廖曉語(yǔ)

個(gè)人信息私法保護(hù)的必要性

一是建設(shè)個(gè)人信息私法保護(hù)能夠防止個(gè)人信息安全危機(jī)的發(fā)生。私人信息的收集自古已有，不論是政府、社會(huì)組織或是社會(huì)成員，都可能有信息收集的習(xí)慣。但在社會(huì)發(fā)展水平不高的階段，個(gè)人信息的非法收集并沒(méi)有大面積的造成個(gè)人權(quán)益損失。而隨著現(xiàn)代信息技術(shù)的發(fā)展，個(gè)人信息收集的性質(zhì)也發(fā)生了變化，它成為商業(yè)機(jī)構(gòu)或政府運(yùn)行的動(dòng)力，政府機(jī)構(gòu)運(yùn)用信息收集進(jìn)行行政管理，甚至為其決策提供參考依據(jù)，而商業(yè)機(jī)構(gòu)通過(guò)個(gè)人的信息收集分析來(lái)獲取商業(yè)利益并維護(hù)組織運(yùn)行。目前，我國(guó)社會(huì)信用體系建設(shè)還不完善，自律機(jī)制也難以發(fā)揮強(qiáng)有力的作用，因此必須通過(guò)立法強(qiáng)制性來(lái)保護(hù)個(gè)人信息，避免個(gè)人信息安全危機(jī)的爆發(fā)。

二是保護(hù)好個(gè)人信息能夠確保其有效使用。保護(hù)個(gè)人信息需要有兩方面的考慮，一方面要在信息管理者與信息主體之間實(shí)現(xiàn)平衡，即既要保護(hù)個(gè)體人格權(quán)，又要滿(mǎn)足管理者的信息需求；另一方面則要注重在個(gè)人權(quán)利保護(hù)與促進(jìn)經(jīng)濟(jì)發(fā)展之間實(shí)現(xiàn)平衡。所以，個(gè)人信息在保護(hù)過(guò)程中既要保證信息自由流通，還要保證信息能夠有效使用。在現(xiàn)代社會(huì)，個(gè)人信息在商業(yè)發(fā)展以及公共管理中占據(jù)重要地位，因此不可能建立個(gè)人信息的絕對(duì)保護(hù)，在這種環(huán)境下，便需要法律來(lái)為信息的收集、使用、流通制定一定的規(guī)則，這既能夠讓信息發(fā)揮其應(yīng)有的價(jià)值，也能夠防止信息的濫用。

三是制定個(gè)人信息保護(hù)法能夠促進(jìn)我國(guó)法律體系的完善。個(gè)人信息的法律屬性較為復(fù)雜，一方面它并非無(wú)形財(cái)產(chǎn)，但在社會(huì)生活中卻又具備一定的財(cái)產(chǎn)價(jià)值，另一方面?zhèn)€人信息是一種新型的人格權(quán)要素，但是又不能完全融入到人格權(quán)法律體系之中。這些都導(dǎo)致個(gè)人信息在私法領(lǐng)域一直處于邊緣地位，我國(guó)法律對(duì)個(gè)人信息的保護(hù)尚待完善。為此，我國(guó)需要對(duì)個(gè)人信息保護(hù)進(jìn)行專(zhuān)門(mén)立法，制定具體的保護(hù)內(nèi)容、約束措施、實(shí)施程序等，促進(jìn)我國(guó)民事責(zé)任體系與刑事責(zé)任體系的完善。

我國(guó)個(gè)人信息私法保護(hù)的現(xiàn)狀及問(wèn)題

我國(guó)目前主要從兩個(gè)方面實(shí)現(xiàn)對(duì)個(gè)人信息的保護(hù)：一方面是在相關(guān)法律法規(guī)中制定個(gè)人信息保護(hù)的條款，另一方面就是依靠行業(yè)自律，即掌控個(gè)人信息方承諾對(duì)個(gè)人信息加以保護(hù)。

一是立法對(duì)個(gè)人信息的保護(hù)，這分為直接保護(hù)與間接保護(hù)兩個(gè)方面。直接保護(hù)主要是指法律對(duì)個(gè)人信息有明確加以保護(hù)的規(guī)定，這方面我國(guó)的法律還較少，主要是在《中華人民共和國(guó)身份證法》和《中華人民共和國(guó)護(hù)照法》中有所體現(xiàn)。在具有規(guī)范效力的一些行政法規(guī)、規(guī)章中也并不多見(jiàn)，僅在《2006～2020年國(guó)家信息化發(fā)展戰(zhàn)略》、《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》、《最高人民法院、最高人民檢察院關(guān)于切實(shí)保障司法人員依法履行職務(wù)的緊急通知》幾個(gè)文件中有所提及。盡管有關(guān)個(gè)人信息直接保護(hù)的法律法規(guī)不多，但這也是我國(guó)個(gè)人信息保護(hù)法從無(wú)到有的進(jìn)步，但這些保護(hù)僅限于公法領(lǐng)域。間接保護(hù)主要是指一些法律法規(guī)中對(duì)“個(gè)人隱私”、“個(gè)人秘密”以及“人格尊嚴(yán)”的相關(guān)規(guī)定，這些法律法規(guī)并非是為了直接保護(hù)個(gè)人信息，而是僅對(duì)部分個(gè)人信息進(jìn)行保護(hù)，如我國(guó)對(duì)個(gè)體姓名、肖像以及隱私等具體人格權(quán)進(jìn)行保護(hù)，這些規(guī)定有的表現(xiàn)在最高人民法院的司法解釋之中，有的在《民法通則》中有所體現(xiàn)。

二是行業(yè)自律對(duì)個(gè)人信息的保護(hù)。由于我國(guó)沒(méi)有完善的個(gè)人信息保護(hù)機(jī)制，信息侵害事件時(shí)有發(fā)生，因此社會(huì)個(gè)體并不愿意向他人透露自己的私人信息，這給一些機(jī)構(gòu)的個(gè)人信息收集帶來(lái)困難。在此情況下，一些商家機(jī)構(gòu)為了達(dá)到收集個(gè)人信息的目的，往往單方面作出保護(hù)個(gè)人信息的承諾，有的還制定了相應(yīng)的內(nèi)部規(guī)范來(lái)保護(hù)個(gè)人信息，這起到一定的作用，并促進(jìn)了信息的流通。以近年來(lái)飛速發(fā)展的互聯(lián)網(wǎng)為例，網(wǎng)絡(luò)用戶(hù)在利用互聯(lián)網(wǎng)平臺(tái)時(shí)，一般需要注冊(cè)賬戶(hù)，才能夠獲得相關(guān)服務(wù)，注冊(cè)行為本身便需要填寫(xiě)個(gè)人信息。除此之外，在購(gòu)物、求職、發(fā)帖等一些網(wǎng)絡(luò)活動(dòng)中也會(huì)留下個(gè)人信息。為了吸引用戶(hù)使用互聯(lián)網(wǎng)工具，并獲得用戶(hù)信任，網(wǎng)站大都會(huì)做出保護(hù)個(gè)人信息安全的承諾，一般會(huì)涉及以下幾個(gè)方面內(nèi)容：一是承諾保護(hù)訪問(wèn)者的個(gè)人隱私，不會(huì)泄露個(gè)人信息；二是強(qiáng)調(diào)網(wǎng)站的信息安全管理，能夠防止個(gè)人信息的丟失、誤改或?yàn)E用；三是強(qiáng)調(diào)網(wǎng)站對(duì)個(gè)人信息的使用有嚴(yán)格的審查管理，當(dāng)?shù)谌揭螳@取個(gè)人信息時(shí)，將征求個(gè)人用戶(hù)同意，在未獲同意情況下，不會(huì)將個(gè)人信息泄露給第三方；四是對(duì)信息的修改或刪除做出說(shuō)明，一般只有網(wǎng)友自己才可以修改或刪除自己發(fā)布的信息，但網(wǎng)站在審查過(guò)程中，若發(fā)現(xiàn)不適當(dāng)或違法信息，也可根據(jù)自身權(quán)限進(jìn)行刪除。

我國(guó)個(gè)人信息私法保護(hù)存在的問(wèn)題。主要有：一是在立法上對(duì)個(gè)人信息保護(hù)就存在缺陷。首先，我國(guó)個(gè)人信息私法保護(hù)的范圍極其有限，在內(nèi)容上僅將肖像、隱私以及榮譽(yù)等與個(gè)體有直接關(guān)系的個(gè)人信息納入保護(hù)范圍，而對(duì)個(gè)體的人事記錄信息、住址信息等則沒(méi)有法律上的保護(hù)。此外，在個(gè)人信息私法保護(hù)上，我國(guó)的法律保護(hù)方式是防御性的、消極的，這容易產(chǎn)生人格利益和經(jīng)濟(jì)利益保護(hù)的矛盾。其次，我國(guó)對(duì)個(gè)人信息私法保護(hù)最為明顯的表現(xiàn)便是缺乏一部專(zhuān)門(mén)保護(hù)性法律，沒(méi)有從法律上明確個(gè)人信息的價(jià)值與保護(hù)意義，而且目前對(duì)個(gè)人信息保護(hù)的相關(guān)法律法規(guī)又分散在不同的法律之中，這也削弱了這些法律條例對(duì)個(gè)人信息的保護(hù)。最后，在個(gè)人信息受到侵害并給個(gè)體造成權(quán)益損害后，我國(guó)在法律上并沒(méi)有有效的救濟(jì)途徑。目前，在處理個(gè)人信息被侵害案件時(shí)，主要是要求侵害者停止侵害，并賠禮道歉，這是一種精神的慰藉，即便受害者能夠得到一些物質(zhì)賠償，金額往往也較小，難以真正起到懲戒作用。盡管受害方的精神利益不能夠用金錢(qián)來(lái)衡量計(jì)算，但足額的金錢(qián)賠償，對(duì)于受害方是一種補(bǔ)償，且侵犯權(quán)利者能夠得到懲罰，既能讓受害方心理上獲得一定平衡，也能有效震懾意圖侵害他人個(gè)人信息者。

二是在個(gè)人信息保護(hù)上行業(yè)自律性并不強(qiáng)。盡管隨著商業(yè)模式的成熟，我國(guó)一些行業(yè)內(nèi)部逐步形成了保護(hù)個(gè)人信息的自律，但實(shí)際上這種保護(hù)機(jī)制缺乏強(qiáng)制性，在保護(hù)個(gè)人信息的力度上有所欠缺。從范圍來(lái)看，并非各行各業(yè)都對(duì)保護(hù)個(gè)人信息做出承諾，一般來(lái)說(shuō)是互聯(lián)網(wǎng)行業(yè)較多，但即便是在互聯(lián)網(wǎng)行業(yè)，也并非每一個(gè)互聯(lián)網(wǎng)企業(yè)都會(huì)做出保護(hù)個(gè)人信息的保證。而且從保護(hù)效果來(lái)看，行業(yè)所做出的保護(hù)承諾也是十分脆弱的，一旦發(fā)生個(gè)人信息泄露、買(mǎi)賣(mài)事件后，個(gè)體難以舉證行業(yè)信息管理者存在過(guò)錯(cuò)，這也意味著信息主體難以維權(quán)，行業(yè)承諾也只是空談。此外，行業(yè)的個(gè)人信息保護(hù)承諾是信息管理者單方面提出，在保證聲明的制定上多從自身利益出發(fā)，并非真正從保護(hù)個(gè)人信息角度考慮。而且，目前我國(guó)公民的個(gè)人信息保護(hù)意識(shí)并不強(qiáng)，對(duì)個(gè)人信息所應(yīng)享受的權(quán)益也沒(méi)有較多的了解，這也使得行業(yè)自律成為虛設(shè)。政府等公權(quán)力機(jī)構(gòu)收集個(gè)體信息更多是為了管理便利，并能夠更快捷的服務(wù)于個(gè)體，個(gè)人在提供個(gè)人信息時(shí)也是履行義務(wù)，因此并不需要過(guò)多考慮信息所應(yīng)有的權(quán)利。但非公機(jī)構(gòu)收集個(gè)人信息的目的卻有所不同，一般都帶有商業(yè)目的。因此，信息主體往往也關(guān)注是否能從信息收集者中獲取相應(yīng)對(duì)價(jià)，即獲取信息收集方所提供的信息服務(wù)。但除此之外，信息主體很少注意個(gè)人信息應(yīng)享有的其他權(quán)利，這種思維讓行業(yè)機(jī)構(gòu)在個(gè)人信息保護(hù)上更加懈怠和無(wú)力。

我國(guó)個(gè)人信息私法保護(hù)制度的構(gòu)建

制定個(gè)人信息保護(hù)的基本法。隨著技術(shù)的進(jìn)步，社會(huì)信息化已經(jīng)是不可逆轉(zhuǎn)的潮流，而個(gè)人信息的保護(hù)也將與多個(gè)法律部門(mén)產(chǎn)生聯(lián)系，如刑法、民商法、經(jīng)濟(jì)法以及行政法等等，這是一個(gè)廣泛而復(fù)雜的領(lǐng)域，因此需要制定一部基本法作為該領(lǐng)域的統(tǒng)帥。在個(gè)人信息保護(hù)法制定上，必須首先明確法律本身的性質(zhì)，這樣才能確定具體的法律原則、適用原則。進(jìn)入新世紀(jì)之后，我國(guó)政府開(kāi)始重視個(gè)人信息的保護(hù)，早在2003年就制定相關(guān)方面的專(zhuān)門(mén)法而委托法學(xué)專(zhuān)家進(jìn)行研究。2006年中國(guó)社科院專(zhuān)家周漢華主持起草了《個(gè)人信息保護(hù)法》的專(zhuān)家意見(jiàn)稿，其中將個(gè)人信息權(quán)利看作一種新的公權(quán)利，由此將個(gè)人信息保護(hù)法定義為行政法。但實(shí)際上個(gè)人信息承載的是個(gè)體的人格利益與財(cái)產(chǎn)利益，按照現(xiàn)代法律精神，應(yīng)充分尊重個(gè)體的個(gè)人信息權(quán)，為此個(gè)人信息保護(hù)法也應(yīng)該以保護(hù)個(gè)人信息權(quán)為核心。盡管刑事制度與行政制度能夠處理侵犯?jìng)€(gè)人信息權(quán)的行為，但并不能就此將個(gè)人信息保護(hù)法定義為公法。也有學(xué)者建議個(gè)人信息保護(hù)法應(yīng)該是公私法混合性質(zhì)，但這就必須在立法中確立個(gè)人信息保護(hù)的主管機(jī)構(gòu)，并對(duì)其職權(quán)有所規(guī)定，但我國(guó)在行政機(jī)構(gòu)并無(wú)相應(yīng)設(shè)置，也不必為了個(gè)人信息保護(hù)立法而設(shè)置新的行政機(jī)構(gòu)。因此，我國(guó)有關(guān)個(gè)人信息保護(hù)的基本法應(yīng)該是一部關(guān)于個(gè)人信息權(quán)保護(hù)、個(gè)人信息處理者規(guī)范處理個(gè)人信息的民事單行法，屬于私法性質(zhì)，而非一部管理個(gè)人信息處理的法律。

個(gè)人信息保護(hù)法應(yīng)推進(jìn)行業(yè)自律。我國(guó)在個(gè)人信息保護(hù)法制定過(guò)程中，還需要把行業(yè)自律問(wèn)題也納入到立法框架之中，因?yàn)槟壳拔覈?guó)的行業(yè)自律并不能真正起到保護(hù)個(gè)人信息的作用，這主要是因?yàn)槲覈?guó)并未形成十分成熟的行業(yè)自律體系，這一方面是因?yàn)槲覈?guó)的社會(huì)自治功能一度被廢止，而要重新恢復(fù)和生長(zhǎng)則需要各方的長(zhǎng)期努力。此外，我國(guó)行業(yè)自律所提出的個(gè)人信息保護(hù)規(guī)范大都是依照法律規(guī)定來(lái)制定的，而我國(guó)法律在個(gè)人信息私法保護(hù)上處于缺失狀態(tài)，這也限制了行業(yè)自律所制定規(guī)范的深度和廣度。因此，我國(guó)應(yīng)該在個(gè)人信息私法保護(hù)立法中考慮行業(yè)自律問(wèn)題，適當(dāng)借鑒國(guó)外個(gè)人信息保護(hù)的安全港模式，即將行業(yè)自律納入到法律范疇，要求行業(yè)組織所制定的個(gè)人信息保護(hù)規(guī)范要符合國(guó)家信息保護(hù)法，而且還要接受?chē)?guó)家相關(guān)機(jī)構(gòu)對(duì)行業(yè)自律規(guī)范進(jìn)行審查。目前我國(guó)并不具備完全建設(shè)安全港模式的條件，沒(méi)有專(zhuān)門(mén)機(jī)構(gòu)來(lái)對(duì)行業(yè)規(guī)范進(jìn)行管理審查，但可以適度借鑒這一模式的建設(shè)經(jīng)驗(yàn)，在個(gè)人信息保護(hù)私法內(nèi)容制定中，要求社會(huì)組織或協(xié)會(huì)來(lái)根據(jù)法律制定行業(yè)規(guī)范，行業(yè)規(guī)范較之法律應(yīng)該要求更高。在沒(méi)有專(zhuān)門(mén)審查機(jī)構(gòu)的情況下，司法手段可以在一段時(shí)間內(nèi)起到裁判行業(yè)自律規(guī)范是否符合個(gè)人信息保護(hù)法的作用，這能夠讓安全港模式發(fā)生作用，推動(dòng)行業(yè)自律。

其他私法制度為個(gè)人信息權(quán)提供保護(hù)。個(gè)人信息的私法保護(hù)并非只是一部基本法，而應(yīng)該是一個(gè)制度群，在基本法統(tǒng)帥下，應(yīng)該制定其他有關(guān)個(gè)人信息保護(hù)的私法制度。為此，除了制定個(gè)人信息保護(hù)的基本法，在有關(guān)人格權(quán)法、侵權(quán)責(zé)任法、合同法等的民法典中也應(yīng)有保護(hù)個(gè)人信息的規(guī)定。在未來(lái)的民法典修訂中，在人格權(quán)編中應(yīng)確認(rèn)人格信息權(quán)。除此之外，涉及公司保險(xiǎn)法等的商事特別法也要將個(gè)人信息權(quán)保護(hù)納入其中，在涉及個(gè)人信息處理行為的條例規(guī)定中，要特別關(guān)注個(gè)人信息權(quán)的保護(hù)。在個(gè)人信息私法保護(hù)的具體實(shí)踐中，個(gè)人信息保護(hù)法作為統(tǒng)領(lǐng)性法律，它不可能根據(jù)各行各業(yè)的實(shí)際情況來(lái)制定內(nèi)容，而且社會(huì)各行業(yè)的性質(zhì)千差萬(wàn)別，在個(gè)人信息處理活動(dòng)中的性質(zhì)也各有不同，基本法不可能涵蓋所有內(nèi)容，但行業(yè)自律模式本身又缺乏保護(hù)個(gè)人信息的力度。為此，在個(gè)人信息保護(hù)法之外，還應(yīng)建設(shè)其他私法制度，為各行業(yè)的個(gè)人信息保護(hù)提供具體的規(guī)定和規(guī)則，這才能夠讓我國(guó)的個(gè)人信息私法保護(hù)落到實(shí)處。

責(zé)編/王坤娜 孫垚（見(jiàn)習(xí)）

美編/楊玲玲