肖少啟　韓登池

收稿日期：2012?12?13；修回日期：2013?04?01

基金項(xiàng)目：國(guó)家社科基金項(xiàng)目“網(wǎng)絡(luò)環(huán)境下個(gè)人信息安全危機(jī)與法律對(duì)策研究”（12XFX021）；中央高?；究蒲袠I(yè)務(wù)費(fèi)科研專項(xiàng)人文社會(huì)科學(xué)類重大項(xiàng)目“政府依法治理網(wǎng)絡(luò)空間的技術(shù)規(guī)范和法律規(guī)則研究”（CDJKXB12001）

作者簡(jiǎn)介：肖少啟（1970?），男，湖南衡陽(yáng)人，韶關(guān)學(xué)院法學(xué)院講師，重慶大學(xué)法學(xué)院博士研究生，主要研究方向：民法學(xué)，法學(xué)理論；韓登池（1967?），男，湖北浠水人，韶關(guān)學(xué)院法學(xué)院教授，主要研究方向：法學(xué)理論.

摘要：個(gè)人信息是人格權(quán)的重要組成部分。然而，我國(guó)目前對(duì)個(gè)人信息保護(hù)的形勢(shì)不容樂觀。對(duì)于個(gè)人信息采取何種保護(hù)模式，學(xué)界進(jìn)行了廣泛而有益的探討。為了充分保護(hù)個(gè)人信息權(quán)，規(guī)范信息流轉(zhuǎn)制度，維護(hù)數(shù)字社會(huì)的信息安全，我們亟需制定一部統(tǒng)一的個(gè)人信息保護(hù)法，構(gòu)建健全的權(quán)利制度保障體系，從而實(shí)現(xiàn)信息社會(huì)的可持續(xù)發(fā)展。

關(guān)鍵詞：個(gè)人信息；權(quán)利救濟(jì)；法律保護(hù)；制度構(gòu)建

中圖分類號(hào)：D923.8 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3104（2013）04?0075?06

隨著互聯(lián)網(wǎng)的迅猛發(fā)展，無所不在的個(gè)人信息及個(gè)人信息收集，功能越來越強(qiáng)大的計(jì)算機(jī)和其他數(shù)據(jù)處理設(shè)備，射頻識(shí)別、生物識(shí)別技術(shù)、人臉識(shí)別等特新技術(shù)，日益加強(qiáng)的管制和數(shù)據(jù)監(jiān)控，以及越來越頻繁的最初并不是為了收集目的的個(gè)人數(shù)據(jù)的使用，尤其是涉及國(guó)家安全、打擊有組織的犯罪和恐怖主義 等，[1]使得個(gè)人信息法律保護(hù)面臨諸多挑戰(zhàn)。自20世紀(jì)50年代起，西方發(fā)達(dá)國(guó)家就開始關(guān)注個(gè)人信息保護(hù)問題，通過立法確立了旨趣不一的個(gè)人信息法律保護(hù)模式。我國(guó)正大踏步邁進(jìn)信息社會(huì)，個(gè)人信息保護(hù)問題也越來越引起人們的高度關(guān)注和重視?！度烁駲?quán)法》的起草和制定工作正如火如荼地展開，個(gè)人信息保護(hù)的立法亦隨之被提上了議事日程。為了確保個(gè)人的信息安全，實(shí)現(xiàn)信息社會(huì)的可持續(xù)發(fā)展，制定一部科學(xué)合理的個(gè)人信息保護(hù)法具有重要的現(xiàn)實(shí)意義。

一、我國(guó)個(gè)人信息立法保護(hù)的現(xiàn)實(shí)

迫切性

現(xiàn)實(shí)生活中，“共享客戶資源”在商界幾乎是公開的秘密，一旦個(gè)人信息被非法出售，房產(chǎn)代理、各種中介服務(wù)公司、廣告公司、保險(xiǎn)經(jīng)紀(jì)公司、信用卡公司等會(huì)時(shí)不時(shí)電話或短信騷擾客戶。我們的個(gè)人信息，一下子就成了這些公司企業(yè)的金礦。更有甚者，它們業(yè)已形成利用個(gè)人信息從事非法獲利的黑色鏈條。

我國(guó)現(xiàn)行法律法規(guī)對(duì)于銀行個(gè)人金融信息缺乏有效的保護(hù)和明確的規(guī)定，有關(guān)銀行對(duì)個(gè)人客戶信息保護(hù)的規(guī)定比較零散而且籠統(tǒng)，更多的規(guī)定集中于銀行對(duì)個(gè)人金融信息的披露方面，并且授予許多政府部門獲取個(gè)人金融信息的權(quán)力?，F(xiàn)行法律中保護(hù)銀行個(gè)人金融信息的內(nèi)容過于簡(jiǎn)陋，僅僅規(guī)定了銀行負(fù)有保密義務(wù)，并且這種保密義務(wù)也是非?；\統(tǒng)的，缺乏對(duì)個(gè)人金融信息權(quán)屬的確定，個(gè)人客戶在其信息利益遭受侵犯時(shí)無法獲得法律上的救濟(jì)。總而言之，我國(guó)對(duì)銀行個(gè)人金融信息保護(hù)的相關(guān)法律都側(cè)重于公共機(jī)構(gòu)對(duì)于個(gè)人金融信息的獲取而缺乏對(duì)有關(guān)的權(quán)利主體救濟(jì)方面的規(guī)定。[2]由此，我們的檔案信息幾乎得不到有效保護(hù)，任何人都可以輕易獲取我們的檔案材料。身份盜用，即利用個(gè)人信息非法獲取現(xiàn)有的金融帳戶，公開詐騙帳戶，或者以他人名義獲得信用卡，這些都是增長(zhǎng)最快的白領(lǐng)型犯罪活動(dòng)。[3]

隨著傳感器網(wǎng)絡(luò)、生物識(shí)別技術(shù)、射頻識(shí)別及監(jiān)控系統(tǒng)等高科技的發(fā)展，個(gè)人身份識(shí)別、電子病歷信息、遠(yuǎn)距離醫(yī)療記錄、交通訊息、各種消費(fèi)資金賬戶信息載體與日常生活層面應(yīng)用的異類結(jié)合等，都會(huì)造成個(gè)人信息被大量運(yùn)用與流通，信息主體本人卻被蒙在鼓里，尤其是在虛擬網(wǎng)絡(luò)的推波助瀾作用下， 個(gè)人信息被濫用、私權(quán)被侵害的程度達(dá)到無以復(fù)加的程度。特別是云計(jì)算技術(shù)的運(yùn)用，個(gè)人信息的保護(hù)問題更為突出。云計(jì)算將使未來的互聯(lián)網(wǎng)變成超級(jí)計(jì)算的樂土，但同時(shí)也是個(gè)人信息泄露的溫床。由于互聯(lián)網(wǎng)沒有國(guó)

界的限制，在云計(jì)算環(huán)境下，數(shù)據(jù)有可能儲(chǔ)存在世界上任何一個(gè)我們根本就無從知曉的數(shù)據(jù)中心，信息主體把自己的業(yè)務(wù)放到云端數(shù)據(jù)中心，安全是個(gè)非常嚴(yán)峻的問題。[4]前不久，我國(guó)發(fā)生了十億條個(gè)人信息被盜事件，公民信息泄露程度“觸目驚心”。[5]信息一旦泄露，人們精神上可能極度焦慮，因?yàn)樗麄儫o法再進(jìn)行數(shù)據(jù)恢復(fù)和防止信息資料的下游濫用。而且，一旦信息被不法分子利用，潛在的危害如賬戶失竊、身份盜用、詐騙、綁架等嚴(yán)重的刑事犯罪將接踵而 至。[6]針對(duì)這一嚴(yán)峻形勢(shì)，世界上大約90個(gè)國(guó)家和地區(qū)頒布了法律，賦予個(gè)人控制由政府機(jī)關(guān)和私人機(jī)構(gòu)收集和使用的這些個(gè)人信息數(shù)據(jù)。幾個(gè)主要國(guó)際公約已在歐洲生效，亞非國(guó)家正在制定相關(guān)的法律。國(guó)際機(jī)構(gòu)也正在制訂國(guó)際公約，國(guó)際法庭則發(fā)布了有關(guān)的決定。[7]

二、我國(guó)個(gè)人信息法律保護(hù)的

學(xué)理分歧

鑒于我國(guó)尚未制定公民個(gè)人信息保護(hù)的專門法律，對(duì)于公民個(gè)人信息究竟提供何種法律保護(hù)或救濟(jì)途徑，學(xué)界進(jìn)行了積極的探索。其中不乏真知灼見，但有的觀點(diǎn)未免有失偏頗。

其一，行政法保護(hù)說。對(duì)于個(gè)人信息，我國(guó)有學(xué)者主張利用行政法來進(jìn)行保護(hù)。[8]甚至有學(xué)者認(rèn)為，個(gè)人信息保護(hù)法是行政法的特別法。這是因?yàn)樾姓C(jī)關(guān)在個(gè)人信息處理和利用的過程中占了很大比重，個(gè)人信息保護(hù)法大量的篇幅是有關(guān)縱向信息關(guān)系的調(diào)整規(guī)范的。從這個(gè)意義上說，個(gè)人信息保護(hù)法是公法，屬于行政法的范疇。[9]筆者認(rèn)為，個(gè)人信息保護(hù)法不是行政法的特別法，而是私法和權(quán)利法。一方面，從權(quán)利的本質(zhì)上來看，個(gè)人信息權(quán)是信息主體依法享有的一項(xiàng)基本的民事權(quán)利，它通過賦予權(quán)利主體支配和控制其個(gè)人信息的權(quán)利，以期保護(hù)權(quán)利主體存在于其個(gè)人信息上的人格利益。進(jìn)言之，個(gè)人信息權(quán)是一項(xiàng)基本的人權(quán)。人權(quán)是人之為人所享有的最起碼的權(quán)利，它只有通過制定法加以確認(rèn)，才能轉(zhuǎn)化為現(xiàn)實(shí)的權(quán)利。作為權(quán)利法，個(gè)人信息保護(hù)法是實(shí)現(xiàn)人權(quán)的手段。另一方面，由于個(gè)人信息保護(hù)法是以確立和保護(hù)個(gè)人信息權(quán)為重要職能，故它是私法。當(dāng)然，為了規(guī)范信息流轉(zhuǎn)，保護(hù)信息安全，維護(hù)信息社會(huì)的井然秩序，個(gè)人信息保護(hù)法必然會(huì)制定一些強(qiáng)行性規(guī)定，從而表現(xiàn)出一些公法屬性。本質(zhì)上，個(gè)人信息保護(hù)法是具有一定公法屬性的私法，它旨在保護(hù)具有私權(quán)性質(zhì)的個(gè)人信息權(quán)；而行政法是公法，其地位和作用主要體現(xiàn)在維護(hù)社會(huì)秩序和公共利益，監(jiān)督行政主體、防止行政權(quán)力的違法和濫用，保護(hù)自然人、法人或其他組織的合法權(quán)益等方面。由此可見，個(gè)人信息保護(hù)法和行政法在價(jià)值取向上既有共同點(diǎn)又有差異，二者在個(gè)人信息保護(hù)方面相輔相成、相得益彰。

其二，刑法保護(hù)說。有學(xué)者認(rèn)為，在侵權(quán)行為日益猖獗的今天，僅僅以其他手段諸如民事制裁似乎很難遏制這種現(xiàn)象的滋生和蔓延，只有通過刑法這種最嚴(yán)厲的保障手段才能有效地對(duì)個(gè)人信息權(quán)進(jìn)行保 護(hù)。[10]筆者認(rèn)為，對(duì)個(gè)人信息保護(hù)寄予刑法厚望是不現(xiàn)實(shí)的。誠(chéng)然，我國(guó)刑法第253條規(guī)定了“出售、非法提供公民個(gè)人信息罪”及“非法獲取公民個(gè)人信息罪”，但該條存在以下幾個(gè)方面的不足：第一，本罪的成立要件是“情節(jié)嚴(yán)重”。何謂“情節(jié)嚴(yán)重”，現(xiàn)行法律及司法解釋都沒有做出明確的規(guī)定。第二，該罪的刑罰力度不足。本罪的最高刑期為三年以下的有期徒刑，難以有效遏制此類違法犯罪活動(dòng)，故有必要適當(dāng)提高刑罰的上限。第三，刑法第253條所規(guī)定的犯罪主體局限于特殊主體，即國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，而對(duì)于其他主體如互聯(lián)網(wǎng)公司、汽車廠商、房地產(chǎn)中介、賓館酒店等單位和機(jī)構(gòu)則排除在外。丹尼爾教授認(rèn)為，利用刑法作為主要的法律手段打擊個(gè)人信息濫用的犯罪行為效果不佳。一方面，執(zhí)法官員缺乏足夠的資源來指控身份盜用行為；另一方面，與暴力犯罪和毒品犯罪相比，身份盜用被視為是一項(xiàng)輕罪?，F(xiàn)實(shí)生活中，身份竊賊往往很難被抓住，因?yàn)樗麄兘?jīng)常出現(xiàn)在許多不同的地點(diǎn)，犯罪證據(jù)的獲取變得十分棘手。據(jù)一份評(píng)估報(bào)告稱，在700個(gè)身份盜用案件中，不到一個(gè)犯罪分子被定罪量刑。由此可見，刑法對(duì)身份竊賊的震懾效果有限，況且刑法對(duì)受害者的救助也少得可憐。[11]

其三，民法保護(hù)說。對(duì)于個(gè)人信息的民法保護(hù)觀點(diǎn)，又可以進(jìn)一步分為三種情形。第一種，侵權(quán)法保護(hù)說。針對(duì)個(gè)人信息，有學(xué)者主張用侵權(quán)法來保 護(hù)。[12]我國(guó)《侵權(quán)責(zé)任法》對(duì)個(gè)人信息保護(hù)雖然有所規(guī)定，但該法第36條所規(guī)制的對(duì)象局限于網(wǎng)絡(luò)用戶和網(wǎng)絡(luò)服務(wù)提供者。如同刑法救濟(jì)一樣，侵權(quán)責(zé)任法也屬于事后救濟(jì)，而在互聯(lián)網(wǎng)時(shí)代需要對(duì)網(wǎng)絡(luò)安全以及個(gè)人信息進(jìn)行全流程的監(jiān)管才更為有效。當(dāng)然，受害者可以尋求侵權(quán)法的救濟(jì)，但起訴濫用個(gè)人信息的違法犯罪分子往往是徒勞的，因?yàn)橛袝r(shí)很難偵查身份竊賊是從何處獲得個(gè)人信息并實(shí)施違法犯罪行為的?；蛟S有學(xué)者會(huì)認(rèn)為，受害者可以起訴泄露該個(gè)人信息的公司或者起訴許可竊賊以受害人名義設(shè)立賬戶的公司。從情理上講，這種觀點(diǎn)容易為人們所理解，但是

法律必須確認(rèn)該公司違反了其最起碼的注意義務(wù)以及由此引起的損害后果兩者之間因果關(guān)系的存在，這些要素更加難以確定。即便法律認(rèn)定該公司允許不正當(dāng)獲取個(gè)人信息主觀上存在過錯(cuò)，但進(jìn)行法律訴訟仍存在一些障礙。例如，非法獲取的個(gè)人信息可能多年以后才被不當(dāng)傳播并導(dǎo)致實(shí)質(zhì)性損害的發(fā)生。由于信息的無形性，它可以為不同的人同時(shí)擁有，而且可以進(jìn)一步傳播開來。除非我們能偵查到竊賊獲取信息的源頭，否則將很難把具體損害與確保數(shù)據(jù)安全的特定主體二者聯(lián)系起來。[13]第二種，隱私權(quán)客體說。該理論起源于美國(guó)，主張個(gè)人信息是一種隱私利益，個(gè)人信息立法應(yīng)該采取隱私權(quán)保護(hù)模式。隱私權(quán)客體說在我國(guó)亦有不少支持者。然而，個(gè)人信息權(quán)與隱私權(quán)是兩個(gè)不同的權(quán)益范疇，兩者具有不可調(diào)和性。隨著越來越多的國(guó)家進(jìn)行相關(guān)的立法，隱私權(quán)法和個(gè)人信息權(quán)法之間的關(guān)系引起了全球范圍內(nèi)的討論。由于利益和價(jià)值的多元化需求，兩者之間必然會(huì)存在某些交叉重疊，也不可避免會(huì)導(dǎo)致一些沖突。例如，政府有時(shí)候因?yàn)楦鞣N原因需要獲取大量個(gè)人的信息，記者進(jìn)行新聞?wù){(diào)查，民間社會(huì)團(tuán)體為問責(zé)而斗爭(zhēng)，個(gè)體需要知道政府部門做出某種決定的理由，公司為了營(yíng)銷目的而尋求信息，歷史學(xué)家和學(xué)者則探究各種事件的來龍去脈等。對(duì)此，已有五十多個(gè)國(guó)家分別頒布了隱私權(quán)法、數(shù)據(jù)保護(hù)法和信息權(quán)法。[7]第三種，人格權(quán)客體說。該學(xué)說主要以德國(guó)法為代表，認(rèn)為個(gè)人信息體現(xiàn)的是一種人格利益，對(duì)個(gè)人信息應(yīng)該采取人格權(quán)保護(hù)模式。這一學(xué)說對(duì)我國(guó)影響較大。有學(xué)者指出，從現(xiàn)代社會(huì)的發(fā)展對(duì)個(gè)人自由的擴(kuò)展趨勢(shì)而言，強(qiáng)化個(gè)人對(duì)其信息資料的積極控制，即“控制自己資訊的權(quán)利”或“資訊自決權(quán)”，有相當(dāng)積極的作用，人格權(quán)法應(yīng)予積極的反映。[14]進(jìn)言之，個(gè)人信息權(quán)就其主要內(nèi)容和特征而言，在民事權(quán)利體系中，應(yīng)當(dāng)屬于人格權(quán)的范疇。個(gè)人信息權(quán)應(yīng)當(dāng)作為一項(xiàng)獨(dú)立的權(quán)利來對(duì)待，此種權(quán)利常常被稱為“信息自決權(quán)”。[15]筆者認(rèn)為，采用人格權(quán)的保護(hù)模式來保護(hù)個(gè)人信息無疑是正確的選擇，但人格權(quán)與個(gè)人信息權(quán)亦是兩個(gè)不同的權(quán)益范疇，兩者既有交叉重疊的部分，也有不兼容之處。申言之，我們?cè)谥贫ā叭烁駲?quán)法”的同時(shí)，亦需要制定一部獨(dú)立的“個(gè)人信息保護(hù)法”。

三、我國(guó)個(gè)人信息法律保護(hù)的

制度構(gòu)建

我國(guó)目前尚未制定公民個(gè)人信息保護(hù)的專門法律，雖然有近四十部法律、三十余部法規(guī)以及近二百部規(guī)章涉及個(gè)人信息保護(hù)，然而這些規(guī)定較為分散、權(quán)責(zé)不明晰或者存在部門規(guī)章效力層級(jí)偏低等問題。2013年2月1日，我國(guó)首個(gè)“個(gè)人信息保護(hù)”的國(guó)家標(biāo)準(zhǔn)即《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（下稱《指南》）正式實(shí)施。盡管這意味著我國(guó)個(gè)人信息保護(hù)工作進(jìn)入了“有標(biāo)可依”階段，但其畢竟只是一個(gè)標(biāo)準(zhǔn)，尚缺乏法律約束力，不足以震懾違法犯罪行為。從表面上看，信息法保護(hù)的是個(gè)人信息；但實(shí)質(zhì)上，它不僅保護(hù)個(gè)人的隱私、自由和自治，事關(guān)個(gè)人人格的健全發(fā)展，它還具有重大的社會(huì)價(jià)值，關(guān)系到個(gè)人信息的公平、合理、高效流轉(zhuǎn)。資料保護(hù)的個(gè)人和社會(huì)雙重價(jià)值及資料保護(hù)問題的個(gè)人和社會(huì)雙重屬性，使得資料保護(hù)法跨越了公法與私法的界限，涉足憲法、刑法、行政法和民法等部門法。任何一部傳統(tǒng)的部門法單憑一己之力均無法完成個(gè)人信息法治化流轉(zhuǎn)的使命。這就要求制定一部專門的資料保護(hù)法，使它成為規(guī)制個(gè)人資料收集、使用、加工和散播等整個(gè)信息流轉(zhuǎn)過程的基礎(chǔ)性法律。因此，我國(guó)亟需出臺(tái)的不是針對(duì)某個(gè)領(lǐng)域、行業(yè)或某類資料處理的條例、管理辦法、指導(dǎo)意見、行為守則，也不只是對(duì)刑法、行政法和民法中涉及資料保護(hù)的部分進(jìn)行簡(jiǎn)單的修補(bǔ)，而是憲法指導(dǎo)下的一部個(gè)人資料保護(hù) 法。[16]在這部個(gè)人信息保護(hù)法中，我們應(yīng)確立科學(xué)而嚴(yán)謹(jǐn)?shù)脑瓌t體系，明確界定個(gè)人信息法律關(guān)系的客體制度，構(gòu)建健全的個(gè)人信息權(quán)利救濟(jì)制度，從而充分保障信息主體的個(gè)人信息權(quán)。

（一） 確立個(gè)人信息保護(hù)法的基本原則

個(gè)人信息保護(hù)法基本原則體現(xiàn)了信息法的基本價(jià)值，集中反映了信息法立法的宗旨和目的，對(duì)各項(xiàng)信息法律制度和信息法規(guī)范起統(tǒng)帥和指導(dǎo)作用，也是指導(dǎo)我們立法和司法實(shí)踐活動(dòng)的基本準(zhǔn)則。學(xué)界對(duì)于個(gè)人信息保護(hù)法的基本原則進(jìn)行了較為充分的研究，大致形成了共識(shí)。[17?20]一般認(rèn)為，個(gè)人信息法的基本原則主要包括以下幾個(gè)方面，即目的明確原則、最少夠用原則、公開告知原則、個(gè)人同意原則、質(zhì)量保證原則、安全保障原則、誠(chéng)信履行原則以及責(zé)任明確原則等。

（二） 明晰個(gè)人信息法律關(guān)系的客體制度

個(gè)人信息法律關(guān)系的客體，也稱個(gè)人信息權(quán)的客體，是指?jìng)€(gè)人信息法律關(guān)系中信息主體之間享有的民事權(quán)利和承擔(dān)的民事義務(wù)所共同指向的對(duì)象。具體地說，個(gè)人信息法律關(guān)系的客體指的就是信息主體的個(gè)人信息。當(dāng)前，在個(gè)人信息的定義上，有概括型、概括列舉型和識(shí)別型三種模式。概括型定義就是單獨(dú)使用概括的方法描述個(gè)人信息的定義方式，列舉型是單獨(dú)使用列舉的方法界定個(gè)人信息的定義模式。單獨(dú)使用列舉型定義的立法十分少見，而大部分采取混合型定義模式或者概括型定義模式。識(shí)別型模式就是以識(shí)別為核心要素對(duì)個(gè)人信息進(jìn)行界定的定義方式。相比較而言，識(shí)別型定義是目前國(guó)際和國(guó)內(nèi)立法采用較多的個(gè)人信息定義方式。[21]（109）盡管《指南》對(duì)“個(gè)人信息”進(jìn)行了定義，但其僅僅局限于“計(jì)算機(jī)數(shù)據(jù)”，并不具有高度涵蓋性，從而缺乏普適性。筆者認(rèn)為，我們可以在參考《侵權(quán)責(zé)任法》第2條第2款立法模式的基礎(chǔ)上采取識(shí)別型定義法，即我國(guó)《個(gè)人信息保護(hù)法》中所講的“個(gè)人信息”是指“自然人姓名、出生日期、身份證號(hào)碼、健康狀況、基因、指紋、婚姻家庭、教育、職業(yè)、醫(yī)療、聯(lián)絡(luò)方式、財(cái)務(wù)情況、社會(huì)活動(dòng)以及護(hù)照號(hào)碼等能以直接或間接方式識(shí)別該個(gè)人的信息?！?需要指出的是，《指南》將個(gè)人信息進(jìn)一步區(qū)分為個(gè)人敏感信息（personal sensitive information）和個(gè)人一般信息（personal general information）。

一般來說，國(guó)際上對(duì)個(gè)人敏感信息大致有三種立法體制。一是列舉法。歐盟《數(shù)據(jù)保護(hù)指令》第8條第1款對(duì)個(gè)人敏感數(shù)據(jù)采取了列舉式立法體制。例如該條規(guī)定，敏感數(shù)據(jù)（sensitive data）是指“表明種族或民族、政治觀點(diǎn)、宗教或哲學(xué)信仰、工會(huì)會(huì)員以及有關(guān)健康或性生活資料處理的個(gè)人數(shù)據(jù)”。列舉法的優(yōu)點(diǎn)是簡(jiǎn)單明了，但其無法窮盡個(gè)人敏感信息的所有客體。二是目的法。目的法關(guān)注的是處理個(gè)人信息的目的，它是2005年歐洲理事會(huì)在其一份“信息自決權(quán)”報(bào)告中提出的一個(gè)概念。采用目的法能有效降低成本效 益——減少數(shù)據(jù)保護(hù)機(jī)構(gòu)的行政負(fù)擔(dān)。其缺點(diǎn)也是明顯的，即由哪一個(gè)機(jī)構(gòu)來認(rèn)定信息的敏感性；無論是基于主觀標(biāo)準(zhǔn)抑或是客觀標(biāo)準(zhǔn)，隨意性都比較大。[22] 三是情境法。情境法是指根據(jù)數(shù)據(jù)的背景或者內(nèi)容來判斷個(gè)人信息是否具有敏感性。我國(guó)采取的就是這種模式，例如《指南》規(guī)定，“各行業(yè)個(gè)人敏感信息的具體內(nèi)容根據(jù)接受服務(wù)的個(gè)人信息主體意愿和各自業(yè)務(wù)特點(diǎn)確定”。從理論上講，情境法是一種很靈活的方法，但采取這種立法模式將很大程度上導(dǎo)致對(duì)敏感信息的認(rèn)定具有不確定性，因?yàn)椤懊舾行浴钡呐袛鄻?biāo)準(zhǔn)并不受法律條款本身的限制。[23]進(jìn)言之，敏感信息可能涵蓋任何信息或數(shù)據(jù)，從而使得敏感信息的外延被無限擴(kuò)大了。

正是基于前述的原因和理由，敏感數(shù)據(jù)（信息）和非敏感數(shù)據(jù)的區(qū)分法一直以來就受到學(xué)界的廣泛批評(píng)。同時(shí)，隨著互聯(lián)網(wǎng)的迅猛發(fā)展，個(gè)人敏感信息與個(gè)人一般信息之間的區(qū)別變得越來越模糊。從歐盟數(shù)據(jù)指令和德國(guó)、瑞典及英國(guó)等國(guó)家數(shù)據(jù)保護(hù)法的適用來分析，在網(wǎng)絡(luò)環(huán)境下，將個(gè)人敏感信息與個(gè)人一般信息區(qū)分開來是一個(gè)很大的挑戰(zhàn)，效果也不甚理 想。[22]筆者認(rèn)為，我國(guó)未來的“個(gè)人信息保護(hù)法”是否有必要進(jìn)一步區(qū)分個(gè)人敏感信息與個(gè)人一般信息，值得進(jìn)一步研究。

（三） 構(gòu)建健全的個(gè)人信息權(quán)利救濟(jì)制度

與個(gè)人信息安全相關(guān)的核心問題是商業(yè)活動(dòng)和政府行為。我們需要重構(gòu)個(gè)人信息權(quán)與企業(yè)及政府的關(guān)系，也就是說，當(dāng)企業(yè)及政府機(jī)構(gòu)收集、處理或利用我們的個(gè)人信息時(shí)，它們?cè)鯓訉?duì)待我們，這是我們需要嚴(yán)肅思考的問題。目前，個(gè)人信息的采集者和使用者往往對(duì)我們不負(fù)責(zé)任。個(gè)人信息遭到收集和使用，然而我們根本就不知道也無力掌控這些信息的安全性。對(duì)于收集和利用我們個(gè)人信息資料的公司企業(yè)須在多大程度上對(duì)我們承擔(dān)責(zé)任，令人吃驚的是，法律竟然沒有明確規(guī)定。[6]毋庸置疑，“無救濟(jì)則無權(quán)利”。如果要使信息主體的合法權(quán)益得到有效的法律保護(hù)，那么個(gè)人信息保護(hù)法中就應(yīng)該明確規(guī)定對(duì)信息主體權(quán)利的相關(guān)救濟(jì)制度。

首先，歸責(zé)原則的確定。一方面，國(guó)家機(jī)關(guān)違反法律規(guī)定，導(dǎo)致個(gè)人信息遭到非法收集、處理、利用或者導(dǎo)致其他侵害行為發(fā)生的，應(yīng)該承擔(dān)無過錯(cuò)責(zé)任。很多國(guó)家或地區(qū)的法律都進(jìn)行了類似的規(guī)定。例如，德國(guó)《聯(lián)邦資料保護(hù)法》第7條規(guī)定：“當(dāng)公務(wù)機(jī)關(guān)在本法或其他資料保護(hù)規(guī)定下，由于未經(jīng)許可或不正確的個(gè)人資料自動(dòng)化處理對(duì)資料本人造成損害的，公務(wù)機(jī)關(guān)有責(zé)任賠償本人的損失，而不論其是否有過錯(cuò)。”另一方面，對(duì)于非國(guó)家機(jī)關(guān)違反法律規(guī)定，導(dǎo)致個(gè)人資料遭到非法搜集、處理、利用或者導(dǎo)致其他侵害行為發(fā)生，行為人不能證明自己沒有過錯(cuò)的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。申言之，非國(guó)家機(jī)關(guān)對(duì)其民事侵權(quán)行為導(dǎo)致?lián)p害后果發(fā)生的，應(yīng)承擔(dān)過錯(cuò)責(zé)任。以我國(guó)臺(tái)灣“個(gè)人資料保護(hù)法”為例。該法第29條規(guī)定：“非公務(wù)機(jī)關(guān)違反本法規(guī)定，致個(gè)人資料遭不法搜集、處理、利用或其他侵害當(dāng)事人權(quán)利者，負(fù)損害賠償責(zé)任。但能證明其無故意或過失者，不在此限?！?/p>

其次，損害賠償額的計(jì)算方法。盡管我國(guó)《侵權(quán)責(zé)任法》第20條對(duì)侵害他人人身權(quán)益造成財(cái)產(chǎn)損失的損害賠償制度進(jìn)行了較為詳盡的規(guī)定，但現(xiàn)實(shí)生活中，針對(duì)個(gè)人信息權(quán)的侵害，往往很難確定具體的損害賠償數(shù)額。因此，個(gè)人信息保護(hù)法往往通過定額賠償制度來計(jì)算損害，但計(jì)算機(jī)處理個(gè)人信息的規(guī)模宏大，由于限定了最高額賠償，可能使得一些超過了最高賠償額的損害無法得到賠償。在此情況下，應(yīng)允許當(dāng)事人依據(jù)民法主張賠償全部損害。[21]（184）

最后，精神損害賠償?shù)奶岢觥?shí)踐中，個(gè)人信息經(jīng)常被濫用，進(jìn)而發(fā)生身份盜用、詐騙、跟蹤、不正當(dāng)營(yíng)銷活動(dòng)以及對(duì)信息主體進(jìn)行監(jiān)視等。這些濫用行為將會(huì)導(dǎo)致一些實(shí)質(zhì)性損害的發(fā)生，例如經(jīng)濟(jì)上的損失、情緒困擾，甚至身體暴力等。尤其是，身份盜用對(duì)于受害人而言簡(jiǎn)直就是一場(chǎng)夢(mèng)靨。犯罪分子通過使用受害人的個(gè)人信息獲得貸款，公開詐騙賬戶，侵占受害人賬戶中的財(cái)產(chǎn)。當(dāng)身份盜用發(fā)生之后，受害者的個(gè)人檔案因?yàn)殄e(cuò)誤信息而被玷污——債務(wù)未清償、交通違法，逮捕以及其他令其名聲掃地的數(shù)據(jù)。因?yàn)榉缸锓肿颖I用受害人的個(gè)人信息，執(zhí)法數(shù)據(jù)庫(kù)有時(shí)將受害者的名字與盜用者的犯罪活動(dòng)聯(lián)系起來。[11]前述侵權(quán)行為不僅給權(quán)利人造成了財(cái)產(chǎn)損失，也會(huì)導(dǎo)致精神損害。對(duì)此，我國(guó)《侵權(quán)責(zé)任法》第22條明確規(guī)定，侵害他人人身權(quán)益，造成他人嚴(yán)重精神損害的，被侵權(quán)人可以請(qǐng)求精神損害賠償。筆者認(rèn)為，當(dāng)義務(wù)主體違反法律規(guī)定，導(dǎo)致個(gè)人信息遭到非法采集、處理、利用或者導(dǎo)致其他侵害情形的發(fā)生，造成信息主體嚴(yán)重精神損害的，被侵權(quán)人可以依法請(qǐng)求精神損害賠償。

四、余論

當(dāng)前，我國(guó)在個(gè)人信息法缺位的情形下，法院司法實(shí)踐活動(dòng)對(duì)保護(hù)信息主體的權(quán)益至關(guān)重要。正如博登海默所指出的，理性通常允許采納幾個(gè)有效的解決方法，然而面對(duì)該問題的法官卻必須設(shè)法用斬釘截鐵的手段去解決這種棘手問題。[24]令人欣慰的是，2010年11月，最高人民法院頒發(fā)了《關(guān)于案例指導(dǎo)工作的規(guī)定》。從理論上來說，此規(guī)定解決了之前的司法實(shí)踐中一直存在的一個(gè)重大困惑，即對(duì)于法律沒有明文規(guī)定的民事糾紛，法院不愿也不敢作出裁判，從而導(dǎo)致對(duì)包括個(gè)人信息權(quán)爭(zhēng)議在內(nèi)的相當(dāng)數(shù)量的民事糾紛無法獲得司法裁決，當(dāng)事人受到侵害的權(quán)益無法得到司法救濟(jì)和保護(hù)。這也就意味著，盡管我國(guó)個(gè)人信息保護(hù)法尚未制定，但當(dāng)信息主體的個(gè)人信息權(quán)受到侵害時(shí)，該規(guī)定對(duì)權(quán)利主體進(jìn)行司法救濟(jì)提供了一種現(xiàn)實(shí)的可能性。最高人民法院發(fā)布的這個(gè)規(guī)定對(duì)構(gòu)建具有中國(guó)特色的案例指導(dǎo)制度意義巨大，必將對(duì)審判實(shí)踐、法學(xué)理論研究和法學(xué)教育產(chǎn)生深遠(yuǎn)的影響，稱其為“一個(gè)具有劃時(shí)代意義的標(biāo)志”毫不為過。[25]當(dāng)然，司法并不是一項(xiàng)機(jī)械活動(dòng)，法官不是一部自動(dòng)售貨機(jī)般的判決機(jī)器，輸入法條和事實(shí)即可，法官適用法律，通常都需要解釋法律，眼光需要在事實(shí)與規(guī)范之間流轉(zhuǎn)往返，其中存在一定的能動(dòng)空間。在依法獨(dú)立審判的大原則下，法官應(yīng)該在這個(gè)空間范圍之內(nèi)，運(yùn)用法律技術(shù)和法律思維，尋求個(gè)案的公正解決，努力取得法律效果和社會(huì)效果的統(tǒng)一。[26]

參考文獻(xiàn)：

[1] Korff， Douwe， etc. New Challenges to Data Protection—Final Report [EB/OL]. http：//ssrn.com/abstract=1636706， 2012?10? 18.

[2] 唐友偉. 個(gè)人金融信息保護(hù)工作亟待完善[J]. 金融會(huì)計(jì)， 2012（4）： 65.

[3] Walker， Robert Kirk. Forcing Forgetfulness： Data Privacy， Free Speech， and the ‘Right to Be Forgotten [EB/OL]. http：//ssrn.com/abstract=2017967 or http：//dx.doi.org/10.2139/ ssrn.2017967， 2012?10?18.

[4] Hon， W. Kuan， etc. Data Protection Jurisdiction and Cloud Computing – When are Cloud Users and Providers Subject to EU Data Protection Law？ The Cloud of Unknowing， Part 3 [EB/OL]. http：//ssrn.com/abstract=1924240 or http：//dx.doi.org/ 10.2139/ssrn.1924240， 2012?10?18.

[5] 10億條個(gè)人信息是如何被偷的？[EB/OL]. http：//news. xinhuanet.com/legal/2013-03/15/c_115042338.htm， 2013?03? 26.

[6] Swire， Peter P.. From Real-Time Intercepts to Stored Records： Why Encryption Drives the Government to Seek Access to the Cloud [EB/OL]. http：//ssrn.com/abstract=2038871 or http：//dx. doi.org/10.2139/ssrn.2038871， 2012?10?18.

[7] Banisar， David. The Right to Information and Privacy： Balancing Rights and Managing Conflicts [EB/OL]. http：//ssrn.com/ abstract=1786473 or http：//dx.doi.org/10.2139/ssrn.1786473， 2012?10?18.

[8] 劉巍. 論個(gè)人信息的行政法保護(hù)[J]. 行政法學(xué)研究， 2007（2）： 29.

[9] 齊愛民. 論個(gè)人信息保護(hù)法的行政法屬性[J]. 中共長(zhǎng)春市委黨校學(xué)報(bào)， 2008（2）： 73.

[10] 劉憲權(quán)， 方晉曄. 個(gè)人信息權(quán)刑法保護(hù)的立法及完善[J]. 華東政法大學(xué)學(xué)報(bào)， 2009（3）： 122.

[11] Solove， Daniel J.. The New Vulnerability： Data Security and Personal Information [EB/OL]. http：//ssrn.com/abstract=583483， 2012?10?18.

[12] 羅海山， 陳肖楠. 論個(gè)人信息的侵權(quán)法保護(hù)[J]. 海南師范大學(xué)學(xué)報(bào)， 2012（1）： 40.

[13] Hon， W. Kuan， etc. Who is Responsible for 'Personal Data' in Cloud Computing？ The Cloud of Unknowing， Part 2 [EB/OL]. http：//ssrn.com/abstract=1794130， 2012?10?18.

[14] 王利明. 人格權(quán)法制定中的幾個(gè)問題[J]. 暨南學(xué)報(bào)， 2012（3）： 6?7.

[15] 王利明. 論個(gè)人信息權(quán)在人格權(quán)法中的地位[J]. 蘇州大學(xué)學(xué)報(bào)， 2012（6）： 70.

[16] 孔令杰. 制定<個(gè)人資料保護(hù)法>的理論基礎(chǔ)與立法構(gòu)想[J].重慶社會(huì)科學(xué)， 2009（9）： 98.

[17] 齊愛民. 中華人民共和國(guó)個(gè)人信息保護(hù)法示范法草案學(xué)者建議稿[J]. 河北法學(xué)，2005（6）： 3.

[18] 周漢華. 中華人民共和國(guó)個(gè)人信息保護(hù)法（專家建議稿）及立法研究報(bào)告[M]. 北京： 法律出版社， 2006： 11.

[19] 劉巍. 論個(gè)人信息的行政法保護(hù)[J]. 行政法學(xué)研究， 2007（2）： 33.

[20] Banisar， David. The right to information and privacy： Balancing rights and managing conflicts [EB/OL]. http：//ssrn.com/abstract= 1786473 or http：//dx.doi.org/10.2139/ssrn.1786473， etc. 2012? 10?18.

[21] 齊愛民. 私法視野下的信息[M]. 重慶： 重慶大學(xué)出版社， 2012.

[22] Wong， Rebecca. Data Protection in the Online Age [EB/OL]. http：//ssrn.com/abstract=2220754 or http：//dx.doi.org/10.2139/ ssrn.2220754， 2013?03?12.

[23] Cuijpers， Colette， etc. Smart Metering and Privacy in Europe： Lessons from the Dutch Case [EB/OL]. http：//ssrn.com/abstract= 2218553， 2013?03?12.

[24] [美]E?博登海默. 法理學(xué)： 法律哲學(xué)與法律方法[M]. 鄧正來譯. 北京： 中國(guó)政法大學(xué)出版社， 2004： 584.

[25] 王利明. 我國(guó)案例指導(dǎo)制度若干問題研究[J]. 法學(xué)， 2012（1）： 72.

[26] 何勤華. 新形勢(shì)下人民法院在提升法律體系的品質(zhì)、維護(hù)法制權(quán)威的作用[J]. 法學(xué)， 2011（8）： 20.