论我国网络信息保护立法中的实名制规则与信息收集必要性原则之张力
2014-02-11步超
步超
(北京大学法学院,北京100871)
·法学研究·
论我国网络信息保护立法中的实名制规则与信息收集必要性原则之张力
步超
(北京大学法学院,北京100871)
《关于加强网络信息保护的决定》填补了中国个人网络信息安全保护方面的立法空白。但它还不够完善。尤其是没有明确具有规范个人信息采集功能的信息采集必要性原则之准确内涵,且又提出了“网络实名制”这种新的个人信息采集规则。在比较研究的基础上,本文讨论了必要性原则的具体内涵,以此进一步分析了“网络实名制”规则与该法律原则之间可能存在的内在张力,认为实名制规则必须通过未来的细化完善才能与该立法的基本原则相协调。
个人信息保护;必要原则;实名制;隐私
经过多年的立法酝酿,2012年底全国人大颁布了《关于加强网络信息保护的决定》(以下简称《决定》)。这是自2001年出台《关于维护互联网安全的决定》11年之后,中国颁布的第二个立法层级的关于互联网规制的法律文件。也是第一个关于网络个人信息保护的立法文件。由于广泛存在着政府、企事业单位等主体通过网络或者其他形式采集并形成个人电子信息的实践,近年来有关个人电子信息被贩卖、滥用进而侵害公民权利的案件时有发生[1]。因此,《决定》的出台及时回应了现实发展的需要,保护个人网络信息已经成为一项基本的社会共识[2]。
尽管《决定》不是专门的法律,在形式和内容上都还不够完善,但其中最大的“亮点”之一就是提出了规范一切网络“信息行为”的基本法律原则——必要性原则[3]。但《决定》缺乏对该原则内涵的阐释,并且又提出新的网络个人信息采集要求——“网络实名制”。这就可能导致《决定》中法律原则与法律规则之间的某种紧张关系,从而影响立法目的的实现。本文通过对必要性原则的探讨,具体分析了这一紧张的内涵以及在两者之间实现协调的可能方向。
一、个人信息法律保护的全球趋势与中国的立法回应
(一)个人信息保护的立法模式
当代的普遍实践已经将个人信息保护纳入宪法基本权利的框架之中,并通过国家强制立法、行业自律等方式,规范一切主体针对个人信息的“信息采集行为”,强化对个人信息的保护。自20世纪70年代起,全球开始了一场对个人信息的立法保护运动。在欧洲大陆、美国、日本、以及我国的台湾地区等地,以“个人数据”、“个人信息”、“个人隐私”为名的立法相继出台[4]。并大致呈现出两种不同的保护进路。一种是将个人信息确认为独立的宪法权利,个人信息自主的价值获得优先考虑,主要依靠普遍性的严格立法对政府和非政府主体的“信息采集行为”实施同等标准的法律规制。比如在德国,个人信息被认为属于人格尊严的重要组成,宪政法院通过案例法确立了“信息自主权”。法院要求立法必须明确信息收集的目的和条件,以使公民知悉何种信息以何种理由而被收集,并且必须遵循法治原则和比例原则[5]。同时,德国还颁布了《联邦资料保护法》,并根据欧盟《资料保护指令》的同等保护要求,经过修改最终对政府与非政府主体的信息行为实施了统一化的规定[6]。另一种是将个人信息视作其他宪法权利的必要内容,更加重视信息保护与信息自由之间的平衡,并对政府与非政府主体的“信息行为”采取了不同的规制方法和标准;在借助普遍性强制立法的同时,更倚重行业自律、市场调节,只在市场失灵时才提出专门性的规定。比如在美国,法院通过案例法将隐私权发展为一项宪法所隐含的权利。这其中就包含着对个人信息保护的要求。由于更担心政府的侵害,1974年的《隐私权法》禁止联邦政府未经授权的个人记录披露,要求政府机关建立起个人记录的安全保障措施。而对非公共部门则仅根据需要在某些领域制定相关的法律。比如,制定了《电子通讯隐私法》等针对专门领域的隐私保护立法。一般情况下,则相信市场调节,通过“建议性行业指引”、“网络服务商认证制度”和“个人隐私选择平台”等行业自律方式保护个人信息[7]。
(二)中国个人信息保护的法律回应
可见,个人信息或者作为一项独立的基本权利,或者被纳入隐私权的“体系”[8]。具体保护模式的立法选择,在一定程度上可能只是一个法律技术问题,并部分反映了不同国家的宪政方法,和对于个人信息保护的不同侧重。在我国,尽管宪法文本中没有对个人信息保护的专门规定,但公民的权利体系不能因此而封闭化并拒绝将个人信息保护纳入。首先,宪法规定了“国家尊重和保障人权”,这为通过法律解释扩充宪法权利提供了可能。其次,保护个人信息至少是某些基本宪法权利的辅助性组成。如果公民担忧个人信息的收集、使用、披露将使其处于不利状态,那么这将影响其行使权利的决策。比如,身份信息的收集可能影响表达自由、对政府进行批评和建议的权利及结社自由;对个人电子邮箱使用记录的收集也可能侵犯通信自由和秘密权;泄露门诊记录等涉及隐私的个人信息还可能侵犯个人的人格尊严和隐私权。王利明教授等进而主张有必要将个人信息作为一项独立于隐私权的人格权制度在我国加以确立[9]。在立法上,我国对个人信息采取了一种“零售式”的、分散化的法律保护模式。根据笔者的不完全统计,从1984年到2012年11月,有超过100部法律法规文献涉及个人信息保护问题,分布在法律、法规、政府规章等各个层级,分别针对司法、医疗、金融、劳动保障等诸领域中的特定问题。其中,八部法律分别是《刑法》、《刑事诉讼法》、《护照法》、《出入境管理法》、《居民身份证法》、《统计法》、《社会保险法》和《关于维护互联网安全的决定》。五部法规分别是《电信条例》、《互联网信息服务管理办法》、《戒毒条例》、《缺陷汽车产品召回管理条例》和《彩票管理条例》。考虑到一些法律文献对个人信息的保护可能是在隐私权、干部档案的概念下做出的。因而,相关的规则性文件将会更多,更加体现了这一领域我国立法的分散性。且许多规定的只是最低限度的保密责任,责任追究仅限于个人信息不当泄露和通信秘密权受到侵害的情况。对个人信息的采集、持有、使用等环节没有相应的保护机制[10]。而缺乏对个人信息保护的系统性与普遍性规定,这就不利于个人信息保护的整体展开。《决定》的通过使中国有了第一部针对个人信息保护问题的专门性立法文件。其显著的立法特色就是同时借鉴了美国与德国的保护思路。既延续了分散化保护的模式,主要针对个人网络信息的保护问题,以应对网络空间中的独特挑战,而与美国通常在市场失灵时才对专门问题制定立法相似;但在规制方式上,类似德国等欧盟国家,中国似乎又有限度地选取了对政府与非政府主体的信息行为实施同等规制的保护进路。
首先,《决定》将保护的客体限定于识别个人身份与涉及个人隐私,并且存储形式为电子化的个人信息。第一,这意味着非以电子形式储存,比如表现为纸质文件的个人信息不在本法的调整范围内。比如,干部人事档案信息就受中组部《干部人事档案材料收集归档规定》的调整。第二,只要是以电子形式储存,不论是否与互联网有关,都在保护的范围之内。银行、学校等以电子方式存储的个人账户信息、学籍信息等,即使它们不是通过网络采集的,依然不得出售和非法提供。因此,定名为“网络信息保护”也许并不完全恰当,它同时涉及了“线下”的个人电子信息保护问题。第三,对个人信息的保护,实现了对收集、使用到保存问题的全面覆盖。对最低限度的保密要求,政府与非政府主体没有责任上的差别。而且,就信息的收集和使用,首次提出了公开收集、使用信息之目的、方式和范围,并取得用户同意的要求,并明确规定采集、使用个人信息还应当符合合法、必要、正当的原则。这就为将来可能的细化规定确立了基本的法律原则,对规制信息采集和使用行为具有突出的指导意义。
其次,上述法律原则的适用对象是“网络服务提供者与企事业单位”,没有像《个人信息保护法专家建议稿》那样明确将义务主体定为政府与和其他个人信息处理者[11]。那“网络服务者”这一法律概念究竟包括那些主体?根据《互联网信息服务管理办法》,“国家对经营性互联网信息服务实行许可制度;对非经营性互联网信息服务实行备案制度。”政府网站通常上也会按该《办法》的要求履行ICP(Internet Content Provider——网络内容提供者)备案义务,并生成备案号。因此,除了企事业单位的网站,政府网站似乎也属于本《决定》所谓的“网络服务提供者”,应受本法约束。但这就明显排除了政府在“线下”收集个人电子信息的情形,比如公安部门办理居民户口登记、中国人民银行建立的“个人信用信息基础数据库”等。也即,对企事业单位与政府“线下”的个人电子信息的收集、使用采取了不同的规制标准。此外,“网络服务提供者”不应只狭义地限于《决定》第6条所提到的网络内容服务与接入服务提供者,而应当包括所有网络服务的提供者,如开发即时网络会话软件的IT企业等,他们也应在用户使用其软件进行网络通讯时履行对个人信息的保护责任。
二、个人网络信息保护中的必要性原则
(一)中外信息保护立法中的原则规定比较
如果说《决定》在我国个人信息保护立法中具有里程碑式的意义,那么其最重要的根据就是《决定》对信息保护法律原则的首次阐明。关于个人信息保护的法律原则,除了各国家、各国际组织制定或倡导的特定目的、限制收集、限制利用、公开、知情同意、安全保护、个人参与、信息品质、享有救济等一般性原则,各国家还有自己独特的原则规定,如德国要求信息向主体本人收集的“直接原则”等[12]。但《决定》中的法律原则规定显得有些简略,并未遵从国外那种繁杂的原则体系。宽泛地说,《决定》提出了七条法律原则,既体现了个人信息权利限制国家过度干预的消极防御功能,也体现了要求国家制裁私人侵害的积极保障功能。其中多数条款涉及的是个人信息应以合理的安全措施予以保护,防止泄露、遗失、篡改的“安全原则”,以及国家应当建立违法行为制裁与个人救济制度的“责任原则”。只有第二条还提出了公开、知情同意两项原则性要求。但严格地说,只有第二条中“合法、正当、必要”的要求是明确以法律原则定名的。
外国立法例提出的诸多原则尽管有利于个人信息的全面保护,但显得过于繁杂,缺乏法律原则应有的概括性与包容性,使得原则层面的问题滑向具体的制度。而我国立法则以“必要原则”的概念,代替了与之相关的其他诸多原则,并可以成为特定目的、限制收集、限制利用等相关原则的上位原则,体现了一种立法技术上的简约化考量[13]。但这应以必要原则的具体化为前提。没有必要原则的约束,信息采集,尤其是电子化的个人信息采集总是倾向于不断自我膨胀的。而且保护信息安全,在措施方面,根本性的方法不是强化保护技术与责任追究,而是减少不必要的信息收集,降低信息泄露的风险性。因此,必要原则最能体现个人信息保护立法的根本制度功能,即在于限制政府与非政府主体的信息采集行为,并且是其他诸多原则得以更有效发挥作用的逻辑前提,因而在诸原则中具有首要地位。
对个人电子信息的网络保护问题首先提出了必要原则,是与当前网络服务提供者对个人电子信息的收集、使用特点密切相关的。一是信息收集的全面性。比如,国家公务员考试、国家司法考试等的网上报名中,往往需要个人上传肖像照片、提交身份证号、籍贯、出生年月、电话住址等详细信息,有的还要求填写个人工作简历和家庭情况说明。尽管政府为了实现某种行政任务而必须收集个人信息,但有一些信息对报名而言明显是不必要的。二是信息收集的多样性。首先是主体多样。政府、企事业单位、甚至个人操作的“人肉搜索”都可以搜集。其次是内容的多样性。除了《决定》规定的信息种类,依《互联网信息服务管理办法》,网络服务提供者还被要求记录用户“提供的信息内容及其发布时间”等其他个人电子数据。在实名制的条件下,这可以通过自动化处理和其他数据挖掘技术拼接成对公民网络服务使用情况的个人档案,这在一定条件也足以构成涉及个人隐私的信息[14]。三是信息收集的任意性。因为没有法律原则的限制,一般只要满足保密的要求,就可以根据相关主体的需要随意收集个人信息。比如在《决定》通过前,依在前已经施行一年多的《北京市微博客发展管理若干规定》,受北京市管辖的微博服务提供商都开始推行“实名制”。但对于何为真实身份所要求的信息,一些企业采取了任意的做法:仅仅是提供身份证号和姓名不够,毕业院校甚至都成了必要内容,否则不予开通服务。因此,必要性原则的提出具有很强的针对性。四是个人信息滥用。许多人都可能遭遇过,一次网上报名之后,自己的邮箱、手机就莫名其妙地开始收到各种各样的垃圾邮件或短信,其中有商业广告,也有办证、卖枪之类的违法信息。甚至出现了个人身份信息被盗,被用来办理电话卡号、商业贷款等更严重的情况。
(二)中国的必要性原则:主要内容与例外
结合中国当前的现状,借鉴外国制度经验,《决定》中的必要原则应当包括以下要求:
目的必要。以往的立法表现为约束私人机构严格,约束政府则不足,但政府的侵权情况有时比私人机构更显突出。对此,收集和使用信息的目的应当被限定于必要范围内。对政府而言,不论收集还是使用个人电子信息,明确地仅限于维护不得不保护的利益这一必要目的。不是这一目的所必需,即使获得同意,也不得采集。因此,政府就更不应使用自己掌握的个人信息开展网络增值业务以赚取收益。而公安部设立的“全国公民身份证号码查询服务中心”就利用户籍信息提供面向个人的“寻亲访友服务”,收费标准80元1人次。而对非政府主体,明确地限于与开展合法的业务工作相关的必要目的,并符合其他法律要求。收集、使用信息应当对于完成自己的经营活动和有关业务而言是合理相关的、必要的。比如收集客户住址信息用于送货、产品召回等售后服务,将个人的信用情况用于审贷业务等,而不应在业务范围外收集、使用个人信息。
手段必要。收集、使用个人信息所采取的手段不应是任意的,而应当有所限制,仅限于那些对实现收集和使用之目的必要的手段。这就要求以公正、适当的方法从事信息采集行为以实现必要目的,而不能采取违背相关目的的手段。更进一步,对政府而言,还应当符合行政法上的比例原则要求,即应采取对于公民权利限制最小、影响最小、侵害最少的手段,同时手段的强度不得超越所欲追求的公共利益。比如,对于居民身份登记,不能为了个人信息的完备性就要求“指纹建档”。2006年,台湾地区“司法院”就通过解释,认为台湾当局领取身份证需“摁指纹”的规定侵犯了人民基本权利[15]。而2010年,内地教育部却在全国高校推行冬季长跑活动时要求学生在某网站注册后根据网站生成的注册码到学校录取指纹。此事最后因教育部相关负责人与该网站经营者之间的师生关系被揭发而不了了之。政府为推进大学生冬季长跑运动开展采集参与人员信息的工作可能是必要的,但“摁指纹”这一方式则明显手段不当。
时间必要。即收集、使用个人信息应当有时间上的限制,在特定的时间段内,某些信息行为可能符合目的必要与手段必要的要求,但是时间段过后,就不再必要了,因此相关的个人信息就应不再保存,或者应被禁止提供而不再使用。这就将过程的、动态的必要性观念引入个人信息保护之中,完成信息使用或者收集目的后,信息采集与使用的根据就失去了法律基础。英国1998年的《资料保护法》就要求,为任何目的处理的个人资料都不得超过该目的所需要的时间而保存,具体时限应由收集使用信息的目的确定。而我国相关的立法中,对保存、使用时限的规定较少。此外,对不同的问题,信息时限应当是不同的。同时,“时间必要”也是抑制个人信息数据库不断自我膨胀、减轻数据维护负担的需要。比如,《互联网信息服务管理办法》要求网络信息服务和接入服务提供者应当保存用户个人记录60日。毕竟,非政府主体能占有的资源很有限,不可能为满足调查犯罪的公共目的,提供大容量的数据空间以长期保存不断膨胀着的用户个人数据,因此在确定时限时,也必须考虑经济性因素。
最少必要。即使符合上述几项必要性要求,政府与非政府主体依然应将信息行为压缩在尽可能最低的限度内,尽可能少采用或者不采用个人信息。《决定》出台之前,2012年由工信部颁布,作为行业指导性文件的《信息安全技术公共及商用服务信息系统个人信息保护指南》中就已经明确提出了“最少信息收集”或“最少够用原则”的原则性要求。这一要求体现了对于通过现代信息技术采集、使用个人电子信息之便利性的警惕。网络通讯技术和电子化的数据形式使得个人信息能以较低的成本被大规模地采集、保存和使用,不必再面对面的人工填写并提交,不必再誊写或复印,甚至只需要点击鼠标选择给定的内容,个人信息就能被轻易采集并无限复制。因此,最少必要的要求对于个人电子信息的网络保护就更具针对性,体现了一种节约信息、进而降低个人信息泛滥风险的努力。比如,一份个人电子信息如果已经能够满足相关目的的需要,就不应当为了微小的便利而允许制作大量的拷贝副本,从而增加信息泄露的风险,并增加未来采集信息必要性消失时彻底删除个人电子信息的难度。
当然,必要原则并非绝对。根据国内外立法实践,实际上存在着两种类型的例外作为该原则的必然补充。一是即使符合必要性原则,也禁止处理某些敏感信息。除非个人同意,对它们一般也不得收集或使用。比如个人的性取向这类纯隐私性的信息。二是即使超越了必要性的范围,也允许处理某些个人信息。比如新闻自由的例外。对平面媒体而言,文字可能就足以说明问题,但依然可以通过合理合法的图像采集提升新闻的报道价值,包括对个人肖像的传播和使用,除非当事人明确禁止,一般认为其默示同意使用。这也部分说明了个人信息保护立法中不同原则的共同适用导致了更为复杂的保护形态,一些原则可能对其他原则的适用创造例外。
三、“网络实名制”的必要性反思
以前述必要性原则分析,在一个以保护网络个人信息为名的法律文本中,要求个人“办理网络接入服务、网络信息发布服务”以及办理电话入网手续时提供“真实身份信息”,就似乎有点“题”“文”不符的意味。保护个人电子信息意味着规范与限制一切主体的信息收集、使用行为从而降低信息泄露和被滥用的风险,而“实名制”则意味着对身份信息的收集,因此不能让人直接地理解“实名制”之起到个人信息保护作用的根据。
实际上,主张实名制的通常理由恰恰不是个人信息保护这一私权保障的需要,而是网络内容规制(content regulation)这一基于净化网络环境、防止非法信息传播之类的公共利益考量。实名制的逻辑,是通过将个人的行为与其身份建立明确的联系,从而增加个人对其网络行为的自我审查(self-regulation)效果。通过这种自我审查的强化,可以期待网络违法信息行为的减少,诽谤他人、制造谣言、提供侵权文件的违法分子可能因其违法活动的可观察性而面临更高的制裁风险。在这一意义上,这的确可以对散布他人隐私的违法者形成一种更强的制裁威慑,从而侧面地对个人隐私与名誉权起到保护的效果。曾经实行网络实名制的代表性国家韩国,就是基于实名制的自我审查机制,试图控制不负责任的诽谤言论以维护选举期间的竞选公正、个人隐私及名誉权[16]。但韩国的网站运营商认为,实名制对恶意贴文的抑制效果并不明显。[17]此外,合法的言论也可能因实名化而更易遭到打击、报复或面临其他社会集团的压力,从而起到限制言论自由,抑制公民批评建议政府权利的效果。所以,创作中使用笔名、匿名写作的情况自古有之。总之,《决定》在立法技术上因此显得有些不符合逻辑严整性的要求。而将“内容规制”的法律规则放在关于个人信息保护的立法中予以通过,可能是为了增强实名制施行后公众对个人电子信息安全的信心,从而起到降低实名制推行阻力的效果。但在这个意义上,“信息保护”就反而成了“推行实名制”的陪衬。
不可否认,基于内容规制的公共利益追求,实名制在逻辑上似乎可以发挥效果。但从网络治理的整体性出发,正如信息保护各项原则的同时适用会形成对彼此的限制一样,内容规制的政策目标同样应受到信息保护要求的限制,因而“信息保护”与“实名制”之间的张力需要在必要性原则的视角下接受更多的审视。
首先,必要原则要求“最少的必要”。而内容规制实际上只应针对违法信息,对于其他类型的信息,缺乏获取个人身份信息的必要性。一些人只想交流某些私密性的话题而建立了专门的网络平台,只有获得邀请的成员才能访问,特定的信息只在他们的网络社区内传播,对其施加实名制要求的必要性明显低于开放式的公共网络论坛,故不应采取“一刀切”式的普遍化实名要求。比如,韩国推行的网络实名制就仅限于日访问量大于1万的网站[18]。否则,全网络实名化,必然会严重“放大”个人的信息安全风险。一旦真实的身份信息泄露,因为这种信息的变更成本很大,像身份证号等基本跟随个人一生,其泄露造成的危害后果一般是难以扭转和消除的。2011年中国就发生过国内“最大开发者技术社区CSDN”600万用户数据泄露(包括用户名和明文密码)和“天涯社区”4000万用户数据包被疯传的事件。试想,如这换成了4000万用户的身份证号、家庭住址、邮箱、电话等身份信息的泄露,其潜在危害就难以预估了。这也会给实名制政策的推行造成巨大的压力[19]。韩国的网络实名制已于2012年被废除,除了宪法裁判所的违宪判决,另一个重要的诱因就是2011年发生了某重要网站遭到黑客攻击,造成3500万用户个人身份数据泄露的严重事件[20]。
其次,实名制的自我规制机制是以用户提供自己真实身份为前提的,但这存在操作上的困难。如果提交不实的身份信息,网站根本无法核实。因此,笔者注意到ISP开始与公安部的“全国公民身份证号码查询服务中心”联网,对被提交的姓名与身份证号码进行一致性比对,未通过检验则不能使用信息发布服务。但这依然不能阻止盗用身份信息的情况出现。毕竟,“在互联网上,没有人知道你会是一条狗”(On the Internet,nobody knows you are a dog)。盗用他人的身份信息依然可以维持某种网络的匿名性,而且盗用是否存在本身就是不可见的、匿名的。国内盗用他人身份信息的案件并不少见,著名的“齐玉玲案”就是盗用他人姓名冒名顶替上学。尤其是对那些真正的违法者而言,实名制可能会刺激他们对个人信息的需求,反而进一步扩大了非法的个人信息交易活动。而且,实名制实施以前已经有大量的身份信息被泄露了,而实名制后由于更大范围的个人身份信息的采集,泄露的风险进一步加大,违法者可以更容易获得身份信息并加以盗用。因此,实名制可能是一个只能防“君子”,不能治“小人”的办法。此外,身份被盗用的个人,在证明清白之前,将可能承担违法者的行为后果,被调查甚至起诉,导致合法公民受到严重的权利侵害与极端的不公正待遇,并可能引起公众对实名制政策的批评。而如果为了防止盗用,必然需要进一步设计有效的核实方法。而这又多是以更多地采集个人信息为手段的。比如要求进一步核实用户肖像等,从而陷入了一种不断提升个人信息安全性风险的“恶性螺旋”。即使真的解决了盗用问题,也可能因信息过度采集而严重违反必要原则的要求。此外,未满16周岁的青少年群体、没有本国身份证件的外国人,目前由于无法提交可被简易核实的身份证号等个人身份信息,实践上就不能完全获得相关的网络信息发布等服务,从而违反了权利的平等保护原则,并可能刺激这类群体使用他人身份信息的需求。因此即使推行实名制也有必要对不同群体,尤其是那些不能提供简易的、可供核实的身份信息的群体做出不同的细化安排。
最后,由于网络服务的集成性,普遍的实名制可能造成个人网络生活完全“透明化”的后果。尽管《决定》只要求三种情况实名,即接入网络、接入电话、网络信息发布。但许多网络服务提供商只是把信息发布等作为其诸多网络服务的一部分,它们还提供网络空间用来存储个人文件,传递即时会话信息、发送私人电邮等其他服务,诸多网络服务已经集成一体,一种服务的“实名化”不能不导致其他服务的“实名化”。比如网易微博的账号就是网易邮箱的账号,微博实名就等于电邮实名;腾讯qq账号也是微博账号,微博实名同样导致qq账号实名。对于网络服务商而言,用户个人就因一项服务的实名制要求而导致其他服务的全面实名化,个人对服务商就如同完全“透明化”了一般,使用其服务的网络行为就变得毫无隐私可言。而对政府,由于实名制的普遍适用,一旦展开调查,基于“大数据分析技术”,通过被称之为“图表化”、“匹配”、“数据集成”和“数据挖掘”的技术分析,来自不同网络服务商的、无联系的个人信息就可以被集聚起来,即使其所集聚的仅仅是来自公共领域的数据,其所创立的基于各种信息来源的个人信息数据库,以及从那些公开信息的碎片中推导出来的其他信息,也足以“拼合”并描述具体个人的完整网络生活[21]。而且,官僚机构对信息的需求是日益增长、永无止境的。为了其他目的,如果没有有效的监督,他们有可能违反自己制定的规则去获取信息。从根本上说,“实名制”也就使个人众多的网络生活细节变成可被观察的对象,比如在网盘储存了什么文件,通过“站内私信”与谁做过什么交流等等,从而创造了一种个人可被观察,但他不知道自己在何时以及被谁“观察”的数字空间。个人的隐私也就仿佛处在了一种看不见而又无所不在的权威之下[22]。因此,追求内容规制如果导致了私人网络空间的最终沦失,其必要性就值得做出根本反思,考虑是否还有其他潜在影响更小的替代方法以兼顾内容规制和网络隐私保护。
四、结论
《决定》的出台弥补了我国个人信息保护立法的一项空白,必要原则等基本法律原则的提出对未来的信息保护立法具有根本意义。但是《决定》中基于内容规制目标的实名化要求却与个人电子信息保护的立法目的联系松弛,并且普遍化的“一刀切”实名制显得粗疏。实际上,“实名制”对网络违法信息的自我规制效果本身也值得怀疑。2013年以微博为突破点,中国政府部署的对于网络谣言、网络水军等违法信息发布、传播行为的集中打击活动,恰好说明了实名制并没有起到立竿见影的“内容自我审查”之成效。反而,实名制还可能造成过高的信息安全风险,过度的信息收集倾向以及严重的潜在后果。因此有必要在将来的实践中,在反思的基础上对实名制进一步加以调整,寻找更为精细适当的变通方案从而与信息保护的立法原则更好地协调。
参考文献:
[1]余荣华.北京破获特大贩卖个人信息案——网上“夫妻店”,倒卖上千万条公民信息[N].北人民日报,2011-09-23(11)。
[2]曹林.网络立法需要寻求基本共识[N].中国青年报,2012-12-24(1)。
[3][6]蒋舸.个人信息保护法立法模式的选择———以德国经验为视角[J].法律科学,2011,(2).
[4]齐爱民.拯救信息社会中的人格——个人信息保护法总论[M].北京:北京大学出版社,2009.41.
[5]张千帆.宪法学导论——原理与应用[M].北京:法律出版社,2006.657-658.
[7]华.网络时代的隐私权——兼论美国和欧盟网络隐私权保护规则及其对我国的启示[J].河北法学,2008,(6).
[8]洪海林.个人信息的民法保护研究[M].北京:法律出版社,2010.189.
[9]王利明.人格权法的发展与完善——以人格尊严的保护为视角[J].法律科学,2012,(4).
[10]李长喜.中国个人信息的网络立法保护[A].周汉华.个人信息保护前沿问题研究[C].北京:法律出版社,2006.189.
[11]周汉华.个人信息保护法(专家建议稿)及立法研究报告[M].北京:法律出版社,2006.52-56.
[12]蒋坡.个人数据信息的法律保护[M].北京:中国政法大学出版社,2008.52-63.
[13]郭瑜.个人数据保护法研究[M].北京:北京大学出版社,2012.167-177.
[14][日]小林麻理.IT的发展与个人信息保护[M].夏平等译.北京:经济日报出版社,2007.5.
[15]肖登辉.行政法中的个人信息保护问题研究[M].武汉:湖北人民出版社,2011.62-68.
[16]Eric Fish,Is Internet Censorship Compatible with Democracy?:Legal Restrictions of Online Speech in South Korea,Asia-Pacific Journal on Human Rights and the Law,vol.2,2009.[EB/OL]Social Science ResearchNetwork,http://papers.ssrn.com/sol3/papers. cfm?abstract_id=1489621,2013-09-14.
[17]顾列铭.韩国的网络实名制[J].观察与思考,2009,(11).
[18]詹小洪.韩国为何废除网络实名制[J].新民周刊,2012,(36).
[19]贺涛,李湘宁.解码泄密门[EB/OL]财经网, http://magazine.caijing.com. cn/2012-01-16/111619471.html,2013-09-14.
[20]新京报.韩国拟取消网络实名制防止用户个人信息泄露[EB/OL]新京报电子版,http://epaper.bjnews. com.cn/html/2011-08/12/content_263841.htm? div=-1,2011-08-11.
[21]吕耀怀.当代西方对公共领域隐私问题的研究及其启示[J].上海师范大学学报(哲学社会科学版),2012,(4).
[22][英]吉隆·奥哈拉,奈吉尔·沙德博尔特,咖啡机中的间谍——个人隐私的终结[M].毕小青译.上海:生活·读书·新知三联书店,2011.192-194.
The Tension between the Necessity Principle of Personal Information Collection and the Online Real-name System in Chinese Internet Legislation
BUChao
(Law School,Peking University,Beijing 100871,China)
The Decision on Strengthening the Protection of Network Information established the protection of personal online information in China.However,this Decision is not perfect.It didn't describe the accurate content of the necessity principle of personal information collection,which regulates the acquisition of private online information.What's worse,it established an online real-name system which collects much more private information than before.On the basis of comparative study,the author specified the accurate content of the necessity principle and discussed about the tension between this principle and the new real-name system. Based on the analyses in the paper,the author argued that the real-name systemshould be modified or it can't coordinate with the necessityprinciple.
protection ofpersonal information;the principle ofnecessity;real-name system;privacy
D923.49
A
1674-828X(2014)02-0025-07
(责任编辑:郭鹏)
2013-12-20
步超,男,北京大学法学院2012级宪法学与行政法学专业博士研究生,主要从事互联网规制,行政组织法研究。
