芻議個(gè)人信息的法律保護(hù)

摘要：個(gè)人信息保護(hù)法的客體是個(gè)人信息，個(gè)人信息體現(xiàn)的是一種基本人權(quán)。個(gè)人信息法律保護(hù)應(yīng)遵循一定的原則，對(duì)特殊行業(yè)和領(lǐng)域應(yīng)制定特別的法律規(guī)范，并實(shí)行行業(yè)自律。

關(guān)鍵詞：個(gè)人信息；個(gè)人信息權(quán)；立法

中圖分類(lèi)號(hào)：D923

文獻(xiàn)標(biāo)志碼：A

文章編號(hào)：1001－862X(2010)04－0118－04

一、個(gè)人信息的界定

目前全球已經(jīng)有50個(gè)國(guó)家或地區(qū)制定和頒布了個(gè)人信息保護(hù)法。各國(guó)或是地區(qū)在法律中對(duì)個(gè)人信息的稱(chēng)謂有所不同，如“個(gè)人數(shù)據(jù)”、“個(gè)人資料”、“個(gè)人隱私”、“個(gè)人信息”。采用“個(gè)人數(shù)據(jù)”稱(chēng)謂的。如Directive 95／46／EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of such Data。簡(jiǎn)稱(chēng)歐盟95指令。采用“個(gè)人資料”稱(chēng)謂的，如1977年德國(guó)的《聯(lián)邦資料保護(hù)法》。采用“個(gè)人隱私”稱(chēng)謂的，如1974年美國(guó)的《隱私權(quán)法》。采用“個(gè)人信息”稱(chēng)謂的，如2003年日本的《個(gè)人信息保護(hù)法》。

“個(gè)人數(shù)據(jù)”和“個(gè)人資料”的英文均為“Person Data”，兩個(gè)稱(chēng)謂只是中文的翻譯不同而已。“個(gè)人數(shù)據(jù)”指與已識(shí)別或可識(shí)別的與個(gè)人(自然人，又稱(chēng)數(shù)據(jù)主體)相關(guān)的任何資料。“個(gè)人信息”指自然人的姓名、出生年月日、身份證號(hào)碼、戶(hù)籍、遺傳特征、指紋、婚姻、家庭、教育、職業(yè)、健康、病歷、財(cái)務(wù)情況、社會(huì)活動(dòng)及其他可以識(shí)別該個(gè)人的信息。

個(gè)人數(shù)據(jù)(資料)與個(gè)人信息的區(qū)別如下：首先。個(gè)人數(shù)據(jù)(資料)側(cè)重于客觀(guān)形式，而個(gè)人信息偏重于數(shù)據(jù)或是資料所反映的內(nèi)容。從資料和信息的內(nèi)在關(guān)系看，資料是信息的載體，信息是資料表現(xiàn)的內(nèi)容。從這個(gè)角度理解，數(shù)據(jù)(資料)是信息的表現(xiàn)形式，信息是數(shù)據(jù)(資料)所體現(xiàn)的內(nèi)容。其次，個(gè)人信息的表現(xiàn)形式是多種多樣，并不一定表現(xiàn)為個(gè)人數(shù)據(jù)(資料)形式，不以個(gè)人數(shù)據(jù)(資料)的物化形式存在的個(gè)人信息是大量的。最后，數(shù)據(jù)是一個(gè)偏技術(shù)性的概念，一般認(rèn)為個(gè)人數(shù)據(jù)是指與個(gè)人相關(guān)的任何資料，也包括家庭的一些相關(guān)情況等。信息則是指經(jīng)過(guò)處理后得到的數(shù)據(jù)。其與數(shù)據(jù)最大的區(qū)別在于它經(jīng)過(guò)了處理過(guò)程。

隨著個(gè)人信息保護(hù)法的發(fā)展，人們?cè)絹?lái)越多地開(kāi)始使用“個(gè)人信息”這一概念。這是因?yàn)榱⒎ǖ哪康脑谟诒Ｗo(hù)個(gè)人數(shù)據(jù)或是個(gè)人資料所反映出來(lái)的個(gè)人信息，而不是簡(jiǎn)單保護(hù)個(gè)人數(shù)據(jù)或個(gè)人資料本身。而保護(hù)個(gè)人信息的目的是為了保護(hù)個(gè)人信息所能識(shí)別的自然人。簡(jiǎn)而言之，保護(hù)個(gè)人數(shù)據(jù)或是資料的目的就在于保護(hù)個(gè)人信息所指向的個(gè)人。因此，“個(gè)人信息”一詞更能體現(xiàn)個(gè)人信息保護(hù)法的立法本意。

“個(gè)人隱私”的稱(chēng)謂主要出現(xiàn)在英美法系之中。1890年兩位著名的美國(guó)法學(xué)家薩繆爾·D·沃倫和路易斯·D·布蘭戴斯在《哈佛法律評(píng)論》上發(fā)表了著名的《隱私權(quán)》(The Right to Privacy)一文，隨后隱私權(quán)的內(nèi)容在法學(xué)研究、立法和司法領(lǐng)域得到了認(rèn)可和逐步擴(kuò)展。關(guān)于隱私的定義。學(xué)界也是眾說(shuō)紛紜。有學(xué)者認(rèn)為，隱私是指公民的私人生活安寧不受他人非法干擾。私人信息不受他人非法搜集、刺探和公開(kāi)等。隱私權(quán)，是指公民享有的私人生活安寧和私人信息受到法律保護(hù)，不被他人非法侵?jǐn)_、知悉、搜集、利用和公開(kāi)等的一種人格權(quán)。還有的學(xué)者認(rèn)為，隱私不僅包括私人生活安寧不受他人非法干擾，私人信息保密不受他人非法搜集、刺探和公開(kāi)，還包括對(duì)個(gè)人私事的決定。由此可見(jiàn)，隱私主要是指那些私密的，不愿公開(kāi)的個(gè)人信息。如果我們選擇個(gè)人隱私這一概念，就相當(dāng)于將不涉及隱私利益的個(gè)人信息都排除了在了法律保護(hù)的大門(mén)之外，顯然是不足取。

二、個(gè)人信息權(quán)利的屬性

立法中所體現(xiàn)出來(lái)的個(gè)人信息權(quán)利的屬性是不盡相同的，大致有三種：

(一)隱私權(quán)

典型代表是美國(guó)法，認(rèn)為對(duì)個(gè)人信息享有的權(quán)利是一種隱私利益。對(duì)其保護(hù)應(yīng)當(dāng)采取保護(hù)隱私權(quán)的權(quán)利形式。1974年美國(guó)參眾兩院通過(guò)了《隱私權(quán)法》，主要規(guī)制政府機(jī)構(gòu)處理個(gè)人信息的行為。1980年經(jīng)濟(jì)合作與發(fā)展組織(Organization for Economic Cooperation and Development，簡(jiǎn)稱(chēng)OECD)通過(guò)了《OECD關(guān)于隱私保護(hù)與個(gè)人數(shù)據(jù)跨疆界流動(dòng)的指導(dǎo)原則的建議書(shū)》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data，OECD)，該法律文件除了跟美國(guó)《隱私權(quán)法》一樣在標(biāo)題中就清楚標(biāo)示為隱私，文件中也多處提到，如第二條，“這些指導(dǎo)原則適用于個(gè)人數(shù)據(jù)，不管其是屬于公共領(lǐng)域還是私人領(lǐng)域。因?yàn)樘幚矸绞交蛘咭驗(yàn)樗麄兊男再|(zhì)或被使用的語(yǔ)境。他們對(duì)隱私和個(gè)人自由構(gòu)成危險(xiǎn)。”我國(guó)香港個(gè)人資料(隱私)條例也采隱私權(quán)說(shuō)，其緒言指出：“本條例旨在個(gè)人資料方面保障個(gè)人的隱私。并就附帶事宜及相關(guān)事宜訂定條文。”

(二)人格權(quán)

典型代表是德國(guó)法。認(rèn)為個(gè)人信息體現(xiàn)的是一種人格利益，對(duì)其保護(hù)應(yīng)采用人格權(quán)的保護(hù)形式。德國(guó)1977年《聯(lián)邦個(gè)人資料保護(hù)法》規(guī)定，個(gè)人信息保護(hù)的目的是保護(hù)個(gè)人隱私。但是由于隱私權(quán)說(shuō)與德國(guó)整個(gè)法律文化不相協(xié)調(diào)，在1983年被德國(guó)聯(lián)邦憲法法院《人口普查案判決》推翻。該判決認(rèn)為資料何種情況下是敏感的不能只依其是否觸及隱私而論。德國(guó)1990年修改后的《聯(lián)邦資料保護(hù)法》第一章“一般條款”第一條規(guī)定：“本法旨在保護(hù)個(gè)人的人格權(quán)，使其不因個(gè)人資料的處置而遭受侵害。該法的目的是為了保護(hù)個(gè)人人格權(quán)在個(gè)人信息處理時(shí)免受侵害。”我國(guó)臺(tái)灣地區(qū)《計(jì)算機(jī)處理個(gè)人數(shù)據(jù)保護(hù)法》在總則部分第一條規(guī)定：“為規(guī)范計(jì)算機(jī)處理個(gè)人數(shù)據(jù)，以避免人格權(quán)受侵害，并促進(jìn)個(gè)人資料之合理利用，特制定‘本法’。”

(三)基本人權(quán)

國(guó)際組織多采此說(shuō)。認(rèn)為個(gè)人信息體現(xiàn)的是一種基本人權(quán)，即關(guān)于個(gè)人基本權(quán)利和自由的綜合權(quán)利。歐洲議會(huì)公約在緒言中指出：“考慮到在自動(dòng)化處理?xiàng)l件下個(gè)人資料跨國(guó)流通的不斷發(fā)展，需要擴(kuò)大對(duì)個(gè)人權(quán)利和基本自由。特別是隱私權(quán)的保護(hù)。”歐盟95指令緒言規(guī)定，“各成員國(guó)對(duì)于個(gè)人權(quán)利和自由特別是隱私權(quán)，在個(gè)人數(shù)據(jù)處理過(guò)程中不同的保護(hù)措施可能會(huì)阻止這些數(shù)據(jù)在成員國(guó)之間的傳送。”聯(lián)合國(guó)指南第一條規(guī)定：“不得用非法或者不合理的方法收集、處理個(gè)人信息，也不得以與聯(lián)合國(guó)憲章的目的和原則相違背的目的利用個(gè)人信息。”聯(lián)合國(guó)憲章的目的和原則體現(xiàn)的是對(duì)人的權(quán)利和自由的保障。

我國(guó)將來(lái)制定個(gè)人信息保護(hù)法時(shí)，應(yīng)如何定位個(gè)人信息權(quán)利的法律屬性呢?筆者認(rèn)為：首先不宜定性為隱私權(quán)，這是因?yàn)椴扇≡摲N界定不能全面地保護(hù)我國(guó)的個(gè)人信息。其次，人格權(quán)屬性也應(yīng)排除。一般人格權(quán)是指公民和法人享有的，概括人格獨(dú)立、人格自由、人格尊嚴(yán)全部?jī)?nèi)容的一般人格利益。并由此產(chǎn)生和規(guī)定具體人格權(quán)的人的基本權(quán)利。個(gè)人對(duì)其本人信息的權(quán)利其實(shí)是一種個(gè)人信息控制權(quán)，即個(gè)人對(duì)自己的何種信息被何種組織以何種方式收集、儲(chǔ)存、使用等的一種決定權(quán)。顯然人格權(quán)的外延囊括不了個(gè)人信息控制權(quán)。最后，為了與我國(guó)現(xiàn)有法律體系相協(xié)調(diào)，也為了更全面的保護(hù)個(gè)人信息權(quán)利，我國(guó)宜采用基本人權(quán)說(shuō)。

三、個(gè)人信息保護(hù)的基本原則

不管是英美法系還是大陸法系國(guó)家均在其個(gè)人信息保護(hù)法中對(duì)個(gè)人信息保護(hù)原則做了明確規(guī)定。借鑒國(guó)外經(jīng)驗(yàn)，我國(guó)個(gè)人信息保護(hù)法應(yīng)規(guī)定以下基本原則：

(一)信息質(zhì)量

信息處理者應(yīng)該在擁有合法權(quán)限的前提下，依照法定的程序獲取和傳播(包括發(fā)布)信息。收集信息是基于特定的目的，在取得信息之前目的已經(jīng)明確化。之后的儲(chǔ)存和使用行為必須受到先前收集時(shí)特定目的的約束，行為應(yīng)該與特定目的具有充分而不多余的關(guān)系。數(shù)據(jù)管理者有義務(wù)保證儲(chǔ)存的信息是準(zhǔn)確的，并且隨著時(shí)間的推移應(yīng)當(dāng)保持信息的適時(shí)更新。信息應(yīng)以信息主體可以進(jìn)行訪(fǎng)問(wèn)的方式進(jìn)行儲(chǔ)存，且信息的儲(chǔ)存時(shí)間不應(yīng)超過(guò)儲(chǔ)存信息所必須的期限。

(二)信息處理的合法性

信息處理者在保證信息質(zhì)量的前提下，需經(jīng)信息主體同意，才可以對(duì)個(gè)人信息進(jìn)行處理，法律另有規(guī)定的除外。除外情況有處理數(shù)據(jù)是履行法定義務(wù)的要求；為了保護(hù)信息主體的重大利益所必須；履行與信息主體之間合同所必要的；進(jìn)行信息處理不損害法律所保護(hù)的權(quán)利且管理者對(duì)信息處理具有法律上的利益等。不管依哪種前提對(duì)個(gè)人信息進(jìn)行處理。在處理之前管理者應(yīng)該告知信息主體相關(guān)事項(xiàng)，包括處理個(gè)人信息的目的與方法；提供信息是否是強(qiáng)制義務(wù)，拒絕提供的法律后果；信息的使用范圍，信息接收者的身份類(lèi)別；信息主體享有確認(rèn)、更改、刪除、獲得信息和拒絕處理信息的權(quán)利；個(gè)人信息控制著的身份和住所或營(yíng)業(yè)場(chǎng)所所在地等。

(三)信息公開(kāi)

信息處理者要使得信息主體能夠了解和掌握以下內(nèi)容：自己的哪些信息當(dāng)前被管理者所控制、正在或?qū)⒈徊扇『畏N方式的處理行為、處理的主要目的是什么、信息控制人的身份及其住所地或是營(yíng)業(yè)場(chǎng)所。具體到政府部門(mén)而言，信息公開(kāi)原則的內(nèi)容為：上級(jí)行政部門(mén)接到下級(jí)行政部門(mén)呈報(bào)的個(gè)人信息檔案以后，將其分類(lèi)目錄在政府公報(bào)上公布；保管個(gè)人信息檔案部門(mén)的負(fù)責(zé)人有義務(wù)將個(gè)人信息目錄制作成個(gè)人信息簿供一般人閱覽：任何人都擁有請(qǐng)求閱覽關(guān)于自己個(gè)人信息的權(quán)利，有關(guān)不供閱覽的理由應(yīng)予以記載；管理部門(mén)在接受閱覽請(qǐng)求后合理期限內(nèi)必須做出答復(fù)；對(duì)行政部門(mén)做出不能公開(kāi)，即不可閱覽決定有異議時(shí)，可以提出意見(jiàn)，并根據(jù)行政復(fù)議法提出異議申請(qǐng)，或根據(jù)行政訴訟法提起訴訟；信息主體可以要求管理部門(mén)對(duì)保管信息的內(nèi)容做出訂正。

(四)信息安全

為了保證個(gè)人信息的安全。信息處理者應(yīng)當(dāng)采取適當(dāng)?shù)募夹g(shù)上和組織上的安全措施。保證個(gè)人信息免受意外的、未經(jīng)授權(quán)的訪(fǎng)問(wèn)、修改、丟失、破壞或損害，以及其他未經(jīng)授權(quán)的個(gè)人信息處理的需要。在要求信息處理者采取技術(shù)或是組織上的安全措施時(shí)要考慮其現(xiàn)有的技術(shù)水平以及采取措施的成本，同時(shí)結(jié)合其所控制信息的性質(zhì)和潛在的危險(xiǎn)，采取的措施既可以保證信息的安全又不會(huì)給管理者造成很大的負(fù)擔(dān)。任何能夠訪(fǎng)問(wèn)信息的管理者及其授權(quán)的人員必須在有管理者的明確指示下才能對(duì)數(shù)據(jù)進(jìn)行處理，法律法規(guī)要求履行的強(qiáng)制性義務(wù)除外。此外信息處理者的工作人員在工作期間及工作結(jié)束后的一定時(shí)期內(nèi)應(yīng)該負(fù)有保密義務(wù)，不得非法泄露其工作時(shí)所接觸到的個(gè)人信息。

四、特殊行業(yè)的特別立法和行業(yè)自律

(一)特殊行業(yè)的特別立法

將個(gè)人信息的保護(hù)納入法治的軌道，是社會(huì)和經(jīng)濟(jì)發(fā)展的需要，但是不同的行業(yè)和領(lǐng)域?qū)€(gè)人信息的使用情況是各不相同的，因此對(duì)所有行業(yè)適用整齊劃一的措施是不現(xiàn)實(shí)的，這樣就需要針對(duì)特定的行業(yè)和領(lǐng)域制定特別的法律規(guī)范。這些領(lǐng)域包括醫(yī)療、電信、網(wǎng)絡(luò)、征信、金融、統(tǒng)計(jì)等。例如，個(gè)人醫(yī)療信息除了用于患者個(gè)人的康復(fù)外，還被用于醫(yī)學(xué)教育及醫(yī)學(xué)研究等，可以促進(jìn)醫(yī)療水平的提高和醫(yī)學(xué)界的發(fā)展，具有很強(qiáng)的公益性，鑒于其特殊性對(duì)其進(jìn)行特殊規(guī)定是必不可少的。我國(guó)個(gè)人信息的網(wǎng)絡(luò)立法保護(hù)很零散，有《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》、《中華人民共和國(guó)電信條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)電子郵件管理辦法》。缺少專(zhuān)門(mén)立法；僅規(guī)制個(gè)人信息的不當(dāng)泄露和通信自由及通信秘密受到侵害，對(duì)于個(gè)人信息的收集、持有、使用等環(huán)節(jié)沒(méi)有相應(yīng)的管理保護(hù)機(jī)制除了《侵權(quán)責(zé)任法》外，我國(guó)還應(yīng)進(jìn)行專(zhuān)門(mén)的網(wǎng)絡(luò)立法，規(guī)定網(wǎng)絡(luò)個(gè)人信息保護(hù)。我國(guó)的個(gè)人信用服務(wù)業(yè)正在逐步發(fā)展，但是目前尚沒(méi)有一部直接規(guī)范個(gè)人信用服務(wù)機(jī)構(gòu)及業(yè)務(wù)的專(zhuān)門(mén)法律。個(gè)人信用服務(wù)行業(yè)缺乏統(tǒng)一的法律規(guī)范。我們需要通過(guò)特別立法將信用信息的采集、加工、生產(chǎn)、銷(xiāo)售、使用的全過(guò)程加以規(guī)范。

(二)行業(yè)自律

盡管我國(guó)行業(yè)自律機(jī)制比較弱，但是我們應(yīng)該看到我國(guó)一直存在行業(yè)自律，且在不斷發(fā)展，國(guó)家應(yīng)該在加大個(gè)人信息保護(hù)立法力度的同時(shí)，鼓勵(lì)提倡行業(yè)進(jìn)行自律。因?yàn)樾袠I(yè)自律機(jī)制是個(gè)人信息保護(hù)制度中不可缺少的一個(gè)環(huán)節(jié)，如果政府機(jī)關(guān)與行業(yè)協(xié)會(huì)之間形成良性互動(dòng)，那么行業(yè)自律組織在個(gè)人信息保護(hù)領(lǐng)域?qū)⒛軌蚱鸬椒浅Ｖ匾淖饔谩?/p>

(責(zé)任編輯 吳興國(guó))