论个人信息保护法的统一立法模式*

2009-04-05齐爱民

重庆工商大学学报（社会科学版） 2009年4期

齐爱民

(重庆大学法学院，重庆 400030)

为了把公民生活变为可见的、可计算和可预期的[1]，从十九世纪六十年代开始，发达国家开始利用计算机和信息网络处理和利用个人信息，以此为标志,发达国家进入信息社会。在这个社会历史阶段，社会对信息的依赖性越来越强，政府和企业都需要掌握更多的个人信息。于是对个人信息的争夺，像一场没有硝烟的战争在社会各个领域悄悄蔓延。“自古以来，信息的内容、信息的处理与信息的传输，一直是国家的治理者所关注的。要使一个国家安定、稳定，继而发展、繁荣，国家从立法的角度，就不能不对这三个方面进行某种程度的管理。”[2]中国政府已经将个人信息保护问题列入立法计划[3]。在这种形势下，理论界对个人信息立法进行科学探讨不仅具有法学价值，而且具有明显的实践意义。就我国如何制定个人信息保护法，学者之间充满了争论。这些争论大多是围绕实体性问题展开，如个人信息保护法的基本原则、个人信息权的法律性质等等。然而，从政府角度看，制定个人信息保护法遇到的第一个问题是立法模式的选择。

一、个人信息立法模式概述

所谓个人信息保护法的立法模式是指一国政府在个人信息保护立法时所采取的与调整范围有关的法律形式。对个人信息立法模式的选择是为了在一国的法律体制之内更好地对个人信息提供保护。有学者认为，“所谓个人信息，包括人之内心、身体、身份、地位及其它关于个人之一切事项之事实、判断、评价等之所有信息在内。换言之，有关个人之信息并不仅限于与个人之人格或私生活有关者，个人之社会文化活动、为团体组织中成员之活动，及其它与个人有关联性之信息，全部包括在内。” 美国Parent教授认为，“个人信息系指社会中多数所不愿向外透露者(除了对朋友、家人等之外)；或是个人极敏感而不愿他人知道者(如多数人不在意他人知道自己的身高，但有人则对其身高极为敏感，不欲外人知道)。” 笔者主张采用识别型定义方式。所谓“识别”，就是指个人信息与信息主体存在某一客观确定的可能性，简单说就是通过这些个人信息能够把信息主体直接或间接“认出来”。个人信息是指一切可以识别本人的信息的总和，这些信息包括了一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面。根据不同的标准，个人信息可以划分为不同的类别：1.以能否直接识别本人为标准，个人信息可以分为直接个人信息和间接个人信息。所谓直接个人信息是指可以单独识别本人的个人信息，比如身份证号码、基因等；间接个人信息是指不能单独识别本人，但和其他信息结合可以识别本人的个人信息。这种分类的法律意义在于间接个人信息属于个人信息的一种，同样应受到法律保护。2.以个人信息是否涉及个人隐私为标准，个人信息可以分为敏感个人信息和琐细个人信息(trivial data)。敏感个人信息，是涉及个人隐私的信息。根据英国1998年《资料保护条例》的规定，敏感个人信息是“由资料客体的种族或道德起源，政治观点，宗教信仰或与此类似的其他信仰，工会所属关系，生理或心理状况，性生活，代理或宣称的代理关系，或与此有关的诉讼等诸如此类的信息组成的个人资料”。琐细个人信息是指不涉及个人隐私的信息。根据瑞典《资料法》的规定，琐细信息是指“很明显的没有导致被记录者的隐私权受到不当侵害的资料”。这种分类的法律意义在于琐细信息与敏感信息的保护方式与程度不同。3.以个人信息的处理技术为标准将个人信息划分为电脑处理个人信息与非电脑处理个人信息。电脑处理，是指利用电脑或自动化机器为信息输入、储存、编辑、更正、检索、删除、输出、传输或其他处理。这种分类的法律意义在于，电脑处理的个人信息更容易受到侵害，因此，在个人信息发展史上，有很多早期的个人信息保护立法仅规定对电脑处理的个人信息进行保护，将非电脑处理的个人信息排除在保护法的范围之外。笔者认为，非电脑处理的个人信息，如指纹、声音、照片等有与电脑处理的个人信息具有同等的保护价值，并不能因为信息社会的到来而忽视传统的个人信息。4.以个人信息是否公开为标准，可以分为公开个人信息和隐秘个人信息。公开个人信息，是指通过特定、合法的途径可以了解和掌握的个人信息。我国台湾《电脑处理个人资料保护法》施行细则第32条3项规定：“电脑处理个人资料保护法第十八条第三款所称已公开之资料，指不特定之第三人得合法取得或知悉之个人资料。”隐秘个人信息和公开个人信息对应，是指不公开的个人信息。这种分类的法律意义在于，公开个人信息无论是否属于敏感个人信息，都已经丧失了隐私利益，不能取得敏感个人信息的特殊保护。除此之外，以个人信息的内容为标准，个人信息还可以分为属人的个人信息和属事的个人信息。属人的个人信息反映的是个人信息本人的自然属性和自然关系，它主要包括本人的生物信息。属事的个人信息反映的是本人的社会属性和社会关系，它反映出信息主体在社会中所处的地位和扮演的角色。个人信息还可以分为纳税信息、福利信息、医疗信息、刑事信息、人事信息、和户籍信息等，不同的信息，具体的保护方式亦不相同。[4]

个人信息保护的统一立法模式是指由国家立法，统一规范国家机关和民事主体收集、处理和利用个人信息的立法模式。此种立法模式为欧盟所倡导，对此后的国家立法产生了巨大的影响。客观说，此种影响，并不是因为欧盟采取了统一立法这种模式，而是由于统一立法模式和世界上大部分国家的法律制度相吻合。具体讲，个人信息保护的统一立法模式，又可以分为德国模式和日本模式，日本模式又称为统分结合模式。

二、德国模式

德国实行统一立法模式保护个人信息。德国制定了一部专门的个人信息保护基本法，成为资料法，对公领域与私领域中的个人信息进行统一规范和保护。德国是联邦国家，在联邦政府和州政府层次都制定了资料法。其保护法同时规范政府和民间行业。在体例上，德国联邦资料法分为总则和分则，第一部分“一般条款”是总则，分则由第二部分到五部分组成。其中，第二部分是“公务机关的资料处理”，第三部分是“非公务机关和参与竞争的公法上的企业的资料处理”，第四部分是“特别规定”，第五部分是最后条款。德国联邦个人信息保护法制定于1977年，已经经过了几次大的修订。德国国会于1970年起着手制定《联邦个人资料保护法草案》，经过长达六年的反复讨论与修改，最后于1976年全文通过，1977年生效。该法的正式名称是《防止个人资料处理滥用法》，人们习惯称其为资料法。1977年资料法颁布后，曾引起许多要求修法的批评，并于1980年进行了第一次修正。这次修正的主要成绩是立法技术方面的进步。德国宪法法院在1983年“人口普查法案”判决中第一次使用了信息自决权的概念，使个人信息权利成为一项明确的宪法权利，并以此权利基础来重新审视和构建资料法。另外，值得一提的是，这次修正将国家安全机关对个人信息的收集与处理纳入个人信息保护法。经过1990年的修订，德国个人资料法在理论与司法界都得到了较为一致的肯定。资料法，既涉及非公务机构对个人信息的处理与利用，又涉及公务机构。德国立法将此两种性质的法律关系——非公务机构处理个人信息形成的民事法律关系，和非公务机构处理个人信息形成的行政法律关系，纳入资料法统一规制。同传统法律部门比较，呈现交叉性。德国的统一交叉立法模式对整个大陆法系的个人信息立法产生了重大的影响，其后的大陆法系国家的立法纷纷仿效德国采取统一交叉立法模式。甚至，有的英美法系国家也选择了此种立法模式。

三、日本模式

日本选择统分结合的立法模式保护个人信息。日本于1988年公布了《行政机关电脑处理个人情报保护法》，对政府机关的电脑处理“个人情报” 行为加以规范。随后，又于2005年开始实施《个人情报保护法》。该法为政府机关和民间行业共同遵守的处理个人信息的准则，是保护个人信息的基本法。根据此法，个别政府领域或者民间行业可以针对自己的不同情况制定个别法或者自律规范。因此，日本个人情报保护立法模式被称为统分结合的立法模式。

日本个人情报的保护采取先制定统一的个人情报保护法，然后在由不同的政府机关和民间行业制定特别法或者自律规范的方式。日本法共七章六十四条，第一章为总则。总则共两条，明确立法目的、解释条文用语、界定适用范围。第二章(第三至八条)规定了个人信息保护法的基本原则。该法列举的原则内容来自于OECD的八大原则。第三章(第九至十一条)规定了国家和地方政府为保护个人信息而采取必要措施的责任。第四章(第十二条至十九条)专门规定了政府(内阁总理大臣)在听取国民生活审议会的意见之后，有制定保护个人情报的基本方针的义务。政府应采取提供信息、制定保护方针和措施等方式促进和支持地方政府和地方公共团体制定和实施个人信息保护政策，以及帮助民间正确方式正当处理个人情报。在企业与信息主体因个人情报的处理发生纠纷时，国家应迅速采取必要且适当的措施加以解决。法案第五章是对私人企业处理个人信息应遵循的义务。这部分的规定，被认为是该法的重点。从立法技术来看，第五章(第二十条至第五十四条)是对第二章确立的保护原则内容的具体化。在此基础上，本章规定了私人企业处理个人情报所应遵守的最低限度标准。也就是说，本法鼓励至少不禁止行业另行制定更高标准的自律规范。依据本章的规定，“个人情报认定团体”在经主管大臣确认后，有权处理该团体成员涉及的个人情报的纠纷。第六章(第五十五条至六十条)对适用除外做出了规定。下列机构和行为不适用本法第五章的有关规定：

(1)新闻媒体为报导用途处理个人情报；

(2)大学及其他学术研究机关或团体及其所属人员为学术研究用途处理个人情报；

(3)宗教团体为宗教活动用途处理个人情报；

(4)政治团体为政治活动用途处理个人情报。

该法第七章为罚则。规定了私人企业违反个人情报保护法的处罚。

有些种类的个人信息(如医疗信息、金融信息、通信信息等)，在性质上及其用途上具特殊性，必须立专法加以特别保护。该法第三章专门涉及中央政府和地方政府在此领域内的责任。纵观日本个人情报保护法，第一章至第四章为政府和民间业者处理个人情报应遵循的共同规范，属基本法性质；而第五章至第七章是专门针对民间业者处理个人情报应遵守的规范，为普通法性质；因此，日本法为折中统一立法模式与分散立法模式的双重构造法模式。该模式不同于德国的统一立法模式和美国的分散立法模式。

四、统一立法模式评析

(一)统一立法模式的优势

第一，统一立法模式可以使保护个人信息在一国内部明确化，使自然人在其个人信息上的权利成为一项具有绝对性的法律权利。这无疑是有利于自然人权利的实现的。通过立法将本人对其个人信息所享有的权利作为一项法律权利确定下来，是欧洲国家保护个人信息的一贯作法和主张。统一立法模式是对个人信息进行保护的最强有力的机制。通过统一立法模式，信息主体获得法律赋予的权利——个人信息权。个人信息权是一项具体人格权，它是指信息主体依法对其个人信息所享有的支配、控制并排除他人侵害的权利。其权利内容具体包括信息决定权、信息保密权、信息查询权、信息更正权、信息封锁权、信息删除权等。

第二，统一立法模式可以为个人信息保护提供统一的法定标准。“法律规范并非彼此无关地平行存在，其间有各种脉络关联。” 因此，以体系的方式从整体把握、建立统一的保护标准是立法模式的优势。这样就可以克服自律机制各行其是的弱点。

第三，统一立法模式可以为个人信息保护提供科学的行为规范。从立法程序看，法律是全国一定领域的各方面的专家智慧的结晶，从宏观上讲比自律机制的自律规范更加标准和科学。

第四，统一立法模式可以对损害提供充分的救济。统一立法模式对违反个人信息保护法、侵害信息主体利益的行为给予相应的法律制裁。这一点往往是行业自律无法做到的。国外个人信息保护立法往往就法律责任做专章规定，强调违法行为承担的法律上的不利后果，以对权利人的权利进行救济。这种法律责任可以分为：民事责任、行政责任和刑事责任三种。而自律机制往往缺乏最终的救济手段，被侵害的权利往往不能得到切实的补救。

第五，与自律的自律规范相比，法律规范具有高度的权威性。法律规范的权威性远远高于自律规范。法律是由国家强制力保障实施的，在该国领域内具有普遍的拘束性，其权威是自律规范无法比拟的。以法律规范有关个人信息的收集、处理和利用行为，可以更有效地实现保护个人信息的目的。通过立法规定严格的法律制度、程序和条件，调整个人信息的收集、处理、储存、传输、利用、安全等行为规范，就行为主体、行为目的、行为方式、行为对象、行为时间等内容分别做出强制性规定，是保护个人权利的有力途径。

第六，法律规范更容易得到普遍的遵从。法律规范是由国家强制力做后盾的，得到社会公众的遵从是一般情况，对它的违反是特例。