個人信息法律保護路徑分析

第第頁個人信息法律保護路徑分析摘要：

個人信息權(quán)是一項基本的人權(quán)。目前，中國對個人信息保護不容樂觀，特別在云計算環(huán)境下，個人信息被盜用、濫用現(xiàn)象極其嚴(yán)重。個人信息保護問題本身跨越了憲法、行政法、刑法和民法等法律部門的界限，如果僅僅從某個部門法的角度觀察它難免會顧此失彼。中國應(yīng)該制定一部統(tǒng)一的個人信息保護法，確立科學(xué)的基本原則，準(zhǔn)確界定個人信息法律關(guān)系的主體制度，明晰個人信息法律關(guān)系的客體制度及其對象，同時構(gòu)建合理的個人信息權(quán)利救濟制度。

關(guān)鍵詞：個人信息；個人信息權(quán)；法律保護；立法

中圖分類號：DF01文獻標(biāo)志碼：A文章編號：

10085831（2013）04011908

自20世紀(jì)50年代起，在西方發(fā)達國家，學(xué)術(shù)界及司法實務(wù)部門開始關(guān)注個人信息保護問題，通過立法建立了旨趣異同的個人信息法律保護模式。中國正大踏步邁進信息社會，個人信息保護問題也越來越引起人們的高度關(guān)注和重視。《民法典》的起草和制定工作正如火如荼地展開，個人信息保護的立法也被提上了議事日程。當(dāng)前，個人信息法律保護面臨諸多挑戰(zhàn)，例如國際互聯(lián)網(wǎng)，全球化，無所不在的個人信息及個人信息收集，功能越來越強大的計算機和其他數(shù)據(jù)處理設(shè)備，射頻識別、生物識別技術(shù)、人臉識別等特新技術(shù)，日益加強的管制和數(shù)據(jù)監(jiān)控（dataveillance），以及越來越頻繁的最初并不是為了收集目的的個人數(shù)據(jù)的使用，尤其是涉及國家安全、打擊有組織的犯罪和恐怖主義等①。因此，制定一部科學(xué)合理的個人信息保護法具有重要的歷史價值和現(xiàn)實意義。

一、中國個人信息立法保護的現(xiàn)實迫切性

當(dāng)前，中國對個人信息的法律保護不容樂觀?！肮蚕砜蛻糍Y源”在商業(yè)界幾乎是公開的秘密，一旦個人信息被非法出售，房產(chǎn)代理、各種中介服務(wù)公司、廣告公司、保險經(jīng)紀(jì)公司、信用卡公司等會時不時電話或短信騷擾客戶，個人信息成了這些公司企業(yè)的金礦。更有甚者，它們業(yè)已形成利用個人信息從事非法獲利的黑色鏈條。就個人金融信息保護而言，中國現(xiàn)行法律法規(guī)對于銀行個人金融信息缺乏有效的保護和明確的規(guī)定，有關(guān)銀行對個人客戶信息保護的規(guī)定比較零散而且籠統(tǒng)，更多的規(guī)定集中于銀行對個人金融信息的披露方面，并且授予許多政府部門獲取個人金融信息的權(quán)力?，F(xiàn)行法律中保護銀行個人金融信息的內(nèi)容也過于簡陋，僅僅規(guī)定了銀行負(fù)有保密義務(wù)，并且這種保密義務(wù)也非?；\統(tǒng)，缺乏對個人金融信息權(quán)屬的確定，個人客戶在其信息利益遭受侵犯時無法獲得法律上的救濟?？偠灾袊鴮︺y行個人金融信息保護的相關(guān)法律都側(cè)重于公共機構(gòu)對于個人金融信息的獲取而缺乏對有關(guān)的權(quán)利主體救濟方面的規(guī)定[1]。

由此，我們的檔案信息幾乎得不到有效保護，任何人都可以輕易獲取我們的檔案材料。身份盜用，即利用個人信息非法獲取現(xiàn)有的金融帳戶，公開欺詐帳戶，或者以他人名義獲得信用卡，這些都是增長最快的白領(lǐng)型犯罪活動Walker，RobertKirk，F(xiàn)orcingForgetfulness：DataPrivacy，F(xiàn)reeSpeech，andthe'RighttoBeForgotten'（March18，2012）.AvailableatSSRN：http：///abstract=2017967orhttp：///10.2139/ssrn.2017967.

。

隨著傳感器網(wǎng)絡(luò)、生物識別技術(shù)、射頻識別及監(jiān)控系統(tǒng)等高科技的發(fā)展，個人身份識別、電子病歷信息、遠距醫(yī)療記錄、交通訊息、各種消費資金賬戶信息載體與日常生活層面應(yīng)用的異類結(jié)合等，都會造成個人信息被大量運用與流通，信息主體本人卻被蒙在鼓里，尤其是在虛擬網(wǎng)路的推波助瀾下，個人信息被濫用、私權(quán)被侵害的程度達到無以復(fù)加的程度。新技術(shù)的運用使收集和分享個人信息變得更加容易，個人敏感信息（包括生物學(xué)鑒定和基因構(gòu)成等）被頻繁收集和使用，公眾檔案在互聯(lián)網(wǎng)上遭披露。特別是云計算技術(shù)的運用，個人信息的保護問題尤為突出。一般認(rèn)為，云計算是指一種通過互聯(lián)網(wǎng)以服務(wù)的方式提供動態(tài)可伸縮的虛擬化資源的計算模式。根據(jù)不同的部署模型，云計算又可分為私有云（privatecloud）、公共云（publiccloud）、社區(qū)云（communitycloud）以及混合云（hybridcloud）等幾種。云計算將使未來的互聯(lián)網(wǎng)變成超級計算的樂土，但同時也是個人信息泄露的溫床。由于互聯(lián)網(wǎng)沒有國界的限制，在云計算環(huán)境下，數(shù)據(jù)有可能儲存在世界上任何一個我們根本就無從知曉的數(shù)據(jù)中心，信息主體把自己的業(yè)務(wù)放到云端數(shù)據(jù)中心，安全是個非常嚴(yán)峻的問題

Hon，W.Kuan，Hrnle，JuliaandMillard，Christopher，DataProtectionJurisdictionandCloudComputing-WhenareCloudUsersandProvidersSubjecttoEUDataProtectionLaw？TheCloudofUnknowing，Part3（February9，2012）.InternationalReviewofLaw，Computers&Technology，Vol.26，No.2-3，2012；QueenMarySchoolofLawLegalStudiesResearchPaperNo.84/2011.AvailableatSSRN：http：///abstract=1924240orhttp：///10.2139/ssrn.1924240.

。例如，自2005年以來，美國許多機構(gòu)一并泄露了一億條以上的記錄。一旦信息泄露，人們精神上可能極度焦慮，因為他們無法再進行數(shù)據(jù)恢復(fù)和防止信息資料的下游濫用。而且，一旦信息被不法分子利用，潛在的危害如賬戶失竊、身份盜用、詐騙、綁架等嚴(yán)重的刑事犯罪將接踵而至

Swire，PeterP.，F(xiàn)romReal-TimeInterceptstoStoredRecords：WhyEncryptionDrivestheGovernmenttoSeekAccesstotheCloud（April12，2012）.OhioStatePublicLawWorkingPaperNo.175.AvailableatSSRN：http：///abstract=2038871orhttp：///10.2139/ssrn.2038871.

。針對這一嚴(yán)峻形勢，世界上大約90個國家和地區(qū)頒布了法律，賦予個人控制由政府機關(guān)和私人機構(gòu)收集和使用的這些個人信息數(shù)據(jù)。幾個主要國際公約已在歐洲生效，亞非國家正在制定相關(guān)法律。國際機構(gòu)正在制訂國際公約，國際法庭也發(fā)布了有關(guān)的決定Banisar，David，TheRighttoInformationandPrivacy：BalancingRightsandManagingConflicts（March10，2011）.WorldBankInstituteGovernanceWorkingPaper.AvailableatSSRN：http：///abstract=1786473orhttp：///10.2139/ssrn.1786473.

二、中國個人信息法律保護的學(xué)理分歧

中國目前尚未制定公民個人信息保護的專門法律法規(guī)，雖然有近40部法律、30余部法規(guī)，以及近200部規(guī)章涉及個人信息保護，其中包括規(guī)范互聯(lián)網(wǎng)信息規(guī)定，醫(yī)療信息規(guī)定，個人信用管理辦法等，然而內(nèi)容較為分散，權(quán)責(zé)不明晰或者存在部門規(guī)章效力層級偏低等問題。

對公民個人信息提供何種法律保護或救濟，學(xué)術(shù)界存在幾種不同的觀點。

其一，刑法保護說。有學(xué)者認(rèn)為，在侵權(quán)行為日益猖獗的今天，僅僅以其他諸如民事制裁手段似乎很難遏制這種現(xiàn)象的滋生和蔓延，只有通過刑法這種最嚴(yán)厲的保障手段才能有效地對個人信息權(quán)進行保護[2]。將公民個人信息納入刑法保護范疇，將國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員界定為本罪主體。同時規(guī)定非法獲取信息者也可成為本罪主體。因此，中國刑法對本罪在為出售和非法提供信息行為時主要為身份犯，為非法獲取信息行為時一般主體可構(gòu)成本罪[3]。筆者認(rèn)為，對個人信息保護寄予刑法厚望不現(xiàn)實。誠然，中國刑法第253條規(guī)定了“出售、非法提供公民個人信息罪”及“非法獲取公民個人信息罪”，但刑法第253條所規(guī)定的犯罪主體局限于特殊主體，即國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，而對于其他一些主體如互聯(lián)網(wǎng)公司、汽車廠商、房地產(chǎn)中介機構(gòu)、賓館酒店等單位和機構(gòu)則排除在外。目前，利用刑法作為主要的法律手段打擊個人信息濫用的犯罪行為效果不佳。一方面，執(zhí)法官員缺乏足夠的資源來指控身份盜用行為；另一方面，與暴力犯罪和毒品犯罪相比，身份盜用被視為是一項輕罪，身份竊賊很難被抓住。身份竊賊經(jīng)常出現(xiàn)在許多不同的地點，執(zhí)法官員有時往往認(rèn)為身份盜用是別人的問題，身份盜用犯罪問題難以得到解決。一個評估報告稱，在700個身份盜用案件中，不到一個犯罪分子被定罪量刑。可見，刑法對身份竊賊的震懾效果有限，況且刑法對受害者的救助也少得可憐Solove，DanielJ.，TheNewVulnerability：DataSecurityandPersonalInformation（August9，2011）.SECURINGPRIVACYINTHEINTERNETAGE，Radin&Chander，eds.，StanfordUniversityPress，2008；GWULawSchoolPublicLawResearchPaperNo.102.AvailableatSSRN：http：///abstract=583483.

。

其二，侵權(quán)法保護說。針對個人信息，也有學(xué)者主張用侵權(quán)法來保護[4]。中國《侵權(quán)責(zé)任法》對個人信息保護雖然也有所規(guī)定，但該法第36條所規(guī)制的對象僅僅局限于網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)服務(wù)提供者。如同刑法救濟一樣，侵權(quán)責(zé)任法也屬于事后救濟，在互聯(lián)網(wǎng)時代需要對網(wǎng)絡(luò)安全以及個人信息進行全流程的監(jiān)管才更為有效。當(dāng)然，受害者可以尋求侵權(quán)法的救濟，但起訴濫用個人信息的違法犯罪分子往往是徒勞。因為違法犯罪分子有時候很難被發(fā)現(xiàn)，即便被發(fā)現(xiàn)了，他們的經(jīng)濟條件也非常有限。受害者也可以起訴泄露該個人信息的公司或者起訴許可竊賊以受害人名義設(shè)立帳戶的公司。雖然這種危害容易為人們所理解，但是法律必須確認(rèn)公司違反了其最起碼的注意義務(wù)以及由此引起的損害后果兩者之間因果關(guān)系的存在，這些要素更加難以確定。法律通常將身份竊賊、黑客或者個人信息的濫用者視為首犯。數(shù)據(jù)被盜用的公司往往也被視為受害者，它們也因為身份被盜用而遭受損失。即便法律認(rèn)定公司允許不正當(dāng)獲取個人信息主觀上存在過錯，進行法律訴訟仍存在一些障礙，很長一段時間之后才會發(fā)生實質(zhì)性的損害，個人信息可能多年以后才被不當(dāng)傳播并用于身份盜竊。此外，也很難偵查身份竊賊是從何處獲得個人信息并實施違法犯罪行為的。如果一件有形財產(chǎn)被盜，它在某個時期只存在于某一個特定地方，信息則可以為不同的人同時擁有，而且可以進一步傳播開來。除非我們能偵查到竊賊獲取信息的源頭，否則很難把具體損害與確保數(shù)據(jù)安全的特定實體兩者聯(lián)系起來Hon，W.Kuan，Millard，ChristopherandWalden，Ian，WhoisResponsiblefor'PersonalData'inCloudComputing？TheCloudofUnknowing，Part2（March21，2011）.InternationalDataPrivacyLaw（2012）2（1）：3-18；QueenMarySchoolofLawLegalStudiesResearchPaperNo.77/2011.AvailableatSSRN：http：///abstract=1794130.

。

其三，隱私權(quán)客體說。該理論起源于美國，主張個人信息是一種隱私利益，個人信息立法應(yīng)該采取隱私權(quán)保護模式。從形式邏輯出發(fā)，“個人信息”和“個人隱私”是包含關(guān)系，也就是說個人信息包含個人隱私，個人隱私是個人信息的下位概念，是個人信息的一部分。選擇“個人隱私”的立法和觀點主張法律保護個人信息是因為其涉及個人的隱私，換句話說，法律僅僅保護涉及個人隱私的個人信息，而不保護不涉及個人隱私的個人信息。而諸多個人信息并不涉及個人隱私，比如公開個人信息和瑣碎個人信息，而這些個人信息仍然需要個人信息保護法給予保護。法律對個人信息的保護，是對滿足一定條件的全部個人信息進行全面保護，并不只停留在保護隱私利益一個方面。個人信息保護法所保護的個人信息的法律要件是該信息具有“識別性”，而不是具有隱私利益。因此，“個人隱私”這一概念事實上將不涉及隱私的個人信息排除在保護范圍之外，顯不足取[5]104-105。進而言之，個人信息權(quán)與隱私權(quán)是兩個不同的權(quán)益范疇，兩者具有不可調(diào)和性。信息權(quán)法規(guī)定，公民有權(quán)獲取由政府機構(gòu)擁有的個人信息。同時，隱私權(quán)法律規(guī)定，個人有權(quán)控制由政府和私人機構(gòu)對其個人信息資料的收集、獲取或者使用。隱私權(quán)和個人信息權(quán)通常被描述為“一枚硬幣的兩面”――主要是作為補充權(quán)利，即促進個人權(quán)利的自我保護和增強政府的責(zé)任。隨著越來越多的國家進行相關(guān)的立法，隱私權(quán)法和個人信息權(quán)法之間的關(guān)系目前引起了全球范圍內(nèi)相當(dāng)大的討論。由于利益和價值的多元化需求，兩者之間必然會存在某些交叉重疊，也不可避免會導(dǎo)致一些沖突。例如，政府有時候因為各種原因需要獲取大量個人信息，記者進行新聞?wù){(diào)查，民間社會團體為問責(zé)而斗爭，個體需要知道政府部門做出某種決定的理由，公司為了營銷目的而尋求信息，歷史學(xué)家和學(xué)者則探究各種事件的來龍去脈等。對此，已有50多個國家分別頒布了隱私權(quán)法、數(shù)據(jù)保護法（dataprotectionlaws）和信息權(quán)法（RTIlaw）

Burk，DanL.，InformationEthicsandtheLawofDataRepresentations.UCIrvineSchoolofLawResearchPaperNo.2008-5；EthicsandInformationTechnology，Vol.10，pp.135-147，2008.AvailableatSSRN：http：///abstract=1104466orhttp：///10.2139/ssrn.1104466.

。

其四，人格權(quán)客體說。該學(xué)說認(rèn)為，個人信息體現(xiàn)的是一種人格利益，個人信息的保護應(yīng)該采取人格權(quán)的保護模式。“人格權(quán)客體說”以德國法為代表。德國1990年修改后的個人資料法第一章《一般條款》第1條規(guī)定：“本法旨在保護個人的人格權(quán)，使其不因個人資料的處置而遭受侵害。該法的目的是為了保護個人人格權(quán)在個人信息處理時免受侵害?！睆亩艞壛嗽瓉碜鳛椴皝砥返碾[私權(quán)理論，轉(zhuǎn)而尋求本國法律體系中比較完善的人格權(quán)理論。中國臺灣資料法也采用“人格權(quán)客體說”。該法第1條規(guī)定：“為規(guī)范個人資料之搜集、處理及利用，以避免人格權(quán)受侵害，并促進個人資料之合理利用，特制定本法。”[5]119-120人格權(quán)法對個人信息權(quán)的保護，重點應(yīng)確認(rèn)個人對其享有的信息的權(quán)利范圍、權(quán)利內(nèi)容（如對個人信息資料的處分權(quán)、要求更正權(quán)、更新權(quán)、了解信息資料用途的權(quán)利）；同時，應(yīng)當(dāng)規(guī)定有關(guān)收集利用信息資料的機構(gòu)或個人的義務(wù)，如強調(diào)收集個人資料的主體的合法性、強調(diào)收集個人資料的目的的合法性、強調(diào)收集個人資料的手段的合法性、強調(diào)個人資料收集者的保密義務(wù)和忠實義務(wù)、強調(diào)尊重被收集者所享有的權(quán)利、未經(jīng)被收集者的同意不得轉(zhuǎn)讓其個人資料等。從現(xiàn)代社會的發(fā)展對個人自由的擴展趨勢而言，強化個人對其信息資料的積極控制，即“控制自己資訊的權(quán)利”或“資訊自決權(quán)”，有相當(dāng)積極的作用，人格權(quán)法應(yīng)予以

積極地反映[6]。筆者認(rèn)為，采用人格權(quán)的保護模式來保護個人信息無疑是正確的選擇。但須注意的是，人格權(quán)與個人信息權(quán)亦是兩個不同的權(quán)益范疇，兩者既有交叉重疊的部分，也有不兼容之處。個人信息保護法的一半是民法，民法是調(diào)整平等主體之間財產(chǎn)關(guān)系和人身關(guān)系法律規(guī)范的總稱。個人信息保護法的“一半”是調(diào)整橫向的信息處理關(guān)系，且以個人信息為客體，而個人信息體現(xiàn)的是一種人格利益，屬于人身利益的一種，這都說明個人信息保護法是民法的特別法。民法就全部承載有人格利益的私人信息給予保護，而個人信息保護法僅就符合個人信息保護法規(guī)定的“個人信息”提供保護。民法保護的是全部承載人格利益的信息，筆者稱為“私人信息”。私人信息是指一切可以識別自然人的信息。區(qū)分“個人信息”與“私人信息”不是文字游戲，而是十分必要。民法對私人信息的保護分別納入人格權(quán)法的不同領(lǐng)域，如隱私、名譽等。而個人信息保護法僅保護形成記錄的、儲存于檔案內(nèi)的個人信息[5]182-182。

三、域外個人信息法律保護的立法例

就個人信息保護而言，目前存在美國的分散立法模式和歐盟的統(tǒng)一立法模式兩種范例，這兩種倫理框架在很大程度上明確了現(xiàn)代信息法的基本走向。必須指出的是，無論是基于效果論的立法體例還是自治論的立法體制，二者都是一把雙刃劍。美國信息法的立足點是實用主義，強調(diào)的是信息的實用價值，它所采取的是分散立法和行業(yè)自律相結(jié)合的模式。就公共領(lǐng)域而言，為了規(guī)范聯(lián)邦政府處理個人信息的行為，1974年頒行了《隱私法案》（PrivacyAct），該法案適用于美國公民和在美國取得永久居留權(quán)的外國人。在私法領(lǐng)域，美國則采取了分散立法模式，主要依靠自律機制實現(xiàn)對個人信息的保護。而歐盟信息法則以道義論（deontological）作為其理論基礎(chǔ)，該種立法體制側(cè)重的是對個人信息提供保護，堅持個體自治的價值JoelR.Reidenberg，ECommerceandTransAtlanticPrivacy，38Hous.L.Rev.717，730（2001）.

。

1996年，歐盟通過了《數(shù)據(jù)保護指令》，從而在歐盟國家確立了隱私權(quán)立法的基本原則。正如喬爾?雷登堡（JoelReidenberg）指出的，《數(shù)據(jù)保護指令》在其立法背景和基本理念上都異于美國。近年來，美國主要是通過市場而不是法律來解決隱私權(quán)的保護問題。與此相反，歐盟將隱私權(quán)視為基本的人權(quán)，因而政治上務(wù)必解決Solove，DanielJ.，ABriefHistoryofInformationPrivacyLaw.PROSKAUERONPRIVACY，PLI，2006；GWULawSchoolPublicLawResearchPaperNo.215.AvailableatSSRN：http：///abstract=914271.

。歐盟《數(shù)據(jù)保護指令》對個人信息提供了廣泛的保護手段和救濟措施，該綜合性方法與美國形成了鮮明的對比，后者只在各種狹窄的范圍內(nèi)規(guī)范隱私權(quán)參見中國臺灣《個人資料保護法》第2條之規(guī)定。

。歐盟各國基本上都制定了全面的信息保護法，一并規(guī)范公私領(lǐng)域中的信息處理行為。

德國個人資料保護法（即《防止個人資料處理濫用法》）在大陸法系國家最具代表性，它采取統(tǒng)一立法模式，對個人資料保護進行統(tǒng)一規(guī)范、統(tǒng)一保護。1982年“人口普查法”違憲案成為德國個人資料保護法發(fā)展的里程碑。之后，德國開始重新修訂個人資料保護法，1990年頒布施行，該法獲得了理論界和司法實務(wù)界的一致好評。首先，個人資料保護法確立了完備的原則體系。該法規(guī)定了直接原則、更正原則、目的明確原則、安全保護原則、公開原則、限制利用原則等。其次，個人資料保護法對監(jiān)督機制作出了完整而系統(tǒng)的規(guī)定，設(shè)置了個人資料保護委員對公務(wù)機關(guān)處理個人資料的情況進行監(jiān)督。同時還設(shè)置資料保護人對非公務(wù)機關(guān)處理個人資料進行監(jiān)督。最后，個人資料保護法確立了損害賠償制度。它是德國個人資料保護法的權(quán)利救濟措施，也是信息主體補救權(quán)利的最終途徑。德國個人資料保護法對個人資料的侵權(quán)行為分為行政侵權(quán)行為和民事侵權(quán)行為兩大類。該法對于基于這兩種侵權(quán)行為發(fā)生的損害賠償進行了明確的區(qū)分和界定，分別規(guī)定了不同的歸責(zé)原則和賠償范圍。對基于行政侵權(quán)行為發(fā)生的損害賠償適用無過錯責(zé)任原則，在賠償范圍的確定上，設(shè)定了明確的最高限額；而對民事侵權(quán)行為發(fā)生的損害賠償則適用過錯責(zé)任原則，在賠償范圍方面則實行全額賠償，沒有設(shè)定最高限額。

中國臺灣地區(qū)早在1995年8月就頒布了“電腦處理個人資料保護法”，然而，由于該法保護客體過于狹隘、適用主體過于狹隘等客觀原因，導(dǎo)致該法沉寂多年并未受到重視。鑒于最近幾年陸續(xù)發(fā)生個人資料大量外泄事件，臺灣執(zhí)政當(dāng)局和民眾開始高度關(guān)切，經(jīng)過多年努力，2010年4月27日終于通過新修訂的《個人資料保護法》。新法的最大亮點有：其一，適用主體更具廣泛性。舊“個資法”的適用主體僅為非公務(wù)機關(guān)。新法則規(guī)定，任何自然人、法人或其他團體，對個人資料的搜集、處理與利用原則上均受其調(diào)整。其二，擴大了保護客體。新法所保護的客體為所有個人資料，不再限于電腦處理的個人資料，人工處理的個人資料也包括在內(nèi)。其三，行為規(guī)范更加合理。新法要求個人資料搜集者應(yīng)于告知法定應(yīng)告知事項后，取得個人資料本人所為允許之書面意思表示方屬合法。甚且如系特定目的外利用個人資料需當(dāng)事人書面同意者，不得以概括方式取得其同意，而應(yīng)另以單獨書面同意方式為之[7]。其四，新法強化了行政監(jiān)管。一方面，為了強化對個人信息資料的保護，加重了目的事業(yè)主管機關(guān)的監(jiān)管責(zé)任。另一方面，為了防止個人資料被濫用，新法明確規(guī)定了行政機關(guān)的檢查事項及程序要求，從而規(guī)范了政府的行政行為。其五，規(guī)定了團體訴訟制度。為了鼓勵民間公益團體能參與個人信息的保護，同時方便受害人更好地行使損害賠償請求權(quán)，新法規(guī)定了團體訴訟制度。須注意的是，臺灣新個資法并不適用網(wǎng)絡(luò)環(huán)境下的社交行為，而是適用民法的相關(guān)規(guī)定。

四、中國個人信息法律保護的應(yīng)然選擇

個人信息保護問題本身跨越了憲法、行政法、民法和刑法等法律部門的界限，如果僅僅從某個部門法的角度觀察它難免會顧此失彼。表面上看，信息法保護的是個人資料，但實質(zhì)上，它不僅保護個人的隱私、自由和自治，事關(guān)個人人格的健全發(fā)展，它還具有重大的社會價值，關(guān)系到個人信息的公平、合理、高效流轉(zhuǎn)。資料保護的個人和社會雙重價值及資料保護問題的個人和社會雙重屬性，使資料保護法跨越了公法與私法的界限，涉足憲法、刑法、行政法和民法等部門法，任何一部傳統(tǒng)的部門法單憑一己之力均無法完成個人信息法治化流轉(zhuǎn)的使命。這就要求制定一部專門的資料保護法，使它成為規(guī)制個人資料收集、使用、加工和散播等整個信息流轉(zhuǎn)過程的基礎(chǔ)性法律。因此，中國亟需出臺的不是針對某個領(lǐng)域、行業(yè)或某類資料處理的條例、管理辦法、指導(dǎo)意見、行為守則，也不只是對刑法、行政法和民法中涉及資料保護的部分進行簡單的修補，最亟需的是憲法指導(dǎo)下的一部個人資料保護法[8]。筆者認(rèn)為，在借鑒域外成功立法經(jīng)驗的基礎(chǔ)上，中國應(yīng)該制定一部統(tǒng)一的“個人信息法”，確立個人信息保護的基本原則，明晰個人信息保護的各種法律關(guān)系，同時健全個人信息的救濟措施和制度。

（一）個人信息法基本原則的確立

個人信息法基本原則體現(xiàn)了信息法的基本價值，集中反映了信息法立法的宗旨和目的，對各項信息法律制度和信息法的規(guī)范起統(tǒng)帥和指導(dǎo)作用，也是指導(dǎo)我們立法、司法和實踐活動的基本準(zhǔn)則。一般認(rèn)為，中國個人信息法應(yīng)該確立以下幾個基本原則：第一，信息收集限制原則。應(yīng)該嚴(yán)格限制對個人信息的收集，所有的信息應(yīng)該是通過合法正當(dāng)?shù)耐緩胶褪侄潍@取的，而且信息主體應(yīng)知情或者必須取得其同意。第二，信息質(zhì)量原則。個人信息應(yīng)該與其所使用的目的相關(guān)，而且在必要限度內(nèi)，這些信息應(yīng)該是準(zhǔn)確、完整及最新的。第三，目的明確原則。個人信息收集的目的至遲在收集數(shù)據(jù)的當(dāng)時應(yīng)該明確，隨后對信息的使用應(yīng)僅限于實現(xiàn)該目的；每一次目的發(fā)生變化時，應(yīng)進行具體說明，禁止超出該目的的范圍收集和儲存?zhèn)€人資料。第四，安全保障原則。個人信息應(yīng)該處于安全保護中，避免可能發(fā)生的個人信息的泄露、意外滅失和不當(dāng)使用。第五，公開原則。即個人信息的收集、利用與處理一般應(yīng)當(dāng)保持公開，本人有權(quán)知悉個人信息的收集、利用和處理情況。第六，個人參與原則。為了保護個人信息的內(nèi)容正確與完整，信息主體有權(quán)要求信息管理者確認(rèn)是否獲取了個人的相關(guān)信息，有權(quán)以合理的方式獲得個人相應(yīng)的信息，有權(quán)對相關(guān)的信息提出質(zhì)疑，有權(quán)要求信息管理者糾正信息管理中的錯誤，也有權(quán)修改、完善或者刪除個人相關(guān)信息參見《江蘇省信息化條例》第43條之規(guī)定及《河北省信息化條例》第56條之規(guī)定。

。第七，責(zé)任原則。信息管理者應(yīng)該嚴(yán)格依法收集或使用個人信息，不能給信息主體造成任何傷害。否則，就要承擔(dān)相應(yīng)的法律責(zé)任。

（二）準(zhǔn)確界定個人信息法律關(guān)系的主體制度

在個人信息保護法中，盡管法律關(guān)系主體包括自然人、國家機關(guān)、企事業(yè)法人、社會團體及其他非法人組織。但信息權(quán)利主體僅限于自然人，法人不能作為個人信息保護法律關(guān)系的權(quán)利主體。法人資料的功能和自然人不同，法人資料作為法人的一種信息資源，應(yīng)該由其他法律加以保護，如民法、商業(yè)秘密保護法、反不正當(dāng)競爭法等。從各國立法例看，大部分國家均采取這樣的立場，認(rèn)為個人信息保護法律關(guān)系的權(quán)利主體只限于自然人，對保護主體作為的是狹義的解釋[9]。一般而言，信息主體就其個人信息資料而言依法享有查詢或請求閱覽，請求制給復(fù)制本，請求補充或更正，請求停止搜集、處理或利用及請求刪除等權(quán)利。

個人信息保護法律關(guān)系的義務(wù)主體一般分為兩大類，即國家機關(guān)和非國家機關(guān)。國家機關(guān)是指從事國家管理和行使國家權(quán)力的機關(guān)，主要包括權(quán)力機關(guān)，行政機關(guān)和司法機關(guān)。國家機關(guān)一般是出于國家安全或者公共利益的需要而收集、處理和利用個人信息，但國家機關(guān)為履行職責(zé)而收集個人信息時應(yīng)當(dāng)在職權(quán)范圍內(nèi)進行，沒有信息主體的書面同意，不得超越職權(quán)收集個人信息，不得侵害當(dāng)事人的合法權(quán)益。政府機關(guān)在收集個人信息、建立個人信息數(shù)據(jù)庫時，必須發(fā)布公告。政府機關(guān)必須保持個人信息的準(zhǔn)確性、及時性和完整性，并保障信息的安全。

非國家機關(guān)是指國家機關(guān)以外的企業(yè)法人、非法人組織和其他自然人。非國家機關(guān)收集、處理和利用個人信息往往是出于商業(yè)目的，因此，對這類主體收集、處理和利用個人信息的條件應(yīng)比國家機關(guān)更為嚴(yán)格。非國家機關(guān)未經(jīng)登記管理機關(guān)進行業(yè)務(wù)資格登記并發(fā)給執(zhí)照的，不得收集個人信息。以個人信息收集或處理為主要業(yè)務(wù)的自然人、法人或其他信息處理主體，除非獲得主管部門的批準(zhǔn)并經(jīng)登記管理機關(guān)進行業(yè)務(wù)資格登記并發(fā)給執(zhí)照，否則不得收集個人信息[10]。非國家機關(guān)搜集或處理個人信息必須符合以下條件：（1）法律明確規(guī)定；（2）與當(dāng)事人有契約或類似契約關(guān)系的存在；（3）當(dāng)事人自行公開或其他已合法公開的個人信息；（4）學(xué)術(shù)研究機構(gòu)基于公共利益而進行統(tǒng)計或?qū)W術(shù)研究活動；（5）經(jīng)當(dāng)事人書面同意；⑹須與公共利益有關(guān)。

（三）明晰個人信息法律關(guān)系的客體制度及其對象

眾所周知，民事法律關(guān)系的客體是指民事權(quán)利和民事義務(wù)所指向的對象。確切地說，民事法律關(guān)系的客體是指民事權(quán)利和民事義務(wù)所發(fā)生的事物。民事主體基于一定的對象而確定相互間的權(quán)利義務(wù)，沒有客體，民事權(quán)利義務(wù)就會落空，也就不存在民事法律關(guān)系[11]。同理，信息法律關(guān)系的客體，是指信息主體所享有的民事權(quán)利和義務(wù)主體在收集、處理及利用個人信息過程中所應(yīng)該承擔(dān)的民事義務(wù)兩者所共同指向的對象。由此可見，個人信息法律關(guān)系的客體指的是對個人信息的收集、處理及利用等行為。實踐中，個人信息經(jīng)常被濫用（abuse），從而發(fā)生身份盜用、詐騙、跟蹤、濫用市場（例如垃圾郵件或電話推銷）以及對信息主體進行監(jiān)視等。這些濫用行為將會導(dǎo)致一些實質(zhì)性傷害，例如經(jīng)濟損失、情緒困擾，甚至身體暴力等。身份盜用對于受害人而言簡直就是一場夢靨。犯罪分子通過使用受害人的個人信息獲得貸款，公開詐騙帳戶，侵占受害人帳戶中的財產(chǎn)。當(dāng)身份盜用發(fā)生之后，受害者的個人檔案因為錯誤信息而被玷污……因為犯罪分子盜用受害人的個人信息，導(dǎo)致執(zhí)法數(shù)據(jù)庫將受害者的名字與盜用者的犯罪活動聯(lián)系起來[9]?？梢姡?guī)范對個人信息的收集、處理及利用意義重大。

個人信息法律關(guān)系的對象是信息主體的個人信息。在個人信息的定義上，有概括型、概括列舉型和識別型三種模式。概括型定義就是單獨使用概括的方法描述個人信息的定義方式；列舉型是單獨使用列舉的方法界定個人信息的定義模式。單獨使用列舉型定義的立法十分少見，而大部分采取混合型定義模式或者概括型定義模式。識別型模式就是以識別為核心要素對個人信息進行界定的定義方式。相比較而言，識別型定義是目前國際和國內(nèi)立法采用較多的個人信息定義方式[5]109。筆者認(rèn)為，我們可以在參考《侵權(quán)責(zé)任法》第2條第2款立法模式的基礎(chǔ)上采取識別型定義法，即中國《個人信息法》中所講的個人信息――自然人姓名、出生年月日、身分證統(tǒng)一編號、護照號碼、特征、指紋、婚姻、家庭、教育、職業(yè)、病歷、醫(yī)療、基因、性生活、健康檢查、犯罪前科、聯(lián)絡(luò)方式、財務(wù)情況、社會活動及其他得以直接或間接方式識別該個人的信息參見中國臺灣《個人資料保護法》第2條之規(guī)定。。

（四）構(gòu)建健全的個人信息權(quán)利救濟和保護制度

與個人信息安全相關(guān)的核心問題是商業(yè)活動和政府行為。我們需要重構(gòu)個人信息權(quán)與企業(yè)及政府的關(guān)系，也就是說，當(dāng)企業(yè)及政府機構(gòu)收集并利用個人信息時，他們怎樣對待，這是我們需要嚴(yán)肅思考的問題。目前，個人信息的采集者和使用者往往對此不負(fù)責(zé)任。個人信息遭到收集和使用，然而信息主體根本就不知道也無力掌控這些信息的安全性。對于收集和利用個人信息資料的公司企業(yè)須在多大程度上對信息主體承擔(dān)責(zé)任，法律竟然沒有明確規(guī)定[5]。個人信息權(quán)是一項重要的人權(quán)，建構(gòu)健全的權(quán)利救濟制度對信息主體至關(guān)重要。

筆者認(rèn)為，應(yīng)該從以下幾個方面完善個人信息權(quán)利救濟制度。（1）法律應(yīng)該明確規(guī)定，國家機關(guān)和非國家機關(guān)在收集、處理或利用個人信息時，應(yīng)當(dāng)尊重當(dāng)事人的合法權(quán)益，依誠實信用方法為之，不得逾越特定目的的必要范圍，并應(yīng)與收集的目的具有正當(dāng)合理的關(guān)聯(lián)。（2）歸責(zé)原則的確定。一般認(rèn)為，國家機關(guān)違反法律規(guī)定，導(dǎo)致個人資料遭不法搜集、處理、利用或者導(dǎo)致其他侵害行為發(fā)生的，須承擔(dān)無過錯責(zé)任原則。例如，德國《個人資料保護法》第7條規(guī)定：“當(dāng)公務(wù)機關(guān)在本法或其他資料保護規(guī)定下，由于未經(jīng)許可或不正確的個人資料自動化處理對資料本人造成損害的，公務(wù)機關(guān)有責(zé)任賠償本人的損失，而不論其是否有過錯?！睂τ诜菄覚C關(guān)違反法律規(guī)定，導(dǎo)致個人資料遭不法搜集、處理、利用或者導(dǎo)致其他侵害行為發(fā)生，行為人不能證明自己沒有過錯的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。進言之，非國家機關(guān)對其民事侵權(quán)行為導(dǎo)致?lián)p害后果發(fā)生的，應(yīng)承擔(dān)過錯責(zé)任。例如，中國臺灣《個人資料保護法》第29條規(guī)定：“非公務(wù)機關(guān)違反本法規(guī)定，致個人資料遭不法搜集、處理、利用或其他侵害當(dāng)事人權(quán)利者，負(fù)損害賠償責(zé)任。但能證明其無故意或過失者，不在此限。”（3）損害賠償額的計算方法。鑒于個人信息上的侵害，往往難以計算具體的數(shù)額，因此，個人信息保護法往往通過定額賠償制度來計算損害。但計算機處理個人信息的規(guī)模宏大，由于限定了最高額賠償，可能使一些超過了最高額賠償?shù)膿p害無法得到賠償。在此情況下，應(yīng)允許當(dāng)事人依據(jù)民法主張賠償全部損害。對于高出法定賠償額的部分，當(dāng)事人可以依據(jù)民法請求賠償，當(dāng)事人應(yīng)該承擔(dān)民法規(guī)定的證明責(zé)任[5]184。（4）行政責(zé)任及刑事責(zé)任的規(guī)定。筆者認(rèn)為，中國個人信息法可以進行如下規(guī)定：任何單位和個人不得非法披露所采集的信息，不得將獲取的公民、法人和其他組織的信息出售或者以其他方式非法提供給他人，不得以竊取、購買等方式非法獲取前述信息。違反法律規(guī)定非法披露、出售、提供信息，或者以竊取、購買等方式非法獲取信息的，由國家行政主管部門責(zé)令其刪除信息，沒收違法所得，對單位處以10萬元以上50萬元以下罰款，對個人處以1萬元以上5萬元以下