個人資料保護的力量和利益平衡論

摘要：在發達國家，關于個人資料保護的理論探討已經走過了近半個世紀。隱私權說、人權說、個人信息控制權說及個人信息自決權說等理論層出不窮。它們引導了資料保護的立法和實踐，也隨著科技的革新與社會的沿革而不斷發展。力量和利益平衡論可以較好地詮釋資料保護問題產生的原因、個人資料權的內涵及其保護機制，也應當成為我國制定資料保護法的理論基礎。

關鍵詞：資料保護；理論基礎；力量和利益平衡論

中圖分類號：GF5

文獻標識碼：A

文章編號：1004—0544(2010)02—0121—04

一、個人資料保護的理論和實踐

二戰后，世界的人口數量迅猛增長。人口的流動性不斷增強，政府機關的公共管理和社會服務職能逐步擴大。規模經濟、信用經濟和直接營銷業務蓬勃發展。這些社會、政治和經濟沿革要求教府和企業掌握和利用更多、更準確、更細致的個人資料，否則他們將無法有效地規劃、管理和實施其與個人之間龐雜的業務。計算機等信息處理技術的發明和普及滿足了上述要求。也使得公私機構可以廉價地收集、永久地保存、快速地傳遞大量的個人資料。離開法律的規制，經過專業處理的單個和批量個人資料所具有的驚人的管理和商業價值誘使政府機關和私人企業通過不當手段、不合理地收集不必要的個人資料，將收集的個人資料用于其他非法目的，以個人資料尤其是不準確、不全面或不完整的資料為依據做出針對個人的決定。這樣，個人資料保護問題就產生了。

面對新的社會問題，嗅覺敏銳的理論界總愛先知先覺，有關個人資料保護的各種理論層出不窮。起初，人們主要擔心政府機關通過個人資料庫可能實施社會監控。保障民主和自由與保護個人的自治、自決和隱私等都被用來詮釋規制個人資料庫創建和運作的必要性。隨后，學者們開始從個人信息的角度打量隱私權，不僅認為個人信息的披露應該有個限度，還從以獨處權為代表的消極性的隱私權發展出積極性的個人信息控制權，主張通過法律確立和保障個人對個人資料和資料處理的控制權。與此同時，也有人從財產權的角度審視上述控制權，主張個人資料作為一種物。應當給它設定財產權，由個人和資料使用人在市場上通過議價交易個人資料，同時實現個人資料最佳配置與個人資料適當保護這兩個并行不悖的目標。另一種與此截然相對的觀點則認為，個人資料記錄了個人在社會中生存、生活和發展的點點滴滴。其使用關涉到自然人人格的自由、健全發展，法律應當確立個人在個人信息上的自決權。而不得將該權利同人身相分離、完全交由市場這只無形的手調節。

面對新的社會問題，政策往往先于法律出臺。20世紀70年代，瑞典、英國、加拿大和美國等發達國家先后一次或多次成立了專門的個人資料保護工作組，考察個人資料處理的狀況及其關涉的個人和社會問題，并公布了調查報告。同期，歐洲理事會、經濟合作與發展組織等也公布了有關個人資料庫創建和運作的政策文件。尤其是，前者于1973年和1974年先后公布了《私人行業中的電子資料庫與個人隱私保護決議》和《公共領域中的電子資料庫與個人隱私保護決議》，確立了個人資料保護的基本原則，并對后來的國際和國內個人資料保護立法都起到了重要的指引作用。

面對新的社會問題，有點后知后覺的立法往往會待政策較為明確后粉墨登場。自德國黑森州1970年的資料法到瑞典1973年的全國性個人資料保護法，自美國1974年的隱私法到英國1984年的資料保護法。西歐諸國和美國拉開了個人資料保護立法的大幕。與此同時。經濟合作與發展組織、歐洲理事會、歐共體、聯合國和亞太經合組織等區域和國際組織也先后從不同的角度針對個人資料保護與資料跨境流動展開法律統一活動，并通過了《資料保護指針》、《資料保護公約》、《資料保護指令》、和《隱私框架》等具有不同效力的法律文件。隨著歐盟《資料保護指令》于1998年生效及歐盟的不斷東擴，原先的歐盟成員國先后修改或制定了本國的資料保護法，后加入的成員國也紛紛立法。至今。包括上述國家在內的50個國家和地區已經制定了專門的個人資料保護法。

理論和實踐往往在互動中實現共同進步。上述個人資料保護理論在不同程度上影響了或仍指導著個人資料保護的政策、立法和實踐，而后者也促使前者推陳出新。譬如。民主、自由和隱私權說給歐共體提供了理論支撐。使它從人權的高度界定個人的資料權利，并以此為依據制定了《資料保護指令》，將個人資料保護和跨境資料流動納入共同體的法律體系。隱私權說和個人信息控制權說，尤其是個人資料財產權說，在美國更具影響力。以隱私權說為基礎，美國于1974年制定了規制聯邦機關個人資料處理活動的隱私法；隨后受個人信息控制權說和財產權說的影響，美國將個人在個人信息上的權利界定為一項私人權利，只對特定行業中的個人信息處理活動與特定類型的個人信息分別立法，而未制定統一的聯邦法。個人資料保護理論和實踐的交融在德國表現的最為突出。應該說，人格權說奠定了德國在個人資料保護上的理論基調。德國早期各州和聯邦立法多僅規制政府機關的個人資料處理行為，防止毀滅人性的納粹獨裁統治重演。經過一系列的判例，德國法院不斷豐富人格權的內容。尤其是在1983年的人口普查案中，德國憲法法院將個人在個人信息上的權利界定為人格權中個人自治權的重要組成部分，并以之為據發展出了個人信息自決權。反過來，個人信息自決權說對德國隨后的個人資料保護立法和實踐又產生了深遠的影響。

離開理論指導的實踐往往是盲目的，而離開實踐檢驗的理論則是妄談。因此，梳理已有個人資料保護理論的來龍去脈，在取長補短的基礎上完善它們、發展它們、甚至構建更為完備的理論，其理昭然。

二、既有個人資料保護理論的批判

—個成熟和完備的理論往往應該能夠合理地回答某問題從何而來、是什么以及應當如何解決等基本問題。同樣，可以系統地回答個人資料保護問題如何產生、個人資料保護問題具有哪些屬性、個人資料保護是什么及應當如何保護個人資料等一系列問題的觀點才稱得上個人資料保護理論。而只有準確回答上述問題的理論才能夠正確地指導個人資料保護的立法和實踐。拿著這把尺子來衡量，下列個人資料保護理論都存在或多或少、或大或小的問題和不足。

(一)隱私權說

面對非法個人資料處理活動給自己造成的威脅和侵害。借助隱私權來捍衛自己在個人資料上的權利是多數人的本能反應。當然，這也可歸結為如下三個原因：一來，隱私權像個萬花筒，內涵寬泛且模糊，貌似與任何事情都相關；二來，某些個人資料，尤其是敏感性的個人資料，確實關涉到個人隱私，需要保密；三來，不少個人資料保護法直接以隱私法命名或在其宗旨部分強調保護個人在個人資料和資料處理上的隱私權。無論個人資料保護法如何命名，個人資料保護與隱私權確實具有無法割舍的歷史關聯。

談及隱私權的由來。人們多半會追溯到沃倫(AlanWarren)和布蘭蒂斯(Louis Brandeis)的《論隱私權》一文。針對照相機等技術的濫用侵擾了個人的生活，二者以人格不容侵犯為基礎，呼吁普通法與科技發展俱進，通過確立隱私侵權制度保護個人的隱私權。隨后，美國法院逐步確立了被布蘭蒂斯大法官稱為最全面、也是文明社會中人們最重視的獨處權。獨處權的內涵和外延也得到了不斷的完善和發展。完善獨處權的最大功臣當屬普勞瑟(WilliamVrosseF)，他經過比較研究300多個隱私侵權案件，梳理、歸納和豐富了普通法上隱私侵權的內容。同時，獨處權還由最初的一種消極性的權利，發展成一項積極性的個人權利。例如。道格拉斯法官在Doe v.Bolton案(40 US.179，213(1973))中強調：“獨處權包括個人有權規劃自己的事務，每位公民均有權不受干擾地以自己認為最佳的方式規劃自己的生活。做自己想做的事，去自己想去的地方。”

積極性的隱私權獲得了進一步的發展，并形成了后來的“有限地接近自我說”。該說將有限接近視為一種選擇，即個人有權主動地限制他人接近自我的私人世界，保持他人對自我了解處于有限的狀態。作為有限接近自我說的集大成者，嘉偉森(Ruth Gavison)將隱私權歸納為如下三個獨立且相互關聯的要素：(1)保守秘密(他人在多大程度上了解與某人相關的信息)：任何人若不能控制與其相關且在公共領域內不為人知悉的資料的公開或使用情況，他可謂已喪失隱私。一般而言，了解信息的人愈多，他喪失的隱私亦愈多；(2)隱藏身份(某人在多大程度上成為他人注意的對象)：當個人成為眾人注意的對象，他便會喪失隱私。即使沒有新資料為人知悉，單是成為他人注意的對象已令其失去隱私；(3)離群獨處(他人可以在多大程度上接近某人)：他人接近某人便會令其喪失隱私，因為他人取得了與其相關的資料，并降低了他所享有的獨處感覺。不少學者從隱私權在構建和維持人們之間親密關系上的價值發展了有限地接近自我說。例如，付里德(Charles Fried)將隱私權界定為個人對個人信息披露的控制權。在他看來，“親密性是個人與他人分享有關自我行動、信仰或情感的信息，他不會與所有人分享這些信息，個人也有權不與任何人分享這些信息。通過賦予個人該權利，隱私權創造了道德資本。供我們投入友情和愛情。”

消極的獨處權與積極的控制接近自我權都以保密、披露和公開為著眼點，致力于保護私人生活，以保障個人的獨處狀態或對自我的控制。說到底，它們僅能解釋為何私密性的資料有待法律保護，而卻無法解答為何多數不具有保密性的個人資料為何也需要法律保護。實際上。個人資料保護法與隱私權法不同，它不只是為個人設定一項權利，而更旨在構建一個平衡個人、資料使用人和社會利益的法律框架。

(二)個人信息控制權說

從私人權利的角度審視個人資料保護，個人在個人資料上的權益很容易被界定為個人對與其相關的信息的控制權。從表面上看，正是由于個人在個人信息流轉過程中對個人資料失去了必要的控制才導致個人資料被不當的收集、使用和轉移。與獨處權說和有限地接近自我說一脈相承。“個人信息控制權說’仍以個人為中心，明確了個人對與其相關的個人資料具有控制權。自誕生之日起，它在個人資料保護的理論和實務界就一直占據統治地位。

個人信息控制權說甚至可追溯到沃倫和布蘭蒂斯。他們曾呼吁普通法確保人人均有權決定一般情況下可在多大程度上向他人披露其思想、感受和情感；而且。即便已經選擇表達它們，他仍有權決定公開的限度。20世紀70年代初，美國學者紛紛修正了上述觀點。并逐步確3ZT以控制權為核心的個人信息隱私權理論。例如，威斯丁(Alan Westin)將隱私界定為個人、組織或機構有權自行決定何時、如何以及在什么程度上向他人披露與其相關的信息。除了得到學者們的廣泛認同外，個人信息控制說還成為政府研究報告、立法和司法的理論依據。例如，英國的楊格委員會(Younger Committee)將隱私權視為個人有權自行決定怎樣向他人傳遞關于自己的資料以及傳遞多少資料。美國克林頓政府將隱私權界定為個人控制在什么條件下收集、披露和使用其個人信息的權利。美國法院在United States Dep't ofJustice、V，Reporters Comra for Freedom 0fthe Press案中也指出隱私權是控制與個人相關的信息的權利。

以控制權為核心內容的個人信息隱私權逐步發展成隱私權的一個重要組成部分。在學界，杰瑞康(Jerry Kang)將隱私歸納為三個方面：物理空間、選擇和個人信息流動。在實務界，澳大利亞法律改革委員會1983年的報告明確了四類有待法律保護的隱私權益：(1)個人對他人持有的與自己相關的資料的控制權益，即信息隱私(或歐洲所指的信息自決)。(2)限制他人進入私人場所的權益，即地域隱私。(3)人身及私人空間不受干擾的自由權益，即人身隱私。(4)個人通訊不受監控和干擾的自由權益，即通訊和監控隱私。

總之，相對于傳統的隱私權理論，以提高個人對個人資料控制力為核心的個人信息控制說無疑更好地詮釋了個人資料保護的動因、目的和方法，切中了個人資料保護的要害。但是。該說無法合理地界定控制權的性質和限度和范圍。此外，它將個人在個人資料和個人信息流轉上的利益界定為控制力片面強調了個人資料保護問題的私人性。這與個人主動地同公私機構開展個人信息流轉關系不符，也忽視了個人資料保護問題的社會性。

(三)個人資料財產權說

將隱私權界定為個人對個人資料的控制權。必須回答個人為何具有控制權、具有什么性質的控制權以及控制權的內容和限度等問題，這導致不少學者誤入了“個人資料財產權說”的歧途。他們從財產的角度看待個人資料，主張將個人資料的最初所有權賦予個人。提高人們對個人資料的控制力，借助已有的財產法與合同法保護個人資料。在理論界，威斯丁于20世紀60年代就主張將財產法和侵權法并用，規制具有極大危害性的個人資料使用行為。”由于美國政府采取了以市場為主導的個人信息隱私保護機制，1995年以來，很多學者再次強調財產和交易制度在隱私權保護上的作用。在實務界，美國商務部于1997年公布了《信息時代的隱私與自治報告》，為美國確立以市場和行業自治為主導的個人信息隱私保護機制奠定了理論基礎。

個人資料財產權說遭到了廣泛的質疑和批判。首先，個人資料與一般的物不同，多數個人資料在個人同公私機構的交往中自動產生，無需個人付出專門的勞動。相反，資料使用人為加工雜亂的個人資料，投入了相當的人力、財力和物力。他們似乎更應當對個人資料主張所有權。其次。個人資料不具有稀缺性，反而具有共享性。當前市場上稀缺的不是個人資料，而是個人資料保護。再次，財產法旨在明確物的歸屬，更旨在促進財產的流通。若一權利是財產性的。那么它就可以同權利的主體分離。個人資料與個人脫離后在市場上自由流動，個人更無從對其施加任何控制。以財產權為基礎的市場機制非但不能解決問題，反而會將個人資料交易合法化。又次，即使法律將個人資料的所有權賦予資料關涉的個人，他們也由于信息和力量的不對稱等原因，無法與資料使用人進行合理的交易。實際上，個人的資料權利根本無法像財產權那樣以絕對的方式行使。最后，為個人資料設立財產權僅考慮了隱私權對財產權人的私人價值。

(四)個人信息自決權說

“個人信息自決權說”并非憑空而生。德國憲法確立了人格權不容侵犯的基本原則，法院通過判例確立并不斷充實人格權中個人自決權的內容。尤其是，自20世紀70年代至80年代，通過全面和行業性的個人資料保護立法與設立以個人資料保護機構為中心的監督機制，德國聯邦和各州已經構建起較為完備的個人資料保護體制。這是個人信息自決權理論賴以產生的法律土壤。面對計算機等信息技術對人格權的挑戰，德國憲法法院通過人口普查案，確立了個人信息自決權。

法院認為在當代社會，要保護個人人格不受侵犯。必須根據經濟和社會環境的變化拓展個人尊嚴的內涵和外延，因為個人資料處理活動及其對個人產生的影響已經發展到了史無前例的高度。個人資料是對個人生活事實的記載，是對自然人的人格的勾畫，是個人尊嚴的一部分。法院將個人信息自決權界定為個人對其資料的交付和使用的自由決定權。與其它基本權利一樣，個人信息自決權不是一項絕對的個人權利。個人必須接受出于優先性公共利益的考慮對其個人信息自決權施加的限制。最后，法院探討了個人信息自決權的執行問題：立法機關負責制定個人資料的使用和轉移規則；個人被置于個人信息流轉過程的中心，以確保他知曉個人信息的命運，并鼓勵其參與到個人資料保護的爭論中去；聯邦和州的個人資料保護機構應發揮監督作用，協助公眾了解個人資料處理活動；司法機關負責審理與個人資料處理相關的訴訟。

應該說，個人信息自決權說是至今最為完備的個人資料保護理論，它解釋了個人資料保護問題產生的原因。界定了個人資料權的內涵、性質及其應有的限制。提出了全面的權利執行保障機制。美中不足的是，個人信息自決權說仍然從個人權利的角度剖析個人資料保護，未能把握個人資料保護法旨在平衡個人、資料使用人和社會在個人資料使用上利害關系的本質。

三、關于個人資料保護的力量和利益平衡論

以天平和利劍為標示的法律始終致力于調整平等主體之間與不平等主體之間的力量和利益沖突，追求對個人和社會的公平和正義。個人資料保護法也不例外，它應該平衡個人與資料使用人對個人資料和個人信息流轉過程的控制和參與能力，權衡個人、資料使用人與社會在個人資料和資料處理上的利益沖突，確保個人資料實現合法、合理、適應和高效的法治化流轉。我們不妨將這種觀點稱為關于個人資料保護的“力量和利益平衡論”。

這里的“力量”是指個人與資料使用人在個人資料上和個人信息流轉過程上的控制力和參與能力。之所以要通過法律的手段平衡二者之間的力量，是因為它往往呈不當的懸殊狀態。具體而言，它表現為個人無法了解、控制和參與個人資料的整個流轉過程，譬如誰為了什么目的將收集或收集了哪些與自己相關的資料，他們將如何處理和使用這些資料，他們是否向第三人轉移資料，他們是否對資料采取了適當的保護措施，等等。這就要求個人資料保護法給個人提供一些權利。給資料使用人施加一定的義務，通過一定的措施確保資料處理活動的公開和透明性，給個人因違法資料處理活動而遭受的損害提供適當的救濟，對資料使用人進行必要的處罰，保障個人資料保護法的實施。

這里的“利益”包括個人資料處理活動所涉及的多個當事方的正當權益。對個人而言，這種權益包括兩個層面，即現實利益與抽象的與人身權益。前者源自個人與公私機構之間的交往和交易關系，因為資料使用人非法處理個人資料最終將影響人們在上述各種關系中的正當權益。譬如，銀行可能依據不準確的個人信用信息拒絕給個人提供貸款，政府可能利用不完整的個人資料拒絕頒發執業證書，企業可能依據不適當的個人資料對雇員造成歧視性的待遇，等等。后者則源自資料使用人通過非法資料處理活動可能對個人的私人生活及其人格自由、健全的發展可能造成侵害和威脅。對資料使用人而言，我們應從公共機關和私人機構兩個層面剖析其在個人資料和資料處理的利益。前者的利益歸根結底具有公益性，因為他們運用個人資料庫和資料處理系統應當旨在高效地完成其法定的公共職責。后者的利益則更具私人性和營利性，因為企業利用個人資料規劃、管理和開展針對消費者的業務以提高自己的收益為主旨。除此之外，個人資料的使用還涉及整個社會的公共利益。因為個人資料的數字化本身就是社會進步的要求和結果，而且個人資料的合法流轉也旨在保障社會的可持續發展。從這種意義上說，力量和利益平衡論要求給個人提供一個對抗公權力與抗衡私權利的工具，給資料使用人設定合法處理個人資料的必要限度。給整個社會提供一個保障民主制度正常運作、經濟可持續發展與社會和諧進步的法律框架。在對其做了上述界定之后，我們也應該用衡量上述個人資料保護理論的尺子打量力量和利益平衡論。

首先。力量和利益平衡論能夠合理地解釋個人資料保護問題產生的原因。應該說。個人資料保護問題起源于個人與公私機構在現實交往關系中的力量懸殊，具體表現為個人與資料使用人之間在個人資料和個人信息流轉過程控制和參與上的力量懸殊。個人資料處理技術增強了政府機關和私人機構掌控個人生活的能力，進一步擴大了二者在現實交往關系中的力量差異。

其次，力量和利益平衡論較好地界定了個人資料保護的本質及其屬性。如上所述，力量和利益平衡論要求個人資料保護法平衡個人與資料使用人在個人資料控制和個人信息流轉過程的參與上的力量懸殊，權衡個人、資料使用人與社會在個人資料和資料處理上的利益沖突，確保個人資料實現合法、合理、適當和高效的法治化流轉。它全面界定了個人資料處理涉及的各個當事方在個人資料和個人信息流轉過程上的利害關系，同時也指明了個人資料保護的多重屬性，如政治性、經濟性、科技性和國際性等。其中，政治性是指它關涉到民主政治制度的運作，經濟性指它影響經濟的良性發展，科技性是其固有的屬性，而國際性則指它影響到個人信息的跨境自由流動。

再次。力量和利益平衡論全面涵蓋了個人資料保護法的內容。為平衡個人與資料使用人和社會之間的力量和利益。個人資料保護法賦予了個人一定的權利、給資料使用人施加了相應的義務，并對違法資料處理活動提供有效的救濟制度。例如，個人對資料處理活動的知情權、對個人資料收集的決定權、對已收集的個人資料的查閱權和修正權、對某些個人資料處理活動的反對權等都是個人的資料權利。資料使用人具有合法且合理地處理個人資料的責任，他們必須為了明確和特定的目的處理個人資料，采取適當的措施保護已經收集的個人資料。對違法資料處理活動，個人既可以通過法院和資料保護機構尋求救濟，資料保護機構也應該主動地處罰資料使用人，將觸犯刑法的行為提請檢察機關的注意。

最后。力量和利益平衡論兼顧了個人資料保護問題的政治、經濟、科技和國際屬性，要求構建一套全面、高效的個人資料保護執行機制。其中，公權力和市場應發揮其調控和調節功能。個人資料保護機構、行業自治組織、資料使用人、個人、國際組織應各盡其責。立法、行為守則和技術規則應發揮各自的調整作用。

總之，科技的進步和社會的發展往往會在不經意間超越以穩定性著稱的法律。它們淘汰著舊法，也催生出新法。面對個人資料保護問題，先知先覺的學界提出了一系列的理論。后知后覺的個人資料保護政策、立法和實踐不斷檢驗和完善著這些理論。個人資料保護問題的產生、個人資料保護的本質、屬性、內容及其實施要求確立力量和利益平衡論，并以之為基礎構建一套完備的法律體系，平衡個人、資料使用人和社會在個人資料和資料處理上的參控力量和利益沖突，確保個人資料得到合法、合理、適當和高效的處理。實現個人信息的法治化流轉。