对我国个人信息保护的立法思考

对我国个人信息保护的立法思考

杨湛超1杨金科2

杨湛超1杨金科2（1.河南教育学院，河南郑州450014；2.中国政法大学，北京100088）

中图分类号：S759.5文献标识码：A文章编号：1003-2738（2012）03-0000-02

摘要：保护人格尊严是世界人民的共同心愿，也是世界各国政府的共同责任。美国法学界有“没有隐私就没有尊严”的说法，并从普通法和成文法两个方面明确了个人的“隐私”权利。欧洲制定了保护个人数据方面的法律，从成文法上明确了个人对于“个人数据”的控制权。我国民法规定“公民的人格尊严受法律保护”，作为保护人格尊严的一个重要方面，个人信息保护已经提到了立法的议事日程上。

关键词：隐私；数据保护；个人信息；立法模式

一、选择保护个人信息的理由

在全世界范围内制定这方面法律使用的称谓主要有“个人隐私”、“个人数据”和“个人信息”。虽然三者的内涵稍有不同，但是追求的实体目标却是相同的，就是保护公民的尊严。

“个人数据”与“隐私”互相关联有相互区别。一般而言，“隐私”概念较个人数据要宽，欧盟各国法院也区别对待。“隐私”是个人私生活不受干预的权利，是自然人享有的对其个人的与公共利益无关的个人信息、私人活动和私有领域进行支配的一种人格权。而“个人数据”仅指信息自主权，也就是说，当事人过问处理其个人数据的权利。上网冲浪会生成某些与个人相关的数据，欧盟数据保护法就赋权当事人关注这些数据的处理。“个人数据”与“隐私”意思虽然不完全相同，但经常混合使用。

之所以选择个人信息保护而不是隐私，是因为隐私概念较为抽象，内涵并不十分明确。即便是在采用了隐私概念的美国，在法律上也没有对隐私给出明确的定义，除一些成文法对特定信息隐私给予界定外，其他隐私主要依靠普通法来保护，法官具有裁量权。国际上，对隐私的认识更是由于历史文化、法律制度不同千差万别。相反，采用跟人信息则相对简单一点，各国在立法时都采用了信息控制权在个人的原则。通过个人对相关信息的控制，则可以实现对个人信息的有效保护。

概念的不同主要是源于不同的法律传统和使用习惯，实质上并不影响法律的内容。就内容而言，各国或地区的个人信息保护法律虽然在许多方面具有重大差别，但是它们都具有如下两个共同的特征：第一、法律保护的对象是作为自然人的个人，而不是企业或其他组织。第二、法律所要实现的目标是使能够识别特定个人的信息不被随意收集、传播和作其他处理，侵犯个人的权利。因此，法律规制的重点与其说是个人信息，不如说是“个人信息处理活动”更为贴切。许多国家或地区的法律名称中为此专门突出了“处理”的概念，如欧洲理事会、欧盟、圣马力诺、冰岛、希腊、丹麦、我国台湾地区等。

二、制定我国个人信息保护规范的必要性

随着社会的不断发展，无论是各种政府部门及被授权或者受委托行使一定行政职能的组织，还是各种非政府部门在进行各种活动时，往往会收集、保存大量的个人信息。由于信息技术的不断发展，批量处理和传递个人信息会越来越容易，个人信息遭到不当收集、恶意使用、篡改的隐患也就会随之出现。比如：2004年10月16日《今日说法》中，一家企业在一次招聘会上不慎丢失了一个女求职者的求职简历，上面记载着该求职者的基本个人信息。一位犯罪分子根据拾得的简历，冒充该企业的招聘人员，对求职者实施了犯罪，并杀害了求职者。因此对我国而言，通过立法尽快建立个人信息保护制度已是刻不容缓的一件大事。其必要性主要表现在以下三个方面：

（一）侵害他人的信息隐私或滥用他人信息的案件越来越多，亟须明确相关各方面的法律权利、责任及任务。随着市场经济的发展，个人信息的经济价值越来越大，越来越多的商业机构采取各种（正当或不正当）方式获取他人信息，并无所顾忌的使用这些信息，给他人的生活安宁造成极大的影响。医院、商场、汽车经销商、房地产开发商未经消费者允许出售个人信息的情况时有发生。更为严重的是，招聘单位未尽到妥善保管他人信息的责任，导致应聘者生命财产受到侵害。这些案件屡见不鲜，正在成为人们关注的焦点。

（二）公民的权利意识增强，加快个人信息保护立法的呼声越来越高。最近几年，每年都会有全国人大代表和政协委员提出立法议案和立法建议。据统计，每年这些方面的提案与建议不下10个，涉及代表或委员几百名。人大代表和政协委员的提案和建议代表了人民群众的呼声，说明公民的权利意识在增强，对保护个人隐私的要求越来越高。

（三）政府机构为提高行政效率而进行的信息共享，亟须得到法律的规范。为加强市场监管，建设个人信用体系或是出于减轻个人信息提交负担，改善公共服务的目的。政府机构之间的信息共享正在走向深入，不断有人对此提出质疑，政府机构之间的信息共享是否合法，如何平衡保护个人信息利益和提高行政效率。特别是维护公共安全与国家安全利益之间的关系，使政府机构的信息共享既能满足公民对于个人信息的要求，又能减少公民的信息负担，提高政府的公共服务水平。

三、域外个人信息保护立法概况及主要立法模式

（一）据不完全统计，世界上制定了个人信息保护法律的国家或地区已经超过50个，就法律名称使用的概念而言，主要有三个，分别是“个人数据”、“个人信息”及“隐私”。其中使用个人数据概念的国家和地区最多，主要是欧洲理事会、欧盟、欧盟成员国以及受欧盟1995年指令影响而立法的其他国家。在普通法国家，如美国、澳大利亚、新西兰、加拿大等，以及受美国影响较大的APEC，则大多数使用隐私概念。在日本、韩国、俄罗斯等国，则使用个人信息的概念。

由于欧盟与美国在世界上的经济、政治地位以及他们对其他国家个人信息保护立法的影响非常大，通常将他们视为个人信息保护立法两种不同模式的代表。（一）欧盟的立法模式

欧盟毫无疑问是个人信息保护立法的模范和先驱。欧盟国家最先关注信息通信技术对社会的影响问题，并导致欧盟于1995年制定了《欧盟数据保护令》。《欧盟指令》价值倾向明星，覆盖范围广泛，规制程度深，执行机制健全。在《欧盟指令》的要求下，所有欧盟国家均已完成了新一轮的个人信息保护立法或修正工作，尤其是《欧盟指令》规定，第三国的隐私法律只有经欧盟委员会制定达到“充分的”保护标准，才能自欧盟向其进行跨境个人信息传输。这样非欧盟国家纷纷开始制定个人信息保护法，以满足《欧盟指令》的要求。虽然世界上制定个人信息保护法律的国家很多，但迄今为止只有加拿大、阿根廷、匈牙利和瑞士通过了欧盟的“充分性”判断标准。

欧盟数据保护法有若干优点，如在欧盟内确立了数据保护的最低标准，促进了各国的数据保护，消除了各国之间数据流通的障碍。但欧盟的法律框架也有许多致命的缺陷。因为非欧盟国家建立欧盟数据保护模式，必须仔细考虑本国文化、法律传统和国民需求。例如，欧盟数据保护法的有些条款纯粹是官样文件（诸如关于数据保护机构注册数据库的规定），有些条款过于刚性或烦琐（诸如关于数据国际流通的规定），而且各国之间的数据保护法也严重不协调。隐私与安全的紧张关系日益加剧，越来越多的政府要求公开个人数据，而这正好与欧盟数据保护法的规定相反，可见在未来的岁月里，欧盟数据保护法的压力将与日俱增。

（二）美国的立法模式。

美国是一个尤其重视企业的创造力与创新性的国家，其权利法案对传统个人权利的保护对世界各国宪法也产生了重大的历史影响。对于网络和现代通信技术所带来的海量个人信息收集、存储和处理。根据美国官方的说法，他们既有利于跨境贸易和电子商务，也会引起对个人隐私权利的担忧。美国政府的政策取向是，既要在国际范围内保护个人隐私，又不应阻断跨境信息流，影响电子商务和跨境贸易。美国政府希望通过对隐私保护采取平衡的规则方式，创造有利于创新的最佳增长环境。美国官方认为，美国的规则方式更加注重防止对个人信息滥用所造成的实际危害。因此，可以保持商界最大的参与。相反《欧盟指令》不加区分地适用于所有行业，适用于个人数据处理的所有环节。

在立法思路上，目前美国没有设定隐私的保护最低要求的综合性联邦法律。相反，美国对隐私的保护采取了一种灵活的策略。美国政府认为，自律机制配合上政府的执法保障，可以有效的实现隐私保护的目的。为此，美国政府一直保持与商界和消费者团体的对话，鼓励更多地保护隐私，采用自律性的隐私保护政策。另一方面，在某些高度敏感的领域，美国政府认为适宜通过相应立法保护个人信息。由此可见，美国的隐私法呈现出灵活性和多样性的特点。但是由于美国没有全国性的综合性的隐私法，只有部门特别法、州法和联邦贸易委员会法。所以，其不便于协调政策，保持政策的一致性，形成统一的保护框架。

综上所述，我们可以看出西方国家的立法有两种模式：统一立法和分散立法。欧盟采用了统一立法模式，即制定一个综合性的个人信息保护法，由一个综合监管部门集中监管。美国则采用了分散立法模式，根据个人信息的具体内容，由相应的监管部门监管，如卫生医疗信息由卫生医疗的监管部门监管，信用信息由金融部门监管。统一的监管可以协调政策，保持政策的一致性，形成统一的保护框架。分散监管可以区分信息敏感程度，灵活对待不同的信息，对敏感度高的信息采取强保护，对敏感度低的信息则保护措施可宽松一些。

（三）关于行业自律机制问题。

隐私权是一种非常容易受到侵犯的权利，某些个人信息{如个人健康信息}一旦公开或泄漏，后果就无法挽回。另一方面，为了保证社会的信息自由流动，又必须让政府机关或其他个体信息处理者进行必须的个人信息处理。因此，处于政府与单个信息处理者之间的行业自律机制就显得具有特别的意义。没有行业自律机制，仅仅依靠政府规制，要么会造成高昂的执法成本，要么不可能达到保护个人信息的目的。正因为如此，不论是美国立法模式还是欧盟立法模式，均对行业自律机制给予了充分的肯定。当然，即使在发达国家，要使行业自律机制真正能够在保护个人权利中发挥作用，还有很长一段距离。

在我国，行业自律机制（尤其是传统的行业协会）面临的各种问题就更多，更需要长时间在实践中逐步培育。综合考虑域外立法经验和我国的实际，许多专家建议个人信息保护法应该专门对行业自律机制作出规定。这种安排的考虑在于：（1）行业自律机制是个人信息保护机制中不可缺少的一个环节，尽管其作用的发挥需要许多外部条件的支撑。（2）法律中规定的内容详细一些，有利于在实践中进行各种形式的探索，也有利于传递政府职能转变的信号。（3）这种规定并不改变我国对行业协会的现行管理制度。协会的成立仍需要履行相应的法律程序，政府信息资源主管部门只是在协会成立以后，对其业务工作进行指导和监督。并且，行业自律机制要真正发挥作用，必须在政府机关与协会之间形成良性互动。（4）行业自律组织在个人信息处理领域能够承担的责任非常广泛，可以根据实际情况逐步试点、推开。

四、我国立法模式的选择

由上可知，不论是欧盟立法模式还是美国立法模式，都有其合理的地方，更重要的是，都有各自的价值观和社会基础作为支撑。作为第三方，比较好的选择是分别吸收其有益的经验，并结合本国的国情做出具体的制度设计。日本学者在这个问题上观点非常明确，值得我们借鉴。我国的立法应充分吸收、借鉴欧盟与美国的经验，在每个制度的设计上都充分考虑将两者的长处结合起来，并反映中国社会生活的现实与长远需要。

所以，我试想是否可以采取一种统分结合的二元制立法模式，即立法外形上采用类似欧盟的立法模式，实质上采纳美国的做法——既要有平等适用于公共部门与私营部门的规定，又要分别规定对政府机关与其他个人信息处理者的不同义务。这种立法模式主要是考虑到如下几个方面的因素：（1）从立法资源有限性的角度看，我国现阶段很难对个人信息保护分别制定几个法律，分别适用于不同的主体。因此，与其因为立法技术上的原因而拖延整个立法的进程，还不如通过制度的设计尽快启动个人信息保护立法。（2）统分结合的方式虽然和近年来我国的行政法单独立法方式有较大的区别，使一部法律中间既涉及行政法律关系，又涉及平等主体之间的民事法律关系，使个人信息保护法在归入哪个部门法问题上出现不确定性。但是，应该看到，任何一部法律中实际上都涉及公法与私法两个方面的法律关系，要使法律关系纯而又纯是很难的。不应该根据部门法的理论分类来决定法律的内容和范围。更重要的是，这种统分结合的模式可以有效地利用我国现有的行政法与民事法律救济机制，解决法律的执行问题。（3）从我国目前所面临的实际问题来看，尽管主要的问题是政府机关掌握的个人信息过多，甚至不准确、个人无法获知，但是与此同时，其他个人信息处理者处理个人信息所造成的问题也越来越多。尤其是一些跨国企业，利用其信息优势谋取不正当利益或竞争优势的事例也开始出现。因此，制定一部既适用于政府机关，又适用于其他个人信息处理者的法律，具有多方面重要的现实意义。（4）其他国家或地区已有类似的立法（例如德国、我国台湾地区），实践证明是可行的。（5）这种立法模式并不是一成不变的，有较强的适应性。随着立法资源“瓶颈”因素的消失，如果需要，以后完全可以从统分结合的方式向完全的分别单独立法方式过渡，对不同的主体制定不同的法律。

五、结语：

隐私对于我们每个人都很重要，但信息时代的好处更重要。不良的隐私法会抑制经济价值的创造和全球经济的勃兴。没有良善的隐私法会导致信用滥用以致公共信用崩溃。良善的隐私法关注有害的信息滥用，又给企业指明了自我管理，避免有害滥用的方向。总而言之，千万记住隐私立法是一个过程。今天的法律只有修正才能应对明天的挑战。

参考文献：

[1]王利明主编：《人格权法新论》，吉林人民出版社，1994年版。

[2]ChristopherKuner著温珍奎译：《欧盟的隐私和数据保护》。

[3]MalcolmCrompton著温珍奎译：《亚洲隐私法的经验与出路》。

[4]FredH.Cate著苏苗罕译：《美国的隐私保护》

[5]王明锁：《论所有权占有权能与他物权控占权二元制法律体系的构建》，载《法律科学》2009年第6期。

[6]周汉华主编：《个人信息保护前沿问题研究》，法律出版社，2006年版。

[7]《中华人民共和国民法通则》。