过程中收集用户的姓名、性别、身份证号码、联系方式等数据;电信服务部门会在服务的过程中收集用户的姓名、住址、身份证号码、联系方式等数据;医疗服务机构则会在服务的过程中收集用户的姓名,性别、身体特征、既往病史等个人数据。除此之外,其他的政府部门和公共服务机构如税务部门、教育机构、保险公司等也会在行政管理和提供服务的过程中收集公民的诸如收入、教育、身体状况等数据。如果对这些收集数据的行为与收集的数据不加以规范,一旦与互联网传播相结合,将会导致严重的侵害个人权利的行为。[7]

  经过20多年的持续发展,中国的经济有了很大的发展,多数社会成员的物质生活条件有了较大改善,中国正在从贫困型社会发展到温饱型社会,并进而迈向小康型社会。建设法制社会是我们既定的目标,个人数据的法律保护是法制社会建设的重要环节。如今,人们对精神世界的关注,对人格利益的保护比以往任何时候都更为迫切。与此同时,社会经济的发展又使得社会成员之间的交往比以往更加频繁,大量的个人数据在这些频繁的交往中有可能通过各种途径被频频泄漏出去,于是权利受到侵害的社会成员要求保护其个人权利的呼声也日益高涨。制定一部保护个人数据的法律,规范社会成员正确收集、利用、处理与保护个人数据就显得尤为关键。

  二、目前的立法研究与准备

  针对国内的立法需求,无论是国家立法部门还是社会科研机构,都对个人数据保护的相关问题展开了深入研究,并取得了一定的研究成果。国家立法部门的官方草案还在紧张的制定中,社会上有的科研机构已经完成了自己的立法草案。

  1、国务院信息办与国务院法制办的研究工作

  国务院法制办与国务院信息办主要负责个人数据保护的立法工作。近三年来,国务院法制办与国务院信息办主要从三个方面着手对个人数据保护立法展开研究。首先,组织专家学者申报课题,对个人数据保护作深入和全面的研究,并完成相关的立法建议和研究报告。其次,积极支持、组织和参加有关个人数据保护的研讨会,并在会上积极听取与会专家的意见,并就立法中的疑问展开讨论。最后,与相关的国际机构合作,进一步完善中国个人数据保护的立法草案。

  经过上述的准备工作,目前对个人数据保护的立法研究已经比较成熟,国务院法制办已经将个人数据保护列入2007年的立法计划。可以预见,《中国个人数据保护条例》的起草工作将会加快。

  2、专家学者的建议稿

  中国社会科学院法学研究所的周汉华研究员就中国的个人数据保护立法展开了深入的研究,并发表了《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》。该建议稿与立法研究报告的主要内容分为法律条文与对相关问题的解释两部分。其中法律条文部分为《中华人民共和国个人信息保护法(专家建议稿)》。而相关问题解释部分则包括19个专题报告,涉及法律名称的确立、立法模式问题、立法的意义和重要性、立法现状以及立法依据,法律的适用范围,法律的适用例外及其规定方式,个人信息处理的基本原则,与政府信息公开条例的关系,对政府机关与其他个人信息处理者的不同规制方式及其效果,协调个人信息保护与促进信息自由流动的关系,个人信息保护法在特定行业的适用问题,关于敏感个人信息问题,法律的执行机构,行业自律机制,信息主体权利,跨境信息交流问题,刑事责任问题,以及关于9·11以后国际社会个人信息保护政策的变化趋势等问题。[8]从总体上来说,(1)该建议稿采用了折衷的立法模式,兼采了欧盟和美国的立法经验,能够解决中国现在亟待解决的问题。(2)该建议稿在解释部分对中国个人数据保护立法中的部分疑难问题作了较为详尽的研究,并给出了令人较为信服的解答。

  3、中国-欧盟信息社会项目

  中国-欧盟信息社会项目对中国的个人数据保护立法给予了大力的支持。(1)该项目与中国的主管机构、专家学者合作,召开多种形式的研讨会讨论立法中的疑难问题。(2)该项目积极提供欧盟的立法资料,供我国的科研机构使用。(3)资助中国相关的科研机构从事研究工作。中国-欧盟社会信息项目的上述工作推动了我国关于个人数据保护立法的进展,殊值肯定。

  4、专门研究机构的工作

  中国人民大学信息法研究中心积极开展个人数据保护的立法研究与立法资料的翻译、整理工作,并取得了阶段性的成果。(1)召开关于个人数据保护的国际研讨会,为各国专家学者提供交流平台。(2)与欧盟专家合作撰写个人数据保护的立法建议与研究计划,为后续的立法工作提供专家意见。(3)翻译并出版了欧盟有关个人数据保护的指令、其成员国立法以及经合的组织指导方针,为我国的个人数据保护立法整理准备了丰富翔实的资料。

  三、需要解决的部分难题

  1、立法模式的选择

  就个人数据的立法模式而言,目前在世界范围内主要存在两种:一种是美国模式,另外一种是欧盟模式。由于美国与欧盟的社会理念及立法传统等诸多因素的不同,导致两个法律实体在个人数据的保护上采取了不同的保护方式与保护力度。中国该如何选择,将是一个十分值得思考的问题。

  (1)美国模式

  该模式建立在美国对于个人资料隐私保护的议题上,其立场所强调的精神不是政府的介入,而是从宪法角度对私人财产的保护来探讨。个人数据的公开,亦表现出宪法对言论自由的保护精神。所以美国政府站在促进商业活动的立场,认为个人也必须适当揭露一些信息,才有助于市场竞争及交易,并且借由技术进步及相关保护程序的发明,增强隐私权的保护。因此,美国联邦政府的政策倾向一直是以自发性规范,由各业者提出自律方案来解决。

  美国采取这种模式大致基于以下两点理由:(1)市场经济的自由主义影响,美国奉行自由主义的市场经济,强调有限政府,行业内部能够解决好的问题政府最好不要插手干预;(2)美国法律文化的影响,美国的法律文化历来重在强调个人主义,强调宪法的作用,强调隐私权在公民权利保护中的基础性地位,已有的制度就能解决好的问题,无需政府的过多过问。

  (2)欧盟模式

  欧盟模式是以政府为主导实现对个人数据资料的保护。根据欧盟个人数据保护指令第25条和第26条的规定,[9]对于有关将个人数据资料移转至境外,成员国只有在第三国愿意遵守本项指令所制定的法律,且确保提供适当程度的保护的情况下,才准许将个人数据资料移转至第三国。并且对第三国保护程度作的适当性的评估,其他国家如果不符合“适当标准”,则欧盟成员国得采取必要措施以防止个人数据资料移转至该国。在意味着未来涉及此等交易时,中国的保护水平可能会由欧盟评估。

  欧盟采取这种模式的主要原因则在于,欧盟的主要成员国大多为大陆法系国家,这些国家坚持成文法的传统,处事严谨周密,强调国家职权对社会生活的干预。

  (3)综合模式

  上述的美国模式与欧盟模式都已经运行了多年,且各有千秋。一般而言,美国模式较为松散,不统一;而欧盟模式则较为死板、严格。因此有学者提出建议,主张所谓的综合模式,这种模式大致可以分为两种:一种是以美国模式为主,适当加入欧盟的一些制度;另一种是以欧盟模式为主,适当加进美国的制度。从目前的情形来看,主张后一种综合模式的学者居多。

  (4)中国的适当选择

  就中国目前的情况而言,应当选择综合的保护模式,且应该选择以欧盟模式为主,适当加入美国制度的立法模式。主要原因有以下四点:(1)综合各种保护模式的特点来保护个人数据将成为趋势,中国的立法应该顺应这个趋势。例如美国与欧盟虽然在个人数据的保护上有较大的不同,但他们于2000年12月达成“安全港”协议,该协议旨在协调双方的个人数据保护尺度,保证两个经济实体间的国际贸易能正常进行。(2)中国隐私权的一般制度尚未全面建立起来,对个人数据的保护难以借助已有的法律制度。(3)中国必须注重与国际规范接轨,尽力满足国际社会对个人数据保护的一般要求,不至于在将来因为数据贸易壁垒的限制而制约本国国际经济和贸易的发展。(4)中国信息产业的行业力量尚不强大,行业组织的控制力不够强大,企业自律难以实现,政府的调控和保护角色应该加强。

  2、实施机构

  在实施机构设置上,目前有两种方式可供选择:第一,在全国范围内设立统一的实施机构以实现个人数据的保护。第二,在现有的相关机构内,分别设立个人数据的保护部门,主管某一类型的个人数据保护工作,比如在卫生行政部门、信息产业行政部门、银行业监督管理部门等部门内部设立相关机构专门用来解决医疗服