◎郗蕊

芻議個人信息法律保護(hù)的困境及應(yīng)對策略

◎郗蕊

在我國，個人信息權(quán)屬于基本人權(quán)。但是，在法律規(guī)定方面因為分散性比較明顯且十分簡略，導(dǎo)致權(quán)利主體在其個人信息泄露的情況下，很難獲取及時的法律救濟(jì)。而在個人信息保護(hù)途徑方面，在學(xué)界也存在一定的爭議?；趯嶋H情況，為了能夠?qū)崿F(xiàn)對個人信息權(quán)的全面保護(hù)，確?，F(xiàn)代社會信息的安全性，就必須要盡快制定出個人信息保護(hù)法。與此同時，明確基本的原則內(nèi)容，將個人信息法律關(guān)系客體制度進(jìn)行相應(yīng)的界定，以保證權(quán)利制度的保障機(jī)制更加完善與健全。

現(xiàn)階段，在商業(yè)領(lǐng)域，客戶資源共享已經(jīng)成為“公開的秘密”。伴隨生物識別技術(shù)以及射頻識別等多種更為現(xiàn)代化的技術(shù)形成并應(yīng)用，使得交通訊息內(nèi)容、個人身份識別以及電子病歷的信息內(nèi)容，甚至是不同消費資金賬戶的相關(guān)信息都已經(jīng)融入到人們的日常生活領(lǐng)域中，實現(xiàn)了不同類別信息的融合。在這種情況下，使得個人信息的流通與運用更加頻繁，特別是在虛擬網(wǎng)絡(luò)的推動下，濫用個人信息并侵害私權(quán)現(xiàn)象發(fā)生的幾率隨之提高。而如果個人信息被泄露，那么信息主體很難恢復(fù)數(shù)據(jù)，而對于濫用信息的掌控將更難實現(xiàn)。一旦不法分子運用了被泄露的信息，則會不斷發(fā)生賬戶失竊亦或是詐騙與身份盜用等多種不同形式的刑事犯罪事件。而發(fā)達(dá)國家在上世紀(jì)中期意識到對個人信息保護(hù)的重要性，并且通過法律法規(guī)明確了不同形式的個人信息法律保護(hù)途徑。基于此，國內(nèi)也起草了《人格權(quán)法》，個人信息保護(hù)立法也逐漸受到國人的重視。而本文將以個人信息的法律保護(hù)作為研究重點，闡述了其中存在的問題與相應(yīng)的應(yīng)對策略，以供參考。

當(dāng)前個人信息保護(hù)立法現(xiàn)狀解構(gòu)

對于任何一個國家而言，個人信息都是其重要的戰(zhàn)略資源。在我國，已經(jīng)發(fā)生了大量的信息被盜事件，由此可見，公民信息泄露的問題十分嚴(yán)重。而正是個人信息泄露現(xiàn)象的出現(xiàn)，信息主體隱私權(quán)被侵犯，同時，也為其日常生活帶來了負(fù)面的影響。特別是在信息化時代背景下，信息的傳輸速度極快，實際傳播的范圍廣泛，因而，個人信息保護(hù)也正面臨嚴(yán)峻形勢。基于此，創(chuàng)建個人信息保護(hù)制度勢在必行。

當(dāng)前，在我國并未制定出致力于個人信息保護(hù)的法律法規(guī)。但是，已經(jīng)陸續(xù)出臺了諸多法律法規(guī)與規(guī)章制度，其中涉及到了個人信息保護(hù)問題。針對出臺的法律法規(guī)，與個人信息保護(hù)相關(guān)的內(nèi)容相對分散，而且在權(quán)利與責(zé)任劃分方面十分模糊，甚至有很多部門的規(guī)章制度效力并不高。于2013年年初，我國首次提出了個人信息保護(hù)國家標(biāo)準(zhǔn)并且投入到實踐過程中。而這一標(biāo)準(zhǔn)的執(zhí)行也同樣彰顯除了個人信息保護(hù)工作已經(jīng)邁入了全新的發(fā)展階段，有標(biāo)準(zhǔn)作為重要行使依據(jù)。然而，也僅僅只是標(biāo)準(zhǔn)，并不具備法律的約束能力。標(biāo)準(zhǔn)本身的效力層次并不高，所以，對于違法犯罪行為難以起到震懾的作用。在這種情況下，工業(yè)與信息化部門公布了電信與互聯(lián)網(wǎng)用戶的個人信息保護(hù)具體規(guī)定征求意見稿，主要的目的就是對電信企業(yè)以及互聯(lián)網(wǎng)予以嚴(yán)格地規(guī)范，以保證在對用戶個人信息收集與使用的過程中更加合法，為用戶個人信息的安全性提供有力保障。從根本角度出發(fā)進(jìn)行分析與思考，可以發(fā)現(xiàn)，這一規(guī)定同樣與之前的標(biāo)準(zhǔn)面臨相同問題。雖然信息法能夠?qū)€人信息進(jìn)行保護(hù)，但是，并不單純地對個人隱私與自由給予保護(hù)，也直接關(guān)系著每個人的人格發(fā)展，社會價值不容忽視，特別是與個人信息流轉(zhuǎn)的高效性以及公平性存在緊密地聯(lián)系。正是在資料保護(hù)下的個人與社會以及資料保護(hù)問題下的個人與社會，其雙重價值與雙重屬性都決定了資料保護(hù)法將突破公法以及司法的界定，將設(shè)計刑法、民法、甚至是憲法等多個部門法。但是，對于傳統(tǒng)部門法而言，僅憑借自身能力都難以落實個人信息的法治化轉(zhuǎn)變。為此，必須要科學(xué)合理地制定專業(yè)資料保護(hù)法律，對個人資料進(jìn)行專門地收集與使用，對所收集信息進(jìn)行加工與散播，針對信息的整體流轉(zhuǎn)流程予以嚴(yán)格地規(guī)制，形成一門基礎(chǔ)法律。這里所說的基礎(chǔ)性法律，并不僅僅適用于某一個領(lǐng)域亦或是某一種行業(yè)，也并不是對某一種類型資料進(jìn)行處理的管理與處理方法，同樣不只是補(bǔ)充涉及資料保護(hù)的相關(guān)法律內(nèi)容，而是接受憲法的指導(dǎo)所形成的個人資料保護(hù)法。

對國外個人信息保護(hù)立法與相關(guān)啟示的探討

在國外，對于個人信息保護(hù)的問題，已經(jīng)形成了兩種不同的立法機(jī)制。其中一種是歐盟統(tǒng)一性的立法模式，另外一種就是美國的分散立法模式。而這兩種立法框架都已經(jīng)確定出新時期背景下信息法的發(fā)展趨勢。對于美國信息法而言，其出發(fā)點就是實用性，對于信息內(nèi)容所具有的實用性價值十分關(guān)注，所以，將分散律法與行業(yè)自律兩種方式有機(jī)融合。對于歐盟信息法而言，其最重要的而理論基礎(chǔ)就是道義論。而對于這一立法機(jī)制，將重點放在保護(hù)個人信息上，始終堅持個體自治的基本原則。于1996年，歐盟已經(jīng)通過數(shù)據(jù)保護(hù)的指令，所以，在歐盟國家中已經(jīng)確定出隱私權(quán)的立法原則，在立法背景與基本理念方面都與美國立法存在差異。在歐盟已經(jīng)把隱私權(quán)當(dāng)作基本人權(quán)，因而，必須要在政治方面解決。另外，歐盟的數(shù)據(jù)保護(hù)指令也同樣在個人信息保護(hù)方面提供了有效的途徑，并給予了必要的救濟(jì)方法。由此可見，歐盟這種綜合方法同美國相比存在極為明顯的不同之處。具體表現(xiàn)在，美國立法的隱私權(quán)規(guī)范涉及范圍有限，與此同時，需要利用市場保護(hù)隱私權(quán)。但是，歐盟在此方面不同，已經(jīng)制定出相對成熟且完整的信息保護(hù)法律，對于公共領(lǐng)域與私自領(lǐng)域當(dāng)中的信息處理行為都作出了適當(dāng)?shù)恼{(diào)整與規(guī)范。

而在德國，所執(zhí)行的《聯(lián)邦資料保護(hù)法》則屬于大陸法系當(dāng)中比較典型的一種。此法律所運用的是統(tǒng)一立法模式，實現(xiàn)了統(tǒng)一規(guī)范并保護(hù)個人信息保護(hù)的目的。在1982年一年當(dāng)中，德國在“人口普查案”中促進(jìn)了個人信息保護(hù)的進(jìn)一步發(fā)展。隨后，德國也同樣對該法律進(jìn)行了適當(dāng)?shù)卣{(diào)整與修訂，并于1990年貫徹落實，實際效果得到了國內(nèi)各界認(rèn)可。第一，在《聯(lián)邦資料保護(hù)法》當(dāng)中，已經(jīng)形成嚴(yán)謹(jǐn)原則機(jī)制。在該法律當(dāng)中，對于公開原則、安全保護(hù)原則以及更正和目的明確等相關(guān)原則都已經(jīng)進(jìn)行了明確地規(guī)定。第二，對于監(jiān)督機(jī)制而言，德國也已經(jīng)構(gòu)建了雙軌制的模式，有機(jī)結(jié)合內(nèi)外部監(jiān)督機(jī)構(gòu)。其中，外部監(jiān)督機(jī)構(gòu)，也就是個人資料保護(hù)委員會，其主要的工作內(nèi)容就是嚴(yán)格監(jiān)管公務(wù)機(jī)關(guān)對個人資料進(jìn)行收集與處理的實際效果。通常情況下，委員會的成員都是法官亦或是大學(xué)教授，且任職的穩(wěn)定性較高。而對于內(nèi)部監(jiān)督機(jī)構(gòu)而言，就是資料保護(hù)人，而具體的任務(wù)就是嚴(yán)格監(jiān)督非公務(wù)機(jī)關(guān)對于個人資料的處理行為。而資料保護(hù)人通常都是單位自主選擇任職，但前提必須要具備良好品性與專業(yè)知識。第三，《聯(lián)邦資料保護(hù)法》落實雙軌制損害賠償機(jī)制。在該法律內(nèi)容中，已經(jīng)將個人信息侵權(quán)行為細(xì)化成兩個部分，即行政侵權(quán)與民事侵權(quán)?；诖?，法律同樣對兩種不同侵權(quán)行為的損害賠償進(jìn)行了明確地界定，提出了賠償?shù)姆秶c歸責(zé)的基本原則。詳細(xì)地講，針對行政侵權(quán)行為，其損害賠償應(yīng)當(dāng)遵循無過錯的責(zé)任原則，而賠償?shù)姆秶鷦t已經(jīng)確定最高限額。而針對民事侵權(quán)行為，其損害賠償同樣遵循無過錯的責(zé)任原則，而實際的賠償范圍則要貫徹并落實全額賠償?shù)臋C(jī)制，但是在最高限額方面并沒有限制。

完善個人信息保護(hù)立法的有效途徑

明確個人信息保護(hù)法的基本原則。對于個人信息保護(hù)法而言，通過明確基本原則，能夠真實地彰顯法律價值與理念，并且對立法宗旨以及目的進(jìn)行反映，同時，在不同信息法律制度與規(guī)范方面都發(fā)揮著不可替代的指導(dǎo)價值，也同樣為立法與司法的實踐活動提供參考依據(jù)。在個人信息保護(hù)方面，OECO與亞太經(jīng)合組織已經(jīng)分別在1980年和2005年出臺《保護(hù)隱私和個人數(shù)據(jù)跨國流通指南》與《亞太經(jīng)合組織隱私權(quán)保護(hù)框架》，與此同時，對于個人信息保護(hù)原則進(jìn)行了相應(yīng)規(guī)定，一定程度上促進(jìn)了不同地區(qū)個人信息保護(hù)的立法，將其作為重要基礎(chǔ)，合理地制定了國內(nèi)與不同地區(qū)個人信息保護(hù)法，并予以不斷完善與改進(jìn)。而在現(xiàn)代信息化社會背景下，個人信息立法保護(hù)的目的也不單純對個人信息流動予以限制，而是進(jìn)行嚴(yán)格管理與規(guī)范，希望確保個人信息流動的合法與合理，同樣為個人信息的正確性與安全性提供保障。但是，在對個人信息進(jìn)行全面保護(hù)的基礎(chǔ)上，同樣需要確保社會信息資源配置的全面優(yōu)化。也就是說，不僅要充分踐行個人信息價值，而且應(yīng)更好地為人民群眾提供所需服務(wù)，以保證信息主體與人民群眾實現(xiàn)利益的平衡。

全面整合個人信息法律關(guān)系的客體機(jī)制。所謂的個人信息法律關(guān)系客體，具體指的就是在個人信息法律關(guān)系當(dāng)中，信息主體和信息主體間享有民事權(quán)利并承擔(dān)民事義務(wù)的指向?qū)ο螅唵蝸碇v，就是信息主體個人信息。目前，在定義個人信息方面，比較常用的模式就是識別型。雖然在個人信息保護(hù)國家標(biāo)準(zhǔn)中定義了個人信息，然而卻嚴(yán)重缺失涵蓋性特點，最終導(dǎo)致定義的適用性不強(qiáng)。針對這種情況下，應(yīng)當(dāng)在《侵權(quán)責(zé)任法》立法模式方面融入識別型定義的方法。

值得注意的是，在個人信息保護(hù)國家標(biāo)準(zhǔn)中已經(jīng)對個人信息進(jìn)行了細(xì)化，即包括個人敏感信息以及個人一般信息。通常情況下，國際范圍內(nèi)已經(jīng)針對個人敏感信息制定了不同種類的立法機(jī)制。而在個人信息保護(hù)國家標(biāo)準(zhǔn)當(dāng)中，所采用的是情境法的模式。站在理論角度分析，這種模式相對靈活，但是卻難以確保敏感信息認(rèn)定的確定性，而且，這種模式的判斷標(biāo)準(zhǔn)始終不會受到法律條款的限制。概括來講，由于敏感信息中包含了所終信息與數(shù)據(jù)內(nèi)容，導(dǎo)致這種信息外延隨之變大。受互聯(lián)網(wǎng)發(fā)展影響，個人敏感信息和一般信息區(qū)分也更加不明顯。對于國外個人信息保護(hù)法律的借鑒與研究，要想?yún)^(qū)分兩種不同信息難度很大。為此，在這一方面仍需要展開深入研究。

全面建設(shè)個人信息權(quán)利的救濟(jì)制度。第一，確定歸責(zé)原則。如果是因為國家機(jī)關(guān)違背了法律的規(guī)定而引發(fā)個人信息受侵害，這種行為屬于無過錯責(zé)任。另外，如果是因為非國家機(jī)關(guān)的民事侵權(quán)行為而引發(fā)個人信息受侵害，則應(yīng)當(dāng)承擔(dān)過錯責(zé)任。第二，明確雙軌制損害賠償制度與相關(guān)金額計算具體方法。通常情況下，應(yīng)將個人信息侵權(quán)行為細(xì)化成行政與民事侵權(quán)行為兩種。針對侵權(quán)行為，不僅要積極借鑒現(xiàn)代化立法經(jīng)驗，同樣需要合理地引入雙軌制損害賠償機(jī)制。詳細(xì)的說，如果是因行政侵權(quán)行為所帶來的損害賠償，在法律方面應(yīng)當(dāng)確定最高限額賠償?shù)姆秶?。而如果是因民事侵?quán)行為所帶來的損害賠償，則應(yīng)當(dāng)貫徹并落實全額賠償，而在法律方面也無需明確最高限額賠償?shù)姆秶?。另外，在計算損害方面，個人信息保護(hù)法所采用的都是定額賠償機(jī)制，然而，由于計算機(jī)所處理的個人信息數(shù)量極大，且限定最高額的賠償，因此，很多超出最高額度的損害都難以獲取賠償。為此，當(dāng)事人則應(yīng)當(dāng)嚴(yán)格遵循民法的主張對所有損害進(jìn)行賠償。

綜上所述，由于個人信息泄露問題頻繁發(fā)生，所以，人民群眾對于個人信息保護(hù)的重視程度也不斷提高。在此背景下，也必須要對相關(guān)法律法規(guī)進(jìn)行全面完善，而政府相關(guān)部門也同樣應(yīng)給予個人信息高度重視，加大打擊的力度，通過采取合理的完善措施來對個人信息進(jìn)行有效保護(hù)。作為公民，也應(yīng)當(dāng)不斷增強(qiáng)對個人信息保護(hù)的意識，嚴(yán)格遵守社會道德。

（作者單位：中央民族大學(xué)）