一、技术发展带来的隐私权危机
“电子眼”是个通俗的称谓,它是指采集特定空间人类活动数据的一种技术装置,由摄像系统、传输系统、储存系统、处理系统等部分构成。随着电子摄像技术和数据处理技术的快速发展,电子眼逐渐成为公共管理、企业或私人保安的重要技术工具,其存在和使用也越来越广泛和深刻地影响老百姓的日常生活:无论你是在北京的三环路上开车还是在天安门广场观光,也不管是白天或黑夜,总有无数只电子眼在盯着你。很多时候你都是在“众目睽睽”之下,成了“透明人”,隐私权受到极大威胁。这使得我们再次认识到:大多数技术是中性的,它既可能给人们带来福利,也可能给人们带来损害乃至灾难。因此,用法制手段规范技术的正确利用,使之造福公众并尽可能避免其副作用之发挥,就成为立法者和管理者的重要任务。
前不久,北京市和其他一些省、自治区、直辖市人民政府颁布的诸如《公共安全图像信息系统管理办法》,是规范电子眼装置和相关数据之处理、利用的地方行政规章。这样的规定一出台就引起了社会的广泛关注。有人认为,这样的法规强调“管理”的多,规定“保护”的少。其对有关隐私权的保护之规定,只是蜻蜓点水,没有具体措施,尤其是缺乏侵权责任的规定。这样的批评有一定道理,但是从法制建设的系统性角度来看,似乎还需要从更高层次的立法中寻求解决方案。这样一项由地方政府制定的行政规章,是不可能解决这些重大问题的。
二、电子眼与个人数据保护法
利用电子眼对特定的空间进行监控获得图像信息,实时传输到信息处理终端,实时或者嗣后对其进行处理和利用,这样的行为在本质上属于收集、传输、处理和利用个人数据的行为。从个人数据保护法的角度来看,这种行为与通过计算机获取用户的登录资料、通过手工调查问卷获得被调查者的个人信息并没有实质的区别。其特殊性在于:(1)采用的手段:电子摄像等设备;(2)行为的目的:公共管理或者私人(含企业)保安。
个人数据保护已经成为国际社会和许多国家立法关注的热点问题。早在1980年9月23日,经济合作与发展组织(OECD)发布了《关于隐私保护与个人数据跨界流动的指导方针》。欧洲议会和理事会于1995年10月24日发布了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(95/46/EC),2000年12月18日发布了《关于与欧共体机构和组织的个人数据处理相关的个人数据保护以及关于此种数据自由流动的规章》(欧共体规章第45/2001),2002年7月12日发布了《关于电子通信领域个人数据处理和隐私保护的指令》(关于隐私和电子通信的指令2002/58/EC)。自上个世纪90年代末以来,英国、法国、德国等15个欧盟老成员国以及匈牙利等新成员国均以这些指令为基础,分别制定了本国的个人数据保护法。在这些国家的实践中,无论是出于公共管理目的的电子监控行为还是为了企业和个人保安目的的电子监控行为,均纳入个人数据保护法的调整范围。
上述“指导方针”、“指令”和国内法确立的个人数据保护的基本原则包括:(1)数据质量原则与目的合法原则,要求正当、合法地收集和处理个人数据,而且符合具体、明确的合法目的,收集和处理个人数据必须是适当的和相关的,而不得过度收集与处理,收集的个人数据必须是准确的而且保持必要的更新;(2)数据处理合法化的原则,处理个人数据一般应当得到数据主体的同意;(3)特殊数据的处理规则;(4)告知数据主体信息的原则;(5)数据主体有权获得数据的原则;(6)关于国家安全等的例外规定;(7)数据主体的拒绝权;(8)数据处理的保密和安全;(9)数据处理人的通知义务。此外,还有关于司法救济、责任与制裁等方面的规定。
我国有关部门正在着手研究起草个人数据保护法,但是由于重视不够、牵头部门协调力量有限等原因,导致这一过程进展缓慢。在笔者看来,加快制定我国个人数据保护法是十分必要的。个人数据保护问题是一个全社会、全方位的问题,不可能通过地方立法解决;由于它涉及到民事权利的保护与相关权利的冲突与协调问题,也就当然不能由制定行政法规的方式来解决。而且还需要看到,制定这样一部法律不仅是规范政府机构等公共机构、企业和个人合法收集、传输、处理和利用个人数据并保护个人隐私权的迫切要求,也是进行正常的国际民事、经济交往的必然要求。可以说,在今天的“环保壁垒”之后,接踵而至的将是“个人数据保护壁垒”。对此,我们应当做好充分的准备。欧盟和美国的立法实践为我们提供了可资借鉴的经验。
三、电子眼与隐私权保护法、侵权责任法
隐私权保护法律制度和侵权责任制度均属于民法的重要组成部分。个人数据保护法与传统隐私权保护法不完全相同的是:(1)个人数据大部分可以纳入传统隐私权保护法的范畴,但是有些个人数据尚不足以构成“隐私”;(2)传统隐私权保护法侧重于对权利的消极保护和救济,而个人数据保护法既充分保护作为隐私权课题的个人数据,又规范为了正当目的(如公共管理目的、保安目的甚至商业目的)合理利用个人数据的行为。
我们面临的问题是:传统意义上的隐私权保护制度尚未建立健全,信息时代的个人数据保护警钟却已经敲响。作为基本民事法律的民法通则没有对隐私权保护作出任何规定,最高人民法院在一些司法解释中进行“漏洞补充”,或者将揭露、宣扬他人隐私的行为作为侵害名誉权的侵权行为处理,或者将以违反社会公共利益为前提侵害隐私的行为作为独立的侵权行为。此外,一些行政法规对具体情况下的隐私权保护有原则性的规定,诉讼法对民事和行政诉讼中的当事人隐私权保护也有某些规定。笔者以为,我国目前对隐私权的基本民事法律保护尚属于缺位状态,侵害隐私权的民事责任制度尚不完善,比如对侵害私生活安宁的民事责任就缺乏规定,对公众人物隐私权的限制等规则也缺乏规定。
希望正在起草的民法典对隐私权的保护作出一般性的规定,为制定个人数据保护法提供基本法依据;同时,对侵害隐私权的侵权行为构成要件、侵权责任方式、免责事由等作出较为具体的规定。在侵权责任方式方面,除了强调精神损害赔偿外,停止侵害、赔礼道歉的民事责任方式也是需要加以规定的。