他山之石:德國個人信息保護立法的考察與借鑒

何培育

(重慶理工大學知識產權學院，重慶 400054)

世界范圍內個人信息保護立法的浪潮興起于20世紀70年代，一直延續至今，并有愈演愈烈之勢。世界上首個制定個人信息保護法的德國，個人信息保護立法體系特色鮮明并取得了良好的社會效果，值得我國學界深入分析，進而為我國相關立法完善提供有益借鑒。

一、德國個人信息保護立法考察

(一)1977年《聯邦數據保護法》

1977年《聯邦數據保護法》第一次系統地闡釋了個人信息的法律保護，并將個人信息的屬性明確定位為民事權利［1］。1977年《聯邦數據保護法》的立法目的主要是為了控制國家對公民個人信息的不當處理，但是否應當對非國家機關對個人信息的處理行為進行規范曾經引發了學界重大的爭議。

有學者認為，只有國家機關行政行為才可能對公民的個人信息造成實質傷害，而非國家機關的行為只能歸于經濟生活的一部分，對公民不會造成實質性的影響，因此非國家機關對公民信息的處理應當被排除在法律調整的范圍外［2］。但就兩種主體的信息處理行為如何規范的問題，學界又產生了不同的觀點。一種觀點認為，雖然在當時的歷史條件下，公眾了解個人信息被侵犯的事件主要是由國家行政機關造成的，但是事實上由于市場經營者掌握的消費者個人信息甚至比政府部門掌握的信息更加全面，而其侵犯個人信息的行為更加隱蔽，往往難以被消費者發現，如果放任市場經營者侵犯個人信息的行為，那么將會給個人信息保護帶來極為嚴重的后果［3］。另一種觀點則支持將市場經營者對個人信息處理行為納入法律調整范圍，并希望能夠在更加廣泛的范圍內適用。另外還有一種觀點認為，雖然國家行政機關與市場經營者的行為應當受到立法調整，但同時應當看到兩者的實質性區別，不能將兩者整齊劃一，而是應當結合具體的情形而有區別地加以探討，甚至可以考慮對兩者分別立法［4］。

1977年《聯邦數據保護法》最終對國家機關與市場經營者對公民個人信息的獲取與利用分別予以了規定。同時，1977年《聯邦數據保護法》還規定了一些例外條款。總體來說，德國1977年《聯邦數據保護法》對個人信息的收集采用一種相對較為嚴苛的態度，對個人信息起到了有力的保護作用。

(二)1990年《聯邦數據保護法》

1977年《聯邦數據保護法》生效后，學界對該法的爭議并未停止，特別是德國1983年發生的“人口普查法案”憲法訴訟，又將該部法律推上了風口浪尖。1983年，德國議會通過的《人口普查法》規定人口普查的登記事項包括自然人的民族、職業、住址以及就業情況等內容。盡管行政機關面向社會全面收集公民信息的動機具有很強的正當性，但是當時的社會背景下，公民的基本權利意識高漲，再加上呼吁加強個人信息安全保護的呼聲日益強烈，《人口普查法》在這個特殊的歷史時刻受到廣泛質疑，甚至最終演變為要通過德國聯邦憲法法院來審判該法是否違反了德國憲法。德國聯邦憲法法院在對該案的審判中，歷史性地明確了公民的“信息自決權”，從而將該案演變為德國個人信息保護發展史上具有里程碑意義的事件。更重要的意義在于，該案將信息自決權從一項普通的民事權利上升為憲法意義上的基本人權，從而確立了個人資料保護崇高的法律地位。

隨后，德國個人資料保護法被再一次修訂并于1990年12月完成修正并公布，但對個人信息保護的色彩更加濃厚。在該次立法修訂的過程中，將經濟生活中的個人信息收集、利用的問題單獨規定的觀點被學者重點關注，在市場經營中的信息收集者和信息主體雙方互負權利義務，信息主體的信息自決權不容忽視，但是信息收集者同樣享有意思自治、經營自由等私權，兩種性質的信息收集與利用行為的性質顯然有別，因而應當分別立法［4］。該觀點獲得了一些學者的支持，并在立法修訂過程中得到了一定的采納。雖然最終未能夠將國家機關與市場主體的個人信息收集與利用問題分別立法，但在《聯邦數據保護法》中卻得到分別規定，體現了立法的進一步細化和完善。①1990年德國《聯邦數據保護法》分為五部分，第一部分“一般條款”為總則，第二部分到第五部分為分則。第二部分為“公務機關的資料處理”，第三部分為“非公務機關和參與競爭的公法上的企業的資料處理”，第四部分為“特別規定”，第五部分為最后條款。

1990年德國《聯邦數據保護法》第3條第1項對個人資料的概念加以了界定。②1990年德國《聯邦數據保護法》第3條第1項規定，“個人資料是指可以直接或間接識別自然人的任何資料”。由此條可以看出，德國《聯邦數據保護法》保護的對象僅針對自然人的個人信息，而把法人的信息資料排除在外。依據德國立法精神，只有自然人信息才納入《聯邦數據保護法》保護的范圍，企業信息資料保護應當被納入商業秘密保護法或者不正當競爭法調整的范圍。就“識別自然人的任何資料”而言，既包括公民自然信息例如姓名、性別、年齡、血型、肖像等，還包括其他社會信息，例如職業、收入、存款、消費記錄等等。上述信息共同構成了個人信息的范疇。1990年德國《聯邦數據保護法》將個人資料的使用分為3個階段:信息收集、信息處理與信息利用。“信息收集”是指取得自然人的個人信息。“信息處理”是指個人資料的歸納整理、輸入系統、拷貝、傳輸、備份等等。“信息利用”是指通過對個人信息的分析、對比為決策提供依據。在權利內容方面，《聯邦數據保護法》規定信息主體對個人信息享有一系列的權利，主要包括個人資料告知權、個人資料修正權、個人資料刪除權等內容。其他主體侵犯了公民的個人資料權，應承擔相應的法律責任。在歸責原則方面，《聯邦數據保護法》規定行政機關侵犯了個人資料權適用無過錯責任原則，在賠償金額上設定了最高限額;其他民事主體侵犯了公民個人資料權的情形下，適用過錯責任原則，在賠償標準方面則根據受害人實際損失確定賠償金額。

(三)2003年《聯邦數據保護法》

歐盟委員會較早于1990年頒布了《資料保護指令草案》，經過數輪討論與修改，1995年10月24日，歐洲議會和歐洲委員會通過了95/46/EC《關于個人數據處理中的個人保護和此類數據的自由流動的指令》。按照該指令，歐盟成員國應當在3年以內將指令中的相關要求轉化為國內法。與該指令相比，德國1990年版的《聯邦數據保護法》顯得在私人領域信息收集、利用行為規制力度不夠，且保護標準仍有待繼續提高，因此歐盟責令德國盡快修改國內法以滿足歐盟《資料保護指令》的相關要求。按照歐盟的要求，德國立法機關著手對1990年《聯邦數據保護法》進行修訂。

《聯邦數據保護法》分為6篇，第一篇為普遍的和共同的規定，主要規定了該法的目的和適用范圍，公共機關與私人機構的界定，數據收集、處理和使用許可的規則，個人數據向國外以及跨國或者國際機構的傳輸規則，數據保護官及其職責，損害賠償等內容。第二篇為公共機關的數據處理，主要規定了公共機關的數據收集規則，數據儲存、修改和適用規則，向公共機關傳輸數據的條件，向私人機構傳輸數據的條件，聯邦政府實施的數據保護，數據主體的權利，聯邦數據保護專員制度等內容。第三篇為私人機構和參與競爭的公法企業的數據處理，規定了數據處理的法律基礎、數據主體的權利、監管機構等內容。第四篇為特殊規定，主要包括對處于專業保密下或者官方特別保密下的個人數據的使用限制，研究機構對個人數據的處理和適用，媒體對個人數據的收集、處理和使用等內容。第五篇為最后條款，規定了違反《聯邦數據保護法》的行政責任與刑事責任。第六篇為過渡性條款。2003年《聯邦數據保護法》第7節、第8節就損害賠償問題做出了明確的規定。按照2003年《聯邦數據保護法》，如果數據控制人通過不為該法或者其他數據保護規定所允許的或者不正確的數據自動收集、處理和使用而侵害了數據主體的利益，該數據主體控制人的責任機構無論其是否存在過錯，均有義務賠償數據主體的損失。一旦數據控制人嚴重損害數據主體人格權，對數據主體的精神損害也應當給與適當的金錢賠償。在自動化處理數據的情況下，如果數個機構同時儲存被違法使用的個人數據，而受害人無法確定實際儲存人的，那么涉及被侵權個人信息處理的相關機構都應當承擔法律責任。這樣的規定加強了數據儲存機構對個人信息的安全保障義務。

二、我國個人信息保護的現狀與問題

目前，我國關于個人信息保護的法律淵源除了《憲法》之外，民法領域主要包括《民法通則》與《侵權責任法》。《侵權責任法》首次將隱私權作為一項獨立的民事權利予以保護，并規定了侵犯隱私權的民事責任。行政法領域《居民身份證法》規定了居民個人身份證信息的保護，《治安管理處罰法》規定了公安機關在辦理治安案件時對涉及個人隱私的保密義務，《政府信息公開條例》當中的一些條款對與政府信息公開相關領域的個人信息保護的范圍、例外和救濟等方面予以了規定。③《刑法》第253條規定了國家機關或者金融、電信、交通、教育、醫療等領域的工作人員出售或者非法提供給他人個人信息情節嚴重時的刑事責任。我國當前個人信息保護制度主要存在以下問題:

首先，個人信息權利內容不清晰。當前立法對個人信息權的概念缺乏明確的界定，權利內容邊界模糊，權利受到侵犯之后的法律救濟條款也付之闕如，極不利于公民個人信息權的法律保護。

其次，個人信息保護保障機制不完整。當前我國尚未設立專門的個人隱私保護機構，受理和調查個人信息侵權糾紛，對信息收集部門的行為及個人信息保護狀況進行監督。個人信息權利受到侵犯時只能訴求法院予以解決，這樣的處理方式無疑提高了權利人的維權成本以及維權難度。

第三，個人信息保護制度中對政府控制的檔案記錄與個人信息保護之間存在沖突時的保護標準尚未明晰。這樣的制度形態易造成政府、行政機關基于自身公權力的背景而對其收集的普通民眾個人信息的濫用，而普通民眾卻無法充分享受其知情權以保護其個人信息，難以對公民個人信息進行全面保護。

三、德國個人信息保護立法對我國的啟示

為了有效遏制個人信息泄露、侵權的勢頭，筆者建議我國個人信息保護的立法完善應當借鑒德國等國家的立法經驗，從以下方面入手。

(一)加強行政機關的個人信息保護職責

由于政府掌握了大量的公民個人信息，防范政府部門濫用或者侵犯公民個人信息具有至關重要的意義。德國的個人隱私保護體系對于保護公民個人信息不受政府機關侵犯起到了至關重要的作用。

筆者認為，我國應當參考國外的機構設置模式，從國務院到地方政府設立專門的個人隱私保護機構，受理和調查個人信息侵權糾紛，對政府部門個人信息保護狀況進行檢察監督，定期向國務院提交個人信息保護的研究報告。

另外，我國也應當明確個人信息遭受行政機關侵害時公民的行政救濟手段。具體而言，應當包括3個方面:第一，行政復議。當信息主體認為行政機關的具體行政行為涉嫌侵犯其個人信息權時，有權提起行政復議。從保護信息主體權益角度出發，不宜規定復議前置的強制性要求，賦予信息主體充分的選擇權。第二，行政訴訟。信息主體對行政復議結果不服的，有權提起行政訴訟。目前的行政訴訟法中尚未明確因個人信息權遭受侵害的事由，筆者建議將其明確納入行政訴訟的受案范圍，賦予信息主體行政訴權。第三，行政賠償。一旦通過復議或者訴訟程序確認行政機關構成個人信息侵權，信息主體有權獲得相應經濟賠償并確認在先違法行政行為無效等權利救濟，確保公民個人信息權得到全面保護。

(二)制定分階段、分行業的個人信息保護執法計劃

德國的個人信息保護立法體系并不是一蹴而就的，而是在1977年頒布《聯邦數據保護法》后，分別于1990年以及2003年不斷做出修訂，逐漸進行完善的。因此筆者認為，借鑒德國在推行個人信息保護立法的實施經驗，我國應區別行業間的發展特點，分階段、分行業推行個人信息保護執法計劃。一方面，針對個人信息有重大商業價值以及當前基于個人信息糾紛頻發的行業，如銀行、互聯網、通訊等行業，制定行業的建議性指引以及相應行業組織內的監管機制，引導重點行業在全行業之前完善個人信息保護。2014年3月15日發布的《互聯網企業個人信息保護測評標準》是基于個人信息保護測評的行業標準，有助于提升互聯網行業對個人信息的保護能力［5］，筆者建議借鑒此規范在其他行業制定相應的個人信息保護標準規范。另一方面，在相應的法律法規得以完善的同時加強行業自律。通過強化行業自律自治彌補法律法規滯后的缺陷，發揮行業自律的靈活性和專業性［6］。引導重點行業在個人信息保護領域制定并實行自律規范，將個人信息保護的主體轉移至企業自身，從根本上提高個人信息保護力度。

(三)平衡公私之間關于個人信息權利的利益

當今社會是信息化社會，更是大數據的時代，特別是網絡、計算機技術的快速發展使得個人信息的擴散不再如從前那樣易于控制［7］。大量的個人信息不僅掌握在以個人信息作為商業需求的企業手中，而且也集中掌握在政府部門手中，隨時都有發生個人信息失控的可能。雖然政府收集個人信息多基于公共利益的目的考慮，但政府在利用個人信息時常常存在個人信息保護與公共利益之間發生沖突的情況。個人信息保護制度不僅需要保護個人利益，更需要對其所涉及和調整的各種利益關系進行平衡。依照德國的《打擊恐怖主義法》與《電信監視法》，如果行政機關認為出于國家安全的需要，那么就可以擴大個人信息收集的范圍和權限［4］。這一規定也可看出該法認為當公共利益與個人隱私權發生沖突時，應首先考慮公共利益。由此，我國在建立個人信息保護制度時也應充分考慮公共利益與個人利益的平衡，構建利益平衡機制，確立公共利益高于個人利益的基本原則，在保護公共利益的前提下對個人信息給予最大限度的保護，以避免因一味地考慮個人信息保護而造成個人利益與公共利益的失衡。

［1］王利明.論個人信息權的法律保護——以個人信息權與隱私權的界分為中心［J］.現代法學，2013(4):62.

［2］Schimmel/Steinmueller，Rechtspolitische Problemstellung des Datenschutzes//Dammann/Karhausen/Muller/Steinmueller(Hrsg.).Datenbank und Datenschutz， Frankfurt/New York，1974.

［3］Podlech，Prinzipien des Datenschutzes，in:Killian/Lenk/Steinmuller(Hrsg.)，Datenschutz，10.Brunnstein in Hoffmann/Tietze/Podlech，Numerierte Burger，Wuppertal，1975.

［4］蔣舸.個人信息保護立法模式的選擇——以德國經驗為視角［J］.法律科學，2011(2):116.

［5］張意軒，于芳芳.網企個人信息保護標準發布［N］.人民日報:海外版，2014－03－28(4).

［6］史衛民.大數據時代個人信息保護的現實困境與路徑選擇［J］.情報雜志，2013(12):155 －159.

［7］何培育.電子商務環境下個人信息安全危機與法律保護對策探析［J］.河北法學，2014(8):34－41.