我國個人信息權(quán)的立法保護

雷婉璐

【關(guān)鍵詞】利益沖突 ?信息自由 ?私權(quán)至上 ?以私權(quán)保護為中心

【中圖分類號】D90 ? ? ? ? ? ? ? ? ? ? ? ? 【文獻標識碼】A

【DOI】10.16619/j.cnki.rmltxsqy.2018.23.011

至今為止，我國學(xué)界對個人信息權(quán)的研究已有十幾年，形成了值得肯定的研究成果，但個人信息保護法律關(guān)系中的利益分析一直未能引起足夠的重視。十三屆全國人大常委會于2018年將個人信息保護法的制定提上了立法日程。其中，個人信息保護的立法理念和價值取向問題值得研究。這個問題總體表現(xiàn)為信息自由利益與私權(quán)保護利益的沖突，這既是個人信息保護法律關(guān)系中的基本矛盾，也是個人信息保護法的立法困境。對此，世界各國依據(jù)不同的衡量原則和價值取向選擇了不同的方案，主要形成了以美國為代表的信息自由模式和以歐盟為代表的私權(quán)至上模式。有鑒于此，本文采用比較研究的方法，對美國與歐盟有關(guān)個人信息保護的最新進展進行比較分析。在此基礎(chǔ)上，結(jié)合我國現(xiàn)有的法律體系、立法傳統(tǒng)和司法環(huán)境，提出我國應(yīng)當(dāng)如何處理個人信息保護與開發(fā)利用這對基本矛盾的基本構(gòu)想，為個人信息保護法立法中的某些問題提供可能的解決方案。

信息自由模式

在信息自由和私權(quán)保護的利益衡量上，美國傾向于前者，從而形成了個人信息保護的信息自由模式。美國國會在進行有關(guān)個人信息保護立法時，首先考慮立法是否會產(chǎn)生阻礙信息自由流通或扼殺新興產(chǎn)業(yè)創(chuàng)新和經(jīng)濟發(fā)展的風(fēng)險，傾向于保護信息自由帶來的利益。這種傾向體現(xiàn)在公共部門和私營部門兩個方面。

美國的立法實踐。美國在公共部門中有關(guān)個人信息保護的綜合性法案主要是1966年的《信息自由法案》（Freedom of Information Act）和1974年的《隱私法案》（Privacy Act）。《信息自由法案》規(guī)定了在聯(lián)邦層面，除商業(yè)秘密和一些明顯侵犯個人隱私的政府記錄之外，任何人均可獲得包含個人信息的公共記錄。[1]州層面對個人信息的保護則更為薄弱，有的如聯(lián)邦法一樣只對明顯侵犯隱私的記錄提供保護，有的根本沒有提供隱私保護的條款。[2]這反映了美國在開放政府上的傳統(tǒng)觀念，將信息公開視作民主社會的重要標志，對信息自由流通的價值給予肯定。與《信息自由法案》相伴而生的《隱私法案》雖然是為了規(guī)范聯(lián)邦政府機構(gòu)收集、處理、利用個人信息的行為，但存在很大的局限性。首先，它只適用于聯(lián)邦機構(gòu)。其次，《隱私法案》中例外條款的廣泛使用極大地削弱了其在限制聯(lián)邦政府披露個人信息方面的義務(wù)，因而未能為個人信息保護提供有效的作為。如聯(lián)邦政府機構(gòu)向人口統(tǒng)計局等各種聯(lián)邦政府機關(guān)進行信息披露均屬無須信息主體同意的例外情況。[3]再如聯(lián)邦機構(gòu)通過引用“例行使用（Routine Use）”條款幾乎證成了任何不經(jīng)個人同意而披露信息的行為的合法性。[4]可見，美國在公共領(lǐng)域并沒有為個人提供私權(quán)上的有力保護，以對抗公權(quán)力，而是更為重視公共記錄這種信息類型的自由流通。

在私營部門，美國采用根據(jù)不同領(lǐng)域特別立法的“分散立法”模式。這種模式的保護范圍比較狹窄，不利于企業(yè)建立其對個人信息保護的責(zé)任意識。同時，美國的公司和行業(yè)群體強烈支持通過行業(yè)自律來保護個人信息，形成了自我規(guī)制的主導(dǎo)模式。但是，“自我規(guī)制”經(jīng)常導(dǎo)致消費者無法控制其個人信息而被企業(yè)濫用，且企業(yè)逐利性的不斷膨脹會不斷擠壓個人信息的安全空間”。同時，美國在個人信息保護方面沒有統(tǒng)一的監(jiān)管與執(zhí)法機構(gòu)。美國最有影響力的執(zhí)法機構(gòu)是聯(lián)邦貿(mào)易委員會（FTC），但它在性質(zhì)上并不是保護個人數(shù)據(jù)的專門機構(gòu)，因而只能在企業(yè)違反了《聯(lián)邦貿(mào)易委員會法》第五條構(gòu)成不正當(dāng)或欺騙性行為時才能有所作為，故在個人信息的保護上能做的十分有限。最后，除了一些敏感信息之外，美國采用“選出制度”——只要消費者沒有作出相反的意思表示即視為同意。如一般來說，美國企業(yè)在反垃圾郵件法的調(diào)整下被允許向任何人發(fā)送商業(yè)郵件，只要接收者沒有選擇不接受該公司的類似郵件。[5]“美國選擇的選出制度雖然對信息主體不利，因為它采取的做法給信息主體科以嚴格的作為義務(wù)，但是此制度對信息的自由流動和有效利用有利。”[6]

美國信息自由模式的成因分析。信息自由模式的優(yōu)勢在于極大地促進了科技創(chuàng)新和經(jīng)濟發(fā)展，這種模式的形成主要有兩個原因。第一，美國以隱私權(quán)作為個人信息保護的權(quán)利基礎(chǔ)，個人信息值得保護的原因在于其包含的隱私價值。因此，美國只為涉及隱私內(nèi)容的個人信息提供較為嚴厲的保護，對于一般信息則側(cè)重于自由流通。第二，美國的憲法結(jié)構(gòu)強調(diào)不受干涉的消極自由，隱私保護的重要性在于免受政府的侵害。美國政府傾向于充當(dāng)守夜人的角色，尤其對經(jīng)濟市場，更多地依靠市場這只看不見的手自身調(diào)節(jié)。因此，企業(yè)很大程度上依靠自我規(guī)制，政府只針對特定行業(yè)進行必要監(jiān)管，為個人信息的自由流通留下了很大的空間。

私權(quán)至上模式

歐盟有關(guān)個人信息保護的最新進展體現(xiàn)在2018年5月生效的《歐盟條例》。該條例以保護信息主體的信息權(quán)為主線，表現(xiàn)為典型的“私權(quán)至上”模式，這意味著歐盟在信息自由流通和私權(quán)保護二者的價值衡量中，傾向于保護信息主體個人信息權(quán)所蘊含的價值。

歐盟個人信息保護的立法實踐。相比美國的分散式立法，《歐盟條例》適用于各行各業(yè)涉及的個人數(shù)據(jù)的收集、使用與處理，為個人信息權(quán)提供相對明確、統(tǒng)一且系統(tǒng)的保護。同時，歐盟要求各成員國建立統(tǒng)一、獨立、權(quán)威的數(shù)據(jù)監(jiān)管機構(gòu)。[7]這體現(xiàn)了歐盟堅決捍衛(wèi)個人信息權(quán)的明確態(tài)度，將個人信息權(quán)的保護從文本落到實處。同時，歐盟十分重視信息主體對其個人信息的控制權(quán)。《歐盟條例》第七條第1款明確指出：“處理以同意為基礎(chǔ)，數(shù)據(jù)控制者應(yīng)當(dāng)能夠證明數(shù)據(jù)主體已經(jīng)同意處理他/她的個人數(shù)據(jù)。”“同意”必須是在自由知情的前提下作出的明確清晰的意思表示[8]，且賦予數(shù)據(jù)主體撤回權(quán)[9]，并將“同意”的證明責(zé)任施加給數(shù)據(jù)控制主體。這也意味著在個人信息的二次使用上，歐盟傾向于“選入制度”，即只有信息主體明確同意，信息處理者才可以進行相應(yīng)的信息行為。這對數(shù)據(jù)控制主體提出了更高的要求，也為數(shù)據(jù)主體提供了更有力的保護。另外，《歐盟條例》第三章賦予數(shù)據(jù)主體數(shù)據(jù)更改權(quán)、被遺忘權(quán)、限制處理權(quán)、數(shù)據(jù)可攜帶權(quán)及拒絕權(quán)，為數(shù)據(jù)主體提供完整的權(quán)利保護;第四章和第八章通過向數(shù)據(jù)控制者、處理者施加嚴格的義務(wù)和責(zé)任為數(shù)據(jù)主體提供有效的救濟。

歐盟私權(quán)至上模式的成因分析。美國偏重于保障信息自由，歐洲則注重保護個人權(quán)利。這種傾向基于以下三方面原因。第一，歐盟將個人信息權(quán)看作一項基本人權(quán)，個人數(shù)據(jù)保護的重要性在于對基本人權(quán)的保護，對人格尊嚴的尊重。因此，歐盟積極展開立法，主動承擔(dān)保護公民個人信息的責(zé)任。第二，在美國，有關(guān)隱私的大部分論述主要集中在作為個體的個人利益之上，如“個性、自治、尊嚴、情感釋放、自我評價以及人與人之間的戀愛關(guān)系、朋友關(guān)系和信任。也就是完成自我實現(xiàn)的個人目標”[10]。相反，歐洲國家則將隱私看作一種更廣泛的社會需求。如法國在其立法目的的表述中說道：“信息技術(shù)應(yīng)當(dāng)為每個公民服務(wù)，它的發(fā)展應(yīng)當(dāng)在國際合作的背景下進行。不得侵犯人的身份、人權(quán)、隱私或個人和公共自由。”[11]這種價值不僅關(guān)乎個人，而且關(guān)乎全社會。因此，歐盟從人權(quán)保障角度出發(fā)，將對個人數(shù)據(jù)的保護看作對民主社會的維護。第三，在美國和歐洲社會，人們對權(quán)利可能受到侵犯的感知度不同，這源于它們不同的經(jīng)歷。美國社會（至少是大部分白人社會）缺少歐洲社會經(jīng)歷過的極權(quán)主義壓迫經(jīng)驗所帶來的精神創(chuàng)傷，這些創(chuàng)傷給歐洲的立法政策施加了特殊的壓力和擔(dān)憂。[12]這讓歐洲國家在針對可能侵犯公民權(quán)利的立法上尤為謹慎。

我國個人信息立法保護的應(yīng)然路徑

在個人信息保護法的框架搭建上，我國應(yīng)當(dāng)合理借鑒歐盟的相關(guān)經(jīng)驗，堅持以私權(quán)保護為中心的立法原則，充分保護信息主體的信息控制權(quán)，加強信息利用主體的責(zé)任。

以私權(quán)保護為中心的立法原則。堅持以私權(quán)保護為中心的立法原則是因為以下幾點。首先，個人信息權(quán)所保護的利益屬于人格利益，而人格利益具有價值位階上的普遍優(yōu)先性。因此，人格利益應(yīng)當(dāng)置于優(yōu)先保護的地位。其次，近年來，信息泄露事件不勝枚舉，造成了十分嚴重的后果，這種現(xiàn)象如果不加以嚴厲制止，公民的人格利益、財產(chǎn)利益乃至公共利益都將會遭受更為嚴重的損害。最后，從國際貿(mào)易角度來看，無論信息業(yè)者身在何處，只要涉及對歐盟內(nèi)數(shù)據(jù)主體數(shù)據(jù)的處理，就要受到《歐盟條例》的約束。我國個人信息權(quán)保護的標準如果明顯低于《歐盟條例》的要求，將嚴重影響我國與歐盟國家之間進行的信息流通，從而影響到我國與歐盟國家間的貿(mào)易往來。

我國個人信息保護的具體措施。結(jié)合上述美歐沖突的經(jīng)驗，我國應(yīng)當(dāng)從“充分保護信息主體的信息控制權(quán)”和“加強信息利用主體責(zé)任”兩個方面貫徹以私權(quán)保護為中心的立法原則。

第一，充分保護信息主體的信息控制權(quán)。我國的個人信息保護法應(yīng)當(dāng)保障信息主體對其信息的控制權(quán)。首先，限定“同意”的實質(zhì)性構(gòu)成要件，即同意應(yīng)當(dāng)是信息主體在知情的前提下，基于自由意志作出的清楚明確的意思表示。其次，賦予信息主體與信息控制權(quán)相關(guān)的一系列權(quán)利，包括信息保密權(quán)、信息查詢權(quán)、信息更正權(quán)、信息封鎖權(quán)、被遺忘權(quán)和報酬請求權(quán)等。最后，保障信息主體能夠獲得救濟和補償，這是信息主體能夠切實享有信息權(quán)利的程序性保障。

第二，加強信息利用主體的責(zé)任。責(zé)任以法定義務(wù)為前提，個人信息保護法應(yīng)當(dāng)明確信息利用者應(yīng)當(dāng)承擔(dān)的法定義務(wù)。首先，通知義務(wù)。數(shù)據(jù)處理主體應(yīng)當(dāng)切實保證信息主體充分知曉其信息何時被處理，由誰處理以及如何處理。更為重要的是，法律應(yīng)當(dāng)就通知的形式作出規(guī)定，如通知應(yīng)當(dāng)以盡量明顯的方式作出，不應(yīng)隱藏在信息主體不易察覺到的地方;是否通知及獲得信息主體同意的證明責(zé)任應(yīng)當(dāng)施加給信息利用主體。其次，保密義務(wù)。信息利用者應(yīng)當(dāng)積極采用特定的信息保密技術(shù)履行保密義務(wù)，如P3P技術(shù)。再次，證明責(zé)任。應(yīng)當(dāng)在個人信息侵權(quán)案件中采用舉證責(zé)任倒置的證明原則，由信息利用主體承擔(dān)證明責(zé)任。這是因為信息泄露的主體通常為信息利用主體，信息主體本身難以獲知信息泄露的時間、方式和渠道，從而很難承擔(dān)個人信息被侵犯的證明責(zé)任。最后，應(yīng)當(dāng)明確信息利用主體違約責(zé)任或侵權(quán)責(zé)任的構(gòu)成要件和承擔(dān)方式，為信息主體提供切實的法律救濟。

（本文系國家社科基金青年項目“國家治理體系中的邊疆司法治理研究”的階段性成果，項目編號：17CFX003）

注釋

[1]5 U.S.C.§552（b）（4）（6）.

[2][4]See Paul M. S.， "Privacy and Participation： Personal Information and Public Sector Regulation in the United States"， Iowa Law Review， 1994， p. 605， p. 586.

[3]5 U.S.C.§552a（b） （4）-（12）.

[5]See Alan C.R.， The Privacy，Data Protection and Cybersecurity Law Review. Law Business Research Ltd.， 2014， p. 276.

[6]齊愛民：《個人信息開發(fā)利用與人格權(quán)保護之衡平——論我國個人信息保護法的宗旨》，《社會科學(xué)家》，2007年第2期，第9頁。

[7]General Data Protection Regulation， Art.51.1 & 52.1.

[8]General Data Protection Regulation， Art.4.11.

[9]General Data Protection Regulation， Art.4.3.

[10][11]See Lee A.B.， "Privacy and Data Protection in an International Perspective"， Scandinavian Studies in Law， 2010， p. 171， p. 173.

[12]James B. R.and Graham G.， Global Privacy Protection， p. 16.

責(zé) 編∕刁 娜