问:2012年全国人大常委会通过了《关于加强网络信息保护的决定》,是我国有关网络信息的首部专门立法,请问《规定》在贯彻落实该决定方面有无进一步的举措?
答:《网络信息保护决定》确实具有非常重要的意义,它确立了个人信息尤其是个人电子信息保护的基本原则,即合法、正当、必要的三原则。但是,应该看到,在互联网时代,个人信息尤其是个人电子信息的保护正面临着诸多挑战。一是在个人信息的收集上,现行法律环境和互联网的发展导致个人信息的收集几乎无处不在。二是个人信息的利用,在广度、深度上都发生了实质性的飞跃,大数据技术已经成为互联网发展的重要推动力。三是个人信息的内涵、外延都在发生着深刻的变化,它的内涵越来越丰富,范围越来越广。
基于这些背景,《规定》在个人信息保护方面,用一个条文作出了规定,主要特点是:
一是在针对的事项上,鉴于本解释重点在于规范利用信息网络侵害人身权益的行为,因此在个人信息方面,主要针对利用信息网络侵害他人信息权益的行为。
二是在调整的行为上,本解释仅调整利用信息网络公开个人信息的行为,而未涵盖收集、利用等行为类型。原因在于,通过民事司法保护个人信息,有其内在的制度要求,例如,针对非法收集、利用个人信息的行为,如果在立法上无集体诉讼制度、公益诉讼等制度辅助,则实践中通过民事诉讼方式实现权益保护就比较困难。再例如,仅违法收集个人信息造成何种损害、作出何种赔偿、是通过行政手段治理更加有效还是通过民事诉讼手段更加合理,也需要立法上予以明确,等等。但是,通过信息网络非法公开个人信息的案件,在实践中已经发生,在法律上也应当承担侵权责任,应无异议。
三是列举了一些较为敏感的个人信息,强调其保护的重要性。基因信息、病历资料、健康检查资料、犯罪记录、家庭地址等,都属于比较敏感的个人信息。这些信息一旦向社会公开,不仅会造成个人难以弥补的损害,而且很多情形下会造成整个社会的不安。
四是明确了一些例外。这些例外,要么考虑到互联网时代个人信息一定程度公开的不可避免,要么考虑到公共利益的要求,要么考虑到当事人的意思自治。总体原则仍然是,合法、正当和必要。
五是本条规定不适用于国家机关公开个人信息的行为。原因在于,国家机关公开个人信息的相关问题,涉及到行政法、行政诉讼法的相关内容,不宜通过民事诉讼加以解决。