芻議個人信息的法律保護

摘要：個人信息保護法的客體是個人信息，個人信息體現的是一種基本人權。個人信息法律保護應遵循一定的原則，對特殊行業和領域應制定特別的法律規范，并實行行業自律。

關鍵詞：個人信息；個人信息權；立法

中圖分類號：D923

文獻標志碼：A

文章編號：1001－862X(2010)04－0118－04

一、個人信息的界定

目前全球已經有50個國家或地區制定和頒布了個人信息保護法。各國或是地區在法律中對個人信息的稱謂有所不同，如“個人數據”、“個人資料”、“個人隱私”、“個人信息”。采用“個人數據”稱謂的。如Directive 95／46／EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of such Data。簡稱歐盟95指令。采用“個人資料”稱謂的，如1977年德國的《聯邦資料保護法》。采用“個人隱私”稱謂的，如1974年美國的《隱私權法》。采用“個人信息”稱謂的，如2003年日本的《個人信息保護法》。

“個人數據”和“個人資料”的英文均為“Person Data”，兩個稱謂只是中文的翻譯不同而已?！皞€人數據”指與已識別或可識別的與個人(自然人，又稱數據主體)相關的任何資料?！皞€人信息”指自然人的姓名、出生年月日、身份證號碼、戶籍、遺傳特征、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其他可以識別該個人的信息。

個人數據(資料)與個人信息的區別如下：首先。個人數據(資料)側重于客觀形式，而個人信息偏重于數據或是資料所反映的內容。從資料和信息的內在關系看，資料是信息的載體，信息是資料表現的內容。從這個角度理解，數據(資料)是信息的表現形式，信息是數據(資料)所體現的內容。其次，個人信息的表現形式是多種多樣，并不一定表現為個人數據(資料)形式，不以個人數據(資料)的物化形式存在的個人信息是大量的。最后，數據是一個偏技術性的概念，一般認為個人數據是指與個人相關的任何資料，也包括家庭的一些相關情況等。信息則是指經過處理后得到的數據。其與數據最大的區別在于它經過了處理過程。

隨著個人信息保護法的發展，人們越來越多地開始使用“個人信息”這一概念。這是因為立法的目的在于保護個人數據或是個人資料所反映出來的個人信息，而不是簡單保護個人數據或個人資料本身。而保護個人信息的目的是為了保護個人信息所能識別的自然人。簡而言之，保護個人數據或是資料的目的就在于保護個人信息所指向的個人。因此，“個人信息”一詞更能體現個人信息保護法的立法本意。

“個人隱私”的稱謂主要出現在英美法系之中。1890年兩位著名的美國法學家薩繆爾·D·沃倫和路易斯·D·布蘭戴斯在《哈佛法律評論》上發表了著名的《隱私權》(The Right to Privacy)一文，隨后隱私權的內容在法學研究、立法和司法領域得到了認可和逐步擴展。關于隱私的定義。學界也是眾說紛紜。有學者認為，隱私是指公民的私人生活安寧不受他人非法干擾。私人信息不受他人非法搜集、刺探和公開等。隱私權，是指公民享有的私人生活安寧和私人信息受到法律保護，不被他人非法侵擾、知悉、搜集、利用和公開等的一種人格權。還有的學者認為，隱私不僅包括私人生活安寧不受他人非法干擾，私人信息保密不受他人非法搜集、刺探和公開，還包括對個人私事的決定。由此可見，隱私主要是指那些私密的，不愿公開的個人信息。如果我們選擇個人隱私這一概念，就相當于將不涉及隱私利益的個人信息都排除了在了法律保護的大門之外，顯然是不足取。

二、個人信息權利的屬性

立法中所體現出來的個人信息權利的屬性是不盡相同的，大致有三種：

(一)隱私權

典型代表是美國法，認為對個人信息享有的權利是一種隱私利益。對其保護應當采取保護隱私權的權利形式。1974年美國參眾兩院通過了《隱私權法》，主要規制政府機構處理個人信息的行為。1980年經濟合作與發展組織(Organization for Economic Cooperation and Development，簡稱OECD)通過了《OECD關于隱私保護與個人數據跨疆界流動的指導原則的建議書》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data，OECD)，該法律文件除了跟美國《隱私權法》一樣在標題中就清楚標示為隱私，文件中也多處提到，如第二條，“這些指導原則適用于個人數據，不管其是屬于公共領域還是私人領域。因為處理方式或者因為他們的性質或被使用的語境。他們對隱私和個人自由構成危險。”我國香港個人資料(隱私)條例也采隱私權說，其緒言指出：“本條例旨在個人資料方面保障個人的隱私。并就附帶事宜及相關事宜訂定條文?！?/p>

(二)人格權

典型代表是德國法。認為個人信息體現的是一種人格利益，對其保護應采用人格權的保護形式。德國1977年《聯邦個人資料保護法》規定，個人信息保護的目的是保護個人隱私。但是由于隱私權說與德國整個法律文化不相協調，在1983年被德國聯邦憲法法院《人口普查案判決》推翻。該判決認為資料何種情況下是敏感的不能只依其是否觸及隱私而論。德國1990年修改后的《聯邦資料保護法》第一章“一般條款”第一條規定：“本法旨在保護個人的人格權，使其不因個人資料的處置而遭受侵害。該法的目的是為了保護個人人格權在個人信息處理時免受侵害?！蔽覈_灣地區《計算機處理個人數據保護法》在總則部分第一條規定：“為規范計算機處理個人數據，以避免人格權受侵害，并促進個人資料之合理利用，特制定‘本法’。”

(三)基本人權

國際組織多采此說。認為個人信息體現的是一種基本人權，即關于個人基本權利和自由的綜合權利。歐洲議會公約在緒言中指出：“考慮到在自動化處理條件下個人資料跨國流通的不斷發展，需要擴大對個人權利和基本自由。特別是隱私權的保護。”歐盟95指令緒言規定，“各成員國對于個人權利和自由特別是隱私權，在個人數據處理過程中不同的保護措施可能會阻止這些數據在成員國之間的傳送。”聯合國指南第一條規定：“不得用非法或者不合理的方法收集、處理個人信息，也不得以與聯合國憲章的目的和原則相違背的目的利用個人信息?！甭摵蠂鴳椪碌哪康暮驮瓌t體現的是對人的權利和自由的保障。

我國將來制定個人信息保護法時，應如何定位個人信息權利的法律屬性呢?筆者認為：首先不宜定性為隱私權，這是因為采取該種界定不能全面地保護我國的個人信息。其次，人格權屬性也應排除。一般人格權是指公民和法人享有的，概括人格獨立、人格自由、人格尊嚴全部內容的一般人格利益。并由此產生和規定具體人格權的人的基本權利。個人對其本人信息的權利其實是一種個人信息控制權，即個人對自己的何種信息被何種組織以何種方式收集、儲存、使用等的一種決定權。顯然人格權的外延囊括不了個人信息控制權。最后，為了與我國現有法律體系相協調，也為了更全面的保護個人信息權利，我國宜采用基本人權說。

三、個人信息保護的基本原則

不管是英美法系還是大陸法系國家均在其個人信息保護法中對個人信息保護原則做了明確規定。借鑒國外經驗，我國個人信息保護法應規定以下基本原則：

(一)信息質量

信息處理者應該在擁有合法權限的前提下，依照法定的程序獲取和傳播(包括發布)信息。收集信息是基于特定的目的，在取得信息之前目的已經明確化。之后的儲存和使用行為必須受到先前收集時特定目的的約束，行為應該與特定目的具有充分而不多余的關系。數據管理者有義務保證儲存的信息是準確的，并且隨著時間的推移應當保持信息的適時更新。信息應以信息主體可以進行訪問的方式進行儲存，且信息的儲存時間不應超過儲存信息所必須的期限。

(二)信息處理的合法性

信息處理者在保證信息質量的前提下，需經信息主體同意，才可以對個人信息進行處理，法律另有規定的除外。除外情況有處理數據是履行法定義務的要求；為了保護信息主體的重大利益所必須；履行與信息主體之間合同所必要的；進行信息處理不損害法律所保護的權利且管理者對信息處理具有法律上的利益等。不管依哪種前提對個人信息進行處理。在處理之前管理者應該告知信息主體相關事項，包括處理個人信息的目的與方法；提供信息是否是強制義務，拒絕提供的法律后果；信息的使用范圍，信息接收者的身份類別；信息主體享有確認、更改、刪除、獲得信息和拒絕處理信息的權利；個人信息控制著的身份和住所或營業場所所在地等。

(三)信息公開

信息處理者要使得信息主體能夠了解和掌握以下內容：自己的哪些信息當前被管理者所控制、正在或將被采取何種方式的處理行為、處理的主要目的是什么、信息控制人的身份及其住所地或是營業場所。具體到政府部門而言，信息公開原則的內容為：上級行政部門接到下級行政部門呈報的個人信息檔案以后，將其分類目錄在政府公報上公布；保管個人信息檔案部門的負責人有義務將個人信息目錄制作成個人信息簿供一般人閱覽：任何人都擁有請求閱覽關于自己個人信息的權利，有關不供閱覽的理由應予以記載；管理部門在接受閱覽請求后合理期限內必須做出答復；對行政部門做出不能公開，即不可閱覽決定有異議時，可以提出意見，并根據行政復議法提出異議申請，或根據行政訴訟法提起訴訟；信息主體可以要求管理部門對保管信息的內容做出訂正。

(四)信息安全

為了保證個人信息的安全。信息處理者應當采取適當的技術上和組織上的安全措施。保證個人信息免受意外的、未經授權的訪問、修改、丟失、破壞或損害，以及其他未經授權的個人信息處理的需要。在要求信息處理者采取技術或是組織上的安全措施時要考慮其現有的技術水平以及采取措施的成本，同時結合其所控制信息的性質和潛在的危險，采取的措施既可以保證信息的安全又不會給管理者造成很大的負擔。任何能夠訪問信息的管理者及其授權的人員必須在有管理者的明確指示下才能對數據進行處理，法律法規要求履行的強制性義務除外。此外信息處理者的工作人員在工作期間及工作結束后的一定時期內應該負有保密義務，不得非法泄露其工作時所接觸到的個人信息。

四、特殊行業的特別立法和行業自律

(一)特殊行業的特別立法

將個人信息的保護納入法治的軌道，是社會和經濟發展的需要，但是不同的行業和領域對個人信息的使用情況是各不相同的，因此對所有行業適用整齊劃一的措施是不現實的，這樣就需要針對特定的行業和領域制定特別的法律規范。這些領域包括醫療、電信、網絡、征信、金融、統計等。例如，個人醫療信息除了用于患者個人的康復外，還被用于醫學教育及醫學研究等，可以促進醫療水平的提高和醫學界的發展，具有很強的公益性，鑒于其特殊性對其進行特殊規定是必不可少的。我國個人信息的網絡立法保護很零散，有《全國人民代表大會常務委員會關于維護互聯網安全的決定》、《中華人民共和國電信條例》、《互聯網信息服務管理辦法》、《互聯網電子郵件管理辦法》。缺少專門立法；僅規制個人信息的不當泄露和通信自由及通信秘密受到侵害，對于個人信息的收集、持有、使用等環節沒有相應的管理保護機制除了《侵權責任法》外，我國還應進行專門的網絡立法，規定網絡個人信息保護。我國的個人信用服務業正在逐步發展，但是目前尚沒有一部直接規范個人信用服務機構及業務的專門法律。個人信用服務行業缺乏統一的法律規范。我們需要通過特別立法將信用信息的采集、加工、生產、銷售、使用的全過程加以規范。

(二)行業自律

盡管我國行業自律機制比較弱，但是我們應該看到我國一直存在行業自律，且在不斷發展，國家應該在加大個人信息保護立法力度的同時，鼓勵提倡行業進行自律。因為行業自律機制是個人信息保護制度中不可缺少的一個環節，如果政府機關與行業協會之間形成良性互動，那么行業自律組織在個人信息保護領域將能夠起到非常重要的作用。

(責任編輯 吳興國)