周　東

?

大數(shù)據(jù)時代下的個人信息與隱私*——基于域外法的比較研究

周東＊＊

［摘要］個人信息保護的問題在大數(shù)據(jù)時代的背景下愈發(fā)引起人們的思考和重視。然而，要在我國構(gòu)建合理的“個人信息保護網(wǎng)”，一個基礎性問題是對個人信息與隱私的內(nèi)涵進行辨析和區(qū)分。但國內(nèi)對此研究甚少，多是一概而論。參考在該領域較成熟的域外法，歐盟是將個人信息保護作為獨立的救濟途徑，與隱私保護雙管齊下;而美國則是將個人信息徑直通過“隱私渠道”來進行保護。但兩者均將個人信息與隱私在概念上區(qū)分開來。在我國法律環(huán)境下，個人信息保護可以適當參考美國司法實踐的做法。

［關鍵詞］個人信息隱私大數(shù)據(jù)

＊就法律名稱使用而言，全世界制定個人信息保護法的國家主要采用三個概念:個人數(shù)據(jù)、個人信息和隱私。本文重點旨在區(qū)分個人信息與隱私之間的關系，對個人信息與個人數(shù)據(jù)的關系在后文會略做比較。

＊＊周東，北京市人民代表大會常務委員會工作人員( 100000)。

引言

隨著物聯(lián)網(wǎng)、云計算的興起，電子商務與社交網(wǎng)絡邁進全新的發(fā)展階段，龐大的數(shù)據(jù)資產(chǎn)開始包圍著人們的工作與生活，象征著大數(shù)據(jù)時代的浪潮洶涌襲來。所謂“大數(shù)據(jù)”，目前并無確切統(tǒng)一的界定，因而在各個業(yè)界領域中呈現(xiàn)出不同的外延。不過，根據(jù)維克托教授所描述，這個概念最初始、最本源的特征即是指“信息量過大”，在此基礎上則衍生出區(qū)別于純粹“海量數(shù)據(jù)”的總體性、混雜性和相關性的特征。〔1〕參見［英］維克托·邁爾·舍恩伯格、肯尼斯·庫克耶:《大數(shù)據(jù)時代:生活、工作與思維的大變革》，盛楊燕、周濤譯，浙江人民出版社2013年版，第8、27～67頁。個人信息則在這個背景下被電子化、數(shù)字化，不可阻擋地成為數(shù)據(jù)洪流中的重要部分。然而，大數(shù)據(jù)時代帶給人們新型、高效的信息處理模式的同時，也帶來了嚴重的個人信息安全問題，引發(fā)人們的深思和擔憂。

我國現(xiàn)行法律框架中還沒有專門的個人信息保護規(guī)定，有關個人信息直接或間接保護的內(nèi)容散見于各階層的法律規(guī)范中?！?〕據(jù)統(tǒng)計，我國涉及到個人信息保護的法律法規(guī)有:全國人大及其常務委員會發(fā)布的法律近40部，國務院發(fā)布的行政法規(guī)近30部，工信部、銀監(jiān)會、保監(jiān)會等部門發(fā)布的部門規(guī)章近200部。參見羅錦莉:“大數(shù)據(jù)時代下，尷尬的用戶隱私”，載《金融科技時代》2012年第12期，第31頁。這種立法滯后的狀況既導致司法實踐中的混亂，也引起學術領域的各種討論。特別是個人信息以何種方式獲得保障，是依附隱私還是單獨設權，成為研究重點。有學者主張通過隱私途徑，但只是將兩者簡單等同起來，提出“個人信息隱私權”這樣模棱兩可的概念。而筆者認為，在深入分析該問題前，必須先解答一個前置性問題，即個人信息的定義范疇及其與隱私間的關系。否則保護對象都尚未清楚，談何來構(gòu)建合理的保護框架?然而，這方面理論研究十分稀少。因此，本文選取了具有代表性、較為成熟的域外個人信息保護法律制度，旨在反思其涉及個人信息與隱私的內(nèi)容對我國本土環(huán)境的借鑒意義，力求在一定程度上彌補目前國內(nèi)研究的空白。

一、歐盟法律下個人信息與隱私的并行關系

(一)個人信息的基本法律地位

歐盟及歐盟成員國受到《數(shù)據(jù)保護指令》( General Directive)和《歐洲人權公約》( ECHR)的影響，在法律及案件審理中主要采用“個人數(shù)據(jù)”( Personal Data)和“隱私”( Privacy)的概念。在法律上，與個人信息保護緊密相關的有《數(shù)據(jù)保護指令》( 95/46/EC)〔3〕2012年1月25日，歐盟委員會發(fā)布了《一般數(shù)據(jù)保護規(guī)定》( GDPR)草案，旨在替代95/46/EC指令。2014 年3月12日，歐盟議會正式投票通過了《一般數(shù)據(jù)保護規(guī)定》。https: / /www．huntonprivacyblog．com/2014/03/articles/ european－parliament－adopts－draft－general－data－protection－regulation－calls－suspension－safe－h(huán)arbor/，最后訪問時間:2015年1月20日。、《隱私與電子通信指令》( 2002/58/ EC)、《有關公共訪問歐洲議會、理事會及執(zhí)委會文件的規(guī)則》( 1049/2001/EC)、《有關社會機構(gòu)及團體處理個人數(shù)據(jù)下的個體保護和數(shù)據(jù)自由轉(zhuǎn)移的規(guī)則》( 45/2001/EC)等，而與隱私保護緊密相關的則主要為《歐洲人權公約》。

在歐洲，信息保護被認為是一項基本人權，與隱私權的地位不分伯仲。德國聯(lián)邦憲法法院在1983年的判決中首次確認“信息自決權”之后，歐盟成員國簽訂的許多人權條約都承認了該項權利。〔4〕參見［德］克里斯托弗·庫勒:《歐洲數(shù)據(jù)保護法:公司遵守與管制》，曠野、楊會永譯，法律出版社2008年版，第20頁。其中最重要的，即《歐盟基本權利憲章》( The Charter)中第8條對個人信息保護的描述:“每一個人都有權保護自己的個人數(shù)據(jù)?！薄?〕《歐盟基本權利憲章》第8條規(guī)定，“個人數(shù)據(jù)保護: ( 1)每一個人都有權保護自己的個人數(shù)據(jù)。( 2)這些數(shù)據(jù)必須是為了特定目的，并征得數(shù)據(jù)相關人的同意或在其他法律規(guī)定的法律依據(jù)下進行公平的處理。每一個人都有權獲取所收集的與之有關的數(shù)據(jù)，并且有權予以更正。( 3)這些規(guī)則的遵守情況應當受獨立機構(gòu)的管理?！眳⒁奀harter of Fundamental Rights of the European Union，2000/C 364/01。同時，一些成員國在憲法中也明確將信息保護作為基本人權之一?！?〕參見法國《1789年人權宣言》第12條、葡萄牙《1976年憲法》第26條、西班牙《1978年憲法》第18條。歐洲法院在Rechnungshof案中也指出，“目前95/46法令調(diào)整著個人數(shù)據(jù)的處理，該處理易于侵害個人的基本自由，尤其是隱私權。對該指令的規(guī)定必須根據(jù)基本權利予以解釋”?！?〕See Court of Justice of the European Union，Joined Cases，C－465/00，C－138/01，C－139/01，para．68．因此，在歐盟法律體系之下，個人信息與隱私是兩個并行的訴由，各自有著獨立的法律基礎，但彼此也有交叉，在訴訟適用的頻率上也有區(qū)別。

(二)概念范疇:個人信息與隱私有所重疊

“個人數(shù)據(jù)”的權威解釋見于《數(shù)據(jù)保護指令》第2條( a)項:“個人數(shù)據(jù)是指與一個身份已被識別或者身份可識別的自然人相關的任何信息;身份可識別是指其身份可以直接或間接，特別是通過身份證號碼或者一個或多個與其身體、生理、精神、經(jīng)濟、文化或社會身份有關的特殊因素來確定的人?！薄?〕See Data Protection Directive，95/46/EC，Sec．2 ( a)．可以看出，這是一個相當寬泛的定義，幾乎只要已經(jīng)確定或者可以確定某個具體的人，與其相關的信息都是個人數(shù)據(jù)。這個定義基本被歐盟之后所有的數(shù)據(jù)保護法規(guī)沿用。而2012年作為《數(shù)據(jù)保護指令》修訂版本的《一般數(shù)據(jù)規(guī)則》，則在此基礎上進一步發(fā)展出“數(shù)據(jù)主體”的概念，“個人數(shù)據(jù)”即是指任何與數(shù)據(jù)主體有關的信息?！?〕數(shù)據(jù)主體，是指一個已識別的自然人，或者通過管理人或其他自然或法人采取的合理措施可以直接或間接識別的自然人，該措施尤指使用身份證號碼、地址數(shù)據(jù)、網(wǎng)絡標識以及其他一個或多個特定于該自然人的物理、生理、遺傳、心理、經(jīng)濟、文化和社會身份的因素。See General Data Protection Regulation，GDPR，Sec．4 ( 1)．這個定義相較之前更為細致，在邏輯上也更為嚴密。

相比之下，“隱私”的概念界定就沒有這么明晰了，只是由《歐洲人權公約》第8條籠統(tǒng)地規(guī)定:“每個人都有使自己的私人和家庭生活、家庭和通信得到尊重的權利。”〔10〕See European Court of Human Right，ECHR，Sec．8．而在歐盟司法實踐中，隱私的界限也一直處在爭議之中。例如，在Bavarian案中，歐盟常設法院認為，“在《歐洲人權公約》的判例法之下，‘私人生活’是一個很寬泛的概念，并沒有給其自身一個詳盡的定義”。〔11〕See Court of Justice of the European Union，Case T－194/04，para．114．而在Niemitz案中，歐洲法院則認為，“這種隱私權不只是保護個人可以自由行動的與外界隔絕的小范圍，而且還為其與其他人建立和發(fā)展關系提供保護。因此，職業(yè)的或是商業(yè)的行為不應被排除在‘私人生活’之外”。〔12〕See Application No．13710/88，Series A，No．251－B，para．29．歐盟法律中“隱私”所涵蓋的范圍之廣可見一斑。

這兩個法律概念的邊界既寬廣又模糊，有所重疊可以說是必然的。這種重疊現(xiàn)象在歐盟的許多法律文件(如法規(guī)、判決)中都有所體現(xiàn)。有些文件暗示著“隱私并不都是個人信息”的觀點。例如，《數(shù)據(jù)保護指令》第1條這樣寫道:“為與本指令相一致，成員國應當保護自然人的基本權利和自由，特別是他們與個人數(shù)據(jù)處理相關的隱私權。”〔13〕See Data Protection Directive，95/46/EC，Sec．1．從文義上看，這即是說隱私權中僅一部分內(nèi)容涉及個人信息的處理，而并非全部都與之相關?！队嘘P公共訪問歐洲議會、理事會及執(zhí)委會文件的規(guī)則》第4條第( b)項則指出，“機構(gòu)應當拒絕對文件的公共訪問，假如這種披露會破壞對個人的隱私及完整性的保護，尤其是這種保護與歐盟有關個人數(shù)據(jù)保護法規(guī)一致的時候”?！?4〕See Regulation regarding public access to European Parliament，Council and Commission Documents，1049/2001/ EC，Sec．4 ( b)．可見，對隱私的侵害中只有一部分是觸及個人信息的。而在Volker案中，歐洲法院則使用了“主要是對其私人生活的尊重，尤其是對其個人數(shù)據(jù)的保護”這樣的描述?！?5〕See Court of Justice of the European Union，Joined Cases，C－92/09，C－93/09，para．77．此外，在Scarlet案中，歐洲法院更是明確指出，“ECHR第8條與《歐盟基本權利憲章》第7條(對隱私和家庭的尊重)和第8條(個人數(shù)據(jù)保護)是相對應的”?！?6〕See Court of Justice of the European Union，Case C－70/10，para．31．換言之，即隱私權的內(nèi)容中僅一部分是由個人信息保護組成的。

反之，也有些文件則暗示著“個人信息并不都是隱私”的觀點。在Bavarian案中，歐洲法院認為，“在1049/2001法規(guī)下將個人數(shù)據(jù)嚴格地界定為必須有能力實質(zhì)性地、明確地破壞對個人隱私的保護，這是不合適的”?！?7〕See Court of Justice of the European Union，Case C－28/08，para．26．可見，個人信息并非一定具有內(nèi)在的隱私屬性，對保護個人信息法規(guī)的違反，并不一定會觸及隱私的問題。同樣的，常設法院在該案中主張，“姓和名可能構(gòu)成個人數(shù)據(jù)。因此一份會議參加者的名單是個人數(shù)據(jù)，因為每一個人都可以被識別”?！?8〕See Court of Justice of the European Union，Case T－194/04，para．122．“然而，僅僅只是一份有個人姓和名的文件并不就意味著個人隱私受到了影響，即使ECHR第8條中‘私人生活’包括了職業(yè)活動?！薄?9〕See Court of Justice of the European Union，Case T－194/04，para．123．這一點也被歐洲法院所肯定?！?0〕See Court of Justice of the European Union，Case C－28/08，para．43．

(三)司法實踐:以個人信息保護為主要審判依據(jù)，以破壞隱私為輔助審判依據(jù)

由于個人信息和隱私在歐盟法律框架中都有相應的法律依據(jù)，并且都作為基本權利對待，因此在理論上，違反個人信息保護和破壞隱私都可以作為訴由。但在司法實踐中，歐洲法院在審理涉及個人信息的案件時，絕大部分情況都是適用保護個人信息的法規(guī)來作出裁判。ECHR第8條雖然也有參考，但一般都只是在邏輯推導上作為論證強化的輔助，并沒有將其作為審理的主要依據(jù)。而僅適用ECHR第8條進行裁判的情況更是極為罕見。

在EDPS案中，歐洲法院就指出，“個人數(shù)據(jù)保護在ECHR第8條的‘獲得對隱私和家庭生活尊重的權利’的司法實踐過程中，起著根本性的作用”?！?1〕See Court of Justice of the European Union，Case F－46/09，para．123．而ECHR第8條本身之所以較少被運用，一則可能是因為歐盟委員會或歐洲法院很難弄清楚有爭議的數(shù)據(jù)處理過程到底是違反了該條下的何種因素，二則可能很難描述究竟是什么樣的利益受到了威脅。在這個意義上，隱私理論最實際的存在價值，可能并非是處理現(xiàn)有個人信息保護法已規(guī)范的情形，而是為了預先適應可能出現(xiàn)的全新的或是無法控制的數(shù)據(jù)處理形式，在相關法律尚未成型時，保護個人信息免受潛在危險的損害?！?2〕See Lee A．Bygrave，Data Protection Pursuant to the Right to Privacy in Human Rights Treaties，International Journal of Law and Information Technology，Vol6 ( 1998)，p．28．可見，對歐洲法院而言，隱私保護雖然原則上可與個人信息保護并行，但在實際操作中卻基本處于次要的、輔助性的地位。

二、美國法律下個人信息與隱私的依附關系

(一)個人信息保護制度的特征

美國個人信息保護制度主要也體現(xiàn)在判例法上，是通過隱私權的判例法擴張以及部門單行成文法的制定而逐漸建立起來的。與歐盟制定統(tǒng)一的個人信息保護法不同的是，美國在制定法上的努力主要是針對個人信息濫用危險較大、個人利益需要特殊保護的特定信息?！?3〕參見郭瑜:《個人數(shù)據(jù)保護法研究》，北京大學出版社2012年版，第50頁。換言之，每部法規(guī)通常是狹窄的，往往只規(guī)范某個特定對象。例如，《隱私法》專門規(guī)定聯(lián)邦政府機構(gòu)對公民個人數(shù)據(jù)的搜集和處理應遵循的規(guī)則，《聯(lián)邦公平信用報告法》( FCRA)則專門保護消費者在金融領域不受不準確或武斷的信用報告的不利影響等。

(二)司法實踐:以隱私保護覆蓋個人信息保護的傾向

不同于歐盟公開宣布個人信息是憲法意義上的基本人權，在美國，個人信息并非一個單獨存在的權利，而是依附于隱私權的保護來實現(xiàn)自身的救濟。換言之，個人信息保護建構(gòu)于隱私保護之中，對個人信息的侵害構(gòu)成隱私權下的一種訴由。因此，無論是立法還是司法，幾乎都是將隱私權作為問題討論的核心，這體現(xiàn)在: ( 1)縱觀美國在個人信息保護專門領域上的成文法，基本上都是以隱私法的形式存在，如《電腦比對和隱私保護法》( CMPPA)、《錄像帶隱私保護法》( VPPA)等; ( 2)美國個人信息保護的司法實踐有較大部分是通過聯(lián)邦貿(mào)易委員會( FTC)監(jiān)管下的行業(yè)自律來完成的。而FTC關注的并非個人信息本身，而是代表個人信息的隱私權是否得到保護以及各公司的隱私政策是否得到遵守?！?4〕See Marcia Hofmann，The Federal Trade Commission’s Enforcement of Privacy，PROSKAUER ON PRIVACY ( 2012)，p．35．只有涉及隱私領域的違反，F(xiàn)TC才會動用其在FTC Section 5下的權力，將這種破壞隱私權的行為認定為是“欺詐性”的或“不公平”的貿(mào)易實踐。〔25〕See Daniel J．Solove＆Woodrow Hartzog，The FTC and the New Common Law of Privacy，George Washington University Law School ( 2013)，p．10．

可見，個人信息在美國法律體系中雖然確實存在，但基本上是以法律事實的形式被認識，而很少有上升到法律權利的層面上來進行考察。這可能是與美國高度重視信息技術對經(jīng)濟發(fā)展的重要促進作用有關。因為相較于刻板的“個人信息權”，隱私權無論是在理論分析還是在實務操作上都具有更大的彈性和應變力，可以更好地在具體案例中與個人數(shù)據(jù)處理所帶來的公共利益或經(jīng)濟利益進行權衡，并在適當?shù)臅r候作出讓步和犧牲。

然而，已經(jīng)公開的個人信息如何在隱私領域進行保護?這個問題在美國學術界頗受爭議，目前主要由美國《憲法第四修正案》中的隱私權合理期待( Reasonable Expectation of Privacy)來解決。〔26〕目前，美國絕大部分案件將隱私權合理期待建立在社會共同體或多數(shù)人認同的客觀基礎上，即這種期待在全社會看來是合法、合理及正當?shù)摹ee Peter A．Winn，Katz and the Origins of the‘Reasonable Expectation of Privacy’Test，McGeorge Law Review ( 2008)，p．41．該規(guī)則起源于Katz案，在該案中，最高法院認為當Katz關上電話亭的門時，他有正當理由期望沒有人會聽到他的公開談話，正是這種期望——而不是電話亭本身——保護他不受政府的侵害?！?7〕See Katz v．United States，389 U．S．347 ( 1967)．通過構(gòu)建這種合理期待，法院再次給予已公開的個人信息在隱私領域的一般性保護。

不過，這種保護是比較有限的，因為當個人有意識的將個人信息提供給第三方時，要認定其對這些信息的隱私權期待為合理往往非常困難，即使提供的目的就是讓第三方保守秘密。而法院往往會認定個人在提供信息時已經(jīng)認可了第三方可能與其他方分享信息的風險，因而不屬于《憲法第四修正案》的保護范圍。在這種情況下，只有兩種結(jié)果:對于特殊個人信息，通過特別隱私法律來予以保護，如運用《金融服務現(xiàn)代化法》( GLBA)來保護個人的金融信息;而對于其他的一般個人信息，則很可能不予保護?？傊绹ㄔ弘m然運用隱私權合理期待的理論對已公開的個人信息予以保障，但相較于未公開的個人信息，這種法律救濟仍然顯得力度小、范圍窄。

(三)概念范疇:個人信息在定義上獨立于隱私

雖然個人信息在司法實踐中居于次位，但美國在這方面的概念界定并不匱乏。最普遍接受的定義，是美國國家標準與技術研究院( NIST)在《保護個人可識別信息隱秘性的指引》中提出的“個人可識別信息”( Personal Identifiable Information，PII)，即“由一個機構(gòu)持有的與個人相關的任何信息，包括( 1)任何可以用來區(qū)別或追蹤個人身份的信息，如姓名、社會保險號、出生的日期和地點、母親的未婚姓名或者生物識別記錄;以及( 2)任何與個人相聯(lián)系或可聯(lián)系的其他信息，如醫(yī)療、教育、金融和職業(yè)的信息”?！?8〕See Guide to Protecting the Confidentiality of Personally Identifiable Information ( PII)，Special Publication 800－122，Sec．2．1．可以看出，該定義與歐盟在《數(shù)據(jù)保護指令》中“個人數(shù)據(jù)”的定義十分相似，并且在涵蓋范圍上都非常廣泛，實際上即是美國式的“個人數(shù)據(jù)”。而除PII之外，其他成文法也有可借鑒的定義。例如加利福尼亞州《數(shù)據(jù)泄露通知法》中的“個人信息”。〔29〕根據(jù)加利福尼亞州《數(shù)據(jù)泄露通知法》，個人信息是指“個人的名或其首字母和姓，與以下任何一種或多種數(shù)據(jù)因素的結(jié)合，且姓名和這些數(shù)據(jù)因素都未加密: ( 1)社會保險號; ( 2)駕駛證號碼或加利福尼亞州身份證號碼; ( 3)賬號、信用卡或借記卡號碼，與任何需要的安全碼、存取碼或允許接入個人金融賬戶的密碼的結(jié)合; ( 4)不包括可從聯(lián)邦、州或當?shù)卣畽n案合法獲得的個人公開信息”。See California Senate Bill，SB 1386，SEC．2 1798．29．( e)．再例如《金融服務現(xiàn)代化法》中的“非公開個人信息”?！?0〕根據(jù)《金融服務現(xiàn)代化法》，“非公開個人信息”，是指“消費者提供給金融機構(gòu)，或由任何與消費者的交易或給消費者的服務而產(chǎn)生，或金融機構(gòu)通過其他方式所得到個人的、可識別的金融信息”。See Financial Service Modernization Act of 1999，GLBA，Chap．509，Sec．( 4) ( A)．

不過相較之下，美國學者對于隱私概念的討論就要充分、熱烈的多了。盡管與定義個人信息相比，定義隱私要復雜的多，而準確地對其進行界定更是難上加難，但美國學者們?nèi)圆粩鄧L試著完成這個艱巨的任務。就像其中一位所說:“即使對隱私權最有力的主張，也不得不承認在定義這個權利的本質(zhì)和范圍上仍然存在許多困難?！薄?1〕See William M．Beaney，The Right to Privacy and American Law，31 L．＆Contemp．Probs．(1996)，pp．253，255．目前，比較權威的定義是韋斯廷教授在“Privacy and Freedom”一文中的描述，“隱私是個人、團體或機構(gòu)主張自主決定在何時、采用何種方式、以何種程度來將他們的信息與其他方交流。在個人與社會參與的關系的角度考慮，隱私是一個人從社會總體中通過物理或心理的方式的自愿且暫時的脫離，不管是以個人形式還是小團體的形式”?！?2〕See Daniel J．Solove＆Paul M．Schwartz，Informational Privacy Law，Wolters Kluwer Law＆Business，p．42．

可以看出，在這種定義中，隱私實際上是一種對自身信息的控制以及與社會總體的脫離，本質(zhì)上是人與信息、人與社會間的法律關系，而非信息本身。相應的，對隱私的侵害，是對這種自主權的侵害，而非對數(shù)據(jù)本身的破壞。也有學者提出同樣的主張，將隱私所保護的利益分為四種: ( 1)信息隱私——個人控制他人掌握本人信息的利益; ( 2)領域利益——控制侵入行為領域的利益; ( 3)身體隱私——控制身體免受到干擾的利益; ( 4)通訊隱私——控制通訊免受監(jiān)事和保密的利益?！?3〕See Diane Zimmerman，F(xiàn)alse Light Invasion of Privacy: The Light that Failed，New York University Law Review，Vol．64 ( 1989)，p．67．在這個意義上，美國法律體系下，隱私與個人信息的概念之間其實并沒有太大的聯(lián)系，而個人信息保護也只是隱私保護中的一部分內(nèi)容。換言之，無論個人信息的定義如何，在隱私語境下法律所考慮的焦點，都只是個人對這種信息的控制權是否遭到了減損，如有減損即啟動隱私救濟程序。

雖然這種做法進一步弱化了個人信息在美國司法實踐中的地位，但這其實并不影響美國保護個人信息的力度。在審理案件中，對于需要保護的個人信息，法院通常是直接將其過渡到隱私權的范疇，再對隱私概念進行闡釋，分析當事人對這種信息的控制關系是否值得保護，而甚少考慮個人信息究竟為何物。通過這般途徑，對審理個人信息案件的“隱私渠道”進行強化、專精，進而發(fā)展出一套完整規(guī)范、操作性強的隱私法理學，再加上FTC盡心盡責的行業(yè)自律監(jiān)管，相較于歐盟“雙管齊下”的方式，美國法院也未必就會遜色。

三、國內(nèi)對個人信息與隱私關系的理論

(一)個人信息在我國立法、學界的基本情況

個人信息在我國學術領域的稱謂頗多，包括個人資料、個人數(shù)據(jù)、個人資訊或個人數(shù)據(jù)信息等，但總的來說，是以個人信息和個人數(shù)據(jù)為主?！?4〕參見齊愛民:《個人資料保護法原理及跨國流通法律問題研究》，武漢大學出版社2004年版，第3～4頁;張新寶:“中國個人數(shù)據(jù)保護立法的現(xiàn)狀與展望”，載《中國法律》2007年第3期，第2頁;湯德宗:“資訊公開與資訊隱私法”，http: / /www．jconline．cn/Contents/Channel_1743/2007/1026/25107/content_25107．htm，最后訪問時間: 2014年5月4日;劉德良:《網(wǎng)絡時代弱勢群體的法律保護》，法律出版社2013年版，第165頁;蔣坡:《個人數(shù)據(jù)信息的法律保護》，中國政法大學出版社2008年版，第2～3頁。而實際上，這些名詞只是對英文“Data”的不同翻譯而已，并沒有本質(zhì)的區(qū)別。不過，個人數(shù)據(jù)可能與計算機技術關系更密切，具有載體上的特定性或技術特定化傾向;而個人信息則屬于上位概念，在技術和載體上具有中立性，以包括但不限于電子介質(zhì)在內(nèi)的各種媒介為載體，因而覆蓋面更廣?！?5〕參見劉德良:《論個人信息的財產(chǎn)權保護》，人民法院出版社2008年版，第20頁。國內(nèi)對個人信息的定義頗多，但大同小異，筆者認為其中蔣坡教授所提的“可以直接或間接識別特定自然人的信息”比較簡潔全面。它包括以下幾個特征: ( 1)主體是自然人; ( 2)廣泛性; ( 3)可識別性; ( 4)時效性; ( 5)可共享性。〔36〕參見蔣坡:《個人數(shù)據(jù)信息的法律保護》，中國政法大學出版社2008年版，第3～5頁。

如前文所述，我國目前涉及個人信息保護的法律法規(guī)不在少數(shù)。然而，這些規(guī)范基本上都只是簡單提及“個人信息”一詞(或類似表述內(nèi)容)，而并未專門、深入地進行闡釋?！?7〕例如，《中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法》第18條規(guī)定，“用戶應當服從接入單位的管理，遵守用戶守則;不得擅自進入未經(jīng)許可的計算機系統(tǒng)，篡改他人信息;不得在網(wǎng)絡上散發(fā)惡意信息，冒用他人名義發(fā)出信息，侵犯他人隱私;不得制造、傳播計算機病毒及從事其它侵犯網(wǎng)絡和他人合法權益的活動?！痹倮纾吨腥A人民共和國居民身份證法》第6條第3款規(guī)定，“公安機關及其人民警察對因制作、發(fā)放、查驗、扣押居民身份證而知悉的公民的個人信息，應當予以保密”。以上對個人信息均只一提，并未深述。最早對個人信息進行明確界定的法規(guī)應是2013年6月由工信部通過的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》。其中第4條規(guī)定，“本規(guī)定所稱用戶個人信息，是指電信業(yè)務經(jīng)營者和互聯(lián)網(wǎng)信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結(jié)合識別用戶的信息以及用戶使用服務的時間、地點等信息”?？梢?，可以構(gòu)成用戶個人信息的數(shù)據(jù)有兩類:一是可以單獨或是與其他信息結(jié)合來識別用戶的信息，二是用戶使用服務的時間、地點等信息。

值得注意的是，雖然該法規(guī)并未對“與其他信息結(jié)合來識別用戶的信息”作出具體解釋，但它對此進行了舉例，而其中諸如用戶姓名、出生日期、住址、電話號碼等都屬于這類范疇。因此，該條款未列舉的數(shù)據(jù)種類要納入到“與其他信息結(jié)合來識別用戶的信息”，至少應在和其他數(shù)據(jù)作為整體來識別個人的過程中，在對識別結(jié)果的貢獻和本身的篩選能力上，與這些已經(jīng)列舉的個人信息有相當?shù)乃健?/p>

不過，雖然工信部出臺的這部法規(guī)對推動國內(nèi)個人信息保護工作有著重要意義，但我國現(xiàn)行法律規(guī)范中與個人信息最相關的，應是隱私權法。然而，對于何謂隱私，學界一直存在重大爭議。例如，劉凱湘教授認為，“隱私，是指不愿告人或不為人知的事情。隱私權就是個人信息、個人私事和個人領域不受他人侵犯的權利”。〔38〕參見劉凱湘:《民法總論》，北京大學出版社2006年版，第149頁。而張新寶教授則認為，“隱私權是指自然人享有的私人生活安寧與私人信息秘密依法受到保護，不被他人非法侵擾、知悉、搜集、利用和公開的一種人格權，而且權利主體對他人在何種程度上可以介入自己的私生活，對自己是否向他人公開隱私以及公開的范圍和程度等具有決定權”。〔39〕參見張新寶:《隱私權的法律保護》，群眾出版社2004年版，第12頁?？偟膩碚f，隱私在我國語境下具有兩個顯著的特性: ( 1)私密性; ( 2)強烈的人格屬性。

(二)個人信息與隱私間存在交叉關系

對比上述個人信息與隱私的概念，可以很直觀地得出一個結(jié)論:個人信息注重可識別性，隱私注重私密性，兩者在界定標準上并不一致，并非同一概念;但兩者均旨在描述與特定個人相關的某些信息，顯然又有所重疊。而這一點也為我國學界所普遍承認。例如，郭瑜教授認為，個人信息與個人隱私的最大區(qū)別在于:隱私應該在性質(zhì)上屬于私人的，屬于未向社會公眾公開的范疇;而個人信息則可能已經(jīng)公開，或本來就屬于公共事務的范疇。例如，披露個人宗教信仰、醫(yī)療記錄、通訊內(nèi)容、生活習慣等的敏感信息可能被隱私權所保護。但個人已經(jīng)公布于眾的消息(如而姓名、地址、電話號碼等)，不管怎么被使用，都很難再援引隱私權加以保護?！?0〕參見郭瑜:《個人數(shù)據(jù)保護法研究》，北京大學出版社2012年版，第30頁?？梢?，個人信息雖然有部分處于保密狀態(tài)，可以歸入隱私范疇，但其多數(shù)情況并非如此。而對于這些個人信息，尤其是個人主動對外公開的信息，就難以將其納入到隱私中來。

再例如，蔣坡教授認為，隱私權只能保護一部分個人信息和其中一部分權利。個人信息和隱私間存在著交叉，但不能因此將個人信息保護局限于隱私保護。具體而言，一部分隱私表現(xiàn)為個人信息，還有一部分則以個人領域、私事及其他涉及個人生活安寧與秩序的方式存在，與個人信息保護無關。同樣的，一部分個人信息含有隱私的成分或內(nèi)容，另一部分則與隱私無關?！?1〕參見蔣坡:《個人數(shù)據(jù)信息的法律保護》，中國政法大學出版社2008年版，第6頁。而在確定兩者間交叉部分的問題上，有學者指出，只要個人信息滿足“信息主體不欲該信息被外人知悉”，該信息及對信息主體而言具有保密的意義和價值，就可以納入隱私范疇加以保護?！?2〕參見張俊浩:《民法學原理》，中國政法大學出版社2000年版，第155頁。

(三)非隱私性個人信息保護的理論分歧

不管是亟待處理的問題，還是包含的內(nèi)容范圍，個人信息都不止步于隱私。而對于那些超過隱私范疇的個人信息，應該以何種形式進行保護?針對這個問題，我國學界有不同的看法，主要分為兩種觀點: ( 1)將個人信息保護作為憲法性權利; ( 2)確認個人信息的財產(chǎn)權。

1．憲法性的個人信息權

根據(jù)郭瑜教授的觀點，個人數(shù)據(jù)保護的初衷，是防止個人數(shù)據(jù)信息化處理使個人受到傷害。而這種傷害的方式多種多樣，包括隱私泄露、形象扭曲、自由意志被控制、經(jīng)濟利益減損等，單單傳統(tǒng)隱私權無法全部包含，因此需要賦予個人對個人信息處理的開始和進程有更廣泛、更深刻影響的權利。〔43〕參見郭瑜:《個人數(shù)據(jù)保護法研究》，北京大學出版社2012年版，第90頁。這種權利應是獨立的、憲法性的基本權利，因為個人信息體現(xiàn)的是信息社會的一種獨立的價值目標，具有政治和經(jīng)濟的雙重含義，在信息社會具有全局性和根本性。而維護個人對個人數(shù)據(jù)信息化的控制權，是將個人作為社會和經(jīng)濟活動的主體而非客體的必然要求。它并不是一種絕對控制權或財產(chǎn)權，而是對個人自主權的尊重?！?4〕See Paul M．Schwartz，The Computer in German and American Constitutional Law: Towards an American Right of International Self－Determination，American Journal of Comparative Law Vol．37 ( 1989)，p．113．

同樣的，周漢華教授在《個人信息保護法(專家建議稿)》中也指出，根據(jù)國際社會的普遍經(jīng)驗和該法規(guī)定的內(nèi)容兼及政府機關與其他個人信息處理者的實際，個人信息權利應被當作一項憲法上的基本權利對待，這既體現(xiàn)了該權利作為一項新型權利的特點和內(nèi)在要求，也有利于相應的后續(xù)信息化法律制度建設?！?5〕參見周漢華:《中華人民共和國個人信息保護法(專家建議稿)及立法研究報告》，法律出版社2006年版，第51頁。

2．財產(chǎn)性的個人信息權

另一種觀點，則是通過賦予個人信息財產(chǎn)價值來對其進行普適的保護。例如，劉德良教授提出了“個人信息財產(chǎn)權”，即以個人信息的商業(yè)價值為客體的支配權。他認為，隨著網(wǎng)絡時代和信息時代的到來，個人信息(包括傳統(tǒng)條件下不具有商業(yè)價值的個人信息)的商業(yè)價值不斷提升，已經(jīng)變成越來越重要的商品，個人信息交易也逐漸成為信息產(chǎn)業(yè)的重要內(nèi)容。因此，對個人信息進行創(chuàng)新確權非常必要?！?6〕參見劉德良:《論個人信息的財產(chǎn)權保護》，人民法院出版社2008年版，第112～114頁。而個人信息財產(chǎn)權的建立，一方面是為了滿足法律中公平正義與保護弱者的理念要求，使個體享有個人信息的使用價值和交換價值，成為信息的真正占有者，進而可以與商家就個人信息的商業(yè)價值問題進行公平談判;另一方面，則是通過增加侵權行為成本來預防、減少個人信息的侵權行為，同時迫使商家在收集、加工和使用個人信息的過程中避免浪費，實現(xiàn)社會利益的最大化?！?7〕參見劉德良:《網(wǎng)絡時代弱勢群體的法律保護》，法律出版社2013年版，第178～181頁。

再例如，湯擎教授主張個人信息所有權的存在，并且該所有權為信息的生成者所擁有。而無權處分人一旦對該主體的個人信息實施處分，或授權處分人對該信息處分不當，則都應當承擔相應的侵權責任?！?8〕參見湯擎:“試論個人數(shù)據(jù)與相關的法律關系”，載《華東政法學院學報》2000年第5期，第40～41頁。又如洪海林教授認為，個人信息財產(chǎn)化有其多維度的合理性緣由，但也需要對其具體運作模式進行法律規(guī)制。〔49〕參見洪海林:“個人信息財產(chǎn)化及其法律規(guī)制研究”，載《四川大學學報》2006年第5期，第122頁。此外，齊愛民教授也主張信息財產(chǎn)權與物權、知識產(chǎn)權一起構(gòu)成信息社會財產(chǎn)權的三大組成部分，以填補法律體系中保護個人信息權利的規(guī)則空白?！?0〕參見齊愛民:“論信息財產(chǎn)的法律保護與大陸法系財產(chǎn)權體系之建立——兼論物權法、知識產(chǎn)權法與信息財產(chǎn)法之關系”，載《學術論壇》2009年第2期，第151頁。

四、個人信息保護制度的本土化困境

綜合前文，不管是歐盟或美國的立法和司法實踐，還是我國學界的主流理論，都將個人信息與隱私在概念上區(qū)別開來。本文認為，個人信息和隱私確有重疊的部分，但并不能將所有的個人信息都歸入隱私范疇，而判斷的標準就是個人信息是否向社會公開，或本來就屬于公共事務。然而，在個人信息保護的權利源泉問題上，無論是理論層面還是實踐層面，都有明顯分歧。當然，這些做法或觀點有其合理積極的因素，但如果在我國現(xiàn)有法律體系框架下重新對其審視，它們卻未必能適應當前的國情。

(一)憲法性途徑的困境

為個人信息賦予憲法性地位在歐盟已實踐多年。但不同于歐盟的明確規(guī)定，我國《憲法》中并未提及“個人信息”一詞，唯一相關的只有在第40條簡單提到“通信自由和通信秘密受法律保護”，那么個人信息權的憲法性從何而來?這也是該途徑的捉襟見肘之處。也有學者認為我國《憲法》第38條關于“個人尊嚴”的規(guī)定可以作為法律基礎，即:“中華人民共和國公民的人格尊嚴不受侵犯。禁止用任何方法對公民進行侮辱、誹謗和誣告陷害?！薄?1〕參見郭瑜:《個人數(shù)據(jù)保護法研究》，北京大學出版社2012年版，第89頁。但是，對于該“人格尊嚴”是否為一項憲法權利，本身學理上就有爭議?！?2〕我國《民法通則》列舉的人格權中，并沒有包括人格尊嚴權。2001年最高人民法院《關于確定民事侵權精神損害賠償責任若干問題的解釋》第1條中，雖首次將“人格尊嚴權”作為單獨的人格權與其他人格權并列。但僅依此規(guī)定，人格尊嚴權最多只是受到民法保護的民事權利，不具備憲法基本權利的性質(zhì)，不能夠?qū)ζ渌敲袷路申P系產(chǎn)生約束力。而如果沒有憲法意義上的人格尊嚴權，自然也就難以由此延伸出憲法意義上的個人信息權。因此，歐盟的做法在我國很難有正當?shù)姆苫A。

此外，這種對所有個人信息均實行一體化的人格權保護的做法在理論上也難以自圓其說。對于那些尚未公開的個人信息，若未經(jīng)許可被他人擅自處理的話，對一個正常人而言，不僅可能直接造成心理或精神上的傷害，還可能造成人格尊嚴的減損，因此對其進行人格權保護恰如其分。但對于那些已經(jīng)公開的個人信息，未經(jīng)授權而擅自處理可能會使信息主體的精神安寧受到損害，但卻很難說其人格尊嚴遭到直接的貶損。而這種心理煩擾實際上是一種行為的間接影響，并不適宜納入人格權進行保護?！?3〕參見劉德良:《論個人信息的財產(chǎn)權保護》，人民法院出版社2008年版，第208頁。

(二)財產(chǎn)性途徑的困境

同樣的，將個人信息財產(chǎn)化的做法在國內(nèi)環(huán)境下是否合適也值得商榷。首先，現(xiàn)在關于個人數(shù)據(jù)財產(chǎn)權的建議，基本都是主張確認個人對其個人信息擁有所有權。但是，個人信息可以由多人同時掌握，一人獲得該信息并不會使另一人喪失該信息，因此所有權的壟斷性根本無法實現(xiàn)。并且從反面看，這種確權可能會夸大個人對個人信息的控制能力，阻礙社會對個人信息的正當使用，減少信息的流動。另外，從財產(chǎn)權產(chǎn)生的原理看，權利的主體也存在爭議，因為個人雖是個人信息的源頭，但未必就是個人信息的創(chuàng)造者或占有者。例如，廠商可能通過跟蹤和分析消費者的購買記錄而得出個人的購買習慣，這也是個人信息，但該信息產(chǎn)生的努力完全來自廠商，實際控制者也是廠商，個人在廠商透露前甚至不知道該信息的存在。給予個人該信息的所有權，其實就否認了廠商在該信息產(chǎn)生中的勞動。〔54〕參見郭瑜:《個人數(shù)據(jù)保護法研究》，北京大學出版社2012年版，第215頁。那么，個人對其信息是否擁有知識產(chǎn)權?這更不可能，因為知識產(chǎn)權保護的是創(chuàng)造性勞動，而個人信息顯然并非人類智力活動的成果。

其次，個人信息財產(chǎn)權的設立預示著個人信息交易市場將會形成。然而根據(jù)Schwartz教授的標準，在我國，這種交易市場很難運行和完善: ( 1)“隱私信息價格歧視”普遍存在，例如數(shù)據(jù)處理公司基于消費者對個人信息使用的不同偏好進行區(qū)別對待，而在市場化水平并不高的我國，個人信息交易市場很難對這種歧視作出靈敏反應; ( 2)個人信息搜集者與被搜集者的信息不對稱在我國尤其嚴重，這將導致交易者對市場產(chǎn)生顧慮而選擇退出，甚至可能發(fā)生“市場關閉”的情形; ( 3)個人信息市場主體之間實力差距懸殊將導致交易過程的實質(zhì)不公平。〔55〕See Paul M．Schwartz，Property，Privacy，and Personal Data，Harvard Law Review Vol．117 ( 2004)，p．39．

結(jié)論

那么，在我國法律環(huán)境下，應如何對個人信息進行保護呢?本文認為，可以參考美國在司法實踐中的做法。

首先，法律保護的是個人對其個人信息的“相對控制權”，而并非個人信息本身，或是對個人信息的“絕對支配權”。這種“相對控制權”有三個特點: ( 1)它是個人決定其自身信息何時、何地、向何人、以何種方式等進行披露的權利; ( 2)它是有限的，即僅在個人信息尚未合理公開時存在; ( 3)它具有人格性，屬于隱私權的范疇。

其次，要區(qū)分未公開個人信息和已公開個人信息的不同保護水平。對于未公開個人信息，個人對其享有“相對控制權”，因此一旦信息未經(jīng)許可而被擅自處理時，可借由我國對個人隱私的保護制度來對該侵權行為造成的損害進行救濟。而對已公開的個人信息，則要進一步區(qū)分個人是否自愿的情況:如果是個人自愿予以公開(如發(fā)布到社交網(wǎng)絡、提供給第三方機構(gòu)等)，則個人對該信息的“相對控制權”即喪失，法律對該個人信息以合法渠道進行傳播以及被合理使用不再干涉;而如果該信息是個人在非自愿的情況被公開(如不知情、欺詐或脅迫等)，則個人對該信息的“相對控制權”仍然存續(xù)，可以借由隱私保護途徑得到救濟。

(實習編輯:張逸寧)