福建师范大学法学院 吴 洁 王文敏 王铮瑛



公民个人信息保护行政立法初探

福建师范大学法学院 吴 洁 王文敏 王铮瑛

随着科技的进步和现代传媒的普及，个人信息的收集和处理变得愈加便捷，与此同时，政府工作和社会事务的公开化、透明化却导致大量公民个人隐私信息的泄露，涉及隐私权侵权的案例呈逐年上升趋势。该文立足于保护公民个人信息，针对其立法上尤其是行政立法方面的欠缺，探讨知情权与个人信息权的冲突与平衡。

隐私权 知情权 冲突与平衡 个人信息权 行政立法

随着社会信息化的逐步深入，公民个人信息被滥用的现象日趋严重，公民个人信息保护状况堪忧。现实中不乏公民个人信息因公共利益、群体利益而被侵犯的例子，最典型的应属在2003年的SARS事件与2009年的H1N1流感事件中，政府为使社会公众及时准确地了解信息，以便有效地采取防范措施而大量公开病人信息。政府的做法有效地树立了其公信力，但同时也带来了隐患。相关媒体对病人的报道，由于在一定程度上涉及到了病人的隐私，给他们带来了困扰。

目前我国在隐私权保护方面往往忽视行政立法的规范引导，公权力与隐私权的矛盾难以得到有效解决。知情权与隐私权的冲突矛盾不可避免地摆在了学术界、立法界、司法界面前，如何平衡两者间的冲突已成为研究的重要课题。

1 隐私权与知情权

1.1 隐私权与知情权的提出

隐私权的发端最早可以追溯至1890年美国学者沃伦（Samuel Warren）和布兰代斯（Louis Brandeis）发表的论文《论隐私权》。法国、爱尔兰等国家把隐私权作为一项最为重要的宪法权利。国际上，《联合国人权宣言》、《公民与政治权利公约》等国际法律文件中都强有力地体现了隐私权这一项重要的权利。

然而，知情权的提出远远晚于隐私权。美国于1966年和1974年分别制定了《情报自由法》、《隐私法》，知情权在美国被当作一项基本权利，具有较高的法律地位。知情权作为反映民主法治的一项基础性权利受到学术界和民间的日益关注，但是学术界目前还未有一个统一的说法。我国学者认为，广义的知情权包含政治知情权、司法知情权、社会知情权和个人信息知情权等四项权利，狭义的知情权则为政治知情权和司法知情权。

1.2 隐私权与知情权的冲突

在现实生活中，概括而言隐私权与知情权的冲突主要分为两大类：

1.2.1公权范畴内知情权与隐私权的冲突

主要包括三方面的矛盾：一是政治知情权与国家机关工作人员隐私权的矛盾，政治知情权赋予了公民了解官员和其它国家管理人员信息的权利，但被了解的国家机关工作人员同样也受到隐私权的保护，有的地方政府甚至出台规定要求公开官员的婚姻情况，这种做法实质上严重侵害了当事人的隐私权利；二是司法知情权与公民个人信息隐私权的矛盾，在我国三大诉讼法的司法解释中，关于取得证据的程序和手段的规定十分零散、不系统。在询问、搜查、取证、监视居住、人身检查、通信检查等方面，今后的立法应当兼顾对公民隐私权等人格权的保护；三是行政管理机关的知情权与公民个人信息隐私权的矛盾。国家机关工作人员因其职务而接触和掌握公民个人的隐私材料，如何正确收集、保存和使用公民的个人资料，缺乏法律适当的引导与规制，而行政立法中规定的婚检制度有可能因为直接触及相关人群的隐私权而不能顺利执行。

1.2.2私权范畴内知情权与隐私权的冲突

主要包括社会知情权与社会公众人物隐私保护之间的矛盾以及法人或公民的个人信息知情权与其它公民隐私保护之间的矛盾。

隐私权是限制人们获得某种信息的权利，而知情权是获得某些信息的权利。学术界认为，隐私权是指自然人享有的对其个人的，与公共利益、群体利益无关的个人信息、私人活动和私有领域进行支配的具体人格权。但笔者并不完全赞同这种说法，因为按照这种说法，那些与公共利益、群体利益有关的个人信息都将无法受到隐私权的保护。但由于公共利益、群体利益的需要，政府机关及其相关部门往往拥有公民大量的个人信息，这些信息都与公共利益、群体利益有关，如果因此就认为这些个人信息不属于公民隐私而不加以保护的话，就极易威胁到公民的正常生活。

个人信息与隐私有相互覆盖的领域，却又不完全相同。无沦是涉及隐私内容的个人信息还是可公开的个人信息，都应该受到法律保护。个人信息的外延明显广于隐私，我国目前信息主体在个人信息处理活动中享有哪些权利，对滥用个人信息者如何予以制裁等关键问题的解决目前无法可依，对公民个人信息进行立法保护将有助于公民权利的完整，更具现实意义。

2 目前我国对于个人信息保护的规定现状及评价

当前，我国对于个人信息保护的立法规定主要可以分为三类：一是宪法、民法、刑法和其他基础性法律，如我国《宪法》第38条规定：公民的人格尊严不受侵犯，这其中的“人格尊严”的广义解释也包括了隐私权在内。二是政府信息公开条例，主要是关于保障公民、法人和其他组织依法获取政府信息即对知情权保护的规定。三是信息保护的单行法和地方规定，主要有《中华人民共和国邮政法》第4条和第6条第2款、《中华人民共和国电信条例》、《上海市个人信用征信管理试行办法》等。

虽然我国《个人信息保护法》早在2005年就提交至国务院信息化办公室并一直处于研究阶段，个人信息的立法纳入立法议程。在行政法规方面，我国在新闻、出版等方面的行政法律法规中也加设了一些隐私权保护的规定，但是从以上的立法现状来看，我国目前并没有专门的个人信息保护法，其他的法律和行政立法也未能明确进行保护。可见，一个更加严密完备的消费者隐私权保护体系急需构建。

3 对我国个人信息保护行政立法的建议

立足国内现有的法律制度和经济发展的实际情况，借鉴外国个人信息保护的先进作法，为了平衡个人隐私权和知情权，建立符合我国自身特点的个人信息保护立法体系成为现阶段的首要任务。

3.1 明确个人信息保护立法体制和管理模式

3.1.1国外作法及其借鉴

关于管理模式的选择：统一管理或分散管理。欧盟制定了一个综合性的个人信息保护法，由一个综合监管部门集中监管，即统一的管理模式；美国则根据不同的信息内容，区分不同的信息管理部门，分别进行监管。

关于立法体制的选择:公共部门与私营部门的选择。例如德国和我国台湾地区在一部信息保护法律中分章规定了公共部门和私营部门的适用，而美国和韩国的信息保护法律只适用于公共部门。

3.1.2对我国的建议

首先，在立法体制上，我国宜采用一部法律先对公共部门和私营部门作统一性、一般性的规定。其次，在管理模式上，根据主体的不同进行分章规定的立法体制。再次，我国应该完善隐私权保护的立法体系。增加宪法和民法中关于隐私权保护的基础性规定，致力于出台具有针对性的单行法，对最有可能侵犯个人隐私权的一些行政领域和行政主体进行重点规制。另外，应该鼓励地方人大和政府制定出更符合地方实情、体现地方特色的法规和条例，以利于相关部门根据法律的规定对公民的个人信息进行更好的保护。

3.2 明确立法内容

3.2.1国外作法及其借鉴

关于权利贬损的事由：台湾地区“计算机处理个人数据保护法”第8条规定了公务部门对个人资料之利用。美国隐私权法在第二部分中也规定了权利贬损的事由。

关于权利的主体：韩国《公共机关个人信息保护法》中将“个人信息”中的“个人”解释为“生存着的个人”；我国台湾地区“计算机处理个人数据保护法”总则中规定，“当事人”指个人资料之本人，个人仅指自然人，而且不限于活着的人。

关于权利主体拥有的权利：奥地利在《联邦个人数据保护法》中详细规定了数据所有人的权利和权利实施、条件和流程。

关于信息保护机关的设置及其职责：日本专门通过《信息公开与个人信息保护审查委员会设置法》规定了审查委员会的职责。香港则通过《个人资料（隐私）条例》设立了个人资料隐私专员这一职位，规定了其在监察法律遵守情况、视察个人资料系统等方面的职责。

3.2.2对我国的建议

在我国未来的《个人信息保护法》中，应该设置政府信息保护专章，其中至少规定以下几个方面的内容：

首先，个人信息保护的原则。（1）比例原则。在维护社会政治与公共利益的同时必须兼顾保护个人隐私。（2）安全保护原则。个人信息主体和信息管理主体在收集处理个人信息的过程中必须严格按照法定的程序操作，并采取一定的保护措施，防止信息的丢失、泄露等危险。（3）知情同意原则。任何未经本人同意就获得了他的个人和生活资料的，将被追究行政责任、民事责任或是刑事责任。（4）目的限制原则。信息管理者收集和利用信息应具有特定而明确的目的，否则收集信息为非法。

其次，适用的主体。个人信息保护法的主体包括个人信息主体和个人信息管理者。在此法律关系中，侧重保护信息主体的权利，强调信息处理者应遵守的义务和责任规则。

个人信息主体仅指自然人而不包括法人。首先，法人的隐私权表现为商业秘密，可以由知识产权和反不正当竞争法来保护。其次，许多法人的信息都是由自身保管，如果强行要求由政府同意保管恐怕更不利于法人的自由发展。

个人信息管理者是管理个人信息的法律主体，应包括国家行政机关和行政机构、社会组织、人民团体、事业单位等行使行政管理职能或提供公共服务的组织。

再次，主体的权利。支配权，即个人信息主体对其信息的完全的控制，使用数据资料必须获得信息所有者的同意，否则便构成侵权。获取权，即个人信息主体有从信息管理者处获得自己资料的权利。知悉权，即个人信息主体有获知其信息被管理的有关情况的权利。删除、修改和补充权，即个人信息主体通过向有关信息管理机关进行申请，可以对自己的资料进行符合实际情况的删除、修改和补充。获得救济权。当个人信息主体的权利受到侵害的时候，可以向有关部门请求救济。

最后，信息保护机关的设立和职能的设置。政府可以将现有的各个行政机关下设的信息办或信息公开处等部门进行调整，使其由政府信息公开的机构转变为政府信息管理的机构，全面负责各行政机关信息的收集、处理与公开，同时对私营部门的信息使用进行有力的监管，推进和协调本行政区域的行政公开工作和个人信息保护工作。

个人信息保护机构可以拥有特定的职能，履行其规范个人信息的处理，保障个人信息合法利用：（1）行政规范制定权，行政机关应当针对信息保护制定相应的法规、规章。（2）行政措施实施权，行政机关必须加强个人信息保护的行政制度建设；信息处理者应当采取适当的技术上和组织上的安全措施，保证个人信息免受意外的、未经授权的访问、修改、丢失、破坏或损害。（3）行政裁决权，即调处裁决行政纠纷和部分民事纠纷的职权。（4）行政制裁权。依法对行政公务人员的违法行政行为和行政相对人违法行政法的行为进行处分或处罚的职权。（5）行政救济权，当权利受到侵犯时，权利人可以采取行政赔偿、行政补偿和行政复议等事后救济手段来维护自己的权利。

[1] 李二桃，孙利伟. 论我国公民隐私权的法律保护[J]. 内蒙古农业大学学报, 2004, (2): 57.

[2] (德)马克斯·韦伯．论经济与社会中的法律[M]．北京: 中国大百科全书出版社,1998．

[3] See Charles Fried, Privacy “A moral analysis”, 77Yale L.J.475 (1969), reprint in Ferdinand D. Schoemaned., Philosophi2 cal Dimensions of privacy (1984).

[4] 周汉华. 个人信息保护前沿问题研究[M]. 北京: 法律出版社, 2006.

[5] 叶必丰. 行政法与行政诉讼法[M]. 北京: 中国人民大学出版社, 2007.

[6] 齐爱民. 个人资料保护法原理及其跨国流通法律问题研究[M]. 武汉: 武汉大学出版社, 2005.