我国个人信息法律保护的困境与对策

肖少启

(韶关学院法学院，广东韶关 512005)

我国个人信息法律保护的困境与对策

肖少启

(韶关学院法学院，广东韶关 512005)

个人信息权是一项基本的人权。由于法律的规定较为分散和简略，权利主体在个人信息泄露时难以获得法律的有效救济。对于个人信息采取何种保护模式，学界见仁见智。为了充分地保护个人信息权，维护数字社会的信息安全，我国亟需制定一部统一的个人信息保护法，确立科学的基本原则，准确界定个人信息法律关系的客体制度，同时构建健全的权利制度保障体系。

个人信息；法律保护；权利救济；立法完善

现实生活中，“共享客户资源”在商业界几乎是公开的秘密。同时，随着传感器网络技术、生物识别技术、射频识别技术等高科技的发展，个人身份识别、电子病历信息、远距医疗记录、交通讯息、各种消费资金账户信息载体与日常生活层面应用的异类结合，都会造成个人信息的大量流通与运用,尤其是在虚拟网路的推波助澜作用下,个人信息被滥用、私权被侵害的程度达到无以复加的程度。个人信息一旦泄露，信息主体将难以进行数据恢复并掌控信息资料的下游滥用。如果信息被不法分子利用，潜在的危害如账户失窃、身份盗用、诈骗、绑架等严重的刑事犯罪将接踵而至。自20世纪50年代起，西方发达国家开始关注个人信息保护问题，通过立法确立了旨趣异同的个人信息法律保护模式。我国《人格权法》的起草和制定工作正如火如荼地展开，个人信息保护的立法亦随之被提上了议事日程。本文拟就个人信息法律保护相关问题略陈管见，以求教于大家。

一、我国个人信息保护立法的现状与不足

从某种意义上说，个人信息是国家的一种战略资源。然而，前不久，我国发生了十亿条个人信息被盗，公民信息泄露程度“触目惊心”①参见: 10亿条个人信息是如何被偷的? 网址: http://news.xinhuanet.com/legal/2013-03/15/c_115042338.htm.。频频发生的个人信息泄露事件，不仅侵犯了信息主体的隐私权，也给其生活造成严重困扰。在互联网时代，信息传输迅速而且范围甚广，使得个人信息保护面临更加严峻的安全形势，建立互联网个人信息保护制度成为人们的呼声。

我国目前尚未制定个人信息保护的专门法律，虽然有近四十部法律、三十余部法规，以及近二百部规章涉及个人信息保护，然而这些涉及个人信息保护的内容较为分散、权责不明晰或者存在部门规章效力层级偏低等问题。2013年2月1日，我国首个“个人信息保护”的国家标准即《信息安全技术公共及商用服务信息系统个人信息保护指南》（下称《指南》）正式实施。尽管这意味着我国个人信息保护工作进入了“有标可依”阶段，但其毕竟只是一个标准，尚缺乏法律约束力，而且效力层级较低，不足以震慑违法犯罪行为。2013年4月10日，工业和信息化部公布了《电信和互联网用户个人信息保护规定》和《电话用户真实身份信息登记规定》两个征求意见稿，旨在规范电信和互联网企业合法、正当地收集和使用用户个人信息，确保用户个人信息安全。然而，它们也同样面临《指南》同样的问题。从表面上看，信息法保护的是个人信息；但实质上，它不仅保护个人的隐私、自由和自治，事关个人人格的健全发展，它还具有重大的社会价值，关系到个人信息的公平、合理、高效流转。资料保护的个人和社会双重价值及资料保护问题的个人和社会双重属性，使得资料保护法跨越了公法与私法的界限，涉足宪法、刑法、行政法和民法等部门法，任何一部传统的部门法单凭一己之力均无法完成个人信息法治化流转的使命。这就要求制定一部专门的资料保护法，使它成为规制个人资料收集、使用、加工和散播等整个信息流转过程的基础性法律。因此，我国亟需出台的不是针对某个领域、行业或某类资料处理的条例、管理办法、指导意见、行为守则，也不只是对刑法、行政法和民法中涉及资料保护的部分进行简单的修补，最亟需的是宪法指导下的一部个人资料保护法[1]。

二、域外个人信息保护立法及启示

当前，就个人信息保护而言，存在两种立法体制，即欧盟的统一立法模式和美国的分散立法模式，这两种伦理框架很大程度上明确了现代信息法的基本走向。美国信息法的立足点是实用主义，强调的是信息的实用价值，它所采取的是分散立法和行业自律相结合的模式。而欧盟信息法则以道义论作为其理论基础，该种立法体制侧重的是对个人信息提供保护，坚持个体自治的价值。1996年，欧盟通过了《数据保护指令》，从而在欧盟国家确立了隐私权立法的基本原则，其立法背景和基本理念迥异于美国。欧盟将隐私权视为基本的人权，因而政治上务必解决。欧盟《数据保护指令》对个人信息提供了广泛的保护手段和救济措施，该综合性方法与美国形成了鲜明的对比，后者只在各种狭窄的范围内规范隐私权，而且主要是通过市场而不是法律来解决隐私权的保护问题。欧盟各成员国基本上都制定了较为全面的信息保护法，一并调整和规范公私领域中的信息处理行为。

德国《联邦资料保护法》在大陆法系国家最具代表性。该法于1977年颁布，采取的是统一立法模式，对个人信息保护进行统一规范、统一保护。1982年“人口普查案”成为德国个人信息保护发展的里程碑。之后，德国开始重新修订联邦资料保护法，1990年颁布施行，该法获得了理论界和司法实务界的一致好评。首先，联邦资料保护法构建了严谨的原则体系。该法规定了公开原则、目的明确原则、直接原则、更正原则、安全保护原则、限制利用原则等。其次，在监督机制方面,德国设置了外部的监督机构和内部的监督机构双轨制模式。外部监督机构即个人资料保护委员负责对公务机关收集或处理个人资料的情况进行监管,个人资料保护委员一般由法官或者大学教授担任，任职比较稳定；内部监督机构即资料保护人则负责对非公务机关处理个人资料的行为进行监督，资料保护人一般由各单位自行选任，其任命的基本条件是必须具有良好的品行和必要的专业知识。再次，联邦资料保护法确立了双轨制损害赔偿制度。德国联邦资料保护法将对个人信息的侵权行为分为行政侵权行为和民事侵权行为两大类。在此基础上，联邦资料保护法明确区分和界定了基于这两种侵权行为而发生的损害赔偿，分别规定了迥异的归责原则及赔偿范围。进言之，对基于行政侵权行为而发生的损害赔偿，联邦资料保护法明确规定应适用无过错责任原则，就赔偿范围而言，该法明确设定了最高限额；对基于民事侵权行为而发生的损害赔偿则应适用过错责任原则，在赔偿范围方面则实行全额赔偿，没有最高限额的限制。为了因应欧盟《数据保护指令》并达到后者的最低要求，2001年德国对《联邦资料保护法》进行了小幅度的修改。作为一次迫不得已、匆匆忙忙的改革的产物，这部法律带有明显的临时性。按照个人信息保护法元老西米蒂斯的说法，立法者是怀揣着“不久之后将其取而代之的意图”通过改革法案的①参见: Banisar D. The Right to Information and Privacy: Balancing Rights and Managing Conflicts. Available at SSRN: http://ssrn.com/abstract=1786473 or http://dx.doi.org/10.2139/ssrn.1786473.。

三、我国个人信息保护立法的完善

如前所述，个人信息是国家的一种重要战略资源。鉴于我国尚未制定公民个人信息保护的专门法律，对于公民个人信息究竟提供何种法律保护或救济途径，学界进行了积极的探索，先后涌现了“刑法保护说”、“侵权法保护说”、“隐私权客体说”及“人格权客体说”等几种主张。众所周知，刑法保护和侵权法保护都属于事后救济，在互联网时代需要对网络安全以及个人信息进行全流程的监管才更为有效。“隐私权客体说”源于美国，我国亦有不少支持者。一般认为，个人信息权与隐私权是两个不同的权益范畴，两者具有不可调和性。随着越来越多的国家进行相关的立法，隐私权法和个人信息权法之间的关系目前引起了全球范围内相当大的讨论。由于利益和价值的多元化需求，二者之间必然会存在某些交叉重叠，也不可避免会导致一些冲突。同时，人格权保护模式也有其先天的不足。毫无疑问，个人信息权就其主要内容和特征而言，在民事权利体系中，应当属于人格权的范畴。个人信息权应当作为一项独立的权利来对待，此种权利常常被称为“信息自决权”[2]。笔者认为，采用人格权的保护模式来保护个人信息无疑是正确的选择，但人格权与个人信息权亦是两个不同的权益范畴，二者既有交叉重叠的部分，也有不兼容之处。申言之，我们在制定“人格权法”的同时，亦需要一部独立的“个人信息保护法”。

（一）理念的彰显：我国个人信息保护法基本原则的确立

个人信息保护法基本原则体现了信息法的基本价值和理念，集中反映了信息法立法的宗旨和目的，对各项信息法律制度和信息法规范起统帅和指导作用，也是指导我们立法和司法实践活动的基本准则。就个人信息保护而言，经济合作与发展组织（OECD）和亚太经合组织先后颁布了《关于保护隐私和个人数据跨国流通指南》（1980年）和《亚太经合组织隐私权保护框架》（2005年），这两部公约都相应地确立了个人信息保护的原则性规定，对全球各国和地区的个人信息保护立法产生了直接的影响，它们都以此为依据制定本国和地区的个人信息保护法，并在此基础上不断进行补充和完善。在此基础上，我国学界和实务部门对于个人信息保护法的基本原则也进行了较为充分的研究，大致形成了共识。一般认为，我国个人信息法的基本原则主要包括以下几个方面，即公开告知原则、个人同意原则、质量保证原则、安全保障原则、诚信履行原则。在信息社会，对个人信息进行立法保护并不是为了限制个人信息的自由流动，而是要对个人信息的流动依法进行管理和规范，以期实现个人信息能够在合法、合理的状态下流动，保障个人信息的有效、正确和安全。毋庸置疑，前述基本原则彰显了个人信息法的人文精神和人文关怀，也体现了对个人信息的规范化管理。申言之，我们在充分保护个人信息的同时，也要实现社会信息资源的最优化配置，既要让个人信息真正实现其自身价值，又能更好地为社会公众服务，从而在信息主体和社会公众之间实现某种动态的利益平衡。

（二）权利的边界：个人信息法律关系客体制度的厘定

个人信息法律关系的客体，是指个人信息法律关系中信息主体之间享有的民事权利和承担的民事义务所共同指向的对象。具体地说，个人信息法律关系的客体指的就是信息主体的个人信息。当前，在个人信息的定义上，有概括型、概括列举型和识别型三种模式。概括型就是单独使用概括的方法描述个人信息的定义方式，列举型是单独使用列举的方法界定个人信息的定义模式。单独使用列举型定义的立法十分少见，而大部分采取混合型定义模式或者概括型定义模式。识别型模式就是以识别为核心要素对个人信息进行界定的定义方式。相比较而言，识别型定义是目前国际和国内立法采用较多的个人信息定义方式[3]109。尽管《指南》对“个人信息”进行了定义，但其仅仅局限于“计算机数据”，并不具有高度涵盖性，从而缺乏普适性。笔者认为，我们可以在参考《侵权责任法》第2条立法模式的基础上采取识别型定义法，即我国《个人信息保护法》中所讲的“个人信息”是指“自然人姓名、出生日期、身份证号码、健康状况、基因、指纹、婚姻家庭、教育、职业、医疗、联络方式、财务情况、社会活动以及护照号码等能以直接或间接方式识别该个人的信息。”

需要指出的是，《指南》将个人信息进一步区分为个人敏感信息和个人一般信息。一般来说，国际上对个人敏感信息大致有列举法、目的法及情境法三种立法体制。我国《指南》采取了情境法模式。从理论上讲，情境法是一种很灵活的方法，但采取这种立法模式将在很大程度上导致对敏感信息的认定不能确定，因为“敏感性”的判断标准并不受法律条款本身的限制。进言之，敏感信息可能涵盖任何信息或数据，从而使得敏感信息的外延被无限扩大了。随着互联网的迅猛发展，个人敏感信息与个人一般信息之间的区别变得越来越模糊了。从欧盟数据指令和德国、瑞典及英国等国家数据保护法的适用来分析，在网络环境下，将个人敏感信息与个人一般信息区分开来是一个很大的挑战，效果也不甚理想。笔者认为，我国未来的“个人信息保护法”是否有必要进一步区分个人敏感信息与个人一般信息，值得进一步研究[4]。

（三）权利的保障：个人信息权利救济制度体系的构建

“无救济即无权利”。如果要使信息主体的合法权益得到有效的法律保护,那么个人信息保护法中就应该明确规定对信息主体权利的相关救济制度。首先，归责原则的确定。一方面，国家机关违反法律规定，导致个人信息遭到非法收集、处理、利用或者导致其他侵害行为发生的，应该承担无过错责任。很多国家或地区的法律都进行了类似的规定。另一方面，非国家机关对其民事侵权行为导致损害后果发生的，应承担过错责任。例如，我国台湾“个人资料保护法”第29条规定：“非公务机关违反本法规定，致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者，负损害赔偿责任。但能证明其无故意或过失者，不在此限。”①参见: http://finance.cnyes.com/Content/20130301/KH6M5P9AN8CS6.shtml?c=detail其次，确立双轨制损害赔偿制度及损害赔偿额的计算方法。一般地，对个人信息的侵权行为可以进一步区分为行政侵权行为和民事侵权行为两大类。基于这两种侵权行为，我们可以在借鉴域外先进立法经验的基础上，引进双轨制损害赔偿制度。进言之，对基于行政侵权行为而发生的损害赔偿，法律可以设定最高限额的赔偿范围；对基于民事侵权行为而发生的损害赔偿则实行全额赔偿，法律不必设定最高限额的赔偿范围。尽管我国《侵权责任法》第 20条对侵害他人人身权益造成财产损失的损害赔偿制度进行了较为详尽的规定，但现实生活中，针对个人信息权的侵害，往往很难确定具体的损害赔偿数额。有学者指出，个人信息保护法往往通过定额赔偿制度来计算损害；但计算机处理个人信息的规模宏大，由于限定了最高额赔偿，可能使得一些超过了最高赔偿额的损害无法得到赔偿。在此情况下，应允许当事人依据民法主张赔偿全部损害[3]184。最后，精神损害赔偿的提出。实践中，个人信息经常被滥用，进而发生身份盗用、诈骗、跟踪（stalking）、不正当营销活动以及对信息主体进行监视等。这些滥用行为将会导致一些实质性损害的发生，例如经济上的损失、情绪困扰，甚至身体暴力等。尤其是，身份盗用对于受害人而言简直就是一场梦靥（nightmare）。犯罪分子通过使用受害人的个人信息获得贷款，公开诈骗账户，侵占受害人账户中的财产。当身份盗用发生之后，受害者的个人档案因为错误信息而被玷污——债务未清偿、交通违法、逮捕以及其他令其名声扫地的信息。因为犯罪分子盗用受害人的个人信息，执法数据库有时将受害者的名字与盗用者的犯罪活动联系起来。前述侵权行为不仅给权利人造成财产损失，也会导致精神损害。笔者认为，当义务主体违反法律规定，导致个人信息遭到非法采集、处理、利用或者导致其他侵害情形的发生，造成信息主体严重精神损害的，被侵权人可以根据法律的规定请求精神损害赔偿。

四、余 论

当前，个人信息泄露已成为一个极为严重的社会问题，备受社会各阶层的高度关注，保护个人信息呼声日甚。诸多原因给个人信息泄露创造了一个几乎没有“违法成本”的现实环境。对此，通过行政权力介入保护，显然有必要。从某种意义上讲，行政处罚有点集体维权的味道，可以迅速阻止一些影响面广、涉及人数多的侵权行为。但对个人信息保护，单靠行政保护，显然不够，必须要有法律之下的权利介入。在《个人信息保护法》迟迟不能出台的情况下，一些地方尝试用地方法规加强个人信息保护，无疑是值得肯定的。但由于地方立法的局限，地方（政府）大都只能在行政方面加大对侵害个人信息行为的监管和处罚力度。换句话说，地方（政府）只能依靠行政权来保护个人信息。这会有一定效果，但显然不够。毕竟，权利的长期缺失，其实正是个人信息保护的最大软肋，也是个人信息泄露泛滥的最主要原因。因此，个人信息保护立法，在加强行政保护的同时，更要加强法律保护，唯有权利坚挺起来，个人信息才能真正地受到尊重和得到良好的保护[5]。同时，必须指出的是，个人信息法律保护有其深厚的伦理基础，其理论的基石是信息主体（information entity）概念。原子世界充斥着信息、信息客体和信息主体，如果我们从网络的视角来看，这个世界就是一个二进制世界（world of bits）。这样一种伦理原则体系显然对法律原理产生了相当大的影响。作为一套正式适用的道德规范，法律最终植根于一些框架性的指导原则，而信息伦理规范则提供了这样的原则。从广义上讲，信息伦理规范可能适用于法律的所有领域，适用于原子世界里有关管理和规范现实生活的所有规则。但在信息法领域和法律原则中，它越来越关注的是位（bits）而不是原子，信息伦理规范得到了直接的适用。正如信息伦理规范源于计算机伦理规范一样，将信息伦理规范适用于法律规范体系自然而然就形成了信息法的适用问题。申言之，在我国个人信息法缺位的情形下，法院司法实践活动对保护信息主体的权益至关重要。正如博登海默教授所指出的，理性通常允许采纳几个有效的解决方法，然而面对该问题的法官却必须设法用斩钉截铁的手段去解决这种棘手问题[6]。令人欣慰的是，2010年11月，最高人民法院颁发了《关于案例指导工作的规定》。从理论上来说，这一《规定》解决了在此之前的司法实践中一直存在的一个重大困惑，即对于法律没有明文规定的民事纠纷，法院不愿也不敢作出裁判，从而导致对包括个人信息权争议在内的相当数量的民事纠纷无法获得司法裁决，当事人受到侵害的权益无法得到司法救济和保护。这也就意味着，尽管我国个人信息保护法尚未制定，但当信息主体的个人信息权受到侵害时，《规定》对权利主体进行司法救济提供了一种现实的可能性。最高人民法院发布的这个《规定》对构建具有中国特色的案例指导制度意义巨大，必将对审判实践、法学理论研究和法学教育产生深远的影响，称其为“一个具有划时代意义的标志”毫不为过[7]。

[1] 孔令杰. 制定《个人资料保护法》的理论基础与立法构想[J]. 重庆社会科学, 2009, (9): 96-99.

[2] 王利明. 论个人信息权在人格权法中的地位[J]. 苏州大学学报, 2012, (6): 68-75.

[3] 齐爱民. 私法视野下的信息[M]. 重庆: 重庆大学出版社, 2012.

[4] 肖少启, 韩登池. 论我国个人信息法律保护的制度构建[J], 中南大学学报, 2013: (4): 75-80.

[5] 李迎春. 对个人信息加强行政保护还远远不够[EB/OL]. [2013-03-27]. http://news.sina.com.cn/o/2012-11-07/ 061925524745.shtml.

[6] 博登海默. 法理学: 法律哲学与法律方法[M]. 邓正来, 译. 北京: 中国政法大学出版社, 2004: 584.

[7] 王利明. 我国案例指导制度若干问题研究[J]. 法学, 2012, (1): 71-80.

Difficulties and Countermeasures for Legal Protection of Our Personal Information

XIAO Shaoqi
(School of Law, Shaoguan University, Shaoguan, China 512005)

The right of personal information is a basic human right. Owing to the fact that the legal provisions are scattered and are too brief, it is difficult for the subjects to obtain effective legal relief upon the leakage of their personal information. Academia has different opinions about the mode of personal information protection. In order to fully guarantee the right of personal information and ensure information security in the digital society, our urgent task is to formulate a consolidated statute to protect personal information, in which we are supposed to establish scientific principles, accurately define the object in the legal relationship of personal information, and construct sound right security systems.

Personal Information; Legal Protection; Right Relief; Legislative Perfection

D924.34

A

1674-3555(2014)02-0053-06

10.3875/j.issn.1674-3555.2014.02.008 本文的PDF文件可以从xuebao.wzu.edu.cn获得

(编辑：付昌玲)

2013-04-03

国家社会科学基金项目(12XFX021)；中央高校基本科研业务费科研专项人文社会科学类重大项目(CDJKXB12001)

肖少启(1970- )，男，湖南衡阳人，讲师，博士研究生，研究方向：民法学及法学理论