人類社會已經(jīng)邁入信息化時代，個人信息處理和流動已經(jīng)成為普遍的現(xiàn)象。個人信息的合理利用在便利人們生活、推動經(jīng)濟社會發(fā)展的同時，個人信息濫用也到了無以復加的地步，并衍生為嚴重的社會問題。在我國，近年來濫用個人信息、非法提供、出售公民個人信息的案件日益多發(fā)，比較典型的有：2008年深圳孕產(chǎn)婦個人信息泄露案，2010年中國移動、中國聯(lián)通員工涉嫌非法提供、出售公民個人信息案等[1]。個人信息濫用的嚴峻現(xiàn)實不得不引起我們對我國個人信息保護現(xiàn)狀的深刻反思和檢討。他山之石，可以攻玉。德國在個人信息保護方面已經(jīng)積累了較為成熟的經(jīng)驗，通過對德國個人信息保護立法模式的介紹和研究，可以為我國個人信息保護立法提供有益借鑒。

一、我國濫用個人信息的表現(xiàn)形式及立法保護現(xiàn)狀

在我國，濫用從合法或非法途徑獲得的個人信息的表現(xiàn)形式多樣，危害嚴重。（1）個人信息買賣交易。將手頭掌握的個人信息拿來買賣交易而牟取非法利益，由此形成買賣個人信息的“地下產(chǎn)業(yè)”。（2）對采集到的個人數(shù)據(jù)進行未經(jīng)許可的二次開發(fā)利用，為細分市場、制定營銷戰(zhàn)略提供依據(jù)，進而實施對重點人群或重點客戶的定向強制推銷，嚴重侵犯個人安寧生活的權(quán)利。（3）擅自公開、傳播、散布個人信息，實施造謠中傷、添加不實的損害性評論等侵權(quán)行為以及誹謗、侮辱他人人格的犯罪行為。（4）盜用他人個人信息實施詐騙等違法犯罪活動，造成個人信息主體財產(chǎn)損失，危及個人信息主體生命安全。（5）境外勢力通過對特定人群個人信息的非法采集，以此刺探科技情報和經(jīng)濟情報，嚴重威脅我國國防安全和經(jīng)濟安全。

我國目前沒有專門的個人信息保護法，涉及隱私的個人信息主要以人格權(quán)、隱私權(quán)等形式來加以保護。相關(guān)規(guī)定散見于憲法、民事法律及司法解釋、刑事法律、訴訟法律、行政法律法規(guī)或規(guī)章之中。具體包括：憲法、民法通則和侵權(quán)責任法對公民一般人格權(quán)和隱私權(quán)保護的規(guī)定；刑法對誣告陷害、侮辱誹謗他人犯罪，非法搜查和非法侵入犯罪，侵犯公民通信自由權(quán)利犯罪，出售、非法提供、非法獲取公民個人信息犯罪的規(guī)定；民事訴訟法、刑事訴訟法、行政訴訟法和預防未成年人犯罪法就涉及個人隱私案件的不公開審理作出了規(guī)定；律師法和公證法就保守當事人個人隱私作出了規(guī)定；未成年人保護法、婦女權(quán)益保障法和消費者權(quán)益保護法分別就未成年人個人隱私、婦女人格權(quán)和消費者人格權(quán)保護作出了規(guī)定；居民身份證法、護照法、統(tǒng)計法、社會保險法、商業(yè)銀行法、反洗錢法、勞動爭議調(diào)解仲裁法、傳染病防治法、執(zhí)業(yè)醫(yī)師法、郵政法等法律就個人信息保密和個人隱私保護分別作出了規(guī)定；中華人民共和國電信條例、全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定、計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法、互聯(lián)網(wǎng)信息服務(wù)管理辦法、互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定、計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法、互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定、互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法、個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法等法規(guī)、規(guī)章對個人信息保護事項作出了規(guī)定。

綜觀我國個人信息保護立法現(xiàn)狀，不足之處在于：（1）我國涉及個人信息保護的法律法規(guī)數(shù)量龐雜，相互之間缺乏系統(tǒng)性和協(xié)調(diào)性，相關(guān)制度不夠健全、監(jiān)督和救濟機制不盡完善，個人信息主體的權(quán)利難以得到全面有效的保護。（2）缺乏一部專門的規(guī)范個人信息保護的龍頭法律——個人信息保護法，個人信息的定義、個人信息的范圍、個人信息保護原則、個人信息保護執(zhí)法主體、個人信息主體和個人信息采集管理主體的權(quán)利義務(wù)、法律責任及救濟等不甚明確或不夠完善，不利于對濫用個人信息違法犯罪行為的打擊制裁和對個人信息主體合法權(quán)益的保護。（3）我國憲法和法律中關(guān)于個人信息的保護規(guī)定，主要是從保護一般人格權(quán)和隱私權(quán)的角度進行規(guī)范，并未涵括一般人格權(quán)和隱私權(quán)之外的大量個人信息。刑法修正案（七）雖然新增了“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”，但是兩罪規(guī)定的犯罪主體范圍過窄，不能涵蓋所有出售或者非法提供公民個人信息的主體。另外，構(gòu)成該罪必須達到“情節(jié)嚴重”的標準不具有可操作性。（4）我國民法、刑法和侵權(quán)責任法等法律關(guān)于涉及個人信息保護的規(guī)定大部分屬于事后救濟規(guī)范，無法實現(xiàn)對個人信息采集、保管和利用等環(huán)節(jié)的全流程監(jiān)管；有關(guān)涉及個人信息保護的行政法律和行政法規(guī)多數(shù)也是原則性規(guī)定，缺乏操作性；我國業(yè)已出臺的與利用互聯(lián)網(wǎng)有關(guān)的個人信息保護行政法規(guī)和規(guī)章效力層級較低，執(zhí)行起來難度很大，難以有效遏制利用網(wǎng)絡(luò)濫用個人信息的違法行為。

二、德國個人信息保護立法概況及特點

德國黑森州于1970年頒布了世界第一部個人信息保護立法——資料保護法。德國國會于1970 年起著手制定聯(lián)邦資料保護法草案，經(jīng)過長達6 年的反復討論與修改，聯(lián)邦個人資料保護法最后于1976 年全文通過，1977 年生效。該法的正式名稱是防止個人資料處理濫用法（人們習慣稱其為聯(lián)邦資料保護法），共有6章47個條文，分為總則、公務(wù)機關(guān)的資料處理、非公務(wù)機關(guān)為自己目的的資料處理、非公務(wù)機關(guān)為他人目的的營業(yè)性資料處理、罰則、過渡與例外條款[2]。該法生效后，歷經(jīng)1980年、1990年和2001年三次修正。在此期間，在德國發(fā)生了著名的“人口普查法案”憲法訴訟[3]，該案的判決由于確立了公民的“信息自決權(quán)”而成為德國個人信息保護發(fā)展史上具有里程碑意義的事件，憲法判決關(guān)于信息自決權(quán)的規(guī)定，奠定了個人資料保護的憲法基礎(chǔ)。受聯(lián)邦憲法法院1983 年判決的影響，德國對個人資料保護法進行了再一次修訂并于1990年12月完成修正并公布，修正后條文減為5章44條，內(nèi)容更為充實，理念得到了很大程度的更新。這次修正將國家安全機關(guān)對個人資料的收集與處理納入了個人資料保護法[4]。根據(jù)歐盟資料保護指令的要求，德國議會對1990 年聯(lián)邦資料保護法進行了修訂并于2001 年5 月23 日通過了修改后的聯(lián)邦資料保護法。相較于1990 年聯(lián)邦資料保護法，2001年聯(lián)邦資料保護法擴大了個人信息保護法的適用范圍，首次將非公有領(lǐng)域的、非商業(yè)性的信息行為納入調(diào)整范圍。適用范圍的擴大還表現(xiàn)在加強規(guī)范力度方面，具體而言是指將禁止收集原則、直接收集原則、目的特定原則的適用范圍從國家機關(guān)擴大到了非國家機關(guān)。州層面的地方立法和針對具體行業(yè)個人信息保護問題進行的專門立法也是德國個人信息保護法律的組成部分。美國“9·11 事件”之后，德國以反恐為名擴大了國家機關(guān)收集或處理個人信息的權(quán)限，相關(guān)規(guī)定主要體現(xiàn)在打擊恐怖主義法（2002 年）、打擊恐怖主義補充法（2007年）、電信監(jiān)視法（2007 年）等法律之中[5] 。

德國聯(lián)邦個人資料保護法是大陸法系國家最有代表性的一部個人資料保護專法，它采取統(tǒng)一立法模式，以信息自決權(quán)為憲法基礎(chǔ)、一般人格權(quán)為民法基礎(chǔ)，對個人信息給予保護[6]。在立法體例上，德國聯(lián)邦資料保護法采取的是“總分總”的格局，對公、私領(lǐng)域的信息行為均加以規(guī)范。但從立法進程來看，德國對公、私領(lǐng)域信息行為的態(tài)度，經(jīng)過了“差別巨大——差異縮小——差距重新擴大”的過程，德國個人信息保護法的發(fā)展，是典型的“螺旋式上升，波浪式前進”，在否定之否定中不斷完善，以適應(yīng)現(xiàn)實需要的過程[7]。綜觀世界各國（地區(qū)）對個人信息保護立法的現(xiàn)狀，主要有統(tǒng)一立法、分散立法和統(tǒng)分結(jié)合立法三種立法模式。統(tǒng)一立法模式是指通過一部統(tǒng)一的法律來規(guī)范公共機構(gòu)或私營部門對個人信息的處理行為。德國是對個人信息保護采取統(tǒng)一立法模式的典型國家，從全球來看，統(tǒng)一立法模式是發(fā)展趨勢，世界上多數(shù)國家都采用了統(tǒng)一立法模式。統(tǒng)一立法模式對公共部門和非公共部門采取同一標準，有利于保證法律適用的統(tǒng)一性。

三、德國個人信息保護立法對我國的啟示

我國當前正處于社會轉(zhuǎn)型加速和信息化深入發(fā)展的歷史階段，社會矛盾凸顯、恐怖主義時有威脅，治安管理、社會管理和社會建設(shè)任務(wù)繁重，公共部門采集個人信息已是常態(tài)化的日常工作，非公共部門和個人處理個人信息的現(xiàn)象也非常普遍。我國目前分散的以保護隱私權(quán)等一般人格權(quán)的法律規(guī)定難以有效預防和打擊濫用個人信息的違法犯罪行為，濫用個人信息已經(jīng)成為嚴重的社會問題。因此，我國應(yīng)當立足自己國情與法律傳統(tǒng)，充分吸收、借鑒德國的立法經(jīng)驗，采取對公共部門和非公共部門的個人信息處理行為進行統(tǒng)一立法的模式。在此基礎(chǔ)上，對涉及個人信息保護的其他法律法規(guī)作出適當修改完善，實現(xiàn)個人信息保護基本法律與其他法律法規(guī)的有機協(xié)調(diào)。

（一）借鑒統(tǒng)一立法模式出臺個人信息保護法

為了規(guī)范各種個人信息處理行為、強化對個人信息的全面保護，我國迫切需要出臺一部保護個人信息的基本法律——個人信息保護法。在立法模式和和立法體例上，可以借鑒德國的立法經(jīng)驗，采取公共部門和非公共部門統(tǒng)一立法的模式。在立法體例上，采用“總分總”的篇章結(jié)構(gòu)： 即首先界定適用范圍、術(shù)語含義和基本原則，該部分內(nèi)容對公、私領(lǐng)域同樣適用。繼而分章規(guī)定國家機關(guān)和非國家機關(guān)在個人信息收集、存儲、處理和利用方面的要求，最后再統(tǒng)一規(guī)定法律責任機制[8]。主要內(nèi)容包括：（1）個人信息的定義與范圍。對個人信息可作如下定義：個人信息是指可識別的與自然人有關(guān)的任何信息，包括但不限于姓名、出生年月以及其他內(nèi)容而可以識別出特定個人的部分，包括自動或者非自動方式處理的各種個人信息。這種概括列舉式的規(guī)定具有一定的開放性，好處在于可以將隨著科技發(fā)展而增加的個人信息類型納入全面保護的范圍。個人信息主體應(yīng)當包括生存著的和已死亡的自然人。之所以將已死亡的自然人的個人信息也納入保護范圍，原因在于如果承認個人信息之上存在人格利益，就應(yīng)當對已死亡的自然人的個人信息實行一體保護，尤其是涉及已死亡的自然人的隱私等個人信息時更應(yīng)如此，對此我國司法解釋已對死者的隱私等人格利益保護作出了明確規(guī)定。（2）關(guān)于個人資料保護的原則。可以參照經(jīng)濟合作與發(fā)展組織（OECD）、歐盟和德國的做法，確立我國個人信息保護的原則，這些原則包括：①直接原則。應(yīng)該直接向個人信息主體本人收集個人信息。②目的明確和限制利用原則。收集個人信息的目的應(yīng)該在收集之前列明，并且隨后的使用應(yīng)限于實現(xiàn)這些目的。③信息品質(zhì)原則。個人信息處理應(yīng)做到公正、合法的收集和處理；基于特定、明確、合法的目的收集、處理信息；個人信息的收集和處理必須充分，不能過度、不能超越目的范圍；必須完整、準確，并保持信息最新狀態(tài)；以可識別的信息主體允許的形式保存。④禁止收集原則及其例外。除非法律另有規(guī)定，否則禁止收集、處理個人信息。但以下情形除外：國家機關(guān)為履行公共職責需要可以不經(jīng)個人信息主體同意直接收集處理個人信息；非國家機關(guān)在征得個人信息主體同意并聲明使用目的的前提下可以收集處理個人信息。因?qū)覚C關(guān)公職人員履職情況監(jiān)督需要，新聞媒體和公民個人無須征得個人信息主體的同意可以收集處理個人信息，但必須遵守法律法規(guī)的規(guī)定。禁止收集處理涉及種族、政治、宗教信仰、健康狀況、性生活和性取向等個人信息。⑤查詢和更正原則。個人信息主體有權(quán)查詢本人信息，有權(quán)更正不正確的個人信息。第三方查詢公共記錄中的個人信息必須嚴格遵循程序和目的限制的規(guī)定。⑥安全保護原則。個人信息應(yīng)該受到合理的安全保護，以免發(fā)生諸如丟失或未經(jīng)授權(quán)的獲取、破壞、使用、修改或披露。（3）權(quán)利和義務(wù)。依據(jù)個人信息保護的基本原則，國家機關(guān)為履行公共職責需要有權(quán)收集處理公民個人信息。公共部門和非公共部門對收集處理的個人信息負有保密義務(wù)、更正義務(wù)等。個人信息主體享有“個人信息自決權(quán)”，包括決定權(quán)、保密權(quán)、知情權(quán)、更正權(quán)、禁止權(quán)、報酬請求權(quán)和救濟權(quán)。（4）個人信息保護機構(gòu)。國家應(yīng)當設(shè)置統(tǒng)一的個人信息保護委員會，負責個人信息保護法律執(zhí)行情況的監(jiān)督，受理與個人資料保護有關(guān)的申訴，為個人信息主體提供救濟，對個人信息保護行業(yè)自律進行指導監(jiān)督。（5）法律責任。對侵害他人信息的行為，根據(jù)情節(jié)輕重分別規(guī)定民事責任、行政責任或刑事責任。

（二）個人信息保護法與其他相關(guān)法律的有機協(xié)調(diào)

我國將來出臺個人信息保護法還要注意和已有的關(guān)于保護個人信息的法律規(guī)定保持協(xié)調(diào)，完善和構(gòu)建個人信息的事前預防、事中規(guī)范、事后救濟的保護體系。在個人信息保護法對濫用個人信息行為規(guī)定民事責任、行政責任和刑事責任的基礎(chǔ)上，必須適時修訂已有民事法律、行政法律和刑事法律中關(guān)于個人信息保護的規(guī)定，實現(xiàn)法律之間的有機銜接。（1）與民法、合同法、侵權(quán)法等民事法律的協(xié)調(diào)。例如，對于非公共部門在商務(wù)活動中濫用個人信息的行為，個人信息主體可以依據(jù)合同法上的附隨義務(wù)追究違約責任，或者根據(jù)侵權(quán)法追究侵權(quán)責任。故意或過失泄露個人信息的管理者和具體實施侵權(quán)行為的侵權(quán)人應(yīng)當承擔連帶責任。對于濫用個人信息的侵權(quán)行為，個人信息主體有權(quán)請求侵權(quán)人承擔侵權(quán)責任，造成嚴重精神損害的，有權(quán)請求精神損害賠償。（2）與行政法律的協(xié)調(diào)。對于公共部門在履行職責過程中處理個人信息的不當或違法行為，造成嚴重后果的，應(yīng)當依法對直接負責的主管人員和其他直接責任人員給予行政處分。侵犯他人個人信息自主權(quán)并且情節(jié)嚴重的，可以采取罰款等行政處罰措施予以制裁。（3）與刑事法律的協(xié)調(diào)。修訂刑法修正案（七）關(guān)于“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”的規(guī)定，將兩罪犯罪主體的范圍拓寬至任何處理個人信息的人員；對刑法修正案（七）關(guān)于“情節(jié)嚴重”的規(guī)定作進一步細化，使之更具操作性；增設(shè)“非法披露公民個人信息罪”，未經(jīng)個人信息主體同意，非法披露或非法公開個人信息，造成嚴重后果的，應(yīng)當追究刑事責任。

注釋：

[1]參見網(wǎng)易新聞中心：《深圳10萬孕產(chǎn)婦信息遭泄密，泄密光盤1.2萬張》， http：//gd.news.163.com/08/0610/09/4E2KJFRO0036008A.html；中國質(zhì)量新聞網(wǎng)：《首例電信企業(yè)員工泄露公民個人信息案近日宣判》，http：//www.cqn.com.cn/news/wqpd/wqxw/369820.html，2012年9月25日訪問。

[2][4]齊愛民主編：《個人資料保護法原理及其跨國流通法律問題研究》，武漢大學出版社2004年版，第68、69～70頁。

[3]參見羅明通等：《電腦法》（下），臺灣群彥圖書股份有限公司1994年版，第506頁。

[5][7][8]蔣舸：《個人信息保護法立法模式的選擇——以德國經(jīng)驗為視角》，載《法律科學》2011年第2期。

[6]齊愛民：《拯救信息社會中的人格——個人信息保護法總論》，北京大學出版社2009年版，第48頁。

（作者系復旦大學法學院博士研究生、甘肅省社會科學院副研究員）