论电子政务信息公开的隐私权保护
作者:刘友华 文章来源:北大法律信息网 点击数:3686 更新时间:2006/8/12 9:17:38 热 ★★★
信息技术和网络经济作为先进的生产方式,正推动着社会的信息化,其中政府的信息化,通称为电子政务。电子政务的重要方面便是利用网络技术和通讯技术实现信息的最大程度公开,以满足公众的知情权,促进社会民主政治的发展。但与此同时,电子政务最大程度的信息公开也会带来负面影响,即信息公开可能侵害公民个人隐私,笔者拟就电子政务信息公开中的隐私权保护问题进行探讨。
一、电子政务与信息公开
上世纪70~80年代,随着计算机的普及,办公自动化(Office Automation,简称OA)逐步推广,人们利用计算机技术处理办公室的内部事务,如利用计算机进行文件的制作、传递(如管理档案与处理文件)等。随着网络技术进一步应用,使电子化、网络化、数字化几乎渗透到政府工作的所有方面。我国1998年开始政府上网工程,1999年,被称为“政府上网年”,从此拉开了我国电子政务的序幕。其后,2002年7月,国家信息化领导小组第二次会议审议通过了《我国电子政务建设指导意见》,把电子政务建设列为今后一个时期我国信息化工作的重点。从这个意义上说,电子政务是社会信息化发展的必然结果。[1]
电子政务是指一个国家的各级政府机关或有关机构以电子化的手段处理各类政府事务。本文所说的电子政务信息公开中的信息指的是政府信息,即作为国家行政机关的政府部门在管理国家事务和社会生活中所形成、获得和拥有的信息。那么电子政务信息公开则是指电子政务中的政府信息公开,据统计我国80%的社会信息资源掌握在政府手中,政府是最主要的信息生产者、使用者和发布者。政府信息公开是公民权利发展的产物,是实现公民知情权的保障,也是提高政府透明度,促进社会民主政治发展的有效途径。此外,信息公开有利于维护国家信息安全,提高社会发展效率;与此同时,信息公开还是政治体制和履行国际承诺的重要内容(世贸组织成员国有透明度原则的要求)。
由上观之,电子政务是社会发展的必然要求,其实质是综合运用网络技术与信息技术,实现管理信息化、办公自动化和信息资源的公开与共享。因此,电子政务可概括为两个方面:一方面,政府内部利用信息技术实现办公自动化、管理信息化、决策科学化;另一方面,政府部门与社会各主体利用网络信息平台进行信息共享与服务提高办事效率。从这两方面看,笔者认为,政府内部办公自动化与信息化是电子政务实现的前提;而信息的共享与信息公开则是电子政务的归宿。在这个意义上,信息共享与信息公开问题是电子政务的焦点与核心。但政府信息在因特网上公开的同时,不可避免地对公民个人隐私造成侵害,因为政府在管理国家社会事务和社会生活过程中,收集、储存、使用和传播了大量个人数据。因此电子政务中的信息公开所引发隐私权的保护问题是我们不能回避的问题。
二、电子政务信息公开对公民隐私之威胁
隐私权作为一种基本人格权,是指公民“享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。[2]1890年美国著称学者布兰戴斯和沃伦在《哈佛大学法律评论》第4期上发表《论隐私权》一文,首次提出了隐私权的概念和理论。目前,隐私权作为公民人格权的重要内容逐渐得到法律的确认和保护。保护公民隐私,其实质是赋予公民个人人格的独立与对自身信息传播的控制权。隐私权是公民的人格权利中最基本、最重要的内容之一,是伴随着人类对自身的尊严、权利、价值的认识而产生。一般认为,隐私权的具体权利形式有:第一,知情权。数据主体有权知悉、了解与自己相关的个人数据收集者的权限范围、收集的目的、用途等情况,并有权查询个人信息的收集和使用情况;第二,控制权。数据主体有权决定是否提供个人数据、提供哪些数据,以及用于哪些方面;第三,使用与修改权。主体对其个人数据有权决定何时、何地在多大的范围内使用哪些数据信息以及有权对个人数据进行修改补充;第四,安全保障权。数据主体有权要求管理部门采取必要的、合理的措施以保障个人数据的安全性,防止不当泄漏。其中知情权是电子政务中数据主体最重要的权利,也是行使其他权利的基础。
电子政务中隐私权的客体主要表现为个人数据。所谓个人数据,是指一切与个人有关的,能使他人或计算机系统从众多个体中识别出该个体的信息资料。凡是可以用来识别具体个人的信息,诸如健康、财产、婚姻、经历、通信、日记、住所地址和私人文件等都构成个人数据。这些个人数据主要体现为:(1)司法部门通过电子化手段储存公民刑事犯罪记录与公民身份认证的信息,包括姓名、性别、出生时间、出生地、血型、身高、体重及指纹等;(2)档案管理部门收集的如年龄、性别、身份证号、职业、收入、工作单位、研究方向、联系电话、传真、电子信箱等个人资料;(3)金融部门收集的如职业、职务、收入状况、婚姻状况、存款证明、房产证、身份证复印件、通讯地址等个人数据;(4)税务部门在办理个人所得税、财产税等个人事务中收集的个人信息,包括个人信用状况、工作经历、工资收入及纳税状况等。另外,医疗部门、电信部门以及社会保障部门等都收集和储存了大量个人数据。而且,随着电子政务的发展,一些新出现的个人数据,例如电子邮件地址、域名、使用者名称、通行码等,都可能会成为各管理部门收集和储存的对象。
在电子政务的环境中,一方面由于计算机强大的信息记录、处理及储存功能,以及网络这一传输媒介的兴起,使得政府机构对个人数据的搜集与利用较以往更为容易和快捷;另一方面面对这个几乎透明的“玻璃社会”,个人隐私被侵害的可能性也随之大增。正如美国前副总统戈尔所说,发展电子政务需要解决好两个关系:一是与保护个人隐私权的关系,二是与消除数字鸿沟的关系。[3] 可见电子政务发展中的隐私权问题日益突出,公民个人的隐私权已日益受到威胁和侵袭。
如前所述,政府拥有整个社会信息资源的80%,政府为了更有效地管理国家和社会公共事务,收集了大量的公民个人信息,建立起巨大的数据库。这些信息可分为两大部分:一部分是政府机构在管理国家和社会事务的过程中所形成的信息;另一部分是政府在管理国家和社会事务中所收集的信息,这部分信息含有大量有关个人隐私的信息,如个人识别资料,如姓名、性别、年龄、出生日期、身分证号码、电话号码、通信地址、住址、电子邮件地址等,以及个人背景资料,如婚姻、家庭状况、教育程度、职业、收入情况等。随着这些含有大量个人信息的数据库的无科学限制的使用,这就给雇主、政府机构或其他使用者提供了选择的依据,不可避免地会导致公民个人生活与人格的萎缩。1998年5月14日,克林顿在向所有行政部门及机构发布关于联邦记录中的隐私和个人信息的备忘录时提到,“联邦机构对个人信息记录的逐渐网络化将导致在使用分析信息的方式上个人隐私权的削弱。”[4] 另外一位观察家曾说:“卷宗社会(dossier society)的基础正在建设中,在这样一个社会里,利用平常交易中所采集到的有关消费者的数据,计算机可以被用来推测个人的生活方式、习惯、下落、社会关系等等。”[5]如政府部门所收集到的有关居民的信息,如机动车辆管理部门在颁发执照的过程中所采集的驾车人的姓名、身高、体重、年龄、视力矫正镜的使用等信息,这些信息很容易经过编辑处理,被出售给一些数据公司或营销公司。如果对这种情况不加以限制,用于特定目的的信息就变成了准市场上的公有信息。Jeffrey Rothfeder 在其《可出售的隐私》一书中提示了美联邦政府各机构大约有2000个数据库,其中记录着数以百万计的公民的信息。许多机构相当自由的“分享”着这些信息,或用来寻找如偷税者等可疑的行为的不轨者。[6]
由此可见,在电子政务信息公开过程中,政府部门是个人隐私权的最大威胁。连一向强调保护个人隐私的美国政府也在侵犯他人隐私事件中扮演不光彩的角色。美国联邦调查局的“食肉者”网上邮件窃读系统最近引发激烈争论。该系统可以被安装在ISP(网络服务商)的设备上,从浩如烟海的电子邮件中找出发自或送至目标嫌疑犯的邮件,并将其内容复制到“食肉者”电脑的硬盘上。但人们无法确定该系统是否仅仅读取那些只与罪案调查有关的电子邮件而不侵犯网民的其他隐私,从而引起了用户甚至是服务商的极力反对。现在越来越多的美国法庭批判在对案件审理中对家用PC进行调查取证,如莱温斯基一案。因此,我国政府在电子政务信息公开的过程中,随着大量信息以数字化的形式公开,不可避免地会侵犯公民的隐私权,而我国对隐私权保护的现状又是不完善的。
三、我国隐私权保护的现状
我国在电子政务隐私权保护的立法方面还相对滞后,无法充分、有效地协调信息公开与隐私权保护之间的冲突。目前,我国还没有一部专门的系统的隐私权保护法,相关规定散见于《宪法》、《民法通则》等相关立法中。如我国宪法第38条规定:“中华人民共和国公民的人格尊严不受侵犯。”我国民法通则第100规定:“公民、法人享有名誉权,公民的人格尊严受到法律保护,禁止用侮辱、诽谤等方式损害公民、法人的名誉。” 全国人大常委会《关于维护互联网安全的决定》规定:“利用互联网侮辱他人或捏造事实诽谤他人及非法截获、篡改、删除他人的电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密的,可构成犯罪依法追究刑事责任。”
而有关网络环境中隐私权保护的法规和规章则更少有:1997年12月公安部制定的《计算机信息网络国际联网安全保护管理办法》第7条规定:“用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定,利用国际互联网侵犯用户的通信自由和通信秘密。” 1998年国务院信息化工作领导小组发布的《计算机信息网络国际联网管理暂行规定实施办法》第18条也明确规定不得在网络上散发恶意信息,冒用他人名义发出信息,侵犯他人隐私。原邮电部发布的《中国公用计算机互联网国际联网管理办法》第10条、第11条也作了类似的规定。2000年11月7日信息产业部发布施行的《互联网电子公告服务管理规定》中规定“电子公告服务提供者应当对上网用户的个人信息保密,未经上网用户同意,不得向他人泄露。”
目前我国电子政务中的隐私权保护,基本上还是依靠政府部门自律,但是政府部门还缺乏统一的可操作的自律规范,因而不可避免的导致大量的个人信息被不当地收集、储存和公开,甚至被非法利用,给公民隐私权造成了极大的损害。
可见,我国有关电子政务中隐私权保护的立法效力层次低,法律条文过于笼统,缺乏可操作性,对隐私权的保护还处于较低水平,我们应当完善隐私权保护体系,既充分实现电子政务信息公开,又能有效地保护个人隐私。
四、国外电子政务信息公开中隐私权保护的经验与借鉴
美国在电子政务中信息公开与隐私权保护的立法与司法保护相对完善。1966年美国率先制定的《信息自由法》,1974年颁布的《个人隐私法》,1976年通过的《阳光下的政府法》,1996年的《电子化信息公开法》,等一系列全国性立法,配合美国宪法第一条修正案、第四条修正案和第十四条修正案 ,形成政务公开与隐私保护的基本法律框架。
尤其是其《个人隐私法》,可视为美国隐私保护的基本法,与政府信息公开的宪法原则相匹配的另一个美国宪政原则是个人隐私不得侵犯。现代国家掌握公民众多的个人信息,《信息公开法》的施行很容易泄露公民个人的隐私。为了平衡两者,才导致了1974年《个人隐私法》的出台。它规定了美国联邦政府机构收集和使用个人资料的权限范围,并规定不得在未经当事人同意的情况下使用任何有关当事人的资料。该法也确定了政府机关通过法定程序收集和保存涉及个人隐私的档案信息,应向当事人个人公开的原则。当事人对记入档案的不正确的个人信息有权要求相应机关改正。如不予纠正则当事人可提起诉讼。1999年5月,美国通过《个人隐私权与国家信息基础设施》白皮书,阐述了对信息活动中公民个人隐私权进行保护的政策取向。此外,纽约州亦就倍受争议的网上收集个人资料等问题提出新的立法建议,严禁企业收集并共享能够鉴别个人身份的资料。1997年,康涅迪格州通过消费者隐私权法案,其中对采用电子邮件形式散发广告进行了限制。与此同时,美国也通过判例确立了隐私权保护方面的一些原则。例如在1993年的Bourke V Nissan Motor Crop. In U.S.A案[7]中,确立了Email中隐私权保护的一般原则:“事先知道Email可被别人查阅,可能泄露其个人数据的情形,即可视为对隐私权无合理期望。且所有者、经营者对网络的访问不构成截获。”1994年Steve Jackson Games V .United Stats Secret Service[8]案中明确,国家机构未经授权不得私自阅读或删除私人的电子邮件,截获电子邮件数据更需获得法律执行令而非搜查令
加拿大政府发展电子政务,鼓励信息公开的同时,在隐私保护方面,提供了两项措施:一是开发“隐私影响评估”政策和保护个人信息的指导方针。另一项是实施的“安全通道”工程,该工程的核心部分是建立公钥基础设施的构造(PKI),即公民在提供身份论证、数据和交易完整性和审计的过程中,对公民的个人信息、敏感信息实行保护。[9] 值得注意的是,加拿大政府提供的措施并不能完全解决隐私保护问题,因为PKI体系本身也存在对公民隐私的威胁。
在欧洲,有关信息公开与隐私权保护的相关立法也有相对完善的体系,欧盟早在 20世纪70年代就发布了一系列文件 ,确认了对信息自由的保护 ,1999年 10月并组成了专家小组拟定《信息自由法》建议稿 ;欧洲人权法院也积极地以判例法确认公民的信息自由权。欧盟的许多成员国如丹麦、芬兰、爱尔兰也均相应地颁布了《政务公开法》、《政府行为公开法》、《信息自由法》等。在加强信息公开的同时,他们也注重隐私权与个人数据安全的维护。如1970年德国数据保护法,1973年瑞典数据保护法,1995年欧洲议会和欧洲委员会颁布的《数据保护令》。欧盟议会1995年10月24日通过的《欧盟个人资料保护指令》几乎包括了所有关于个人资料处理方面的规定。其目的在于保障个人自由和基本人权,以及确保个人资料在欧盟成员国之间的自由流通。根据该指令,资料控制者的义务主要有:保证资料的品质、资料处理合法、敏感资料的禁止处理与告知当事人等。资料当事人则享有接触权利与反对权利,并有权更正删除或封存其个人资料。1996年9月12日欧盟理事会通过的《电子通讯数据保护指令》是对《欧盟个人资料保护指令》的补充与特别条款。1999年,欧盟委员会先后制定了《Internet上个人隐私权保护的一般原则》、《信息公路上个人数据收集、处理过程中个人权利保护指南》等相关法规,为用户和网络服务商(ISP)提供了清晰可循的隐私权保护原则,从而在成员国内有效建立起有关网络隐私权保护的统一的法律法规体系。
由上观之,世界各国在回应技术发展,鼓励信息公开,加强隐私保护方面建立了完备的法律框架;与此同时,在实践上,他们在电子政务信息公开中产生的个人数据安全与隐私保护问题,以判例的形式确定了一系列的原则、规则。这些都值得我们借鉴。
在电子政务的发展过程中,中国政府同其他国家一样,都面临着个人隐私权的保护问题,即政府信息的最大限度公开与个人数据保护之间的协调问题。法律保护个人隐私权,但是在实际操作过程中,个人哪些数据需要保护,哪些可以上网公开,是非常复杂的问题。正如美国学者劳•阿兰•查尔斯认为:“政府机构所拥有的信息与公众之间的隐私利益的冲突就如科学的两面性一样,是一个硬币的两个方面。政府在收集个人信息和保护隐私利益方面应当发挥更重要作用,必须在两者之间保持恰当的平衡。”[10] 笔者认为,应从以下几方面来协调电子政务信息公开与公民隐私权保护之间的冲突。
第一,坚持利益衡量与权利限制原则。在协调权利冲突时,我们需要运用利益衡量的方法来协调与平衡各种相互冲突的利益。所谓利益衡量的方法,就是对两种或两种以上相互冲突的利益进行分析和比较,找出其各自的存在意义与合理性,在此基础上做出孰轻孰重、谁是谁非的价值判断。在相互冲突的利益之间,有的是针锋相对不可调和的,那么,利益衡量的结果只能是牺牲或者舍弃一个具有较少合理性的利益。在另一些情况下,相互矛盾冲突的利益可能协调,各退让一步以求得各自的生存空间。一位美国学者曾说:“实际上,政府信息公开与个人隐私是辩证的,我们应构建相应的平衡模式。在公开政府文件以提高政府的信任度的同时,为避免政府未经授权而侵入确实属于个人的隐私进而规定相应的义务,以维持两者之平衡。”[11]
美国最近的两个案例就是利益衡量原则在实践中应用。第一个案例是Bartnicki v. Vopper案[12],反映了在特殊情形下公益对于隐私的限制。在这个案例中,被告公开通过无线电接收装置非法截取的原告的手机通话信息,但美国第一修正案认为这些信息是有关公众利益的,言论自由权应优位于隐私权,所以被告并不侵权。与前一案例相反的是,Kyllo v. U.S案[13]中,美国政府利用一种新的高感装置来搜寻那些来自于大麻培植灯所散发(大麻的生长需要高强度的灯光照射)的热量,以控制毒品原料的生产。但是美国法院认为这违反了美国宪法第四修正案,认定侵犯隐私权。不能以知情利益的需要而在较大程度上损害个人隐私利益。上述案例表明,公众利益或权利的优先不是绝对的,保护公众利益也应以较小程度损害个人利益为必要;同时也表明,技术发展使隐私权保护日益复杂和困难。
个人隐私原则上是受法律保护的,但如果该隐私涉及社会公共利益时,就应受限制。一个普通公民的普通疾病也许与社会公共利益无关,但如果他患的是一恶性传染病,如SARS期间,SARS疫情的发布,准确统计病人的数字,公布其具体病情,使得某些病人及其家属因此受到困扰,但是为控制疫情,引起公众的高度警觉和积极配合,在此紧急状况下,为了社会公共利益的需要,病人的隐私权将受到一定程度的限制。美国也是如此,尤其是在9.11以后,其隐私权保护有这么一种趋向,隐私权应当让位于公民其它的如生命权等基本权利。美国学者劳•阿兰•查尔斯曾说:“在这个时代,我们的政府更应关注公民的生命安全而不是去保护无形的隐私权。”[14] 同时他认为在9.11以后,生活安宁权与生命安全权两种利益的冲突可能更加激烈。所以基于公众利益或国家安全,隐私不可避免地最大程度迁就公众安全之需要。尽管如此,但电子政务中的公众知情权与个人隐私保护在不同程度上还是能够构建有效的平衡。
第二,借鉴欧美的安全港模式,对公民隐私权进行保护。安全港模式是当前世界各国有关公民隐私权保护所形成的三大保护模式之一,它是欧盟与美国在长达三年的隐私权保护的谈判中逐步确立的,它是一种将政府部门自律规制与立法规制相结合的新模式。该模式要求各行政机关根据自己的情况,事先拟定一个合理的有关个人信息的收集、储存、使用与公开等方面的规则,该规则经过立法机关通过以后即成为安全港,以后相关政府部门只要遵守了该规则,就可以免责。我国各政府职能部门就可以依据安全港模式,根据各自的情况,拟定一个合理的有关个人信息的收集、储存、使用与公开等方面的规则,并通过立法机关予以确认。譬如,公安、税务、金融、人事、档案及社会保障等部门都可以根据各自收集、储存、使用与公开个人信息的情况,拟定相关规则。这些规则的法律化,将为以后的信息公开行为保留合理的空间。
在构建安全港模式时,各政府职能部门还应当遵循以下原则:(1)政府部门在收集、使用个人信息时,必须告知数据主体该信息的收集目的及用途,并提供相关的联系方式,以供数据主体了解政府部门在限制第三方使用和公开该信息所采取的措施;(2)政府部门在收集、使用目的之外,向第三方公开或提供个人信息时,应征得数据主体的同意;(3)政府部门必须采取合理的安全防范措施,以保护个人信息不被丢失、误用和未经授权的使用、公开、改动和破坏;(4)数据主体有权使用该信息并且修改不真实的个人信息。[15]
如前所述,我国目前还未通过政府信息公开法;隐私权作为一种民事权利由民法规范调整,而民法规范不大可能对行政机关的信息公开行为予以调整。所以,我们没有必要也不可能单独制定一部法律来平衡政府信息公开与隐私权保护之间的冲突,而应当完善现有法律框架。这与美国学者劳•阿兰•查尔斯不谋而合,“为保持隐私权和公众知情权的双重利益的平衡,制定一个全新的保护公开文件中的个人隐私的法律是非常困难的,还不如完善现有的公共信息公开与隐私权保护的法律框架,以加强两者的平衡。”[16]
譬如美国华盛顿州就有法律予以确保政府公开所持有的相关文件与信息,并保障公众对州政府信息的获取权。与此同时,公众对于包含有个人隐私的政府信息的获取权也有例外,这些例外分别由联邦法和州法所确认。[17] 如前所述的安全港模式,就为相关政府部门收集和使用信息划定一定的区域,在区域内的行为是合理、合法的,可以免责。这使得电子政务信息公开与公民隐私权保护获得了恰当的平衡。
另外,在现有法律框架内,我们还应在政府部门的数据安全与保密、信息筛选制度、信息认证等方面构建具体规则,完善信息收集的程序规则、进一步对信息划分采用不同密级与保密认证。从而既充分保护个人隐私权,又为个人数据的收集、传输和利用提供必要的保障。要说明的是,除了上述原则与安全港模式外,还有一种“技术及个体自我主导模式”,强调通过加强个体的权利保护意识和结合使用相关软件如“个人隐私选择平台(P3P)”等方式达到保护隐私权的目的。但由于这类系统或程序本身的安全性和可信度仍值得怀疑,因此这些工具性的技术软件并不能完全取代隐私保护的法律框架,而仅具有辅助保护之作用。
总之,电子政务信息公开所引发个人隐私权保护问题,其实质是公众的社会利益与个人利益之冲突。在利益衡量基础上,合理设置安全港模式,从而既最大程度促进信息公开,实现公众知情权;又最小程度损害个人隐私利益,维持二者之间恰当的平衡。
《论电子政务信息公开的隐私权保护》相关文档:
论电子政务信息公开的隐私权保护09-15
论网络隐私权的保护定稿05-30
