对于个人信息保护立法,欧盟采取了“‘指令’[5]+成员国立法”的“国家主导模式”,美国则采取了“补充已有法律(主要是隐私权保护法律)+行业自律”的模式。国内学者对这一问题的研究已持续10多年,主要成果包括三个方面:一是我国个人信息保护的法律基础理论研究,[6]二是关于个人信息保护法的专家建议稿,[7]三是对个人信息保护的一些具体制度(如网络实名制)的研究。[8]从立法进展看,我国也制定了一些规范性文件,对个人信息保护问题进行了原则性和框架性的规定,但尚未构成体系化的个人信息保护法律制度。
(一)隐私权的法律保护
1.隐私权被确认为人格权
2.隐私利益保护的主要法理
资产阶级革命带来的人文主义和自由主义思想,工业革命和电气革命催生的物质文明,都使得隐私的观念率先在西方社会深入人心,并形成了两种不同的隐私文化。总体上来说,美国从自由的角度理解隐私,而欧洲大陆将隐私保护植根于人格尊严之上。耶鲁大学惠特曼教授也认为两者的隐私制度拥有两种不同的价值核心:“一方面是主要被大众媒体威胁的个人尊严利益,这属于欧洲;另一方面是主要被政府威胁的自由利益,这存在于美国。”[19]
在美国,基于特殊的独立和建国历史,长期以来政治和社会理念主要围绕着对警察和其他政府官员的不信任循环而展开,[20]其隐私观念也就更多地体现在对禁止国家侵扰这一消极自由的追求,许多美国学者以《1984》中老大哥监控下的恐怖集权政府形象,强调隐私保护的的重要性。法律为个人提供隐私保护,个人得以从公共生活和公众视线退出,在日益扩张的公权力之下和日益紧张的社会生活中仍然享有独处的时空,个人可以真实地生活,发展个性而不受他人支配和操纵。“隐私是人类价值的缩影,这些价值可以概括为‘个人自决’、‘个性’和‘个人人格’。”[21]借由隐私权的保护路径,不仅促成了个人的独立自主,也有助于民主社会的维持和国家权力的限制。
欧洲大陆历来有维护人格尊严的传统,只不过早期对人格尊严的维护限于贵族等少部分人。随着人文主义思想的传播,对于人格尊严的保护才逐渐及于每一个社会成员。二战后,对纳粹践踏人类尊严的沉痛反思促使其将人格尊严作为法律体系的核心价值和伦理基础。与美国保护隐私利益的法理相比,欧洲大陆更多地从人格尊严的角度确认对个人私生活的保护的必要。“当我们的隐私被非法地暴露于公众面前时,我们的自尊也被摧残了,我们与他人之间的关系也受到了损害,这就是法律为什么要保护隐私的原因。”[22]
(二)隐私权保护的利益衡量
知情权是个人对公共事务及与自己有关或感兴趣的事务接近和了解的权利,包括知政权、社会知情权和个人信息知情权。[23]
个人一方面不希望自己的私生活被他人知悉或干涉,同时又渴求自己可以获得和知悉尽可能多的信息以满足其政治和精神需求。隐私旨在保护个人从公共生活和公众视线中退出的自由,其所涉及的是与社会公共利益和群体利益无关的私人生活,“公共领域和私人领域之间的区分是构建隐私权法的核心”。[24]当知情权的内容涉及到社会公共利益或者公众的合理兴趣时,法律认可此种社会公共利益相较于个体隐私利益的优越性,公众的知政权和社会知情权分别构成了对
国家官员隐私权和社会公众人物隐私权的限制。隐私权和个人信息知情权之间的冲突多发生在具有某种事实上或者法律上特别关系的个体之间:一方个人信息知情权所要了解的对象正是另一方隐私权所要保护的对象。此时法律通过权利协调原则,认可个人了解与其自身有关的事务的权利的正当性,但同时要求个人信息知情权人不得再行披露他方当事人的隐私,以保护隐私权人。
言论自由也称言论和表达自由或表达自由,指公民有权以语言或者其他任何方式表达思想,其核心为“人人有主张及发表自由之权。”[25]同时,作为实现表达自由的途径,法律还必须确保个人获取和传播信息的自由,言论自由和知情权相互依赖、相互促进。
隐私权、知情权与言论自由同是个人享有的基本权利和自由,都为维持个体的人格尊严和自由、增进民主社会的多元化所必须,面对不同个体在基本权利和自由之上的冲突,国家作为超然于个体权利冲突之外的中立第三方,以立法和司法裁判的方式进行利益冲突的协调。一方面,隐私权逐渐上升为一项绝对性和对世性人格权的过程意味着其得到了以法律形式体现的国家意志的认可;而与此同时,为协调隐私权与知情权、言论自由之间的冲突,法律同样认可社会公共利益构成对个人隐私权的合理限制,当知情权、言论自由符合社会公共利益旨趣时,新闻价值、公共人物等限制构成对隐私权侵权的有效抗辩。
在隐私权制度设计时,主要需要平衡的只有一对利益矛盾,即隐私权主体(个人)的隐私利益(也可以表达为人格自由与人格尊严方面的人格利益)与他人(即负有消极不作为义务的其他自然人、法人或者其他组织)的言论表达自由、知情权等利益的冲突。国家基本上处于一个超然于双方利益矛盾的中立地位,以社会管理者身份,通过制定法律和实施法律调整矛盾双方的利益关系。国家调整这一利益关系的主要手段就是“公共利益”规则的适用:凡不涉及公共利益的个人隐私,受到保护;凡涉及公共利益的隐私,或者不予保护,或者受到限制。
(一)个人信息的法律保护
随着个人信息处理方式的数字化转变,人们在享受信息数字化带来的诸多便利的同时,也面临着个人信息数字化带来的风险。近半个世纪以来,有关个人信息保护的立法已经成为全球范围内最为瞩目的立法运动之一。到目前为止,全球已经有90多个国家制定了个人信息保护法。在应对现代化方式进行个人信息收集和利用行为时,欧洲大陆国家进行了专门性立法的尝试,对个人信息的收集和利用行为加以规范,以弥补其隐私保护的不足。1970年德国黑森州制定的《黑森州数据法》是世界上第一部专门性个人数据保护法;1973年的《瑞典数据法》是世界上首部全国性的个人数据保护法;1977年德国也制定了全国性的《联邦数据保护法》;1978年法国通过了《信息、档案与自由法》;1984年英国在争议中通过了《英国数据保护法》。这些国家的个人数据保护立法对后来整个欧洲的数据保护产生了广泛而深远的影响。1995年欧盟通过《个人数据保护指令》,也采取了个人数据保护统一立法模式。[27]在欧盟的强大实力影响下,该指令对于全球范围内的个人信息保护立法都有实质影响。
而美国在其隐私保护较为完善的法律体系之下,对个人信息保护问题,最初是通过“信息控制权”理论修正其隐私权概念,为个人对其信息的积极控制提供支持。“水门事件”的曝光,触动了美国社会对于警察政府的敏感神经,催生了1974年《隐私法案》。
该法强调联邦政府对个人信息收集和利用的公平性和正当性,也促使联邦政府为公民个人信息提供积极保护,避免不当披露或滥用侵害个人隐私。在私人领域,出于对市场调节的信奉和支持信息技术发展的考虑,美国采取了“零售式”分散立法模式,针对特定行业或领域内的个人信息收集和利用问题单独立法。[28]
伴随着信息化进程的推进,我国法律对个人信息保护与利用问题也作出了回应。2000年12月28日,全国人大常委会《关于维护互联网安全的决定》是我国以法律规范互联网的开端,该决定将信息安全视为互联网安全的重要内容,采取刑事制裁手段维护信息主体权利,其中第4条规定“非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密”可构成犯罪;2012年12月28日,全国人大常委会通过《关于加强网络信息保护的决定》,其中第1条明确规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,并遵从国际惯例规定了多项个人信息保护和利用的基本原则。在部门法方面,2005年2月28日,全国人大常委会通过《刑法修正案(五)》,新增“窃取、收买、非法提供信用卡信息罪”;2009年2月28日,全国人大常委会通过《刑法修正案(七)》,新增“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”;2009年12月26日颁布的《侵权责任法》规定了对隐私权的保护及网络侵权责任;2013年10月25日修订的《消费者权益保护法》也对消费者个人信息保护给予重视。[29]
(二)个人信息保护与利用的利益衡量
20世纪中叶以来,以微电子、电子通讯和计算机等技术为核心的信息技术浪潮引发了新一轮技术革命,推动人类逐渐迈进信息社会。随着社会信息化进程的推进,信息以前所未有的速度和广度被开发利用,信息成为和物质、能量同样重要的资源,整个社会对于信息的依赖和利用需求增强;个人信息的利用在增进社会福祉的同时,也可能引起信息主体的权益受到威胁和侵害,由此催生了个人信息保护的需要。这样的需要体现着各方主体的利益。面对多元化和冲突化的各种利益,法律是在无限需求和有限资源之间寻求平衡的最佳机制,通过立法利益衡量实现对不同利益上下位阶的合理安排。
1.个人信息价值分析
(1)人格尊严和自由价值
个人信息是“可以识别个人身份的信息”,作为个人人身、行为状态的数据化表示,是个人自然痕迹和社会痕迹的记录。个人信息指向信息主体,能够显现个人的生活轨迹,勾勒出个人人格形象,作为信息主体人格的外在标志,形成个人“信息化形象”。在信息社会,人们也已经习惯以个人信息化形象指代真实个人。在现代信息技术之下,几乎所有的个人行为都会留有信息痕迹,这些信息痕迹关涉个人生活的方方面面,实现了对个人从摇篮到坟墓的全程记录;现代化信息技术也可以实现对个人碎片化信息的整合,随着信息质和量的累积,碎片化的个人信息逐渐形成个人的“人格剖面图”。马斯洛在其需要层次理论中指出,“人格标识的完整性与真实性是主体受到他人尊重的基本条件”。[30]个人作为目的性的存在,只有消除个人对“信息化形象”被他人操控的疑虑和恐慌,保持其信息化人格与其自身的一致性而不被扭曲,才能有自尊并受到他人尊重地生存与生活。因此,个人信息对于信息主体的人格尊严和自由价值,应当是个人信息保护立法中首要考虑的因素。
(2)商业价值
个人信息对于整个商业环境的健康运行也至关重要。市场经济是信用经济,社会再生产过程的全部联系都以信用为基础,信用已经成为维护市场秩序和经济发展的关键要素。在信用经济的大背景之下,建立健全完善的社会信用体系关系到整个社会的经济运行,而这显然离不开全国甚至全球范围内大规模的个人信用信息的收集、处理和利用等活动。
伴随着整个社会信息化进程的发展,信息资源成为重要生产要素、无形资产和社会财富,信息化与经济全球化相互交织,推动着全球产业分工深化和经济结构调整,重塑着全球经济竞争格局。[31]我国作为信息化的后起国家,在赶超世界信息化进程时,不论是传统产业信息化改造、传统服务业转型和信息服务业的发展都需要从整体上提高信息资源的开发利用水平,促进个人信息的开发利用当属应有之义。
(3)公共管理价值
正所谓“欲得民必先知民”。为实施社会管理和提供公共服务,收集和利用个人信息,是自古以来政府都普遍采用的做法。人口普查作为各国政府各个时期获取人口资料、掌握国情国力最基本的调查方法,已经有几千年的历史。[32]信息社会中,借助于现代信息技术,政府可以更加充分地发掘个人信息的公共管理价值。信息技术与统计学、数据分析技术的结合,政府可以低成本地收集和存储更多的个人信息,为确定社情民意提供更广泛的分析样本;通过对个人信息的处理和利用,政府也可以实现科学和理性决策,更好地推进公共管理和公共服务。“数字政府”在“责任政府”和“服务政府”的基础上已经成为现代政府的基本标志。[33]公共秩序、公共安全和公共福利的推进,都离不开以个人信息为基本单位的数据库的支撑。
推行电子政务一直是我国信息化发展的战略重点。自上世纪70年代以来,我国就开始探索计算机在国民经济、人口、社会等方面的统计应用。2002年,我国将国家人口基础信息数据库列为国家电子政务重点建设的四库[34]之一。十多年来,我国政府数据库建设工作卓有成效,以公安部所掌握的个人信息数据库类型为最多,包括人口信息管理系统、出入境/证件信息数据库、全国违法犯罪中心、DNA数据库等;另外,国家统计、社会保障、税务等多个管理部门也建立了相应的个人信息数据库。2004年起,我国着手推动人口基础信息共享工作,整合政府部门的人口信息资源,以公安部门的人口信息为基础,逐步融合计划生育、统计、民政、社会保障、税务、教育等部门的信息资源。《2014联合国电子政务调查报告》显示,我国的电子政务发展在全球排名第70位,[35]处于中等水平。而进一步推动我国数字政府建设,必然离不开对个人信息资源的充分正当利用。
2.个人信息保护与利用的利益识别
“立法是认识利益、表达利益的过程。要调整好各种不同的利益,首先要了解和认识利益。”[36]利益衡量以利益识别为起点,围绕着“个人信息资源”的保护与利用存在如下主要的利益需求:
(1)信息主体对个人信息的保护需求
个人信息承载信息主体的人格利益,本诸于人的自由与尊严,信息主体要求法律对其此种人格利益予以保护,而不能以纯粹物质化的思维来看待个人信息。一方面,其他个体对侵害私人生活秘密的可能性仍然存在(这与隐私保护所面临的问题是相同的),并且因为网络环境的虚拟性和网络传播的便捷和广泛性,个人的隐私保护需求更加强烈;另一方面,现代信息处理技术之下,个人信息所蕴含的公共管理价值和商业价值,将成为公私机构不当收集、处理、利用和传输个人信息的巨大诱因。并且,此种信息不限于传统隐私权之下的私人生活秘密,而且及于个人所有具有可识别性的信息。相较于传统隐私权个人个体化的隐私保护诉求而言,个人对其个人信息的保护诉求更为强烈和普遍,并且已经上升为普遍的社会问题。
(2)信息业者对个人信息的利用需求
伴随着社会信息化的进程,信息业者大量出现:不仅传统产业经营者通过大量收集和处理个人信息提高营销回应率、把握市场需求,而且出现了专门以信息的收集、处理、储存、利用和传输为主要业务的信息服务提供者。在传统隐私权保护中,对于他人隐私的披露或利用是否正当,是通过知情权、言论自由等与隐私权之间的冲突在具体个案中进行利益衡量,对他人隐私资料的“利用”并未得到社会的普遍认可;而在信息社会,信息业者对个人信息收集和利用的正当性已经得到了立法和社会的普遍承认,促进个人信息的合理利用与保护个人信息是同等重要的立法追求。信息,包括个人信息的可利用性,带来了人类社会前所未有的商业机会。把握这一商业机会,创造更多财富,是信息业者的基本利益需求。
信息业者并不能一味追求个人信息最大限度的利用,适当水平的个人信息保护也符合信息业者的利益。只有在个人信息能够获得适当保护时,才有可能培植消费者的信任,作为消费者的个人才能放心提供其个人信息,整个商业领域内个人信息的利用才得以进行。同时,个人信息法律保护也是为信息业者收集、存储、处理、利用和传输个人信息活动设定正当性守则,维护信息业者之间的正当公平竞争,避免不当竞争造成劣币驱逐良币的不良效应。
(3)政府对个人信息的利用需求
政府一直是最大的个人信息收集、处理、储存和利用者,可以说,政府公权力所及之处必然涉及上述个人信息的收集、处理和利用。不同于传统隐私权保护中政府超然的中立地位,在个人信息保护和利用中,政府积极加入其中,具有了利用者和管理者的双重身份角色:一方面,政府作为社会管理和社会福利的承担者,公共安全、公共管理和公共福利的推进都离不开对居民个人信息的掌握;另一方面,出于对行政效率的追求,也会不断促使政府积极探索个人信息利用的限度和价值。
与此同时,政府作为国家政权的承担者,负有保护公民基本权利和自由的责任。“人权是我们时代的观念,是已经得到普遍接受的唯一的政治与道德观念。”[37]政府不能无节制地肆意收集和利用个人信息,个人信息法律保护制度的发展始终伴随着对政府权力的限制。这是因为个人信息法律保护制度的构建不仅是对公民提供保护,而且是为维护政府自身政权合法性所必须。宪法中确立的人权保障原则,需要部门法予以实现:国家通过立法对政府自身和信息业者的个人信息收集、处理和利用能力进行限制,确保本国的人权保护水准,维持自身政权的合法性;同时来取一切必要手段,包括法治、技术和物理措施保障个人信息的安全。
3.个人信息保护与利用的利益衡量
三、“两头强化,三方平衡”理论的提出
(一)“大数据”之下个人信息保护与利用多赢的新思维
面对利益的多元化及其冲突化,需要借助立法的利益衡量实现对利益关系的调节,使得各个利益主体能够各得其所、各安其位。立法者的利益衡量需要遵循一定的价值导向指引。除了法律普遍适用的公平正义观之外,社会发展所处历史阶段的制约因素实际上构成了影响立法者利益衡量的首要指标。
近20年来,商务智能、社交网站、无线传感器、云计算、语义网等新技术的应用渐次普及,数据呈现爆炸式的增长和累积,大数据[39]成为现实。美国技术活动家尼古拉斯·尼葛洛庞帝教授在《数字化生存》将这一阶段称为“后信息时代”。信息技术推动网络发展,将人们的生活空间从物理空间拓展到电子空间、数字空间,并将逐步造就一个虚拟世界。[40]互联网改变了人们的表达方式和识别方式。在网络世界里,个人的任何行为都会留下“数据痕迹”。将数据挖掘、整合和分析技术应用于“数据痕迹”,聚合的数据痕迹带来的“隐形”数据和隐私暴露问题,使得后信息时代个人隐私保护面临更多的威胁,个人信息保护更为急迫。另一方面,在后信息时代,时刻都有大量数据产生、流动,数据已经是直接的财富和社会资源,借助数据技术的应用,可以发现新的知识、创造新的价值,实现从数据到知识、从知识到行动的跨越,公私领域对于数据利用的需求也比以往任何一个时代更为迫切。
数据隐私问题也成为数字经济时代的顶层问题,[41]问题解决的关键仍然在于个人信息保护与利用的利益衡量:信息业者和政府作为新的利益主体代表了利用个人信息的利益诉求,构成利益衡量的一个维度;而传统隐私权保护问题仍然存在并更加紧迫,切实保护个人隐私构成了利益衡量的另外维度。在个人隐私保护和个人信息利用都亟待强化的需求格局下,可行的方案是以一定标准实现对个人信息的区别保护和利用,从而实现保护和利用的多赢。
(二)“两头强化,三方平衡”理论的内涵
1.两头强化
“两头强化”是指建立“个人敏感隐私信息”的概念,在个人敏感隐私信息与个人一般信息区分的基础之上,通过强化个人敏感隐私信息的保护和强化个人一般信息的利用,调和个人信息保护与利用的需求冲突,实现利益平衡。
区分不同的个人信息以划定保护和利用程度的不同,在个人信息法律保护中并不陌生。1981年欧洲理事会《有关个人数据自动化处理之个人保护公约》第6条[42]首次确立了特殊类型的数据保护制度,原则上禁止该类数据的收集和利用,该制度也为之后的欧盟《个人数据保护指令》所沿用。[43]另外,在欧盟成员国之外,瑞士、挪威、冰岛、加拿大以及我国澳门、台湾地区的法律也存在禁止或限制处理特定类型信息的规定。2003年,由周汉华教授起草的我国《个人信息保护法(专家建议稿)》对敏感个人信息问题进行了深入研究,但最终未采纳敏感信息概念,“原因在于域外立法中提及的敏感的个人信息所包含的范围非常广泛,但其中很多不适合我国国情。”[44]
“资料敏感性的高低不同,资料处理对个人资料隐私造成风险的大小也各异。”[45]特殊类型数据的概念旨在服务于其规则适用,特殊类型数据与一般数据区别的目的在于适用不同的保护和利用规则,预警某些特殊类型的个人信息需要法律的特别保护,同时给其他个人一般信息的利用松绑,更好地调和个人信息保护与利用的利益冲突。不同类型的个人信息对于实现主体的利益需求的影响不同,以此为导向对个人信息加以类型化,实现个人信息保护与利用中多方主体的利益平衡。笔者认为,我国未来个人信息保护法应当以“个人敏感隐私信息”概念对个人信息进行类型化区分。
(1)强化个人敏感隐私信息的保护
(2)强化个人一般信息的利用
2.三方平衡
四、“两头强化,三方平衡”理论的实现
(一)作为我国个人信息保护立法的理论基础
就个人信息的立法模式而言,存在着欧盟和美国两大立法模式。美国采取经营者自律模式与其原有的隐私法律保护比较完备有关,欧洲采用国家(政府)主导的立法模式则与其立法传统有关。而我国目前隐私权保护的一般制度尚未全面建立,有关个人信息保护的法律规定零散混乱,有必要制定一部全面的个人信息保护的法律,对个人信息保护与利用的基本问题加以规范。
“法律的主要作用之一就是调整及调和种种相互冲突的利益,无论是个人的利益还是社会的利益。”[50]在现代国家体制下,利益衡量应当主要是立法的工作,解决规范背后的利益冲突的体系构成法的内在体系,[51]能够担纲个人信息保护法立法理论基础也必然是旨在调和个人信息保护与利用中多元利益冲突的利益衡量问题。
(二)确立国家主导、行业自律与个人参与的法治模式
1.国家主导
2.行业自律
3.公民参与
(三)信息业者实名制和网络用户真实身份可查验制
为净化网络环境和维护网络安全,我国逐步从电信增值服务提供商、网络服务提供者实名制[57]推广为全网用户实名制,以加强网络环境管理。[58]对电信增值服务提供商、网络服务提供者等信息业者的实名制为管理应有之义,其必要性与正义性是显然的;而全网用户的实名制引起了较大争论。笔者认为,切实落实信息业者的实名制和合理构建用户真实身份可查验制,最终将助力于公民个人信息的保护和利用。
1.信息业者实名制
2.用户真实身份可查验制
(四)强化国家对个人信息的保护与利用的双重职能
(五)信息业者:去个人化的信息处理与利用
去个人化会引起经营者的信息处理成本小幅增加,但去个人化之后个人信息处理、传输和利用不当的风险将显著降低,能够避免信息主体可能遭受的直接识别的侵害,对信息主体具有积极意义,也是最大限度地在业者和信息主体之间实现个人信息的保护和利用需求。
(六)个人:未成年人和敏感隐私信息的特殊保护
1.强化对未成年人信息的保护
根据中国互联网络信息中心发布的《2013年中国青少年上网行为调查报告》显示,截至2013年12月,中国未成年网民规模达1.4亿,在整体网民中的占比为22.65%,互联网在12岁以下的少年中的渗透加大,其上网行为涉及信息获取、交流沟通、网络娱乐、商务交易等方面。[63]2014年是我国接入国际互联网20周年,如今的未成年人是真正成长于网络环境中的一代,网络是其生活的重要内容,互联网深刻影响着他们的生活方式甚至思想意识。与成年人相比,未成年人心智尚未成熟,没有足够的认识能力和控制能力,也缺乏足够的自我保护能力,其权益无疑更容易受到侵害,在个人信息保护与利用方面,更应为未成年人提供特殊保护。
在强化未成年人个人信息保护方面,美国是立法先驱。早在1998年美国就制定了《儿童网络隐私权保护法》,限制网站运营商通过互联网收集儿童个人信息。该法规定网站营运商负有保护儿童网络隐私和安全的责任,不经儿童父母或监护人的同意,不得收集13岁以下儿童的个人信息;到2012年,网站运营商限制收集的范围扩张到13岁以下儿童的照片、视频和地理位置信息。此外,美国一些州的立法也体现了强化未成年人保护的理念,如2013年美国加州《橡皮擦法案》要求社交网站应允许未成年人擦除自己的上网痕迹,以免其未来面临其在心智尚未成熟时留有的网络痕迹的困扰。[64]欧盟2012年《个人数据保护条例》也借鉴美国的立法经验,增加了儿童个人数据的特殊保护规定。[65]
我国《个人信息保护指南》也体现了对未成年人个人信息予以特殊保护的理念,规定“不直接向未满16周岁的未成年人等限制民事行为能力或无行为能力人收集个人敏感信息,确需收集其个人敏感信息的,要征得其法定监护人的明示同意”。应当说,《个人信息保护指南》不局限于网络环境而统一为未成年人个人信息收集提供强化保护,是相较于美国和欧盟立法的进步之处,因为随着新型数字媒体平台、电视购物等的发展,对未成年人个人信息的收集和利用肯定不会仅仅发生在网络环境中;但同时《指南》将这种针对未成年人群体的强化保护又局限于未成年人敏感信息的收集,实际上是限缩了对未成年人强化保护的效力。同时,在未来我国个人信息保护立法进程中,还应当通过大量的社会实证调研,确定一个适合我国青少年发展状况的强化保护的年龄节点。
2.强化个人敏感隐私信息的保护
敏感隐私信息概念的提出在于为个人敏感信息提供强化保护,对敏感隐私信息和一般信息的收集、处理和利用适用不同的法律规则。从比较法上的经验来看,欧盟在明确区分二者的基础上原则性禁止个人敏感信息的收集和处理。美国虽然不存在明确的敏感信息分类,但是也存在一些类似的限制性规定,体现在不得以敏感信息作为做出某些决定的依据,否则将被视为歧视性决定。如在美国征信行业中,征信机关虽然可以收集种族、国籍、婚姻状况等敏感信息,但是不得进行传播,也不得在进行信用计分时加以考虑或计算,否则会被联邦贸易委员会视为歧视性决定而受到惩罚。
个人敏感信息的强化保护也仍然包括保护和利用两个维度,保护体现在原则上禁止处理,而利用则体现在对禁止处理的例外规定。禁止处理的原则应当适用于个人信息处理的全过程,包括收集、存储、处理、利用及传播等各个环节。禁止处理的例外限于信息主体明确同意或自行公开、法律明文规定、公务机关执行法定职务或非公务机关履行法定义务所必要、公务机关或研究机构基于医疗、卫生、预防犯罪等目的为统计或学术研究必要等情形。同时,在上述例外利用的情形中,进行个人敏感信息处理的公私机构应当为个人敏感隐私信息提供更高水平的安全保障。
结论
进入信息社会,每一个人都是“信息人”,个人既是信息的生产者也是信息的消费者,任何人都不可能离开信息而生存。与此相适应,人类社会中的每一种社会关系都直接或间接打上了“信息化”的烙印,调整这些社会关系的法律也都应成为“信息化”的法律。个人信息与隐私具有千丝万缕的联系,但由于其所具有的人格自由和人格尊严价值、商业价值和公共管理等多重价值,所以对其保护与利用的利益再衡量必然成为个人信息保护法在理论上的起点和基础。
利益博弈中零和游戏的结局是“你死我活”,而立法上的利益衡量要达到的目的是“多赢”和“共和”。因此,需要识别个人信息保护和利用中多方主体的利益需求,承认与确保其核心利益的实现,让渡自身非核心利益而使他方的核心利益得以实现。
通过对个人敏感隐私信息强化保护,以及强化个人一般信息的商业利用和国家基于公共管理目的的利用,实现个人、信息业者和国家三方利益平衡。这一“两头强化,三方平衡”理论,应当作为我国个人信息保护法的理论基础。国家主导、行业自律与个人参与的法治模式,信息业者实名制与用户真实身份可查验制,国家作为个人信息利用者与社会管理者双重功能的发挥,信息业者对个人信息的去个人化利用,以及对未成年人个人信息、个人敏感隐私信息的特殊保护等,都是全面实现“两头强化,三方平衡”理论所要求的主要制度安排。