随着信息技术的广泛应用和互联网的不断普及,个人信息在社会、经济活动中的地位日益凸显。与此同时,滥用个人信息的现象随之出现,手机号码、家庭住址等信息被当做商品一样买卖,人们仿佛成了一个个“透明人”。合理利用和有效保护个人信息已成为政府、企业、个人和社会各界广泛关注的热点问题。
考虑到社会各界对个人信息的安全日益重视,特别是对国家机关要求更高,普遍认为国家机关应该以身作则,切实承担起对个人信息保护的责任。因此,在现有法律法规框架下,开展国家机关个人信息保护制度构建研究,为组织层面的个人信息保护制度构建提供可实施的策略,显得尤为必要和紧迫。
本文在中外法律法规、相关文献调查及研究的基础上,以信息资源全生命期管理思想为指导,提出了我国国家机关个人信息保护制度构建的框架和实施策略。
制度构建思路
个人信息保护工作涉及政府企事业部门多、问题复杂,笔者认为国家机关应有所作为。因此按照分阶段实施的思路,本文提出应率先编制国家机关内部管理的规范性文件,以规范国家机关个人信息管理行为。
在实践探索基础上,达到以下目标:一是国家机关能够管理好部门内部掌握的个人信息,做到不违法;二是行业主管部门可基于文件要求和行业特点,制定适合本行业的个人信息保护规定与实施指南,加强行业监管;三是企业通过参与国家机关外包项目,逐步建立内部个人信息保护制度,不断增强个人信息保护意识;四是随着全社会个人信息保护氛围的逐步形成,将制定个人信息保护地方性法规;五是在个人信息保护地方性法规实施一段时间后,待条件成熟时,可适时出台个人信息保护法。
基于上述考虑,我们以国家机关为突破口,从“为什么构建”、“构建什么”和“如何构建”三个方面,对国家机关个人信息保护制度框架设计和实施策略进行研究。“为什么构建、构建什么”包括:国家机关个人信息保护与管理的合法、合规、合标的一致性要求分析及制度构建依据研究,国外个人信息保护与管理的原则、框架、要素、要求及其对个人信息保护制度构建的借鉴研究。“该怎么构建”包括:提出国家机关个人信息保护制度框架,主要涉及国家机关个人信息保护制度构建的思路、原则、内容、实施策略、争议问题处理等。
制度构建原则
课题组以1984年到2010年间颁布的103部涉及个人信息保护的法律、法规及文件为样本,对有关个人信息保护的相关要求进行了分析。分析调查揭示,个人信息保护主题越来越丰富,个人信息保护的法制建设已经渗透到生活的方方面面,其中,网络、医疗、金融、行政、司法和社会劳动保障这六个主题涉及的个人信息保护法律、法规最多,属于与人们日常生活关系最为密切的活动领域,也是个人信息最易泄露的领域。在103部法律、法规及文件中,安全性、共享使用和管理咎责三个方面的要求最多,但缺少系统化的方法,未将个人信息作为信息资源进行全流程管理。
2009年至2010年,课题组采用文献调查法,收集到美国、韩国、新加坡等12个国家、地区和国际组织的221件相关文献,对与个人信息保护制度构建相关的术语、原则、框架、要素进行研究,发现其中对国家机关个人信息保护制度构建的建议有:在个人信息采集制度上,行政主体必须在法定职权范围内收集个人信息且收集个人信息确属必要,并且行政主体在收集个人信息时,应告知相对人其个人信息的收集目的、储存管理部门以及使用范围;在个人信息使用制度上,行政主体应规定任何个人信息未经许可不得公开,不得用于最初收集该信息目的以外的其他场合,除非法定例外情况。此外,信息收集人还要保证该信息的完整、准确和安全;在个人信息查询展示制度上,行政主体应建立相应的个人信息查询系统,以方便公民对行政主体储存、使用自己个人信息的情况及时了解。
结合上述研究成果,我们提出构建国家机关个人信息保护制度应遵循以下6个原则:
分类管理:国家机关应按照“共同带有区别”的原则,对涉及隐私的个人信息和个人信息实行分类管理;
保护与利用平衡:国家机关应以保护个人信息为主,兼顾跨部门、跨层级有限合理使用;
合法便民:国家机关在涉及个人信息的管理活动中,应当遵循相关法律法规,方便信息主体;
遵循国际惯例:国家机关在进行法律法规及我国政府缔结或者参加的国际条约没有规定的涉外活动时,可参照国际惯例;
全程管理:国家机关应当统筹管理个人信息的采集、使用、存储、更新和处置,保证管理活动的连贯性、一致性和规范性;
信息化管理:国家机关应当充分利用信息技术促进个人信息,特别是网络中个人信息的有效保护和利用,积极推动公共资源的现代化管理。
