个人信息保护立法中的几个问题探讨——以智慧城市建设为背景

朱 淼

随着信息技术的飞速发展，智慧城市建设已经进入实践阶段。由于智慧城市高度依赖数字化技术和信息，信息泄露与信息滥用将成为智慧城市建设不得不面对的问题。智慧城市建设中大数据库的运用，可能进一步激化公共利益与个人权利的矛盾。因此，建立健全有关法律制度，切实保护个人信息安全和个人信息权利是十分必要的。

一、智慧城市的发展趋势

智慧城市是把新一代信息技术充分运用到城市的各行各业中的基于知识社会下一代创新的城市信息化高级形态。它强调两个智慧：一是对互联网、物联网、云计算等新型信息技术的运用，二是人类智慧的充分参与。

技术方面，信息技术如同“番多拉魔盒”，它有着无穷魅力，同时诱使人们去违反现有的社会行为规范。在私法范畴，新技术模糊了人的主体性，人本身已经成为庞大管理系统中的一系列数据，信息主体甚至无法知悉信息的处理过程。“我们”正在被逐步数字化。社会因素方面，创新2.0是与信息时代、知识社会相适应的面向服务、以用户为中心、以人为本的开放的创新形态[1]。“以人为本”的理念是对过度应用高新技术致使人自身物化的纠正，以此保护信息主体对信息自决的权利。两相结合，智慧城市的发展趋势是运用信息技术为人服务的城市建构。在这个过程中，信息无疑是贯穿始终的主线。信息的准确与否，信息是否完整、信息是否能自由流通、信息是否能自动化处理，是智慧城市实现智慧管理的关键。构建智慧城市需要利用大量个人信息，而这些个人信息一旦与信息主体分离，保护信息主体的自决权利就变得困难。如果这些信息被任意泄露或用于非法目的，那么宪法上“权利神圣”的宣言就会变成一句空谈，甚至人的主体性也会受到质疑。

二、我国个人信息保护立法现状

目前，我国的《个人信息保护法》还只有“专家建议稿”。关于保护个人信息的规定散见于一些法律法规中，包括：国务院发布的《计算机信息网络国际联网管理暂行规定》及其实施办法、信息产业部发布的《互联网电子邮件服务管理办法》、全国人大常委会《关于加强网络信息保护的决定》、工业和信息化部制定的 《电信和互联网用户个人信息保护规定》和《侵权责任法》《居民身份证法》《消费者权益保护法》及《刑法》等。

制定个人信息保护法涉及许多问题，比如：如何把握个人信息的保密程度，如何确定实名制对个人信息保密限度与国家安全、社会秩序稳定之间的界限怎么，如何协调不同部门对保护个人信息的权力，如何认定侵权行为，等等。这些问题都需要进行深入的研究。政府机构在使用个人信息时，习惯于从管理者角度强调个人提供信息的义务，而漠视个人对自身信息享有的私权。构建智慧城市，政府机构对庞大信息的掌握极有可能威胁个人信息安全。政府机构为提高行政效率而进行的信息共享，也存在侵害个人信息私权的可能，因此也需要在法律中予以规范。

三、个人信息立法中的几个问题

在智慧城市中，信息时刻在大规模地集聚。个人信息的这种集合有可能涉及国家安全。保护个人信息安全，除了运用动态技术对风险进行识别和评估，以降低系统运行的风险之外，更为重要的是规范信息控制者的行为，尤其是政府机构的行为。

基于智慧城市的个人立法，应更加关注公权力与私权之间的界限。欧盟在拟定95/46号指令《个人数据处理》时，就信息流与信息保护之间的冲突做出了极大的努力。面对自由开放的市场与个人信息权利之间的冲突，《个人数据处理》强调：在任何情况下都尊重个人权利的体系是其必不可少的基础[2]。智慧城市的建构以服务大众为目标，体现着公共利益需求的最大化，而“权利神圣”是现代民主社会构建的宪法基础。笔者认为，应当先在立法中明确规定“尊重自然人的基本权利和自由”，从而建立保护个人权利的良性社会机制，使个人能够安心地将个人信息提供给政府机构，推动智慧城市建设。借鉴域外有关立法经验，下面就我国个人信息立法中的几个问题进行初步探讨。

（一）界定个人信息

个人信息与公共信息相对，是指与个人相关的信息。随着网络的广泛应用，个人信息的外延在逐步扩展，除了包含现实生活中个人的各项数据信息，同时还涉及网络世界中的信息，比如QQ账号、微博账户、微信账号、游戏账号等。

个人信息的概念源自1968年联合国国际人权会议提出的“资料保护”（data protection）。最早的个人信息保护法律文件是1970年德国黑森州的《个人资料保护法》，最早的国家立法始于1973年瑞典的《资料法》。以后的国家立法中，“个人信息”“个人资料”“个人隐私”都有被用到[3]。

笔者认为，在保护个人信息的立法中宜采用“个人信息”一词，并将其与“个人资料”、“个人隐私”相区别。

维基百科将“资料”的含义解释为数据，指描述事物的符号记录，是关于事件之一组离散且客观的事实描述，是构成信息和知识的原始材料。数据指计算机加工的“原料”，如图形、声音、文字、数、字符和符号等。“信息”的表现形式数不胜数，包括声音、图片、温度、体积、颜色等。古希腊哲学家柏拉图经常使用“信息”表示理想的身份或事物的本质。也就是说，“信息”一词很早就被用来表征特质。意大利学者朗高认为，信息是反映事物的形成、关系和差别的东西，它包含于事物的差异之中，而不在事物本身[4]。

比较而言，“资料”（或“数据”）更为抽象，“信息”较为形象。“资料”通过解释成为“信息”。“资料”涵盖“信息”，“信息”是经过处理的数据资料。个人资料或者个人数据包罗万象，包括一切代表个人的符号。个人信息是数据或资料经过处理以后可以为人所用的内容，强调可识别性，以减少不确定性。“个人信息”表征事物的特质，减少不确定性，具有识别作用，适合作为法律概念。

“个人信息”与“个人隐私”指针的是事物不同的方面。个人对思想、情绪和感受等与自身相关的事务的公开与否具有权利。隐私权本质是反映人性的人格利益，是为了人的自我实现的需要。个人隐私具有主观性。一旦隐私受到侵犯，感情就会受到伤害，会让人遭遇困惑、烦恼、痛苦、屈辱、羞耻等负面情感。隐私权的行使方式是自我控制向他人封闭或开放的程序[5]。有学者认为，不存在不涉及个人隐私的个人信息，应将所有个人信息均纳入个人隐私的范畴[6]。事实上，个人信息既具有人格属性，同时也具有财产属性。在信息化社会，个人信息的商业价值被充分利用。信息社会持续发展的源动力是信息的合法自由流通。法律保护个人信息中的人格利益，不限于隐私，还包括姓名、肖像、名誉、人身自由等。法律也保护个人信息中的财产利益，即个人信息财产权，其行使方式是决定信息的处理、删除、查询与更正。因此，个人信息与个人隐私不同，对个人信息权利应予单独立法保护。

在国外立法中，“个人资料”“个人信息”“个人隐私”概念的不同，主要是源于不同的法律传统和使用习惯[7]。美国使用大隐私权的概念，将个人信息置于隐私的范畴加以保护[8]。1980年经济合作与发展组织（OECD）出台的《隐私保护与个人资料跨国流通指针》规定：“个人资料”是指任何关于一个可识别或可得识别自然人（本人）的信息。1995年欧盟《EU数据保护指令》第2a条规定：“个人数据”是指与一个身份已被识别或者可被识别的自然人相关的任何信息。2002年《德国联邦数据保护法》第3条规定：“个人数据”是指关于个人或已识别、能识别的个人（数据主体）的客观情况的信息。这些立法所规定的含义具有三个特征：一是可识别性，即可以减少不确定性，能显示主体的特征；二是客观性，个人信息不包括主观的评价、体会、感情等信息；三是关联性，与信息主体有直接或间接联系。

在法律中界定某个事物，通常采用抽象概括的方式。这也使得法律概念或多或少存在不确定性。而对“个人信息”的错误理解，会不当扩张或者限制个人信息保护法的调整范围[9]。因此准确界定个人信息，是个人信息保护立法首先必须考虑的问题。

（二）个人信息权利的法律属性

国外对个人信息的立法保护，或者以隐私权作为权利基础，如美国；或者以一般人格权作为权利基础，如德国。大陆法系的法学理论强调，人本身即是目的，人不得被视为工具或手段，不允许将人或人格物化，也不得将承载人格尊严的物品财产化，否则可能侵犯人权。这是现代的人格观。个人信息承载的不仅仅是数据符号，它是涉及主体人格或财产利益的信息。个人信息不是被合理合法的使用，信息主体的人格利益必然受损，即人权被侵犯。如果信息未经许可被用于商业目的，进入市场自由流通，信息主体的财产权利受损，同样属人权被侵犯。根据上述分析，我国的个人信息保护，更适合以一般人格权和财产权作为权利基础。个人信息具有双重属性，既有人格属性，又有财产属性。人格属性以一般人格权作为权利基础，而财产属性应以财产权作为权利基础，纳入私法体系予以保护[10]。也就是说，个人信息权利属于私权范畴，应以民法规范为基础，单行立法加以规制。

（三）个人信息保护的一般原则

参照1980年OECD出台的《隐私保护与个人资料跨国流通指针》所提出的8项原则，许多国家拟定了个人信息适用与保护的基本原则。这些原则旨在保护个人的信息权利。确立这些原则，将在一定程度上限制政府机构或商业机构搜集、使用、储存、处理个人信息的自由。这种立法选择，也有利于促使信息主体安心地接受政府机构或商业机构的信息处理。

大数据库是智慧城市运转的前提。在这些大数据库中，某一个数据的筛选就可能涉及亿万人的个人信息，其中也会包括敏感信息。这种数据筛选将关系国家安全、社会安全。以维护国家安全为目的，政府机构在一定范围内可以未经许可对个人信息进行必要的搜集、利用、存储、处理等。近几年来，已经至少有26个国家的法律修正案放宽了政府机构从事检查、监视以及使用个人信息等行为的限制条件[11]。

我国的个人信息保护立法，自然也需要确立保护个人信息权利的一般原则。对一般原则可作如下表述：

（1）搜集。搜集个人信息应基于合法目的，以合法且公正的方法进行。应在恰当的时间向信息主体说明搜集的目的及向第三者提供信息。禁止搜集个人的敏感信息。敏感信息包括：人种及民族，政治性意见，对政治性结社的归属，宗教的信仰或对宗教团体的归属，哲学的信条，对职业的或公益的结社的归属，个人的健康信息，性的喜好及习惯，犯罪履历。

（2）管理。管理者为确保所搜集信息的质量和目的的关联性等，应采取合理的措施。可以采取有利于安全管理个人信息的措施。为管理好信息的质量，要在合法的范围内采取订正、删除和添加等方法。在管理者不想对信息进行订正等处理时，要附上期望订正的人的声明。

（3）储存。信息控制者需要保存个人信息的，应向信息主体说明对其保存及处理信息进行确认的方法，对存储的信息要保存记述重要事项的记录。储存信息的期限以实现搜集之目的必需为限。

（4）利用。在提供信息前，应将该信息与其目的进行对照，确认是否为正确、最新、安全。对个人信息的利用要以合适的目的进行。在信息主体同意时及有法律规定时，可以进行目的之外的使用。存在对信息主体及他人的生命健康等构成威胁的重大危险时，除法律规定的情况外，均不允许利用该个人信息。除法律规定情形外，不得在提供目的之外利用个人信息。

（5）信息主体具有对自己信息的处理权。

个人信息权利保护的一般原则，以尊重信息主体的权利为基础，限制政府机构的权力行为。政府机构利用职权收集、利用、存储、处理个人信息，其地位与信息主体不平等。只有权力可以制约权力。应设立专门的监督机构，监督个人信息的搜集、储存、管理和利用。

（四）个人信息自决权

与个人信息有关的权利是信息“控制”权，也可称为自己决定的权利。既然是自决权，所以立法不应事先决定所有问题，应更多运用“同意”，使当事者的意思得到实现。

信息主体的权利在大陆法系和英美法系中的名称不同，在美国称为“隐私权”，在大陆法系称为“信息自决权”。“自决权”赋予了这项权利宪法意义，强调人权的属性，尊重人性的本质。我国的法律制度属于大陆法系，就个人信息权利的法律属性而言，是以人格权和财产权作为权利基础，更适合采用“信息自决权”。

信息自决权与其他私权不同，它旨在强调自主支配和自由控制。个人根据自己的自主意志决定个人信息的处理，借此完成身份认同与自我认同，达到尊重人格自由发展的目的。信息自决权的表现为：

（1）决定权。即决定个人信息搜集、利用、保存相关事项的权利。

（2）查询权。信息主体随时访问个人信息的权利。

（3）异议权。阻止可能引起损害或破损的个人信息处理的权利；直接阻止用于销售目的的个人信息处理的权利；订正、封锁、删除或注销不正确的数据的权利；要求专门机构审查信息控制者的行为是否违反法律规定的权利。

（4）求偿权。因信息控制者违反法律规定导致损害发生，依法请求赔偿的权利。

信息自决权的关键在自决。自决是宪法人性尊严的核心内核之一。通过自决避免把人当作工具或手段。国家公权必须尊重信息自决权，政府应当尊重自然人的意志，尊重个人的自主性，也即尊重人性的尊严。

（五）法律责任与救济方式

无救济则无权利。违反个人信息保护规定的责任，可以分为行政责任、民事责任、刑事责任。侵害信息自决权，其责任形式应以民事救济为主。

智慧城市构建中，政府机构与信息相关的行为应由专门机构予以监督。针对政府机构侵害信息自决权的情形，法律中应有明确的责任制度。其中，应明确规定归责原则和精神损害赔偿。

商业机构侵害信息自决权，通常应当承担过错责任。政府机构享有职权，地位上占据绝对优势。依据责权相当的原则，政府机构应当承担更为严格的责任。政府机构违法搜集、储存、利用或处理个人信息，给信息主体造成损害的，应当承担无过错责任。也就说，不论信息主体是否有过错，政府机构都应承担相应的侵权责任。

个人信息具有双重属性，信息自决权体现的利益也包括两个方面，一方面是人格利益，另一方面是财产利益。人格利益受到侵害，会给信息主体造成负面的情绪困扰，甚至精神压力。结合《侵权责任法》第22条的规定，保护个人信息权的立法应该规定：个人信息遭到非法采集、处理、利用及其他形式侵害，造成信息主体严重精神损害的，被侵权人可以依法请求精神损害赔偿。

[1]宋刚，孟庆国.政府2.0：创新2.0视野下的政府创新[J].电子政务，2012（增刊）.

[2]吴越，李兆玉，李立宏.欧盟债法条例与指令全集[Z].北京：法律出版社，2004：211.

[3]齐爱民.个人资料保护法原理及其跨国流通法律问题研究[M].武汉大学出版社，2004：3.

[4]柯青，孙建军.信息资源管理概论[M].东南大学出版社，2008：4-5.

[5]张万洪，徐亮.隐私权本质的解析与界定[J].青海师范大学学报（哲学社会科学版），2007（1）.

[6]井慧宝，常秀娇.个人信息概念的厘定[J].法律适用，2011（3）.

[7]周汉华.域外个人信息保护立法概况及主要立法模式[N].中国经济时报，2005-01-13.

[8]王利明.论个人信息权的法律保护[J].现代法学，2013（4）.

[9]杨会永.个人信息概念的界定及其法律分析[J].重庆社会科学，2009（9）.

[10]刘德良.论个人信息的财产权保护[J].法学研究，2007（3）.

[11]Rule J B，Greenleaf G．Global Privacy Protection[M]．Edward Elgar Publishing，2010：99．