强调保护个人信息,首先需要明确哪些信息属于个人信息。个人信息是与特定人的利益或者人身相联系且不愿为他人所知晓、与公共利益无关的私人信息。个人信息之所以需要保护,不仅在于其私密性,还在于这些信息与个人权益紧密相关。常见的个人信息包括姓名、生日、性别、籍贯、民族、学历、政治面貌、个人爱好、身份证件号码、车牌号、身体特征、婚姻状况、医疗记录、基因信息、违法犯罪前科、联络方式、财务情况、各类账号密码等。社会不断发展变迁,新的个人信息类型也不断出现,因此很难一一列举。虽然有些新的信息类型现在还难以界定或命名,但只要属于某一特定人的信息,就应视为个人信息。
个人信息受到侵犯,主要发生在信息收集、加工、保存和利用等个人信息处理活动中。因此,个人信息保护的重点环节在于个人信息处理过程。个人信息处理与个人信息保护从某种意义上说是一对矛盾。承认个人对于个人信息有一定的权益,强调保护个人隐私,需要规范甚至限制行政机关对个人信息的处理行为;但为了确保行政机关为公共利益合法履行职责,也要赋予行政机关保有、利用个人信息的权力。为实现二者的平衡,法律允许行政机关对个人信息进行处理,同时限制随意公开个人信息的行为;承认个人有权取得或修改关于自己的信息;制定合理的信息处理规则,要求行政机关在收集、保存和使用个人信息时必须遵守这些规则;设计个人信息相关权利受到侵犯时的监督救济手段等。在法治框架下,行政机关对个人信息进行收集、加工、保存、利用等都应遵守一些基本要求。
尊重和维护人格尊严。行政机关处理个人信息必须依法进行,严格遵守法律规定的程序和权限,不得任意收集、利用或传播个人信息。信息处理应当慎重,确保所收集的个人信息是必要的,确保信息不被随意泄露。在个人信息处理的整个过程中,都要尊重信息权利人的人格尊严,保护个人信息利益。信息利用不得违背信息收集的目的,应依照收集时已说明的目的利用,并且信息利用应与收集目的具有正当合理关联。当行政机关违背上述原则时,信息权利人有权要求纠正并采取补救措施。
确保信息准确、完整和安全。行政机关收集、加工、保存和利用个人信息,需要确保相关信息是准确、完整和安全的。因为个人信息不仅涉及个人的人格尊严,还可能指向其他权利或利益,错误或不完整的个人信息可能会给当事人带来诸多不利影响。个人信息的泄露、错误利用或被非法利用等,均可能给当事人的合法权益带来损害。另外,如果行政机关根据不正确、过时、片面的信息对个人作出相关决定,也可能损害个人的权益。因此,行政机关有义务采取措施,确保其所收集、保存的个人信息准确、完整、安全。信息权利人发现信息不正确或不完备时,有权要求修改、补充信息或删除错误信息。
依法定程序处理个人信息。行政机关行使职权、履行职责时需要处理个人信息,一般被推定为善意处理。即使如此,行政机关也必须按照法定程序进行个人信息处理,不得以违法或不正当手段收集、加工、保存和利用个人信息。行政机关使用个人信息,通常情形下应征得当事人同意。如果基于法律规定,或为了显著公共利益,或为了信息权利人的个人利益,或为了防止他人权益受到重大损害,信息资料经过处理后已不能识别当事人的,可以在当事人同意之外的特殊情况下使用。
(作者为北京大学法学院教授)