公權力介入個人資料保護的制度模式構建

劉大琳

【摘 要】個人資料作為21世紀最有價值的資源，不僅關系著公民的個人權益，同時也關系著社會公益和社會秩序，我國目前的民法保護機制滯后，個人資料被侵害的現象仍然十分嚴重，且執法力度較弱。公權力有必要介入到對個人資料的保護機制中，提高公眾包括企業和公共機構的個人資料保護意識，引入懲罰性損害賠償，同時借鑒國外立法例，建立個人資料安全管理體系。

【關鍵詞】公權力；個人資料；安全防護模式；制度模式

一、個人資料的重要性

個人資料不僅可為政府的決策提供依據，使公共管理有效率，更可產生商業利潤。在網絡出現以前，名人許可商人在商品或服務的推銷或宣傳中使用其姓名或肖像等現象就是最典型的個人資料商品化現象，而在網絡出現之后，個人消費的喜好，個人網絡消費行為記錄、手機號碼及電子郵件地址等個人資料也被商人用來當做個人化商品或服務推銷和廣告的宣傳工具，使個人資料商品化的現象越來越普遍。[1]P1隨著電腦和網絡的通信技術的發展，個人資料的收集、儲存、傳播、加工和利用的成本降低，現今技術可透過電腦將儲存于網絡的有關資料迅速連結到一起，從而形成某個人的大致輪廓，同時還可把具有相同或類似特征的許多人匯集起來組成一個資料庫，由于這些資料庫和個人資料具有很高的商業價值，可用作市場營銷和個人化服務，導致越來越多個人或企業專門從事買賣這些個人資料，因此個人資料作為商品交易已經成為資訊時代的一個重要產業，根據調查，與開發一般網站相比，個人化網站的開發和維持往往需要4倍以上的成本，而一個個人化商業服務模式所需要的關鍵資產就是屬于該組織的個人化資料，隨著各種所謂的個人化服務重要性的提高，對個人資料的所有權已成為獲取投資回報的主要方式。[1]P6大部分網站是透過觀察消費者的網路行為，追蹤消費者的購買行為，以問問題的形式或兼采這三種形式來獲取消費者的個人資料。在美國，有不少專門從事消費者個人資料交易的公司，如Double Click and I-Behavior，這些公司搜集和出售消費者的購買歷史記錄，收入、家庭成員人數、生活愛好，擁有汽機車的情況等個人資料。[1]P3-5但有些公司是在未經用戶同意的方式，私自搜集及使用用戶的個人資料，例如：亞馬遜公司曾利用消費者的歷史購買記錄，在其DVD電影的銷售中使用自動定價系統，即針對不同消費者訂出不同的價格銷售，亞馬遜公司因而獲利豐碩，除自動定價外，該公司亦使用消費者的個人資料進行個人化的廣告和產品推銷，而這種個人化的廣告銷售收入也比一般廣告銷售收入高10倍，但亞馬遜公司之后因其自動定價系統被消費者隱私保護組織曝光而受到輿論討伐，為此，亞馬遜公司曾公開道歉并向6896名消費者償還其不當得利。[1]P4

個人資料被譽為是21世紀最有價值的資源當之無愧，政府和企業為了爭奪高價值的個人資料，無不盡全力運用電腦技術來高速處理大量的個人資料以獲利，當處于不同地區、不同時空及不同機構的個人資料被迅速匯集起來時，只要透過比對等特殊技術處理后，瞬間就可描繪出一個人的資料人格，將一個人變成一個沒有隱私的透明人，此時我們該如何拯救我們現實和資料的人格呢？[2]

二、個人資料在我國的保護現狀

（一）法律保護機制的缺陷

我國現今的法律體系中，并沒有關于個人資料、個人資料權利的概念或字眼。我國沒有一部完整的民法典，也沒有制定一部完整的個人資料保護法。關于個人資料的保護，散布在各個法規對個人資料直接或間接保護的法律規定。比如居民身份證法、護照法、傳染病防治法中設置條款對個人資料加以保護。還有一種保護是通過信息控制人的單方承諾或特定行業的自律規范的承諾，對個人資料加以自律性質的保護。[3]另外，我國尚未有違憲審查制度或憲法上權利的救濟途徑。人民基本權利的具體內容和保障方式均只能透過法律和司法、立法解釋加以具體規定才能實現。[4]因此，即便學說通說上認為憲法一些條文對個人資料權利提供了間接的保護，如憲法三十三條、三十八條、三十九條、四十條的相關規定。但比之美國、德國或是臺灣之憲法對私法法律關系有間接的效力。例如我國臺灣地區中，個人資料權利是臺灣憲法上的基本權，法官在審批民事案件時，實務及學說通說皆采間接適用的方式或是憲法取向性的解釋，讓法律不論是否有明文規定皆可保護該憲法上的基本權。

我國對于個人資料的民法保護帶有很大的事后性，局限性比較明顯。這不僅表現在相關法律條款規定過于分散，可操作性差，對一些關鍵概念的界定不清。更表現為公民個人在維護自身的個人資料合法權益時，存在著的舉證困難，訴訟成本過高，受益過低，合法權益難以得到有效的維護的現實困境。雖《刑法修正案（七）》第七條規定可以看做是公民個人資料、個人權利在刑法方面尋求保護獲得的一個重大突破。但是仍不能有效的遏制對公民個人資料的非法出售和搜集的亂象，因為并不是每一個違法行為都達到了情節嚴重的程度。因此，我國對于個人資料的保護并不能提供有效的法律保障。

（二）個人資料被侵害現象嚴重

如前所述，個人資料既具有重大的商業價值，以牟利為目的針對個人資料販賣的現象不勝枚舉。從2012年3月20日，北京市大興區法院審理的一起網絡倒賣個人信息案，到今年315晚會曝光的運營商偷窺公民郵件內容，我們幾乎已經進入了一個個人資料全民裸奔時代。據中國電子信息產業發展研究院、中國軟件評測中心發布的《公眾個人信息保護意識調研報告》顯示，超過60%的被訪者遇到過個人信息被盜用的情況。表現在日常的生活中，由于公民的個人資料被隨意泄露，受到不勝其煩的商業推廣短信和電話騷擾。而依照現行法律，對于受“騷擾”之苦的公民來說，損害后果并不是十分明顯的，沒有權利尋求到法律上的救濟與保障，但在受“騷擾”的背后，卻是公民日常生活安寧的破壞，商業道德和秩序的崩塌，違法犯罪行為的滋生。侵權者盜用、濫用公民個人資料，造成公民隱私權和人格尊嚴的被侵害，財產權受到侵害，加之引發的不法分子的各種犯罪行為。擾亂社會秩序，侵害公民權益，于個人利益和社會利益考量，都應受到嚴格的管制和約束。

同時，加之法律上欠缺對個人資料的保護，人民、政府以及法院對個人資料的重視度也不高，以致個人資料遭侵害的狀況時有發生，等個人資料遭侵害后，人民才會發現原來個人資料遭侵害會造成如此極大的損害，受害者遭受的損失和花費的處理時間如此之多。可實際損害已經造成，悔之晚矣。尤其是現如今網絡技術的迅速發展的時代，因網絡的特性，使得侵害的速度快，范圍又廣，舉證及適用法律難，訴訟成本高，導致被害人無法得到相應的賠償。

（三）執法力度較弱

法律的有效運行，離不開公民的自覺守法，同時更重要的在于執法。法律的執行是公民守法的前提和必要保障。而我國目前的現狀是，不僅是承擔信息安全監督工作的工信部有關于個人資料保護的規章文件，公安部、國家保密局、國家密碼管理局、衛生部、食品藥品監督管理局、銀監會、證監會、鐵道部等部門都有規章文件涉及個人資料的保護。當下我國這種交叉管理的體制下，當出現個人資料泄露的法律后果時，通常資料已被輾轉流轉了好多次，這不僅為尋找泄露個人資料的源頭帶來了困難，更存在執法者和被執法者眾多的情況下，利益糾葛的弊端。本行業執法部門只負責本行業執法，行政執法力度非常的弱。

在執法過程中，還存在與個人對抗的另一方為財大氣粗的運營商或是公共機構的普遍現象，這些相對方通常具有較強的影響力，易形成現實的執法困境。執法的困境造成了企業的毫無拘束，明知違法行為而故為之，在強大的利益驅動下，無法無德，視公民的合法權益于不顧。而監管的失利不得不謂之是造成這一現象的根本原因。

三、公權力在個人資料保護中理應發揮的作用

我國早在2003年就開始著手個人資料保護的立法，但直到現在都沒有出臺一部有關個人資料保護的法律。雖然學界的立法呼聲以及迫切的現實需要都亟需個人資料保護法律的出臺。但立法有其自身的弊端，其一，立法總是跟不上產業和技術發展的步伐，需要的時候出不來，等出來的時候或許已經過時了。這是基于立法的固有缺陷。其二，也是最關鍵的，即使出臺新的法律法規或是補充修訂，如果達不到令行禁止的效果，使法律法規形同虛設，違法行為依然我行我素。當然這并不說立法不重要，只是在推動立法進程的過程中，公權力還要有以下作為，才能有利保護公眾的個人資料權利，同時也符合現如今我國的法律和現實狀況。

（一）形成主動的個人資料保護意識

這里所講的個人資料保護意識的形成，不僅是針對公民個人，也包括企業和政府。

首先所謂提高民眾的個人資料保護意識。相關專家認為，個人資料被泄露、被濫用、被盜用，與大多數公民的個人資料保護意識不強有很直接的關系。他們經常在有意無意之間將個人的資料泄露出去，尤其目前社交網絡迅速發展的時代，我們的生活幾乎已離不開網路，網絡不僅使我們的生活達到了天涯若比鄰的美好境界，同時網民也要留意網絡上各種潛在的風險。公權力要采取由上而下的傳輸機制，不僅要提高宣傳的力度，經過宣傳和普及教育，讓廣大民眾意識到個人資料保護的意義，增強民眾的防范意識，引導民間有關個人資料保護的協會構建，鼓勵民眾積極地參與進來，發現有個人資料泄露的情況，向信息管理者提出投訴。讓保護個人資料的意識滲透到公民的日常生活中來。

其次關于企業的主動個人資料保護意識的形成，畢竟企業是以業務為導向的單位，對于個人資料的保護較為被動。既要確保企業不淪為個人資料泄露的儈子手，又要保障企業業務上的欣欣向榮，因為過度的管控會造成企業效率的下滑。如何找到一個均衡點，就有賴于如何培養企業的主動個人資料保護意識。可以借鑒日本關于“隱私標章”制度的構建，給予能夠獲得“隱私標章”的企業以一定的優惠政策，如此使廣大企業自愿投入到有關個人資料保護的行動中來。

最后關于政府個人資料保護意識的形成，政府作為個人資料保護中較為關鍵的主體。由于網絡科技所引發的信息革命，個人資料在網上的傳播廣度及深度，已遠非吾人所能想象，電子商務的蓬勃發展，個人不得不對外提供個人資料，以換取各式的電子式服務，國家也可藉由科技，于個人毫不知情的情況下輕易取得個人資料，大幅減少資料搜集與交換的成本。政府是以一個專業且有利的秩序維護者的角色，憑其公權力手段介入私經濟的管制活動中。政府部門利用搜集整合的各部門及人民、公司、其他組織的個人資料，以作為政策制定的依據。以目前政府控制資訊的能力日趨擴大，若民眾面對在信息掌握能力上無法與之抗衡的政府部門和公共機構對于個人資料的干涉和侵害，其后果無法想象。公共企事業單位，比如銀行、醫院、通訊公司、保險公司等，往往是個人信息泄露最主要的渠道。因此，政府和公共機構應建立完善的公民檔案保護體系，行政機關的工作人員要有較強的個人資料保護意識。使行政人員認真履行職責，同時完善政府和公共機構內部的責任追究機制，并嚴格瀆職責任，放開輿論監督。

（二）懲罰性賠償的適用

個人資料泄露之嚴重，公民隱私侵害之猖獗已為世界各國所意識到。互聯網和信息技術的高度發展和廣泛應用，個人資料被不當收集，惡意泄露，隨意篡改，甚至非法出售的現象時有發生，社會上出現了大量兜售房主信息，股民信息，患者信息，車主信息，個人資料被濫用的現象已形成了一個新的產業。現在為解決此一問題，尤其應引進懲罰性賠償金的規定，因懲罰性賠償金不僅有賠償的功能亦有懲罰的功能，不僅能使受害人最大限度獲得賠償救濟，況且我國已在《中華人民共和國消費者權益保護法》及《侵權責任法》上有所規定。懲罰性賠償金適用于個人資料保護上的合理性，可從以下方面來講：

首先，懲罰性賠償具有強大的威懾和遏制作用。其以遠超于受害者的損害金額作為侵權人應承擔的義務，不僅僅是具有補償受害者損害的功能，更重要的在于對侵權者的懲罰，對于其漠視道德，漠視法制，漠視公民權益的懲罰。讓其付出沉重的代價，使侵權者不因“效率違約”而置公民的個人權利和社會公益于不顧。法律經濟學的觀點認為，懲罰性賠償將給不法行為人在經濟上增加負擔，此種負擔即為不法行為人為其行為所付出的代價，即使對于那些經濟實力強大的主體而言，這種代價也是不情愿的，這樣可以促使行為人采取較為安全的措施以防止損害的發生或將事故的發生危險降低到最低的程度。[5]對于那些將要或可能從事侵害公民個人資料的行為也起到一定的警示和遏制的作用。使其忌憚如此的責任承擔而不敢從事相同或類似的行為。其次，懲罰性賠償的適用符合國際趨勢。就歐盟來講，歐盟委員會對互聯網公司和社交網絡在征求消費者的明確同意后方可使用其個人資料并要應消費者的要求永久性的刪除他們的資料，包括用戶上傳到社交網站的照片，在零售網站購買的商品信息，或通過搜索引擎尋找的資料。違反條例者將被處以年收入2%的罰款。[6]就香港而言，香港近期實施新的《個人資料（私隱）（修訂）條例》，對商業機構濫用客戶資料說不，違者將最高處以100萬港元罰款和5年監禁。[7]

（三）建制個人資料安全防護體系

鑒于個人資料保護的重要性，國家自應創設一制度和程序，對人民個人資料的保護進行周全的規劃，才能使人民的個人資料權真正獲得實現。同時更有利于在個人資料保護和信息流動之間尋求到更好的平衡點。國際間如日本、韓國、英國、德國等，均針對個人資料管理制度處理方式，提供有一套流程化的管理制度。以日本為例，其于1998年4月推動了“隱私標章”制度，并以1997年發布的保護準則為審查標準，凡依據準則內容妥善落實個人資料保護工作且通過審查的民間企業，即可于其轄下的實體店家、網站、職員名片及相關出版品上使用“隱私標章”。透過公正第三機構的審查，使得獲得“隱私標章”的企業，除象征具備維護用戶個人資料的適切能力外，亦可藉由參與“隱私標章”制度，獲取民眾對于企業的信賴。[8]如此，日本以其個資法為基礎，推動個人資料保護管理制度。不但對于顧客的個人資料得以進行安全的控管，以避免外泄及竊取，也能提升員工的個人資料保護意識，降低企業成本，進而提升企業整體獲益。建立強化企業落實個人資料保護的意愿。

我國的公共機構及電子商務企業應制定個人資料檔案安全維護計劃。方證明企業本身已盡到善良管理責任，即使發生個人資料外泄事件，亦可以主張依照當前的安全防護技術水平及落實內部個人資料管理維護而免責。企業被指控涉嫌個人資料外泄則必須負舉證責任，出具體證據來證明無故意或無過失責任，否則將面臨高額的賠償金與刑事責任。所謂“舉證之所在，敗訴之所在”，政府應透過輔助或輔導的方式協助企業建制個人資料安全防護體系，獎勵創新注重個人資料保護的企業。凡進行個人資料安全防護體系構建的企業，倘若政府可以透過輔導計劃，以有效輔導模式，采政策輔助加廠商自籌款比例方式，輔助企業進行個人資料安全防護體系的構建和升級，且透過輔導案，能有效掌握及追蹤輔助成效。

【參考文獻】

[1]劉德良.論個人信息的財產權保護[M].人民法院出版社，2008.

[2]齊愛民.拯救信息社會中的人格-個人信息保護法總論[M].北京大學出版社，2009：19-20.

[3]孫超.個人信息，誰來保護[J].今日中國，2010（10）.

[4]張千帆.憲法學[M].法律出版社，2004：161.

[5]Rober D.Cooter，Punitive Damages for Deterrence：When andHow much。40 Ala Law Review 1143 1148（1989）.

[6]《通信管理與技術》2012年2月第1期.

[7]李永寧.香港對商家濫用客戶信息說“不”[N].人民日報，2013-04-12（11）.

[8]淵邊善彥，五十嵐敦.個人情報管理ハンドブック[Z].2008：156-157.