法治进程中个人信息法律保护研究

1 内容摘要 进入网络信息化时代， “信息就是金钱” ，信息交易已经成为信息产业的重要组成部分。 而个人信息则是信息产业的发展基础。我国政府及其他信息处理机构掌握 了大量个人信息，这是个人信息泄露、扭曲和误用的隐患，是个 人隐私权保护的盲点。目前，学术界对个人信息保护的研究尚在 初始阶段，公民对个人信息保护的意识还不强，且无专门立法对 信息本人的利益和信息使用者的行为予以规范，导致侵害个人信 息权益事件经常发生，这是我国社会主义法治建设进程中的明显短板。 为了有效保护个人利益、有效利用信息资源、促进我国电子 商务和电子政务健康发展、保障我国企业顺利从事国际投资和贸 易、促进政府信息公开制度的确立和完善，必须尽快制定个人信 息保护制度。本文在择要考察国外的个人信息保护立法基础上， 将个人信息保护置于我国的法治进程中做动态研究，提出相应的 解决思路和加强个人信息保护的立法对策。 本文分为六部分。第一部分是引言，简要阐述选题背景、选题意义和研究方法。第二部分是对 个人信息的基本概念的梳理，通过相关概念的辨析，对个人信息 的内涵与外延做出界定，总结出个人信息的特征，并具体分析个 人信息的各种分类，以获得对个人信息的全面理解。第三部分探 讨个人信息保护与法治建设进程的关系，法治理论为个人信息保 护提供了理论支撑，个人信息保护则是法治社会的必然要求。第 四部分概括分析国内个人信息保护现状，通过一些数据资料和案 例，论述了个人信息保护的进展、存在的缺陷与不足，并对产生 问题的原因进行了分析。第五部分是比较分析，在立法宗旨、立 法模式、立法基本原则、行业自律等方面比较分析了德国、美国 、日本的个人信息保护制度， 2 为我国个人信息保护提供了经验和 启示。第六部分结合推进我国法治进程的客观要求，对如何完善个人信息保护提出若干构想。 关键词 ：法治进程 个人信息 保护制度 借鉴与完善 n “is of an of a of of of so it is of At of in is at of is is no to s to of to of of is a in of of in to s in of be as as 1 in of of to is is of of of of to of of of of of of of of is an of a of of of of is It in of of 2 a of of of to of of of of 录 一、引 言. 1 （一）选题背景 . 1 （二）选题意义 . 2 （三）研究方法 . 3 二、个人信息的概念、特征、分类. 4 （一）个人信息的概念 . 4 （二）个人信息的特征 . 10 （三）个人信息的分类 . 13 三、法治建设的进步与个人信息保护. 16 （一）个人信息保护的法治基础 . 16 （二）个人信息保护是法治社会的必然要求 . 20 四、我国个人信息的保护现状及主要问题. 23 （一）我国个人信息立法保护现状 . 23 （二）我国法律关于个人信息保护的规定揽要 . 28 （三）个人信息保护存在的主要问题 . 35 五、国外个人信息保护立法的经验和借鉴. 42 （一）德国有关个人信息保护的立法经验 . 42 （二）美国有关个信息保护的立法经验 . 46 （三）日本有关个人信息保护的立法经验 . 49 （四）各国的立法特点及对我国的启示 . 52 六、完善我国个人信息保护的建议. 57 （一）完善立法，构建个人信息保护法律机制 . 57 （二）加强管理，强化政府监管和行业自律建设 . 62 （三）加强教育，强化个人信息保护意识 . 65 （四）加大技术保护，增强个人信息保护的技术能力 . 66 结 语. 68 1 一、引 言 （一）选题背景 建国 60 多年，特别是改革开放 30 多年来，我国的法治建设取得了巨大成就，确立了依法治国 基本方略，中国共产党依法执政能力显著增强，以宪法为核心的 中国特色社会主义法律体系已经形成，人权得到可靠的法制保障 ，促进经济发展与社会和谐的法治环境不断改善，依法行政和公 正司法水平不断提高，对权力的制约和监督得到加强。这对中国特色社会主义法律体系的形成具有重大的现实意义和深远的历史 意义，是我国社会主义民主法制建设史上的重要里程碑，是中国 特色社会主义制度逐步走向成熟的重要标志。然而在看到成绩的 同时也应看到，在建设中国特色的社会主义法治进程中也存在诸多问题，需要进一步完善。 个人信息的法律保护是近年来世界上许多国家和地区关注的重点立法领域，目前全世界确立了 个人信息保护制度的国家、地区以及国际组织为数不少，尤以欧 盟立法为最。现代社会中，之所以要对个人信息加以保护，主要 是因为，通过对各种个人信息的结合将可以识别出个体的整体形 象，进而导致他人知悉该个体不愿为他人所知的个人私事，甚至 因此控制和支配该个体或作出伤害该个体人格的行为，或者使得 该信息主体的生活处处受到牵制，这不符合社会主义法治建设下 越来越追求个人权利的基本要求。我国虽然先后颁布了一些法律 规范规制对个人信息侵害的行为， 但总体上个人信息的法律保护仍处于 “裸状态” ， 现实生活中，参见中华人民共和国国务院新闻办公室： 中国的法治建设 ， 法制日报 2008 年 2月 29 日第 5 版。 2 个人数据在未经本人同意的情况下 被非法利用和篡改而导致个人隐私被泄露、人身受到伤害的案例 时有发生。鉴于此，我们亟需借鉴国际上先进的立法经验， 结合我国国情制定一部完善的法律，建立起我国自己的个人信息保护机 制，从完善立法、加强政府监管和行业自律、培养公民个人信息 保护意识、加大技术保护等方面来全面保护个人信息。 （二）选题意义 探讨个人信息的法律保护具有非常重要的现实意义。在观念层面，学界还没有像探讨隐私权那 样给予个人信息权利足够的关注，更谈不上形成系统的个人信息 权利体系，这给立法带来了理论基础的缺憾。在立法层面，我国 对于个人信息的保护只存在于一些零散的规范中，没有形成系统 的规定个人信息的立法，也并没有在任何部门法上确立个人信息保护的确切依据。 在司法层面，尚没有相关的司法规范依据和程序 规定。实践中，公权力对个人信息的侵犯尤其突出，尚没有一种 途径可以比依据法律规范来规制政府的方式更加有力了，因此确 立个人信息的法律保护，不仅有利于保障个人信息权，顺应国际 人权保护的潮流；也有利于促进政府职能转变，建设法治政府， 这也是我国法治进程的重要组成部分。 对于个人信息的法律保护的研究， 具有非常重要的理论价值。个人信息的界定，个人信息权的内 容，个人信息权利的属性，个人信息法律保护的法治基础是什么 ，这些问题都是鲜有探讨或者讨论未深的课题。但若要研究个人 信息的法律保护，这些都是必须解决的现实问题。本文试图从法 治进程中的个人信息法律保护 3 角度去研究，一方面，可以直接对 个人信息的研究作出贡献，从而丰富个人信息法律保护的理论基 础；另一方面，又可以为制定个人信息保护法提供理论支持。通 过对立法宗旨、立法原则、立法模式等立法问题的研究和分析， 起到理论先导的作用，从而推动我国的相关专项立法。 （三）研究方法 本文在广泛研读专家学者们已有的对于个人信息法律保护研究成果的基础上，以个人信息保护 为视角，综合运用法理学、民法学和行政法等相关学科的最新研 究成果，采用比较分析、价值分析、实证研究与规范研究等多种 研究方法进行个人信息法律保护的研究。首先，运用比较分析的 方法，通过归纳专家学者对于个人信息基础问题的观点，分析其 优缺点，进而对个人信息的概念作出界定。其次，运用价值分析 的方法，通过对个人信息与法制建设进程的关系尝试性探讨，体 现出个人信息保护在法治进程中的必要性。再次，运用实证研究 与规范研究相结合的方法。通过立法调研与个案分析，指出我国 个人信息法律保护的现状及法律保护的缺失，并进行详细的原因 剖析，以在建构我国的个人信息法律保护体系的思考中可以对症 下药。最后，运用比较分析和实证研究的方法， 分析国外个人信息保护发展的过程和具体内容，吸收各国个人信息法律保护的经验 ，摸索其中具有规律性的价值和结论，从而为构建中国的个人信息保护体制提供启发。 4 二、个人信息的概念、特征、分类 （一）个人信息的概念 1、个人信息的称谓 一般认为，个人信息是一种观念上的抽象。对于个人信息的定义、个人信息的具体内容，以及 个人信息的保护范围等问题，目前国内外学术界尚未达成共识。 从各国的立法实践看，对“个人信息”名称的使用与保护的范围 就没有得到统一的认识。目前全球已经有 50 多个国家和地区制定和颁布了个人信息保护的法律、法规。各国（地区）在法律中 对个人信息的称谓并不统一，主要称谓有： “个人信息” 、“个人资料” 、“个人隐私” 、“个人数据” 。 第一种是在立法中采用“个人数据”称谓。主要有：欧洲议会部长委员会制定的 有关个人数据自动化处分的个人保护协定（ 简称 欧洲议会公约 ， 1981年） 、 关于个人数据处分所涉及的个人保护和该数据自由流动的1995 年 10 月 24 日欧洲议会和委员会 95/46/令 （ 46/EC of of 4 995 on to on of 简称欧盟95 指令， 1995 年） 、荷兰的个人数据保护法 （ 1995 年） 、奥地利联邦的个人数据保护法 （ 1999 年） 、丹麦的个人数据处分法 （ 2000 年）等。 第二种是在立法中采用“个人资料”称谓。主要有：瑞典的资料法 （ 1973 年） 、德国的联邦资料保护法 （ 1977 年） 、联 5 合国大会通过的关于自动资料档案 中个人资料的指南（ 称联合国指南， 1990 年） 、香港的个人资料条例 （ 1996 年）等；采用“个人隐私”称谓的立法主要有：美国的隐私权法 （ 1974年） 、加拿大的隐私权法 （ 1987 年） 、澳大利亚的隐私权法（ 1988 年） 、亚太经济合作组织（ 称 私保护框架 （ 2004 年）等；采用“个人信息”称谓的立法 主要有：韩国的公共机关个人信息保护法 （ 1994 年）和日本的个人信息保护法 （ 2003年）等。 第三种是在立法中采用“个人数据”和“个人隐私”两种称谓。主要有：经济合作与发展组织（ 称 关于隐私保护和个人数据跨疆界流动的指导原则 （ 1980 年） 、比利时关于个人数据处分的隐私权利保护法 （ 1999 年）等。 2、个人信息的定义 关于个人信息的定义，目前在学术界主要有概括型、列举型、混合型和识别型四种模式。此外， 学术界还有两种定义模式较为典型，即关联型和隐私型。具体有： （ 1）概括型。概括型就是通过单独的对个人信息进行概括的方式下定义。德国法采取的就是这种概括型的定义方式。 德国资料保护法第 2 条规定，个人资料是指“凡涉及特定或可得特定的自然人的所有属人或属事的个人资料。 ” （ 2）列举型。列举型是把个人信息的主要内容通过列举的方法界定个人信息的定义模式。我国互联网信息中心（ 第 16 次中国互联网络发展状况调查统计报告 曾经给个人信息作出界定： “所谓个人数据信息，即指姓名、年龄、通讯地址、血 6 型、种族等，还应包括个人的背景 资料如文化程度、爱好、职业等。 ” （ 3）混合型。混合型是一种将概括型和列举型相结合的定义模式。单独使用概括型和列举型的 定义比较少，许多国家对个人信息定义多采用混合型的定义方式 ，即既有对个人信息总体的概括，又有关于个人信息涵盖内容的 具体列举。我国台湾地区采用的就是概括与列举并重的混合定义模式。“台湾资料法” 第 3 条规定， “个人资料指自然人之性命、出生年月日、身份证统一编号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务状况、社会活动等足资识别该个人之资料。 ” （ 4）识别型。识别型就是对个人信息核心要素“识别”进行界定的定义方式。识别型定义是目 前国内外立法中较多采用的个人信息定义模式。按照这种模式， 个人信息是指可以直接或间接识别出信息主体的各种信息，包括信息主体的姓名、年龄、性别、血型、身体状况、职业、生日、经历等。 （ 5）关联型。关联型定义从个人信息与信息本人的关联性出发，认为凡是与个人有关联的信息 都应被认定为是个人信息。我国台湾学者范江真微认为， “所谓个人信息， 包括人之内心、 身体、身份、地位及其他关于个人之一切 事项之事实、判断、评价等之所有信息在内。换言之，有关个人 信息并不仅限于个人之人格或私生活有关者，个人之社会文化活动、为团体组织中成员之活动，及其他与个人有关联性之信息，全部包括在内” 。（ 6）隐私型。隐私型定义将个人信息与个人隐私等同，凡是与个人隐私相关的信息才能构成个人信息。 美国 授认为：“个人信息是指社会中多数所不愿向外透漏者 (除了对家人、 朋友等之外 )；或者是个人极敏感而不愿他人知道者 (如多数人不在意范江真微： “政府信息公开与个人隐私之保护” ，载法令月刊第 52 卷，第 5 期。 7 他人知道自己的身高，但有人则对 其身高极为敏感，不欲外人知道 )” 。笔者认为，对个人信息的定义采用识别说更为合适。关联型和概括型的定义模式将凡与个人相 关的信息都关的信息都包括其中而未免失之过宽，容易出现法规 的竞合，对信息主体的权利保护也不够明确。而采用列举式的定 义方式，又不免使之过窄，将应由法律保护的部分个人信息排除 在保护的范围之外，因为仅仅通过列举方式的定义不可能把所有 的个人信息都涵盖其中，并且随着社会的发展，各种新型的个人 信息也会随之产生，不利于保护信息主体的合法权益。隐私型将 个人信息与隐私等同，混淆了个人信息与隐私之间的关系。识别 说兼顾了各种对个人信息定义学说的优点，既能避免将不必要的 信息纳入个人信息保护范畴，也防止将一些重要信息排除在个人 信息的保护范围之外。个人信息的概念在所有时期并不是一成不 变的，传统的个人信息概念会随着时代的不断发展而发生变化。 然而，识别作为界定个人信息的核心法律要素，即个人信息的自 然人识别功能都不会因为任何的年代更改而褪色。因此，在笔者 看来，对个人信息的概念界定应采用识别说，即个人信息是指能 够直接或间接识别自然人本人的各种信息，这些个人信息与信息 本人存在某一客观确定的可能性。 2、个人信息与相关概念的辨析 （ 1）个人信息与个人隐私 1890 年，两位著名的美国法学家沃伦和布兰蒂丝发表了论隐私权一文，第一次提出了隐私权的概念。从此， “隐私”和“隐私权”成为近百年来法学家们格外 关注的一个法学领域之一。学界对于个人隐私的定义众说纷纭。 有学者认为，隐私就是指不愿陈起行： “信息隐私权法理探讨以美国法为中心” ，载政大法律评论 2000年第 64 期。 8 告人的或不愿公开的个人的事情， 或者说与公共利益无关的个人私生活秘密方面的事宜； 隐私是指公民的私人生活安宁不受他人非法干扰，私人信息不受他人非法搜集、刺探和公开等；隐私权，是指公民享有的私人生活安宁和私 人信息受到法律保护，不被他人非法侵扰、知悉、搜集、利用和公开等的一种人格权；隐私权是个人不愿为他人所知和干涉的私 人生活，其内容应该包括三个方面：个人信息的保密、个人生活 的不受干扰和个人私事决定的自由。由此可见，个人隐私主要是指那些不愿公开的私密的个人信息。 尽管“隐私”一词源于美国，但美国的相关立法并没有对个人隐私的概念作出明确的界定。美 国有些制定法对特定的信息隐私予以规定，但更多的依靠普通法 实现对个人隐私的保护，法官对此具有相当大的裁量权。各国不 同的历史文化以及法律传统造成了对个人隐私认识的千差万别。 而对个人隐私理解的差异，导致各国对隐私权保护方式的不同。 大陆法系国家传统上没有个人隐私的概念，对于美国法上的个人 隐私所涉及的范围，系由民法体系中的“人格权”予以保护，即 将个人隐私作为非物质性人格权不可分割的部分予以保护。例如 ，德国采用间接保护方式。德国不承认隐私权是一种独立的民事 权利，而将其作为人格权下的某种权益，当个人隐私受到侵害时 ，只能通过名誉权或其他的人格权请求法律救济。还有些国家采 取概括保护方式，如日本只是在法律中笼统地规定保护人格独立 和人格尊严，而在判例中保护个人隐私。而英美法系承认个人隐 私是一项独立的人格权，对个人隐私采用直接保护的方式，如在美国，当个人隐私受到侵害时，受害人可以以侵犯隐私权为由直接 提起诉讼。英美法系中对个人梅绍祖： “个人信息保护的基础性问题研究“，载苏州大学学报哲学社会科学版，2005 年第 3 期。 张新宝： 隐私权的法律保护 ，北京群众出版社， 2004 年版第 12 页。 . 王利明、杨立新： 人格权与新闻侵权 ，中国方正出版社 1995 年版，第 415 页。 9 隐私保护程度要远远强于大陆法系中个人信息的保护。 一般而言，个人信息与个人隐私之间的联系和区别主要体现在两个方面：一方面，个人信息与个人隐私之间确实存在着交叉，具有一定的联系。比如一些较为敏 感的个人信息就难免涉及到个人的隐私问题。但不能因此将个人 信息的保护限于个人隐私的保护，隐私权只能保护部分个人信息 和其中的一部分权利。另一方面，个人信息与个人隐私有区别， 两者不能等同。个人信息与个人隐私的最大区别在于，个人隐私 在性质上应该属于私人的，属于未向社会公开的范畴。而个人信 息则可能已经公开，或本开就属于公共事务的范畴。对个人信息 的保护仅限于个人隐私利益，个人信息与个人隐私的外延是不同 的。一部分的个人隐私表现为私人信息，还有一部分个人隐私是 以私人领域和私人活动的方式存在的。这部分的个人隐私的保护 与个人信息保护无关。一部分个人信息含有个人隐私的内容，而 还有一部分个人信息与个人隐私无关，例如，可公开的个人信息就与个人隐私无关。 （ 2）个人信息与个人数据（或曰个人资料） 个人信息与个人数据（或曰个人资料，以下统称为“个人数据” ）这两个概念的关键是“信息”与“数据”的区别。 “信息”和“数据”是两个不同的概念，我们通常将英文中的“ 为“数据或资料” ，而将“ 为“信息” 。 “数据”是代表人、事、时、地的一种符号序列（不以文字为限） ；“信息”是指数据经过处分后可以提供为人所用的内容。数据这一概念具有确定性，而信息会因收集主体的 主观目的不同而有所差别。信息是数据的内容，数据是信息的表 现形式，但信息的存在方式和表现是多种多样的，并不只局限于 数据。没有转换成数据的信息同样具有价值，因此无论是转换成 数据的信息还是以其他形式存蒋坡： 个人数据信息的法律保护 ，中国政法大学出版社 2008 第一版，第 1 页。 张淑奇、王齐庄： 电子商务环境的信息系统 ，武汉大学出版社 2000 年版，第 13 页。 10 在的信息都应受到保护。 由此可见，个人信息与个人数据的关系是反映与被反映的关系。个人信息是个人资料所反映的 内容，个人资料是个人信息的表现形式。虽然，很多国家和国际 组织的法律文件中是将两者通用的。 英国资料保护法名称为“ ,其序言规定， “本法制定新的法律条款去规制个人信息处分行为，包括收集、保存、利用、公开此类信息行为。 ”美国的法律文件中也将个人信息与个人资料等同。所以， 个人信息和个人数据在个人信息保护法实践中是可以作为通用的 概念而使用的。且随着个人信息保护法的发展， “个人信息” 这一概念也被人们越来越多地使用，其主要原因为了是突显立法对个人 权利的关注。从理论研究与实际社会运行这个角度来看，个人信 息比个人数据更能体现出其涵盖的意义与内容，其人文精神的体 现亦得到更大程度的宣扬。而法律文本中的，个人数据也是反映 个人信息，而不是形而上地孤立存在于个人数据本身。换句话说 ，保护个人资料的目的就是保护个人信息。因此，从这个意义上 讲，个人信息更符合立法的目的，更能体现人文关怀，我们应该更提倡使用“个人信息” 。 （二）个人信息的特征 虽然理论界及不同国家或不同地区立法对个人信息概念的界定没有达成共识，但从这些不同的 定义和规定中，我们还是可以总结出其所体现的共同特征，主要有以下几个方面： 1、个人信息的主体是自然人 个人信息为个人信息主体所有。个人信息主体是可以作为信、处分的个人信息的拥有者 。个人信息主体可以享有人格权和法律赋予的义务，其所拥有的 个人信息是可识别的，并可以依据这些信息直接定位于特定的主体。 个人信息的主体是自然人，是个人信息的主要特征，也是个人 信息保护的重要前提。个人信息保护的主体应仅限于自然人，法 人和其他组织的数据不应纳入个人信息保护的范畴。因为法人和 其他组织既不能直接产生个人信息，也不能作为个人信息的支配 者控制个人信息的流动，对个人信息的搜集、使用、披露没有选择权。 至于家庭是否应纳入个人信息主体的范畴，有学者认为家庭可以作为信息主体，因为家庭是人 类社会最基本的组织形态，家庭是大多数人生存的基本环境。但 在笔者看来，家庭不应该也没有必要纳入个人信息的主体范围， 因为每个家庭虽然都是作为具体、特定的群体生活组织而存在， 一个家庭的信息是每个家庭成员信息的集合，但是所谓家庭的信 息完全可以分解为具体每个家庭成员的个人信息。因此，个人信 息保护专门保护自然人的个人信息是其体现出的最突出的特征之一。 2、个人信息具有可识别性 个人信息的实质要素是“识别” 。所谓“识别” ，就是指个人信息与信息主体存在于某一客观确 定的可能性，简单的说就是通过这些个人信息能够把信息主体直接或间接地“认出来” 。这里所说的识别性，包括直接识别性和间接识别性。所谓直接识别性，是指通过某种信息即可直接识别出 信息主体，如身份证号码、基因等；所谓间接识性，是指单独通 过某些信息并不能识别信息主体，但若与其他信息相对比即可识 别信息主体，如身高、职业、收入、爱好、兴趣、习惯等。个人 信息是一切可以用于识别本人的信息总和，这些信息可以是生理的、智力的、心理的、经济的、齐爱民： 拯救信息社会中的人格 ，北京大学出版社 2008 年版，第 84 页。 12 社会的、文化的等等方面。值得注 意的是个人信息并不以信息本人知情为必要条件。不管信息主体 知道与否，个人信息保护法都给予同等的保护。个人信息的可识别性并不等同于主体应知性。 3、个人信息具有可处分性 世界上有个人信息立法的国家与地区大多规定，可以处分是构成个人信息的形式要素。可处分 性又包括载体和可以处分两个具体要素。 首先个人信息的第一个形式要素是必须有一定的载体，能以一定的方式得以固定。因为没 有载体的信息，是无法用手工和自动化技术进行处分的。美国隐私权法第一条规定： “ 档案指由某机关保管的有关个人情 况的单项、集合或组合，包括但不限于其教育背景、金融交易、 医疗病史、犯罪前科、工作履历及其姓名、身份证号码、代号或 其他属于该个人的身份标记，如指纹、声纹或照片。 ”其次，个人信息的第二形式要素是必须能以一定的方式得以查阅、检索或进行其他处分。 1996 年香港个人资料条例第 2 条关于个人信息的定义中明确要求： “个人资料”必须以可以查阅或处理的方式存在。 1998 年修正的英国资料法第 1 条也规定了个人信息需以可供查阅、记录和处理为条件。因此，个人信息是必须存在 于一定载体之上的并可以处分的信息。 4、个人信息具有人格利益和财产利益 人信息具有个人利益和财产利益的双重属性，是自然人在现代化社会经济活动中人格要素商品 化和利益多元化的现实反映。而且，随着经济需求的旺盛，这种人格要素的商品化将持续发展。个人信息是人格利益的反映，人格 要素构成个人信息的要件。法律对个人信息的保护很大程度上是 对其蕴含的人格利益的保护。人格利益是个人信息保护的核心价 值趋向和终极目标。个人信息. to a of in 1965 1974D/ 2007. 13 首先体现的是公民的人格利益，信 息的收集和利用都与信息主体的人格尊严有密切联系。它所体现 的是信息主体对其个人信息所享有的全部权益，是其人格尊严的 一部分。此外，个人信息也具有无形的财产利益，具有商业价值 。其财产利益表现为特定情况下可以用于交易、参与市场流通、 成为市场中的商品。正是由于个人信息本身所具有的财产利益致 使目前非法侵犯公民个人信息权的现象非常猖獗。在市场经济下 ，个人信息采集者收集资料并不是盲目收集，而是按照购买者的 需求有选择的收集，收集资料是一种建立和扩展财源的一种手段 。由此可见，个人信息不仅包含人格利益还含有财产利益，且具有稀缺性。 （三）个人信息的分类 在信息时代，个人信息呈现出多样性、复杂性，内容复杂。根据不同的标准，可以划分不同的 类型。目前学术界对个人信息的划分主要有以下几个类别。 1、直接识别信息与间接识别信息 这种划分是以信息能否直接识别信息主体为标准。直接识别信息可以单独识别出信息主体，而 间接识别信息需要结合其他信息才能识别信息主体。这是目前理 论界及各国立法中得到普遍认可的一种划分方式。这种划分的目的在于（ 1）法律保护的不仅是直接识别信息，还保护间接识别信息。 （ 2）对直接识别信息的侵害可能会导致更为直接和严重的后果。 （ 3）对于既不属于直接识别信息又不构成间接识别信息的那 些信息，法律不予纳入个人信息保护法的保护范围。 14 2、公开信息与隐秘信息 个人信息是人作为社会一员在社会活动中形成的。 在人与人、人与社会的交往中，了解、掌握利 用个人信息是不可避免的。通过特定、合法的途径了解、掌握、 利用个人信息，是明确目标的公开获得。以此为标准，个人信息 可以分为公开的和隐秘的。我们在社会活动、社会实践中，因各 种原因可能会向社会公开某些个人信息，如学校存留的学籍档案、在医疗机构存留的医疗档案、在公安机构备案的相关个人信息等 。这些信息属于公开信息，是可以基于明确的目标、合法的途径 公开获取的。与公开信息相对应的是隐秘信息，是人们在社会交 往中，不为人了解、不向社会公开的个人信息，如身体缺陷等。 无论是公开信息还是隐秘信息都应受到法律的保护。因为许多看 似不重要的个人信息，如果经过精心的收集和整理，同样可以整 合出一份完整的个人信息。因此，应对个人信息给予全面的保护，而不论其是否涉及个人隐私。 3、自动处分信息与非自动处分信息 个人信息自动处分是利用计算机系统及其相关配套设备、计算机网络系统， 按照一定的应用目的和规则进行个人信息的收集、加工、存储、传输、检索、咨询、交换等业务。这是以个人信息是否进行过自动化处分为标准的划 分。进入信息化时代，网络及计算机技术的发展日新月异，经过 计算机等自动化机器处分过的个人信息更容易受到侵害。目前很 多国际性组织、国家和地区都针对计算机自动处分的个人信息制定专门的法律予以保护。 4、敏感信息与琐碎信息 个人信息包含个人隐私，体现信息主体的各种人格利益，因此，个人信息根据敏感程度的不同，划分为敏感信息和琐碎信息。郎庆斌、孙毅、杨莉： 个人信息保护概论 ，人民出版社 2008 年版，第 26 页。 15 敏感个人信息，根据有关国际组织 或国家的定义，是指关于个人种族、政治观点、宗教或其他信仰 、工会会籍、生理或是心理状况、个人嗜好或是行为的信息。敏 感信息是人所具有的特殊的隐私秘密，往往涉及个人隐私，因此 ，在个人信息领域，敏感信息一般是禁止自动处分的。琐碎信息 是指零散的、不重要的、如散碎制片一般的，或散件与各处的敏 感信息之外的个人信息。有关个人信息的这一类划分，在理论上 也是有重要意义的，有利于通过法律的特别规定对敏感信息予以 特别的保护。目前在理论上和司法实践中对如何区分两者都没有 绝对统一标准的。各国需要在综合考虑本国国情和国家体制的基 础上对敏感信息和琐碎信息做出划分。我国将来制定个人信息保 护法时，对个人敏感信息是否在在个人信息保护基本法中加以明确这一问题，应当谨慎对待。 关于个人信息的分类，还存在其他许多标准。如，有的学者将个人信息分为普通群体个人信息 和特别群体个人信息、属人的个人信息和属事的个人信息、原始 个人信息、传来个人信息等。按不同标准划分的各种分类，都有 其合理性。这些按照不同标准对个人信息进行划分的方式，有利 于我们深入理清个人信息的内涵和外延，为了我们了解个人信息 的内容提供了多更视角，也有助于我们进一步分析和研究个人信息的法律保护问题。 16 三、法治建设的进步与个人信息保护 （一）个人信息保护的法治基础 1、个人信息保护与人权保障 法律意义上的人权是指宪法制度保障的基本权利，即那些对于任何公民不可缺乏的、不可取代 的、不可转让的、稳定的具有母体型的共同权利。对个人信息的保护是现代法治国家法律制度中人权保障的一项重要内容，两者 有着紧密的联系，信息时代个人信息的发展与对其立法保护更加体现了这一点。 （ 1） 个人信息保护体现人权保障的价值。 西方法学理论认为，人权作为一种权利，是一种个人可 以不受他人干涉地做什么，甚至要求他人按照自己的意愿做什么 或者不做什么的可能性。权利实际上是一种社会应该确定、保护甚至强制实现的自由。人的思想、良心等精神生活的自由，是人 类尊严得以实现之基本前提。而法律制度的确认、保护甚至强制 实现思想和良心等自由不受侵犯，是人类尊严得以实现之基本前 提的制度性保障条件。法律对个人信息保护的认同有两层含义： 第一是对个人信息保护所体现的人格尊严的认同。个人信息形式 上保护公民的个人信息，实质上是维护公民的人格尊严，人格尊 严是个人信息所最追求的终极价值。从各国个人信息保护的立法 上来看，各种立法模式都是保障公民的人格尊严神圣不可侵犯。 第二是对个人信息保护作为工具性实用价值的认同，即通过对侵 犯个人信息行为的有效预防，以最终保证个人信息保护的终极价值人格尊严得以实现。 （ 2）个人信息保护是人权保障的必然要求。信息时代的个人张文显： 法理学 ，高等教育出版社 2003 年版，第 380 页。 王丽萍、步雷： 信息时代隐私权保护研究山东人民出版社 2008 年版，第 68 页。 17 信息有两个新的特征：一是积极权 能的增加，对个人信息的保护不再仅仅是消极的事后救济，采用 更多的事前防范；二是个人信息的商品化，个人信息的经济利益 更加凸显，可以给人带来越来越多的财产利益。这两个特征都是 适应信息社会背景而产生的，目的在于更好的保护个人信息，进 而更好的捍卫个人权利和维护人格尊严，更好地保障人权。 首先，积极权能的增加是指信息主体不仅拥有保证其个人信息不被他人非法侵扰的权利，还更 主要的在于通过行使信息决定权、信息查询权、信息保密权、信 息更正权、信息删除权、信息封锁权等权利，以实现对个人信息 的全面保护。在信息社会，由于国家公权力控制着最先进的信息技术， 掌握最庞大的信息资源，国家对个人信息的收集和处分无疑 是对个人信息的最大威胁。这正体现出人权的特性： “作为社会公权力的主要代表者的国家（政府）始终是人权的绝对义务主体， 而作为对人权的真正潜在或现实的最大威胁与实际侵犯，只能来 自社会公权力的拥有者和行使着，尤其是来自国家（政府） 。 ”所以，信息时代个人信息的积极权能对于信息主体积极主动地保障 自己的个人信息，对抗公权力的侵犯，具有重要意义，更能体现人权保障的意义。 其次，人格权本质上是一种精神权利，其内容主要以精神性利益为内容，但是在市场经济条件下，随着信息产业的不断发展，其越来越体现财产利益的特性。人 格权不再是与财产绝缘的纯精神性权利，其中包含的经济价值日益被发现和挖掘。信息时代个人信息是典型表现。由于信息已经 成为重要的资源，其中所包含的经济价值已经独立于传统的精神 利益，对与个人信息的侵犯有可能会给侵权人带来巨大的非法收 益。如果仅对被害人提供精神张文显： 马克思主义法理学理论、方法和前沿 ，高等教育出版社 2004 年版，第 315 页。 王利明： 人格权法研究 ，中国人民大学出版社 2005 年版，第 283 页。 18 上的抚慰，而不对其财产损失进行 补偿，将会导致严重的不公平和侵权现象的频发。所以，进一步 加大对个人信息的法律保护，扩大侵犯个人信息的赔偿范围，有 效地抑制侵权行为的发生，是人权保障的必然要求。 2、个人信息保护与法的价值 法的价值并非中国法律传统所固有的概念，而是从西方法学移植过来的。法的价值通常在目的 价值、评价标准和形式价值三个层面上使用，又以法的目的价值 为基础和原点实现了三者的协调和统一。法的目的价值是指法在社会的运行的过程中能保护和增加那些价值，这里探讨个人信息 保护与法的价值关系主要是从这个层面上进行的。 （ 1）个人信息保护与法的秩序价值 所谓秩序，是“人和事物存在和运转中具有的某种程度的关系的稳定性、结构的一致性、行为 的规则性、进程的连续性、事件的可预测性以及人身财产的安全性” 。在整个外部世界存在着两种秩序，即“自然界中按照自然 法则形成的自然秩序和人类社会中由社会规范调控所形成的社会秩序” 。法的秩序价值是法要实现的最基本的价值之一，是实现 其他价值的前提和基础，即法能通过它特有的方式建立和维护强 有力的社会秩序，从而满足人的社会生活需求。没有秩序价值， 法的其他价值如平等、自由、公正等都无从谈起。 个人信息保护对社会生活秩序