雷婉璐

【关键词】利益冲突  信息自由  私权至上  以私权保护为中心

【中图分类号】D90                         【文献标识码】A

【DOI】10.16619/j.cnki.rmltxsqy.2018.23.011

至今为止，我国学界对个人信息权的研究已有十几年，形成了值得肯定的研究成果，但个人信息保护法律关系中的利益分析一直未能引起足够的重视。十三届全国人大常委会于2018年将个人信息保护法的制定提上了立法日程。其中，个人信息保护的立法理念和价值取向问题值得研究。这个问题总体表现为信息自由利益与私权保护利益的冲突，这既是个人信息保护法律关系中的基本矛盾，也是个人信息保护法的立法困境。对此，世界各国依据不同的衡量原则和价值取向选择了不同的方案，主要形成了以美国为代表的信息自由模式和以欧盟为代表的私权至上模式。有鉴于此，本文采用比较研究的方法，对美国与欧盟有关个人信息保护的最新进展进行比较分析。在此基础上，结合我国现有的法律体系、立法传统和司法环境，提出我国应当如何处理个人信息保护与开发利用这对基本矛盾的基本构想，为个人信息保护法立法中的某些问题提供可能的解决方案。

信息自由模式

在信息自由和私权保护的利益衡量上，美国倾向于前者，从而形成了个人信息保护的信息自由模式。美国国会在进行有关个人信息保护立法时，首先考虑立法是否会产生阻碍信息自由流通或扼杀新兴产业创新和经济发展的风险，倾向于保护信息自由带来的利益。这种倾向体现在公共部门和私营部门两个方面。

美国的立法实践。美国在公共部门中有关个人信息保护的综合性法案主要是1966年的《信息自由法案》（Freedom of Information Act）和1974年的《隐私法案》（Privacy Act）。《信息自由法案》规定了在联邦层面，除商业秘密和一些明显侵犯个人隐私的政府记录之外，任何人均可获得包含个人信息的公共记录。[1]州层面对个人信息的保护则更为薄弱，有的如联邦法一样只对明显侵犯隐私的记录提供保护，有的根本没有提供隐私保护的条款。[2]这反映了美国在开放政府上的传统观念，将信息公开视作民主社会的重要标志，对信息自由流通的价值给予肯定。与《信息自由法案》相伴而生的《隐私法案》虽然是为了规范联邦政府机构收集、处理、利用个人信息的行为，但存在很大的局限性。首先，它只适用于联邦机构。其次，《隐私法案》中例外条款的广泛使用极大地削弱了其在限制联邦政府披露个人信息方面的义务，因而未能为个人信息保护提供有效的作为。如联邦政府机构向人口统计局等各种联邦政府机关进行信息披露均属无须信息主体同意的例外情况。[3]再如联邦机构通过引用“例行使用（Routine Use）”条款几乎证成了任何不经个人同意而披露信息的行为的合法性。[4]可見，美国在公共领域并没有为个人提供私权上的有力保护，以对抗公权力，而是更为重视公共记录这种信息类型的自由流通。

在私营部门，美国采用根据不同领域特别立法的“分散立法”模式。这种模式的保护范围比较狭窄，不利于企业建立其对个人信息保护的责任意识。同时，美国的公司和行业群体强烈支持通过行业自律来保护个人信息，形成了自我规制的主导模式。但是，“自我规制”经常导致消费者无法控制其个人信息而被企业滥用，且企业逐利性的不断膨胀会不断挤压个人信息的安全空间”。同时，美国在个人信息保护方面没有统一的监管与执法机构。美国最有影响力的执法机构是联邦贸易委员会（FTC），但它在性质上并不是保护个人数据的专门机构，因而只能在企业违反了《联邦贸易委员会法》第五条构成不正当或欺骗性行为时才能有所作为，故在个人信息的保护上能做的十分有限。最后，除了一些敏感信息之外，美国采用“选出制度”——只要消费者没有作出相反的意思表示即视为同意。如一般来说，美国企业在反垃圾邮件法的调整下被允许向任何人发送商业邮件，只要接收者没有选择不接受该公司的类似邮件。[5]“美国选择的选出制度虽然对信息主体不利，因为它采取的做法给信息主体科以严格的作为义务，但是此制度对信息的自由流动和有效利用有利。”[6]

美国信息自由模式的成因分析。信息自由模式的优势在于极大地促进了科技创新和经济发展，这种模式的形成主要有两个原因。第一，美国以隐私权作为个人信息保护的权利基础，个人信息值得保护的原因在于其包含的隐私价值。因此，美国只为涉及隐私内容的个人信息提供较为严厉的保护，对于一般信息则侧重于自由流通。第二，美国的宪法结构强调不受干涉的消极自由，隐私保护的重要性在于免受政府的侵害。美国政府倾向于充当守夜人的角色，尤其对经济市场，更多地依靠市场这只看不见的手自身调节。因此，企业很大程度上依靠自我规制，政府只针对特定行业进行必要监管，为个人信息的自由流通留下了很大的空间。

私权至上模式

欧盟有关个人信息保护的最新进展体现在2018年5月生效的《欧盟条例》。该条例以保护信息主体的信息权为主线，表现为典型的“私权至上”模式，这意味着欧盟在信息自由流通和私权保护二者的价值衡量中，倾向于保护信息主体个人信息权所蕴含的价值。

欧盟个人信息保护的立法实践。相比美国的分散式立法，《欧盟条例》适用于各行各业涉及的个人数据的收集、使用与处理，为个人信息权提供相对明确、统一且系统的保护。同时，欧盟要求各成员国建立统一、独立、权威的数据监管机构。[7]这体现了欧盟坚决捍卫个人信息权的明确态度，将个人信息权的保护从文本落到实处。同时，欧盟十分重视信息主体对其个人信息的控制权。《欧盟条例》第七条第1款明确指出：“处理以同意为基础，数据控制者应当能够证明数据主体已经同意处理他/她的个人数据。”“同意”必须是在自由知情的前提下作出的明确清晰的意思表示[8]，且赋予数据主体撤回权[9]，并将“同意”的证明责任施加给数据控制主体。这也意味着在个人信息的二次使用上，欧盟倾向于“选入制度”，即只有信息主体明确同意，信息处理者才可以进行相应的信息行为。这对数据控制主体提出了更高的要求，也为数据主体提供了更有力的保护。另外，《欧盟条例》第三章赋予数据主体数据更改权、被遗忘权、限制处理权、数据可携带权及拒绝权，为数据主体提供完整的权利保护;第四章和第八章通过向数据控制者、处理者施加严格的义务和责任为数据主体提供有效的救济。

欧盟私权至上模式的成因分析。美国偏重于保障信息自由，欧洲则注重保护个人权利。这种倾向基于以下三方面原因。第一，欧盟将个人信息权看作一项基本人权，个人数据保护的重要性在于对基本人权的保护，对人格尊严的尊重。因此，欧盟积极展开立法，主动承担保护公民个人信息的责任。第二，在美国，有关隐私的大部分论述主要集中在作为个体的个人利益之上，如“个性、自治、尊严、情感释放、自我评价以及人与人之间的恋爱关系、朋友关系和信任。也就是完成自我实现的个人目标”[10]。相反，欧洲国家则将隐私看作一种更广泛的社会需求。如法国在其立法目的的表述中说道：“信息技术应当为每个公民服务，它的发展应当在国际合作的背景下进行。不得侵犯人的身份、人权、隐私或个人和公共自由。”[11]这种价值不仅关乎个人，而且关乎全社会。因此，欧盟从人权保障角度出发，将对个人数据的保护看作对民主社会的维护。第三，在美国和欧洲社会，人们对权利可能受到侵犯的感知度不同，这源于它们不同的经历。美国社会（至少是大部分白人社会）缺少欧洲社会经历过的极权主义压迫经验所带来的精神创伤，这些创伤给欧洲的立法政策施加了特殊的压力和担忧。[12]这让欧洲国家在针对可能侵犯公民权利的立法上尤为谨慎。

我国个人信息立法保护的应然路径

在个人信息保护法的框架搭建上，我国应当合理借鉴欧盟的相关经验，坚持以私权保护为中心的立法原则，充分保护信息主体的信息控制权，加强信息利用主体的责任。

以私权保护为中心的立法原则。坚持以私权保护为中心的立法原则是因为以下几点。首先，个人信息权所保护的利益属于人格利益，而人格利益具有价值位阶上的普遍优先性。因此，人格利益应当置于优先保护的地位。其次，近年来，信息泄露事件不胜枚举，造成了十分严重的后果，这种现象如果不加以严厉制止，公民的人格利益、财产利益乃至公共利益都将会遭受更为严重的损害。最后，从国际贸易角度来看，无论信息业者身在何处，只要涉及对欧盟内数据主体数据的处理，就要受到《欧盟条例》的约束。我国个人信息权保护的标准如果明显低于《欧盟条例》的要求，将严重影响我国与欧盟国家之间进行的信息流通，从而影响到我国与欧盟国家间的贸易往来。

我国个人信息保护的具体措施。结合上述美欧冲突的经验，我国应当从“充分保护信息主体的信息控制权”和“加强信息利用主体责任”两个方面贯彻以私权保护为中心的立法原则。

第一，充分保护信息主体的信息控制权。我国的个人信息保护法应当保障信息主体对其信息的控制权。首先，限定“同意”的实质性构成要件，即同意应当是信息主体在知情的前提下，基于自由意志作出的清楚明确的意思表示。其次，赋予信息主体与信息控制权相关的一系列权利，包括信息保密权、信息查询权、信息更正权、信息封锁权、被遗忘权和报酬请求权等。最后，保障信息主体能够获得救济和补偿，这是信息主体能够切实享有信息权利的程序性保障。

第二，加强信息利用主体的责任。责任以法定义务为前提，个人信息保护法应当明确信息利用者应当承担的法定义务。首先，通知义务。数据处理主体应当切实保证信息主体充分知晓其信息何时被处理，由谁处理以及如何处理。更为重要的是，法律应当就通知的形式作出规定，如通知应当以尽量明显的方式作出，不应隐藏在信息主体不易察觉到的地方;是否通知及获得信息主体同意的证明责任应当施加给信息利用主体。其次，保密义务。信息利用者应当积极采用特定的信息保密技术履行保密义务，如P3P技术。再次，证明责任。应当在个人信息侵权案件中采用举证责任倒置的证明原则，由信息利用主体承担证明责任。这是因为信息泄露的主体通常为信息利用主体，信息主体本身难以获知信息泄露的时间、方式和渠道，从而很难承担个人信息被侵犯的证明责任。最后，应当明确信息利用主体违约责任或侵权责任的构成要件和承担方式，为信息主体提供切实的法律救济。

（本文系国家社科基金青年项目“国家治理体系中的边疆司法治理研究”的阶段性成果，项目编号：17CFX003）

注释

[1]5 U.S.C.§552（b）（4）（6）.

[2][4]See Paul M. S.， "Privacy and Participation： Personal Information and Public Sector Regulation in the United States"， Iowa Law Review， 1994， p. 605， p. 586.

[3]5 U.S.C.§552a（b） （4）-（12）.

[5]See Alan C.R.， The Privacy，Data Protection and Cybersecurity Law Review. Law Business Research Ltd.， 2014， p. 276.

[6]齐爱民：《个人信息开发利用与人格权保护之衡平——論我国个人信息保护法的宗旨》，《社会科学家》，2007年第2期，第9页。

[7]General Data Protection Regulation， Art.51.1 & 52.1.

[8]General Data Protection Regulation， Art.4.11.

[9]General Data Protection Regulation， Art.4.3.

[10][11]See Lee A.B.， "Privacy and Data Protection in an International Perspective"， Scandinavian Studies in Law， 2010， p. 171， p. 173.

[12]James B. R.and Graham G.， Global Privacy Protection， p. 16.

责 编∕刁 娜