日本个人信息的保护机制
作为法律保护体系的配套机制,日本借鉴美国式的行业自律模式,在灵活性的基础上确保经济的高速发展。1999年通产省出台了日本工业标准《个人信息保护管理体系要求事项》,向保护措施得力的企业颁发隐私认证标识(P-MARK认证),便于消费者判断该部门的个人信息保护水平。2001年出台了“安全管理系统评估制度”(ISMS 制度),并配合 ISO/IEC17799-1(BS7799)国际标准(也称第三者认证制度)加强信息管理。
针对个人信息争议处理机制,日本采用了独特的审查会咨询制度来平衡个人信息的公开与保护,1988年设置的个人信息保护审查会被定位于咨询机关,而不是裁决机关或监督机关,从而尽量减少对企业自由活动的限制。2005年该审查会更名为信息公开与个人信息保护审查会,咨询对象限于特定法律所涉的行政主体。
日本个人信息保护体系的核心是《个人信息保护法》,它一部统领个人信息保护的综合性法律。该法形式上迎合了欧盟《个人数据保护指令》的要求,但实质上吸收了美国个人信息保护法的特点,同时又坚持了自己原有的一些立法理念。从内容上看,它并没有直接赋予国民个人特别的权利,而是在承认个人信息有效利用的前提下,确保国民的正当权利和利益不受损害;从结构上看,它是一部规范和限制所有个人信息持有者和处理者(政府部门和企业)相关行为的法律。该法的出台,对日本公民个人而言,有了维护自己个人信息的法律武器,对企业而言,用户的个人信息保护得到前所未有的重视,并将其提高到战略性高度去实施。
日本个人信息保护对中国的启示
2012年5月,中国电子信息产业发展研究院与中国软件评测中心联合发布的《公众个人信息保护意识调研报告》指出,个人信息被盗用的占到了六成以上。造成这些现象的原因很多,但其中很重要的一点就是公民自己对个人信息保护意识不强,很多没有必要提供个人信息的场合下,如在参加产品推销会、办会员卡、领取赠品、参加免费体检等这样的活动中轻易地提供了自己真实信息,结果被一些别有用心的不法分子滥用和盗用,给自己带来烦扰和财产损失。此外,网络购物催生的快递服务已经迅速走入普通百姓的生活,很多人在收到快递包裹后,就随手丢弃了附有个人姓名、住址和电话的包装,再加之有些不良快递企业将公开出售快递单据作为“副业”,快递行业也成为个人信息泄露的重灾区。日本人固有的谨慎使得民众整体的安全意识相对较高,对他人索取个人信息有一种天然的防范心理。即便如此,日本政府在2003年《个人信息保护法》出台后正式实施之前仍然留出了两年时间,在这段时间里新闻媒体进行了大量的法律宣传,既为企业消化法律条文、结合行业特点进行企业制度建设留出了缓冲余地,同时也极大地增强了公民的维权意识。中国政府也应考虑投入相应的财力、物力,充分利用电视、报纸、网络等各种媒介进行个人信息保护的持续宣传,切实提高公民的权利保护意识。
中国已经进入信息化社会,政府为了履行法定职责,必然要收集和掌握大量的公民个人信息,各个职能部门都在不断地建立有关公民户籍、不动产、车辆、医疗等大型计算机数据库,在使用过程中很有可能会出现个人信息失控的局面,政府必须采取保护公民的个人信息的相应措施,并将保护公民的个人信息作为义不容辞责任。纵观日本个人信息保护法制的建立过程,无论是地方机构还是中央政府,都以对行政部门的规制为重点,一贯秉承对政府公权力的限制,防范其对公民权造成侵犯。导致个人信息泄露的原因是多方面的,尽管众多专家一直在教授如何避免信息泄露的技巧,但不能否认的是,即使个人已经万般小心,政府强制实名注册的要求都是必须要遵守的:如全国旅客乘坐列车实行车票实名制、储蓄实名制、电话入网的用户实名制。若干实名制措施的实施确实提高了政府管理效率、方便了百姓生活,也利于社会治安的维护,但我们不能忽视的是,12306作为铁道部唯一授权的火车票订票官方网站在2014年12月25日被爆料,超过13万条的用户数据在互联网上被传播和售卖,这其中包括注册公民的用户账号、明文密码、真实姓名、邮箱、身份证号等,由此衍生出的巨大财产和人身安全风险尚无法完全预知。铁路公安机关迅速抓捕了犯罪嫌疑人,也基本分析得出,此次用户信息泄露极有可能是黑客利用已泄露的用户名及密码到12306等网站尝试批量登录,进行“撞库攻击”获得的。尽管已经排除12306官网内部人员主动泄露,但不能否认的是12306网站账号安全体系存缺陷,因此,无论从数据库的技术设计还是从安全监管上看,政府都难辞其咎。从另一个角度讲,政府应当就拟实施的实名制举行民众听证,充分听取民众意见。
在立法模式的选择方面,各个国家差异比较大,日本在《个人信息保护法》立法前,曾考虑效仿欧盟采用统一立法方式,但是经过进一步的比较研究,日本政府又开始倾向于采用美国的分散立法模式。现行日本《个人信息保护法》结合了本国特点,最终采取了统分结合的方式。中国政府在制定个人信息保护法之前,立法模式也是要考虑的,一方面,鉴于中国法律体系的现状,很难在短期内对政府部门和其他企业(如保险、金融)进行分别个人信息保护的立法,而且中国尚未建立隐私权保护制度,个人信息也难以像美国那样借助已有的隐私权制度外壳加以保护,因此不适宜采用分散立法模式;另一方面,如果单纯采用欧盟的统一的立法模式,又容易造成标准僵化严苛,束缚个人信息的正常流通,妨碍国际贸易和电子商务的发展。因此,日本在制定法律之前的立法考量是权衡利弊之后做出的,中国也应采用统分结合的立法模式,着眼于未来信息产业的健康发展,在一部法律中既要对政府部门和企业等其他个人信息处理者做出统一的原则性,又要分别规定各自的义务和责任,同时还要不断完善行业自律机制,为企业留出自由发展的空间。
(作者为黑龙江大学法学院教授;本文系黑龙江省研究生创新科研项目“网络时代个人信息的民法保护研究”成果,项目编号:YJSCX2012-267HLJ)
【注释】
①[日]芦部信喜:《宪法学II人权总论》,日本:株式会社有斐阁,1994年,第369页。
②杨帆:“从比较法的视野分析现代隐私权及其权利位阶”,《私法》,2007年第9期。
③姚岳绒:“日本混合型个人信息立法保护”,《法制日报》,2012年6月19日。
④[日]堀部政男:“日本个人信息保护制度探索”,《记者》,2000年第11期。
⑤[德]Christopher kuner:“欧盟的隐私和数据保护”,温珍奎译,载周汉华主编:《个人信息保护前沿法律问题研究》,北京:法律出版社,2006年,第44页。
责编/于岩(实习)
