日本的个人信息保护法制及启示
发布日期:2009-11-09 文章来源: 互联网 作者:谢青
【内容提要】信息化时代导致的个人信息被恶意利用的事件频发。2005年4月日本《个人信息保护法》经过两年的预备缓冲期后进入了全面实施阶段。该法以OECD的8项原则为基础,借鉴了欧盟的立法模式,在实质上又采纳了美国立法的诸多规定,不论从体例上还是在内容上都是一部比较成熟和完备的法律,值得我国在《个人信息保护法》的制定中予以借鉴和吸收。 【关键词】个人信息 个人信息保护法 隐私权 个人征信 日本是一个信息化程度非常高的国家,近年来滥用甚至盗用个人信息给消费者造成财产或个人隐私损失的恶性案件时常见诸报端。这促使政府在推进信息化社会建设中加快立法保护个人信息。日本的个人信息保护立法外形上类似欧盟立法模式,但在实质上更多地采纳了美国立法的许多做法,非常值得我国在制定《个人信息保护法》时予以借鉴。 一、日本个人信息保护的法制化过程 最初的个人信息保护是与实行电子化政府的活动相联系的。电子化政府是指运用电子化手段所实施的国家行政管理工作,包括政府内部核心政务电子化、信息公布与发布电子化、信息传递与交换电子化。公众服务电子化等。在建立信息公开体制的同时,必然会涉及到对个人信息的收集、存储、加工和交换,也必然会潜在侵害个人信息的风险。因此,对个人信息保护的认识受到政府和民众的重视。1996年6月,日本高度信息通信网络社会推进战略本部正式提出了隐私保护以后,在1998年11月制定的“向高度信息化通信社会推进的基本方针”中,又具体规定了保护个人隐私的条款。同年12月政府制定了《有关行政机关电子计算机自动化处理个人信息保护法》(次年10月开始实施),1999年4月又制定了含23个都道府县和12个政府指定城市、全国1529个团体的《个人信息条例》。其实在此之前,部分民间团体也曾制定了一些涉及个人信息、隐私保护的自主规制的规定,如1987年3月,日本信息处理系统中心制定了《关于金融机构等保护个人数据的指针》(1999年4月进行了修改);1988年3月,日本信息处理开发协会制定了《关于民间部门个人信息保护指导方针》,在此基础上除了有通产省、邮政省的制定方针及JIS(日本工业规格)以外,1989年经济产业省制定了《关于民间部门电子计算机处理和保护个人信息的指导方针》,1991年总务省制定了《关于电气通信事业保护个人信息的指导方针》。之后根据1995年10月的欧盟指令,日本政府又分别于1997年3月和1998年12月修改了上述两个指导方针,完善了关于个人信息保护的行政法规。 值得注意的是,由于政府在推行电子化政府的时候,尚未顾及电子商务经营者在个人信息保护中应承担的义务,即尚未考虑到民间企业在利用个人信息时对个人信息的侵害。但是随着近年来民间企业对个人信息的不适当应用造成的个人信息的外泄事件频发,已经引起了日本消费者对现行个人信息制度体系产生了不安全感和不信任感,在此背景下,将民间企业纳入到个人信息保护的调整范围内,并对相对类型化的个人信息的采集、存储、使用和信息交换、共享等加以规制开始纳入政府的视野,1999年8月13日政府在《居民基本注册改正法》中,特别针对民间企业对个人信息保护的必要性加强了认识,并在附件中加入了“为了万无一失地保护个人信息,尽快完善所需相关措施”的条款。1999年11月,高度信息化通信社会推进战略本部属下设立的“个人信息保护研究部”提出了一份题为《个人信息保护体系的存在方式》的中间报告,详细建议了政府部门与民间组织保护个人信息的措施。即对个人信息保护的调整对象达成了共识:采取欧盟的立法模式,确立个人信息保护的调整范围适用于公共部门和非公共部门的基本原则,同时借鉴美国的做法,就特别需要保护的领域制定个别法,并鼓励非公共部门进行自律。2000年9月战略本部设置的“个人信息保护法制化专门委员会”提出了《关于个人信息保护基本法大纲草案》,2001年3月《个人信息保护法》被提交国会审议,由于2001年5月12日日本全国律师协会(简称“日辩连”,就该法案提出法律意见书,致使2002年末该法成为废案。2003年联合执政三党作成修正案,同年3月7日,与个人信息保护相关联的5法案在议会获得通过。至此,日本有关个人信息保护法制化的框架基本完成。 二、对日本《个人信息保护法》中若干法律制度的解析 随着2005年4月《个人信息保护法》的全面实施,意味着日本构筑了一个相对完整的以个人信息保护法为基本法,各部门单行法为补充的法律体系:除作为基本法的《个人信息保护法》外,对国家机关、地方公共团体、行政机关、独立行政法人等还分别制定了不同的法律和法规。《个人信息保护法》以个人信息的有效利用与个人信息保护为宗旨,确立了个人信息保护的基本原则及方针,明确了国家及地方公共团体的责任义务,以及使用个人信息的企事业应遵守的义务。其共分6章:第一章规定了制定本法的目的、基本理念;第二章规定了国家和地方公共团体的责任和义务;第三章是有关个人信息保护对策的规定;第四章规定了个人信息处理事业者的义务;第五
章是法律适用的例外;第六章是罚则。考虑到民间企业的情况比较复杂,一时恐难符合立法的要求,故政府将该法的实施分成了两阶段:第一阶段以2003年5月为基点,实施1到3章的规定,因针对政府等公机关设定的责任和义务都有相对应的单行立法,且相较于民间企业情况更容易掌控,所以先行实施。而对于私主体(民间企业)则以法律规定的原则为基准,并结合各企业自身特点建立适应的企业内部安全体制并加强其自律。为避免因实施严格的个人信息保护而为企业增加过多的负担,从而影响经济的发展,政府给予民间企业2年的缓冲期用于企业自身的制度建设,最终该法于2005年4月获得全面实施。 (1)对个人信息的定义及适用范围法律界定的模式选择 构筑个人信息保护体系,对个人信息的定义及保护范围是必要的。网络时代,诸如姓名、电话号码、电子邮箱等个人数据信息可以很容易被收集、存储、处理和传播,个人信息具有了其从。前未有过的商业价值、社会价值和法律价值。从法律层面上看,主要表现在对隐私权内涵与外延的扩张上:隐私权作为使得个人能保留独处而不受外界侵扰的权利,自其被纳入法律保护视野中时,其就是一个难以界定的概念。布兰戴斯和沃伦在《隐私权》一文中将隐私权解释为“个人在通常情况下决定他的思想、观点、情感在多大程度上与别人交流的权利”。但信息化使我们在采集人们日常生活交往数据(多种形式的,时间、空间跨度大的)和快速搜寻大型数据库,建立更好的个人信息档案以及其他信息资料方面的能力大大提高。这种技术创新对隐私权保护提出了新挑战,也使对信息隐私权的侵害是现出多样化。至于哪些信息是属于“私人”信息,不同的个人之间、社会不同部门之间、不同国家社会之间、同一社会的不同时期之间的认识是有差别的。一般认为个人信息包括所有与个人相关的信息,具体包括:身体物理特征,感情、思想与观点,经济与财产状况,生活方式,身份信息,家庭与社会关系,职业经历、简历和个人档案材料,健康状况与病历,个人通信、日记和其他私人文件,以及其他所有纯属私人内容的个人数据资料。 在日本,随着借助于无处不在的网络的信息发展模式,隐私权保护理论逐步向“个人信息控制权”的理论发展,隐私权变成“个人自由地决定在何时、用何种方式、以何种程度向他人传递与自己有关的信息的权利主张”。芦部信喜教授在其所著《宪法》一书中指出:“ Privacy的权利可以被理解为,是不让他人无端地干预其个人私的领域之自由的、而且是消极的权利;不过,随着信息社会的发展,此一权利己被视为“控制有关自己的信息之权利”;“Privacy的权利不但在自由权的层面,而且在积极请求公权力保护Privacy的层面,也逐渐受到重视。”可见,对隐私权的保护已从传统意义上尚不为人所知、不愿或者不便为人所知的个人“私事”,扩展到了识别出或者可以识别出的个人的所有信息上。隐私权也从传统的“个人生活安宁不受干扰”的消极权利演变成为具有积极意义的“信息隐私权”。隐私权表现为个人对私人事务和私人信息的控制力上,个人信息隐私权就是指个人对自身可识别信息的控制权。因此,在立法过程中,充分考虑到隐私权与个人信息的差异,以及个人信息在不同行业、领域中被使用的、可能被侵害的特点,对于个人信息的定义及范围的界定,采取了谨慎的态度:如在《关于对行政机关所持有之电子计算机处理的个人信息加以保护的法律》中规定是个人可被识别的信息,而对于民间企业,由于行业不同所涉及的个人信息亦形态多样,因此认真地进行了调查和检讨。最终《个人信息保护法》第2条对个人信息作了如下界定,即所谓个人信息就是指有关活着的个人的信息,根据该信息所含有姓名、出生年月以及其他一些描述,能把该个人从他人中识别出来的与该个人相关的信息(包含能简单的查对其他的信息,根据那些信息来识别个人的东西)。由这些个人信息组成的集合物形成个人信息数据库。可见该法对个人信息的描述是概述性的,没有作具体的列举,这样立法的特点是考虑到法律对个人信息的外延空间可随着信息技术的发展变化而变化,从而具有和时代发展齐驱并进的灵活性。比如与个人有关的声音和图像数据获取、传播、复制、记录、保存和交换的数据处理也可以随科技的发展成为信息保护的对象等。 (2)对民间企业作为个人信息保有人义务的设定 由于政府和各地方行政机关各有相关的单行法律进行规制,因此对个人信息采集的主体,即民间企业主体的法律规制就成为该法律能否顺利实施的关键所在。对于企业来说,其所管理的信息一般包括企业经营机密和个人信息。企业经营机密是指与开发、生产、销售相关的信息以及与系统网络相关的信息;而个人信息是指调查问卷、顾客咨询及维修信息等信息中的顾客个人信息以及公司内部的人事信息等。企业应优先考虑个人信息的保护,如制定安全管理对策,对企业外使用的电脑和个人信息加强管理,使用者要主动进行自我检查;对对外业务委托方的信息管理情况进行调查;制定个人信息保护的企业
内部自律规范。除此之外,对企业的产品实行产品安全保障,保护产品顾客的相关信息以免通过互联网被泄漏或修改。 《个人信息保护法》第4章对民间企业保证个人信息的安全性提出了严格的新要求。虽然第四章没有规定企业应承担哪些具体的义务,但是该法对民间企业涉及个人信息的处理设定了若干义务原则,这些原则和OECD的8项原则相互对应;既遵循了原则的精神,又结合了本国的特点。它们分别是:(1)目的明确化原则。第15、16条分别规定了利用目的特定及限制利用目的义务。(2)利用限制原则。第23条规定不经本人同意,不得向第三人提供。(3)收集限制原则。第17条规定不得以不正当手段获取信息。(4)资料内容完整正确原则。第19条规定必须努力保持信息内容的正确完整。(5)安全保护原则。第20、21、22条分别规定必须设立安全管理的必要措施,对从业者和委托者采取必要的监督。(6)公开原则。第18、24条分别规定取得个人信息必须公布利用目的、利用目的必须让本人知晓。(7)个人参加原则。第25、26、27条分别规定本人对信息有确认、修订和利用停止的权利。(8)责任原则。第31条规定企业根据上述原则并结合各自企业的特点设立“自律规范”,管理者对取得的个人信息负有管理责任。 (3)发生争议时处理机构的设立 信息公开原本的目的在于落实公开政府的理念,而对个人信息保护的重心则落在维护个人信息隐私的利益上,如何在这两者之间寻求一个动态的平衡,是各国有关个人信息立法都应该考虑的。在争议处理上,日本的《个人信息保护法》采取了独特的方式:即其没有向许多国家那样对个人信息保护设有专门的管理机构,而是采用了更为灵活的方式。其主要原因在于:设立个人信息保护机构,有可能大幅度地限制非公部门的自由活动,这与其行政改革和放宽管制的改革思路相悖,因此主张应建立有成效的事后救济体系。例如,对于非公部门,主管大臣可以针对其违法或不当的个人信息处理行为发出劝告或者命令。同时法律还允许设立各种民间团体参与纠纷的处理。 (4)侵害个人信息时法律责任的承担 无救济即无权利。个人信息保护如果没有有效的监督救济机制,那么实体法无论设计得如何完善,都可能成为空洞的许诺。因此各国在个人信息保护的法律中都有监督救济的规定。与传统隐私权保护事后救济不同的是个人信息保护注重事前预防,即从源头上规范个人信息的采集。在很多国家中,个人信息保护往往会引入事先管制机构,对于收集和处理个人信息的主体、目的、收集手段等进行审核,从源头上规范这一行为。如规定了对个人信息请求的公开、个人信息的修正以及个人信息利用停止的权利,在出现问题时还可以向当事者提出,或者向认定个人情报保护的团体和地方公共团体商谈。 按照以往的法律,侵犯他人名誉权(隐私权)只能承担民事责任,1987年,日本政府在刑法修改时就加强了对网络犯罪的惩处,但由于当时信息化尚不发达,因此对非法使用网络系统、擅自入侵系统内偷阅个人信息数据资料等行为尚未能纳入惩处范围。2000年7月信息安全对策推进会制定了《信息安全政策指导方针》,同年12月又制定了《重要基础设施网络袭击对策特别行动计划》,对侵害他人信息的行为,设定了可能会承担的民事责任、行政责任或是刑事责任。如对违法采集、使用个人信息的,当事人可以根据侵权人使用个人信息获得的利益,或其受到的损失请求赔偿,侵权人获得的利益或者受害人的损失不能确定的,应当根据情节承担民事赔偿责任;行政机关为了公共利益的需要,对侵犯多人信息或情节严重的,可以通过行政处罚予以制裁;对侵犯他人个人信息情节严重,或造成恶劣社会影响的,应当追究其刑事责任。《个人信息保护法》制定了处罚的规定,凡违反政府和地方公共团体的政策法规以及违反主管大臣的改善、终止命令者,都将受到处罚。 (5)自律机制:民间认证制度的建立 为顺应信息环境的变化以及协调欧盟指令等需要,推进个人信息保护体制,日本采用了美国的民间认证制度来替代争端解决机制,以配合政府的执法保障。1999年日本工业标准(JIS)制定了《关于个人信息保护管理体制要求事项》(又称JISQ15001),该要求事项现已适用于很多行业。2001年3月废除了实行多年的《信息处理服务产业安全对策实施事业所认定制度》,制定了比较重视管理的“安全管理系统评估制度”(ISMS制度),并启用了ISO/IEC17799-1(BS7799)国际标准(这又被称为第三者认证制度)。这些制度旨在给予那些对个人信息保护良好的企业一个外在的评价标准,获得上述安全认证的企业可据此提升自身形象和商业信誉,对企业今后的发展非常有利,因此受到企业的重视。 三、日本个人信息保护法律保护给我们的启示 通过上述分析,笔者认为我国当务之急是应该提高对个人信息保护方面的认识,扩大对个人信息保护重要性的宣传力度,加强对个人信息保护制度的比较研究,尽快制定适合我国国情的《个人信息保护法》。 自上世纪60年代,各国已普遍意识到网络环境下保
护民众私生活的重要性。1970年最早的有关个人信息保护的国内法《个人信息保护法》在德国黑森州制定,随后1973年瑞典制定了《资料法》,1974年美国制定了《隐私权法》,1977年德国制定了《联邦个人信息保护法》,欧洲议会也于1981年出台了《个人数据保护协议》,1984年英国制定了《数据保护法》,1998年《欧盟个人数据保护指令》生效,据不完全统计,世界上制定了个人信息保护法律的国家或地区已经超过50个。加强对个人信息的法律保护是大势所趋。我国政府也应顺应信息时代的发展潮流,将个人信息保护法列入立法规划。此外,中国作为贸易大国,在国际贸易中对个人信息保护情况好坏很可能成为他国设置新的贸易壁垒的借口,如欧盟以及其他国家完全有可能根据对第三国个人信息保护水平的判断,对个人信息的跨国流动作出单方面的限制,进而影响到整个国际贸易的正常进行。实际上这种趋势已经非常明显并且还会进一步加速。这些动向值得我们去作深入仔细的研究。 近年来我国信息化产业发展势头迅猛,以上海市为例,2005年信息产业对GDP的贡献率位列榜首,占GDP总额的12%,2006年全年信息产业预计实现总收入达6000亿元。而现实生活中,个人信息遭侵害的情况也非常普遍,但目前对此的法律保护非常不完备:没有一部独立的个人信息保护法,有关个人信息保护的法律规定比较零散、缺乏系统性,如《民法通则》中只直接规定名誉权的保护;《治安管理处罚法》中只对发送垃圾短信等类似行为的作出处罚; 《电信法》中只有涉及电信用户信息保护的相关规定等。值得注意的是,对个人信息的保护已经引起了国内立法者和专家学者的关注,在全国人大法工委2002年向第九届全国人大常委会第31次会议提交的官方《中华人民共和国民法(草案)》第四编(人格权法)第七章中就提到了隐私权和个人信息。中国人民大学民商事法律科学研究中心起草的民法典草案也把个人信息保护制度纳入人格权保护体系,如其第二编(人格权)第五章第二节第43条规定:“自然人享有隐私权。未经本人同意,任何单位和个人不得非法侵害自然人与社会公共利益无关的私人信息”。第44条规定:“法律保护自然人的私人信息。未经本人同意,禁止刺探、公开自然人与社会公共利益无关的私人信息”。第50条规定:“禁止非法收集和传播他人的个人信息资料。收集、储存、公布涉及自然人隐私的通信、资料、信用档案、电子邮箱网址等个人资料,须征得其本人的同意,但出于社会公共利益或法律另有规定的除外”。也有学者将其纳入宪法保护的视野。因此制定一部《个人信息保护法》有其必要性和可行性。但同时也应认识到指望一部法律解决所有各类部门的个人信息保护问题是不现实的,必须在促进信息共享与自由流动与尊重个人隐私权之间寻求一个平衡点。所以《个人信息保护法》的制定要采取“立足本土、借鉴他国”的原则。日本的个人信息保护立法方式值得我们借鉴。据悉,国务院信息办针对信息化社会出现后带来的问题,已加快了国家信息化立法的步伐,《个人信息保护法》作为其中的一个重要组成部分,已由国务院信息管理办公室委托中国社科院法学所起草。相信不久以后,随着该法的实施,个人信息屡受侵害的状况会得到改善。 【作者介绍】《法学》月刊社编辑。 注释与参考文献 2004年2月日本最大的门户网站Yahoo BB!451万客户资料外泄事件,在当时引起了消费者非常不安,虽然网站最终以适当补偿平息了该风波,但造成的不良影响不容忽视。 欧盟指令覆盖范围广泛(不加区分地适用于所有的行业,适用于个人数据处理的所有环节),规制程度深,执行机制健全(在欧盟指令的要求下,所有欧盟国家均须调整和修改本国的个人信息保护立法以与指令相配合)。而美国没有设定隐私保护最低要求的综合性联邦法律。其规制方式更加注重防止对个人信息滥用所造成的实际危害,因此对隐私保护采取了一种灵活的策略,即以自律机制配合政府的执法保障,从而达到实现保护个人隐私的目的。 齐爱民、侯巍:《电子化政府与个人信息的法律保护》,法律出版社2005年版,第66页。 在日本1999年3月通过《居民基本注册改正法》时,曾遭到居民的强烈抵制,长野县甚至公开造反,在当时引起了政府政局的动荡,长野县知事田中也因此得到了许多住民的支持。 日本也不断通过立法手段完善对隐私权的相关保障。1988年,日本出台了保护中央政府机关电子计算机处理的个人信息的《关于对行政机关所持有之电子计算机处理的个人信息加以保护的法律》,随后又相继出台了《个人信息保护法》、《关于保护行政机关所持有之个人信息的法律》、《关于保护独立行政法人等所持有之个人信息的法律》、《信息公开与个人信息保护审查会设置法》以及《对〈关于保护行政机关所持有之个人信息的法律〉等的实施所涉及的相关法律进行完善等的法律》(又称个人信息保护5法案)。 特殊法人适用《关于保护行政机关所持有之个人信息的法律》和《关于保护独立行政法人等所持有之个人信息的法律》。 这
些新技术主要包括:(1)网络世界使个人信息的流通大大增强。(2)一些应用智能界面的建立在流通中改变了个人信息的性质。(3)为客户提供个性化的服务的同时网络将会在回馈跟踪服务中采集用户日常生活中的大量信息。 信息隐私权包含三个方面:在技术方面,隐私权问题包括网络安全和用户界面等;在法规方面,隐私权涉及数据保护和相关的状况和法规;在社会学方面,隐私权则被认为是与文化、道德和机构有关的社会问题。这三方面互相联系,从事个人信息采集和使用需获得同意的研究将基于社会行为和文化规范提出技术解决方案的可行性,可能还要根据一定的法规义务为建议的技术提出适宜的法律框架。 [日]奥平康弘:《知情权》,岩波书店1981年版,第384页。 所谓个人信息数据库是:(1)能利用计算机来检索特定个人信息的系统化结构的东西。(2)根据政府命令能很方便地检索特定个人信息进行系统化结构的东西。 这8项原则分别是:(1)限制收集原则。(2)资料内容完整正确原则。(3)资料利用目的明确化原则。(4)限制利用原则。(5)安全保护原则。(6)公开原则。(7)个人参与原则。(8)责任原则。这些原则已成为各国进行个人信息保护立法所遵循的重要准则。参见1980年9月23日通过的OECD:Guidelines on the Protection of Priacy and Transborder Flows of Personal Data. 除此之外,privacy mark、TRUSTe等评估制度也为人熟知。 杜敬明、唐建国主编:《信息化与法》,法律出版社2005年版,第68页。 如欧盟和美国一直都在互相适应、协调对方在个人信息保护方面的规定,以免对贸易造成不必要的损害。 《时代报》2006年3月2日,A3版。 如前段时间网上频频出现的名人隐私被曝光事件,先是近600位艺人的私人电话号码、家庭住址被某网站论坛曝光,并迅速被其它网站转载;接着,近百名女明星的出生日期及英文名字被在网上一一列出;日前,又有24位名人的身份证照片被媒体刊出,并被众多网站转载等事件。在日常生活中,我们都曾或多或少地有过这样的经历:电子信箱里五花八门的垃圾邮件;在家中或单位,经常会接到各种推销电话;在手机上也不断出现各种推销商品或服务的短信等。 周伟:《通信自由与通信秘密的保护问题》,《法学》2006年第6期。