黃育培

[摘 要]個人信息保護(hù)是在信息化的過程中產(chǎn)生和日益突顯的問題，在國外已經(jīng)掀起個人信息保護(hù)浪潮時，我國對個人信息的保護(hù)還處于探索階段，對個人信息保護(hù)的立法與機(jī)制建設(shè)幾乎為空白，文章建立在對域外個人信息保護(hù)模式的對比中，試圖尋找出適合我國的個人信息保護(hù)方式，主要是立法與機(jī)構(gòu)設(shè)置等方面來進(jìn)行探究。

【關(guān)鍵詞】個人信息；保護(hù)；方式

個人信息保護(hù)的目標(biāo)是多元化的，應(yīng)當(dāng)達(dá)到對個人信息實現(xiàn)合理的應(yīng)用和有效保護(hù)相結(jié)合的程度。在進(jìn)行立法保護(hù)時，我們除了要解決切實存在的個人信息保護(hù)出現(xiàn)的司題，還要對個人信息的“合理”應(yīng)用與“有效”保護(hù)進(jìn)行界定，避免進(jìn)入立法保護(hù)目的不明確與過度限制造成對個人信息應(yīng)用的效率。對個人信息的保護(hù)方式主要有歐洲與美國為代表的兩種不同模式，歐洲更為重視從權(quán)利保護(hù)的角度為個人信息進(jìn)行保護(hù)，美國則是更加注重從信息流通的角度進(jìn)行保護(hù)，而且力求促進(jìn)個人信息的自由流通。

一、個人信息的內(nèi)涵及適用范圍的法律保護(hù)模式的選擇

（一）個人信息的內(nèi)涵

隨著信息化的發(fā)展，批量處理和傳遞個人信息的情況時有發(fā)生，而如何界定“個人信息”的范圍是個首要解決的問題，筆者從個人信息的構(gòu)成要素對個人信息的內(nèi)涵進(jìn)行界定。個人信息的內(nèi)涵從構(gòu)成要素角度審視主要包括實質(zhì)要素和形式要素。1.實質(zhì)要素。個人信息的實質(zhì)要素是指構(gòu)成個人信息在內(nèi)容上不可或缺的法律要素，又稱為個人信息的一般要素。個人信息的一般要素首先具有對個人身份的可識別性，即該信息或信息的集合能夠?qū)Υ_定的個人進(jìn)行識別，如肖像、姓名、身份證號碼等信息，這類信息一般能夠直接對個人的身份進(jìn)行明確，是直接個人信息；還有一類是與其他本人的信息相結(jié)合而能識別個人的信息，如性別、愛好、職業(yè)、學(xué)歷等，筆者稱該類信息為可識別個人的信息集合，這類信息一般稱為間接個人信息。個人信息是一切能識別個人的信息的總和。這些信息包括了一個人生理、心理、文化、家庭、社會等各方面和領(lǐng)域的信息，這些信息有的涉及財產(chǎn)權(quán)，有的涉及隱私權(quán)，有的則會涉及到人格權(quán)。2.形式要素。相對個人信息的實質(zhì)要素，形式要素是個人信息的特別要素，是構(gòu)成個人信息的特定形式要素。構(gòu)成個人信息的形式要素：一是可呈現(xiàn)性，二是可處理性?？沙尸F(xiàn)性要求個人信息要以一定的載體進(jìn)行固定，從而得以呈現(xiàn)，而不是抽象不可視的信息。對個人信息的處理一般則是建立在記錄的基礎(chǔ)上，記錄是指已經(jīng)收集的個人信息，記錄必須有一定的存在媒體包括圖像和聲音記錄媒體，也就是說被收集到的個人信息必須是通過一定載體得以固定的信息。個人信息合理的市場流通能夠提高市場效率，合理完善的個人信息流通機(jī)制的構(gòu)建還能夠促進(jìn)國際經(jīng)濟(jì)貿(mào)易的發(fā)展。這種個人信息的市場價值決定了個人信息存在的可處理性形式要素，必須以一定的方式得以查閱、檢索和進(jìn)行其他處理。這種對個人信息的處理往往給信息控制人（處理人）帶來一定的市場利益或其他方面的益處，甚至是對信息的個人一定程度的損害，這種損害不一定建立在對方獲利的基礎(chǔ)上。這些都是建立在個人信息具有可處理性的特點(diǎn)。

（二）法律保護(hù)模式的選擇

在個人信息的保護(hù)模式上，由于各國的立法習(xí)慣、法律傳統(tǒng)和法律意識等因素的不同，所以在構(gòu)建個人信息保護(hù)的制度上也不同，特別在處理信息保護(hù)和信息自由的司題上會有不同的選擇和注重點(diǎn)。人格權(quán)制度較為健全的歐洲大陸在個人信息制度的構(gòu)建上，采取了由國家立法主導(dǎo)的模式。因此，政府對個人的信息的保護(hù)制定了高標(biāo)準(zhǔn)，商家如果要使用個人的信息就必須說服客戶統(tǒng)一接受較低水平的個人信息保護(hù)。在對個人信息保護(hù)的問題上美國相比更注重自由價值的應(yīng)用，特別在政府的自由問題上，因為在美國人看來，政府機(jī)關(guān)是隱私權(quán)最主要的侵犯主體之一，“美國聯(lián)邦政府對個人信息保護(hù)主張采取自律模式，當(dāng)人們把個人信息權(quán)利描述為一項個人信息的控制權(quán)，或一項反侵入權(quán)時，美國人仍然允許多數(shù)組織機(jī)構(gòu)控制隱私權(quán)的調(diào)解程序，即排除隱私權(quán)適用的標(biāo)準(zhǔn)。這意味著每位客戶有義務(wù)了解這些排除條款，并遵守這些組織設(shè)置的程序，選擇自己更高水平層次的隱私權(quán)，而放棄那些較低水平層次的權(quán)利。權(quán)利的保護(hù)關(guān)鍵在于客戶個人是否堅持自己的權(quán)利?！泵绹ǖ碾[私權(quán)觀念已經(jīng)在其發(fā)展與改革過程中深入人心，并深刻地影響世界各國人格權(quán)法的發(fā)展與變革；而歐洲人個信息保護(hù)觀念的影響僅僅停留在與其有密切聯(lián)系的極少區(qū)域?！爸袣W信息社會”項目在2005年8月份發(fā)起，設(shè)計為期4年，旨在幫助中國政府促進(jìn)中國社會信息化轉(zhuǎn)型過程中的電子政務(wù)以及相關(guān)活動的管理和信息法律方面的環(huán)境和制度建設(shè)，推動中歐之間社會信息化過程中的對話。這種國際合作式的個人信息保護(hù)方式有賴于參與方的相互信任程度，而這種“信賴”往往在運(yùn)作過程中又是錯綜復(fù)雜的。

我國在個人信息保護(hù)在立法與制度構(gòu)建上也面臨艱難的抉擇，首先個人信息方面的權(quán)利保護(hù)勢在必行，個人信息的不規(guī)范、違法使用等情況的存在都說明了保護(hù)個人信息的必要性和緊迫性。我國在保護(hù)形式上的構(gòu)建會是一個比較漫長的“調(diào)試”過程，因為我國不能只從立法保護(hù)，亦不能僅靠行業(yè)的自律進(jìn)行保障。其次，現(xiàn)今是一個高度信息化的時代，個人信息的流通能創(chuàng)造的價值尤為客觀，甚至已經(jīng)信息產(chǎn)業(yè)化，所以信息產(chǎn)業(yè)對信息的自由流通的渴求比任何時期都強(qiáng)烈，因此信息的有效保護(hù)與信息流通程度達(dá)到現(xiàn)實需要是建立個人信息保護(hù)的模式的最終追求。

二、個人信息保護(hù)的必要性與限制性思考

（一）必要性

在個人信息的開發(fā)與利用過程中，有多方面的利益沖突，這些沖突不僅為了個人信息的立法宗旨提供了出發(fā)點(diǎn)和落腳點(diǎn)，同時也產(chǎn)生了對其保護(hù)必要性的思考。個人信息隨著人信網(wǎng)絡(luò)化和社會信息化程度的提高，個人的生活也變得更加透明，存在的被不正常使用的風(fēng)險不斷增大，對個人信息進(jìn)行有效保護(hù)不僅是給人民一份安全感，更是為了保護(hù)人民的人身與財產(chǎn)的安全。

（二）限制性

筆者對個人信息保護(hù)的限制性思考主要針對的是在對個人信息保護(hù)的過程中一個保護(hù)程度和有效應(yīng)用的司題進(jìn)行，強(qiáng)調(diào)對個人信息的保護(hù)：一是不保缺乏保護(hù)，二是不過度“封鎖”式保護(hù)。個人信息被稱為21世紀(jì)最有價值的資源，個人信息不僅為政府提供作出各種決策的依據(jù)，同時還在公共管理上產(chǎn)生一定的效率與效益，在行業(yè)發(fā)展中產(chǎn)生商業(yè)利潤。如果一味強(qiáng)調(diào)個人信息的保護(hù)而降低了對其價值的利用，則會對個人信息在公共管理與市場經(jīng)濟(jì)中的作用大打折扣。所以對個人信息的保護(hù)的最理想狀態(tài)是在有效促進(jìn)信息社會的形成的同時，保證個人信息的處理控制權(quán)保留在個人的手里，鼓勵對個人信息的有效應(yīng)用。個人信息保護(hù)政策和法律的直接目標(biāo)在于確保個人信息僅能以被該個人同意的方式使用，個人信息保護(hù)法的宗旨在于維護(hù)個人權(quán)利保護(hù)（信息主體）和促進(jìn)經(jīng)濟(jì)發(fā)展（國家）的宏觀，以及人格權(quán)保護(hù)（信息主體）和個人信息需求（主體為信息管理者）的微觀兩方面的平衡。

三、立法保護(hù)模式下的個信保護(hù)

筆者認(rèn)為，用法律約束與制度規(guī)范是保護(hù)個人信息免受不法和非正常使用的最有效的途徑。齊愛民教授認(rèn)為：“我國應(yīng)借鑒德國統(tǒng)一立法模式制定個人信息保護(hù)法，在個案中承認(rèn)自律組織的效力，以促進(jìn)商業(yè)機(jī)構(gòu)對個人信息的自律保護(hù)。”雖然某種程度上法律的保護(hù)和制度的制約會給信息的流通和應(yīng)用帶來一定的“過度管制”阻礙了對信息的利用產(chǎn)生的社會效益，但是對個人信息嚴(yán)格規(guī)范管理，是社會信息化不斷加大的一種發(fā)展趨勢，否則社會各行業(yè)、群體的個人信息安全將無安全可言，社會誠信體系建設(shè)也將受到極大沖擊。日本的《個人信息保護(hù)法》、美國的《信息自由法》、《隱私法》與《電子政務(wù)法》等法律皆為個人信息保護(hù)的專門性規(guī)定。

我國關(guān)于個人信息保護(hù)的法律規(guī)定過于分散，主要分布在民法領(lǐng)域的《民法通則》、《侵權(quán)責(zé)任法》；行政法領(lǐng)域的《居民身份證法》、《治安管理處罰法》、《政府信息公開條例》；刑法中的《刑法修正案》。對個人信息的保護(hù)的專門性規(guī)定只有一個《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，此規(guī)定以最高的立法層級明確了加強(qiáng)個人信息保護(hù)的原則，為個人信息的保護(hù)提供了基本的向?qū)А?013年2月1日也開始實行了我過首個個人信息保護(hù)的國家標(biāo)準(zhǔn)，即《信息安全技術(shù)公共及商用服務(wù)系統(tǒng)個人信息保護(hù)指南》，以上兩個規(guī)定，可以說是我國在個人信息保護(hù)意識提升到制度層面的表現(xiàn)，但是只能說我國的個人信息保護(hù)是有標(biāo)準(zhǔn)可依了，法律保護(hù)依然是一種空缺，這是我國個人信息保護(hù)的一大缺陷。

筆者認(rèn)為，建立專門性個人信息保護(hù)法是一種必然要求和趨勢。迄今為止我國還未制定專門性的個人信息保護(hù)法，但是理論界就個人信息保護(hù)法的起草已經(jīng)進(jìn)行了探索，較為有影響的是中國社會科學(xué)院周漢華教授受國家信息辦委托起草的《中華人民共和國個人信息保護(hù)法》（專家建議稿），雖然該部法律還有許多需要改進(jìn)的地方，但也是在專門性法律領(lǐng)域的進(jìn)步。

四、規(guī)范個人信息管控主體行為和程序

從廣義上分，對個人信息有管空權(quán)利的可分為公共部門和非公共部門。公共部門還可依據(jù)行使管理權(quán)來源分為行使公權(quán)的國家各行政機(jī)關(guān)、企事業(yè)單位和具有社會公共服務(wù)性質(zhì)的組織。關(guān)于這些部門、機(jī)構(gòu)、組織在個人信息保護(hù)上的規(guī)制，可從以下幾個角度進(jìn)行。

（一）公共部門

不管是行使公權(quán)的行政機(jī)關(guān)、企事業(yè)單位，還是具有社會服務(wù)性質(zhì)的組織機(jī)構(gòu)，在個人信息的保護(hù)上都具有更高層次的義務(wù)，因為公共部門的職能決定了對個人信息掌控的寬度和深度。公共部門不僅承擔(dān)起打擊侵害個人信息違法犯罪的職責(zé)，比如涉及刑事的立案偵查起訴，和涉及民事范圍糾紛的處理，還要從自身出發(fā)，維護(hù)公民的個人信息，不泄露、違法使用公民信息。對個人信息的處理要通過法律程序進(jìn)行，不能向外界通過非正式程序提供公民的信息，用法律、法規(guī)和制度規(guī)范信息利用的途徑。

建立個人信息保護(hù)部門。專門的個人信息保護(hù)部門可提供各種相關(guān)個人信息的事務(wù)的處理，比如咨詢查詢方式、侵權(quán)維護(hù)方式等事務(wù)，對涉及違法犯罪的要進(jìn)行移交或建議個人處理方式。

確立個人信息非法或違規(guī)使用處理程序。個人信息專門法律要對侵害個人信息的救濟(jì)途徑與程序進(jìn)行規(guī)定，確保各種違法、違規(guī)使用、泄露個人信息的行為受到法律的制約，為個人保護(hù)自身信息的安全提供一個救濟(jì)途徑。對侵害個人信息的行為進(jìn)行分門別類的規(guī)定，針對不同的類型又不同的救濟(jì)程序就行救濟(jì)，可由專門的個人信息保護(hù)部門進(jìn)行指引救濟(jì)途徑。

建立行業(yè)個人信息保護(hù)的標(biāo)準(zhǔn)。針對各行各業(yè)對個人信息的保護(hù)程度、義務(wù)等標(biāo)準(zhǔn)進(jìn)行規(guī)定。公共部門對個人信息的保護(hù)有不可推卸的責(zé)任，在行業(yè)管理中，應(yīng)當(dāng)建立行業(yè)的約束標(biāo)準(zhǔn)。可根據(jù)業(yè)務(wù)特點(diǎn)和范圍進(jìn)行劃分，比如銀行業(yè)、通訊行業(yè)類等，根據(jù)行業(yè)標(biāo)準(zhǔn)進(jìn)行管理。

（二）行業(yè)自律

對個人信息的保護(hù)外部制約尤為重要，是個人信息保護(hù)的重要途徑，但是行業(yè)自律更需建立。2012年公安部針對個人信息的違法犯罪進(jìn)行集中打擊行動中，實現(xiàn)了對侵害個人信息侵害的全環(huán)節(jié)偵破，“此類型犯罪層次較多關(guān)系復(fù)雜，但總體上可分為源頭數(shù)據(jù)平臺非法調(diào)查類公司三個層次其中包括：有機(jī)會接觸到公民個人信息的國家機(jī)關(guān)企事業(yè)單位服務(wù)機(jī)構(gòu)中的部分工作人員是泄露信息的源頭；直接從源頭獲取信息的中間商在向各地批發(fā)零售信息的同時，相互不斷買入新的信息，掌握著海量數(shù)據(jù)，構(gòu)成兜售個人信息的數(shù)據(jù)平臺；一批非法調(diào)查討債公司購買信息后，從事非法討債詐騙和敲詐勒索等下游違法犯罪活動構(gòu)成第三層次”。由此可見，要預(yù)防和控制對個人信息的不法利用，就有加強(qiáng)打擊力度，深挖泄露信息的源頭，切斷信息類犯罪的利益產(chǎn)業(yè)鏈，摧毀非法的數(shù)據(jù)平臺，嚴(yán)厲打擊各行業(yè)依賴個人信息下的違法犯罪行為，加強(qiáng)行業(yè)的自律，完善內(nèi)部管理，封堵制度漏洞。

（三）建立以公共部門、行業(yè)自律為中心的全方位個人信息保護(hù)體系

個人信息安全在大數(shù)據(jù)時代下的保護(hù)面臨嚴(yán)峻而復(fù)雜的形勢，單靠公共部門和行業(yè)的自律與管理不能滿足需求，任何單一的保護(hù)模式均不能完成全面保障個人信息安全。我們要從大數(shù)據(jù)發(fā)展的方向和技術(shù)變革趨勢尋找對個人信息的各種應(yīng)用方式的可能性，特別是非正常渠道的應(yīng)用。在把握各種侵害個人信息可能性的情況下，構(gòu)建一個全方位的個信安全保護(hù)體系，該體系可重點(diǎn)從法律體系、自律機(jī)制、組織機(jī)構(gòu)、管理標(biāo)準(zhǔn)、技術(shù)保障等多層面構(gòu)建，形成一個互相協(xié)調(diào)、動態(tài)的個信安全保障網(wǎng)絡(luò)。首先完善個人信息保護(hù)法律體系。與歐盟、美國、日本等國家相比，我國在個人信息保護(hù)方面還存在差距，對個人信息保護(hù)不充分，法律規(guī)定分散且保護(hù)方式等不確定，我國可以借鑒和參考個人信息保護(hù)發(fā)達(dá)的國家、地區(qū)的經(jīng)驗，加速完成個人信息保護(hù)的專門性法律，改變僅僅“有據(jù)可依”的局面，為個人信息的保護(hù)提供最高層面的法律保護(hù)和依據(jù)。其次建立個人信息安全保護(hù)的各類標(biāo)準(zhǔn)、范圍等?！皹?biāo)準(zhǔn)”是個人信息得以保護(hù)的開始，沒有范圍、標(biāo)準(zhǔn)等條件的設(shè)定，就沒有個人信息保護(hù)的啟動。公共部門為主的保護(hù)主體應(yīng)當(dāng)組織和引導(dǎo)各大重點(diǎn)企業(yè)開展對個人信息安全的國際標(biāo)準(zhǔn)和國內(nèi)標(biāo)準(zhǔn)進(jìn)行認(rèn)證。我國2013年2月1日首例個人信息保護(hù)標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)系統(tǒng)個人信息保護(hù)指南》正式實施，該指南對個人信息的處理流程進(jìn)行了比較全面的規(guī)范，規(guī)定個人敏感信息和收集和利用之前須征得個人同意和明確授權(quán)。該指南是我國在個人信息保護(hù)上的一大進(jìn)步，但是它只是一個推薦性的標(biāo)準(zhǔn)，在實施過程中缺乏強(qiáng)制性，很大程度上還是要依靠行業(yè)的自愿配合，因此建立具有強(qiáng)制性實行的標(biāo)準(zhǔn)勢在必行。再次健全個人信息安全保護(hù)的組織機(jī)構(gòu)。組織機(jī)構(gòu)可分為公共部門和非公共部門。公共部門應(yīng)從職能上履行職責(zé)，對侵害個人信息的行為進(jìn)行救濟(jì)和保護(hù)。非公共部門主要是指個人與公共部門的中介機(jī)構(gòu)，主要擔(dān)起監(jiān)督和專業(yè)測評等職能，銜接公共部門和個人維權(quán)間的關(guān)系。最后要加強(qiáng)個人信息安全保護(hù)的技術(shù)應(yīng)用。鼓勵個人信息保護(hù)的技術(shù)創(chuàng)新與研發(fā)，加強(qiáng)個人信息管理系統(tǒng)建設(shè)，從技術(shù)的層面保障海量的個人信息的安全。

五、結(jié)語

綜上，我們可以借鑒參考國外先進(jìn)的經(jīng)驗，結(jié)合本國法律體系的實際，建立一個符合我國國情的個人信息保護(hù)方式。加強(qiáng)個人信息的保護(hù)除了要靠用法律的制定、制度的確立和行業(yè)的自律，同時還要加強(qiáng)個人信息安全教育和宣傳，培養(yǎng)和提高國民個人信息安全素養(yǎng)。一方面是信息提供方的保護(hù)意識；另一方面是信息掌控者（管理者），通常為運(yùn)營商、公共服務(wù)部門等群體依法使用個人信息。只有全方位營造一個有法律、有制度、有環(huán)境的個人信息保護(hù)模式，才能真正意義上保護(hù)個人信息的安全。