德國個人信息保護立法的特色及對中國的啟示

人類社會已經邁入信息化時代，個人信息處理和流動已經成為普遍的現象。個人信息的合理利用在便利人們生活、推動經濟社會發展的同時，個人信息濫用也到了無以復加的地步，并衍生為嚴重的社會問題。在我國，近年來濫用個人信息、非法提供、出售公民個人信息的案件日益多發，比較典型的有：2008年深圳孕產婦個人信息泄露案，2010年中國移動、中國聯通員工涉嫌非法提供、出售公民個人信息案等[1]。個人信息濫用的嚴峻現實不得不引起我們對我國個人信息保護現狀的深刻反思和檢討。他山之石，可以攻玉。德國在個人信息保護方面已經積累了較為成熟的經驗，通過對德國個人信息保護立法模式的介紹和研究，可以為我國個人信息保護立法提供有益借鑒。

一、我國濫用個人信息的表現形式及立法保護現狀

在我國，濫用從合法或非法途徑獲得的個人信息的表現形式多樣，危害嚴重。（1）個人信息買賣交易。將手頭掌握的個人信息拿來買賣交易而牟取非法利益，由此形成買賣個人信息的“地下產業”。（2）對采集到的個人數據進行未經許可的二次開發利用，為細分市場、制定營銷戰略提供依據，進而實施對重點人群或重點客戶的定向強制推銷，嚴重侵犯個人安寧生活的權利。（3）擅自公開、傳播、散布個人信息，實施造謠中傷、添加不實的損害性評論等侵權行為以及誹謗、侮辱他人人格的犯罪行為。（4）盜用他人個人信息實施詐騙等違法犯罪活動，造成個人信息主體財產損失，危及個人信息主體生命安全。（5）境外勢力通過對特定人群個人信息的非法采集，以此刺探科技情報和經濟情報，嚴重威脅我國國防安全和經濟安全。

我國目前沒有專門的個人信息保護法，涉及隱私的個人信息主要以人格權、隱私權等形式來加以保護。相關規定散見于憲法、民事法律及司法解釋、刑事法律、訴訟法律、行政法律法規或規章之中。具體包括：憲法、民法通則和侵權責任法對公民一般人格權和隱私權保護的規定；刑法對誣告陷害、侮辱誹謗他人犯罪，非法搜查和非法侵入犯罪，侵犯公民通信自由權利犯罪，出售、非法提供、非法獲取公民個人信息犯罪的規定；民事訴訟法、刑事訴訟法、行政訴訟法和預防未成年人犯罪法就涉及個人隱私案件的不公開審理作出了規定；律師法和公證法就保守當事人個人隱私作出了規定；未成年人保護法、婦女權益保障法和消費者權益保護法分別就未成年人個人隱私、婦女人格權和消費者人格權保護作出了規定；居民身份證法、護照法、統計法、社會保險法、商業銀行法、反洗錢法、勞動爭議調解仲裁法、傳染病防治法、執業醫師法、郵政法等法律就個人信息保密和個人隱私保護分別作出了規定；中華人民共和國電信條例、全國人民代表大會常務委員會關于維護互聯網安全的決定、計算機信息網絡國際聯網管理暫行規定實施辦法、互聯網信息服務管理辦法、互聯網安全保護技術措施規定、計算機信息網絡國際聯網安全保護管理辦法、互聯網電子公告服務管理規定、互聯網電子郵件服務管理辦法、個人信用信息基礎數據庫管理暫行辦法等法規、規章對個人信息保護事項作出了規定。

綜觀我國個人信息保護立法現狀，不足之處在于：（1）我國涉及個人信息保護的法律法規數量龐雜，相互之間缺乏系統性和協調性，相關制度不夠健全、監督和救濟機制不盡完善，個人信息主體的權利難以得到全面有效的保護。（2）缺乏一部專門的規范個人信息保護的龍頭法律——個人信息保護法，個人信息的定義、個人信息的范圍、個人信息保護原則、個人信息保護執法主體、個人信息主體和個人信息采集管理主體的權利義務、法律責任及救濟等不甚明確或不夠完善，不利于對濫用個人信息違法犯罪行為的打擊制裁和對個人信息主體合法權益的保護。（3）我國憲法和法律中關于個人信息的保護規定，主要是從保護一般人格權和隱私權的角度進行規范，并未涵括一般人格權和隱私權之外的大量個人信息。刑法修正案（七）雖然新增了“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”，但是兩罪規定的犯罪主體范圍過窄，不能涵蓋所有出售或者非法提供公民個人信息的主體。另外，構成該罪必須達到“情節嚴重”的標準不具有可操作性。（4）我國民法、刑法和侵權責任法等法律關于涉及個人信息保護的規定大部分屬于事后救濟規范，無法實現對個人信息采集、保管和利用等環節的全流程監管；有關涉及個人信息保護的行政法律和行政法規多數也是原則性規定，缺乏操作性；我國業已出臺的與利用互聯網有關的個人信息保護行政法規和規章效力層級較低，執行起來難度很大，難以有效遏制利用網絡濫用個人信息的違法行為。

二、德國個人信息保護立法概況及特點

德國黑森州于1970年頒布了世界第一部個人信息保護立法——資料保護法。德國國會于1970 年起著手制定聯邦資料保護法草案，經過長達6 年的反復討論與修改，聯邦個人資料保護法最后于1976 年全文通過，1977 年生效。該法的正式名稱是防止個人資料處理濫用法（人們習慣稱其為聯邦資料保護法），共有6章47個條文，分為總則、公務機關的資料處理、非公務機關為自己目的的資料處理、非公務機關為他人目的的營業性資料處理、罰則、過渡與例外條款[2]。該法生效后，歷經1980年、1990年和2001年三次修正。在此期間，在德國發生了著名的“人口普查法案”憲法訴訟[3]，該案的判決由于確立了公民的“信息自決權”而成為德國個人信息保護發展史上具有里程碑意義的事件，憲法判決關于信息自決權的規定，奠定了個人資料保護的憲法基礎。受聯邦憲法法院1983 年判決的影響，德國對個人資料保護法進行了再一次修訂并于1990年12月完成修正并公布，修正后條文減為5章44條，內容更為充實，理念得到了很大程度的更新。這次修正將國家安全機關對個人資料的收集與處理納入了個人資料保護法[4]。根據歐盟資料保護指令的要求，德國議會對1990 年聯邦資料保護法進行了修訂并于2001 年5 月23 日通過了修改后的聯邦資料保護法。相較于1990 年聯邦資料保護法，2001年聯邦資料保護法擴大了個人信息保護法的適用范圍，首次將非公有領域的、非商業性的信息行為納入調整范圍。適用范圍的擴大還表現在加強規范力度方面，具體而言是指將禁止收集原則、直接收集原則、目的特定原則的適用范圍從國家機關擴大到了非國家機關。州層面的地方立法和針對具體行業個人信息保護問題進行的專門立法也是德國個人信息保護法律的組成部分。美國“9·11 事件”之后，德國以反恐為名擴大了國家機關收集或處理個人信息的權限，相關規定主要體現在打擊恐怖主義法（2002 年）、打擊恐怖主義補充法（2007年）、電信監視法（2007 年）等法律之中[5] 。

德國聯邦個人資料保護法是大陸法系國家最有代表性的一部個人資料保護專法，它采取統一立法模式，以信息自決權為憲法基礎、一般人格權為民法基礎，對個人信息給予保護[6]。在立法體例上，德國聯邦資料保護法采取的是“總分總”的格局，對公、私領域的信息行為均加以規范。但從立法進程來看，德國對公、私領域信息行為的態度，經過了“差別巨大——差異縮小——差距重新擴大”的過程，德國個人信息保護法的發展，是典型的“螺旋式上升，波浪式前進”，在否定之否定中不斷完善，以適應現實需要的過程[7]。綜觀世界各國（地區）對個人信息保護立法的現狀，主要有統一立法、分散立法和統分結合立法三種立法模式。統一立法模式是指通過一部統一的法律來規范公共機構或私營部門對個人信息的處理行為。德國是對個人信息保護采取統一立法模式的典型國家，從全球來看，統一立法模式是發展趨勢，世界上多數國家都采用了統一立法模式。統一立法模式對公共部門和非公共部門采取同一標準，有利于保證法律適用的統一性。

三、德國個人信息保護立法對我國的啟示

我國當前正處于社會轉型加速和信息化深入發展的歷史階段，社會矛盾凸顯、恐怖主義時有威脅，治安管理、社會管理和社會建設任務繁重，公共部門采集個人信息已是常態化的日常工作，非公共部門和個人處理個人信息的現象也非常普遍。我國目前分散的以保護隱私權等一般人格權的法律規定難以有效預防和打擊濫用個人信息的違法犯罪行為，濫用個人信息已經成為嚴重的社會問題。因此，我國應當立足自己國情與法律傳統，充分吸收、借鑒德國的立法經驗，采取對公共部門和非公共部門的個人信息處理行為進行統一立法的模式。在此基礎上，對涉及個人信息保護的其他法律法規作出適當修改完善，實現個人信息保護基本法律與其他法律法規的有機協調。

（一）借鑒統一立法模式出臺個人信息保護法

為了規范各種個人信息處理行為、強化對個人信息的全面保護，我國迫切需要出臺一部保護個人信息的基本法律——個人信息保護法。在立法模式和和立法體例上，可以借鑒德國的立法經驗，采取公共部門和非公共部門統一立法的模式。在立法體例上，采用“總分總”的篇章結構： 即首先界定適用范圍、術語含義和基本原則，該部分內容對公、私領域同樣適用。繼而分章規定國家機關和非國家機關在個人信息收集、存儲、處理和利用方面的要求，最后再統一規定法律責任機制[8]。主要內容包括：（1）個人信息的定義與范圍。對個人信息可作如下定義：個人信息是指可識別的與自然人有關的任何信息，包括但不限于姓名、出生年月以及其他內容而可以識別出特定個人的部分，包括自動或者非自動方式處理的各種個人信息。這種概括列舉式的規定具有一定的開放性，好處在于可以將隨著科技發展而增加的個人信息類型納入全面保護的范圍。個人信息主體應當包括生存著的和已死亡的自然人。之所以將已死亡的自然人的個人信息也納入保護范圍，原因在于如果承認個人信息之上存在人格利益，就應當對已死亡的自然人的個人信息實行一體保護，尤其是涉及已死亡的自然人的隱私等個人信息時更應如此，對此我國司法解釋已對死者的隱私等人格利益保護作出了明確規定。（2）關于個人資料保護的原則。可以參照經濟合作與發展組織（OECD）、歐盟和德國的做法，確立我國個人信息保護的原則，這些原則包括：①直接原則。應該直接向個人信息主體本人收集個人信息。②目的明確和限制利用原則。收集個人信息的目的應該在收集之前列明，并且隨后的使用應限于實現這些目的。③信息品質原則。個人信息處理應做到公正、合法的收集和處理；基于特定、明確、合法的目的收集、處理信息；個人信息的收集和處理必須充分，不能過度、不能超越目的范圍；必須完整、準確，并保持信息最新狀態；以可識別的信息主體允許的形式保存。④禁止收集原則及其例外。除非法律另有規定，否則禁止收集、處理個人信息。但以下情形除外：國家機關為履行公共職責需要可以不經個人信息主體同意直接收集處理個人信息；非國家機關在征得個人信息主體同意并聲明使用目的的前提下可以收集處理個人信息。因對國家機關公職人員履職情況監督需要，新聞媒體和公民個人無須征得個人信息主體的同意可以收集處理個人信息，但必須遵守法律法規的規定。禁止收集處理涉及種族、政治、宗教信仰、健康狀況、性生活和性取向等個人信息。⑤查詢和更正原則。個人信息主體有權查詢本人信息，有權更正不正確的個人信息。第三方查詢公共記錄中的個人信息必須嚴格遵循程序和目的限制的規定。⑥安全保護原則。個人信息應該受到合理的安全保護，以免發生諸如丟失或未經授權的獲取、破壞、使用、修改或披露。（3）權利和義務。依據個人信息保護的基本原則，國家機關為履行公共職責需要有權收集處理公民個人信息。公共部門和非公共部門對收集處理的個人信息負有保密義務、更正義務等。個人信息主體享有“個人信息自決權”，包括決定權、保密權、知情權、更正權、禁止權、報酬請求權和救濟權。（4）個人信息保護機構。國家應當設置統一的個人信息保護委員會，負責個人信息保護法律執行情況的監督，受理與個人資料保護有關的申訴，為個人信息主體提供救濟，對個人信息保護行業自律進行指導監督。（5）法律責任。對侵害他人信息的行為，根據情節輕重分別規定民事責任、行政責任或刑事責任。

（二）個人信息保護法與其他相關法律的有機協調

我國將來出臺個人信息保護法還要注意和已有的關于保護個人信息的法律規定保持協調，完善和構建個人信息的事前預防、事中規范、事后救濟的保護體系。在個人信息保護法對濫用個人信息行為規定民事責任、行政責任和刑事責任的基礎上，必須適時修訂已有民事法律、行政法律和刑事法律中關于個人信息保護的規定，實現法律之間的有機銜接。（1）與民法、合同法、侵權法等民事法律的協調。例如，對于非公共部門在商務活動中濫用個人信息的行為，個人信息主體可以依據合同法上的附隨義務追究違約責任，或者根據侵權法追究侵權責任。故意或過失泄露個人信息的管理者和具體實施侵權行為的侵權人應當承擔連帶責任。對于濫用個人信息的侵權行為，個人信息主體有權請求侵權人承擔侵權責任，造成嚴重精神損害的，有權請求精神損害賠償。（2）與行政法律的協調。對于公共部門在履行職責過程中處理個人信息的不當或違法行為，造成嚴重后果的，應當依法對直接負責的主管人員和其他直接責任人員給予行政處分。侵犯他人個人信息自主權并且情節嚴重的，可以采取罰款等行政處罰措施予以制裁。（3）與刑事法律的協調。修訂刑法修正案（七）關于“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”的規定，將兩罪犯罪主體的范圍拓寬至任何處理個人信息的人員；對刑法修正案（七）關于“情節嚴重”的規定作進一步細化，使之更具操作性；增設“非法披露公民個人信息罪”，未經個人信息主體同意，非法披露或非法公開個人信息，造成嚴重后果的，應當追究刑事責任。

注釋：

[1]參見網易新聞中心：《深圳10萬孕產婦信息遭泄密，泄密光盤1.2萬張》， http：//gd.news.163.com/08/0610/09/4E2KJFRO0036008A.html；中國質量新聞網：《首例電信企業員工泄露公民個人信息案近日宣判》，http：//www.cqn.com.cn/news/wqpd/wqxw/369820.html，2012年9月25日訪問。

[2][4]齊愛民主編：《個人資料保護法原理及其跨國流通法律問題研究》，武漢大學出版社2004年版，第68、69～70頁。

[3]參見羅明通等：《電腦法》（下），臺灣群彥圖書股份有限公司1994年版，第506頁。

[5][7][8]蔣舸：《個人信息保護法立法模式的選擇——以德國經驗為視角》，載《法律科學》2011年第2期。

[6]齊愛民：《拯救信息社會中的人格——個人信息保護法總論》，北京大學出版社2009年版，第48頁。

（作者系復旦大學法學院博士研究生、甘肅省社會科學院副研究員）