我国个人信息保护立法模式研究

侯富强

（深圳大学经济学院，广东　深圳　518060）

我国个人信息保护立法模式研究

侯富强

（深圳大学经济学院，广东深圳518060）

个人信息是指一切可以识别自然人的信息的综合。个人信息保护的立法模式分为分散式行业自律的立法模式和统一法律规制的立法模式，两种模式各有利弊。根据中国私领域的现状以及更有效地保护个人信息，选择统一法律规制的立法模式更为合适。

个人信息；立法模式；分散式行业自律；统一法律规制

在2003年，国务院信息办委托中国社科院法学所个人数据保护法研究课题组承担《个人数据保护法》的研究，并于2005年完成。目前，国务院有关部门已经启动了《个人信息保护法》的立法程序，并已交由国务院信息管理办公室正式起草。这意味着，对个人信息的保护已经进入法律层面，个人信息作为一项基本权利①的标的，其立法已渐趋成熟。因此，发达国家个人信息保护法的基本构成要素特别是个人信息保护的立法模式对我国个人信息保护法律制度的构建有极大的借鉴作用。本文将就我国个人信息保护立法模式的选择做深入的探讨，以期抛砖引玉。

一、个人信息基本概念的界定

美国法理学家埃德加·博登海默（Edgar Bodenheimer）曾说过，概念是解决法律问题必不可少的工具，没有限定严格的专门概念，我们便不能清楚和理性地思考法律问题。在成文法系国家，法律的适用是在法律概念的基础上进行思维和推理的，法律概念是我们传递法律语言的基础［1］。因此，科学合理界定“个人信息”的概念，对于后续研究个人信息保护的立法模式具有重大意义。

“个人信息”这个概念第一次出现是在1969年的联合国国际人权会议，以“资料保护”（data protection）的称谓提出。不同的国家对个人信息基本概念的界定互不相同，最直接的体现是对其的称谓不一样。主要有：个人数据、个人隐私、个人信息等几种称谓。欧盟及受1995年欧盟《欧洲联盟数据保护规章》影响的国家，大部分都采用“个人数据”这一称谓；采用“个人隐私”称谓的立法例主要有：1974年美国《隐私权法》、1981年以色列《隐私保护法》、1987年加拿大《隐私权法》、1988年澳大利亚《隐私权法》、1992年比利时《个人信息处理时保护隐私法》等。采用“个人信息”称谓的立法例主要有：1978年奥地利《信息保护法》、1984年英国《自动化处理个人信息的利用与将其提供于公务规范法》等［2］。法律概念称谓之所以不相同主要是因为每个国家的历史习惯、法律传统和法律体系等因素互不相同。那么不同的法律称谓所包含的内涵是否一样，学者们各执一词，其中周汉华教授认为，无论是何种称谓，其实质并不影响个人信息法律概念实质的内容，就具体立法而言，重点在于明确法律保护个人信息客体的内涵与外延［2］。齐爱民教授认为，个人数据、个人信息和个人隐私的区别不仅是在称谓上，而且分别有其独立的外延和内涵［2］。笔者赞成后者的观点。个人数据、个人信息与个人隐私最大的区别就是范围上的差异，个人信息的范围比个人隐私的大，也即二者是包含与被包含的关系，个人信息包含了个人隐私，个人隐私被个人信息所包含。如果采用“个人隐私”的称谓进行立法保护，则法律仅仅保护涉及个人隐私的个人信息，而不保护不涉及个人隐私的个人信息。然而，除了个人隐私式的个人信息之外，还有许多其他的个人信息，个人信息保护应当是对个体的个人信息进行全面的保护，而并不仅仅局限于保护隐私利益，采用“个人隐私”这一称谓显然范围太窄，无法体现个人信息保护的法律原意。在个人数据与个人信息之间，应该选择哪个称谓，笔者认为二者的范围与内涵大体相同，但是，鉴于数据这一概念主要适用于技术领域，在我国法律中比较生僻，此外，采用“个人信息”的概念，不但与政府信息公开条例的规定相符合，而且符合信息社会和信息社会法律体系建设的大背景［3］，所以在我国采用“个人信息”的称谓为好。

究竟何为“个人信息”，个人信息的定义应该是什么？科学地对个人信息进行定义不仅仅是法学研究亟待解决的一个理论问题，也是立法实践的迫切要求。根据《欧洲联盟数据保护规章》，个人数据是指有关一个被识别或可识别的自然人（数据主体）的任何信息［4］。笔者认为，所谓个人信息是指一切可以识别自然人的信息的综合，该信息可以任何形式存在，只要其能够与相应的自然人之间存在某种联系，即凭借这些信息能够把自然人识别出来，就属于个人信息，大致包括生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面。

二、个人信息保护的立法模式及其评析

世界上大多数国家和地区都制定了关于个人信息保护的法律。由于各国历史文化背景、社会经济发展情况的不同，各国个人信息保护的立法模式有很大的差别，归结起来有两种，即以美国为代表的分散式行业自律的立法模式和以德国、英国及多数欧洲国家采用的统一法律规制的立法模式。以下分述之：

（一）分散式行业自律立法模式及其评析

分散式行业自律立法模式，也可以称之为“散立法和行业自律相结合的保护模式”，指对不同领域的个人资料分别立法"其中主要是公私领域的划分，美国就是采用分散式行业自律立法模式的典型国家。具体而言，立法对公私领域进行区分。一方面，对政府机关收集、处理和利用个人信息的公领域，采取分散立法式，区分不同领域或事项对个人信息分别制定单行法进行保护。1966年《信息自由法》确定了政府信息公开为原则；1970年《公平信用报告法》提倡保护信用卡客户的信息；1974年《隐私权法》（The Privacy Act），这是涉及个人信息保护的最重要的一部法案，是一部规范政府机构行政行为的一部重要法律，主要就政府机构对个人信息的采集、使用、公开和保密问题做出详细规定，于1979年编入《美国法典》。

另一方面，对私人机关收集、处理和利用个人信息的私领域实行行业自律模式。所谓行业自律模式是指行业协会制定行为规章或行为指引来规范个人信息处理行为，可分为两个层面：其一、建议性行业指导。行业协会为行业内成员提供网络隐私保护的指导建议，但不监督亦不制裁行业成员的违规行为。其二、网络隐私认证计划（Online Privacy Seal Program）。建立第三方独立的监督执行机制，包括申诉机制、评估机制、争端解决机制、制裁机制等，保障行业自律的公信度和执行力度。该计划要求那些被许可在网站上张贴其隐私认证标志的网站必须遵守其要求的相关在线资料收集行为规则和服从其监督管理，只有符合要求的企业或组织才能获得认证。目前，美国存在较多的网络隐私认证标志，比较著名的有美国商务网络财团（Commerce.net）与电子前线基金会（EFF Electronic Frontier Foundation）共同发起的非营利性网络隐私认证机构TRUSTe和美国（CouncilofBetterBusinessBureaus）子公司BBBonline（Better Business Bureaus online）实行的网络隐私认证计划（BBBonline privacy seal program）。

整体来说，分散式行业自律的立法模式确实具有很大的优越性。由于不同的领域对个人信息收集与处理各不相同，该立法模式针对不同领域或事项制定单行法，能够根据相关领域或事项的特点，制定出更有针对性的规定，对个人信息进行保护，达到较好的效果。除此之外，行业自律模式可以信息科技在急速进步之中，避免国家过早立法限制信息科技在社会的应用，也可避免政府选择某种技术作标准导致立法的偏差［5］。但是，美国的行业自律模式也存在一定的局限性。首先，参与企业的数量有限，自我规制积极性不高。虽然加入自律组织可能会为企业带来用户的信赖以及其他特殊利益，但是一旦企业付出的成本高于收获的利益，就会拒绝参加自律组织，因为企业是以盈利为目的的组织，部分企业考虑到加入自律组织后会可能加重自身所承担的义务从而不愿加入自律组织。若参与企业的规模不够大，认证制度会因此缺乏公信力；其次，执行机制不够完善，缺乏有效监督。缺乏政府监管的市场，由于利益的驱使，会产生诸如垄断等非法行为。

（二）统一法律规制立法模式及其评析

德国是统一法律规制立法模式的代表国家。所谓“统一法律规制立法模式”，是指国家制定一部专门的个人信息保护基本法，对公领域与私领域中的个人信息进行统一规范和保护。德国《联邦数据保护法》是德国关于个人信息保护的基本法，该法于1970年开始制定，经过将近6年的讨论与修改，终于在1976年全文通过。该法生效后，经历1980年、1990年和2001年三次修正，才演变为现在的《联邦数据保护法》。在体例上，德国联邦数据保护法分为总则和分则，第一部分“一般条款”是总则，分则由第二部分到五部分组成。其中，第二部分是“公务机关的资料处理”，第三部分是“非公务机关和参与竞争的公法上的企业的资料处理”，第四部分是“特别规定”，第五部分是最后条款［6］。德国联邦数据保护法适用的范围既包括非公务机关对个人信息的收集、处理利用，又包括公务机关，适应于各个领域的不同类型的个人信息保护。

统一立法模式可以使保护个人信息在一国内部明确化，使自然人在其个人信息上的权利成为一项具有绝对性的法律权利，这无疑是有利于自然人权利的实现［6］。在统一立法模式下，信息主体获得被法律确定的权利—个人信息权。与分散式行业自律立法模式相比，其没有统一的立法对个人信息保护进行调节会导致不同机构适用的法律不同，对个人信息提供的保护标准不尽相同，从而无法形成一个对个人信息保护进行监督的统一结构，而统一立法模式对公共部门和非公共部门采取同一标准，更有利于保证法律适用的统一性，避免出现行业自律模式各行其是的弊端。

三、我国个人信息保护立法模式的选择及其理由

目前，我国尚未形成完整成熟的个人信息法律保护体系，关于个人信息保护的立法只是散见于宪法、刑法和民事等立法中，并没有制定关于个人信息保护的单行法。除此之外，目前的立法对个人信息保护的范围也极其有限。为此，应当加速完善我国关于个人信息保护立法的进程。笔者认为，我国个人信息保护的立法模式应当选择统一立法模式，即对个人信息保护制定一部专门的个人信息保护基本法，对公私领域的个人信息进行保护。笔者将从我国目前情况和统一立法模式来阐述我国选择统一立法模式的理由。

（一）这种选择由我国私领域的现状所决定

美国分散式行业自律的立法模式之所以能够很好地实行是因为美国具有成熟的行业协会制度。在美国商业经济社会中，无论是服务业，还是高科技行业，都是成行成会。据不完全统计，全美约有3.5万多个协会组织，仅属于工商企业方面的企业协会组织就达8，000多个［7］。美国行业协会最突出的一个特点是行业自律。具体来说，美国分散式行业自律的立法模式得以有序运行的一个重要因素，是依靠行业协会等社会组织的自律作用，美国的行业协会很善于制定和实施行业规则与标准，这在客观上起着补充和完善法制的作用，在实际生活中，行业协会经常通过协调和仲裁处理协会成员之间的纠纷和违法违章现象。

自十一届三中全会召开后，中国逐渐由部门管理转向行业管理，行业协会开始纷纷成立，距今历史已有30多年，然而行业协会仍存在某些问题。第一，行业协会发展不平衡。从类型上看，在现有的行业协会中，以自上而下型的行业协会占据绝大多数；从地区上看，北京是全国性行业协会最多的地区，除北京之外的全国性行业协会和跨省、自治区、直辖市行业协会却少之又少，其中沿海经济发达地区的行业协会较多，而内地经济欠发达地区的行业协会较少。总的来说，无论是从类型上看，还是从地区上看，我国行业协会的发展是极不平衡的。第二，行政干预过大，致行业协会发展受限。中国行业协会的发展主要是自上而下的过程，自上而下型行业协会有三种：一是，以行业协会名义存在却承担明确的政府职能并依旧生存于政府体制内的行业协会，它们承担着各种行政责任，其工作人员与政府部门公务员一样，享有同等待遇；二是，在各个行业中，以国有企业为主要成员的专业性协会；三是，该类行业协会前身是政府工业管理部门，后经转型变成行业协会。本来行业协会的定位应该是介于政府、企业之间为其服务、沟通、协调的社会中介组织，是政府与企业的桥梁和纽带。然而，我国行业协会特殊的成立途径注定了其浓厚的行政色彩，行政干预过大，进而扭曲了行业协会的应有定位，影响行业协会社会价值的发挥。第三，行业协会的权利来源决定了其难以自治自律。作为行业管理的社会团体，行业协会的管理权力从何而来？在我国，行业协会主要是通过以下三个途径获得管理权力：一是，通过法律授权取得；二是通过政府委托取得；三是通过章程规定取得，其中第二种途径是大部分行业协会获得管理权力的途径。一般情形下，政府的权力应当由政府行使，但是政府为了更好地履行某些职能，希望得到行业协会的参与和协助，为此，政府将部分权力委托给行业协会。然而，有学者指出国家对行业协会的委托授权实质上不过是将一些本应还权于市场和社会的权力从政府的一个口袋挪到另一个口袋而已［8］。行业协会本来应该是独立于政府和企业的社会团体，然而，这样的权力来源俨然使其成为“二政府”，摆脱不了政府的控制，导致其领导上缺乏自主性。行业协会是自治水平要求较高的一类社会团体，因为自治水平决定其是否能够承担行业管理与行业自律的职责，一个无法自主的组织，何谈自治自律。上述的行业协会现状决定了我国在个人信息保护上无法实行分散式行业自律的立法模式。

（二）这种选择能够更有效地保护个人信息

对于个人信息保护这个问题，笔者认为应该本着“本土主义”的立场去思考。所谓“本土主义”立场，是指从经验与理论的关系出发来对待中国问题的一种方式，这种方式不意味着忽略西方的理论和世界的潮流，而是在对经验的认识和把握上与理论建构相结合［9］。一个国家的公民的整体素质是该国立法的重要影响因素。中国不仅是一个发展中国家，而且还是一个人口大国，中国公民的教育程度较低，无法与西方发达国家相提并论。因此，在我国选择统一的立法模式能够更有效地保护个人信息。

一方面，与自律的自律规范相比，法律规范具有高度的权威性。美国的行业自律模式主要是指行业协会制定行为规章或行为指引来规范个人信息处理行为，仅仅依靠行业舆论、企业信誉保证实施，表现为“自律”。一旦违法收益高于违法成本时，自律规范通常会不攻自破。然而，法律规范的权威性远远高于自律规范，从实施保证看，虽然法律的实施需要国民具有较高的法律意识（此时，守法成为一项道德要求），但是更重要的，还是有赖于国家强制力量如法庭、监狱等作保证，主要表现为“他律”。法律在一国范围内具有普遍的拘束性，其权威是自律规范无法比拟的。以法律规范的形式对个人信息的收集、处理和利用行为加以规定，制定严格的法律制度、程序和条件，调整个人信息的收集、处理、储存、传输、利用、安全等行为规范，就行为主体、行为目的、行为方式、行为对象、行为时间等内容分别做出强制性规定，这是保护个人信息的有效途径。

另一方面，统一立法模式可以对损害提供充分的救济。根据行业自律立法模式的建议性行业指导，行业协会仅仅为行业内成员提供网络隐私保护的指导建议，但是对行业成员的日常遵守行为不进行监督，对其违规行为亦不进行相应的制裁。这样的自律机制往往缺乏最终的救济手段，被侵害的权利往往无法得到切实的补救。与自律机制不同，在统一立法模式下，个人信息保护立法就法律责任做专章规定，这种法律责任一般分为：民事责任、行政责任和刑事责任三种，对违反个人信息保护法、侵害信息主体利益的行为给予相应的法律制裁，详细规定违法行为所必须承担的法律后果，以对权利人的权利提供充分的救济。

四、选择统一法律规制立法模式面临的若干难点

关于在中国现阶段进行制度构建，有学者曾经精辟地论述过：“致力于探索出一条适合中国国情的法制途径，它既要进行制度和学说的移植，也要促进内在的演化和自我塑造。”［10］倘若选择统一立法模式，必然会给目前相关个人信息保护立法带来很多变化，使立法者和执法者在立法执法过程中面临若干难点，这需要其引起相当的注意，并妥善处理。第一，清理现有法律法规的成本过高。如果选择统一立法模式，新出台的个人信息保护法必然会在很大程度上与现行法律法规和司法解释相抵触，这些与新法相抵触的法律法规势必面临修改、废止。从目前的立法现状来看，对于个人信息保护的立法被分散规定在将近两百部法律、法规和司法解释、部门规章之中，所以，该清理任务的工作量将极其庞大，国家和社会需要为此支付高昂的成本。第二，规制已被掌握的个人信息难度大。根据现状，大量的个人信息已经被公共部门和私营机构所收集，在这样的情况下，统一立法模式必然要求新的信息主管部门对以前如此广泛的主体已经搜集的海量个人信息状况进行全面排查，然后逐一登记［11］。但是，这样全面排查现有的个人信息不仅在操作层面上颇有难度，而且其所花费的成本是惊人的。倘若不采取该措施，则又无法全面地保护个人信息。那么新法应当采取何种方式规制对这些个人信息，这是一个难题，因为该方式不仅要便于操作，而且在立法和执法成本上也要经济。第三，明确受规制主体和登记主体难度大。在受规制主体方面，应该如何明确其概念？齐爱民教授采用了“国家机关”和“非国家机关”这样一对概念。依据齐的观点，受规制的权力主体是“国家机关”，那么医疗机构、铁路运输部门、教育机构等带有公益性质并掌握大量个人信息的机构是否属于国家机关？如果不是国家机关，那么针对它们适用私营机构的主体规则又是否合适？这都有待研究。与齐不同，周汉华教授采用了“政府机关”和“其他个人信息处理者”的表达方式，仍存在问题，即如何定位除政府机关之外的立法机关和司法机关，将立法机关和司法机关划为“其他个人信息处理者”，实行同样的规制方式是否合适？如若不将立法机关、司法机关定位为“其他个人信息处理者”，又将如何规制二者的个人信息处理行为。除此之外，在统一立法模式下，针对非公共机构成立的登记、许可主管部门的具体权限该如何规定以及与其他行政部门的权限重叠甚至冲突等也是选择统一立法模式需要面临的难题。

注：

①该基本权利在美国称为隐私权，在德国称为人格权。

［1］许中缘.论法律概念——以民法典体系构成为视角［J］.法制与社会发展，2007，（2）：72.

［2］齐爱民.论个人信息的法律保护［J］.苏州大学学报（社会科学版），2005，（2）：31.

［3］周汉华.中华人民共和国个人信息保护法（专家建议稿）及立法研究报告［R］.北京：法律出版社，2006，29-30.

［4］郎庆斌，孙毅，杨莉.个人信息保护概论［M］.北京：人民出版社，2008，15.

［5］齐爱民.美德个人资料保护立法之比较——兼论我国个人资料保护立法的价值取向与基本立场［J］.甘肃社会科学，2004，（3）：138.

［6］齐爱民.论个人信息保护法的统一立法模式［J］.重庆工商大学学报，2009，（4）：91.

［7］张仁峰.美国行业协会考察与借鉴［J］.宏观经济管理，2005，（9）：56.

［8］杨晚香.美国行业协会考察与借鉴［A］.中国行业协会的现状考察与对策——以中国行业协会发展的法律保障为视角［C］.生产力研究，2012，（2）.

［9］田禾.论死刑存废的条件［J］.法学研究，2005，（2）：70.

［10］季卫东.法治秩序的建构［M］.北京：中国政法大学出版社，1999.2.

［11］谢天，邹平学.我国个人信息保护的立法模式探析［J］.岭南学刊，2011，（2）：83.

【责任编辑：张西山】

On the Legislation Models of Personal Information Protection in China

HOU Fu-qiang
（College of Economics，Shenzhen University，Shenzhen，Guangdong，518060）

Personal information refers to all the information used to identify a natural person.The legislation models of personal information protection can be classified into decentralized self-regulation model and unified legal regulation model.Both models have their pros and cons.In view of the current situation of private sphere in China and for the purpose of protecting personal information more effectively，unified legal regulation is more？appropriate.

personal information；legislation model；decentralized self-regulation；unified legal regulation

D 922.28

A

1000-260X（2015）03-0144-05

2015-02-10

广东省哲学社会科学“十二五”规划项目“市场经济发展中的个人信息保护法律问题研究”（GD12CFX01）；深圳市哲学社会科学“十二五”规划项目“个人信息保护法律问题研究”（125A080）

侯富强，深圳大学副教授，从事经济法、金融法、金融风险控制研究。