法律知识
登录        电话咨询
个人信息商业运用的法律保护
发布日期:2009-11-09    文章来源: 互联网 作者:张素华
现代信息社会的发展,使个人信息的资源性日益彰显,个人信息的保护也越来越受到重视。加强对个人信息的保护,促进个人信息的合法运用,首先需要对个人信息进行准确的定位,是在传统民法体系内保护,还是以特别法的形式予以补充,目前还处于争议阶段。本文将从个人信息的性质,以及个人信息与相关权利的区别入手,来探讨个人信息的商业运用及其法律保护途径。

      一、个人信息的法律性质

  个人信息,有的学者将其称为个人资料;有的干脆将其称为隐私。其实,个人资料和隐私这两个概念都不够准确,均不能表达所要保护的对象。首先,信息和资料之间是有差别的,资料是代表人、事、时、地的一种符号序列(不以文字为限),是一种客观事实状态;信息是指资料经过处理后可以提供为人所用的内容,能够直接起到识别的功能 [1](P13),是有价值的,只有具有一定价值的资料才能够作为资源,也才能够成为法律保护的对象,属于法律的价值判断范畴。正因为信息和资料所指称的对象有差别,所以,并不是所有的个人资料都能够成为保护的对象,只有具有价值的能够为人所用的资料,也就是信息,才能够成为被保护的客体。其次,隐私这个概念,来源于英文“Private”,对于这个词是否应该翻译为隐私,还值得进一步研究。但一般认为,隐私是一个人内心深处的不愿向外界透露的信息,而且这个信息一旦泄露则会给他人的声誉造成一定的影响。因此,隐私只是相当于个人信息中的敏感信息,而不包括琐细信息(注:以个人信息是否涉及个人隐私为准,个人信息可以分为敏感个人信息和琐细个人信息。参见齐爱民主编:《个人资料保护法原理及其跨国流通法律问题研究》,武汉大学出版社2004年版,第6页。)。由此可见,资料和隐私,一个所指称的范围过宽,一个则过窄,均不如个人信息准确。个人信息这一概念准确地表达了所要保护对象的特点,具有识别效果和资源价值。因此,个人信息是指可以直接或者间接识别该个人的资料。现代社会个人信息占有量往往与一个企业的竞争力有着非常密切的联系。个人信息商业运用的法律保护问题被提上议事日程。

  首先需要对个人信息的权利性质有一个明确的认定,才能够把握法律保护的方法和途径。对于个人信息的性质有不同的看法,有的人认为个人信息属于物的范畴,适用所有权的保护模式 [2]。有的人认为个人信息属于隐私利益,应该适用隐私权来保护个人信息 [3]。有的人则认为,个人信息的收集、处理与利用涉及该个人的人格尊严,个人信息所体现的利益是公民人格利益的一部分,这一利益是一种独立的、新型的法律利益,应该被赋予新的权利,这一权利就是资料权 [4](P109)。资料权从权利归属来看,属于人格权的一种,人格权是资料权的上位权利 [4](P115)。笔者认为,个人信息的拥有者对个人信息所享有的权利,在权利归属上并不是人格权的一种,而是一种新型的独立的权利。首先,从权利内容上看,人格权的典型特征就是不直接表现为财产利益,而个人信息权的行使往往是为实现直接或者间接的财产利益。其次,从权利的表现方式来看,人格权一般都表现为消极的不受侵害的权利,相对人仅在法律规定的范围内负有不为一定行为的义务,而个人信息权在很多情况下都表现为该个人对其信息予以自由支配和控制的积极性权利,该个人得以完全基于自己的意思自由地行使该权利,该权利表现为确认、了解个人信息的存储、利用与流通情况,并排除第三人对信息的不法侵害。再次,从权利的行使情况来看,人格权是与人身密不可分的,人格权不能转让,不能作为交易的客体,而个人信息权的一个显著特点就是个人信息能够作为商业交易的对象,而且在市场经济条件下,个人信息的商业运用将成为个人信息权的主要实现途径。最后,从救济方式来看,对人格权的保护通常采用事后救济的方式来实现,而对个人信息权的保护是采用事前防范和事后救济相结合的方式来达到的。显然,个人信息权与人格权是不同的权利类型,尽管隐私权也是保护个人信息的,但隐私权所保护的个人信息范围非常有限,仅限于一些可能对本人造成损害的敏感信息,而且隐私权的保护仅仅是从精神利益角度出发所作出的规定,所以,以隐私权来实现对个人信息保护的设想是行不通的。那么,个人信息能否通过所有权的模式来保护呢?也不行,因为个人信息权与所有权毕竟是不同性质的权利类型。首先,从权利的设立目的来看,所有权是为确保权利主体对物本身的占有、使用、收益和处分,物本身就体现了所有权的价值,具有直接的财产利益。而个人信息权的设立则是为了保护个人信息不受他人的侵害,个人信息的商业化运用虽然也表现一定的财产利益,但个人信息的立法宗旨仍然是以保护人格独立和人的尊严为终极目标,个人信息的价值也具有不确定性,其价值的实现有赖于不同的商业运作模式。其次,从权利客体来看,所有权的客体为物,而作为个人信息权客体的个人信息则不具备物的一般特性。再次,从权利行使方式来看,所有权人在正常情况下都能够以自己的意思来直接实现对物的支配,而个人信息权人在很多情况下,要实现对个人信息的控制和管理,则必须通过请求他人为或者不为一定行为,如确认、了解个人信息的存储、利用和流通情况。最后,从侵害后的救济方式来看,所有权人可以通过行使物权请求权来恢复对物的支配,不受时效限制;而个人信息权人在受到侵害以后,只能够通过请求对方承担违约责任或者损害赔偿责任,不存在恢复原状的问题,而且受到时效的限制。

  个人信息权之所以是一种独立的权利类型,不仅因为其与所有权、人格权都存在重大差异,更重要的是,个人信息权形成了自己特有的权利内容。个人信息权的权利主要表现为:第一,个人信息决定权。指本人有权决定个人信息是否被收集与利用或者进行更新,以及个人信息在什么领域、基于何种目的、以何种方式被处理。第二,信息保密权。是指本人得以请求信息处理主体保持信息隐秘性的权利。对个人信息的保密途径一般来说有两种,一是自律,一是他律。他律是指通过政策、法律等消极手段间接地约束信息处理主体的行为,解决信息内容被截取或者泄露的责任分担问题。自律则是由信息处理主体主动采取保密措施来防止信息内容被截取或者泄露,为信息的收集和处理提供了安全的环境,自律是个人信息保密权得以实现的基础和保障。第三,信息查询权。是指个人请求信息处理主体告知对其个人信息进行收集处理的相关情况,有的学者也将其称为请求告知权 [5](P121)。信息查询权是个人信息权得以实现的关键所在,个人要实现对信息的支配和控制,必须首先了解哪些个人信息被收集,这些信息又是如何被处理和利用的,才可能知道这些信息是否保持完整,是否准确适时。第四,信息更正权。是指本人在发现其个人信息错误、不完整或者过时时,可以请求信息处理主体更正和补充的权利。一般来说,行使更正权的事由有三类,即信息不准确、不完整、不从新。我们此处的更正权包括了补充权。信息更正权中最有争议的就是个人信息中有关本人价值判断的内容,本人能否请求更正或者补充,从个人信息的客观性来看,有关个人价值判断的内容如果本人能够举出充分的相反证据,可以予以更正或者补充,但在没有充分证据的时候,是不能够变更或者补充的。第五,信息封锁权。是指在法定或者约定的事由出现时,本人得以请求信息主体以一定方式暂时停止信息处理的权利。第六,信息删除权。是指在法定或者约定的事由出现时,本人得以请求信息处理主体删除其个人信息的权利。信息封锁权与信息删除权存在许多相似之处,一般来说,个人信息不完整或者不准确,可以行使封锁权;而在个人信息收集目的实现的情况下,则可以行使删除权。第七,信息报酬请求权。是指本人在因其个人信息被收集、处理与利用的情况下的一项信息处理主体请求支付对价的权利。

  综上所述,个人信息权不仅不能归入人格权,也不能够归入物权的范畴,个人信息权在权利属性上看,是一种独立的复合性权利,具有人格和财产的双重属性,而且已经形成了自己独有的权利内容,应以民事特别法的形式对之予以保护。

      二、个人信息商业运用的现状

  个人信息商业运用的前提是个人信息的收集,个人信息的收集按照收集的主体,可以分为“公的部门”的收集即由国家机关为主体进行的信息收集,和“私的部门”的收集即由非国家机关为主体进行的信息收集。由国家机关进行的信息收集活动一般是由国家机关依职权或者执行国家公共事务的需要按照规定程序进行的,在此我们不作讨论(注:当然,对于国家机关所收集的个人信息也存在如何合理使用的问题。2003年5月8日《南方周末》法治版刊载了一篇《建行贿人资料库供招标方遏腐败——宁波检察院悄砸行贿商饭碗》。在该篇报道中,宁波市北仑区检察院率先建立了建筑行业的行贿人员“黑名单”,“黑名单”中既包括已经被判行贿罪的行贿人,也包括虽未判刑,但行贿数额巨大的人员,甚至将那些检察机关已经掌握行贿事实,但本人还未交待或者拒不承认的人员也列入其中,这些对于行贿人来说都是保密的,也就是说这些个人信息是通过间接的方法获得的。北仑区检察院使用这些个人信息为社会提供“诚信咨询”,招标单位可以事先向其咨询投标人是否存在行贿的污点,检察院将审查结果予以反馈;对长期与该院合作的国家机关或者特大型国企提供部分行贿人名单;还对反贪部门以及有关的法纪部门的侦查行为提供必要的资料帮助。这种做法迅速在宁波市检察院系统推广,并将范围扩大到医药行业和政府采购领域。本来检察机关为了预防犯罪在其权限和工作必须的范围内收集、利用个人信息是法律所允许的,但其扩大个人信息的使用范围,虽然在目的上是为了遏制腐败行为,但毕竟是在无法律依据的情况下凭借公权力介入私法秩序,这种行为本身值得商榷,同时反映出我国个人信息合理运用的法律问题亟需解决。)。个人信息的商业运用主要发生在由非国家机关收集个人信息的场合。非国家机关收集个人信息一般都是出于营利目的,非国家机关收集个人信息的营利性就决定其可能在商业利润的驱使下肆意收集、传输个人信息而践踏个人信息权。为规范非国家机关的信息收集行为和信息利用行为,就需要对非国家机关的信息运用情况有一定的了解。下面就目前几个典型的涉及个人信息收集和运用的非国家机关对于个人信息的收集和运用情况予以介绍。

  第一,网络商家对于网民个人信息的收集和处理。无论是在线电子交易还是传统商务经营,企业在激烈的竞争中都学会一项关键的营销策略,即锁定顾客群体,提供个人导向服务,巩固消费者与商家自身之间的关系与忠诚度。网络空间给商家们提供了方便快捷、成本低廉的收集顾客个人信息和挖掘潜在顾客群体的平台。经营者收集个人资料的方式基本上有两种:一是消费者主动提供个人信息,二是消费者并没有主动提供信息,是由网络商家利用信息技术在消费者不知情的情况下收集个人信息。消费者主动提供个人信息,通常是商务网站以登录网站、加入会员的例行程序或者提供优惠等方式要求消费者提供个人信息,消费者一般有选择接受或者拒绝的权利(注:这种方式从程序上看,虽然是尊重了消费者的意愿,属于个人信息的合理收集,但不排除有些网络商家在收集过程中,可能会采取一些隐蔽性的欺骗手段;或者虽然赋予消费者选择接受或者拒绝的权利,商家有时候会通过文字游戏使得消费者忽略该项权利的行使,以默示推定或者行为认可的方式来视为其已经接受;或者收集的信息的使用超越事先承诺的范围,这都在事实上对个人信息权造成侵害。)。个人信息权遭受侵害的最大威胁就是商家未经消费者的同意而利用信息技术收集个人信息的情况,此时的个人信息完全处于失控的状态。目前,网络商家经常通过“网络小甜饼”(cookies)及其他一些追踪软件,来追踪消费者的网上行为,收集其个人兴趣和偏好。利用cookies技术,网站的服务商能够在消费者访问网站时,在消费者的电脑中以文本文件的形式设置信息代码,该信息代码对于每一个上网的消费者来说都具有唯一性、识别性,而且只有网站服务商才能够识别。只要消费者随后再次访问该站点,就可以被识别出来。网站还可以通过隐藏的导航电子软件收集被访问网站的信息,包括哪些网站被访问,哪些信息被下载,哪种类型的浏览器被使用,以及消费者所上过的网站网址 [6](P95)。通过网站所记录的这些信息,我们就能够知晓该消费者的e-mail、ID号码、消费习惯、阅读习惯等兴趣和爱好,甚至可以知晓其信用记录和通信记录,进一步核证其交际范围和能力。信息社会中,个人信息是有价的,个人信息的交易也日渐成为一件有利可图的事情,有些网络商家除了将这些信息作为自己广告宣传和营销的资源外,还可能将这些资源作为交易的对象。对商家来说,谁掌握的个人信息越多,谁就拥有越多的潜在消费者。因此,众多商家普遍存在“信息饥渴症”,不惜通过各种手段来窃取或者购买他人的个人信息。而通过网络可以低成本获得个人准确而详尽的信息。商家往往对个人信息进行仔细的分析,然后有的放矢,甚至有可能采取有差别的价格,把无差别的产品卖给不同的顾客,如果对这类现象不加以规范,低成本、高利润的引诱就会使越来越多的商家效仿,个人信息权就无法保障,我们就要遭受大量垃圾信息的干扰。由于个人信息的充分暴露,商家对你的消费情况了如指掌,有时还会使个人遭受网上歧视。当网上企业知道消费者的消费历史和习惯时,便可以选择性地服务某些消费者。比如,当网上销售商通过你的个人信息查知你并不是一个十分阔绰的消费者时,他们会先服务其他人,而要你在客户服务热线上久等,你甚至对这种不公平待遇全然不知。有的网络商家就根据他们所收集的客户信息,把客户分成不同等级,而最低等级的客户就只能最后得到服务。

  第二,医院在提供医疗服务的过程中,收集了大量关于生理、疾病、生育等方面的个人信息。我国现行法律、法规对医疗机构如何处理和对待患者的个人信息缺乏系统完善的规范,仅一句概括式的宣传意义上的“为患者保密”,这是远不能适应信息社会发展需要的。尤其是在现代社会,医疗技术日益发达,有些医疗技术的实施可能会影响人伦关系,如人工授精技术虽然解决了因生殖能力所带来的困扰,但同时也引发了人工授精子女日后可能因为寻找生理父亲所可能引发的一系列人伦和法律问题,如实施人工授精技术的医疗机构应该如何记录和保存该信息,哪些相关人员可以查阅有关信息,由信息泄露所导致的损害应该向谁进行赔偿,由谁进行赔偿,如何赔偿,这些都需要进行规定。再如,现在许多人进行美容整形手术,还有的甚至进行变性手术,实施这些手术的机构是否应该对这些信息进行保密,采取何种措施在多大范围内进行保密,都是亟需进行研究的问题。现在比较普遍存在的现象是医疗机构将患者的个人信息卖给药商、保险公司,有的医院将产妇的信息出售给婴儿用品公司、奶粉代理商等,获得这些信息的商家还可能将这些信息再次整理出售给各级教育培训机构以及与孩子成长各个阶段密切相关的各个商家,个人信息的价值得到了最大限度的挖掘,而我们个人的正常生活将因此受到无穷的干扰。

  第三,金融机构和电信机构也是个人信息的汇集地。为保护金融活动参与人的利益,《储蓄管理条例》、《信用卡业务管理办法》、《网上证券委托暂行管理办法》等相关法规都对金融机构的个人信息保密义务作了相应的规定。但这些规定都缺乏操作实效,这些义务的履行有赖于金融机构业务流程的规范,金融工作人员即使泄露信息,也无法查证,而且当事人也很少对金融机构的业务活动是否侵犯其个人金融信息提出疑问。电信机构为社会公众提供各种电信服务项目,事关通信的机密性,如果电信机构对服务客户的通信进行收听、窃听、存储或者其他形式的监听或者监视,将会对客户的隐私构成巨大的威胁,有时甚至会被有些商家作为不正当竞争的手段使用,比如,某些关键性的电话谈判,就可能被竞争对手通过监听的办法截取,从而先发制人。

  综上所述,我国个人信息的商业运用尚无相关法律法规有效规范,对个人信息权的保护构成巨大的威胁。

      三、个人信息商业运用的法律保护

  从目前个人信息商业运用的现状来看,可从以下几个方面入手,加强对个人信息商业运用的法律保护。

  首先,个人信息商业运用的法律保护离不开专门法律的调整,当务之急就是制定个人信息保护法。个人信息保护法的立法原则必须遵循信息社会发展的规律,在保证个人信息自由流通的前提下,对个人信息的商业运用加以合理的限制。很多国际组织认为,个人信息保护原则是个人信息保护法的核心内容(注:经济合作与发展组织理事会于1980年9月23日通过《关于隐私保护与个人信息跨国流通的指针》,以及联合国于1990年12月14日通过的《关于自动信息档案中个人信息的指南》中都持这种看法。)。个人信息的保护原则的重要性可见一斑。综观世界个人信息立法较为完善的美国、德国,个人信息的立法一般来说应坚持以下几个原则:第一,直接原则。即个人信息的收集原则上应坚持向本人收集,间接获得的个人信息具有获得上的不正当性,不能够被利用和处理。第二,目的明确原则。指个人信息收集和利用时必须有明确目的,禁止公务机关和非公务机关超出目的范围收集、储存和利用个人信息。第三,安全保护原则。指个人信息的收集和利用主体必须采取相应措施保护个人信息的安全,避免可能发生的个人信息的泄漏、意外灭失和不当使用。第四,公开原则。指对个人信息的收集、利用和处理,一般应保持公开,本人有权利知悉个人信息的收集、利用和处理情况。第五,耕种原则。指为了保护个人信息的完整和正确,本人有权利对个人信息进行适时修正。个人信息保护法还必须明确保护对象,如1990年德国资料法第3条第1项规定:“个人资料是指可以直接或者间接识别自然人的任何资料”。该条规定就将个人资料保护的主体限定于自然人范围,排除了法人和其他组织。我国个人信息保护法的保护对象也应仅限于自然人(注:仅限于自然人的规定,从表面看起来非常简单,事实上有关自然人的问题还很多,比如,自然人是否包括死者,是否包括胎儿,以及以后可能出现的克隆人等。),有关法人或者其他组织的信息可以通过商业秘密法和反不正当竞争法予以规制。有关自然人的个人信息应该区分琐细个人信息和敏感个人信息,并针对各自不同的特点规定不同的收集、利用和处理模式。个人信息法规范的重点应该在于信息收集人、处理人和利用人的权利义务、个人信息权人的权利义务、责任追究机制和赔偿标准以及个人信息商业运用的监督机制。

  其次,加强业界自律。法律尽管可以规定个人信息应该如何被合法收集和运用,但法律只能够起到外部约束的作用,很多情况下,侵犯个人信息权的行为仍然防不胜防。ISP业者、征信者、直销业者以及其他销售业者等涉及个人信息的行业可以通过订立行业成员应遵守的收集个人信息应该遵守的行为标准和同业惯例,鼓励行业成员与消费者个人达成信息处理的契约,根据行业惯例,行业成员应该措辞清楚地在网页或者明显的位置公开其信息收集的原则,或者张贴有关的隐私政策,并明确告知个人信息收集和使用的目的,使消费者可以明确自己的信息将得到如何的保护和处理,再来选择是否提供个人信息。业界自律可以通过取消成员资格或者某种具有商标性质的认证来作为督促或者惩罚手段,来达到约束行业成员自觉遵守个人信息保护的目的。

  再次,可以借助市场机制的作用来缓解商家和消费者在个人信息权上的激烈矛盾。由于个人信息保护法实行的是直接原则,未经消费者同意,商家是不能够收集消费者的个人信息的,然而要直接取得消费者的同意是非常困难的,消费者没有义务来配合商家的任何商业目的的实现。例如,某全球性公司在一次直销活动中,消费者最高的回复率仅为52%,且是在以免费电影票吸引消费者回函的情形下才得以达成的(注:详见王郁琦:《“电脑处理个人资料保护法”与个人资料的商业利用》注释7,载《信息法务透析》1996年3月。)。所以,商家可以通过提供一些诱因,来吸引消费者提供个人信息,如提供免费阅览、提供赠品等方式来换取消费者个人信息。在此种情况下,消费者可以认识到自己的个人信息是有经济价值的,是否通过提供个人信息来换取利益,由自己衡量得失后作出决定。比如,欲出售订户名单给广告业者作邮寄名单的杂志社,就可以拟定两种不同的订阅费率供消费者选择:一种属于正常费率,适于要求对个人信息予以保密的订户;一种是较正常费率更为优惠的费率,适于同意将个人信息作商业利用的订户。如果订户觉得两种费率的差价利益大于因信息作为商业利用可能带来的不便,那他就会选择后一种优惠费率。相反,如果经验告诉消费者,个人信息的商业利用会给自己带来无尽的烦恼,也就是说,信息收集主体没有严格按照承诺兑现隐私政策的话,那么,消费者就可能放弃这些优惠而选择保密个人信息,这样就不利于信息的自由流通。市场机制的采用一方面有助于克服信息收集的程序困难,同时也给商家提出了更高的要求,必须执行严格的隐私政策,才能带给消费者实际利益并在优胜劣汰的竞争中生存下去。

  最后,必须对消费者进行自我保护教育。通过宣传和示范,让广大的消费者树立个人信息保护的观念。在购物时,商家时常要求我们填写一些有关个人信息的卡片,如姓名、住址、联系电话等,有的商家甚至要求登记信用卡号、银行账号等,并引诱你说是为了便于参加抽奖或者累积积分换奖。此时我们一定要提高警惕,谨慎控制个人信息,要在详细了解该商家所执行的隐私政策,并确认自己所提供的个人信息能否得到保护的前提下再决定是否提供相关信息。尤其是在网上购物时,尽量选择访问个人信息保护比较完善的站点,不轻易泄露个人信息,尤其是信用卡号、银行账号以及手机号码,能够匿名的尽量匿名,能够设置密码的一定要加密,条件允许的情况下,还可以通过采用先进的信息技术建立个人信息的防护屏障。在发生个人信息被侵犯的情况下,要积极主张权利,从而推动个人信息权保护的进程。

 
 
 
注释:

     [1]张淑奇,王齐庄.电子商务环境的信息系统[M].武汉:武汉大学出版社,2000.
  
     [2]汤擎.试论个人资料与相关的法律关系[J].华东政法学院学报,2000(5).
  
     [3]王郁琦.NII与个人数据保护[J].信息法务透析,1996(1).
  
     [4]齐爱民.个人资料保护法原理及其跨国流通法律问题研究[M].武汉:武汉大学出版社,2004.
  
     [5]许文义.个人资料保护法论[M].台北:三民书局股份有限公司,2001.
  
     [6]屈茂辉,凌立志.网络侵权行为法[M].长沙:湖南大学出版社,2002.
  
     [7]王郁琦.“电脑处理个人资料保护法”与个人资料的商业利用[J].信息法务透析,1996(3).
相关法律知识
咨询律师
孙焕华律师 
北京朝阳区
已帮助 42 人解决问题
电话咨询在线咨询
杨丽律师 
北京朝阳区
已帮助 126 人解决问题
电话咨询在线咨询
陈峰律师 
辽宁鞍山
已帮助 2475 人解决问题
电话咨询在线咨询
更多律师
©2004-2014 110网 客户端 | 触屏版丨电脑版  
万名律师免费解答咨询!
法律热点