个人信息权及其欧盟保护

郭 鹏

(西安科技大学，陕西 西安 710054)

一、个人信息权的内涵

个人信息权是指自然人依法对以数据电文形式存在的可识别的个人信息所享有的支配、控制并排除他人侵害的权利，个人信息权大体上从属于传统人格权的范畴，但是又具有相应的特殊性。

(一)个人信息以“数据电文”为形式要件

“数据电文”的概念最早出现于1996年联合国贸易法委员会所制定的《电子商务示范法》之中，该法规定“数据电文”是指经由电子手段、光学手段或者类似手段生成、储存或者传递的信息，这些手段包括但不限于电子数据交换、电子邮件、电报、电传或者传真。我国合同法在第十一条、第十六条、第二十六条采用了规定数据电文形式的概念，我国电子签名法第二条第二款:“本法所称数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息”，亦是对示范法“数据电文”概念的继承和发展。这意味着数据电文存在于一切技术手段的全过程领域，无论以何种形式、处于何种阶段、存在于何种介质的个人信息，在形式上都能够满足受法律所保护的数据电文形式要件。

(二)个人信息以“可识别性”为实质要件

在实质上，个人信息是可以直接或间接识别本人的信息，通过可识别性的信息描述可以将某人信息特定化，以至于将某人和其他人区别开来，从而组成了以数据电文形式存在的特定化的个人描述。能够具有直接识别性的个人信息包括信息化的肖像、姓名、身份证号码、驾驶证编号、社会保险编号等，这些信息往往与自然人之间是一一对应关系，只要获取这些信息就可以识别出拥有这些信息的本人。间接识别信息不能俱之单独识别本人，但与其他个人信息相结合仍然能够识别信息主体的身份，这些信息即包括性别、爱好、兴趣、习惯、职业、收入、学历等具有公共知晓性的信息，也包括健康情况、犯罪记录、性活动、名誉等涉及人格权事项的信息，还包括账户信息、不动产信息等涉及财产权事项的信息。

(三)个人信息权包括个人信息支配权、个人信息控制权和排除他人侵害的权利

个人信息支配权是指本人得以支配其个人信息的权利，本人可以决定其个人信息是否被收集、处理与利用以及以何种方式、目的、范围收集、处理与利用，个人信息支配权的存在因本人法律人格的存在而具有了排他性的绝对权利属性。如果说个人信息支配权是被动的应然性个人信息权利，那么个人信息控制权则是主动的实然性个人信息权利。本人对其个人信息应该具有支配权，但是由于能力、手段和范畴的限制，本人并不必然对其个人信息拥有完全的控制权，在目标特定化的合理利用条件下，个人信息权还要向公共领域发生合理的让渡。排除他人侵害的权利是本人基于个人信息的支配和控制权利而产生的侵害排除请求权，在本人遭受信息侵权时，有权要求停止侵害行为并因此而获得相应的求偿权。

(四)个人信息权的法律特征

个人信息控制权在法律性质上大体从属于传统人格权的范畴，但它有别于传统的具体人格权，从和传统人格权相比较的角度而言，其法律性质具体体现在以下四个方面:

1．个人信息权与公共安全之间存在的冲突，导致个人信息权在一定程度上向社会公共领域进行让渡，以维护私人权利和公共权利之间的利益平衡。个人信息权与公共安全的冲突正是缘于公民个人权利的不断膨胀和保障社会公共利益之间的冲突而引发的［1］，因而他们之间的冲突又体现为私人权利与公共权利之间的冲突。

2．信息社会中个人信息权由传统的人格权利而被赋予了的财产性属性。以数据电文形式存在的个人数据作为个人信息权的存在形式，可以因之收集、处理和利用带来财产性收益。一方面，商家搜集利用消费者的性别、收入层次、学历、消费偏好等个人信息对消费者进行细分，为消费者提供个性化的商品和服务，为此商家将会尽可能地搜集到有关消费者的所有个人信息;另一方面，虽然个人信息具有绝对权利属性，但在个性化经济获得极大提升的时候，尤其是当特定的主体认识到其某些个人信息的经济价值远远大于其所具有的人格利益的时候，他可能会向商家主动提供个人信息，或允许他人搜集和使用其个人信息以获得报酬请求的权利。由此可见，个人信息权虽然表现为人格权，但其已经具有了广泛的财产属性。

3．个人信息权开始由被动的隐私支配权转向主动的信息自决权。德国在上世纪80年代开始建立“个人信息自决权”理论，引领了其他各州和其他国家理论及立法转向的先河。传统的隐私权理论认为具体人格权是公民对自己的私生活方面的信息进行独立支配的一种精神性权利，当个人信息已经成为了一种在市场中能够获利的无形财产，而法律仍然只是将之作为一种精神性人格权的客体加以保护时，这对作为个人信息主体的消费者来说是显然不公平的。我们应当在法律中肯定个人信息的财产性，将此种信息权界定为具有财产性质的可由个人信息主体支配的权利，使个人信息权的保护更加具体化、实际化、科学化，以更加贴切、精确地保护当事人的利益。

4．在个人信息权与网络隐私权的关系上，网络隐私权和个人信息权的内涵和外延不尽相同，既相互区别，又相互联系，相互交叉，两者有着共同的交集。一方面，德国、日本等大陆法系国家倾向于使用个人信息 (资料)权的概念，以欧盟《资料保护指令》为代表的主要欧洲国家建立了较为完备的私人资料保护体系，在欧盟内部设置了具有强制力的隐私资料保护水平。而英美法系国家则在传统上沿袭了隐私权的概念，《隐私权法》、《公平信息报告法》、《金融隐私权法》、《联邦有线通讯政府法案》、《录影带隐私保护法案》、《电子通讯隐私权法案》以及《儿童网上隐私保护法》等所组成的美国隐私权保护法律体系则以对“网络隐私权”的保护走在世界前列。另一方面，广义上的个人信息，应当包括和个人生活有关的全部信息，而隐私一般是指“不愿被窃取和披露的私人信息”，隐私权似乎是个人信息权的下位概念。但是与此同时，隐私又可以划分为个人信息、个人私事、私人领域和私人生活安宁四种类型，其中具有私密性的个人信息权是隐私权的最为重要的组成部分，尤其是传统的英美法系国家主张个人信息是一种隐私利益。由于“法律对个人信息的保护，是对满足一定条件的全部个人信息进行全面保护，并不仅限于保护隐私利益”［2］，我国在两者之间更加倾向于采用个人信息权的概念予以立法和规范。

二、个人信息侵权的表现形式

物联网和三网融合的研发与商业应用作为两个巨大的动力引擎，将进一步引领中国信息化社会深化发展。在“智慧的地球村”之中，个人信息失去了传统时间和空间的天然屏障，非法知悉、搜集、利用、公开和侵扰个人信息变得普遍化和复杂化，侵害个人信息权的表现形式也随之多样化。具体来说，个人信息权的侵权行为主要包括以下几类:

(一)网络服务提供商 (ISP)对个人信息的使用和传播

个人信息蕴涵着巨大的经济价值，ISP对其经济价值无疑都有深刻的认识，其通过收集利用用户填写的个人基本资料和cookies所跟踪记录的用户信息等途径以隐蔽的侵权方式，获得巨大的经济利益。然而随着ISP的发展壮大，google等搜索引擎服务提供商似乎已经参与到国际政治之中，使得个人信息的收集利用对其不但具有经济价值，而且具有了政治意义。《华盛顿邮报》近日报道称google与美国国家安全局合作调查可能源自外国的网络间谍攻击;澳大利亚、欧盟、印度等国家和地区或者修改法律或者责令google限期接受安全监管等新闻不绝于耳，google、facebook、twitter等甚至被日本学者称为“网络帝国主义”的利器，ISP对世界各国个人信息权利和国家信息安全的保护和监管所带来的挑战可见一斑。

(二)未经授权搜集利用他人信息

未经授权搜集利用他人信息的情形包括未经授权在网络上宣扬、公开、传播或转让他人信息;未经授权截取、复制他人正在传递的电子信息;未经授权打开他人的电子邮箱或进入私人网上信息领域收集、窃取他人信息资料等，数量众多的“人肉搜索”案件便是其中较为典型的情形。虽然在现有的立法实践中，个人利益和公共利益的博弈使得在规制“人肉搜索”等在网络与信息系统擅自发布、传播、删除、修改信息权利人相关信息的侵权情形方面还存在着争议，但是对于脱离了社会公益范畴的个人信息需要在法律规范上禁止他人滥用以保护个人信息权利的观点得到大家的共识，从而在以公益为目的的个人信息合理利用和个人信息权利的保护之间找到平衡。

(三)专门的网络窥探和调查业务

专门的数据采集公司也对个人信息权带来了极大的威胁。网络业的兴起带来对信息的狂热追求，一些公司看到其中蕴含的巨大商机因而专门从事网上窥探和调查业务。对网络进行追踪与监视，在不为使用者觉察的情况下，使用监视与追踪技术产品在多个网站上收集使用者信息的功能，非法监测用户上网习惯，收集访客信息，并进行贩卖，以实现自己的商业目的。［3］320

(四)公权力机关工作人员及公共服务单位非法出卖泄露个人信息

现代政府和公共服务部门为履行管理国家和社会公共事务的职能，确有必要建立专门的数据库收集、储存相关方面的个人数据，以方便管理提高政府的行政效率。但是，当这种大量涉及个人隐私信息的收集、使用不当时，便会极易构成对个人信息安全的侵害，例如2009年中央电视台3·15晚会就曝光了中国移动山东省公司把用户个人信息出售给垃圾短信运营商以从中渔利的侵权行为《刑法修正案 (七)》虽然在刑法二百五十三条中增加了关于“出售、非法提供公民个人信息罪”的新罪名，但是由于缺少相关的配套细则，这使得该条款在法律实践过程中难以适用。

三、欧盟对个人信息权的保护

由于上述多种多样的个人信息权侵权表现形式与国内目前个人信息权保护相关立法相对缺位的现实之间存在着一定的矛盾冲突，因而研究以欧盟为代表的先进立法经验，将对推动和促进我国相关立法的发展起到积极的示范和启示作用。

(一)欧盟个人信息保护的立法演进

欧洲的信息保护立法经历了以个别国家为先导，到国际和国内立法并行，再至国际立法融合国内立法，在欧盟层面构建统一的信息保护体系的发展过程。［4］112

从1973年《瑞典信息法》的制定开始，欧洲国家开始了个人信息相关立法的进程。德国1977年制定的《联邦信息保护法》被誉为欧洲个人信息保护的一面旗帜，在其修正案中德国首先提出从“隐私权”向“个人信息自决权”过渡，创建了个人信息自决权理论，对其各州立法和其他国家的相关立法产生了深远影响。法国于1978年制定了《信息、档案与自由法》，卢森堡在法国的影响下也于1979年制定了信息保护法。英国众议院在上世纪七十年代曾经审议了以“隐私权”为主题的几个立法提案，但是直到1984年在《欧洲信息保护公约》和其他欧洲国家的压力下，才出台其本国的《信息保护法》。爱尔兰、比利时、西班牙、葡萄牙、意大利等国也随着其他国家的立法，以及《欧洲信息保护公约》的软约束和欧盟《资料保护指令》的硬约束纷纷制定本国的信息保护法。

正如西米提斯所言，上世纪90年代欧共体经历了“从一个单纯的经济同盟转变为一个政治同盟”的深层次的、历史性的结构变革。在欧盟成员国差异性和融合性的充分尊重下，欧盟《资料保护指令》(欧洲议会和欧共体理事会关于与个人资料处理相关的个人保护及其资料自由流动的第95/46/EC号指令)于1995年通过。该指令以协调、融合与统一成员国的信息保护法为主旨，建立起了一套全面的信息保护机制，为个人信息及其自由流动提供了较高水平的保护，对欧盟各国、美国和其他国家的个人信息权保护产生了广泛而深远的影响，是个人信息权保护相关问题目前可资借鉴的主要法律体系，对我国相关立法也同样具有有重要的借鉴意义。

(二)欧盟《资料保护指令》针对个人信息权保护的主要内容

1．将特殊类型的个人信息 (资料)的处理进行单独规范

《指令》的第三节专门针对特殊类型资料的处理进行了规定。第八条第一款将其范围规定为:透露种族、民族本源、政治观点、宗教信仰、世界观、工会关系以及与健康和性生活有关的个人信息，并规定成员国应禁止处理上述信息。从公众利益出发，该条也为禁止处理特殊类型的个人信息进行了排除性条款规定，在资料当事人已明示同意处理、涉及劳动法的义务与权力行使、为保护资料当事人或他人重大利益所必须、经资料当事人同意由非营利性法人或组织正常处理资料等情形下，“禁止处理”的条款不予适用。与此同时，涉及言论自由以新闻或文学艺术表达为目的而实施的个人信息处理，因个人信息权和言论自由权的协调也被作为例外情形规定。［5］

2．《指令》中创设的个人信息权利

(1)个人信息查阅权

个人信息查阅权是指个人对于其信息及其信息的处理情况有权进行查询的权利。个人信息查阅权是个人信息权的核心权利之一，目前的国际立法对其都有规定，欧盟《指令》第十二条从资料当事人的权利和控制者的义务两个方面，也规定了较为全面的个人信息查阅权。资料当事人的权利在于有权确认处理信息的时间，有权要求提供处理的相关信息;资料控制者的义务在于为资料当事人提供可理解的信息处理资料，信息自动化处理的告知义务。［6］

(2)个人信息更正、删除与封存权

《指令》第六条第一款规定“个人信息须准确且在必要情况下允许更新，以收集或者进一步处理为目的，应采取恰当措施以保证不准确或者不完整的信息得以删除或者更正。”［7］因而，个人信息更正、删除与封存权是为维护个人信息准确性这一基本原则而设立的权利。和信息查阅权一样，《指令》也是从为资料当事人创设权利和为信息控制者规定义务两个方面对其进行细化。《指令》第十二条也规定资料当事人有权要求更正、删除或封存正处理或经处理的信息资料，信息控制者对信息更正、删除或封存有告知义务。

(3)信息处理的反对权

依据《指令》第十四条和第七条的规定，资料当事人在任何时候，通过与其特定情况相关的重大正当理由，均有权反对对其个人信息进行处理，信息控制者实施的信息处理行为也不得再涉及这些信息。［8］对于资料当事人行使反对权的限制在于，在信息控制人处理为控制人或者被告知信息的第三人执行具有公共利益的任务或者行使职权所必须的情况下，当事人有权行使反对权。［9］与此同时，在信息控制人以直接营销 (direct maketing)为目的信息处理时，当事人有权行使反对权。

3．个人信息保护的监督机构及工作组

《指令》第六章对个人信息保护的监督机构及与个人信息处理有关的个人保护工作组进行了详细的规定。要求成员国须规定在履行其法定职责时具有完全独立性一个或多个机构负责监督本国《指令》的实施。在制定行政措施或者规定和个人信息处理相关的权利义务时，须咨询监督机构的意见。监督机构具有调查权、有效的干预权和司法提醒权，并且有权审理本国个人及机构对个人信息保护的相关申请。与个人信息处理有关的个人保护工作组是设在欧盟的由成员国及由欧盟所设立的监督机构共同派驻代表所设立的咨询性组织，有权对各适用《指令》的一切措施进行审查并促进这些措施的统一适用，并有权提出修改《指令》条款的建议，设置保护个人信息及其自由的特定措施。［10］

［1］张玉兰．公民隐私权与知情权的冲突与平衡 ［J］．中共南宁市委党校学报，2006，(5)．

［2］齐爱民．论个人资料 ［J］．法学，2003，(8)．

［3］秦成德，等．电子商务法学 ［M］．北京:电子工业出版社，2010．

［4］孔令杰．个人资料隐私的法律保护 ［M］．武汉:武汉大学出版社，2009．

［5］Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data，section III－ Art．8．

［6］Directive 95/46/EC，section V －Art．12．

［7］Directive 95/46/EC，section V －Art．6．1(d)．

［8］Directive 95/46/EC，section VII－Art．14．

［9］Directive 95/46/EC，section II－Art．7(e)．

［10］Directive 95/46/EC，sectionVI－Art．28 －30．