我國個(gè)人信息法律保護(hù)的制度構(gòu)建

 我國目前尚未制定公民個(gè)人信息保護(hù)的專門法律，雖然有近四十部法律、三十余部法規(guī)以及近二百部規(guī)章涉及個(gè)人信息保護(hù)，然而這些規(guī)定較為分散、權(quán)責(zé)不明晰或者存在部門規(guī)章效力層級(jí)偏低等問題。2013年2月1日，我國首個(gè)“個(gè)人信息保護(hù)”的國家標(biāo)準(zhǔn)即《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（下稱《指南》）正式實(shí)施。盡管這意味著我國個(gè)人信息保護(hù)工作進(jìn)入了“有標(biāo)可依”階段，但其畢竟只是一個(gè)標(biāo)準(zhǔn)，尚缺乏法律約束力，不足以震懾違法犯罪行為。從表面上看，信息法保護(hù)的是個(gè)人信息；但實(shí)質(zhì)上，它不僅保護(hù)個(gè)人的隱私、自由和自治，事關(guān)個(gè)人人格的健全發(fā)展，它還具有重大的社會(huì)價(jià)值，關(guān)系到個(gè)人信息的公平、合理、高效流轉(zhuǎn)。資料保護(hù)的個(gè)人和社會(huì)雙重價(jià)值及資料保護(hù)問題的個(gè)人和社會(huì)雙重屬性，使得資料保護(hù)法跨越了公法與私法的界限，涉足憲法、刑法、行政法和民法等部門法。任何一部傳統(tǒng)的部門法單憑一己之力均無法完成個(gè)人信息法治化流轉(zhuǎn)的使命。這就要求制定一部專門的資料保護(hù)法，使它成為規(guī)制個(gè)人資料收集、使用、加工和散播等整個(gè)信息流轉(zhuǎn)過程的基礎(chǔ)性法律。因此，我國亟需出臺(tái)的不是針對(duì)某個(gè)領(lǐng)域、行業(yè)或某類資料處理的條例、管理辦法、指導(dǎo)意見、行為守則，也不只是對(duì)刑法、行政法和民法中涉及資料保護(hù)的部分進(jìn)行簡單的修補(bǔ)，而是憲法指導(dǎo)下的一部個(gè)人資料保護(hù) 法。[16]在這部個(gè)人信息保護(hù)法中，我們應(yīng)確立科學(xué)而嚴(yán)謹(jǐn)?shù)脑瓌t體系，明確界定個(gè)人信息法律關(guān)系的客體制度，構(gòu)建健全的個(gè)人信息權(quán)利救濟(jì)制度，從而充分保障信息主體的個(gè)人信息權(quán)。
（一） 確立個(gè)人信息保護(hù)法的基本原則
個(gè)人信息保護(hù)法基本原則體現(xiàn)了信息法的基本價(jià)值，集中反映了信息法立法的宗旨和目的，對(duì)各項(xiàng)信息法律制度和信息法規(guī)范起統(tǒng)帥和指導(dǎo)作用，也是指導(dǎo)我們立法和司法實(shí)踐活動(dòng)的基本準(zhǔn)則。學(xué)界對(duì)于個(gè)人信息保護(hù)法的基本原則進(jìn)行了較為充分的研究，大致形成了共識(shí)。[17?20]一般認(rèn)為，個(gè)人信息法的基本原則主要包括以下幾個(gè)方面，即目的明確原則、最少夠用原則、公開告知原則、個(gè)人同意原則、質(zhì)量保證原則、安全保障原則、誠信履行原則以及責(zé)任明確原則等。
（二） 明晰個(gè)人信息法律關(guān)系的客體制度
個(gè)人信息法律關(guān)系的客體，也稱個(gè)人信息權(quán)的客體，是指?jìng)€(gè)人信息法律關(guān)系中信息主體之間享有的民事權(quán)利和承擔(dān)的民事義務(wù)所共同指向的對(duì)象。具體地說，個(gè)人信息法律關(guān)系的客體指的就是信息主體的個(gè)人信息。當(dāng)前，在個(gè)人信息的定義上，有概括型、概括列舉型和識(shí)別型三種模式。概括型定義就是單獨(dú)使用概括的方法描述個(gè)人信息的定義方式，列舉型是單獨(dú)使用列舉的方法界定個(gè)人信息的定義模式。單獨(dú)使用列舉型定義的立法十分少見，而大部分采取混合型定義模式或者概括型定義模式。識(shí)別型模式就是以識(shí)別為核心要素對(duì)個(gè)人信息進(jìn)行界定的定義方式。相比較而言，識(shí)別型定義是目前國際和國內(nèi)立法采用較多的個(gè)人信息定義方式。[21]（109）盡管《指南》對(duì)“個(gè)人信息”進(jìn)行了定義，但其僅僅局限于“計(jì)算機(jī)數(shù)據(jù)”，并不具有高度涵蓋性，從而缺乏普適性。筆者認(rèn)為，我們可以在參考《侵權(quán)責(zé)任法》第2條第2款立法模式的基礎(chǔ)上采取識(shí)別型定義法，即我國《個(gè)人信息保護(hù)法》中所講的“個(gè)人信息”是指“自然人姓名、出生日期、身份證號(hào)碼、健康狀況、基因、指紋、婚姻家庭、教育、職業(yè)、醫(yī)療、聯(lián)絡(luò)方式、財(cái)務(wù)情況、社會(huì)活動(dòng)以及護(hù)照號(hào)碼等能以直接或間接方式識(shí)別該個(gè)人的信息?！?需要指出的是，《指南》將個(gè)人信息進(jìn)一步區(qū)分為個(gè)人敏感信息（personal sensitive information）和個(gè)人一般信息（personal general information）。
一般來說，國際上對(duì)個(gè)人敏感信息大致有三種立法體制。一是列舉法。歐盟《數(shù)據(jù)保護(hù)指令》第8條第1款對(duì)個(gè)人敏感數(shù)據(jù)采取了列舉式立法體制。例如該條規(guī)定，敏感數(shù)據(jù)（sensitive data）是指“表明種族或民族、政治觀點(diǎn)、宗教或哲學(xué)信仰、工會(huì)會(huì)員以及有關(guān)健康或性生活資料處理的個(gè)人數(shù)據(jù)”。列舉法的優(yōu)點(diǎn)是簡單明了，但其無法窮盡個(gè)人敏感信息的所有客體。二是目的法。目的法關(guān)注的是處理個(gè)人信息的目的，它是2005年歐洲理事會(huì)在其一份“信息自決權(quán)”報(bào)告中提出的一個(gè)概念。采用目的法能有效降低成本效 益——減少數(shù)據(jù)保護(hù)機(jī)構(gòu)的行政負(fù)擔(dān)。其缺點(diǎn)也是明顯的，即由哪一個(gè)機(jī)構(gòu)來認(rèn)定信息的敏感性；無論是基于主觀標(biāo)準(zhǔn)抑或是客觀標(biāo)準(zhǔn)，隨意性都比較大。[22] 三是情境法。情境法是指根據(jù)數(shù)據(jù)的背景或者內(nèi)容來判斷個(gè)人信息是否具有敏感性。我國采取的就是這種模式，例如《指南》規(guī)定，“各行業(yè)個(gè)人敏感信息的具體內(nèi)容根據(jù)接受服務(wù)的個(gè)人信息主體意愿和各自業(yè)務(wù)特點(diǎn)確定”。從理論上講，情境法是一種很靈活的方法，但采取這種立法模式將很大程度上導(dǎo)致對(duì)敏感信息的認(rèn)定具有不確定性，因?yàn)椤懊舾行浴钡呐袛鄻?biāo)準(zhǔn)并不受法律條款本身的限制。[23]進(jìn)言之，敏感信息可能涵蓋任何信息或數(shù)據(jù)，從而使得敏感信息的外延被無限擴(kuò)大了。
正是基于前述的原因和理由，敏感數(shù)據(jù)（信息）和非敏感數(shù)據(jù)的區(qū)分法一直以來就受到學(xué)界的廣泛批評(píng)。同時(shí)，隨著互聯(lián)網(wǎng)的迅猛發(fā)展，個(gè)人敏感信息與個(gè)人一般信息之間的區(qū)別變得越來越模糊。從歐盟數(shù)據(jù)指令和德國、瑞典及英國等國家數(shù)據(jù)保護(hù)法的適用來分析，在網(wǎng)絡(luò)環(huán)境下，將個(gè)人敏感信息與個(gè)人一般信息區(qū)分開來是一個(gè)很大的挑戰(zhàn)，效果也不甚理 想。[22]筆者認(rèn)為，我國未來的“個(gè)人信息保護(hù)法”是否有必要進(jìn)一步區(qū)分個(gè)人敏感信息與個(gè)人一般信息，值得進(jìn)一步研究。
（三） 構(gòu)建健全的個(gè)人信息權(quán)利救濟(jì)制度
與個(gè)人信息安全相關(guān)的核心問題是商業(yè)活動(dòng)和政府行為。我們需要重構(gòu)個(gè)人信息權(quán)與企業(yè)及政府的關(guān)系，也就是說，當(dāng)企業(yè)及政府機(jī)構(gòu)收集、處理或利用我們的個(gè)人信息時(shí)，它們?cè)鯓訉?duì)待我們，這是我們需要嚴(yán)肅思考的問題。目前，個(gè)人信息的采集者和使用者往往對(duì)我們不負(fù)責(zé)任。個(gè)人信息遭到收集和使用，然而我們根本就不知道也無力掌控這些信息的安全性。對(duì)于收集和利用我們個(gè)人信息資料的公司企業(yè)須在多大程度上對(duì)我們承擔(dān)責(zé)任，令人吃驚的是，法律竟然沒有明確規(guī)定。[6]毋庸置疑，“無救濟(jì)則無權(quán)利”。如果要使信息主體的合法權(quán)益得到有效的法律保護(hù)，那么個(gè)人信息保護(hù)法中就應(yīng)該明確規(guī)定對(duì)信息主體權(quán)利的相關(guān)救濟(jì)制度。
首先，歸責(zé)原則的確定。一方面，國家機(jī)關(guān)違反法律規(guī)定，導(dǎo)致個(gè)人信息遭到非法收集、處理、利用或者導(dǎo)致其他侵害行為發(fā)生的，應(yīng)該承擔(dān)無過錯(cuò)責(zé)任。很多國家或地區(qū)的法律都進(jìn)行了類似的規(guī)定。例如，德國《聯(lián)邦資料保護(hù)法》第7條規(guī)定：“當(dāng)公務(wù)機(jī)關(guān)在本法或其他資料保護(hù)規(guī)定下，由于未經(jīng)許可或不正確的個(gè)人資料自動(dòng)化處理對(duì)資料本人造成損害的，公務(wù)機(jī)關(guān)有責(zé)任賠償本人的損失，而不論其是否有過錯(cuò)。”另一方面，對(duì)于非國家機(jī)關(guān)違反法律規(guī)定，導(dǎo)致個(gè)人資料遭到非法搜集、處理、利用或者導(dǎo)致其他侵害行為發(fā)生，行為人不能證明自己沒有過錯(cuò)的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。申言之，非國家機(jī)關(guān)對(duì)其民事侵權(quán)行為導(dǎo)致?lián)p害后果發(fā)生的，應(yīng)承擔(dān)過錯(cuò)責(zé)任。以我國臺(tái)灣“個(gè)人資料保護(hù)法”為例。該法第29條規(guī)定：“非公務(wù)機(jī)關(guān)違反本法規(guī)定，致個(gè)人資料遭不法搜集、處理、利用或其他侵害當(dāng)事人權(quán)利者，負(fù)損害賠償責(zé)任。但能證明其無故意或過失者，不在此限。”
其次，損害賠償額的計(jì)算方法。盡管我國《侵權(quán)責(zé)任法》第20條對(duì)侵害他人人身權(quán)益造成財(cái)產(chǎn)損失的損害賠償制度進(jìn)行了較為詳盡的規(guī)定，但現(xiàn)實(shí)生活中，針對(duì)個(gè)人信息權(quán)的侵害，往往很難確定具體的損害賠償數(shù)額。因此，個(gè)人信息保護(hù)法往往通過定額賠償制度來計(jì)算損害，但計(jì)算機(jī)處理個(gè)人信息的規(guī)模宏大，由于限定了最高額賠償，可能使得一些超過了最高賠償額的損害無法得到賠償。在此情況下，應(yīng)允許當(dāng)事人依據(jù)民法主張賠償全部損害。[21]（184）
最后，精神損害賠償?shù)奶岢?。?shí)踐中，個(gè)人信息經(jīng)常被濫用，進(jìn)而發(fā)生身份盜用、詐騙、跟蹤、不正當(dāng)營銷活動(dòng)以及對(duì)信息主體進(jìn)行監(jiān)視等。這些濫用行為將會(huì)導(dǎo)致一些實(shí)質(zhì)性損害的發(fā)生，例如經(jīng)濟(jì)上的損失、情緒困擾，甚至身體暴力等。尤其是，身份盜用對(duì)于受害人而言簡直就是一場(chǎng)夢(mèng)靨。犯罪分子通過使用受害人的個(gè)人信息獲得貸款，公開詐騙賬戶，侵占受害人賬戶中的財(cái)產(chǎn)。當(dāng)身份盜用發(fā)生之后，受害者的個(gè)人檔案因?yàn)殄e(cuò)誤信息而被玷污——債務(wù)未清償、交通違法，逮捕以及其他令其名聲掃地的數(shù)據(jù)。因?yàn)榉缸锓肿颖I用受害人的個(gè)人信息，執(zhí)法數(shù)據(jù)庫有時(shí)將受害者的名字與盜用者的犯罪活動(dòng)聯(lián)系起來。[11]前述侵權(quán)行為不僅給權(quán)利人造成了財(cái)產(chǎn)損失，也會(huì)導(dǎo)致精神損害。對(duì)此，我國《侵權(quán)責(zé)任法》第22條明確規(guī)定，侵害他人人身權(quán)益，造成他人嚴(yán)重精神損害的，被侵權(quán)人可以請(qǐng)求精神損害賠償。筆者認(rèn)為，當(dāng)義務(wù)主體違反法律規(guī)定，導(dǎo)致個(gè)人信息遭到非法采集、處理、利用或者導(dǎo)致其他侵害情形的發(fā)生，造成信息主體嚴(yán)重精神損害的，被侵權(quán)人可以依法請(qǐng)求精神損害賠償。