公權(quán)力介入個人資料保護的制度模式構(gòu)建

劉大琳

【摘 要】個人資料作為21世紀最有價值的資源，不僅關(guān)系著公民的個人權(quán)益，同時也關(guān)系著社會公益和社會秩序，我國目前的民法保護機制滯后，個人資料被侵害的現(xiàn)象仍然十分嚴重，且執(zhí)法力度較弱。公權(quán)力有必要介入到對個人資料的保護機制中，提高公眾包括企業(yè)和公共機構(gòu)的個人資料保護意識，引入懲罰性損害賠償，同時借鑒國外立法例，建立個人資料安全管理體系。

【關(guān)鍵詞】公權(quán)力；個人資料；安全防護模式；制度模式

一、個人資料的重要性

個人資料不僅可為政府的決策提供依據(jù)，使公共管理有效率，更可產(chǎn)生商業(yè)利潤。在網(wǎng)絡(luò)出現(xiàn)以前，名人許可商人在商品或服務(wù)的推銷或宣傳中使用其姓名或肖像等現(xiàn)象就是最典型的個人資料商品化現(xiàn)象，而在網(wǎng)絡(luò)出現(xiàn)之后，個人消費的喜好，個人網(wǎng)絡(luò)消費行為記錄、手機號碼及電子郵件地址等個人資料也被商人用來當(dāng)做個人化商品或服務(wù)推銷和廣告的宣傳工具，使個人資料商品化的現(xiàn)象越來越普遍。[1]P1隨著電腦和網(wǎng)絡(luò)的通信技術(shù)的發(fā)展，個人資料的收集、儲存、傳播、加工和利用的成本降低，現(xiàn)今技術(shù)可透過電腦將儲存于網(wǎng)絡(luò)的有關(guān)資料迅速連結(jié)到一起，從而形成某個人的大致輪廓，同時還可把具有相同或類似特征的許多人匯集起來組成一個資料庫，由于這些資料庫和個人資料具有很高的商業(yè)價值，可用作市場營銷和個人化服務(wù)，導(dǎo)致越來越多個人或企業(yè)專門從事買賣這些個人資料，因此個人資料作為商品交易已經(jīng)成為資訊時代的一個重要產(chǎn)業(yè)，根據(jù)調(diào)查，與開發(fā)一般網(wǎng)站相比，個人化網(wǎng)站的開發(fā)和維持往往需要4倍以上的成本，而一個個人化商業(yè)服務(wù)模式所需要的關(guān)鍵資產(chǎn)就是屬于該組織的個人化資料，隨著各種所謂的個人化服務(wù)重要性的提高，對個人資料的所有權(quán)已成為獲取投資回報的主要方式。[1]P6大部分網(wǎng)站是透過觀察消費者的網(wǎng)路行為，追蹤消費者的購買行為，以問問題的形式或兼采這三種形式來獲取消費者的個人資料。在美國，有不少專門從事消費者個人資料交易的公司，如Double Click and I-Behavior，這些公司搜集和出售消費者的購買歷史記錄，收入、家庭成員人數(shù)、生活愛好，擁有汽機車的情況等個人資料。[1]P3-5但有些公司是在未經(jīng)用戶同意的方式，私自搜集及使用用戶的個人資料，例如：亞馬遜公司曾利用消費者的歷史購買記錄，在其DVD電影的銷售中使用自動定價系統(tǒng)，即針對不同消費者訂出不同的價格銷售，亞馬遜公司因而獲利豐碩，除自動定價外，該公司亦使用消費者的個人資料進行個人化的廣告和產(chǎn)品推銷，而這種個人化的廣告銷售收入也比一般廣告銷售收入高10倍，但亞馬遜公司之后因其自動定價系統(tǒng)被消費者隱私保護組織曝光而受到輿論討伐，為此，亞馬遜公司曾公開道歉并向6896名消費者償還其不當(dāng)?shù)美?。[1]P4

個人資料被譽為是21世紀最有價值的資源當(dāng)之無愧，政府和企業(yè)為了爭奪高價值的個人資料，無不盡全力運用電腦技術(shù)來高速處理大量的個人資料以獲利，當(dāng)處于不同地區(qū)、不同時空及不同機構(gòu)的個人資料被迅速匯集起來時，只要透過比對等特殊技術(shù)處理后，瞬間就可描繪出一個人的資料人格，將一個人變成一個沒有隱私的透明人，此時我們該如何拯救我們現(xiàn)實和資料的人格呢？[2]

二、個人資料在我國的保護現(xiàn)狀

（一）法律保護機制的缺陷

我國現(xiàn)今的法律體系中，并沒有關(guān)于個人資料、個人資料權(quán)利的概念或字眼。我國沒有一部完整的民法典，也沒有制定一部完整的個人資料保護法。關(guān)于個人資料的保護，散布在各個法規(guī)對個人資料直接或間接保護的法律規(guī)定。比如居民身份證法、護照法、傳染病防治法中設(shè)置條款對個人資料加以保護。還有一種保護是通過信息控制人的單方承諾或特定行業(yè)的自律規(guī)范的承諾，對個人資料加以自律性質(zhì)的保護。[3]另外，我國尚未有違憲審查制度或憲法上權(quán)利的救濟途徑。人民基本權(quán)利的具體內(nèi)容和保障方式均只能透過法律和司法、立法解釋加以具體規(guī)定才能實現(xiàn)。[4]因此，即便學(xué)說通說上認為憲法一些條文對個人資料權(quán)利提供了間接的保護，如憲法三十三條、三十八條、三十九條、四十條的相關(guān)規(guī)定。但比之美國、德國或是臺灣之憲法對私法法律關(guān)系有間接的效力。例如我國臺灣地區(qū)中，個人資料權(quán)利是臺灣憲法上的基本權(quán)，法官在審批民事案件時，實務(wù)及學(xué)說通說皆采間接適用的方式或是憲法取向性的解釋，讓法律不論是否有明文規(guī)定皆可保護該憲法上的基本權(quán)。

我國對于個人資料的民法保護帶有很大的事后性，局限性比較明顯。這不僅表現(xiàn)在相關(guān)法律條款規(guī)定過于分散，可操作性差，對一些關(guān)鍵概念的界定不清。更表現(xiàn)為公民個人在維護自身的個人資料合法權(quán)益時，存在著的舉證困難，訴訟成本過高，受益過低，合法權(quán)益難以得到有效的維護的現(xiàn)實困境。雖《刑法修正案（七）》第七條規(guī)定可以看做是公民個人資料、個人權(quán)利在刑法方面尋求保護獲得的一個重大突破。但是仍不能有效的遏制對公民個人資料的非法出售和搜集的亂象，因為并不是每一個違法行為都達到了情節(jié)嚴重的程度。因此，我國對于個人資料的保護并不能提供有效的法律保障。

（二）個人資料被侵害現(xiàn)象嚴重

如前所述，個人資料既具有重大的商業(yè)價值，以牟利為目的針對個人資料販賣的現(xiàn)象不勝枚舉。從2012年3月20日，北京市大興區(qū)法院審理的一起網(wǎng)絡(luò)倒賣個人信息案，到今年315晚會曝光的運營商偷窺公民郵件內(nèi)容，我們幾乎已經(jīng)進入了一個個人資料全民裸奔時代。據(jù)中國電子信息產(chǎn)業(yè)發(fā)展研究院、中國軟件評測中心發(fā)布的《公眾個人信息保護意識調(diào)研報告》顯示，超過60%的被訪者遇到過個人信息被盜用的情況。表現(xiàn)在日常的生活中，由于公民的個人資料被隨意泄露，受到不勝其煩的商業(yè)推廣短信和電話騷擾。而依照現(xiàn)行法律，對于受“騷擾”之苦的公民來說，損害后果并不是十分明顯的，沒有權(quán)利尋求到法律上的救濟與保障，但在受“騷擾”的背后，卻是公民日常生活安寧的破壞，商業(yè)道德和秩序的崩塌，違法犯罪行為的滋生。侵權(quán)者盜用、濫用公民個人資料，造成公民隱私權(quán)和人格尊嚴的被侵害，財產(chǎn)權(quán)受到侵害，加之引發(fā)的不法分子的各種犯罪行為。擾亂社會秩序，侵害公民權(quán)益，于個人利益和社會利益考量，都應(yīng)受到嚴格的管制和約束。

同時，加之法律上欠缺對個人資料的保護，人民、政府以及法院對個人資料的重視度也不高，以致個人資料遭侵害的狀況時有發(fā)生，等個人資料遭侵害后，人民才會發(fā)現(xiàn)原來個人資料遭侵害會造成如此極大的損害，受害者遭受的損失和花費的處理時間如此之多?？蓪嶋H損害已經(jīng)造成，悔之晚矣。尤其是現(xiàn)如今網(wǎng)絡(luò)技術(shù)的迅速發(fā)展的時代，因網(wǎng)絡(luò)的特性，使得侵害的速度快，范圍又廣，舉證及適用法律難，訴訟成本高，導(dǎo)致被害人無法得到相應(yīng)的賠償。

（三）執(zhí)法力度較弱

法律的有效運行，離不開公民的自覺守法，同時更重要的在于執(zhí)法。法律的執(zhí)行是公民守法的前提和必要保障。而我國目前的現(xiàn)狀是，不僅是承擔(dān)信息安全監(jiān)督工作的工信部有關(guān)于個人資料保護的規(guī)章文件，公安部、國家保密局、國家密碼管理局、衛(wèi)生部、食品藥品監(jiān)督管理局、銀監(jiān)會、證監(jiān)會、鐵道部等部門都有規(guī)章文件涉及個人資料的保護。當(dāng)下我國這種交叉管理的體制下，當(dāng)出現(xiàn)個人資料泄露的法律后果時，通常資料已被輾轉(zhuǎn)流轉(zhuǎn)了好多次，這不僅為尋找泄露個人資料的源頭帶來了困難，更存在執(zhí)法者和被執(zhí)法者眾多的情況下，利益糾葛的弊端。本行業(yè)執(zhí)法部門只負責(zé)本行業(yè)執(zhí)法，行政執(zhí)法力度非常的弱。

在執(zhí)法過程中，還存在與個人對抗的另一方為財大氣粗的運營商或是公共機構(gòu)的普遍現(xiàn)象，這些相對方通常具有較強的影響力，易形成現(xiàn)實的執(zhí)法困境。執(zhí)法的困境造成了企業(yè)的毫無拘束，明知違法行為而故為之，在強大的利益驅(qū)動下，無法無德，視公民的合法權(quán)益于不顧。而監(jiān)管的失利不得不謂之是造成這一現(xiàn)象的根本原因。

三、公權(quán)力在個人資料保護中理應(yīng)發(fā)揮的作用

我國早在2003年就開始著手個人資料保護的立法，但直到現(xiàn)在都沒有出臺一部有關(guān)個人資料保護的法律。雖然學(xué)界的立法呼聲以及迫切的現(xiàn)實需要都亟需個人資料保護法律的出臺。但立法有其自身的弊端，其一，立法總是跟不上產(chǎn)業(yè)和技術(shù)發(fā)展的步伐，需要的時候出不來，等出來的時候或許已經(jīng)過時了。這是基于立法的固有缺陷。其二，也是最關(guān)鍵的，即使出臺新的法律法規(guī)或是補充修訂，如果達不到令行禁止的效果，使法律法規(guī)形同虛設(shè)，違法行為依然我行我素。當(dāng)然這并不說立法不重要，只是在推動立法進程的過程中，公權(quán)力還要有以下作為，才能有利保護公眾的個人資料權(quán)利，同時也符合現(xiàn)如今我國的法律和現(xiàn)實狀況。

（一）形成主動的個人資料保護意識

這里所講的個人資料保護意識的形成，不僅是針對公民個人，也包括企業(yè)和政府。

首先所謂提高民眾的個人資料保護意識。相關(guān)專家認為，個人資料被泄露、被濫用、被盜用，與大多數(shù)公民的個人資料保護意識不強有很直接的關(guān)系。他們經(jīng)常在有意無意之間將個人的資料泄露出去，尤其目前社交網(wǎng)絡(luò)迅速發(fā)展的時代，我們的生活幾乎已離不開網(wǎng)路，網(wǎng)絡(luò)不僅使我們的生活達到了天涯若比鄰的美好境界，同時網(wǎng)民也要留意網(wǎng)絡(luò)上各種潛在的風(fēng)險。公權(quán)力要采取由上而下的傳輸機制，不僅要提高宣傳的力度，經(jīng)過宣傳和普及教育，讓廣大民眾意識到個人資料保護的意義，增強民眾的防范意識，引導(dǎo)民間有關(guān)個人資料保護的協(xié)會構(gòu)建，鼓勵民眾積極地參與進來，發(fā)現(xiàn)有個人資料泄露的情況，向信息管理者提出投訴。讓保護個人資料的意識滲透到公民的日常生活中來。

其次關(guān)于企業(yè)的主動個人資料保護意識的形成，畢竟企業(yè)是以業(yè)務(wù)為導(dǎo)向的單位，對于個人資料的保護較為被動。既要確保企業(yè)不淪為個人資料泄露的儈子手，又要保障企業(yè)業(yè)務(wù)上的欣欣向榮，因為過度的管控會造成企業(yè)效率的下滑。如何找到一個均衡點，就有賴于如何培養(yǎng)企業(yè)的主動個人資料保護意識?？梢越梃b日本關(guān)于“隱私標章”制度的構(gòu)建，給予能夠獲得“隱私標章”的企業(yè)以一定的優(yōu)惠政策，如此使廣大企業(yè)自愿投入到有關(guān)個人資料保護的行動中來。

最后關(guān)于政府個人資料保護意識的形成，政府作為個人資料保護中較為關(guān)鍵的主體。由于網(wǎng)絡(luò)科技所引發(fā)的信息革命，個人資料在網(wǎng)上的傳播廣度及深度，已遠非吾人所能想象，電子商務(wù)的蓬勃發(fā)展，個人不得不對外提供個人資料，以換取各式的電子式服務(wù)，國家也可藉由科技，于個人毫不知情的情況下輕易取得個人資料，大幅減少資料搜集與交換的成本。政府是以一個專業(yè)且有利的秩序維護者的角色，憑其公權(quán)力手段介入私經(jīng)濟的管制活動中。政府部門利用搜集整合的各部門及人民、公司、其他組織的個人資料，以作為政策制定的依據(jù)。以目前政府控制資訊的能力日趨擴大，若民眾面對在信息掌握能力上無法與之抗衡的政府部門和公共機構(gòu)對于個人資料的干涉和侵害，其后果無法想象。公共企事業(yè)單位，比如銀行、醫(yī)院、通訊公司、保險公司等，往往是個人信息泄露最主要的渠道。因此，政府和公共機構(gòu)應(yīng)建立完善的公民檔案保護體系，行政機關(guān)的工作人員要有較強的個人資料保護意識。使行政人員認真履行職責(zé)，同時完善政府和公共機構(gòu)內(nèi)部的責(zé)任追究機制，并嚴格瀆職責(zé)任，放開輿論監(jiān)督。

（二）懲罰性賠償?shù)倪m用

個人資料泄露之嚴重，公民隱私侵害之猖獗已為世界各國所意識到?；ヂ?lián)網(wǎng)和信息技術(shù)的高度發(fā)展和廣泛應(yīng)用，個人資料被不當(dāng)收集，惡意泄露，隨意篡改，甚至非法出售的現(xiàn)象時有發(fā)生，社會上出現(xiàn)了大量兜售房主信息，股民信息，患者信息，車主信息，個人資料被濫用的現(xiàn)象已形成了一個新的產(chǎn)業(yè)?，F(xiàn)在為解決此一問題，尤其應(yīng)引進懲罰性賠償金的規(guī)定，因懲罰性賠償金不僅有賠償?shù)墓δ芤嘤袘土P的功能，不僅能使受害人最大限度獲得賠償救濟，況且我國已在《中華人民共和國消費者權(quán)益保護法》及《侵權(quán)責(zé)任法》上有所規(guī)定。懲罰性賠償金適用于個人資料保護上的合理性，可從以下方面來講：

首先，懲罰性賠償具有強大的威懾和遏制作用。其以遠超于受害者的損害金額作為侵權(quán)人應(yīng)承擔(dān)的義務(wù)，不僅僅是具有補償受害者損害的功能，更重要的在于對侵權(quán)者的懲罰，對于其漠視道德，漠視法制，漠視公民權(quán)益的懲罰。讓其付出沉重的代價，使侵權(quán)者不因“效率違約”而置公民的個人權(quán)利和社會公益于不顧。法律經(jīng)濟學(xué)的觀點認為，懲罰性賠償將給不法行為人在經(jīng)濟上增加負擔(dān)，此種負擔(dān)即為不法行為人為其行為所付出的代價，即使對于那些經(jīng)濟實力強大的主體而言，這種代價也是不情愿的，這樣可以促使行為人采取較為安全的措施以防止損害的發(fā)生或?qū)⑹鹿实陌l(fā)生危險降低到最低的程度。[5]對于那些將要或可能從事侵害公民個人資料的行為也起到一定的警示和遏制的作用。使其忌憚如此的責(zé)任承擔(dān)而不敢從事相同或類似的行為。其次，懲罰性賠償?shù)倪m用符合國際趨勢。就歐盟來講，歐盟委員會對互聯(lián)網(wǎng)公司和社交網(wǎng)絡(luò)在征求消費者的明確同意后方可使用其個人資料并要應(yīng)消費者的要求永久性的刪除他們的資料，包括用戶上傳到社交網(wǎng)站的照片，在零售網(wǎng)站購買的商品信息，或通過搜索引擎尋找的資料。違反條例者將被處以年收入2%的罰款。[6]就香港而言，香港近期實施新的《個人資料（私隱）（修訂）條例》，對商業(yè)機構(gòu)濫用客戶資料說不，違者將最高處以100萬港元罰款和5年監(jiān)禁。[7]

（三）建制個人資料安全防護體系

鑒于個人資料保護的重要性，國家自應(yīng)創(chuàng)設(shè)一制度和程序，對人民個人資料的保護進行周全的規(guī)劃，才能使人民的個人資料權(quán)真正獲得實現(xiàn)。同時更有利于在個人資料保護和信息流動之間尋求到更好的平衡點。國際間如日本、韓國、英國、德國等，均針對個人資料管理制度處理方式，提供有一套流程化的管理制度。以日本為例，其于1998年4月推動了“隱私標章”制度，并以1997年發(fā)布的保護準則為審查標準，凡依據(jù)準則內(nèi)容妥善落實個人資料保護工作且通過審查的民間企業(yè)，即可于其轄下的實體店家、網(wǎng)站、職員名片及相關(guān)出版品上使用“隱私標章”。透過公正第三機構(gòu)的審查，使得獲得“隱私標章”的企業(yè)，除象征具備維護用戶個人資料的適切能力外，亦可藉由參與“隱私標章”制度，獲取民眾對于企業(yè)的信賴。[8]如此，日本以其個資法為基礎(chǔ)，推動個人資料保護管理制度。不但對于顧客的個人資料得以進行安全的控管，以避免外泄及竊取，也能提升員工的個人資料保護意識，降低企業(yè)成本，進而提升企業(yè)整體獲益。建立強化企業(yè)落實個人資料保護的意愿。

我國的公共機構(gòu)及電子商務(wù)企業(yè)應(yīng)制定個人資料檔案安全維護計劃。方證明企業(yè)本身已盡到善良管理責(zé)任，即使發(fā)生個人資料外泄事件，亦可以主張依照當(dāng)前的安全防護技術(shù)水平及落實內(nèi)部個人資料管理維護而免責(zé)。企業(yè)被指控涉嫌個人資料外泄則必須負舉證責(zé)任，出具體證據(jù)來證明無故意或無過失責(zé)任，否則將面臨高額的賠償金與刑事責(zé)任。所謂“舉證之所在，敗訴之所在”，政府應(yīng)透過輔助或輔導(dǎo)的方式協(xié)助企業(yè)建制個人資料安全防護體系，獎勵創(chuàng)新注重個人資料保護的企業(yè)。凡進行個人資料安全防護體系構(gòu)建的企業(yè)，倘若政府可以透過輔導(dǎo)計劃，以有效輔導(dǎo)模式，采政策輔助加廠商自籌款比例方式，輔助企業(yè)進行個人資料安全防護體系的構(gòu)建和升級，且透過輔導(dǎo)案，能有效掌握及追蹤輔助成效。

【參考文獻】

[1]劉德良.論個人信息的財產(chǎn)權(quán)保護[M].人民法院出版社，2008.

[2]齊愛民.拯救信息社會中的人格-個人信息保護法總論[M].北京大學(xué)出版社，2009：19-20.

[3]孫超.個人信息，誰來保護[J].今日中國，2010（10）.

[4]張千帆.憲法學(xué)[M].法律出版社，2004：161.

[5]Rober D.Cooter，Punitive Damages for Deterrence：When andHow much。40 Ala Law Review 1143 1148（1989）.

[6]《通信管理與技術(shù)》2012年2月第1期.

[7]李永寧.香港對商家濫用客戶信息說“不”[N].人民日報，2013-04-12（11）.

[8]淵邊善彥，五十嵐敦.個人情報管理ハンドブック[Z].2008：156-157.