本书共分九章,第一章,网络时代个人信息危机概述。本章主要介绍了个人信息的涵义、概念及特征及网络背景下的个人信息危机、立法现状及分类 ;第二章,个人信息处理和危机。本章主要研究了 个人信息处理的措施、利用、处理原则等;第三章,政府行政对个人信息的保护问题。本章主要研究了政府行政中个人信息保护的特点和措施、对个人信息保护的不足及完善等。第四章,个人征信中的个人信息保护。本章主要研究了中外征信领域个人信息立法,财务管理中的个人信息保护、个人信息保护与反向搜索; 第五章,企业管理中的个人信息保护。本章主要研究了企业的劳动关系中个人信息保护问题、相关法律制度及措施的完善。 第六章,电子商务法中的个人信息保护。本章主要研究了电子商务活动与个人信息保护的关系、外国相关法考察、对完善我国法律制度构想; 第七章,特殊领域的个人信息保护。本章主要研究了生物识别技术的相关问题、医疗救治领域中的个人信息保护问题、医疗救治领域的个人信息保护问题; 第八章,个人信息在司法系统中利用。本章主要研究了个人信息在司法系统中利用、刑事诉讼法的立法原则和措施、刑事诉讼的相关问题探讨。 第九章,个人信息侵权行为的认定和法律责任。本章主要研究了侵害个人信息行为的行为及构成要件、非国家机关个人信息侵权责任、 国家机关的责任形式等。
第一章 网络时代个人信息危机概述
第一节 个人信息的含义
一、个人信息的概念和特征
(一)个人信息的概念
个人信息是指个人的姓名、性别、年龄、血型、健康状况、身高、人种、地址、头衔、职业、学位、生日、特征等可以直接或间接识别该个人的信息。按照新《个人信息保护法》规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理:包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。而敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
所谓信息的“识别”,指的是通过个人信息与信息主体之间存在确定性联系的可能性,即通过这些个人信息能够直接或间接地辨认出信息主体的身份。识别过程包括直接识别和间接识别。直接识别是指通过直接确认本人身份的个人信息来进行识别,比如身份证号码、基因信息等。而间接识别则是指虽然现有的信息无法直接确认当事人的身份,但通过借助其他信息或对信息进行综合分析,仍然能够确定当事人的身份。通常来说,姓名可以用来进行“直接识别”,但在存在同名同姓者的情况下,还需要辅以生日、地址、职业、身高等具体信息才能进行准确的识别。
(二)个人信息的特征和法律特征
1.认为个人信息是民法意义上的“物”。这个观点认为,在市场经济条件下,个人信息采集者的目的并非知悉个体,而是将成千上万个人的信息整合成一个资料库,以满足特定群体信息的共性需求,为自身或他人使用。对于信息采集者而言,获取个人信息并不是目的,而是建立和扩展财源的手段之一。因此,根据所有权原则,在不违反法律和公共利益的情况下,所有权人享有对个人信息的占有、使用、收益和处分权利。a
2.认为个人信息属于隐私。这种观点认为个人信息是一种隐私利益,因此个人信息保护的立法应该采取隐私权保护的模式。美国于1974年颁布的《隐私法》是这种观点的充分体现。
a 汤擎.试论个人资料与相关法律关系[J].华东政法学院学报,2000(5):34.
作为个人信息保护立法的先驱,美国的立法理论、方法和技术对其他国家产生了广泛的影响,超越了英美法系国家的范畴。我国台湾地区学者主流观点认为“个人资料”的保护,同样在于保护个人隐私。a
3.认为个人信息涉及人格权。以德国法为代表的“人格权客体说”认为,个人信息保护的目标是保护个人的人格权,使其不受个人信息处理的侵害。德国1990年修改后的《个人资料保护法》第一章第一条明确规定:“本法旨在保护个人的人格权,使其不因个人资料的处置而遭受侵害。该法的目的是保护个人人格权在个人信息处理时免受侵害。”这一规定标志着德国法放弃了作为外来理论的隐私权,而转为在本国法律体系中寻求更为完善的人格权理论。
4.信息的立法主张强调了个人的基本权利和自由,尤其是隐私权,其作为一种基本人权被许多国际组织所支持。欧洲议会公约在其前言中指出,随着个人资料在自动化处理条件下跨国流动的不断增加,需要加强对个人权利和基本自由,特别是隐私权的保护。欧盟指令的前言规定,由于不同成员国对个人资料处理中的个人权利和自由,尤其是隐私权的保护水平存在差异,可能阻碍数据在成员国之间的传递,对共同体的经济生活造成不利影响,阻碍竞争并阻止各国政府履行共同体法律规定的职责。这种保护水平的差异是由于存在大量不同的国内法律、法规和行政规章造成的。个人信息反映了公民的人格利益,而个人信息的收集、处理或利用直接涉及个人信息主体的
a 王郁琦.NII与个人资料保护[J].资讯法务透析,1996(1):27.
人格尊严。这一点已经在实际法中得到体现:在宪法层面上,当前主要国家和地区将人格尊严和自由权视为保护个人信息的依据,以确保公民在处理其个人信息等事务时的自主权和决定权。
二、个人信息的分类
(一)个人信息类别的行政划分
在我国台湾地区,个人信息被划分为多个类别。第一类是识别类,包括姓名、住址、电话号码、电子信箱、银行卡号或信用卡编码以及护照编码等。第二类是特征类,包括年龄、体貌特征、个人生活习惯等。第三类是家庭情况,如婚姻记录、家庭成员、主要社会关系和社交活动等。第四类是社会情况,如财产、移民情况、休闲旅游活动、参与慈善或其他志愿组织记录、职业等。第五类是教育、技术或其他专业信息,如教育程度、专长、学位以及在校记录等。第六类是雇佣情况,如职务、工作地点、工作内容、工作经历、薪资、工作记录、工会成员资格等。第七类是财务细节,如收入、投资情况、负债情况、信用等级、财务交易记录等。第八类是商业信息,如参与的商业种类、与营业相关的许可证等。第九类是健康和其他信息,如健康记录、肇事记录、犯罪嫌疑、政治意见、政党、宗教信仰等。第十类是其他各种信息,包括所有未分类的个人信息。这些分类的目的是方便行政管理,并不限制个人信息的范围。我国的《个人信息保护法》将个人信息分为一般个人信息和敏感个人信息。a
(二)个人信息的理论划分
1.直接个人信息和间接个人信息
个人信息可以分为直接个人信息和间接个人信息,以直接识别自然人的能力为标准。b直接个人信息是指能够单独识别个人身份的信息。间接个人信息是指不能单独识别个人身份,但与其他信息结合可以识别个人身份的信息。在立法上,有些国家和地区并不主张对间接个人信息进行保护。在我国台湾地区,法律事务管理部门曾认为电话号码、电子邮件地址等信息由于尚不足以识别个人身份,因此并不属于受保护的个人信息。然而,当电话号码或电子邮件地址与其他信息相互关联后,往往会成为足以识别特定个人的信息(例如电子邮件地址中可能包含个人姓名),因此适用个人资料保护法。
2.敏感个人信息和琐细个人信息
涉及个人隐私为标准,个人信息可以分为敏感个人信息和琐细个人信息(trivial data)c。敏感个人信息,指涉及隐私的个人信息。在社会生活中,判断一个信息是否构成敏感个人信息并不容易。有时候,由于这些信息和个人的关系过于“松散”而使得人们对它能否构成个人信息产生争议。如果一个人购买
a 苏羽炫.大数据时代背景下的“被遗忘权”研究[D].南京:南京师范大学,2017.
b 张宸.大数据环境下个人信息保护研究[D].哈尔滨:黑龙江大学,2015.
c 齐爱民.论个人信息保护法的统一立法模式[J].重庆工商大学学报(社会科学版),2009(8):15.
性生活用品的信息被泄露,就可能导致两种判断结果:一种争论说产品主题(性)和购买者人身(性格和倾向)的联系过于“松散”,并不必然意味着购买者本人使用这种产品,因此此信息不构成购买者的敏感信息。另一种意见则认为购买者的“品位”和“倾向”是由他的生活反映出来的,他购买的商品是他本身个性和倾向的最好的例证。因为一般情况下,我们只看到他人购买商品,而不可能看到商品的使用。因此,该信息属于购买者的敏感信息。
3.电脑处理个人信息和手工处理个人信息
根据个人信息的处理技术标准,可以将个人信息划分为电脑处理个人信息和手工处理个人信息。电脑处理个人信息指的是使用电脑或自动化机器进行信息输入、存储、编辑、更正、检索、删除、输出、传输或其他处理。手工处理个人信息,指的是不适合进行电脑处理或尚未进行电脑处理的个人信息。a
4.公开个人信息和隐私个人信息
根据个人信息是否公开的标准,可以将个人信息分为公开个人信息和隐私个人信息。公开个人信息是指通过特定而合法的途径可以了解和获取的个人信息。根据我国台湾地区《资料保护法》的执行细则第32条第3项规定,公开的个人信息是指任何不特定第三方都可以合法获得或知悉的个人信息。将个人信息划分为公开个人信息和隐私个人信息的法律意义在于,公开个人信息,无论是否属于敏感个人信息,都已经丧失了隐私利益,因此无法获得特殊的敏感个人信息保护。而隐私个人信
a 严柳.现代民法上个人信息权保护研究[D].上海:复旦大学,2010.
息目前是按照我国《中华人民共和国民法典》(以下简称《民法典》)的规定来处理的。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。隐私权、个人信息的定义典型的侵权行为个人信息处理的原则个人信息主体的权利信息处理者的安全义务和保密义务。我国《民法典》第一千零三十二条规定,自然人享有隐私权。任何组织或个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。第一千零三十四条规定,自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定,没有规定的,适用有关个人信息保护的规定。
三、网络背景下的个人信息危机
第一章 网络时代个人信息危机概述
第一节 个人信息的含义
一、个人信息的概念和特征
二、个人信息的分类
三、网络背景下的个人信息危机
第二节 我国个人信息保护法的体系
一、个人信息保护法的立法现状
二、个人信息保护法的分类
第三节 个人信息权与信息自由权的冲突与协调
一、个人信息权
二、个人信息权与信息自由权冲突的调和
第二章 个人信息处理和危机
第一节 个人信息处理的措施
一、个人信息的收集
二、个人信息的处理
三、个人信息的利用
第二节 个人信息的利用
一、政府行政对个人信息的利用
二、其他主体对个人信息的利用
三、个人信息的国际化利用
第三节 相关处理原则
一、处理主体
二、处理条件
三、相关主体的权利义务
第四节 其他领域中个人信息的利用
一、个人信息与征税
二、个人信息与海关
三、个人信息与福利
四、我国档案管理中的风险
第三章 政府行政对个人信息的保护
第一节 政府行政收集和处理个人信息的要件
一、必备要件
二、任意要件
第二节 政府行政利用个人信息的要件
一、一般利用要件
二、目的外利用个人信息的要件
第三节 计算机比对的法律要件
一、个人信息计算机比对的概念
二、计算机比对的目标和目的
三、计算机比对项目
四、计算机比对协议
五、计算机比对的监管机关
六、个人权利救济程序
第四章 企业管理中的个人信息保护
第一节 我国劳动管理制度
一、劳动关系与用工制度的含义
二、我国劳动用工制度的历史
第二节 企业的劳动关系中个人信息保护问题
一、我国劳动关系现状
二、我国劳动关系立法问题
第三节 相关法律制度及措施的完善
一、构建新的法律制度
二、几个特殊问题
第五章 电子商务法中的个人信息保护
第一节 电子商务活动与个人信息保护的关系
一、电子商务
二、个人信息面临的新挑战
第二节 外国相关法考察
第三节 我国现行法律规定
第四节 我国相关法律制度探索
一、立法原则
二、客户权利
三、网络直销者义务
四、对侵权行为的认定和处理
第六章 个人征信中的个人信息保护
第一节 概 述
一、个人信用信息
二、征信的含义
第二节 中外征信领域个人信息立法
一、立法例简介
二、我国现行法
三、我国法律的缺陷
四、立法建议
第三节 财务管理与个人信息保护
一、相关问题
二、国外立法例
三、我国的立法
第四节 个人信息保护与反向搜索
一、反向搜索的问题
二、立法建议
第七章 特殊领域的个人信息保护
第一节 生物识别技术的相关问题
一、生物识别
二、个人信息处理问题
三、国外立法借鉴
四、立法规制的设想
第二节 医疗救治领域
一、个人信息主体的权利义务
二、个人信息处理者的义务
第三节 都市市民领域
一、市民个人信息保护困境
二、创设市民个人信息权制度
第八章 个人信息跨国传输及其法律规则
第一节 个人信息跨国传输概述
一、个人信息跨国传输的概念
二、个人信息跨国传输的分类
第二节 个人信息跨国传输的基本原则
一、自由流通和合理限制原则
二、对等原则
第三节 我国个人信息跨国传输的困境及监管
一、个人信息跨国传输的困境
二、个人信息跨国传输的监管
第九章 个人信息在司法系统中的利用
第一节 概 述
一、基本原理
二、相互关系
第二节 个人信息在立法者中的利用
一、立法活动参与者
二、其他相关主体
第三节 刑事诉讼法的立法原则和措施
一、确立公正优先的理念
二、立法原则
三、法律措施
第四节 刑事诉讼的相关问题探讨
一、侦查阶段
二、未成年人犯罪
第十章 个人信息侵权行为的认定和法律责任
第一节 侵害个人信息行为及构成要件
第二节 侵害个人信息行为的责任
一、国家机关的责任形式
二、其他机构个人信息侵权责任
三、承担民事责任的形式
参考文献
