论信息时代个人信息权的私法规制

2015-03-17项定宜

哈尔滨商业大学学报（社会科学版） 2015年1期

项定宜

(东北林业大学文法学院，哈尔滨150040)

一、个人信息权私法规制的必要性

(一)信息时代个人信息安全危机

人类步入信息时代，在充分享受获取信息便捷的同时，也在遭遇不同程度的个人信息侵权行为，各类泄露、贩卖个人信息的事件频频发生。电信、房地产等企业某些工作人员运用工作中掌握的个人信息谋取私利［1］，从个人户籍资料、车辆档案信息到手机机主信息再到宾馆住宿记录等都发生过信息泄露的情况，并且由此引发诈骗案件［2］。据统计，受害群体非常普遍①，遭遇信息泄露的途径很多②，个人信息泄露的途径可能是“主动”的，如用户浏览网页、使用手机时，姓名、住址、工作单位、浏览习惯、个人偏好等个人信息就主动泄露了;也可能是被动泄露的，如必胜客网上订餐系统存在点餐者个人地址资料某种程度暴露的可能，还有许多商业网站提供的注册程序增加了信息泄露的机会③，移动手机的信息安全问题也很严重④。随着全球网民的迅速增加，网络上个人信息泄露的事件层出不穷⑤。商业个人信息的交易主要有两种方式，一种方式是公司之间相互交换个人信息，另外一种方式是个人信息的买卖，商家将自己所掌握的个人信息明码标价，公开出售给信息需求者。个人信息频遭泄露，意味着个人信息不再只是人格要素，而是成为具有商业利用价值的社会资源。

从最高层次来讲，信息安全关系到国家的安全。2013年“棱镜门”曝光了美国政府对全球的监控计划⑥，信息安全成为信息时代国家总体安全的基石。因此，中国共产党十六届四中全会已将信息安全列入国家安全的四大重要组成部分之一。

网络上个人信息的泄露带来的影响，对个人而言，影响个人生活安宁，损害个人人格尊严;对社会而言，容易诱发大量的欺诈刑事案件，影响社会安定;从国家层面，还会对国家安全造成威胁。尽管如此，信息资源的流通是市场经济的必然要求。有学者断言:“个人信息已经成为现代商业和政府运行的基础动力”［3］。

信息的流通与再利用既可以对广大消费者开展合法的精准营销、客户管理，也可以从事非法的金融诈骗、身份窃取等。关键是立法者如何通过法律配置，在不侵犯个人的人格尊严基础上，促进信息资源的合理、畅通的流动。

(二)个人信息进行私法规制的必要性

个人信息立法已经被国家提上议事日程，国务院信息办委托周汉华先生领衔起草的《中华人民共和国个人信息保护法》(专家建议稿)，其中大部分的内容为行政法法律规范，其《立法研究报告》直接将个人信息权利归纳为一种“新型的公法权利种类”［4］。还有部分学者认为，在公共行政领域中，关键的是要处理好政府信息公开与个人信息保护的问题，特别是协调好公民知情权与个人信息权之间的冲突［5］。行政法规范只能规定行政部门保管个人信息的职责，但实践中大量涌现的私人侵害个人信息的行为应当通过私法进行规制，尤其是当个人信息进入市场流通时，如果离开民法的规范与调整，则无法建立良好的个人信息流通市场，也不利于个人信息的保护。正如英国的信息保护登记官所言，“信息保护立法，是民事权利立法。”［6］

虽然个人信息也承载着公共利益和公共安全，但其本质上是一种私益，只有尊重信息主体的权益，对个人信息提供充分的私权保护，才会鼓励主体对个人信息进行积极利用，形成信息收集、利用的良好秩序。只有确认个人信息的私权性质，才能为信息收集者、控制者、利用者设定相应的义务，并进而强化其私法保护。虽然《刑法》已经对非法出售个人信息罪等罪名作出了明确规定，《网络信息保护决定》也对侵害个人信息所应承担的行政责任也有相应的规定，但是现行法律对平等主体之间侵害个人信息的民事责任尚未作出规定。此外，实践中个人信息泄露、滥用都表现出轻微损害和大规模损害的特点，尚不构成刑事责任，而权利人也不愿意花费较多的人力、财力去向侵害人主张赔偿，只有确认私法中的个人信息权，才有利于鼓励信息主体积极主张自己的合法权益。

个人信息权的私法规制主要有两个层面的内容:从静态的角度来看，个人信息私法规制强调个人信息的人格利益，未经信息主体同意任何人不能随意地获得、公开或者使用他人的个人信息;从动态的角度看，个人信息私法规制强调当事人可以依据许可使用合同等方式来积极支配和利用个人信息，从而实现信息资源的流通。

(三)我国个人信息私法规制的现状及不足

我国现有法律文件对个人信息的规制多表现为公法规范，《中华人民共和国统计法》、《中华人民共和国居民身份证法》、《中华人民共和国护照法》均从公法角度对个人信息进行规范和保护，而且只针对部分信息予以保护，不具有普适性。此外，还有《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《全国人民代表大会常务委员会关于维护互联网安全的决定》、《互联网信息服务管理办法》、《计算机信息网络国际联网安全保护管理办法》等网络领域的个人信息保护规定。《网络信息保护决定》虽然提到了个人信息保护，但未对个人信息权的性质进行定位，因而，侵害个人信息究竟属于侵害何种权利，及能否适用精神损害赔偿等问题，都无法在该法中予以明确。真正私法意义上的个人信息保护法规仅见于《中华人民共和国侵权责任法》。《中华人民共和国侵权责任法》第2 条:“侵害民事权益，应当依照本法承担侵权责任。本法所称民事权益，包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。”本条是关于《侵权责任法》保护的法益范围的规定，个人信息是主体的合法权益，应当受到《侵权责任法》的保护。依据《中华人民共和国侵权责任法》第36 条的规定，网络用户和网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。《中华人民共和国侵权责任法》第62 条规定，“医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料，造成患者损害的，应当承担侵权责任。”

综上，我国个人信息私法规制表现出来的不足主要表现在:第一，缺乏对个人信息的私权确认。由于没有对个人信息的人格要素和财产要素进行确认，自然也缺乏对信息控制者和利用者的义务的明确规定，更缺乏侵害行为所承当的法律后果的规定。第二，侵权责任法对个人信息侵害的适用范围太窄，仅限于网络服务提供者责任和医疗机构责任，对实践中出现的各种非法收集、泄露、处理个人信息的行为没有规定。第三，缺乏信息主体对个人信息积极利用的规范，没有规定信息许可使用合同以及相应的合同责任，不利于鼓励个人信息的合理流通。第四，这些极为有限的立法大多是原则性规定，缺乏可操作性，无法有效地保护信息主体的权利。

二、人格权法的规制

个人信息是信息主体人格的组成要素，通过人格权法规定个人信息权，将其定位为一种民事权利，既赋予信息主体积极利用个人信息的权利，同时禁止行政机关及企事业单位非法收集、利用个人信息的行为，从而保护个人信息权。

(一)个人信息权是一种独立的人格权

在信息社会，人的静态信息和动态信息构成一个相对全面的信息化外观，在社会生活中体现出来的信息或数据为基础的个人公共形象被用来作为该个人的代号［7］。无论人的生物信息，还是社会文化信息，其存在首先对于人格尊严、自我认同具有重要意义，因此个人信息蕴含着人格利益。在信息强势的社会中，将个人信息权作为一种独立的人格权予以规定，承认个人信息主体对个人信息的全面支配权和排除他人非法干涉的权利。通常认为，个人信息保护以保障人格权为核心，包括消极面的个人信息不受侵犯和积极面的个人信息自我决定权［8］，齐爱民先生也持类似的观点⑦。个人信息人格权包括个人信息决定权、个人信息知情权、个人信息更正权、个人信息封存权、个人信息收益权等内容［9］。

个人信息权作为一种独立的人格权，曾经受到不少学者的质疑。反对的观点是认为个人信息是一种隐私，个人信息可以通过隐私权进行间接保护。“通过制定隐私权法或者个人信息保护法，对侵害个人隐私的行为直接认定为侵犯隐私权的侵权行为，责令侵权行为人承担精神损害赔偿的责任。”［10］这位学者认为应当借鉴美国法中通过隐私权对个人信息进行保护的立法模式，但美国的隐私权实质就是一般人格权。而我国隐私权是作为具体人格权而存在的，其具有独立的内涵与外延，不能用隐私权替代个人信息权。个人信息权宜单独规定，不适宜附属于隐私权。

第一，客体不同。隐私承载的是精神利益，基本上与财产利益没有直接关系，而个人信息承载着人格利益与财产利益［11］。从外延上而言，隐私信息重在保护个人的秘密空间，而个人信息的概念侧重于“识别”，个人信息概念的外延远远大于隐私信息的范围［12］。前面我们提及的被泄露或者被窃取的个人信息，大量都是财产性的个人信息，如银行账号、信用卡号、购物记录、信用记录等信息，这些都无法用传统的隐私权予以保护。

第二，权能不同。隐私权是一种消极的权利，权利人受到侵害后可以请求排除妨害、消除影响、赔礼道歉等。隐私一旦被权利人主动披露，则该信息进入公共领域，不再作为隐私受到保护。而个人信息权是一种主动性的权利，权利人可以积极利用个人信息，通过许可使用合同换取个人信息的对价。美国法之所以同意隐私的积极利用形成公开权，是因为美国法传统将隐私做了扩张解释，将个人信息包含在隐私中，因而公开权主要针对的是个人信息［13］。

第三，价值理念不同。信息在信息社会已经是一种经济资源，承载着越来越多的经济价值，信息的流通与利用这无疑有助于促进经济发展，立法鼓励个人信息合理流动，信息流动取决于信息自决权的行使。因此，欧盟1995年个人信息保护指令第一条第二款主张，个人信息保护立法的价值理念不仅在于保护个人信息，还在于促进信息的自由流动。而隐私不具有经济价值，因此保护隐私是隐私立法的唯一价值理念。

只有界定个人信息权与隐私权的边界，明确个人信息权的人格权属性，才有可能为其在侵权责任法、合同法等领域的保护确立适用的前提。

(二)权利内容

第一，个人信息知情权。当事人对个人信息有知情权，德国的《联邦个人数据保护法》、西班牙的《自动处理个人数据法》均规定了这项权利。个人信息被收集前，应该得到当事人的同意，保障信息主体有权知道自己的相关信息。未经其同意的，个人信息不得收集。

第二，个人信息自决权。信息主体有权自主决定如何使用这些个人信息，多大的范围内披露信息。他人收集、披露个人信息，必须经过信息主体的明确授权。我国台湾地区的《个人资讯保护法》，欧盟关于个人数据保护指令，英国1984年的《数据保护法》和美国《个人隐私法》对此均有规定。

第三，个人信息安全请求权⑧。当事人有权请求个人信息的收集者和使用者采取必要、合理的保护措施，德国和英国等国家还设立了个人数据信息保护专员以保障个人信息安全请求权。安全请求权还赋予当事人在个人信息自主权遭到侵害时提起诉讼的权利，这是请求权的应有之义［14］。

第四，删除权，又被称为“被遗忘的权利”。2012年初，欧盟出台了一项有关个人信息保护的改革方案，规定民众有权要求相关机构删除有关他们的个人数据并阻止个人数据的进一步传播。这项权利被称作“被遗忘的权利”或“删除的权利”。“被遗忘的权利”使民众能及时、永久删除自己的个人信息，在相当大程度上能提升信息隐私的保护水平［15］。

任何权利都有限制，个人信息权也不例外。人格权法确认个人信息权的同时，应当规定信息主体应当遵循诚实信用原则，不得滥用权利。

三、侵权法的规制

无救济则无权利。只有明确个人信息权的救济途径，对个人信息进行综合的私法规制，才有利于全面保护个人信息权。侵权责任是他人违反法定义务不法侵害信息主体的信息权利时，应对权利人承担停止侵害、消除影响、恢复名誉、赔礼道歉、赔偿损害等侵权责任。

(一)归责原则

归责原则的确定因侵权主体、侵害事件的可控性等方面的不同而有所区别。王泽鉴教授认为，过错责任的社会价值在于:“法律必须调和‘个人自由’与‘社会安全’两个进步价值。”［16］而无过错责任对充分实现受害人的救济、减轻受害人举证责任、加重侵权人责任有重要意义。

就信息侵权主体而言，国家机关依据职责负有妥善保管个人信息的职责，因此国家机关违反法律规定，造成个人信息被非法搜集、处理、利用或者导致其他侵害行为发生的，须承担相对较重的无过错责任原则⑨。大多数国家均对国家机关采取严格的无过错责任原则。对于非国家机关，医院、邮政、银行等企业事业单位直接控制个人信息，如履行职责中知悉个人信息的国家机关及其工作人员，未尽保密义务和谨慎注意义务，实施了泄露、篡改、毁损以及出售或者非法向他人提供的行为，承担相对较重的义务。而网络服务供应商、电信运营商或其他外包商基于合同对医院、邮政、银行等企事业单位负责，因此对受害人承担相对较轻的责任［17］。齐爱民教授在其起草的建议稿中主张，“个人信息的侵权人是国家、政府等有权机关，应采取无过错责任的归责原则。反之，其归责原则应采取过错推定责任原则。”⑩

从比较法看，信息收集、处理和利用中侵犯信息主体个人信息权的归责原则，绝大多数国家和地区采用了过错责任原则。丹麦国采取的是过错推定，只有在主管者举证其尽到了合理注意义务才可以免责，举证责任分配比较倾向于保护信息主体的合法权益。瑞典的个人信息侵权行为认定标准与上述两个国家稍有区别，主观过错的判断标准似乎没有明确，将个人信息权利当作类似于生命权的绝对权利，只要违反了该法并造成了损害后果即认为侵权，违反法律即视为主观过错，应当承担侵权赔偿责任。⑪

(二)侵害个人信息侵权行为的类型

第一，主要侵害信息主体人格权益的行为。这类侵权行为指违反法律规定，非法获取、向他人非法提供、非法篡改、非法毁损、丢失个人信息、非法泄露个人信息、违法发送电子信息侵扰生活安宁的行为，其侵权行为主体主要是网络服务提供者、保险公司、电信公司、金融机构、物流公司等企业单位，以及有保管个人信息职责的档案部门、学校、医院等国家机关及事业单位，例如公安交警部门公布电子执法获取的驾驶员违章同时涉及隐私的不雅照的侵权行为［18］。

第二，同时侵害信息主体人格权益和财产权益的行为。主要指未经信息主体同意，非法出售个人信息以谋取私利的行为。这种行为既包括非法获取个人信息并予以出售的行为，也包括有权获取公民个人信息的非法出售行为。

(三)赔偿范围

个人信息权受到侵害会导致信息主体人格尊严和信息自决权的侵害，给主体带来主观精神上的创伤。依据传统民法理论，人格权受到损害，可以通过精神损害赔偿金加以弥补，填补受害人的精神损害。但精神损害赔偿金无法通过物质进行衡量，因此个人信息保护法可以适用定额赔偿制度，同时运用侵权损害赔偿法计算高出法定赔偿额的部分，当事人应该承担高出法定赔偿额部分损害的证明责任。

擅自披露和非法使用个人信息的行为，不仅给受害人带来不可预计的无形损害，还违反了社会整体利益，尤其是在网络环境下。同时，对社会整体的信赖机制也带来不利影响，因此需要通过惩罚性赔偿制度对个人信息侵权行为苛加更为严重的赔偿责任，填补受害人遭受的有形损害以外的无形损害［19］，惩罚性赔偿制度能够激励受害人主张权利。

四、合同法的规制

个人信息主体享有信息自决权，有权决定信息的流通与否。欧洲理事会协定在导言部分明确将个人信息流通作为个人信息保护的重要目标，同时，欧盟指令也作出了类似规定⑫。只有在充分尊重其信息自决权，并保障个人信息主体的人格权益和财产权益的基础上，个人信息主体才愿意更多地向社会分享其个人信息。而合同方式是尊重其个人意愿的最佳方式，既能尊重信息主体的信息自决权，又能实现从信息主体到信息控制人和信息接收人之间的信息自由流通，能有效鼓励信息主体将个人的信息参与市场流通，从而创造更多的社会效益。

(一)个人信息许可使用合同的条款

在信息披露后，信息利用人对信息享有优势地位，对信息主体的人格利益产生极大风险。我国合同法并没有关于信息使用合同的明确指引，如果当事人在合同中对信息处理主体和信息处理的范围没有清晰界定，则该合同无法保障信息主体的自决权，最终也会影响信息的良性流通。因此，合同法应当对个人信息许可使用合同进行适当的规范性引导，以期实现当事人的利益平衡。韩国《公共机关个人信息保护法》中明确规定信息利用者在信息利用合同中明确个人信息文件的持有目的、持有人名称、通常处理该信息的主体的名称。此外，个人信息进入流通后，作为人格要素仍然不能脱离信息主体。因此，个人信息的收集和利用还必须遵从诚实信用原则和公序良俗原则，必须符合特定的目的，收集和处理个人信息的目的因个人信息主体、个人信息本身的不同而有所区别，名人和普通人的个人信息收集目的显然有区别，敏感个人信息和普通个人信息的收集目的也应有所区分。对此，各国际组织及国家(地区)个人信息保护立法都有相应规定⑬。信息许可使用合同应当对上述内容做出明确约定，限制可能侵害信息主体人格权益的收集和利用行为，对可能产生的风险都应当通过合同明确约定进行规避。

(二)许可使用再转让权的限制

由于信息的无形性，信息的利用人可能对信息进行再转让，增加信息主体的人格权益被侵害的风险。尽管立法鼓励信息流通，仍应当以信息主体的信息自决权为主要价值目标。是故，许可使用合同授予的使用权并非使用人再次转让或向第三人披露的正当性基础。因此，能够再次转让或披露需要有信息主体的明确授权，只有如此，信息主体才愿意将信息资源贡献于社会，从根本上保障信息资源的流通。此时，实现了个人信息人格利益和自由流通的最佳平衡状态⑭。但是，个人信息的再次披露和使用如果是为维护社会公共利益或紧急避险则不受此限制，如我国台湾地区“个人资料保护法”有此规定⑮。个人信息的二次利用同样对个人信息主体存在侵害其人格权益的可能，如篡改信息、歪曲其个人形象。但如果个人信息的二次利用不具有对信息主体的识别性，即不可能侵害信息主体的人格利益。因此，个人信息的许可使用合同必须对个人信息的二次利用进行明确约定，信息利用人不得未经信息主体同意擅自进行侵害信息主体的二次利用，否则将承担法律责任。

(三)个人信息妥善保管义务

合同义务包括主合同义务和附随义务，个人信息合同可以在合同中明确约定个人信息的妥善保管义务，即使没有约定该项义务，个人信息的妥善保管义务也应当为附随义务。在个人信息市场交易中，如果信息主体与信息收集者、处理者、利用者之间存在合同关系，而违反约定或法定的妥善保管义务时，依据合同应对另一方承担违约责任。

综上，个人信息保护已经引起的理论界和立法者的高度重视，专家学者对于个人信息的保护问题也提出了自己意见和见解。刑法和行政法对个人信息的保护极其有限，只有通过私法的规制才能从根本上保障个人信息保护与信息流通的平衡。通过人格权法确认个人信息权，侵权责任法救济个人信息权，合同法促进信息的共享与自由流通，从而推进电子商务和电子政务的良性发展，并促进国际贸易的发展。

注释

①肖潘潘:谁动了我的个人信息——个人信息保护引起关注，读者纷纷留言讲述遭遇，人民日报/2007年/11月/16日/第010 版，据调查，90%的网友表示曾亲身遭遇个人信息被泄露，有94%的网友认为当前社会个人信息泄露问题非常严重。有79.8%的受访者表示对自己的个人信息泄露非常愤怒和无奈。

②肖潘潘:个人信息保护引起关注，读者纷纷留言讲述遭遇谁动了我的个人信息，人民日报/2007年/11月/16日/第010 版，有52.3%的网友表示，他们遭遇个人信息泄露的主要途径是”通信公司”和“网上注册”，其他依次为“房地产和物业”、“求职求学和招聘会”、“保险公司”、“商场会员卡”以及“医院病历”。更重要的是，有30%的网友表示自己的个人信息正在通过更多其他途径遭到泄露。

③韫超:傻瓜式”注册放纵个人信息“裸奔”，工人日报/2013年/5月/15日/第003 版，在注册时提醒用户可以使用手机号码作为密码，或者推荐用户使用与个人邮箱、手机绑定的方式无密码直接登录等，都增加了个人信息泄露的风险

④勤莳:智能手机越来越不安全?人民邮电/2013年/5月/13日/第004 版，DCCI 发布的《中国移动安全现状调查报告》显示，94.6%的终端用户对手机缺乏安全感，45.4%的移动终端用户没有安装手机安全软件，过半移动终端用户缺乏必要的信息安全防护措施。

⑤王浥城:在网上你其实是透明的，文汇报/2013年/5月/11日/第007 版，2011年，脸书就曾被曝光有超过1亿注册用户的个人详细信息被“泄露”到互联网上，安全技术专家和作家布鲁斯?施奈尔认为，互联网始终处于某种”监视状态”，谷歌在跟踪网络用户，脸书甚至可以跟踪非脸书用户，苹果则跟踪我们的iPhone 和iPad。

⑥http://media.people.com.cn/BIG5/n/2014/0331/c14677－24777574.html，美国当局对民众的个人隐私也进行监听。

⑦齐爱民先生认为，个人信息权是指信息主体依法对其个人信息享有的支配、控制并排除他人侵害的权利。

⑧参见英国1998年《数据保护法》，德国《联邦数据保护法》第4f，4g 条

⑨参见德国《个人资料保护法》第7 条规定:“当公务机关在本法或其他资料保护规定下，由于未经许可或不正确的个人资料自动化处理对资料本人造成损害的，公务机关有责任赔偿本人的损失，而不论其是否有过错。而对非国家机关则应当设置相对较轻的归责原则。非国家机关违反法律规定，导致个人资料遭不法搜集、处理、利用或者导致其他侵害行为发生，行为人不能证明自己没有过错的，应当承担侵权责任。”我国台湾“个人资料保护法”第29 条规定:非公务机关违反本法规定，致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者，负损害赔偿责任，但能证明其无故意或过失者，不在此限。参见丹麦《个人数据处理法》第六十九条规定:“对于违反本法的数据处理活动，主管者应赔偿任何损失。除非他证实该项损失即使通过数据处理所要求的合理努力和注意也无法避免”。

⑩齐爱民教授建议稿第31 条。

⑪参见瑞典《个人数据法》第四十八条第1 款规定:“个人数据管理者必须对其在实施个人数据处理的过程中，违反本法而导致的对被注册人的损害以及对其正直信誉的侵害做出赔偿”。

⑫欧洲理事会协定在导言部分规定:“考虑到遭受自动处理之个人数据越来越多地跨国流动，由此应当扩大对大众权利及其基本自由的保护，尤其是对隐私权的尊重;同时重申成员国无论国界而保证信息自由流通之承诺;承认必须在遵守隐私的基本价值和尊重信息在国家间自由流动两者之间达至平衡。”欧盟指出制定共同的数据保护指令的原因是:“为了消除个人数据流动中的障碍，各成员国对个人数据处理中个人的权利和自由的保护措施必须相同;各成员国对于个人权利和自由特别是隐私权，在个人数据处理过程中不同程度的保护措施可能会阻止这些数据在成员国之间的传送;这些差异因此可能对许多欧共体的经济活动形成障碍、扭曲竞争并阻止各国政府履行欧共体法律所规定的责任。”

⑬我国台湾地区“个人资料保护法”第5 条明文规定:“个人信息资料之收集、处理或利用，应当尊重当事人之权益，依诚实信用的方法为之……”。经合组织指南第9 条规定:“收集个人信息的目的应该在信息收集之前列明，并且随后的使用应限于实现这些目的，或者那些和前述目的并非不相容的目的，这些情况应当在其目的改变时列明。”

⑭经合组织指南规定:“如果不是依据第9 条载明的目的，个人数据不应该被披露和公开使用，除了(1)经过数据主体的同意;或者(2)经过法律授权。”美国1988年《录像带隐私保护法案》(TheVideo Privacy Protection Act of 1988)指出，录像带服务的提供者如果要将消费者购买或者租赁录像带的有关信息和其他第三方共享，那么必须得到消费者的同意授权。

⑮我国台湾地区“个人资料保护法”第20 条:“非公务机关对个人资料之利用，……应于收集之特定目的的必要范围内之。但有下列情形之一者，得为特定目的外利用:(1)法律明文规定。(2)为增进公共利益。(3)为免除当事人之生命、身体、自由或者财产上之紧迫危险者。(4)为防止他人权益之重大危险而有必要者。(5)公务机关或学术研究机构基于公共利益为通缉或学术研究而有必要，且资料经过提供者处理后或收集者依其揭露方式无从识别特定当事人。(6)当事人书面同意者”。

［1］李京华，公磊.“谁出卖了我的个人信息”——电信员工买卖手机个人信息案追踪［N］.团结报，2010－08－28.

［2］聂国春.保险难保个人信息安全［N］.中国消费者报，2013－04－15.

［3］Perri，The Future of Privacy，Private Life and Public Policy，London，1998:23

［4］周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告［M］.北京:法律出版社，2006:29.

［5］徐菂.论公共行政领域个人信息权的保护［J］.学术论坛，2013，(7):58.

［6］HMso.信息保护登记官第10 次年度报告，伦敦，1994，［英］戴恩·罗兰德，伊丽莎白·麦克唐纳，著.宋连斌，等译.信息技术法［M］.武汉大学出版社，2004:306.

［7］［美］艾伦，托克音顿.美国隐私法——学说、判例与立法［M］.冯建妹等，译，北京:中国民主法制出版社，2004:207.

［8］李震山.电脑处理个人资料保护法之回顾与前瞻［J］.国立中正大学法学集刊，2000，(14):40.

［9］严鸿雁.论个人信息权益的民事权利性质与立法路径——兼评《个人信息保护法(专家建议稿)》的不足［J］.情报理论与实践，2013，(4):44.

［10］梅绍祖.个人信息保护的基础性问题研究［J］.苏州大学学报:哲学社会科学版，2005，(2):29.

［11］Raham Greenleaf.Global Privacy Protection［M］.Edward Elgar Publishing，2010:105.

［12］李晓辉.信息权利研究［M］.北京:知识产权出版社，2006:118－119.