域外個(gè)人信息保護(hù)立法模式與規(guī)制范圍之反思

翟 帥

（鄭州航空工業(yè)管理學(xué)院法學(xué)院 鄭州 450046）（onlyzhaishuai＠163．com）

1 問(wèn)題的提出

在信息社會(huì)，個(gè)人信息是重要的社會(huì)基礎(chǔ)資源．信息采集和信息交換的基礎(chǔ)在于它們能夠優(yōu)化決策［1］．商業(yè)組織通過(guò)消費(fèi)信息的比對(duì)分析，擬定恰當(dāng)之經(jīng)營(yíng)策略，利于創(chuàng)造巨額的商業(yè)利潤(rùn)；政府機(jī)構(gòu)透過(guò)居民信息的采集甄別，制定科學(xué)的法律政策；個(gè)體交往基于準(zhǔn)確的個(gè)人信息，能夠節(jié)約交易成本，降低“信息鴻溝”帶來(lái)的風(fēng)險(xiǎn)；公益性組織如醫(yī)院、研究機(jī)構(gòu)通過(guò)對(duì)眾多個(gè)體信息的追蹤分析、對(duì)比研究可以有效尋求解決生理及社會(huì)問(wèn)題之方案．信息乃支撐政治、經(jīng)濟(jì)及社會(huì)決策的重要命脈［2］．個(gè)人信息所蘊(yùn)含的巨大商業(yè)價(jià)值、管理價(jià)值、交往價(jià)值以及研究?jī)r(jià)值，促使個(gè)人信息成為各類(lèi)社會(huì)主體競(jìng)相爭(zhēng)奪的對(duì)象．

通信手段與網(wǎng)絡(luò)技術(shù)的快速發(fā)展推動(dòng)了個(gè)人信息的透明化，便利了獲取與利用個(gè)人信息的同時(shí)亦催生了侵犯?jìng)€(gè)人信息的可能．由于信息傳播方式的革命性變化，傳統(tǒng)媒體所具有的自凈與過(guò)濾功能被解構(gòu)［3］．在不同目的的驅(qū)動(dòng)下，過(guò)度收集、不當(dāng)存儲(chǔ)、擅自披露、惡意濫用、非法交易等行為造成信息主體人身與財(cái)產(chǎn)的損害，加之對(duì)互聯(lián)網(wǎng)系統(tǒng)安全措施的不信任產(chǎn)生顧慮，使信息化社會(huì)信息共享與自由流動(dòng)的制度建設(shè)中個(gè)人信息保護(hù)成為亟需解決的課題．沒(méi)有個(gè)人信息的保護(hù)，公民在信息社會(huì)的思想與行動(dòng)自由就無(wú)法保障［4］．信息是信息時(shí)代的中心問(wèn)題，應(yīng)該被納入法學(xué)理論的研究視野［5］．當(dāng)前我國(guó)對(duì)于信息保護(hù)已有了實(shí)定法基礎(chǔ)，但立法散見(jiàn)于眾多法律法規(guī)及規(guī)章條例，行業(yè)分割嚴(yán)重，欠缺體系性與整體性，如《憲法》《未成年人保護(hù)法》《婦女權(quán)益保護(hù)法》《消費(fèi)者權(quán)益保護(hù)法》《電信條例》《互聯(lián)網(wǎng)信息服務(wù)管理辦法》《居民身份證法》《傳染病防治法》《郵電法》等均有規(guī)定．尤其對(duì)于個(gè)人信息保護(hù)的立法模式以及規(guī)制范圍等基礎(chǔ)性內(nèi)容尚未取得統(tǒng)一認(rèn)識(shí)，無(wú)法有效提煉回應(yīng)當(dāng)下嚴(yán)峻的司法實(shí)務(wù)困境的操作性措施，難以保障個(gè)人信息安全，更罔論推進(jìn)信息共享的有序發(fā)展．個(gè)人信息保護(hù)法立法涉及各個(gè)不同利益集團(tuán)間復(fù)雜的關(guān)系，在制定過(guò)程中較難取得一致性意見(jiàn)．在立法模式、使用范圍、行為方式、執(zhí)行機(jī)構(gòu)、特定行業(yè)信息、跨境信息流通以及與其他部門(mén)法關(guān)系等諸多方面存在較大爭(zhēng)議，導(dǎo)致個(gè)人信息保護(hù)呈現(xiàn)出“碎片化”現(xiàn)象．自2003年國(guó)務(wù)院委托相關(guān)專(zhuān)家起草《個(gè)人信息保護(hù)法》啟動(dòng)立法程序，至今已過(guò)去10余年，期間我國(guó)經(jīng)濟(jì)社會(huì)環(huán)境，尤其是網(wǎng)絡(luò)科技與電子商務(wù)發(fā)展，對(duì)個(gè)人信息的使用與侵害出現(xiàn)了新的類(lèi)型，當(dāng)務(wù)之急在于理論上深入討論和及時(shí)因應(yīng)客觀情勢(shì)提取立法規(guī)范的素材，而非形式上的法律，否則將徒增尷尬，欲速不達(dá)．同時(shí)，依托信息科技的電子商務(wù)推動(dòng)了經(jīng)營(yíng)全球化，利用與傳遞個(gè)人信息逐步邁出一國(guó)之藩籬，對(duì)于法律調(diào)整速度尚未與科技進(jìn)步同步的我國(guó)，為避免個(gè)人信息保護(hù)標(biāo)準(zhǔn)與國(guó)際組織、發(fā)達(dá)國(guó)家產(chǎn)生的失衡而引發(fā)的標(biāo)準(zhǔn)戰(zhàn)爭(zhēng)（standards war），借鑒與總結(jié)域外個(gè)人信息保護(hù)立法模式與規(guī)制范圍的經(jīng)驗(yàn)與教訓(xùn)，成為我國(guó)立法政策上的當(dāng)務(wù)之急．

2 域外個(gè)人信息保護(hù)之立法模式

信息，是指可供通信系統(tǒng)傳輸和處理的可以識(shí)別和獲取的對(duì)象．個(gè)人信息，意指源于個(gè)人生理或社會(huì)活動(dòng)生成的可供識(shí)別來(lái)源主體的任何符號(hào)，多與個(gè)人資料、個(gè)人數(shù)據(jù)、個(gè)體資訊等概念相混同適用．隨著信息儲(chǔ)存與處理技術(shù)的發(fā)展，信息利用過(guò)程產(chǎn)生的爭(zhēng)議日漸嚴(yán)峻，逐漸引起各國(guó)關(guān)注，設(shè)置各異的權(quán)利形態(tài)予以規(guī)制．整體看，個(gè)人信息權(quán)基于其特殊的客體、行權(quán)方式，與藉由傳統(tǒng)人格權(quán)、隱私權(quán)、信息自決權(quán)對(duì)個(gè)人信息進(jìn)行保護(hù)，從理論基礎(chǔ)與實(shí)施效果上看均屬間接保護(hù)，都存在不同的難以克服的缺陷．因此，當(dāng)今各國(guó)立法重點(diǎn)逐漸傾向直接對(duì)信息的保護(hù)，專(zhuān)門(mén)進(jìn)行冠以“個(gè)人信息保護(hù)”的立法．在歐洲，比較流行的觀點(diǎn)仍然是將個(gè)人信息作為一項(xiàng)獨(dú)立的權(quán)利對(duì)待［6］．和任何一個(gè)學(xué)科一樣，對(duì)法律及其性質(zhì)、體系、內(nèi)部結(jié)構(gòu)和具體規(guī)則可以從不同的角度加以理解和定義，因而存在不同的流派和爭(zhēng)論［7］．雖然多數(shù)發(fā)達(dá)國(guó)家與地區(qū)對(duì)個(gè)人信息進(jìn)行專(zhuān)門(mén)立法保護(hù)，蓋因法治傳統(tǒng)差異而采取不同之立法模式，大致有綜合立法模式、部門(mén)立法模式以及安全港立法模式．

綜合立法模式又稱(chēng)統(tǒng)一立法模式，是指對(duì)于所有國(guó)家機(jī)關(guān)和社會(huì)主體采集、存儲(chǔ)以及利用個(gè)人信息統(tǒng)一立法，對(duì)公法領(lǐng)域和私法領(lǐng)域個(gè)人資料保護(hù)統(tǒng)一規(guī)范，打破不同部門(mén)的分割現(xiàn)狀，其實(shí)質(zhì)是“政府管制為主、行業(yè)自律為輔”．1970年德國(guó)黑森州制定了世界第1部綜合性個(gè)人資料保護(hù)法．隨后，聯(lián)邦德國(guó)于1976年制定了《個(gè)人資料保護(hù)法》，全面系統(tǒng)地制定了個(gè)人信息保護(hù)規(guī)范，并在2003年為適應(yīng)歐盟個(gè)人信息保護(hù)立法改革的需要進(jìn)行了修正．1995年歐盟議會(huì)及歐盟理事會(huì)制定的《關(guān)于保護(hù)個(gè)人資料處理與自由流通指令》（EU Data Protection Directive），也采取了綜合的立法模式．《指令》的頒布為歐盟各國(guó)個(gè)人信息的保護(hù)提供了具體的思路和最低的標(biāo)準(zhǔn)，但立法模式及具體規(guī)則交由各國(guó)國(guó)內(nèi)法決定．同時(shí)，《指令》提出第三國(guó)隱私權(quán)保護(hù)只有達(dá)至歐盟委員會(huì)認(rèn)可的標(biāo)準(zhǔn)（An Adequate Level of Protection），方得從歐盟向其國(guó)內(nèi)進(jìn)行跨境個(gè)人信息的傳遞，立法政策的溢出效果（spillover effects）促使非歐盟國(guó)家提升本國(guó)個(gè)人信息保護(hù)的立法．OECD于1980年頒布《管理保護(hù)個(gè)人隱私及跨國(guó)界流通個(gè)人資料指導(dǎo)綱要》（OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data），亦以統(tǒng)一立法的思路列舉了隱私權(quán)保護(hù)的八大原則，指導(dǎo)各國(guó)立法實(shí)踐．1998年英國(guó)頒布《個(gè)人資料保護(hù)法》對(duì)個(gè)人信息的保護(hù)進(jìn)行綜合立法，該法可操作性較低，在適用上基本被特殊行業(yè)立法所“架空”．加拿大“Personal Information Protection and Electronic Documents Act”亦采取綜合立法模式．如1992年“Trade Union and Labour Relations Act”在勞動(dòng)領(lǐng)域的個(gè)人信息保護(hù)優(yōu)先適用．我國(guó)臺(tái)灣地區(qū)2004年頒布《個(gè)人資料保護(hù)法》，亦采取統(tǒng)一立法模式，分別在第16條和第19條規(guī)定了公務(wù)機(jī)關(guān)和非公務(wù)機(jī)關(guān)收集、利用和處理個(gè)人資料之規(guī)范．

部門(mén)立法模式又稱(chēng)分散立法，是指各個(gè)部門(mén)根據(jù)行業(yè)特質(zhì)或不同領(lǐng)域需求分別對(duì)個(gè)人信息保護(hù)立法，公法領(lǐng)域和私法領(lǐng)域分別立法加以調(diào)整，沒(méi)有關(guān)于個(gè)人信息保護(hù)的基本法．申言之，采取單項(xiàng)立法模式．美國(guó)1974年頒布“The Privacy Act of 1974”，美國(guó)將個(gè)人信息保護(hù)領(lǐng)域分為公共領(lǐng)域和私人領(lǐng)域．公共領(lǐng)域的立法主要是防止政府侵犯?jìng)€(gè)人隱私權(quán)的行為；私人領(lǐng)域的立法則是政府行為之外對(duì)信息隱私權(quán)的保護(hù)［8］．在公共領(lǐng)域，鑒于政府權(quán)力過(guò)大，侵害公民信息隱私更為隱蔽，因而以立法的方式規(guī)制政府收集、利用和處理個(gè)人信息，確認(rèn)政府收集個(gè)人信息的基本原則．在私人領(lǐng)域，對(duì)于個(gè)人信息的保護(hù)依賴市場(chǎng)自我調(diào)節(jié)，主要以行業(yè)自律的方式對(duì)個(gè)人信息進(jìn)行保護(hù)．2003年《日本行政機(jī)關(guān)個(gè)人資料保護(hù)法》亦僅規(guī)制行政機(jī)關(guān)利用個(gè)人信息，二者均不涉及私人領(lǐng)域．對(duì)于私法領(lǐng)域，以自主規(guī)范為原則，但對(duì)金融、醫(yī)療衛(wèi)生以及通信領(lǐng)域進(jìn)行單獨(dú)立法．亞太經(jīng)合組織2004年通過(guò)《隱私權(quán)保護(hù)框架》，主要對(duì)電子商務(wù)發(fā)展過(guò)程中收集、利用以及傳遞個(gè)人信息的基本原則加以宣示．

美國(guó)后期發(fā)現(xiàn)如果采取國(guó)家立法模式可能桎梏科技信息企業(yè)的發(fā)展，并抑制對(duì)信息的共享與使用，而完全采取自律模式又不能有力保護(hù)個(gè)人信息，因而逐漸過(guò)渡到安全港模式．安全港模式是指國(guó)家并不進(jìn)行個(gè)人信息保護(hù)立法，而是將此項(xiàng)任務(wù)交由行業(yè)組織進(jìn)行自律規(guī)范，再經(jīng)由相應(yīng)主管部門(mén)審查認(rèn)可后即具有法律效力，遵守自律規(guī)則即意味著遵守法律的立法模式，其實(shí)質(zhì)是“行業(yè)自律為主、政府管制為輔”．如《公平信用報(bào)告法》（Fair Credit Reporting Act）、《金融隱 私權(quán)法》（Right to Financial Privacy Act）、《錄像隱私保護(hù)法》（Video Privacy Protection Act）等數(shù)十個(gè)相關(guān)領(lǐng)域隱私保護(hù)法案相繼頒行．當(dāng)然，如果聯(lián)邦貿(mào)易委員會(huì)審查發(fā)現(xiàn)其所批準(zhǔn)的自律規(guī)范不足以保護(hù)個(gè)人信息隱私權(quán)，即可加以撤銷(xiāo)．

從相關(guān)文本內(nèi)容看，綜合立法模式對(duì)個(gè)人信息保護(hù)提出了較為全面明確的標(biāo)準(zhǔn)，雖然可以提供解決個(gè)人信息保護(hù)的操作性規(guī)范，但存在4個(gè)方面不足：一是過(guò)于依賴國(guó)家權(quán)力的介入，桎梏了社會(huì)行業(yè)組織的力量，社會(huì)治理的成本與效果并不能匹配．二是對(duì)于公法領(lǐng)域與私人領(lǐng)域統(tǒng)一立法，有時(shí)為了調(diào)和二者之間的體質(zhì)差異，不能不進(jìn)行柔性處理，跨領(lǐng)域規(guī)范過(guò)于原則．三是對(duì)于特殊行業(yè)適法性欠缺，某些行業(yè)基于自身的特殊性需要以特別規(guī)范進(jìn)行規(guī)制，綜合立法模式不得不進(jìn)行1次或多次授權(quán)立法．授權(quán)立法不能沒(méi)有標(biāo)準(zhǔn)和節(jié)制，被授予的權(quán)力不能再轉(zhuǎn)授，這是公認(rèn)的法律原則［9］．四是模糊了權(quán)利保護(hù)的界限，由于公法領(lǐng)域與私人領(lǐng)域共用1套規(guī)范，對(duì)于權(quán)利性質(zhì)的解讀造成一定迷惑，不利于理論探討．部門(mén)立法模式雖可以對(duì)政府利用公權(quán)力收集和處理個(gè)人信息加以控制，但在私人領(lǐng)域依賴市場(chǎng)自律調(diào)節(jié)，在企業(yè)占據(jù)市場(chǎng)支配地位的營(yíng)商環(huán)境下有利用自己優(yōu)勢(shì)地位收集和不當(dāng)利用個(gè)人信息的機(jī)會(huì)主義，而行業(yè)組織的自律又在主體性質(zhì)上決定了其無(wú)法有效約束企業(yè)行為，致使促進(jìn)信息流通與共享的初衷難以實(shí)現(xiàn)．我國(guó)目前的局面屬于分散立法模式，雖然可以避免統(tǒng)一立法的“一刀切”但也產(chǎn)生個(gè)人信息保護(hù)體系的錯(cuò)綜復(fù)雜，保護(hù)標(biāo)準(zhǔn)不一甚至沖突的后果．安全港立法模式既避免了國(guó)家立法的武斷，又兼顧了行業(yè)的特性，并以國(guó)家審查作為宏觀控制，可以對(duì)個(gè)人信息進(jìn)行雙重保護(hù)．因而，我國(guó)今后可以遵循安全港立法模式，加強(qiáng)規(guī)范政府收集和利用個(gè)人信息行為，同時(shí)針對(duì)個(gè)人信息保護(hù)較為迫切并發(fā)展比較成熟的行業(yè)，如新聞業(yè)、資料衛(wèi)生業(yè)、銀行金融業(yè)、郵電通信業(yè)以及互聯(lián)網(wǎng)行業(yè)進(jìn)行行業(yè)自律，由國(guó)家對(duì)其標(biāo)準(zhǔn)進(jìn)行審查．

3 域外個(gè)人信息保護(hù)之規(guī)制范圍

個(gè)人信息保護(hù)的前提是基于概念的科學(xué)界定，否則潛在的相關(guān)爭(zhēng)議勢(shì)必層出不窮，也會(huì)造成司法實(shí)踐的不順暢．為避免實(shí)用上的爭(zhēng)議，相關(guān)國(guó)家及組織在專(zhuān)門(mén)立法中均對(duì)個(gè)人信息（資料）進(jìn)行了定義，闡述個(gè)人信息之實(shí)質(zhì)內(nèi)涵與可能外延．整體看，關(guān)于個(gè)人信息（資料）之定義有列舉加概括式以及概括式2種立法例，同時(shí)在一般個(gè)人信息之上列舉了敏感信息，并設(shè)定了更為嚴(yán)格的收集與利用要件．

3．1 個(gè)人信息保護(hù)規(guī)制范圍之立法例

列舉加概括式的立法例，該種立法例通常將典型的個(gè)人信息進(jìn)行列舉，并在最后進(jìn)行兜底定義，避免列舉的不完備．但由于各國(guó)立法考量因素不同，對(duì)于列舉的典型個(gè)人信息不盡相同．日本《行政機(jī)關(guān)個(gè)人資料保護(hù)法》第2條第2款規(guī)定個(gè)人資料系關(guān)于生存?zhèn)€人的信息，包含姓名及出生年月日及其他根據(jù)記錄能識(shí)別的個(gè)人信息［10］．我國(guó)臺(tái)灣地區(qū)采取列舉加概括式立法例，《個(gè)人資料保護(hù)法》第2條第1款規(guī)定：即個(gè)人資料指自然人之姓名、出生年月日、國(guó)民身份證統(tǒng)一編號(hào)、護(hù)照號(hào)碼、特征、指紋、婚姻、家庭、教育、職業(yè)病歷、醫(yī)療、基因、性生活、健康檢查、犯罪前科、聯(lián)絡(luò)方式、財(cái)務(wù)情況、社會(huì)活動(dòng)及其他得以直接或間接方式識(shí)別的個(gè)人資料．美國(guó)“The Privacy Act of 1974”指出個(gè)人資料是行政機(jī)關(guān)保存的關(guān)于個(gè)人任何項(xiàng)目、群組信息，包括但不限于教育、財(cái)務(wù)、醫(yī)療、犯罪或職業(yè)履歷，以及包含個(gè)人姓名、識(shí)別號(hào)碼、特征以及其他表征特征的指紋、聲紋或照片．

概括式的立法例，并不列舉典型的個(gè)人信息形態(tài)，而僅對(duì)個(gè)人信息進(jìn)行定義，將是否符合定義的個(gè)人信息之判斷交由行政機(jī)關(guān)或司法機(jī)關(guān)進(jìn)行．1995歐洲議會(huì)暨歐盟理事會(huì)《關(guān)于保護(hù)個(gè)人資料處理與自由流通指令》采取概括式立法例，將個(gè)人資料定義為有關(guān)識(shí)別或可識(shí)別之個(gè)人任何信息．為解釋上的必要，并將“可識(shí)別”描述為得直接或間接識(shí)別的個(gè)人信息，尤其通過(guò)身份證號(hào)以及1個(gè)或多個(gè)與其身體、生理、精神、經(jīng)濟(jì)、文化或社會(huì)身份關(guān)聯(lián)的多種因素加以確定．OECD《管理保護(hù)個(gè)人隱私及跨國(guó)界流通個(gè)人資料指導(dǎo)綱要》，與《指令》定義一致．聯(lián)邦德國(guó)《個(gè)人資料保護(hù)法》第3條第1款規(guī)定：（個(gè)人資料）是指任何關(guān)于識(shí)別或可識(shí)別資料主體的個(gè)人或具體情況信息．英國(guó)《個(gè)人資料保護(hù)法》第1條將個(gè)人資料定義為“有關(guān)識(shí)別或可識(shí)別之個(gè)人任何信息”．

從各國(guó)個(gè)人資料的定義看，在下列方面各國(guó)立法較為一致：其一，僅涉及自然人主體，不涉及組織；其二，該自然人必須以生存者為限，個(gè)人資料立法的動(dòng)因在于保護(hù)人格的完整與自由，只得由生存自然人行使，對(duì)于侵害死者的個(gè)人資料之行為，往往通過(guò)名譽(yù)權(quán)的維護(hù)加以救濟(jì)；其三，資料具有可識(shí)別性，即雖未明確指名道姓，但基于相關(guān)信息可以確定揭露、識(shí)別或聯(lián)系到特定的主體．當(dāng)然，能夠確定特定的主體，并不以主體真實(shí)姓名為限，若通過(guò)筆名或藝名可以確定，仍認(rèn)為是個(gè)人資料．關(guān)于識(shí)別的方式，無(wú)非以直接或間接的方式．直接方式即可通過(guò)信息較為簡(jiǎn)單地聯(lián)系鎖定特定主體，不需要過(guò)多推敲，如身份證號(hào)、電話號(hào)碼、肖像等信息．間接的方式即有賴于相關(guān)信息的組合、辨別、對(duì)照，得以確定特定主體，例如，新聞報(bào)道中記述“矛盾文學(xué)獎(jiǎng)史上最年輕獲獎(jiǎng)?wù)摺保罁?jù)相關(guān)記錄辨別可以確定主體無(wú)虞．從本質(zhì)上看，個(gè)人資料的核心在于與保護(hù)主體的勾連，任何信息可歸屬于個(gè)人資料其原因在于與主體的聯(lián)系并可被識(shí)別，通過(guò)此種信息的分析，可將主體予以特定化，否則僅是單純的信息．對(duì)于互聯(lián)網(wǎng)巨量的信息，既有與特定個(gè)人聯(lián)系的信息，也有僅與虛擬用戶關(guān)聯(lián)的信息，還有與任何用戶都無(wú)關(guān)的信息．與個(gè)人資料脫連的信息，并不會(huì)造成特定主體隱私權(quán)遭受侵害，不屬于個(gè)人信息保護(hù)之中的個(gè)人資料．換言之，即使通過(guò)詳細(xì)列舉的方式明定各種類(lèi)型之信息，若不具備與主體連接的特性，亦不能稱(chēng)之為個(gè)人資料．在司法實(shí)務(wù)中必須采取目的性限縮解釋?zhuān)坏谜J(rèn)為法條所列舉的各類(lèi)型信息當(dāng)然成為法律保護(hù)個(gè)人資料．

我國(guó)傳統(tǒng)民法無(wú)法給出解決個(gè)人信息保護(hù)難題的可行方案，雖然在理論上對(duì)個(gè)人信息權(quán)屬性與外延仍在探討之中．但基于比較法經(jīng)驗(yàn)，以個(gè)人信息保護(hù)的專(zhuān)門(mén)立法為依據(jù)，方能夠全面積極回應(yīng)社會(huì)之需求，彌補(bǔ)人格權(quán)與隱私權(quán)對(duì)個(gè)人信息保護(hù)的不足．我國(guó)在制定個(gè)人資料保護(hù)法中必須認(rèn)識(shí)到這一問(wèn)題，無(wú)論采取列舉加概括式立法例，還是采取概括式立法例，均應(yīng)將“可識(shí)別性”作為認(rèn)定個(gè)人資料核心要素．同時(shí)，為了照顧一般民眾之理解和提升行政與司法效率，在明確個(gè)人信息的可識(shí)別性與關(guān)聯(lián)性特質(zhì)之外，可以采取典型個(gè)人信息樣態(tài)的列舉．《中華人民共和國(guó)個(gè)人信息保護(hù)法（專(zhuān)家建議稿）》將個(gè)人信息定義為：個(gè)人信息是指與一個(gè)身份已經(jīng)被識(shí)別或身份可以被識(shí)別的自然人相關(guān)的任何信息，包括個(gè)人姓名、住址、出生日期、身份證號(hào)碼、醫(yī)療記錄、人事記錄、照片等單獨(dú)或與其他信息對(duì)照可以識(shí)別特定的個(gè)人的信息［11］．這一定義應(yīng)當(dāng)說(shuō)是較為精準(zhǔn)和科學(xué)的，但在典型個(gè)人信息列舉上可以進(jìn)行相應(yīng)擴(kuò)展，并非局限于這幾種類(lèi)型．

3．2 敏感個(gè)人信息之特殊保護(hù)

1995歐洲議會(huì)暨歐盟理事會(huì)《關(guān)于保護(hù)個(gè)人資料處理與自由流通指令》第8條第1項(xiàng)與第5項(xiàng)特別聲明了敏感信息：種族、血緣、政治傾向、宗教、信仰、工會(huì)成員、醫(yī)療、性生活以及與犯罪、有罪刑事判決等資料，僅在政府控制或法律提供適當(dāng)保護(hù)措施之時(shí)方得收集與利用．聯(lián)邦德國(guó)《個(gè)人資料保護(hù)法》規(guī)定：種族、血緣、政治觀點(diǎn)、宗教及哲學(xué)信仰、政黨、健康狀況和性生活作為敏感信息．英國(guó)《個(gè)人資料保護(hù)法》將種族、政治觀點(diǎn)、宗教信仰及類(lèi)似信仰、工會(huì)成員、身體及精神健康、性生活、犯罪前科等視為敏感信息．我國(guó)臺(tái)灣地區(qū)《個(gè)人資料保護(hù)法》將醫(yī)療、基因、性生活、犯罪前科及健康檢查等列入敏感信息．當(dāng)然，對(duì)于有些國(guó)家如日本，在個(gè)人資料保護(hù)的基本法中并未區(qū)分一般個(gè)人信息與敏感性個(gè)人信息，而是依特別法的規(guī)定進(jìn)行特殊保護(hù)．

以列舉的方式明定敏感的個(gè)人信息存在以下應(yīng)予注意的問(wèn)題：一是何種信息應(yīng)被列入敏感信息，這是立法需要慎重考慮的［12］．德國(guó)經(jīng)歷人種歧視和種族殘殺的悲痛歷史，對(duì)于種族和血緣等識(shí)別人種的個(gè)人信息列為敏感信息是有著審慎的態(tài)度．對(duì)于我國(guó)歷來(lái)主張和實(shí)施民族團(tuán)結(jié)，各民族一律平等政策，實(shí)踐中長(zhǎng)期在各種信息填報(bào)上要求將“民族”信息作為必須寫(xiě)明的事項(xiàng)，民眾也習(xí)以為常，因而“民族”與“血緣”在我國(guó)可否作為敏感信息筆者持否定的態(tài)度．二是敏感信息的內(nèi)涵如何科學(xué)界定．或許因?yàn)槲幕瘋鹘y(tǒng)與法律傳統(tǒng)的差異，歐洲諸國(guó)對(duì)于宗教與信仰能夠清晰地加以界分，我國(guó)長(zhǎng)期將宗教與信仰合并使用，將宗教與信仰進(jìn)行界分的立法技術(shù)存在較大難度．三是特殊的敏感信息與一般個(gè)人信息之間如何區(qū)分，才不至于造成法律適用上的困惑．我國(guó)臺(tái)灣地區(qū)將“醫(yī)療”、“健康檢查”列為敏感信息，而“病歷”作為一般個(gè)人信息，這給實(shí)務(wù)帶來(lái)極大的不便．且不論醫(yī)療與健康檢查之區(qū)分，單就醫(yī)療、健康檢查與其過(guò)程中的物質(zhì)載體——病歷——存在天然的聯(lián)系，實(shí)屬難以清除甄別，使行政機(jī)關(guān)及司法機(jī)關(guān)在適用相關(guān)概念時(shí)不得不小心慎重．因而，我們?cè)诹⒎ㄟ^(guò)程中除非能夠在定義上科學(xué)地區(qū)分相關(guān)個(gè)人信息樣態(tài)的區(qū)別，否則盡量避免在類(lèi)型區(qū)分上的過(guò)細(xì)．四是如何避免實(shí)務(wù)中規(guī)避敏感個(gè)人信息的替代模式．例如，由于女性面臨著“孕期、產(chǎn)期、哺乳期”問(wèn)題，會(huì)給組織工作帶來(lái)一定的影響．不少組織在招聘女性的過(guò)程中會(huì)著重關(guān)注該求職女性是否結(jié)婚并孕子，是否結(jié)婚，是否有男朋友，是否有結(jié)婚規(guī)劃等等，并在基本技能或條件差不多的情形下，優(yōu)先考慮已婚已育的女性，其次考慮已婚未育的女性，最后才是未婚未育的女性．組織招聘中并不會(huì)直接以敏感性信息“性生活”進(jìn)行詢問(wèn)，以規(guī)避法律風(fēng)險(xiǎn)．對(duì)于敏感信息的替代，立法不得不重點(diǎn)關(guān)注．立法技術(shù)本身并無(wú)對(duì)錯(cuò)之分，卻存在優(yōu)劣之別，唯有結(jié)合特定的法律傳統(tǒng)以及法學(xué)教育背景，才能作出何種立法技術(shù)更有適應(yīng)性的判斷［13］．具有可識(shí)別性的個(gè)人身份信息能夠識(shí)別公民個(gè)體，進(jìn)而能夠?qū)⒐駛€(gè)人信息進(jìn)行分類(lèi)，形成公民個(gè)人身份信息系統(tǒng)“資源”［14］．在我國(guó)法治語(yǔ)境下為促進(jìn)個(gè)人信息的流通與共享，促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展，應(yīng)將個(gè)人信息劃分為不同層次，即基本個(gè)人信息與敏感個(gè)人信息．對(duì)于基本個(gè)人信息如姓名、民族、出生年月、政治面貌、證件號(hào)碼、婚姻狀態(tài)、教育背景、職業(yè)經(jīng)歷、受到的獎(jiǎng)懲以及相關(guān)的通信方式，各類(lèi)組織僅需盡到一般注意義務(wù)即可收集與利用．對(duì)于敏感個(gè)人信息如身體健康（尤其是病歷）、家庭關(guān)系、懷孕計(jì)劃、政治信仰、犯罪前科、財(cái)務(wù)狀況、前任職薪酬、性經(jīng)歷以及特殊行業(yè)的特殊信息需求等信息，各類(lèi)組織在盡到較高注意義務(wù)之后（如征求書(shū)面同意并履行特定保護(hù)措施），方得進(jìn)行收集與利用．個(gè)人信息保護(hù)的二分法才能更好地調(diào)適公平與效率間的關(guān)系，避免厚此薄彼，又能強(qiáng)化對(duì)個(gè)人信息的保護(hù)．

4 個(gè)人信息之合理利用

市民社會(huì)是各個(gè)成員作為獨(dú)立的單個(gè)人的聯(lián)合，因而就是在抽象普遍中的聯(lián)合．這種聯(lián)合是通過(guò)社會(huì)成員的需要，通過(guò)保障人身和財(cái)產(chǎn)的法律制度和通過(guò)維護(hù)他們特殊利益和公共利益的外部秩序建立起來(lái)的［15］．鑒于個(gè)人資料對(duì)個(gè)人人格自由與完整具有重大意義，對(duì)個(gè)人資料的收集、處理與利用確有必要加以限制保護(hù)，但群體生活也必須考量社會(huì)共同生活的便利及發(fā)展，若對(duì)個(gè)人資料無(wú)限保護(hù)，將有礙社會(huì)進(jìn)步，相當(dāng)于課以相對(duì)人無(wú)限之義務(wù)．因而，有必要對(duì)個(gè)人資料保護(hù)范圍進(jìn)行適當(dāng)?shù)南薅ǎ谝欢ǚ秶鷥?nèi)允許合理利用個(gè)人資料．將大量彼此不同、而且本身極度復(fù)雜的生活事件，以明了的方式予以歸類(lèi)，用清晰易辨的要素加以描述，并賦予其法律意義上相同者同樣的法律效果，正是法律的任務(wù)所在［16］．基于對(duì)各國(guó)立法實(shí)踐的總結(jié)與提煉，以下幾種利用個(gè)人資料之情形在我國(guó)今后立法中應(yīng)予重視，應(yīng)明確例外適用的規(guī)范標(biāo)準(zhǔn)或構(gòu)成要件，防止適法上的困境．

4．1 無(wú)關(guān)職業(yè)且未獲利之私人生活行為

群體生活仰賴相互交往，為便于聯(lián)系所進(jìn)行的諸如建立手機(jī)通信錄、微信聊天群、郵箱聯(lián)系人等收集、存儲(chǔ)及傳遞個(gè)人信息等行為，系單純私人生活且與職業(yè)行為無(wú)關(guān)，一般不會(huì)造成個(gè)人資料主體利益受損，在立法中應(yīng)予排除個(gè)人資料保護(hù)范圍之外．否則，無(wú)端抬高私人生活的成本，造成不便．但諸如學(xué)校建立通信錄，研究會(huì)建立信息檔案，涉及個(gè)人資料的收集、存儲(chǔ)及傳遞，并非單純的生活行為，應(yīng)予以規(guī)范．《指令》第3條第2項(xiàng)規(guī)定：因單純個(gè)人或家庭活動(dòng)涉及個(gè)人資料處理不適用指令，但是與職業(yè)無(wú)關(guān)的私人生活行為也會(huì)因家庭成員的特殊性受到其他主體關(guān)注，私人生活或家庭生活中信息的收集與傳遞可能因部分成員受到引誘擅自出賣(mài)此種信息．因而，《歐盟指令（修正草案）》第2條第2項(xiàng)之d對(duì)此予以關(guān)注，將因單純個(gè)人或家庭獲得行為涉及個(gè)人資料處理進(jìn)一步加以限制，在處理個(gè)人資料中不得有利益之獲得，即“on the free movement”，否則，仍有適用《指令》之空間．這種立法指導(dǎo)思想既照顧到私人和家庭生活的便利，也謹(jǐn)慎地排除了可能存在的侵權(quán)空間，對(duì)今后我國(guó)立法具有重大的參考意義．

4．2 個(gè)人自決行為

個(gè)人自決行為多系個(gè)人信息經(jīng)自主決定予以公開(kāi)，使他人得以獲悉其個(gè)人信息，本人應(yīng)已預(yù)見(jiàn)其行為所帶來(lái)之影響．在“Katz V．United States”一案，美國(guó)聯(lián)邦最高法院論及個(gè)人明知自我行為會(huì)將個(gè)人信息暴露于公眾目光之下，即使事實(shí)上并未引起他人注意，但對(duì)于所曝光的信息，本人喪失了合理的隱私期待（reasonable expectation of privacy）．在日常生活中廣泛地存在此類(lèi)行為，如為了擴(kuò)展人脈，個(gè)人將其名片交遞給他人保存抑或?yàn)閿U(kuò)大交際在互聯(lián)網(wǎng)上公布自己的照片、聯(lián)系方式等信息．為了避免責(zé)任引火燒身，不少通信軟件在個(gè)人信息公開(kāi)時(shí)設(shè)定了選擇程序，個(gè)人有權(quán)可以選擇對(duì)所有人公開(kāi)信息或是選擇部分群體進(jìn)行信息公開(kāi)，以及在個(gè)人資料填報(bào)之時(shí)對(duì)各類(lèi)信息的填寫(xiě)充分交由當(dāng)事人自決，減少?gòu)?qiáng)制填寫(xiě)的內(nèi)容．我國(guó)臺(tái)灣地區(qū)《個(gè)人資料保護(hù)法》第51條第1款第2項(xiàng)規(guī)定于公開(kāi)場(chǎng)所或公開(kāi)活動(dòng)中收集、處理或利用未與其他個(gè)人資料結(jié)合的影音資料，不適用于本法．當(dāng)然，如果公布合照、集體錄像等，須經(jīng)其他當(dāng)事人同意，否則構(gòu)成侵犯隱私權(quán)或違反個(gè)人資料保護(hù)法．2007年Google公司進(jìn)行Street View，在網(wǎng)絡(luò)上展示城市街道實(shí)時(shí)景況，方便旅行者觀光，受到極大的關(guān)注．但細(xì)心者發(fā)現(xiàn)在許多路人、門(mén)牌號(hào)碼、車(chē)牌號(hào)碼甚至許多不雅行為均被展示出來(lái)，雖然Google公司辯稱(chēng)此舉有利于社會(huì)公共利益，但在利益權(quán)衡之后，被加拿大、日本等國(guó)家予以約談，要求進(jìn)行刪除或馬賽克處理，以防止個(gè)人資料的不當(dāng)散播．對(duì)于經(jīng)個(gè)人自決行為所已經(jīng)公開(kāi)的個(gè)人資料，雖可以為他人獲取和儲(chǔ)存，但并不意味著喪失了法律的保護(hù)，尤其在網(wǎng)絡(luò)迅速發(fā)展的今天，許多業(yè)已經(jīng)當(dāng)事人自愿或非法披露的個(gè)人信息，若再次傳播利用（secondary use），會(huì)對(duì)當(dāng)事人造成二次不良影響．因此，當(dāng)事人有權(quán)要求業(yè)已公開(kāi)的個(gè)人信息不被非法傳遞與再次公開(kāi)的權(quán)利，即當(dāng)事人有被遺忘之權(quán)利（the right to be forgotten and to erasure）．2016年歐盟頒布《一般數(shù)據(jù)保護(hù)法規(guī)》（The EU General Data Protection Regulation，GDPR），引入“被遺忘權(quán)”等新型權(quán)利，增強(qiáng)網(wǎng)絡(luò)用戶對(duì)個(gè)人信息的“控制力”．

4．3 為公共利益且與必要限度內(nèi)之行為

英國(guó)《個(gè)人資料保護(hù)法》附錄2第5條規(guī)定：“為實(shí)現(xiàn)公平正義”、“基于公共利益執(zhí)行職能”，且具有必要性時(shí)收集與利用個(gè)人資料方得不受本法限制．聯(lián)邦德國(guó)《個(gè)人資料保護(hù)法》亦有“為避免公共健康等重大不利益、公共安全威脅或?yàn)楸Ｗo(hù)公共安全等重大利益時(shí)”，方可不受本法限制．日本《行政機(jī)關(guān)個(gè)人資料保護(hù)法》第8條第2款第2項(xiàng)規(guī)定：政府機(jī)關(guān)在執(zhí)行法定任務(wù)，并具有相當(dāng)理由和在必要限度內(nèi)，才不受本法約束．我國(guó)臺(tái)灣地區(qū)《個(gè)人資料保護(hù)法》也設(shè)置有“為增進(jìn)公共利益”之例外適用條款．

一般而言，為公共利益而例外適用個(gè)人信息保護(hù)法的主體多為政府機(jī)關(guān)．對(duì)于公共利益這一本身具有模糊性的概念，應(yīng)當(dāng)進(jìn)行必要的限制．對(duì)于政府機(jī)關(guān)，所有機(jī)關(guān)的行為均可納入為公共利益的目的范疇，這樣就給政府機(jī)關(guān)不當(dāng)收集和利用個(gè)人信息尋找到“正當(dāng)化”理由，縱容政府機(jī)關(guān)的不正當(dāng)行為．一個(gè)負(fù)責(zé)任的政府必須準(zhǔn)備證明它所做的任何事情的正當(dāng)性，特別是當(dāng)它限制公民自由的時(shí)候［17］．筆者認(rèn)為，對(duì)于為公共利益之目的之例外行為，應(yīng)符合比例原則的精神．比例原則的價(jià)值追求在于通過(guò)規(guī)制公共權(quán)力行使的手段和強(qiáng)度，規(guī)范國(guó)家恰當(dāng)?shù)匦惺谷嗣褓x予的權(quán)力，在公共利益與個(gè)體利益之間作出適當(dāng)?shù)钠胶猓胍枰?guī)范來(lái)規(guī)整特定生活領(lǐng)域的立法者，在立法時(shí)就必須受規(guī)范的企圖、正義或合目的性考量的指引［18］．整體看，比例原則強(qiáng)調(diào)手段與目的不得錯(cuò)位，因而各國(guó)均在為公共利益目的之上設(shè)置了必要的限制條件．聯(lián)邦德國(guó)《個(gè)人資料保護(hù)法》14條第2款第5項(xiàng)規(guī)定為公共利益行為應(yīng)符合特定主體之利益，且特定主體在獲悉后亦不會(huì)拒絕．日本《行政機(jī)關(guān)個(gè)人資料保護(hù)法》第21條第3款規(guī)定為保護(hù)個(gè)人生命、財(cái)產(chǎn)與人身，并取得當(dāng)事人同意存在困難之時(shí)．我國(guó)臺(tái)灣地區(qū)《個(gè)人資料保護(hù)法》規(guī)定為避免個(gè)人生命、財(cái)產(chǎn)與人身之危險(xiǎn)，且有利于當(dāng)事人權(quán)利．當(dāng)然，除了必要性限制外，也要進(jìn)行相應(yīng)的時(shí)間限制，否則合理利用制度將成為法律非地，架空基本保護(hù)規(guī)范．

4．4 法令行為

法令行為，即法令明確規(guī)定的特殊主體信息必須予以主動(dòng)披露的規(guī)范要求，其本質(zhì)也是權(quán)利保障的實(shí)質(zhì)與利益衡量的對(duì)比．法律是平衡利益的制度設(shè)計(jì)，是對(duì)存有沖突的利益格局所進(jìn)行價(jià)值衡量和選擇的結(jié)果，從公民權(quán)利保護(hù)出發(fā)限制公權(quán)力還是權(quán)利對(duì)抗中的正義性要求都仰賴于目的和手段之間的數(shù)量關(guān)系．如依公司治理的要求，各國(guó)與地區(qū)均在公司法與證券法中規(guī)定董監(jiān)高公布其個(gè)人信息，持股比例以及個(gè)人履歷是其法定之職責(zé)；以及選舉中候選人公布其個(gè)人財(cái)產(chǎn)、經(jīng)歷均是必須履行的法定程序．再如國(guó)家對(duì)于部分關(guān)涉公共安全維護(hù)的行為（購(gòu)買(mǎi)火車(chē)票、酒店住宿等）采取實(shí)名制，實(shí)行實(shí)名制政策不僅要求有關(guān)部門(mén)在宏觀層面上對(duì)整個(gè)公共秩序肩負(fù)起更全面的保障責(zé)任，而且要求其在微觀層面對(duì)個(gè)人的信息安全以及基于此的人身權(quán)益，履行和提供更深入細(xì)致的保護(hù)義務(wù)［19］．在此過(guò)程中對(duì)業(yè)已公布的個(gè)人信息，其他主體可以予以收集和儲(chǔ)存．同個(gè)人自決行為一致的是，基于法令要求予以公示的信息，相關(guān)利益主體僅得收集與儲(chǔ)存，并非意味著恣意的利用．

4．5 特殊行業(yè)的適用例外

由于某些行業(yè)具有特定的業(yè)務(wù)要求，必須使用個(gè)人資料．例如，新聞出版、電視廣播等媒體，因公眾的信賴，必須正確傳遞信息，通過(guò)新聞報(bào)道即可識(shí)別特定主體．為避免媒體行業(yè)的發(fā)展限制，許多國(guó)家均對(duì)此行業(yè)收集和使用個(gè)人資料加以豁免．加拿大“Personal Information Protection and Electronic Documents Act”第7條規(guī)定：為新聞報(bào)道、文學(xué)著述（指?jìng)饔浳膶W(xué)）為目的而收集個(gè)人資料不受本法調(diào)整．再如，對(duì)于律師進(jìn)行的盡職調(diào)查活動(dòng)，必然要收集與分析特定主體各方面之信息，從而降低受雇方在交易中的風(fēng)險(xiǎn)．以及相當(dāng)數(shù)量的學(xué)術(shù)研究，均涉及對(duì)特定主體信息的分析．

特殊行業(yè)的適用例外其精髓仍是比例原則作為分析工具或評(píng)價(jià)方法的擴(kuò)展適用，其差異僅在于私法中的適用強(qiáng)度不同于公法領(lǐng)域．憲法上人權(quán)保障原則，排除基于統(tǒng)治關(guān)系正當(dāng)性的合目的性與必要性原則，與民法最為接近的應(yīng)屬蘊(yùn)含了法益權(quán)衡的比例原則，將原本公益與人權(quán)間的衡量轉(zhuǎn)移到人權(quán)與人權(quán)之間并無(wú)不妥［20］．權(quán)利主體間的利益沖突最終要尋找到一個(gè)適當(dāng)?shù)钠胶恻c(diǎn)，如何使利益與損失的配置達(dá)至妥適的比例是私法領(lǐng)域解決問(wèn)題的焦點(diǎn)．誰(shuí)若根據(jù)目的、手段和附帶后果來(lái)作為他行為的取向，而且同時(shí)既把手段與目的，也把目的與附帶后果，以及最后把各種可能的目的相比較，作出合乎理性的權(quán)衡，這就是合乎目的理性的行為［21］．一方當(dāng)事人行使權(quán)利明顯與民法規(guī)范預(yù)設(shè)的利益分配格局產(chǎn)生距離時(shí)，影響社會(huì)生活的安定，此種權(quán)利的行使必然受到一定程度的調(diào)整，由此產(chǎn)生具體的利益衡量問(wèn)題．若第三方收集與利用特定主體之個(gè)人信息，有高于個(gè)人信息保護(hù)的價(jià)值判斷時(shí)，可不適用個(gè)人信息保護(hù)規(guī)范．這種例外規(guī)定可以參考我國(guó)《著作權(quán)法》關(guān)于著作權(quán)合理利用制度．“合理利用”制度抗辯個(gè)人信息保護(hù)，其本質(zhì)仍在于利益權(quán)衡．因而，對(duì)于特殊行業(yè)在收集與利用個(gè)人信息中不得隨意傳播、進(jìn)行匿名化處理、妥善保存等必要義務(wù)不得免除．