刘大琳

【摘 要】个人资料作为21世纪最有价值的资源，不仅关系着公民的个人权益，同时也关系着社会公益和社会秩序，我国目前的民法保护机制滞后，个人资料被侵害的现象仍然十分严重，且执法力度较弱。公权力有必要介入到对个人资料的保护机制中，提高公众包括企业和公共机构的个人资料保护意识，引入惩罚性损害赔偿，同时借鉴国外立法例，建立个人资料安全管理体系。

【关键词】公权力；个人资料；安全防护模式；制度模式

一、个人资料的重要性

个人资料不仅可为政府的决策提供依据，使公共管理有效率，更可产生商业利润。在网络出现以前，名人许可商人在商品或服务的推销或宣传中使用其姓名或肖像等现象就是最典型的个人资料商品化现象，而在网络出现之后，个人消费的喜好，个人网络消费行为记录、手机号码及电子邮件地址等个人资料也被商人用来当做个人化商品或服务推销和广告的宣传工具，使个人资料商品化的现象越来越普遍。[1]P1随着电脑和网络的通信技术的发展，个人资料的收集、储存、传播、加工和利用的成本降低，现今技术可透过电脑将储存于网络的有关资料迅速连结到一起，从而形成某个人的大致轮廓，同时还可把具有相同或类似特征的许多人汇集起来组成一个资料库，由于这些资料库和个人资料具有很高的商业价值，可用作市场营销和个人化服务，导致越来越多个人或企业专门从事买卖这些个人资料，因此个人资料作为商品交易已经成为资讯时代的一个重要产业，根据调查，与开发一般网站相比，个人化网站的开发和维持往往需要4倍以上的成本，而一个个人化商业服务模式所需要的关键资产就是属于该组织的个人化资料，随着各种所谓的个人化服务重要性的提高，对个人资料的所有权已成为获取投资回报的主要方式。[1]P6大部分网站是透过观察消费者的网路行为，追踪消费者的购买行为，以问问题的形式或兼采这三种形式来获取消费者的个人资料。在美国，有不少专门从事消费者个人资料交易的公司，如Double Click and I-Behavior，这些公司搜集和出售消费者的购买历史记录，收入、家庭成员人数、生活爱好，拥有汽机车的情况等个人资料。[1]P3-5但有些公司是在未经用户同意的方式，私自搜集及使用用户的个人资料，例如：亚马逊公司曾利用消费者的历史购买记录，在其DVD电影的销售中使用自动定价系统，即针对不同消费者订出不同的价格销售，亚马逊公司因而获利丰硕，除自动定价外，该公司亦使用消费者的个人资料进行个人化的广告和产品推销，而这种个人化的广告销售收入也比一般广告销售收入高10倍，但亚马逊公司之后因其自动定价系统被消费者隐私保护组织曝光而受到舆论讨伐，为此，亚马逊公司曾公开道歉并向6896名消费者偿还其不当得利。[1]P4

个人资料被誉为是21世纪最有价值的资源当之无愧，政府和企业为了争夺高价值的个人资料，无不尽全力运用电脑技术来高速处理大量的个人资料以获利，当处于不同地区、不同时空及不同机构的个人资料被迅速汇集起来时，只要透过比对等特殊技术处理后，瞬间就可描绘出一个人的资料人格，将一个人变成一个没有隐私的透明人，此时我们该如何拯救我们现实和资料的人格呢？[2]

二、个人资料在我国的保护现状

（一）法律保护机制的缺陷

我国现今的法律体系中，并没有关于个人资料、个人资料权利的概念或字眼。我国没有一部完整的民法典，也没有制定一部完整的个人资料保护法。关于个人资料的保护，散布在各个法规对个人资料直接或间接保护的法律规定。比如居民身份证法、护照法、传染病防治法中设置条款对个人资料加以保护。还有一种保护是通过信息控制人的单方承诺或特定行业的自律规范的承诺，对个人资料加以自律性质的保护。[3]另外，我国尚未有违宪审查制度或宪法上权利的救济途径。人民基本权利的具体内容和保障方式均只能透过法律和司法、立法解释加以具体规定才能实现。[4]因此，即便学说通说上认为宪法一些条文对个人资料权利提供了间接的保护，如宪法三十三条、三十八条、三十九条、四十条的相关规定。但比之美国、德国或是台湾之宪法对私法法律关系有间接的效力。例如我国台湾地区中，个人资料权利是台湾宪法上的基本权，法官在审批民事案件时，实务及学说通说皆采间接适用的方式或是宪法取向性的解释，让法律不论是否有明文规定皆可保护该宪法上的基本权。

我国对于个人资料的民法保护带有很大的事后性，局限性比较明显。这不仅表现在相关法律条款规定过于分散，可操作性差，对一些关键概念的界定不清。更表现为公民个人在维护自身的个人资料合法权益时，存在着的举证困难，诉讼成本过高，受益过低，合法权益难以得到有效的维护的现实困境。虽《刑法修正案（七）》第七条规定可以看做是公民个人资料、个人权利在刑法方面寻求保护获得的一个重大突破。但是仍不能有效的遏制对公民个人资料的非法出售和搜集的乱象，因为并不是每一个违法行为都达到了情节严重的程度。因此，我国对于个人资料的保护并不能提供有效的法律保障。

（二）个人资料被侵害现象严重

如前所述，个人资料既具有重大的商业价值，以牟利为目的针对个人资料贩卖的现象不胜枚举。从2012年3月20日，北京市大兴区法院审理的一起网络倒卖个人信息案，到今年315晚会曝光的运营商偷窥公民邮件内容，我们几乎已经进入了一个个人资料全民裸奔时代。据中国电子信息产业发展研究院、中国软件评测中心发布的《公众个人信息保护意识调研报告》显示，超过60%的被访者遇到过个人信息被盗用的情况。表现在日常的生活中，由于公民的个人资料被随意泄露，受到不胜其烦的商业推广短信和电话骚扰。而依照现行法律，对于受“骚扰”之苦的公民来说，损害后果并不是十分明显的，没有权利寻求到法律上的救济與保障，但在受“骚扰”的背后，却是公民日常生活安宁的破坏，商业道德和秩序的崩塌，违法犯罪行为的滋生。侵权者盗用、滥用公民个人资料，造成公民隐私权和人格尊严的被侵害，财产权受到侵害，加之引发的不法分子的各种犯罪行为。扰乱社会秩序，侵害公民权益，于个人利益和社会利益考量，都应受到严格的管制和约束。

同时，加之法律上欠缺对个人资料的保护，人民、政府以及法院对个人资料的重视度也不高，以致个人资料遭侵害的状况时有发生，等个人资料遭侵害后，人民才会发现原来个人资料遭侵害会造成如此极大的损害，受害者遭受的损失和花费的处理时间如此之多。可实际损害已经造成，悔之晚矣。尤其是现如今网络技术的迅速发展的时代，因网络的特性，使得侵害的速度快，范围又广，举证及适用法律难，诉讼成本高，导致被害人无法得到相应的赔偿。

（三）执法力度较弱

法律的有效运行，离不开公民的自觉守法，同时更重要的在于执法。法律的执行是公民守法的前提和必要保障。而我国目前的现状是，不仅是承担信息安全监督工作的工信部有關于个人资料保护的规章文件，公安部、国家保密局、国家密码管理局、卫生部、食品药品监督管理局、银监会、证监会、铁道部等部门都有规章文件涉及个人资料的保护。当下我国这种交叉管理的体制下，当出现个人资料泄露的法律后果时，通常资料已被辗转流转了好多次，这不仅为寻找泄露个人资料的源头带来了困难，更存在执法者和被执法者众多的情况下，利益纠葛的弊端。本行业执法部门只负责本行业执法，行政执法力度非常的弱。

在执法过程中，还存在与个人对抗的另一方为财大气粗的运营商或是公共机构的普遍现象，这些相对方通常具有较强的影响力，易形成现实的执法困境。执法的困境造成了企业的毫无拘束，明知违法行为而故为之，在强大的利益驱动下，无法无德，视公民的合法权益于不顾。而监管的失利不得不谓之是造成这一现象的根本原因。

三、公权力在个人资料保护中理应发挥的作用

我国早在2003年就开始着手个人资料保护的立法，但直到现在都没有出台一部有关个人资料保护的法律。虽然学界的立法呼声以及迫切的现实需要都亟需个人资料保护法律的出台。但立法有其自身的弊端，其一，立法总是跟不上产业和技术发展的步伐，需要的时候出不来，等出来的时候或许已经过时了。这是基于立法的固有缺陷。其二，也是最关键的，即使出台新的法律法规或是补充修订，如果达不到令行禁止的效果，使法律法规形同虚设，违法行为依然我行我素。当然这并不说立法不重要，只是在推动立法进程的过程中，公权力还要有以下作为，才能有利保护公众的个人资料权利，同时也符合现如今我国的法律和现实状况。

（一）形成主动的个人资料保护意识

这里所讲的个人资料保护意识的形成，不仅是针对公民个人，也包括企业和政府。

首先所谓提高民众的个人资料保护意识。相关专家认为，个人资料被泄露、被滥用、被盗用，与大多数公民的个人资料保护意识不强有很直接的关系。他们经常在有意无意之间将个人的资料泄露出去，尤其目前社交网络迅速发展的时代，我们的生活几乎已离不开网路，网络不仅使我们的生活达到了天涯若比邻的美好境界，同时网民也要留意网络上各种潜在的风险。公权力要采取由上而下的传输机制，不仅要提高宣传的力度，经过宣传和普及教育，让广大民众意识到个人资料保护的意义，增强民众的防范意识，引导民间有关个人资料保护的协会构建，鼓励民众积极地参与进来，发现有个人资料泄露的情况，向信息管理者提出投诉。让保护个人资料的意识渗透到公民的日常生活中来。

其次关于企业的主动个人资料保护意识的形成，毕竟企业是以业务为导向的单位，对于个人资料的保护较为被动。既要确保企业不沦为个人资料泄露的侩子手，又要保障企业业务上的欣欣向荣，因为过度的管控会造成企业效率的下滑。如何找到一个均衡点，就有赖于如何培养企业的主动个人资料保护意识。可以借鉴日本关于“隐私标章”制度的构建，给予能够获得“隐私标章”的企业以一定的优惠政策，如此使广大企业自愿投入到有关个人资料保护的行动中来。

最后关于政府个人资料保护意识的形成，政府作为个人资料保护中较为关键的主体。由于网络科技所引发的信息革命，个人资料在网上的传播广度及深度，已远非吾人所能想象，电子商务的蓬勃发展，个人不得不对外提供个人资料，以换取各式的电子式服务，国家也可藉由科技，于个人毫不知情的情况下轻易取得个人资料，大幅减少资料搜集与交换的成本。政府是以一个专业且有利的秩序维护者的角色，凭其公权力手段介入私经济的管制活动中。政府部门利用搜集整合的各部门及人民、公司、其他组织的个人资料，以作为政策制定的依据。以目前政府控制资讯的能力日趋扩大，若民众面对在信息掌握能力上无法与之抗衡的政府部门和公共机构对于个人资料的干涉和侵害，其后果无法想象。公共企事业单位，比如银行、医院、通讯公司、保险公司等，往往是个人信息泄露最主要的渠道。因此，政府和公共机构应建立完善的公民档案保护体系，行政机关的工作人员要有较强的个人资料保护意识。使行政人员认真履行职责，同时完善政府和公共机构内部的责任追究机制，并严格渎职责任，放开舆论监督。

（二）惩罚性赔偿的适用

个人资料泄露之严重，公民隐私侵害之猖獗已为世界各国所意识到。互联网和信息技术的高度发展和广泛应用，个人资料被不当收集，恶意泄露，随意篡改，甚至非法出售的现象时有发生，社会上出现了大量兜售房主信息，股民信息，患者信息，车主信息，个人资料被滥用的现象已形成了一个新的产业。现在为解决此一问题，尤其应引进惩罚性赔偿金的规定，因惩罚性赔偿金不仅有赔偿的功能亦有惩罚的功能，不仅能使受害人最大限度获得赔偿救济，况且我国已在《中华人民共和国消费者权益保护法》及《侵权责任法》上有所规定。惩罚性赔偿金适用于个人资料保护上的合理性，可从以下方面来讲：

首先，惩罚性赔偿具有强大的威慑和遏制作用。其以远超于受害者的损害金额作为侵权人应承担的义务，不仅仅是具有补偿受害者损害的功能，更重要的在于对侵权者的惩罚，对于其漠视道德，漠视法制，漠视公民权益的惩罚。让其付出沉重的代价，使侵权者不因“效率违约”而置公民的个人权利和社会公益于不顾。法律经济学的观点认为，惩罚性赔偿将给不法行为人在经济上增加负担，此种负担即为不法行为人为其行为所付出的代价，即使对于那些经济实力强大的主体而言，这种代价也是不情愿的，这样可以促使行为人采取较为安全的措施以防止损害的发生或将事故的发生危险降低到最低的程度。[5]对于那些将要或可能从事侵害公民个人资料的行为也起到一定的警示和遏制的作用。使其忌惮如此的责任承担而不敢从事相同或类似的行为。其次，惩罚性赔偿的适用符合国际趋势。就欧盟来讲，欧盟委员会对互联网公司和社交网络在征求消费者的明确同意后方可使用其个人资料并要应消费者的要求永久性的删除他们的资料，包括用户上传到社交网站的照片，在零售网站购买的商品信息，或通过搜索引擎寻找的资料。违反条例者将被处以年收入2%的罚款。[6]就香港而言，香港近期实施新的《个人资料（私隐）（修订）条例》，对商业机构滥用客户资料说不，违者将最高处以100万港元罚款和5年监禁。[7]

（三）建制个人资料安全防护体系

鉴于个人资料保护的重要性，国家自应创设一制度和程序，对人民个人资料的保护进行周全的规划，才能使人民的个人资料权真正获得实现。同时更有利于在个人资料保护和信息流动之间寻求到更好的平衡点。国际间如日本、韩国、英国、德国等，均针对个人资料管理制度处理方式，提供有一套流程化的管理制度。以日本为例，其于1998年4月推动了“隐私标章”制度，并以1997年发布的保护准则为审查标准，凡依据准则内容妥善落实个人资料保护工作且通过审查的民间企业，即可于其辖下的实体店家、网站、职员名片及相关出版品上使用“隐私标章”。透过公正第三机构的审查，使得获得“隐私标章”的企业，除象征具备维护用户个人资料的适切能力外，亦可藉由参与“隐私标章”制度，获取民众对于企业的信赖。[8]如此，日本以其个资法为基础，推动个人资料保护管理制度。不但对于顾客的个人资料得以进行安全的控管，以避免外泄及窃取，也能提升员工的个人资料保护意识，降低企业成本，进而提升企业整体获益。建立强化企业落实个人资料保护的意愿。

我国的公共机构及电子商务企业应制定个人资料档案安全维护计划。方证明企业本身已尽到善良管理责任，即使发生个人资料外泄事件，亦可以主张依照当前的安全防护技术水平及落实内部个人资料管理维护而免责。企业被指控涉嫌个人资料外泄则必须负举证责任，出具体证据来证明无故意或无过失责任，否则将面临高额的赔偿金与刑事责任。所谓“举证之所在，败诉之所在”，政府应透过辅助或辅导的方式协助企业建制个人资料安全防护体系，奖励创新注重个人资料保护的企业。凡进行个人资料安全防护体系构建的企业，倘若政府可以透过辅导计划，以有效辅导模式，采政策辅助加厂商自筹款比例方式，辅助企业进行个人资料安全防护体系的构建和升级，且透过辅导案，能有效掌握及追踪辅助成效。

【参考文献】

[1]刘德良.论个人信息的财产权保护[M].人民法院出版社，2008.

[2]齐爱民.拯救信息社会中的人格-个人信息保护法总论[M].北京大学出版社，2009：19-20.

[3]孙超.个人信息，誰来保护[J].今日中国，2010（10）.

[4]张千帆.宪法学[M].法律出版社，2004：161.

[5]Rober D.Cooter，Punitive Damages for Deterrence：When andHow much。40 Ala Law Review 1143 1148（1989）.

[6]《通信管理与技术》2012年2月第1期.

[7]李永宁.香港对商家滥用客户信息说“不”[N].人民日报，2013-04-12（11）.

[8]渊边善彦，五十岚敦.个人情报管理ハンドブック[Z].2008：156-157.