個人信息保護路徑的比較法研究
——以公共衛生事件中侵犯個人信息問題為視角

文思捷

（安徽大學法學院 安徽合肥 230601）

公共衛生事件中的個人信息保護較之于正常情況具有其特殊性，主要在于個人利益與公共利益、個人信息權益與公眾知情權益、個人數據價值與整合數據價值的矛盾會被激化。在全球公共衛生事件的大背景下，國際國內對此的態度趨向于個人利益應當向公共利益讓步，優先保障公眾的知情權，整合數據價值將遠遠大于個人數據價值。但是，這并不意味著個人信息權益將被無條件讓渡，在公共利益面前，全然得不到保護。我們應當在保障集體利益的前提下盡快完善個人信息保護的路徑，從而平衡各方權益。

一、提出問題：我國個人信息保護的現狀與困境

（一）立法層面。在民法領域，《民法典》第111條沿用了《民法總則》的規定，總領性地規定了個人信息保護規則。“自然人的個人信息受法律保護，任何組織或者個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”這一條款宣示性地表明對個人信息權益的保護意圖，并象征性地規定了要以合法方式收集個人信息，但是并沒有規定配套的懲罰措施以及個人信息受到侵害以后的救濟途徑。《民法典》在“人格權編”的“隱私權和個人信息保護”中用6個條文更為細致地規定了個人信息的保護問題。由此可見，我國欲將個人信息歸屬于具體人格權項下，但個人信息還未成為一個獨立的權利。

（二）司法層面。在此次新冠肺炎疫情期間，個人信息被侵犯的案件層出不窮，現舉一例進行說明：趙某訴重慶某營銷策劃有限公司侵犯公民隱私權糾紛案。

案情概要：2020年7月14日，由于被告重慶某營銷公司下的進口白蝦被檢測出新冠病毒核酸呈陽性，于是該公司便將購買白蝦的顧客名單發布在其公眾號并提供下載，名單包括原告趙某在內的一萬多名顧客的姓名、身份證號、住址、手機號等個人信息。原告趙某便起訴該公司侵犯公民隱私權，要求公開道歉并賠償精神損害賠償金1元。

渝北法院認為，本案雖處疫情公共衛生事件的非常時期，但被告未經相關權威機構授權及原告等名單當事人同意，且明知侵犯相關當事人隱私的情況下，以“目前是非常時期，沒有什么東西比安全和生命更重要”為借口擅自將原告姓名、家庭住址等個人信息的公開。原告隱私嚴重泄露，情節惡劣。故判令被告賠償精神損害賠償金1元。

首先，值得注意的是，該案的案由使用的是“隱私權糾紛”，但是實質上被告侵犯的卻是公民的個人信息權益，顯然司法上對于隱私權和個人信息的范圍界限也是不清的。其次，詳讀裁判理由可以看出，該案在新冠肺炎疫情的背景下，充斥著個人權益與公共利益的劇烈沖突中，對于這兩者的權衡法院并未給出一個明確的適用規則。實際上，這類案件的發生不僅是公司的責任，還有監管方職責不明，立法上對個人信息保護存在缺失等方方面面的問題。這些理論和實務上的問題亟需我們通過對域外立法的比較分析，探尋適合我國國情的個人信息保護路徑。

二、比較分析：美、德個人信息保護的立法模式

（一）美國的隱私權保護路徑。美國的個人信息是歸屬于隱私權項下的，早在20世紀70年代，美國便頒布了第一部個人信息保護的法律《隱私權法》。在“大隱私權”的背景下，美國認為隱私權和人格尊嚴具有同質性，[1]個人信息是人格自由和人格尊嚴的體現，而美國并沒有人格權這一說法，故而個人信息便順理成章地歸屬至隱私權的保護體系之中。

從美國對隱私權及個人信息權的整體保護框架來看，主要在兩個方面，分為公私兩個領域。一方面，在公領域，主要對公權力進行規制，采取分散化的立法模式，僅對聯邦政府處理個人信息具有規范效力，并不能規制各州的官方或者非官方的機構。另一方面，在私領域，通過設置行業規范來約束私主體，政府負責引導行業自律，形成一種自下而上的規范模式。最具代表性的就是美國在1997年頒布的《全球電子商務架構報告》，這都是與美國本身崇尚自由、個體化的立法價值理念相契合的。但是公權力分散的立法缺乏統一性，為司法帶來困難，私行業自律模式則欠缺強制力的監管。這兩種模式都不適合當下的中國，因為中國還未形成統一規范的行業組織，分散立法也不符合我國立法的發展趨勢和整體框架。

（二）德國的人格權保護路徑。準確來說，德國的個人信息是在一般人格權項下的，也是在20世紀70年代初，德國頒布了《德國黑森林個人資料保護法》，這是全球第一部個人信息保護法。德國作為大陸法系的成文法國家，但是對于隱私權的概念沒有在民法中明確規定。德國根據《德國基本法》，通過德國聯邦法院與憲法法院創設了一般人格權（allgemeinespersolichkeitrecht）的概念[2]，以一般人格權模式來對個人信息進行保護規范，其內涵主要是對私人領域進行保護。依據德國憲法（《德國基本法》）創設一般人格權也意味著個人信息保護上升到憲法層面，侵害個人信息的行為可能會帶來違憲的后果。《德國基本法》第一條規定：“人之尊嚴不可侵犯，尊重及保護此項尊嚴為所有國家機關之義務。”可見，德國主張個人信息保護就是對人格尊嚴的維護。

為加強在新冠疫情期間個人信息安全的保護，德國明確收集和處理相關個人信息時應遵循的數據保護規則。一是依法收集處理個人數據；二是加強對個人敏感數據的保護，針對健康信息和行動軌跡等敏感信息只有在確有必要的情況下才能適當披露；三是嚴格遵守最小化處理原則。企業在收集和披露個人信息時應遵循必要原則，并明確收集和披露個人信息的原因以及合法性依據。這些要求與美國的相關規定有許多相同之處，都強調在收集、處理各個環節加強對個人信息的保護以及堅持最小化處理原則。不同之處在于德國對于個人信息有一個區分，即對個人敏感數據的處理更加嚴謹，行動軌跡是涉及人身安全性的信息，因此非必要不披露，必須披露的情況下也要遵循適當性標準。德國一直是非常重視人格尊嚴保護的國家，其立法體系也較為先進，與中國同為大陸法系國家，筆者認為，德國的一些立法舉措對于中國來說還是非常具有可借鑒性的。

三、完善路徑：構筑我國個人信息保護的法律體系

（一）確立個人信息為一項獨立的權利。首先，個人信息能否成為一項獨立的權利，這在世界范圍內都是具有爭議的。因為個人信息與隱私權之間具有千絲萬縷的聯系，一項利益之所以能夠獨立成為權利是在于其有明確的保護范圍。美國的個人信息是在隱私權的保護范圍之下的，并沒有個人信息權的概念。而德國則提出了“個人信息自決權”的概念，筆者認為，這一概念的提出可以為我們區分個人信息與隱私權提供一個新的思路。隱私權更多地是保護完全私密的，不涉及公共社會的一些信息靜態的安全；而個人信息權則是更多地保護那些牽涉公共領域中的信息的動態的安全，這也是在大數據時代下賦予了個人信息新的內涵。正如有學者曾說，“個人信息與個人密切相關，蘊含著深刻的人格利益，人的尊嚴只有在社會群體中才有其意義和價值。”[3]王利民教授在論及隱私權和個人信息權之間的關系時便指明，我國未來的人格權法中不能用隱私權來完全替代個人信息權。[4]

再者，個人信息權作為一項權利，從美國和德國的立法來看，無論是美國的隱私權范疇還是德國的一般人格權范疇，其本質上都是對人格尊嚴的保護，這與中國人格權的立法意旨是相符合的，為了確立個人信息在法律上的重要地位，故筆者認為，應當確立屬于具體人格權范疇的個人信息權，從而明確個人信息權救濟的權利基礎，避免司法上案由不清的現象持續發生，形成對個人信息完整的立法與司法保護鏈。

（二）制定一部專門的個人信息保護法。縱觀域外立法趨勢，制定一部專門的個人信息保護法還是具有必要性和深遠意義的。我國當下個人信息保護法律法規仍然處于分散、無序的狀態，但是對于個人信息的法律保護，不應當是孤立的、分散的法條集合，而應當是一套完整、規范的法律體系，各個條款之間的內在邏輯應當是相互融合貫通的。在公共衛生事件中，個人信息的保護問題被廣泛熱議，其重要性可見一斑，相較于美國分散立法的模式，德國統一的立法模式更加符合我國。因此，我國應當盡快出臺一部專門的個人信息保護法。

借鑒美國、德國的相關規范以及我國出臺的《個人信息保護法（草案）》的內容，筆者認為可以大致包括以下幾個方面內容：個人信息的概念、處理規則與原則、信息主體的權利、信息處理者的義務、監管部門的監管責任等等。具言之，個人信息的概念與國際上相統一即著眼于“可識別性”，個人信息的處理規則原則要合法、正當，遵循必要性原則，不能超出處理目的所必須的范圍處理個人信息。還要遵循公開、透明原則，在收集、處理個人信息時明示信息的范圍、用途、儲存期限，并征得信息主體的同意。信息主體具有控制個人信息的權利，信息處理者具有保護信息安全的義務。可以效仿德國設立專門的監督管理部門或者機構對個人信息的收集、利用、存儲、流通等各環節進行監督，并且與行政法等法律相配合規定監督部門失職后所應承擔的行政責任。尤其需要注意的是在涉及諸如此次新冠肺炎疫情等公共衛生事件的社會公共利益時，對個人信息的保護需要適當加以限制，在緊急的情況下，可以在信息主體不同意的情況下采集個人信息以維護人民的生命健康安全，當然還需要注意方式方法，不能無限制地造成信息肆意傳播，還要在疫情結束后及時刪除個人信息并消除不良影響。

（三）在個人信息保護中引入“被遺忘權”。“被遺忘權”（“righttobeforgotten”），是在互聯網普及之后出現的新型權利。美國一直有“被遺忘權”的相關規定，在這次新冠疫情公共衛生事件中，美國的被遺忘權也對個人信息的保護問題發揮了重要作用。“被遺忘權”的實質，“是站在保護人格利益的立場，對以信息網絡傳播權為代表的知情權所實施的矯正行為。”[5]即要求信息處理人刪除個人信息并防止信息被二次傳播的請求權。筆者認為，被遺忘權是個人信息保護的重要內容，可以最大程度上減少個人信息泄露的風險，也是處理社會利益和個人利益之間矛盾的橋梁。

“被遺忘權”體現了信息主體對個人信息的一種全面控制，這樣的權能需要一個獨立權利的承載，因此，要想引入“被遺忘權”，還需要明確個人信息權的獨立法律地位。我國在《網絡信息安全法》中也有“刪除權”的相關規定，但是始終停留在違法或者錯誤的前提下才能行使刪除權，離真正確立被遺忘權制度還有距離，況且僅僅規定刪除權實際上是無法滿足信息主體對個人信息控制的需要的。當然，“被遺忘權”也要注意行使的邊界，例如在公共衛生事件中，還是應當以社會公共利益為先，適當限制其行使范圍和條件。

結語

在這個信息爆炸的時代，個人信息的價值已無法停留在以前的層次。在大數據技術的廣泛應用下，整合信息價值遠超想象，迎面而來的便是個人信息被肆意侵犯的混亂局面。在這次新冠肺炎疫情的影響下，侵犯個人信息的爭端由經濟價值層面上升至社會利益的高度。因此，筆者從我國個人信息保護所面臨的立法和司法兩個層面的問題出發，通過比較分析美國、德國關于個人信息保護的法律規定與制度政策，再立足中國本土原有的法律框架，構建出個人信息保護初步的路徑安排。