我國個人信息保護的立法分析

鄒賽男 佟曉媛 冉瑤瑤 鮑潤楠 陳婷婷

遼寧大學法學院，遼寧 沈陽 110136

研究背景：

2016年國務院頒布《“十三五”國家信息化規(guī)劃》中的數(shù)據(jù)顯示：截止至2015年底，我國網(wǎng)民數(shù)達到6.88億，互聯(lián)網(wǎng)普及率達到50.3%，互聯(lián)網(wǎng)用戶、寬帶接入用戶規(guī)模位居全球第一。

伴隨著信息技術(shù)的發(fā)展，我國已經(jīng)邁入了“大數(shù)據(jù)”時代，數(shù)據(jù)已然成為信息時代發(fā)展的核心要素之一。個人信息在政府的行政行為、企業(yè)的經(jīng)營發(fā)展等方面具有極大的利用價值。然而，在對個人信息進行充分利用的同時，大量有關(guān)個人信息的侵權(quán)行為甚至犯罪行為也日益增加。2011年涉及個人信息的案件僅有12件，六年后這個數(shù)量已然突破了1100件。在面對現(xiàn)實中日益增多的案件數(shù)量，我國的個人信息保護立法現(xiàn)狀卻存在著諸多的問題。目前，我國并無一部統(tǒng)一的個人信息保護法，且現(xiàn)有的相關(guān)規(guī)定大多見于效力位階較低的部門規(guī)章當中。在大約478個相關(guān)法律法規(guī)當中，部門規(guī)章和地方性法規(guī)占到了約440部，占比超過92%。通過何種立法模式將繁雜的現(xiàn)行法律法規(guī)進行統(tǒng)一，并加強對個人信息的保護，是目前亟待解決的問題。

一、個人信息的概念分析

(一)域外個人信息概念考察

準確把握個人信息的概念是個人信息領域立法研究的邏輯基礎和前提?？v觀各國對個人信息的定義模式，各國均對進行了不同界定，如英國《數(shù)據(jù)保護法》(The Data Protection Act of 1998)將個人信息定義為個人數(shù)據(jù)，是指與在世人相關(guān)的且可以通過這些數(shù)據(jù)或其他數(shù)據(jù)控制者占有的能夠識別其個人的數(shù)據(jù)；日本《個人信息保護法》認為個人信息是指可以識別出特定個人的信息，包括名字，出生日期，其他包含在個人信息中的描述(包括了可以參照其他個人信息識別出的個人的信息)。新的修正法第2條中還增加了包含個人識別代碼的信息；韓國《個人信息保護法》(Personal Information Protection Act)第2條(定義)規(guī)定，個人信息，是指屬于一活人的信息，包括姓名、居民登記號碼(即居民身份證號碼)、肖像等：且通過該信息能夠?qū)崿F(xiàn)對特定個人的識別(也包括雖通過該信息特定個入未能得以識別，但將該信息與其他信息進行簡單結(jié)合后特定個人即可得以識別的信息)；澳大利亞《隱私法》(Privacy Act 1988)中個人信息指的是可識別的個人或理論上可識別身份的個人信息及觀點，無論信息或觀點是否真實，以及信息或觀點是否以物質(zhì)形式記錄?？偨Y(jié)各國立法可以發(fā)現(xiàn)，在兩大法系之中，以歐盟和美國為代表的模式最為典型。歐盟將個人信息視為人的一項基本權(quán)利，將個人信息界定為“個人數(shù)據(jù)”，即一個數(shù)據(jù)主體相關(guān)的任何信息。而美國通過在不同領域?qū)€人信息分別制定單行法，如《隱私法》(The Privacy Act of 1974)將個人信息定義為“個人記錄”，是指行政機關(guān)根據(jù)公民的姓名或其他標識而記載的一項或一組信息?！捌渌麡俗R”包括別名、照片、指紋、音紋、社會保障號碼、護照號碼、汽車執(zhí)照號碼以及其他一切能夠用于識別某一特定個人的標識。

(二)我國個人信息概念界定

在我國，“個人信息”第一次作為法律概念出現(xiàn)，是在2009年通過的《刑法修正案(七)》增加的“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”，但這里并未對“個人信息”進行定義。2012年11月工業(yè)和信息化部出臺了指導性文件《信息安全技術(shù)公共及商用服務信息系統(tǒng)個人信息保護指南》，該文件首次規(guī)定了我國個人信息保護的國家標準，將個人信息確定為“信息系統(tǒng)所處理、與特定自然人相關(guān)、能夠單獨或通過與其他信息結(jié)合識別該特定自然人的計算機數(shù)據(jù)”。同年，全國人大常委會發(fā)布的《關(guān)于加強網(wǎng)絡保護的決定》中明確提出“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”。此后在《網(wǎng)絡安全法》第七十六條第五款①以及《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》②中對于個人信息的界定均沿用了這一觀點，并在識別的基礎上通過列舉的形式對個人信息的概念進行了定義。

首先，個人信息一詞在日常生活中被理解為“音信、消息”，并沒有明確的內(nèi)涵與外延。并且，我國現(xiàn)有的法律法規(guī)散見于網(wǎng)絡安全、電子商務等各個不同領域，對個人信息的界定也受制于所屬行業(yè)的影響，呈現(xiàn)出單一、狹隘的特點。為進一步進行立法保護，就需要將個人信息的概念從生活用語層面提升至法律概念，對其進行規(guī)范化的說明。其次，信息本身并不存在巨大的價值，是信息的流動性賦予其存在的意義，對個人信息進行保護的意義并非完全靜態(tài)的限制利用，而是在不致侵犯公民的個人權(quán)益的同時，以一種謹慎的方式發(fā)揮個人信息的潛在市場價值。目前，綜合我國個人信息發(fā)展與利用的現(xiàn)狀，《民法總則》民事權(quán)利一章第111條的規(guī)定為個人信息保護奠定了基礎。該條的內(nèi)容規(guī)定了個人信息受到法律保護，任何組織和個人有義務保障個人信息的安全且不得非法利用。實際上《民法總則》這一規(guī)定與歐盟將個人信息作為基本權(quán)利的立法保護模式較為吻合。故而，本文更傾向于歐盟的定義方式，選擇將個人信息定義為一種“數(shù)據(jù)”。除了在概念界定中明確個人信息的核心特征、要素，還應當對抽象概念的典型類型進行概括列舉。因此，筆者在我國現(xiàn)有個人信息立法的基礎上，采取概括加列舉的模式將“個人信息”定義為可以直接或間接識別該個人的各種數(shù)據(jù)資料，具體包括但不限于自然人的姓名、性別、出生日期、身份證號碼、IP地址、婚姻家庭情況、教育背景、職業(yè)、喜好、收入情況、社交范圍、犯罪記錄等。

二、個人信息的價值分析

個人信息在現(xiàn)實生活交往表現(xiàn)出各種價值。但主要有人格尊嚴價值和自由價值、商業(yè)價值、公共管理價值。

(一)個人信息的人格尊嚴和自由價值③

公民是個人信息的來源，同時也是其承載者。個人信息自始至終都與公民的人格尊嚴和自由之間有著密不可分的聯(lián)系。在很多情況下，人們更是以一些個人信息形象“指代”真實的個人。因而在現(xiàn)實生活中，部分的個人信息已經(jīng)成為信息主體人格的外在標志。與此同時，個人信息的利用在為信息產(chǎn)業(yè)的興起和發(fā)展帶來很多的機遇的同時，也在很多時候威脅著公民的個人信息權(quán)利。個人信息上依附的人格權(quán)益，在商業(yè)環(huán)境下能否得到妥善的保管和適用成為人們?nèi)找骊P(guān)注的話題。隨著近年來關(guān)于個人信息侵權(quán)訴訟的迅速上升，個人對其個人信息的保護訴求也越發(fā)強烈。在個人信息的利用中只有保證公民依附在個人信息上的人格尊嚴與自由不被控制和侵犯的情況下才能實現(xiàn)個人信息與公民自身人格的一致性從而最大的保證信息的真實性與可利用性。因此，個人信息主體的人格尊嚴和自由價值是在個人信息的首要價值，也是必須保護的價值。

(二)個人信息的商業(yè)價值

個人信息的商業(yè)價值起源于營銷模式的改革。從傳統(tǒng)的大規(guī)模不定向營銷到定向營銷再到數(shù)據(jù)庫營銷模式④。在營銷模式的改革當中，個人信息發(fā)揮了重要的作用，不僅省去了大量的營銷成本，而且通過準確把握消費者需求創(chuàng)造了前所未有的商業(yè)價值。在此過程當中，個人信息的商業(yè)價值嶄露頭角。如今，信息技術(shù)的進一步發(fā)展給經(jīng)營者提供了先進的商務智能分析對產(chǎn)品和服務的升級與更新，企業(yè)決策的科學和理性起著重大的指導性作用。其次，個人信息對于整個市場經(jīng)濟的運行也至關(guān)重要。市場經(jīng)濟信用體系的建立、完善與企業(yè)之間的信息資源共享也成為促進商業(yè)合作的基礎，這些都離不開個人信息的收集、處理與利用。而伴隨著大數(shù)據(jù)時代，信息資源本身就促使很多新型行業(yè)的興起，成為了我國市場經(jīng)濟重要的組成部分。

我國作為經(jīng)濟大國又是信息化的新興國家。無論是為了在新型信息產(chǎn)業(yè)領域占據(jù)一席之地，還是從傳統(tǒng)產(chǎn)業(yè)的改造和轉(zhuǎn)型角度而言，促進個人信息的開發(fā)利用都是非常必要的。

(三)個人信息的公共管理價值

個人信息的公共管理價值很久以前便得到了政府部門的重視，并對其進行了廣泛地應用。人口普查制度，便是最典型的且歷史最悠久的政府對個人信息的利用的體現(xiàn)。在步入信息社會以后，借助更加先進的信息技術(shù)，政府可以更加充分的發(fā)掘個人信息的公共管理價值進行利用。

筆者認為公共管理價值可分為兩個方面。一方面是指通過公共事務的管理來保障公共社會秩序。從理論上講，保障秩序的最終目的是為了更好的服務于公民群眾。因而，公共價值的另一方面是服務公眾的價值。公權(quán)力機關(guān)通過現(xiàn)代信息技術(shù)低成本的收集和存儲更多的個人信息，保障以此為基礎所采集到的社情民意的廣泛性，引導政府的行政行為，以此提高政府的公共管理水平。其次，通過對個人信息的處理與利用公權(quán)力機關(guān)也可以實現(xiàn)科學與理性的分析決策，更好地服務公民群眾。

個人信息的三種主要價值都有其保護的必要性，但事實證明，實踐中這些價值又是很難兼顧的。不同的價值導向勢必將會影響了立法的目的，從而選擇不同的個人信息保護模式。但是，無論是何種模式都只是對于價值取向上的一種傾斜并不能否定個人信息的其他價值更不表示只能保護一種價值其他價值不值得保護。因而在個人信息的保護有一定的價值導向是必定的且合理的，但是在具體的何種情況下該有怎樣的價值導向、如何實現(xiàn)價值平衡才重中之重。

三、國外立法模式的比較分析

(一)域外立法考察

互聯(lián)網(wǎng)時代，個人信息安全問題日益凸顯。國外許多國家已經(jīng)相繼制定了保護個人信息的法律，保護個人信息已成為一種趨勢。迄今為止，全世界已有50多個國家和地區(qū)制定了個人信息保護的法律規(guī)范，其中美國、歐盟對于個人信息保護的立法較早，相關(guān)個人信息保護的法律發(fā)展比較成熟，逐漸形成了比較有代表性的立法模式，在個人信息安全領域?qū)ζ渌麌叶籍a(chǎn)生深遠影響，探討比較此類國家、地區(qū)的立法情況給我們的啟示，具有極其重要的現(xiàn)實意義。

1.歐盟

歐盟采取了“綜合立法”模式，即歐盟及其成員國以國家公權(quán)力為主導，制定統(tǒng)一的法律規(guī)范，統(tǒng)一規(guī)范國家、企業(yè)、個人等如何收集、處理、利用個人信息，并設立國家數(shù)據(jù)保護機構(gòu)，負責對企業(yè)或其他組織的數(shù)據(jù)處理進行監(jiān)督，對違法收集數(shù)據(jù)行為進行調(diào)查和處罰。歐盟在立法時偏重于將個人信息視為一項基本人權(quán)，注重保護個人信息的人權(quán)特性和社會價值，更強調(diào)對個人信息的充分保護和尊重，因此其從政府層面制定高水平的保護標準，力求對個人信息進行全面一體的保護，嚴格抑制其它國家利用個人信息獲取利益。

2.美國

美國則采用“分散立法”與“行業(yè)自律”相結(jié)合的模式，即區(qū)分不同的領域和事項對個人數(shù)據(jù)分別制定單行法，針對不同性質(zhì)的個人數(shù)據(jù)及侵權(quán)行為采用不同的制度加以規(guī)制，從而對個人數(shù)據(jù)進行較為詳盡的保護。與此同時，還由公司或者行業(yè)內(nèi)部制定行業(yè)行為規(guī)章或行為指引，為行業(yè)隱私保護提供示范。⑤整體上盡量減少政府的干預，只有在必要時，政府才會適當?shù)慕槿?。在價值追求上，美國將個人信息視為隱私利益中的內(nèi)容，因此，更注重強調(diào)對個人信息的控制與利用，偏重于考慮個人信息的經(jīng)濟價值。美國是信息技術(shù)最為發(fā)達的國家，其在信息收集和處理上具有很大優(yōu)勢，在數(shù)據(jù)跨國流通中獲益最大，因此，為了保護其產(chǎn)業(yè)利益，其采取較為寬松的立法模式。

(二)歐盟模式與美國模式的比較

根據(jù)上文可知，歐盟在個人信息保護方面主要采取了國家立法主導模式，政府制定了高水平的保護標準，對個人信息的保護是自上而下全面統(tǒng)一的，由此帶來的問題則是不利于信息的自由流動，不利于相關(guān)產(chǎn)業(yè)發(fā)展、從中獲益；與此不同的是，美國更奉行行業(yè)自治與個人自力救濟相結(jié)合的原則，突出個人自治和行業(yè)自覺，而不是國家公權(quán)力的強力介入，相關(guān)企業(yè)能夠較為自由的利用個人信息，但代價則是由于缺乏統(tǒng)一立法，部分企業(yè)會規(guī)避法律，對他人的個人信息權(quán)利造成侵害。

四、我國的立法選擇

在側(cè)重個人信息人權(quán)特性的歐盟統(tǒng)一立法模式和強調(diào)經(jīng)濟價值的美國分散立法模式之間，我國在立法選擇上應當綜合借鑒。如何更好地將個人信息保護置于我國法律體系中并與我國政治、經(jīng)濟相契合是我們首先需要考慮的問題。

目前我國屬于分散立法模式，有近40部法律、30多部法規(guī)，及近200部規(guī)章涉及個人信息保護，但是法出多門，個人信息保護體系錯綜復雜，相關(guān)保護條款內(nèi)容不集中、適用范圍模糊，給實踐操作帶來了難題。同時，企業(yè)在市場上占據(jù)的優(yōu)勢地位為其搜集、利用個人信息提供了便利，而行業(yè)自律在主體特性上決定了其無法有效規(guī)制企業(yè)行為，這也是近年來我國非法采集、販賣和利用用戶個人信息案件頻發(fā)的原因之一。

我國的立法現(xiàn)狀已不足以彰顯個人信息保護在人格特性與市場價值方面的意義。統(tǒng)一立法模式才能更好地完成個人信息保護的頂層設計，打破不同部門的分割現(xiàn)狀。通過統(tǒng)一立法確立個人信息保護基本原則，在基本原則之下，各部門再做規(guī)章制度層面的技術(shù)性規(guī)制。本文建議在對個人信息進行界定時強調(diào)個人信息的“可識別性”，在立法目的上側(cè)重保護人格利益，同時通過規(guī)定“排除事由”來平衡個人、企業(yè)與國家三者的利益，以兼顧個人信息的人格尊嚴和自由價值、商業(yè)價值以及公共管理價值。

五、結(jié)語

大數(shù)據(jù)時代個人既是信息的生產(chǎn)者也是信息的消費者，每個人的生活都與信息密切相關(guān)。個人信息本身所帶有的復雜屬性，決定了其所具有人格自由和人格尊嚴價值、商業(yè)價值和公共管理等多重價值。并且，由于不同信息主體追求的價值不同，在個人信息的利用中必然會產(chǎn)生各種利益之爭。在此過程，公民的個人信息往往容易遭到侵害。與此同時，在這種矛盾中沖突的任何一方都是難以割舍的。因此，需要識別個人信息保護和利用中多方主體的利益需求，承認與確保其核心利益的實現(xiàn)，讓渡自身非核心利益而使他方的核心利益得以實現(xiàn)。這樣才是符合時代發(fā)展且科學的個人信息保護方式。

[ 注 釋 ]

①《中華人民共和國網(wǎng)絡安全法》第七十六條第三款：個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等.

②《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》第四條：本規(guī)定所稱用戶個人信息，是指電信業(yè)務經(jīng)營者和互聯(lián)網(wǎng)信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結(jié)合識別用戶的信息以及用戶使用服務的時間、地點等信息.

③張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學，2015(3).

④張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學，2015(3).

⑤李春華，馮中威.歐盟與美國個人數(shù)據(jù)保護模式之比較及其啟示[J].社科縱橫，2017(8).