個人信息權(quán)及其歐盟保護

郭 鵬

(西安科技大學，陜西 西安 710054)

一、個人信息權(quán)的內(nèi)涵

個人信息權(quán)是指自然人依法對以數(shù)據(jù)電文形式存在的可識別的個人信息所享有的支配、控制并排除他人侵害的權(quán)利，個人信息權(quán)大體上從屬于傳統(tǒng)人格權(quán)的范疇，但是又具有相應的特殊性。

(一)個人信息以“數(shù)據(jù)電文”為形式要件

“數(shù)據(jù)電文”的概念最早出現(xiàn)于1996年聯(lián)合國貿(mào)易法委員會所制定的《電子商務示范法》之中，該法規(guī)定“數(shù)據(jù)電文”是指經(jīng)由電子手段、光學手段或者類似手段生成、儲存或者傳遞的信息，這些手段包括但不限于電子數(shù)據(jù)交換、電子郵件、電報、電傳或者傳真。我國合同法在第十一條、第十六條、第二十六條采用了規(guī)定數(shù)據(jù)電文形式的概念，我國電子簽名法第二條第二款:“本法所稱數(shù)據(jù)電文，是指以電子、光學、磁或者類似手段生成、發(fā)送、接收或者儲存的信息”，亦是對示范法“數(shù)據(jù)電文”概念的繼承和發(fā)展。這意味著數(shù)據(jù)電文存在于一切技術(shù)手段的全過程領域，無論以何種形式、處于何種階段、存在于何種介質(zhì)的個人信息，在形式上都能夠滿足受法律所保護的數(shù)據(jù)電文形式要件。

(二)個人信息以“可識別性”為實質(zhì)要件

在實質(zhì)上，個人信息是可以直接或間接識別本人的信息，通過可識別性的信息描述可以將某人信息特定化，以至于將某人和其他人區(qū)別開來，從而組成了以數(shù)據(jù)電文形式存在的特定化的個人描述。能夠具有直接識別性的個人信息包括信息化的肖像、姓名、身份證號碼、駕駛證編號、社會保險編號等，這些信息往往與自然人之間是一一對應關系，只要獲取這些信息就可以識別出擁有這些信息的本人。間接識別信息不能俱之單獨識別本人，但與其他個人信息相結(jié)合仍然能夠識別信息主體的身份，這些信息即包括性別、愛好、興趣、習慣、職業(yè)、收入、學歷等具有公共知曉性的信息，也包括健康情況、犯罪記錄、性活動、名譽等涉及人格權(quán)事項的信息，還包括賬戶信息、不動產(chǎn)信息等涉及財產(chǎn)權(quán)事項的信息。

(三)個人信息權(quán)包括個人信息支配權(quán)、個人信息控制權(quán)和排除他人侵害的權(quán)利

個人信息支配權(quán)是指本人得以支配其個人信息的權(quán)利，本人可以決定其個人信息是否被收集、處理與利用以及以何種方式、目的、范圍收集、處理與利用，個人信息支配權(quán)的存在因本人法律人格的存在而具有了排他性的絕對權(quán)利屬性。如果說個人信息支配權(quán)是被動的應然性個人信息權(quán)利，那么個人信息控制權(quán)則是主動的實然性個人信息權(quán)利。本人對其個人信息應該具有支配權(quán)，但是由于能力、手段和范疇的限制，本人并不必然對其個人信息擁有完全的控制權(quán)，在目標特定化的合理利用條件下，個人信息權(quán)還要向公共領域發(fā)生合理的讓渡。排除他人侵害的權(quán)利是本人基于個人信息的支配和控制權(quán)利而產(chǎn)生的侵害排除請求權(quán)，在本人遭受信息侵權(quán)時，有權(quán)要求停止侵害行為并因此而獲得相應的求償權(quán)。

(四)個人信息權(quán)的法律特征

個人信息控制權(quán)在法律性質(zhì)上大體從屬于傳統(tǒng)人格權(quán)的范疇，但它有別于傳統(tǒng)的具體人格權(quán)，從和傳統(tǒng)人格權(quán)相比較的角度而言，其法律性質(zhì)具體體現(xiàn)在以下四個方面:

1．個人信息權(quán)與公共安全之間存在的沖突，導致個人信息權(quán)在一定程度上向社會公共領域進行讓渡，以維護私人權(quán)利和公共權(quán)利之間的利益平衡。個人信息權(quán)與公共安全的沖突正是緣于公民個人權(quán)利的不斷膨脹和保障社會公共利益之間的沖突而引發(fā)的［1］，因而他們之間的沖突又體現(xiàn)為私人權(quán)利與公共權(quán)利之間的沖突。

2．信息社會中個人信息權(quán)由傳統(tǒng)的人格權(quán)利而被賦予了的財產(chǎn)性屬性。以數(shù)據(jù)電文形式存在的個人數(shù)據(jù)作為個人信息權(quán)的存在形式，可以因之收集、處理和利用帶來財產(chǎn)性收益。一方面，商家搜集利用消費者的性別、收入層次、學歷、消費偏好等個人信息對消費者進行細分，為消費者提供個性化的商品和服務，為此商家將會盡可能地搜集到有關消費者的所有個人信息;另一方面，雖然個人信息具有絕對權(quán)利屬性，但在個性化經(jīng)濟獲得極大提升的時候，尤其是當特定的主體認識到其某些個人信息的經(jīng)濟價值遠遠大于其所具有的人格利益的時候，他可能會向商家主動提供個人信息，或允許他人搜集和使用其個人信息以獲得報酬請求的權(quán)利。由此可見，個人信息權(quán)雖然表現(xiàn)為人格權(quán)，但其已經(jīng)具有了廣泛的財產(chǎn)屬性。

3．個人信息權(quán)開始由被動的隱私支配權(quán)轉(zhuǎn)向主動的信息自決權(quán)。德國在上世紀80年代開始建立“個人信息自決權(quán)”理論，引領了其他各州和其他國家理論及立法轉(zhuǎn)向的先河。傳統(tǒng)的隱私權(quán)理論認為具體人格權(quán)是公民對自己的私生活方面的信息進行獨立支配的一種精神性權(quán)利，當個人信息已經(jīng)成為了一種在市場中能夠獲利的無形財產(chǎn)，而法律仍然只是將之作為一種精神性人格權(quán)的客體加以保護時，這對作為個人信息主體的消費者來說是顯然不公平的。我們應當在法律中肯定個人信息的財產(chǎn)性，將此種信息權(quán)界定為具有財產(chǎn)性質(zhì)的可由個人信息主體支配的權(quán)利，使個人信息權(quán)的保護更加具體化、實際化、科學化，以更加貼切、精確地保護當事人的利益。

4．在個人信息權(quán)與網(wǎng)絡隱私權(quán)的關系上，網(wǎng)絡隱私權(quán)和個人信息權(quán)的內(nèi)涵和外延不盡相同，既相互區(qū)別，又相互聯(lián)系，相互交叉，兩者有著共同的交集。一方面，德國、日本等大陸法系國家傾向于使用個人信息 (資料)權(quán)的概念，以歐盟《資料保護指令》為代表的主要歐洲國家建立了較為完備的私人資料保護體系，在歐盟內(nèi)部設置了具有強制力的隱私資料保護水平。而英美法系國家則在傳統(tǒng)上沿襲了隱私權(quán)的概念，《隱私權(quán)法》、《公平信息報告法》、《金融隱私權(quán)法》、《聯(lián)邦有線通訊政府法案》、《錄影帶隱私保護法案》、《電子通訊隱私權(quán)法案》以及《兒童網(wǎng)上隱私保護法》等所組成的美國隱私權(quán)保護法律體系則以對“網(wǎng)絡隱私權(quán)”的保護走在世界前列。另一方面，廣義上的個人信息，應當包括和個人生活有關的全部信息，而隱私一般是指“不愿被竊取和披露的私人信息”，隱私權(quán)似乎是個人信息權(quán)的下位概念。但是與此同時，隱私又可以劃分為個人信息、個人私事、私人領域和私人生活安寧四種類型，其中具有私密性的個人信息權(quán)是隱私權(quán)的最為重要的組成部分，尤其是傳統(tǒng)的英美法系國家主張個人信息是一種隱私利益。由于“法律對個人信息的保護，是對滿足一定條件的全部個人信息進行全面保護，并不僅限于保護隱私利益”［2］，我國在兩者之間更加傾向于采用個人信息權(quán)的概念予以立法和規(guī)范。

二、個人信息侵權(quán)的表現(xiàn)形式

物聯(lián)網(wǎng)和三網(wǎng)融合的研發(fā)與商業(yè)應用作為兩個巨大的動力引擎，將進一步引領中國信息化社會深化發(fā)展。在“智慧的地球村”之中，個人信息失去了傳統(tǒng)時間和空間的天然屏障，非法知悉、搜集、利用、公開和侵擾個人信息變得普遍化和復雜化，侵害個人信息權(quán)的表現(xiàn)形式也隨之多樣化。具體來說，個人信息權(quán)的侵權(quán)行為主要包括以下幾類:

(一)網(wǎng)絡服務提供商 (ISP)對個人信息的使用和傳播

個人信息蘊涵著巨大的經(jīng)濟價值，ISP對其經(jīng)濟價值無疑都有深刻的認識，其通過收集利用用戶填寫的個人基本資料和cookies所跟蹤記錄的用戶信息等途徑以隱蔽的侵權(quán)方式，獲得巨大的經(jīng)濟利益。然而隨著ISP的發(fā)展壯大，google等搜索引擎服務提供商似乎已經(jīng)參與到國際政治之中，使得個人信息的收集利用對其不但具有經(jīng)濟價值，而且具有了政治意義。《華盛頓郵報》近日報道稱google與美國國家安全局合作調(diào)查可能源自外國的網(wǎng)絡間諜攻擊;澳大利亞、歐盟、印度等國家和地區(qū)或者修改法律或者責令google限期接受安全監(jiān)管等新聞不絕于耳，google、facebook、twitter等甚至被日本學者稱為“網(wǎng)絡帝國主義”的利器，ISP對世界各國個人信息權(quán)利和國家信息安全的保護和監(jiān)管所帶來的挑戰(zhàn)可見一斑。

(二)未經(jīng)授權(quán)搜集利用他人信息

未經(jīng)授權(quán)搜集利用他人信息的情形包括未經(jīng)授權(quán)在網(wǎng)絡上宣揚、公開、傳播或轉(zhuǎn)讓他人信息;未經(jīng)授權(quán)截取、復制他人正在傳遞的電子信息;未經(jīng)授權(quán)打開他人的電子郵箱或進入私人網(wǎng)上信息領域收集、竊取他人信息資料等，數(shù)量眾多的“人肉搜索”案件便是其中較為典型的情形。雖然在現(xiàn)有的立法實踐中，個人利益和公共利益的博弈使得在規(guī)制“人肉搜索”等在網(wǎng)絡與信息系統(tǒng)擅自發(fā)布、傳播、刪除、修改信息權(quán)利人相關信息的侵權(quán)情形方面還存在著爭議，但是對于脫離了社會公益范疇的個人信息需要在法律規(guī)范上禁止他人濫用以保護個人信息權(quán)利的觀點得到大家的共識，從而在以公益為目的的個人信息合理利用和個人信息權(quán)利的保護之間找到平衡。

(三)專門的網(wǎng)絡窺探和調(diào)查業(yè)務

專門的數(shù)據(jù)采集公司也對個人信息權(quán)帶來了極大的威脅。網(wǎng)絡業(yè)的興起帶來對信息的狂熱追求，一些公司看到其中蘊含的巨大商機因而專門從事網(wǎng)上窺探和調(diào)查業(yè)務。對網(wǎng)絡進行追蹤與監(jiān)視，在不為使用者覺察的情況下，使用監(jiān)視與追蹤技術(shù)產(chǎn)品在多個網(wǎng)站上收集使用者信息的功能，非法監(jiān)測用戶上網(wǎng)習慣，收集訪客信息，并進行販賣，以實現(xiàn)自己的商業(yè)目的。［3］320

(四)公權(quán)力機關工作人員及公共服務單位非法出賣泄露個人信息

現(xiàn)代政府和公共服務部門為履行管理國家和社會公共事務的職能，確有必要建立專門的數(shù)據(jù)庫收集、儲存相關方面的個人數(shù)據(jù)，以方便管理提高政府的行政效率。但是，當這種大量涉及個人隱私信息的收集、使用不當時，便會極易構(gòu)成對個人信息安全的侵害，例如2009年中央電視臺3·15晚會就曝光了中國移動山東省公司把用戶個人信息出售給垃圾短信運營商以從中漁利的侵權(quán)行為《刑法修正案 (七)》雖然在刑法二百五十三條中增加了關于“出售、非法提供公民個人信息罪”的新罪名，但是由于缺少相關的配套細則，這使得該條款在法律實踐過程中難以適用。

三、歐盟對個人信息權(quán)的保護

由于上述多種多樣的個人信息權(quán)侵權(quán)表現(xiàn)形式與國內(nèi)目前個人信息權(quán)保護相關立法相對缺位的現(xiàn)實之間存在著一定的矛盾沖突，因而研究以歐盟為代表的先進立法經(jīng)驗，將對推動和促進我國相關立法的發(fā)展起到積極的示范和啟示作用。

(一)歐盟個人信息保護的立法演進

歐洲的信息保護立法經(jīng)歷了以個別國家為先導，到國際和國內(nèi)立法并行，再至國際立法融合國內(nèi)立法，在歐盟層面構(gòu)建統(tǒng)一的信息保護體系的發(fā)展過程。［4］112

從1973年《瑞典信息法》的制定開始，歐洲國家開始了個人信息相關立法的進程。德國1977年制定的《聯(lián)邦信息保護法》被譽為歐洲個人信息保護的一面旗幟，在其修正案中德國首先提出從“隱私權(quán)”向“個人信息自決權(quán)”過渡，創(chuàng)建了個人信息自決權(quán)理論，對其各州立法和其他國家的相關立法產(chǎn)生了深遠影響。法國于1978年制定了《信息、檔案與自由法》，盧森堡在法國的影響下也于1979年制定了信息保護法。英國眾議院在上世紀七十年代曾經(jīng)審議了以“隱私權(quán)”為主題的幾個立法提案，但是直到1984年在《歐洲信息保護公約》和其他歐洲國家的壓力下，才出臺其本國的《信息保護法》。愛爾蘭、比利時、西班牙、葡萄牙、意大利等國也隨著其他國家的立法，以及《歐洲信息保護公約》的軟約束和歐盟《資料保護指令》的硬約束紛紛制定本國的信息保護法。

正如西米提斯所言，上世紀90年代歐共體經(jīng)歷了“從一個單純的經(jīng)濟同盟轉(zhuǎn)變?yōu)橐粋€政治同盟”的深層次的、歷史性的結(jié)構(gòu)變革。在歐盟成員國差異性和融合性的充分尊重下，歐盟《資料保護指令》(歐洲議會和歐共體理事會關于與個人資料處理相關的個人保護及其資料自由流動的第95/46/EC號指令)于1995年通過。該指令以協(xié)調(diào)、融合與統(tǒng)一成員國的信息保護法為主旨，建立起了一套全面的信息保護機制，為個人信息及其自由流動提供了較高水平的保護，對歐盟各國、美國和其他國家的個人信息權(quán)保護產(chǎn)生了廣泛而深遠的影響，是個人信息權(quán)保護相關問題目前可資借鑒的主要法律體系，對我國相關立法也同樣具有有重要的借鑒意義。

(二)歐盟《資料保護指令》針對個人信息權(quán)保護的主要內(nèi)容

1．將特殊類型的個人信息 (資料)的處理進行單獨規(guī)范

《指令》的第三節(jié)專門針對特殊類型資料的處理進行了規(guī)定。第八條第一款將其范圍規(guī)定為:透露種族、民族本源、政治觀點、宗教信仰、世界觀、工會關系以及與健康和性生活有關的個人信息，并規(guī)定成員國應禁止處理上述信息。從公眾利益出發(fā)，該條也為禁止處理特殊類型的個人信息進行了排除性條款規(guī)定，在資料當事人已明示同意處理、涉及勞動法的義務與權(quán)力行使、為保護資料當事人或他人重大利益所必須、經(jīng)資料當事人同意由非營利性法人或組織正常處理資料等情形下，“禁止處理”的條款不予適用。與此同時，涉及言論自由以新聞或文學藝術(shù)表達為目的而實施的個人信息處理，因個人信息權(quán)和言論自由權(quán)的協(xié)調(diào)也被作為例外情形規(guī)定。［5］

2．《指令》中創(chuàng)設的個人信息權(quán)利

(1)個人信息查閱權(quán)

個人信息查閱權(quán)是指個人對于其信息及其信息的處理情況有權(quán)進行查詢的權(quán)利。個人信息查閱權(quán)是個人信息權(quán)的核心權(quán)利之一，目前的國際立法對其都有規(guī)定，歐盟《指令》第十二條從資料當事人的權(quán)利和控制者的義務兩個方面，也規(guī)定了較為全面的個人信息查閱權(quán)。資料當事人的權(quán)利在于有權(quán)確認處理信息的時間，有權(quán)要求提供處理的相關信息;資料控制者的義務在于為資料當事人提供可理解的信息處理資料，信息自動化處理的告知義務。［6］

(2)個人信息更正、刪除與封存權(quán)

《指令》第六條第一款規(guī)定“個人信息須準確且在必要情況下允許更新，以收集或者進一步處理為目的，應采取恰當措施以保證不準確或者不完整的信息得以刪除或者更正?！保?］因而，個人信息更正、刪除與封存權(quán)是為維護個人信息準確性這一基本原則而設立的權(quán)利。和信息查閱權(quán)一樣，《指令》也是從為資料當事人創(chuàng)設權(quán)利和為信息控制者規(guī)定義務兩個方面對其進行細化?！吨噶睢返谑l也規(guī)定資料當事人有權(quán)要求更正、刪除或封存正處理或經(jīng)處理的信息資料，信息控制者對信息更正、刪除或封存有告知義務。

(3)信息處理的反對權(quán)

依據(jù)《指令》第十四條和第七條的規(guī)定，資料當事人在任何時候，通過與其特定情況相關的重大正當理由，均有權(quán)反對對其個人信息進行處理，信息控制者實施的信息處理行為也不得再涉及這些信息。［8］對于資料當事人行使反對權(quán)的限制在于，在信息控制人處理為控制人或者被告知信息的第三人執(zhí)行具有公共利益的任務或者行使職權(quán)所必須的情況下，當事人有權(quán)行使反對權(quán)。［9］與此同時，在信息控制人以直接營銷 (direct maketing)為目的信息處理時，當事人有權(quán)行使反對權(quán)。

3．個人信息保護的監(jiān)督機構(gòu)及工作組

《指令》第六章對個人信息保護的監(jiān)督機構(gòu)及與個人信息處理有關的個人保護工作組進行了詳細的規(guī)定。要求成員國須規(guī)定在履行其法定職責時具有完全獨立性一個或多個機構(gòu)負責監(jiān)督本國《指令》的實施。在制定行政措施或者規(guī)定和個人信息處理相關的權(quán)利義務時，須咨詢監(jiān)督機構(gòu)的意見。監(jiān)督機構(gòu)具有調(diào)查權(quán)、有效的干預權(quán)和司法提醒權(quán)，并且有權(quán)審理本國個人及機構(gòu)對個人信息保護的相關申請。與個人信息處理有關的個人保護工作組是設在歐盟的由成員國及由歐盟所設立的監(jiān)督機構(gòu)共同派駐代表所設立的咨詢性組織，有權(quán)對各適用《指令》的一切措施進行審查并促進這些措施的統(tǒng)一適用，并有權(quán)提出修改《指令》條款的建議，設置保護個人信息及其自由的特定措施。［10］

［1］張玉蘭．公民隱私權(quán)與知情權(quán)的沖突與平衡 ［J］．中共南寧市委黨校學報，2006，(5)．

［2］齊愛民．論個人資料 ［J］．法學，2003，(8)．

［3］秦成德，等．電子商務法學 ［M］．北京:電子工業(yè)出版社，2010．

［4］孔令杰．個人資料隱私的法律保護 ［M］．武漢:武漢大學出版社，2009．

［5］Directive 95/46/EC on the protection of individuals with regard to the processing of personal data and on the free movement of such data，section III－ Art．8．

［6］Directive 95/46/EC，section V －Art．12．

［7］Directive 95/46/EC，section V －Art．6．1(d)．

［8］Directive 95/46/EC，section VII－Art．14．

［9］Directive 95/46/EC，section II－Art．7(e)．

［10］Directive 95/46/EC，sectionVI－Art．28 －30．