世界上绝大部分对个人信息保护予以立法的国家都对政府的信息处理行为予以立法调整,即便是在商业领域实行行业自律的美国同样有数部法律专门规范政府的个人信息收集和处理行为。从我国现有立法看,《电信和互联网用户个人信息保护规定》仅适用于电信业务经营者和互联网信息服务提供者,《信息安全技术、公共及商用服务信息系统个人信息保护指南》则明确排除政府机关等行使公共管理职责的机构的适用,这使得政府的个人信息收集、处理、利用和共享行为缺乏法律调整。当前正在起草的《个人信息保护法》如果继续将政府的行为排除在调整范围之外,必将造成我国公民个人信息保护的重大疏漏,不利于良好社会环境的形成。
建立和健全个人信息保护的机构和机制
依国际经验,采用国家统一立法的个人信息保护模式,需要建立相应的行政管理机构和实施个人信息保护法律法规的机制。结合我国情况,建议在《网络安全法》和《个人信息保护法》的制定中,以国家立法形式将国家互联网信息办公室确定为国务院组成机构,负责履行法律赋予的包括个人信息保护方面的行政管理职能。具体包括:制定个人信息保护与合理利用的政策与部门规章;协调国家机关之间在政府信息公开、信息共享等方面的政策和制度执行;负责国家机关向产业开放信息资源方面的政策制定与监管执行;监管信息业者个人信息收集、处理、利用等方面的行为;引导行业协会制定和实施自律规范;接受公民个人、社会团体等的投诉、建议,依法做出相应的行政处理等。
在政府引导下充分发挥行业自律的作用
行业自律最大的优势是可以区分不同领域由行业充分结合自身特点制定有针对性的行为规范,而且可以根据技术进步的要求及时调整。由于行业自律规范本身针对性强,而且整体上有利于行业的健康发展和长远利益,企业有遵从的内在动力。考虑到我国《个人信息保护法》的出台尚需时日,在法律出台前充分发挥行业自律的作用,还可以弥补法律调整的空白,并为科学立法提供经验借鉴。
我国《信息安全技术、公共及商用服务信息系统个人信息保护指南》试图借鉴行业自律的做法,但由于既没有细分领域或行业,也不是自下而上由行业自身制定,无法发挥行业自律的核心优势。要发挥行业自律的作用,必须遵循其核心要素:一是由行业主导的自下而上制定模式,政府可以指导或引导,但绝非主导;二是根据行业特点结合企业自愿予以行业细分,而不是试图用一个自律性规范涵盖所有行业。结合我国具体情况,建议先由政府主管部门倡议并引导在几个典型行业开展行业自律,例如银行业、电信业、互联网服务业、电子商务平台等,然后逐步扩展至餐饮业、快递业等行业。行业自律规范应主要由行业组织中具有相当的业务和法律知识的人制定,并广泛征求行业成员意见。一旦某一企业书面作出遵守某一行业自律规范的承诺,则该自律规范成为该企业和消费者之间合同的组成部分。同时,法院在司法程序中也可对自律规范的合法性予以审查,排除其中违法或者明显不合理侵害消费者权益的条款的适用。
强化个人信息保护的公民参与
信息时代个人信息的保护,公众参与亦不可缺:首先,应加强《个人信息保护法》立法的公众参与,促进科学民主立法;其次,在全社会开展个人信息保护知识的宣传教育,提升公民自我保障意识和能力;再次,鼓励和引导公民积极回应信息业者在信息收集和处理等环节中的询问和互动请求,包括对特殊事项的听证等,培养公民的参与意识和责任意识;最后,建立畅通的公民投诉建议和救济机制,充分发挥社会公众在执法监督中的作用。