曝光垃圾簡訊源頭
·運營商:一提起傳送廣告簡訊,客戶經理們都顯得頗為謹慎。濟南移動公司的態度有些遮遮掩掩,但是在山東省內的其他移動公司,只要一提起傳送商業廣告路的簡訊,工作人員都很直截了當。
·關鍵字:小區簡訊:為了能夠提高簡訊傳送速度,有些移動公司還採用了一種方式——小區簡訊。小區簡訊就是以基站作為傳送中心,向基站復蓋區域內的移動用戶傳送簡訊。
黑名單:除了對傳送的地域進行限制之外,他們還對一些特殊的用戶進行了一些特殊的處理。可能涉及到一些高層領導一般是禁發的,有黑名單會直接過濾。
違法信息照發:這是一張寫著外企公司代開增值稅發票等的內容。在德州移動公司的門市里,這位馬主任正在熱情地為信息的傳送牽線搭橋。
外賣信息:不僅移動公司在傳送垃圾簡訊,有一些與他們合作的廣告公司也能傳送垃圾簡訊。
深度分析我國個人信息保護之現狀
作者: 單飛
個人信息的法律保護問題是近半個世紀以來隨著信息社會的發展而日益凸顯的問題。由於社會觀念、信息產業、科學技術以及立法規劃等方面的原因,我國很長一段時間以來沒有認識到保護個人信息的重要性,因此直到目前為止,我國還沒有制定專門的個人信息保護方面的法律。當然,這並不意味著我國目前對個人信息不進行保護。現階段,我國對個人信息的保護,主要體現在兩大方面:一是在與個人信息保護有關的法律法規中設定個人信息保護條款對個人信息加以法律保護。個人信息的法律保護又可以表現為法律的直接保護和間接保護,所謂法律的直接保護即法律法規明確提出對“個人信息”進行保護;間接保護即法律法規通過提出對“人格尊嚴”、“個人隱私”、“個人秘密”等與個人信息相關的範疇進行保護進而引申出對個人信息的保護。二是通過信息控制人的單方承諾或特定行業的自律規範的承諾對個人信息加以自律性質的保護。個人信息在自律保護也表現為兩方面,即企業通過單方承諾這種市場運作方式對個人信息加以保護,以及特定行業組織通過行業自律規範對個人信息確立行業保護標準進而進行保護。
一、我國法律對個人信息的直接保護
通過全國人大網站中全國法律法規資料庫搜尋引擎的搜尋,我們發現,目前我國直接對“個人信息”加以保護的法律、法規、規章及司法解釋的數量相當有限,其中全國性的法律中僅有《中華人民共和國護照法》、《中華人民共和國身份證法》直接規定了“個人信息”的保護問題。《中華人民共和國護照法》(2006年4月29日通過,2007年1月1日實施)第十二條第三款規定:“護照簽發機關及其工作人員對因製作、簽發護照而知悉的公民個人信息,應當予以保密。”第二十條規定:“護照簽發機關工作人員在辦理護照過程中有下列行為之一的,依法給予行政處分;構成犯罪的,依法追究刑事責任:……(五)泄露因製作、簽發護照而知悉的公民個人信息,侵害公民合法權益的……”《中華人民共和國身份證法》(2003年6月28日通過,2004年1月1日實施)第六條第三款規定:“公安機關及其人民警察對因製作、發放、查驗、扣押居民身份證而知悉的公民的個人信息,應當予以保密。”第十九條規定:“人民警察有下列行為之一的,根據情節輕重,依法給予行政處分;構成犯罪的,依法追究刑事責任:……(五)泄露因製作、發放、查驗、扣押居民身份證而知悉的公民個人信息,侵害公民合法權益的。”
在全國範圍內具有規範效力的行政法規、部門規章和司法解釋直接提及“個人信息”保護問題的主要也僅有如下幾項:(1)《2006---2020年國家信息化發展戰略》。該《發展戰略》第六條第五項提出了“推進信息化法制建設”的要求,並提出:“加快推進信息化法制建設,妥善處理相關法律法規制定、修改、廢止之間的關係,制定和完善信息基礎設施、電子商務、電子政務、信息安全、政府信息公開、個人信息保護等方面的法律法規,創造信息化發展的良好法制環境。根據信息技術套用的需要,適時修訂和完善智慧財產權、未成年人保護、電子證據等方面的法律法規。加強信息化法制建設中的國際交流與合作,積極參與相關國際規則的研究和制定。;(2)《網際網路電子公告服務管理規定》(2000年10月8日通過,同日起施行)。該《管理規定》第十二條規定:“電子公告服務提供者應當對上網用戶的個人信息保密,未經上網用戶同意不得向他人泄露,但法律另有規定的除外。" (3)《最高人民法院、最高人民檢察院關於切實保障司法人員依法履行職務的緊急通知》(法 173號)(2005年8月25日頒布,同日起施行)。該《通知》第六條“加強司法警察隊伍建設和保密工作,做好宣傳教育工作”指出:“……強化案件保密工作,嚴禁違反規定泄露案情以及辦案人員的通訊方式、住址等個人信息,對於泄密行為,應當依照《人民法院審判紀律處分辦法》、《檢察人員紀律處分條例》的有關規定嚴肅懲處……”另外,少數地方性法規中,也偶有涉及個人信息保護的直接規定,例如:2003年修正的《北京市未成年人保護條例》第四十九條規定:“……任何組織和個人未經未成年人的監護人同意,不得在網際網路上收集、使用、公布未成年人的個人信息。”2003年12月23日上海市通過了個人信用信息方面的地方性法規—《上海市個人信用徵信管理試行辦法》,對個人信用信息的採集、處理、提供等作了較為詳細的規定。
需要特別指出的是,中國人民銀行2005年通過了有關個人信用信息管理及保護的專門性部門規章—《個人信用信息基礎資料庫管理暫行辦法》(2005年6月16日通過,2005年10月1日起實施)。該辦法包括總則、報送和整理、查詢、異議處理、安全管理、罰則、附則七章,共45條,對個人信用信息的收集、處理、利用、流通等作了較為詳細的規定。從內容方面觀察,該辦法在很大程度上遵循了個人信息保護月23日上海市通過了個人信用信息方面的地方性法規—《上海市個人信用徵信管理試行辦法》,對個人信用信息的採集、處理、提供等作了較為詳細的規定。
需要特別指出的是,中國人民銀行2005年通過了有關個人信用信息管理及保護的專門性部門規章—《個人信用信息基礎資料庫管理暫行辦法》(2005年6月16日通過,2005年10月1日起實施)。該辦法包括總則、報送和整理、查詢、異議處理、安全管理、罰則、附則七章,共45條,對個人信用信息的收集、處理、利用、流通等作了較為詳細的規定。從內容方面觀察,該辦法在很大程度上遵循了個人信息保護的收集限制原則、信息質量原則、目的特定原則、使用限制原則、安全保障原則、公開原則、個人參與原則及責任原則。雖然該辦法在內容上還存在一些缺陷和漏洞,例如缺乏爭議信息的封存制度、錯誤信息導致個人損害的民事賠償制度等,但無論如何,我們可以將該辦法視為我國個人信息保護立法史上的一座里程碑,它開創了我國特殊領域的個人信息保護立法。
二、我國法律對個人信息的間接保護
在我國,除了上述直接明確提出對個人信息加以保護的法律法規之外,還存在一些通過規定保護人格尊嚴、個人隱私、個人秘密等與個人信息相關的範疇進而保護個人信息的法律。在根本大法方面,我國《憲法》(1982年)的“公民的人格尊嚴不受侵犯”、“公民住宅不受侵犯’,、“公民享有通信自由和通信秘密的權利”、“國家尊重和保障人權”等相關條款均可解釋為個人信息應當受到法律保護的憲法依據。在國家的基本部門法中,也或多或少、或明或暗地存在一些與個人信息保護有關的法律條款,例如:《民法通則》(1986年)關於人身權的相關規定中規定了“公民的人格尊嚴受法律保護”;《刑法》(1997年)在“侵犯公民人身權利、民主權利”的專章中,明確將“非法搜查他人身體、住宅,或者非法侵入他人住宅”、“侵犯公民通信自由”等行為列為犯罪行為;《民事訴訟法》(1991年)規定“對涉及個人隱私的案件應當不公開審理”;《刑事訴訟法》規定“涉及個人隱私的案件不公開審理”、“十四歲以上不滿十六歲未成年人犯罪案件,一律不公開審理。十六歲以上不滿十八歲未成年人犯罪的案件,一般也不公開審理”。
關於個人信息的間接保護,在淵源上除了上述國家根本大法和基本部門法之外,還有許多容易被忽視的部門法或行政法規、規章、司法解釋等。在婦女兒童個人信息的特殊保護方面:《婦女權益保護法》(1992年)規定:“婦女的人格尊嚴受法律保護”;《未成年人保護法》(1991年)規定:“尊重未成年人的人格尊嚴”、“任何組織和個人不得披露未成年人的個人隱私”;《母嬰保護法》(1994年)規定:“從事母嬰保健工作的人員應當嚴格遵守職業道德,為當事人保守秘密”。在個人醫療信息方面:《執業醫師法》(1999年)規定“醫生不得披露治療中獲得的健康信息”;《醫療機構病歷管理規定》(2002年)要求“除對患者實施醫療活動的醫務人員及醫療服務質量監控人員外,其他任何機構和個人不得擅自查閱患者的病歷”;《醫療事故處理條例》(2002年)進一步要求“醫療機構在複製或複印病歷資料時應當有患者在場”;《傳染病防治法》(2004年)禁止“故意泄露傳染病病人、病原攜帶者、疑似傳染病病人、密切接觸者涉及個人隱私的有關信息、資料”;《關於對愛滋病病毒感染者和愛滋病病人的管理意見》(1995年)規定:“從事愛滋病病毒感染者和愛滋病病人診斷、治療及管理工作的人員,不得向無關人員泄露有關信息。任何單位和個人不得將愛滋病病毒感染者和愛滋病病人的姓名、住址等個人情況公布或傳播”。在個人通訊信息方面:《郵政法》(1986年)規定:“除法律另有規定外,郵政企業和郵政工作人員不得向任何組織或者個人提供用戶使用郵政業務的情況”;《全國人民代表大會常務委員會關於維護網際網路安全的決定》(2000年)禁止“非法截獲、篡改、刪除他人電子郵件或者其他數據資料”;《網際網路安全保護技術措施規定》(2005年)規定:“網際網路服務提供者、聯網使用單位應當建立相應的管理制度。未經用戶同意不得公開、泄露用戶註冊信息,但法律、法規另有規定的除外。”在個人金融信息方面:《商業銀行法》規定:“商業銀行應當遵循為存款人保密的原則”、“對個人儲蓄存款,商業銀行有權拒絕任何單位或者個人查詢、凍結、扣劃,但法律另有規定的除外”;《個人存款賬戶實名制規定》規定:“除法律法規另有規定以外,金融機構不得向任何單位或者個人提供有關個人存款賬戶的情況”。在律師執業方面:《律師法》(2001年)規定:“律師應當保守在職業活動中知悉的當事人的隱私”;《律師執業行為規範》(2004年)規定:“律師必須保守委託人的個人隱私”。在檔案信息方面,《檔案法》規定:“一切國家機關、武裝力量、政黨、社會團體、企業事業單位和公民都有保護檔案的義務。”
三、個人信息保護的信息控制人自律機制
由於現階段我國缺乏對個人信息保護的專門性、統一性的立法,一些信息控制人為了增強行為相對人的信心,進而促進相關行業通過收集、處理、利用、傳遞個人信息而獲得更大的發展,單方面作出了保護個人信息的承諾或制定了保護個人信息的內部行為規範。這是信息控制人採取的一種典型的保護個人信息的自律措施。目前,我國採取此類自律措施保護個人信息的信息控制人主要集中在非公共部門,特別是一些大型的商業網站,當然也有其他行業如銀行業的經營者。以下就列舉幾個典型的非公共部門信息控制人對個人信息保護採取的自律措施。
知名的綜合性網站“新浪網”在其首頁即載明了該網站的“隱私保護”政策。該隱私保護政策比較典型地體現了當前網站經營者所採取的自律措施,因此本文對此作一簡要介紹。在其隱私保護政策中,新浪網首先表明:“隱私權是您的重要權利。向我們提供您的個人信息是基於對我們的信任,相信我們會負責的態度對待您的個人信息。我們認為您提供的信息只能用於幫助我們為您提供更好的服務。因此,我們制定了新浪網上個人信息保密制度以保護您的個人信息。”新浪網有關個人信息保護的自律措施大致包括以下內容:第一,該網站所收集的個人信息的種類。“通常,您能在匿名的狀態下訪問我們的網站並獲取信息。在我們請求您提供有關信息之前,我們會解釋這些信息的用途。我們有些站點需要註冊才能加入,在通常情況下,這類註冊只要求您提供一個電子郵件地址和一些諸如您的工作,職務一類的基本信息。有時我們也會請您提供更多的信息。我們這樣做是為了使我們更好的理解您的需求,以便向您提供有效的服務。我們站點收集的信息包括姓名,地址和電話號碼。您有權隨時決定不接受來自我們的任何資料。”第二,關於敏感個人信息保護及個人信息的使用。“我們將採取適當的步驟保護您的隱私。每當您提供給我們敏感信息時,我們將採取合理的步驟保護您的敏感信息,我們也將採取合理的安全手段保護已存儲的個人信息。除非根據法律或政府的強制性規定,在未得到您的許可之前,我們不會把您的任何個人信息提供給無關的第三方(包括公司或個人)。但是,如果您要求我們提供特定客戶支援服務或把一些物品送交給您,我們則需要把您的姓名和地址提供給第三者如運輸公司。我們的網站將會提供第三者網站的連結。由於我們不能控制這些網站,所以我們建議您細閱這些第三者網站的個人信息保密制度。”第三,該網站隱私保護的原則。(1)每當新浪網需要識別您的身份或與您聯絡時,會明確的詢問所需的資料,即個人資料。一般而言,當您在網站上註冊,要求提供特別服務,或是如參加獎金競賽,便會被詢問到這項資料。可能的話,新浪網會利用一些方法,確認您的個人資料的正確性與時效性。(2)新浪網站及其必要的服務夥伴使用您的個人資料來運作網站和服務,並且會通知您各項新的功能與服務,以及新浪網和其附屬公司的各類產品。新浪網也會謹慎地挑選來自其他公司的產品或服務資料傳送給您,通常是有關於站點本身的服務,但這並非必要(僅是次要用途)。(3)如果新浪網想要將個人資料用在次要用途上,新浪會提供您如何拒絕這項服務的說明。您可以依照新浪網寄給您的資料或促銷信件上的說明,終止這些信件的傳送。(4)新浪網也許會因法律要求公開個人資料,或者因善意確信這樣的作法對於下列各項有其必要性:符合法律公告或遵守適用於新浪站點的合法程式;保護新浪網的用戶之權利或財產;在緊急的情況下,為了保護新浪及其用戶之個人或公眾安全。(5)任何時候如果您認為新浪沒有遵守這些原則時,請利用電子郵件privacy@staff sina.com通知我們,我們會盡一切努力,請合理適當的範圍內立即改善這個問題。”第四,Cookies的用途。“新浪網站有時會使用cookies以便我們知道哪些網站受歡迎,使您在訪問我們的網站時得到更好的服務。cookies不會跟蹤個人信息。當您註冊我們的網站程式時,新浪亦會使用cookies。在這種情況下,會存儲有用信息,使我們的網站在您再次訪問我們的網站時可辨認您的身份。來自新浪網站的cookies只能被新浪網站讀取。如果您的瀏覽器被設定為拒絕cookies您仍然能夠訪問我們的大多數網站。”第五,關於個人信息的更新及隱私保護政策的更新。“如果您的地址,職務(職稱),電話或e-mail地址發生變化,您可以按新浪網站中公布的聯繫方式通知新浪,以幫助我們保持您的資料的準確性。你也可以通過登入新浪網用戶註冊頁面的更新會員資料欄的方式自行更新您的個人信息。新浪歡迎您對這項保密制度給予評論並提出質疑。我們將致力於保護您的個人信息,盡全力保證這些信息的安全。由於網上技術的發展突飛猛進,我們會隨時更新我們的信息保密制度。”
在銀行業方面,一些銀行通過制定相關內部規定對客戶個人信息進行保護。1999年,中國工商銀行發布了《中國工商銀行員工行為守則》,規定工商銀行員工應當“嚴守客戶秘密。對於客戶提供的信息資料,員工有保密的義務,以維護客戶的合法權益。除依法可以提供或客戶同意提供的信息外,員工無權擅自披露客戶信息。非工作需要,不得與同事隨意談論客戶情況。以電話、電子手段交流或傳遞業務信息時,要注意保護客戶信息安全。答覆有關信用情況諮詢,應對諮詢者和諮詢對象雙方負責。提供對方的數據不得超出銀行允許的範圍。無關人員不能隨意接觸客戶信息,更不得為個人目的利用客戶信息。向公安局、檢察院、法院等司法機關提供客戶信息,須有公安、司法等部門出具的完備手續,並嚴格按規定程式進行。嚴禁向親屬、朋友透露或提供客戶信息。”2002年,中國建設銀行發布了《中國建設銀行個人VIP客戶服務管理辦法(試行)》,該辦法規定:“各級行必須為每個VIP客戶建立檔案,記錄客戶個人資料和服務信息,不得遺漏。”“各級行必須妥善保管客戶檔案資料,非依法律規定或客戶允許,任何單位和個人不得對外公開或泄露客戶的個人資產和賬戶交易等客戶資料。”
四、個人信息保護的行業自律機制
在我國,作為信息產業重要組成部分的網際網路行業對個人信息所遭受的日益嚴峻的威脅有較為密切的關注。我國目前對個人信息保護採取行業自律機制措施的行業也主要表現為網際網路行業。中國網際網路協會於2002年公布了《中國網際網路行業自律公約》,倡議網際網路全行業從業者加入本公約,並要求成員“自覺維護消費者的合法權益,保守用戶信息秘密;不利用用戶提供的信息從事任何與向用戶作出的承諾無關的活動,不利用技術或其他優勢侵犯消費者或用戶的合法權益”。同時約定,由中國網際網路協會負責組織實施該公約,負責向公約成員單位傳遞網際網路行業管理的法律、政策及行業自律性信息,及時向政府主管部門反映成員單位的意願和要求,維護成員單位的正當利益,組織實施網際網路行業自律,並對成員單位遵守本公約的情況進行監督。
行業自律標識作為個人信息保護行業自律機制的重要實施手段,在我國也己出現。近年來,我國網際網路行業的迅猛發展,但是,行業快速增長的背後也隱藏著一系列不和諧的音符,近年來,垃圾郵件泛濫、病毒、惡意軟體滋生、網路語言暴力、網路色情等等現象讓網民己經無法自由享受網際網路生活,網民的基本權益受到嚴重的侵害。2006年11月1日,中國網際網路協會、違法和不良信息舉報中心、反垃圾郵件中心、晚報協會、奇虎公司共同正式宣布,首個網際網路公益品牌“淨藍絲帶”正式啟動。淨藍絲帶作為杜絕網際網路惡意行為的一個標識,用於宣傳“淨化網際網路空間人人有責,打擊網際網路犯罪人人出力”的信息,並呼籲“拯救網路弱勢群體,杜絕網路惡意行為”。藍絲帶象徵紐帶,將政府有關機構、網際網路企業、網民緊緊聯繫在一起,共同抵抗網路惡意,象徵著國家對網際網路行業健康發展的關心和支持,象徵著網民對網際網路熱愛和對純淨網際網路空間的渴望,象徵著網際網路企業關注網民感受,洛守自律的承諾。
五、小結
基於上文的論述,我們可以判斷,我國個人信息保護之現狀具有如下特徵:
第一,在個人信息的法律保護方面:(1)就法律的適用範圍而言,保護個人信息的法律條款數量較為有限、適用範圍相對狹窄,沒有專門的針對所有信息控制人均適用的統一的個人信息保護法;(2)就個人信息的法律保護手段而言,重“刑事處罰”和“行政管理”,輕“民事確權”與“民事歸責”,導致個人信息遭受侵害後,即使侵權行為人最終遭致刑事處罰或行政處罰,但信息主體的財產及非財產損失卻得不到任何實質性的補償;(3)就法律的可操作性而言,大部分規定缺乏可操作性,許多條款僅僅規定了對個人信息的保密義務,而沒有規定違背該義務的後果;(4)就法律的體系性而言,現有規定之間缺乏體系上的呼應,給人一種“雜亂無章”、“群龍無首”的感覺,不符合我國已經繼受的大陸法系的法律思維,同時也不利於法律的適用;(5)就法律條款的具體內容而言,大部分條款通常僅對個人信息保護問題輕描淡寫、一帶而過,往往未能揭示個人信息保護的立法理由、個人信息保護的基本原則、信息主體的權利、個人信息收集、處理、利用及傳遞的規則、個人信息保護的執行機制及監督機制等個人信息保護法應當具備的重要內容。(6)就保護個人信息的觀念而言,我國法律對個人信息的直接保護是近幾年來的新近發展趨勢,在較長時間內由於對個人信息保護的重要意義缺乏正確認識而僅對個人信息採取了有限的間接保護措施。
第二,在個人信息的自律保護方面:(1)非公共部門,特別是一些商業網站,己經逐步認識到了個人信息的巨大價值以及個人信息對信息主體的重大意義,為了增強消費者使用網路的信息,提供了相對較為詳細的隱私保護政策。但也應注意到,我國國內各商業網站的個人信息保護水平差異很大,大型的商業網站大多有比較完備的個人信息保護政策;但一些小型網站在個人信息保護方面是令人擔憂的,它們不僅沒有公開相應的個人信息保護政策,甚至不惜商業信譽,只要能給網站的經營者帶來利益,就會不適當地收集、利用乃至出售訪問者的個人信息。另外,非公共部門中,除了商業網站及為數不多的其他主體之外,大多數非公共部門並沒有單方面向相對人提供個人信息保護政策。與上述單個信息控制人在個人信息保護方面的自律措施相對應的是,除了網際網路行業,其他的非公共部門行業也鮮有保護個人信息的行業自律公約。
(2)就公共部門而言,出於長期以來形成的“官本位”的思維定勢,對個人信息的關注基本上是出於其管理的需要,強調得更多的是個人提供信息的義務,而個人就其自身信息所享有的權利基本被漠視。舉例而言,瀏覽目前我國的各級政府網站,幾乎無法看到與一些大型商業網站所具備的“隱私政策”,哪怕是中央人民政府的網站一一“中國政府網”對個人上網信息的保護問題也沒有提供相應的政策,這不能不說是我國電子政務發展至今的一大遺憾。就這一現象,有學者認為,“這可能由於我國政府網站還處於發展的開始階段,主要功能還只是對政府政策、辦事流程的公示,起到的只是一個電子公告版的作用。政府網站之提供給網路用戶閱讀信息、資料,而不收集網路用戶的個人信息。”但是,這些學者同時也認為,“政府網站發展成為和大多數商業網站那樣具有互動式的平台是必然的趨勢。為了更好的為納稅人服務,政府網站將來肯定會朝著功能多樣化的方向發展。為了方便用戶和網站的運作,提供更加個性化的服務,將來的政府網頁完全可能發展到給不同的用戶傳送不同的、適合用戶胃口的個性化網頁。這樣,政府網站也就不可能不收集網路用戶的個人信息而永遠停留在電子黑板報的層次。另外,不同的政府部門通過網上政務處理,掌握大量關於市民通過網路提交的方方面面的信息,如果缺乏個人信息保護政策,就很肯能侵犯個人信息。”對於這一論述,筆者深表贊同。
正因為個人信息保護機制的這種現狀,導致了我國目前社會生活中個人信息頻頻遭受各種威脅。面臨這樣的狀況,除了由每一個人自己加強自我保護、倡導個人信息保護自律機制的建構之外,越來越多的人們希望我國能夠在個人信息保護領域制定一部專門的法律。事實上,如果從建設法治社會的大背景出發,無論是加強信息主體的自我保護、倡導建構個人信息保護的自律機制,還是制定個人信息保護法,均應當著重從民法保護個人信息的角度進行觀察與理解。刑法和行政法對個人信息的保護固然能夠起到重要的不可或缺的作用,在一定程度上也能夠起到預防侵害個人信息行為的發生,但刑法重在懲罰、行政法重在行政管理,其對信息主體的權利確認及事後的全面救濟的作用是有限的。
首先,信息主體保護自身個人信息的力量可以通過民法上的自力救濟制度得以強化。在法治社會,雖然原則上不允許自力救濟,但在來不及採取公力救濟措施並且權利有被侵害的現實危險時,法律允許有限地採用自力救濟,信息主體可以在法律允許的限度內通過實施自衛行為或自助行為保護自身的個人信息。
其次,就自律機制而言,若信息控制人主動單方面地作出信息保護的承諾,則可以將控制人的這一行為判定為民法上附生效條件的法律行為,一旦條件成就,即信息主體的信息被承諾人所控制,則信息控制人的承諾行為即發生法律效力,信息控制人此時即應當承擔其承諾的信息保護義務;若行業自律組織對個人信息保護作出了承諾,則可以視為加入該自律組織的信息控制人均作出了信息保護的承諾,如此一來,同樣可以採用附生效條件的法律行為的相關理論進行解釋與處理。
另外,如果從民法生長的社會基礎—市民社會的理論出發,行業組織是現代市民社會的重要構成環節。是國家權力與市民權利的緩衝地帶,行業組織對個人信息保護的重要作用是不可小覷的。最後,個人信息保護法的制定,其內容雖然離不開個人信息的行政保護及刑事保護,但對信息主體而言,對其最有力也是最為實質的保護是通過個人信息保護法賦予其相應權利,使信息主體能夠通過自身權利對抗公權力對其個人信息的不當干預、並平衡與其他私權利主體之間的權利衝突。與此同時,當不當侵害他人個人信息時,通過法律對侵權行為人苛以民事責任,則能使被侵害的信息主體得到全面的救濟與補償。
(作者單位:北京市門頭溝區人民法院)