查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《法学》
论网络个人信息保护
【副标题】 以网络预约诊疗服务为例【作者】 孙平李国炜
【作者单位】 华东政法大学【分类】 人身权
【中文关键词】 网络;个人信息保护;预约诊疗服务【期刊年份】 2013年
【期号】 9【页码】 35
【摘要】 《关于加强网络信息保护的决定》在实施中将面临不少的现实困境。网络预约诊疗服务可作为剖析这些现实困境的“小切口”。这些现实困境包括执法动力不足、被动地“选择性执法”、个人信息使用规制不力和执法机制“部门割据”。为了应对这些困境,有关立法和执法机关应当更加重视个人权利的保护,通过法律解释适当扩大《决定》的适用范围,进一步细化个人信息收集和使用原则,通过“联合发文”等形式建立各主管部门间的常态合作执法机制。要彻底摆脱上述实施困境还应当尽快回到2005年《个人信息保护法(专家的建议稿)》所设定的立法轨道上来。
【全文】法宝引证码CLI.A.1180100    
  
  2012年12月28日,第十一届全国人民代表大会常务委员会第三十次会议通过了《关于加强网络信息保护的决定》(以下简称《决定》)。该《决定》对于我国的个人信息保护制度构建工作来说无疑意义重大。对此,学界也给予了充分的肯定,认为其“为保护互联网用户的合法权益打下了坚实基础”,“可以有效保护其网络信息及隐私,让我们更有尊严地生活”。[1]但与2005年由国务院信息化领导办公室(以下简称“国信办”)委托中国社科院法学研究所个人数据保护法研究课题组完成的《个人信息保护法(专家的建议稿)》(以下简称《专家建议稿》)[2]相比,仅仅只有12条的《决定》在立法的完备程度上还是相距甚远。更为重要的是,如果我们把注意力从立法转移到更加现实的实施上来,就会发现《决定》的实施将面临不少的现实困境。如果对这些困境视而不见、任其发展,《决定》的实效必将大打折扣,甚至沦为一纸空文。因此,揭示这些现实的困境并找到解决之道就显得异常紧迫。但是要完成这一任务并非易事,因为实务中涉及个人信息保护的网络服务种类异常庞杂,选择一个有代表性的“小切口”,集中加以剖析将是一种更为合理的分析路径。
  网络预约诊疗服务正是这样一种“小切口”。网络预约诊疗服务,是指医疗机构通过互联网为患者提供的预约挂号、复诊、住院、转诊等诊疗服务。涉及个人信息保护的网络信息服务领域成百上千,为什么偏偏选这么一个冷门作为探究《决定》实施困境的切入点呢?微博、BBS、微信等社交媒体不是更加热门,也更能够表现个人信息保护立法在当下中国的复杂性和艰巨性吗?需知,要深入地讨论一个复杂的理论问题,首先需要把观察的对象简化,找到问题的核心和根本,就像物理学观察物体的运动总是从最纯净的匀速运动开始一样。对于个人信息保护来说,其最核心、最基础的问题就是如何实现个人信息保护。至于言论自由、名誉权、网络舆论监督、网络社会管理等都只是个人信息保护在我国现实法治环境中衍生出来的课题。因此,只有搞清楚在我国现实法治环境中如何实现个人信息的保护,才可能进一步探讨《决定》与其他权利和利益之间的纠葛关系。在将《决定》放到网络预约诊疗服务当中检验一番之后,笔者认为《决定》的实施将面临4类现实困境,即执法动力不足、被动的“选择性执法”、个人信息使用规制不足、执法机制“部门割据”。本文将从这4类困境着手分别展开论述。
  一、执法动力不足
  《决定》既是对权利进行保护的法,“也是加强和创新社会管理,应对网络时代新的管理形式的法”,[3]其主要的立法目的是“保护网络信息安全”。而网络预约诊疗服务却是一项以公共服务为目标,以简单而专业化的个人信息使用为核心业务内容的网络信息服务。两相对照,可以发现《决定》对于网络预约诊疗服务来说似乎有些“文不对题”。
  《决定》开篇即表明其立法目的:“为保护网络信息安全,保障公民、法人和其他组织的合法权益,维护国家安全和社会公共利益”而制定。可以看到,在“网络信息安全”的名义下,个人权益、国家安全、公共利益都被囊括了进来。作为一部以网络个人信息保护为主要内容的立法来说,将立法目的定位为“加强网络社会管理”和“保护网络信息安全”是非常“另类”的。因为世界绝大部分的个人信息保护法都是以保护个人权利为基本立法目的,这一点在2005年的《专家建议稿》当中也表现得非常明显。[4]正是由于立法目的的特殊,《决定》没有像《专家建议稿》一样赋予个人更正、删除、隔离个人信息等信息控制权利,而是更加偏重于保障信息安全。虽然《决定》当中与信息安全保障原则直接相关的只有第4条,但是关于个人信息非法获取与提供(第1条第2款、第9条、第10条第2款)、个人信息泄露(第8条)和个人信息保密义务(第3条、第10条第2款)的条款说到底也是为保障信息安全而设置的。更为重要的是,《决定》还增加了一些可能有利于预防和处置违法“网络信息”,而反倒是不太利于保护个人信息和其他个人权利的制度内容,比如网络服务提供者对违法信息的处置义务(第5条)、网络实名制(第6条)等。[5]
  反观网络预约诊疗服务,其服务内容具有公益化、简单化和专业化的特点。首先,网络预约诊疗服务是一项公益服务。早期的网络预约诊疗服务大多需要收费,由于专家号源本就稀缺加之管理不规范,便滋生了高价倒卖号源的现象,有的地方甚至出现了医院与商业机构合谋高价出售专家号源的情况。[6]针对这些乱象,卫生部从2009年开始将公立医院预约诊疗服务纳入我国医疗改革的框架之中加以规范。当年9月,卫生部出台了《关于在公立医院施行预约诊疗服务工作的意见》(以下简称“卫生部2009年《意见》”),从此奠定了整个预约诊疗服务的公益性格局。其次,网络预约诊疗服务所处理的信息十分简单。作为预约诊疗服务的一种主要方式,网络预约诊疗服务的核心业务就是收集和使用用户个人信息。而这些个人信息的组成并不复杂,主要就是姓名、身份证号、联系方式等个人基本身份信息和诊疗信息。最后,网络预约诊疗服务又是一项非常专业化的网络信息服务。预约诊疗是各种医疗活动的一种前置性服务,因此其所涉及到的预约诊疗信息又具有专业化的特点。
  总之,网络预约诊疗服务所涉及到的信息既专业又简单,对这些信息的收集和使用主要是基于公共利益的考量。除了公共利益之外,网络预约诊疗服务可能会涉及到用户的个人权益、他人的个人权利[7]、某些企业和单位的经济利益,但基本不会涉及到“社会秩序”、“国家安全”、“政治稳定”、“国家长治久安”等需要“加强网络社会管理”的价值和利益。
  这就不得不让人产生疑问,在一个几乎没有什么“加强网络社会管理”压力的领域,《决定》能不能得到很好的实施?从目前的情况来看,这的确要打一个大大的问号。《决定》正式实施已有半年,但大部分从事预约诊疗服务的网站并没有很好地遵守其中与个人信息保护有关的法律规范。笔者统计了全国18个省级、10个市级卫生主管部门主办的统一预约挂号网站和10个商业性预约诊疗网站,截止到2013年3月,只有北京、佛山、深圳和宁波4地的官办网站制定了比较详尽的隐私保护政策,而其他大多数网站都只是在注册协议中列有一条概括性的隐私保护条款,另外还有将近1/3的网站没有任何的隐私保护政策或条款。
  也许有人会提出,实名制是个例外。不是所有的预约诊疗网站都实行了实名制吗?其实,这里的实名制与“加强网络社会管理”并没有什么关系。卫生部2009年《意见》所提出的“在预约挂号时要推广采取实名制方式”是为了打击“号贩子”,以便让患者能够公平地获取专家号源。只是这种“歪打正着”也正说明在网络预约诊疗服务领域本来就不存在“保护网络信息安全”的强烈需求。
  二、被动的“选择性执法”
  通常来说,一部比较成熟的个人信息保护法在适用范围上都会涵盖公共和私人领域当中自动或手动处理的个人信息,上文提到的《专家建议稿》也是如此。当然,也有些国家和地区在初期立法时会因为各种原因选择缩小其适用范围。比如日本和我国台湾地区早期的个人信息保护法就只适用于“电脑处理”的个人资料。[8]而《决定》的适用范围较之世界其他任何一个国家和地区的现有相关立法都要狭窄,其规范对象仅限于互联网,而且主要集中于互联网的商业服务领域。
  《决定》虽然没有明确限定其适用范围,但“网络服务提供者”—这个在《决定》当中出现频率最高的法律概念却清晰地表明了其主要的适用领域。一共只有12条的《决定》有7条的规范对象是网络服务提供者(包括“网络服务提供者和其他企业事业单位”),这其中既包括第2、3、4条当中的几项个人信息保护基本原则,又包括违法网络信息处置、实名制等与网络社会管理相关的制度。而对于其他种类的法律主体,如“任何组织和个人”、“国家机关及其工作人员”等所涉及的只是诸如个人信息非法获取与传递(第1条第2款)、未经同意不得发送商业性电子信息(第7条),职务保密义务(第10条第2款)等非核心制度。
  “网络服务提供者”主要是《侵权责任法》、《信息网络传播权保护条例》等民事法律法规所使用的概念,它既包括提供接人、缓存、信息存储空间、搜索以及链接等的技术服务提供者,也包括主动向网络用户提供内容的内容服务提供者。[9]因此,“网络服务提供者”主要是指从事互联网商业服务的企业法人或自然人,而不包含机关法人、事业单位和社团法人等非企业法人。也许是意识到“网络服务提供者”这一法律概念的局限性,《决定》在第2、3、4条,亦即有关个人信息保护最重要的几项基本原则当中使用了“网络服务提供者和其他企业事业单位”这么一个稍许繁琐的概念。将“网络服务提供者”与“其他企业事业单位”并列,也从一个侧面印证了“网络服务提供者”仅限于从事商事服务的机关法人和自然人。《决定》自身适用范围过于狭窄的内在特性决定了其在网络预约诊疗服务领域当中的实施难免会陷入被动的“选择性执法”,这主要表现为两方面。
  首先,从信息技术角度来看,《决定》只能适用于整个预约诊疗服务流程中的部分环节。我们通常所理解的“网络信息保护”中的“网络”就是指国际互联网。具体到网络预约诊疗服务当中,“网络”仅包括预约诊疗网站和它的后台管理系统。但实践中,预约诊疗服务是一个完整的信息收集、使用和传递流程,除了“网络”,即预约诊疗网站和它的后台管理系统之外,它还包括两个重要的组成部分。第一部分是有关个人信息收集的其他预约诊疗服务方式。除了预约诊疗网站,开展预约诊疗服务的具体方式还包括电话、短信、门诊窗口、自助挂号机、社区网点、医护工作站、基层转诊等。第二部分则与个人信息的使用有关,主要包括各个“医院信息系统”以及预约诊疗网站后台管理系统与各个“医院信息系统”之间用于交换信息的内部局域网络。如果我们严格以国际互联网来理解“网络”,那么预约诊疗服务的这两个重要组成部分将不能适用《决定》。这也就是说,通过国际互联网开展的预约诊疗需要适用《决定》,而通过其他方式开展的预约诊疗就不需要适用;处于国际互联网当中的预约诊疗网站及其后台管理系统需要适用《决定》,而同样的个人信息被传递到处于局域网当中的“医院信息系统”就可以排除适用《决定》。
  其次,从主要法律义务主体来看,《决定》主要适用范围的“网络服务提供者和其他企业事业单位”也仅仅覆盖了很小一部分的网络预约诊疗服务提供者。目前,预约诊疗服务主要有医院自建、数据外包、政府主导和行业组织牵头4种模式。[10]4种模式下的法律责任主体各有不同。医院自建,就是由医院自己建设整个预约诊疗服务所需的软硬件系统并对外服务,其责任主体自然就是作为事业单位的医院。数据外包,是指数家医院将相关的业务外包给某个商业机构,由该商业机构组建一个预约平台统一对外服务。在这类预约平台当中,有的依然是由医院来直接承担相关的法律责任,但更多的是由组建预约平台的电信公司、银行或一些专门从事医疗服务的公司来承担法律责任。政府主导就是由各地卫生主管部门主导建立“统一预约诊疗平台”,同时组织本地医院渐次加入。这种模式受到卫生部的推崇,目前已经成为我国最主要的预约诊疗服务模式。截止到2013年3月份,全国已经有18个省级地方和10余个市级地方的卫生主管部门建立了统一预约诊疗平台。在这种模式之下,其法律责任主体一般就是各地的卫生主管部门。唯一的例外是上海市的“医联预约平台”,其主办单位—上海申康医院发展中心属于事业单位。[11]行业组织牵头模式目前只有一个平台,即“挂号网”。其建设单位有两家,中国医院协会门(急)诊管理专业委员会和中国健康教育中心(卫生部新闻宣传中心)。其中,前者是卫生部主管的群众性团体中国医院协会的内部组织机构,后者则是承担了对全国各地医疗机构开展预约诊疗服务情况进行信息收集、统计和监督等行政职能的卫生部直属事业单位。
  根据上文对“网络服务提供者”的相关分析,可以肯定的是这个概念仅仅涵盖了外包模式下企业法人类的责任主体,并且不包括作为政府机关的各地卫生主管部门。这也意味着由卫生部大力推崇,同时也是实践中影响最大的政府主导模式将被排除在《决定》的适用范围之外。至于公立医院、上海申康医院发展中心和中国健康教育中心(卫生部新闻宣传中心)等事业单位是否属于“网络服务提供者和其他企业事业单位”中的“其他企业事业单位”则有赖于对法律的进一步解释。如果将《决定》中的“其他企业事业单位”做狭义的理解,即将其理解为“以从事网络服务为主业的企业和事业单位”,那么上述这些事业单位显然就会被排除在外;而如果做广义的理解,即不管其主业是什么,只要是从事了网络服务业务的都算,那么这些事业单位就可以被涵盖在内。
  三、个人信息使用规制缺失
  从世界各国和地区的现有立法经验来看,个人信息保护法的规制重点是个人信息的收集和使用。根据经济合作与发展组织(OECD)《关于隐私保护与个人数据跨界流动的指导方针》所列明的个人信息保护8大原则,与个人信息收集和使用有关的则有收集限制原则、数据质量原则、目的明确原则、使用限制原则、公开原则、个人参与原则这6大原则。而旨在防止个人信息丢失、泄露、损毁、篡改等信息安全事故的只有安全保障原则这1条原则。[12]值得一提的是,这些原则也基本都为《专家建议稿》所采纳。但仅有短短12条的《决定》却将立法重点放在了保障信息安全上面,而真正与个人信息收集和使用密切有关的只有一个条款(第2条)。而且在这仅有的一个条款当中还挤进了限制原则、目的明确原则和公开原则这3条重要原则。
  对于网络预约诊疗服务来说真正比较难规制的正是个人信息的使用。上文已述,预约诊疗服务所需的个人信息本身就比较简单,同时其具有一定程度的公益性,因此在网络预约诊疗服务过程当中对个人信息收集的规制并不难。至于信息安全,其实只要使用最新的信息技术,一般的网站都能够保障其用户的个人信息安全。实践中真正的信息安全隐患实际上大都起于个人信息的使用阶段,这主要表现在以下3个方面:
  首先,各个预约平台对因商业利益向第三方传递用户个人信息的行为缺乏合理的限制。在各类预约诊疗平台上蕴藏了多种商业利益,比如信息费、广告费、服务外包、服务增值等等。围绕着这些利益,在各类预约平台的商业运营过程中便衍生出多种利益主体。对于这些利益主体来说,其获取利益的最基本方式就是尽可能多地吸引用户注册。因此,各类预约诊疗平台常常成为“个人信息”的中转站—那些以公共服务为名义收集来的个人信息在不知不觉中就流向了各类商业机构。比如挂号网的注册协议就有这样的规定:“网站/服务提供方可能会与第三方合作向您提供相关的网络服务,在此情况下,如该第三方同意承担与网站/服务提供方同等的保护您隐私的责任,您同意并授权网站/服务提供方将您的注册资料等提供给该第三方。”[13]正是由于有这样的不合理授权,挂号网与淘宝网合作开设网络预约诊疗服务才会被质疑是商业网站套取网民个人信息。[14]但更具讽刺意味的是,此次事件的主要质疑者,北京市预约挂号统一平台对于用户信息的第三方传输也相当的“宽容”。其服务协议规定“为提供用户所要求的产品和服务,而必须和第三方分享用户的个人信息

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1180100      关注法宝动态:  

法宝联想
【共引文献】
【相似文献】
【引用法规】

热门视频更多