个人信息的行政法保护.doc

.个人信息的行政法保护第一章 个人信息保护概述一个人信息的界定1.定义及与相关概念的区别法律概念是法的要素之一，是指在法律上对各种事实进行抽象，概括出它们的共同特征而形成的权威性范畴。 孙国华、朱景文 法理学中国人民大学出版社，1999年版，第274页因此笔者认为只有首先明确“个人信息”的概念以及它与相关概念的区别，才能进而分析与之相关的问题。根据现有的各国立法文件的表述以及学者的研究，就法律名称使用的概念表述而言主要有以下几种：隐私、个人数据、个人资料与个人信息。上述术语的不同主要是源于不同的法律传统、保护制度和使用习惯，但其保护的实质内容大体上是趋于同质化的。为了叙述的方便，本文将交叉使用这些术语。但这些术语在意思上还是存在一些差别，下面就隐私、个人数据、个人信息三个概念加以比较分析，说明三个概念之间的关系。对于古人来说，隐私是一个必然同自由的领域，即政治或公共领域相对立的领域。 英史蒂文卢克斯著，阎克文译 个人主义，江苏人民出版社，2001年版，第55页隐私，英文是“Privacy”，即独处而不受干扰。相对于公开而言就是秘密。梅绍祖教授认为，隐私是与公共利益无关的个人私生活秘密方面的事宜。它由涉及有关个人的数据资料、个人行为以及附属于个人的空间领域等三个方面所组成。笔者认为，隐私是指当事人个人生活中不愿公开或不便为他人知晓，干涉或侵犯的事实。英文中“Data”表示为数据、资料或者说是计算机处理的数据或符号。因此也有学者将“个人数据”称之为“个人资料”，是指涉及个人已识别或可识别的任何资料，也包括家庭的一些相关情况等。它不仅包括能够利用计算机进行自动化处理的数据，也包括通过人工方式进行处理的数据。如个人的身高、体重、出生年月、住址、性别、种族、身份证号码、医疗记录、财务信息、人事档案、照片等自然情况；而家庭的基本情况如婚姻状况、配偶、父母及子女的情况等。信息的英文是“Information”，是指资料经过加工处理后可以提供为人所用的内容。1995年10月24日欧盟通过的关于私人数据自动处理的个人保护以及此类数据的自由流动的95/46/EC指令（以下简称“欧盟95年指令”）的第2条作了如下的定义：“个人信息”指相关于已识别或可识别的自然人（“数据主体”）的任何信息；可识别的人是指可直接或间接地，特别是可通过识别号码或其特定的生理、心理、经济、文件或社会身份等一个或多个因素而被识别的人。 英戴恩罗兰德、伊丽莎白麦克唐那著，宋莲斌、林一飞、吕国民译 信息技术法（第二版），武汉大学出版社，2004年版，第342页根据上述概念的分析，可以看出“个人信息”和“个人隐私”是包含关系，即个人信息包含个人隐私，个人隐私是个人信息中不能或不该公开的那一部分。法律仅保护涉及个人隐私的个人信息，而不保护不涉及个人隐私的个人信息。而“个人资料”或“个人数据”侧重于客观的形式，不以资料、数据反映的内容与对人的影响为主要目的，但信息却恰恰相反。“无数客观事物的信息，正是通过人的眼、耳、鼻、舌、身这五个功能，传递给人们，经过人们的大脑进行去粗取精、去伪存真的加工，人们才认识了世界，又转过来改造世界”。 郑成思 信息、信息产权与个人信息保护立法，法律出版社，2004年版，第23页从资料，数据与信息的内在关系看，它们是信息的载体，信息是它们表现的内容。不同的资料，数据也可以表示相同的信息；而一条信息也可以通过多条资料或数据表达。通过对这些概念内容及相互关系的分析，可以更加明确本文所指的“个人信息”。最后，本文将个人信息界定为：个人信息是指以任何形式存在的、可以直接或间接识别特定个人的信息的总和。它既包括个人本人的信息也包括与他相关的家庭信息；既包括个人隐私信息也包括非隐私信息。 2.特征及其分类2.1特征可识别性是个人信息最重要的特征。上述“欧盟95年指令”对个人信息的立法定义在学术上被称为“识别说”。随着“欧盟95年指令”被欧洲各国的接受和成为国内立法的准则，个人信息的“识别说”已成为立法和理论研究的主流学说。从本文对个人信息的定义来看，也体现了这一界定标准。但需要明确的是有些信息虽然与个人相关，但并一定就具有可识别性。并且那些信息只有对信息主体而言，才具有法律保护价值。它必须是具有可识别性的有关个人身份、特性或活动的信息。可识别性是指通过资料中所反应的各种信息加上人们的判读就可以确定这些资料是有关某个人的，或者说通过资料中的信息可以确认特定个人的身份。 高富平、张楚电子商务法北京大学出版社 2002年版，第269页它包括可直接识别和间接识别。各国对个人信息保护无不强调个人信息的可识别性。并且直接与间接识别相结合的识别标准已经成为立法实践和学界通说。世界各国的立法文件，就体现了可识别性是各国立法公认的个人信息应具备的基本特征之一。例如：英国1984年，1998年数据保护法、美国1975年隐私权法、德国联邦个人资料保护法、我国台湾地区1995年计算机处理个人数据保护法。广泛性也是个人信息的特征之一。既包括内容上的广泛，也体现在个人信息存在形式上的广泛性。它包括个人生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的灯方面。个人信息是指以任何形式存在的、可以直接或间接识别特定个人的信息的总和。它既包括个人本人的信息也包括与他相关的家庭信息；既包括个人隐私信息也包括非隐私信息。即凡是与个人相关、能识别该个人的所有个人资料与数据都属于个人信息的范畴。它包括所有的、以任何形式存在的与个人有关的信息：标识个人基本情况的信息；标识个人生活、学习与工作情况的信息；标识个人的信用和财产状况方面的信息；存在于网络上的各种帐号，在网上的活动踪迹，购物、消费、交易信息等等。可公开性是个人信息的另一个特征。在一定的时间和空间，在一定的范围与程度内，个人信息可以公开。但有关个人隐私的便属于不能或不该公开的信息，不具有公开性。个人信息具有公开性是指信息主体有获得个人信息的权利。个人信息对于它所针对的自然人具有公开性。信息主体有权要求使用者公开其掌握的关于本人的个人信息；如果发现个人信息记录的内容有错误或不正确的，有权要求使用者予以更正或停止使用。同时政府机关或其他个人信息处理者应及时主动的公开那些可以公开的，与个人有切身利益关系的个人信息。需要强调的是，对于那些可以公开的个人信息，需规范对它的收集、处理，防止其被滥用；而对于那些不可以公开的则是如何保护的问题。2.2分类个人信息是一切可以识别本人的信息的总和。它在内容和存在形式上都具有广泛性。根据不同的标准，齐爱民教授将个人信息划分为四种不同的类别。本文在总结各专家教授观点基础之上作出以下的分类。以能否直接识别本人为标准，个人信息可以分为直接个人信息和间接个人信息。直接个人信息，是指可以单独识别本人的个人信息。间接个人信息，是指不能单独识别本人，但和其他信息结合可以识别本人的个人信息。这种分类方法的法律意义在于表明了间接个人信息属于个人信息的一种，同样应受到法律的保护。以个人信息是否涉及个人隐私为标准，个人信息可以分为敏感个人信息和琐细个人信息。敏感个人信息，是涉及个人隐私的信息。根据英国1998年资料保护条例的规定，敏感个人信息是“由资料客体的种族或道德起源，政治观点，宗教信仰或与此类似的其他信仰，工会所属关系，生理或心理状况，性生活，代理或宣称的代理关系，或与此有关的诉讼等诸如此类的信息组成的个人资料”。琐细个人信息是指不涉及个人隐私的信息。根据瑞典资料法的规定，琐细信息是指“很明显的没有导致被记录者的隐私权受到不当侵害的资料”。这种分类的法律意义在于体现对于琐细信息与敏感信息的保护方式与程度的不同。以个人信息是否公开为标准，可以分为公开个人信息和隐秘个人信息。公开个人信息，是指通过特定、合法的途径可以了解和掌握的个人信息。隐秘个人信息和公开个人信息相对应，是指不公开的个人信息。这种分类的法律意义在于，公开个人信息无论是否属于敏感个人信息，都已经丧失了隐私利益，因此不能取得敏感个人信息的特殊保护。除此之外，以个人信息的内容为标准，个人信息包括反应个人情况，其家庭情况，甚至包括可以间接识别个人的观点和意图等等；英戴恩罗兰德、伊丽莎白麦克唐那著，宋莲斌、林一飞、吕国民译 信息技术法（第二版），武汉大学出版社，2004年版，第340页以个人你信息的处理技术为标准，可以将个人信息划分为经过电脑处理的个人信息与非经过电脑处理的个人信息。二个人信息保护的基本内容 1.基本原则 为有效保护个人信息，同时，也为了便利信息的有序流动，许多国家或地区的个人信息保护法均规定了一些基本原则，用以指导个人信息处理活动。经济合作与发展组织理事会通过了关于隐私保护与个人数据跨国流通的指针中明确规定了国内个人信息保护的八大原则，为各国国内立法所吸收和借鉴，其主要内容如下：周汉华个人信息保护法（专家建议稿）及立法研究报告法律出版社2006年版 第61页 第一，收集限制原则。个人数据的收集应该受到限制，收集任何个人数据都要采用合法的、公正的手段，在适当的情况下，要经过数据主体的默示或同意。第二，数据质量原则。个人数据的收集与利用必须符合利用该数据的必要范围。个人数据应该精确、完整和被保持为最新状态。第三，列明目的原则。收集个人数据的目的应该在数据收集之前列明，并且随后的使用应限于实现这些目的，其后的使用也不得与最初收集的目的相抵触。第四，使用限制原则。除非经过数据主体的同意，或者经过法律的授权，不应该在列明的目的之外披露或公开使用个人数据。第五，安全保护原则。个人数据应该受到合理的安全保护，以免被丢失或未经授权而被获取、破坏、使用、修改或披露。第六，公开原则。成员国关于个人信息的开发、利用以及相关政策，应当有关于个人数据的一般政策，即应该制定关于个人数据的发展、实践和政策的一般的公开政策。应该确立便利的措施，以确定个人数据的存在和性质，它们使用的主要目的，以及数据控制者的身份和通常住所。第七，个人参与原则。个人应当有权利从数据控制者那里获得或者确认数据控制者是否拥有有关他的数据。并有权在合理期间内以合理的价格和方法以及可以理解的方式接触到有关自己的数据资料。如果这些要求被拒绝，个人有权获知理由，可以挑战此拒绝；如果这一挑战成功，他可以删除、纠正、补充完整或修改这些数据。第八，责任原则。数据控制者有责任遵守赋予上述原则以效力的措施。因违反有关的规定，造成个人数据当事人损害的，个人数据管理人应当承担损害赔偿责任。经合组织指南所确立的这八大原则，已经成为当今世界各国相关立法的重要参考。因此大多数国家所确立的基本原则大致上都在上述这些原则的范围之内，但也有的国家在此基础上确立了一些更进一步的原则，比如德国的联邦数据保护法第3a条就确立了“信息缩减与信息节约”的规定，要求信息处理系统尽可能不采用或者采用最少量的个人信息，而且，应尽可能采用匿名的个人信息。同样，美国专门制定了公文削减法，要求政府机关收集信息尽快可能降低社会的成本。由于各国的国情不同，对个人信息保护的方式，程度都存在差异。各国或地区究竟采用哪些基本原则，很大程度上取决于对个人信息保护的不同认识。关于我国在对个人信息的行政法保护中，应遵循哪些具体的原则，在充分辨析、吸收、借鉴域外立法经验的同时，考虑到我国个人信息保护的现实状况，本文将着重在第四章中论述，以择定适合我国个人信息保护的基本原则。2.信息主体的界定就个人信息保护而言，所谓信息主体，是指个人信息所指向的个人，即个人信息所属 的独立人格体。1998年英国数据发规定：数据主体是指个人数据所指向或涉及到的个人。ENGLANDSALLIE SPILSBURY MEDIA LAW英萨利斯皮尔伯利 周文译传媒法武汉大学出版社 2002年版 第314页关于信息主体的范围，在立法和学理上主要存在以下几个方面的分歧：2.1关于法人主体的争议。大多数国家规定法律保护的对象是作为自然人的个人，而不是企业或其他组织。但个别国家，如阿根廷，个人信息保护法也适用于法人信息；奥地利政府主张个人信息的主体应包括法人，并认为法人信息由自然人信息组成，保护法人就是保护自然人。除此之外，挪威、卢森堡等少数国家的立法例也将法人作为信息主体加以规定。然而，总体来说这种情况比较罕见，没有普遍性。较为普遍的立法是个人信息的主体范围仅限自然人，大部分国家对法人采取否定立场，明确界定保护主体的范围。笔者认为：我国个人信息保护法的对象也应仅限于自然人。有关法人或者其他组织的信息可以通过商业秘密法和反不正当竞争法予以规制。2.2关于死者主体的争议笔者认为我国个人信息保护法的保护对象仅限于自然人。但自然人是否包括死者，还存在争议。英国1984年资料保护法规定：“个人资料是由有关一个活着的人的信息组成的资料，对于这个人，可以通过该信息（或该用户拥有的其它信息）识别出来，该信息包括对有关个人的评价，但不包括对个人资料用户表示的意图。”其1998年资料保护条例也坚持了“活着的人”的规定。也就是说，英国法将死者排除在个人信息的主体之外。我国台湾电脑处理个人资料保护法的施行细则也明确规定，个人资料是指有生命的自然人的资料，不包括已死亡之人。这种立法是基于，个人信息保护的是自然人的人格权，而死者的人格权随着其死亡而不存在，因此认为没有保护死者人格权的必要。故将死者排除在信息主体之外；而相反的观点则认为：个人信息的主体应该包括死者。欧洲理事会1992年理事会资料保护条例的修改建议稿规定：“个人资料是指有关一个可识别的自然人的任何信息，不局限于以可处理形式存在的信息，它包括任何种类和任何形式的信息，只要这种信息是有关个人的，不论是活着的人还是死去的人；并且只要这个人或这些人可以识别。”可以看出，欧洲理事会主张，个人信息的主体包括一切人，无论是活着的人还是已经死亡的人。对此，齐爱民教授认为：虽然死者已没有主体资格，但是死者遗留的大量个人信息客观存在。这些个人信息不仅涉及死者，以及与死者有关的人，同时也涉及正常的社会秩序和善良风俗，这些基本利益不容立法忽视。笔者也同意齐爱民教授的这种观点，认为在对个人信息行政法保护过程中，应注重现实需要保护的利益，应该将死者遗留的个人信息一并纳入保护范围。3.信息主体的权利3.1信息决定权信息决定权是指信息主体得以直接控制与支配其个人信息，并决定其个人信息是否被收集、处理与利用以及以何种方式、目的、范围、处理与利用的权利。它在各个人信息权利内容中处于核心地位。但是，在许多情况下，个人信息的收集是在无法取得信息主体的统一，甚至是毫不知情的状况下进行的，比如个人信用信息、重要医疗信息等的收集。而且，某些情况下，为了促进信息共享，只要符合最初的收集目的并采取妥善的安全保障措施，未经本人同意而转让一部分个人信息也是被允许的，例如行政机关为履行其职责而可以自其他机关处获得某些个人信息。周汉华个人信息保护法（专家建议稿）及立法研究报告法律出版社2006年版 第85页但是一般而言，在收集本人的个人信息之前，有获得通知的权利，通过了解信息收集的目的和用途决定是否同意他人或组织收集本人的个人信息。同意分为明示的同意和默示的同意。明示是直接明确地表达自己的意志，而默示是由本人的行为直接表现或者推定的意思表示。3.2信息查询权信息查询权是指本人得以查询其个人信息及其有关的处理的情况，了解自己的个人信息被收集和使用的具体情形，并要求答复的权利。对信息的控制与支配，必须首先了解哪些个人信息被收集、处理与利用的情况，特别是在此过程中信息是否被保持完整、正确。随着社会的不断发展，越来越多的公共部门和非公共部门在收集、保存、交换着大量的个人信息，有些甚至是在信息主体不知情的情况下进行的，而往往这些信息对个人的就业、融资、享受各种公共服务、人身与财产安全等有着重要的影响。因此，从保护个人的合法权益角度出发，信息主体必须享有查询告知的权利。3.3信息更正权信息更正权是指本人得以请求信息处理主体对不正确、不全面的或者过时的个人信息进行更正、补充与更新的权利。具体包括：个人信息错误更正全，即对于错误的个人信息本人有更正的权利。个人信息补充权，即对于遗漏或新发生的个人信息，本人有补充的权利。个人信息更新权势本人要求对于过时的个人信息及时更新的权利。3.4信息赔偿请求权信息赔偿请求权，即获得救济的权利。上述各项具体权利权利受到侵害的，信息主体可以采取向个人信息处理者投诉、要求个人信息处理的主管部门予以查处的方式或者通过诉讼途径予以解决。个人信息处理者为公共部门的，则主要是通过行政复议、行政诉讼等途径解决。4.信息使用者的义务 信息使用者，是指为实现一定的目的而使用公民个人信息的组织或个人。从我国个人信息保护法（专家建议稿）中，将信息使用者分为两大类：“政府机关”是指行政机关与法律、法规授权行使行政管理职能或提供公共服务的其他组织；“其他个人信息处理者”是指政府机关之外，依据本法规定进行个人信息处理的法人、组织或个人。并分别在其第二章，第三章对于这两类使用者在进行个人信息处理过程中需遵循的程序，履行的义务作出了一些规定。笔者在此基础上，对政府机关，其他个人信息处理者在处理个人信息过程中需履行的义务总结如下：（1）收集或使用个人信息之前，向主管机关登记以获得相应的使用资格。 个人信息保护法（专家建议稿）第十二条，第三十五条分别规定政府机关和其它个人信息处理者开始收集个人信息之前，须向政府信息资源主管部门进行登记。但政府机关出于公共利益等而收集、使用个人信息的，不在此列。个人信息被收集或使用之前通知信息主体并取得同意（法律另有规定除外）。儿童的心智尚不健全，他们的自我保护能力较弱，收集或使用儿童的个人信息之前，应征得儿童的父母或其他合法监护人的同意。数据库经营者在用户填写表格提供个人信息之前，需提醒他们这种行为可能带来的危害，明确用户的个人权利保护措施，告知信息采集、处理存储的内容、目的、方式及使用期限等。 徐文伯、饶戈平信息数字化与法律数字图书馆建设中的法律问题法律出版社 2002年版 第111页（2）政府机关或其他个人信息处理者的工作人员有义务采取合理的保密措施，对其任职期间因处理个人信息所获知的内容，负有保守秘密的职业义务，不得擅自告知他人或者以其他方式加以披露或使用，确保所持有的个人信息的安全。 这一点在个人信息保护法（专家建议稿）总则部分规定为“职业义务原则”。（3）允许信息主体查阅、使用自己的个人信息。申请人提出公开请求的，政府机关有义务向申请人公开其个人信息。（除法定的例外情况）（4）政府机关和其它个人信息处理者有义务在收集个人信息时所明确的使用目的范围内处理个人信息。但符合法定的例外情况可以在使用目的范围之外处理个人信息。三个人信息保护的法理基础在国际社会，人们谈论个人信息保护问题时往往将其同隐私权保护相等同，而对隐私权的保障确实是个人信息保护的主要目的和逻辑前提。 周汉华个人信息保护：公民的一项基本权利人民法院报2005年3月21日基于此，这里先考察隐私权利益的理论基础，作为讨论个人信息保护法理依据的起点。1948年联合国大会制定的世界人权宣言以重塑人文主义作为其历史使命，将保护“人的尊严”作为其基本价值目标。其中第12条即明确将隐私权界定为基本人权：“无人应遭受对其隐私、家庭、住宅或通讯的任意干预，也不应遭受对其荣誉和名声的攻击，每个人均享有受法律保护以对抗干预或攻击的权利。”另外，关于隐私权利益的理论基础，维拉曼特在法律导引中这样写道：“隐私权利益的理论基础来自于这样的事实，即每个人都需要一个围绕着自己的、保护自己身体和思想的天地，一个免遭侵犯的小块绿州。如果没有这种保护，他的个体就会被侵犯。” 澳维拉曼特著 张智仁、周伟文译 法律导引上海人民出版社 2003年版 第274页由此可以看出，在隐私权人格尊严、自由这两种价值中，维拉曼特的理论更接近于以欧洲为代表的维护人格尊严的价值基础。笔者认为，个人信息保护的法理基础不仅在于人格尊严，更在于自由价值。保护个人信息是对个人自主的尊重。我国宪法第38条规定：“中华人民共和国公民的人格尊严不受侵犯。”人格尊严成为宪法价值的一部分，并属于宪法秩序的基础。具体而言，就是公民的人身、住宅、通讯秘密等这些个人信息不受侵犯；尊重人格尊严，最终应该落实到予个人以充分自治的自由的空间和领地，划出不受干涉的、尤其是不受国家强制力干涉的私欲的范围和界限，它从对个人自主的尊重出发，给个人选择的自由空间。即使是新兴资讯权主张积极的自我参与，其价值基础也是个人私域自我选择、自我支配这种不受干预的个人自治，自由价值的实现。作为德国个人资料保护法发展里程碑的德国宪法法院1983年人口普查法案的判决，该案的基本案情：德国联邦政府在1982年颁布了人口普查法，计划在全国范围内对公民进行全面的资料收集，拟定收集的资料范围包括人口、职业、住所和工作等几乎全部个人资料。德国联邦政府的人口普查法引起了很多人的反感，在其4月1日生效前，已有人提起宪法诉讼要求宣告人口普查法违宪。1983年12月15日德国联邦宪法法院最后做出判决认定该法有违宪情况，并做出具体处理：违宪部分无效，其余部分修改后施行。在判决中宪法法院适用了信息自决权的概念，使个人资料权利成为一项明确的宪法权利。在判决中，宪法法院适用了“信息自决权”的概念，使个人资料权利成为一项明确的宪法权利。信息自决权的核心内容是：法律保护建立于个人资料之上的一般人格权；法律保留，即对个人资料权利的限制只能由法律做出；个人资料的收集应受严格的、具体的、明确的目的限制。自此以后，这一概念成为各国个人信息保护立法的核心精神。因此，信息自决权作为个人的一项基本权利正是个人信息保护在法理上的依据。第二章 国外个人信息法律保护之模式及启示一国外个人信息法律保护之模式 1.欧盟的模式：“一刀切”或“立法主导模式” 欧盟毫无疑问是个人信息保护立法的模范和先驱。欧盟国家最先关注信息通信技术对社会的影响问题。1995年，欧盟议会通过了欧盟数据保护指令， 欧盟于1995年制定的个人数据保护指令又名个人资料处理及自由流通个人保护指令1998年10月开始生效。英文全称为Directive95/46/ECof the European Parliament and of the Council On the protection of individuals with regard to the processing of personal data and on the free movement of such data.为个人数据提供了非常全面的保护。规定了为了保护个人资料在欧洲共同体内自由流通，成员国必须保证信息主体在个人信息处理过程中的权利和自由，特别是他们的隐私权。欧盟1995年个人数据保护指令首先确立了保护自然人基本人权及自由，尤其是关于个人信息隐私权的保护的原则。该指令中所指的“个人数据处理”（processing of personal data）包括：不论以自动或非自动的方式“处理个人资料的运作”。可见，该指令在适应范围上十分广泛，包括所有的个人资料且不限使用对象，仅有两种情形不使用：在共同体法律适用范围以外的活动，例如，事关国家安全和刑事法；自然人在纯粹属于私人活动领域内的资料使用。1995年欧盟数据保护指令是欧盟数据保护规章的核心。下面就欧盟95指令的主要内容做一个介绍：第一，指令的目的。欧盟95指令的第一条开宗明义地规定了指令的目的：根据本指令，成员国应保护自然人的基本权利和自由，特别是私人数据处理上他们的隐私权（第1条）；成员不应依与第一款规定的保护有关的理由，限制或禁止私人数据在成员国之间的自由流动。第二，在该指令中，所指的“个人资料”为：与特定或可待定的自然人相关的所有信息，不限种类及形式。第三，使用范围。该指令中所指的“个人数据处理”包括：不论以自动或非自动的方式“处理个人资料的运作”。第四，信息主体的权利。信息主体享有以下权利:访问权修改删除权（第13条）、拒绝权（第14条）、自主决定权（第15条）、获得救济权（第23条）第五，管理者和控制者的义务：公平合法的处理资料，处于特定、明确、合法的目的进行收集，所进行的进一步处理不能违反这些目的，并确保个人资料的精确。如果必要还必须不断的更新（第16条）；在进行全部或者部分自动化处理操作或为了单一或几个相关目的而进行操作之前，必须通知监督机关（第18条）可以看出，欧盟95指令价值倾向明显，覆盖范围广泛。之后为了使各国对于通信行业个人资料处理中基本权利和自由所进行的保护，并保证资料和电信设备及服务能够在欧共体内自由流通，在欧盟95指令基础上，欧洲理事会于1996年通过了欧盟电子通讯数据保护指令，作为1995年指令在电子通讯领域的延伸和补充。这两个指令构成欧盟个人数据保护法律框架的基础。1999年，欧盟委员会又先后制定了互联网上个人隐私权保护的一般原则、关于互联网上软件、硬件进行的不可见的和自动化的个人数据处理的建议、信息公路上那个个人数据收集、处理过程中个人权利保护指南等相关法规，在成员国内建立起有关网络隐私权保护的法律法规体系。 胡鸿高、赵丽梅网络法概论法律出版社 2003年版 第443页在欧盟95指令的要求下，除开新近入盟的十几个国家外，其他欧盟成员国均已完成了新一轮的个人信息保护立法或者修法工作，如德国的联邦数据保护法。德国1977年的数据保护法的立法目的有两个：第一，在个人资料处理过程中对个人隐私给予统一而充分的保护。第二，使个人资料处理行为合法化。 许文义个人资料保护法论台湾三民书局股份有限公司 2001年版 第172页之后经过1994年、1997年分别修正，2001年5月最终修正，以符合欧盟指令的要求。通过以上的介绍，可以总结出欧盟的个人信息保护制度可以分为两个层次：一是在欧盟体制下的统一立法，包括以系列的数据保护指令，这些指令为欧盟内部的个人信息流动提供了广泛的保护框架；二是欧盟各国根据指令所确定的标准而制定的专门性国内法 ，这些个人信息保护法的使用范围很广，包括各种形式的个人信息，并使用与不同领域的信息适用者。 陈永欧盟和美国关于信息隐私保护的比较研究，引自北大国际法与比较法评论北京大学出版社 2003年版 第178页 这种个人信息保护策略可以成为“立法主导模式”。按美国官方的正式评价，欧盟的这种立法模式是一种“一刀切”（one-size-fits-all）式的规制模式。2.美国的模式：分散立法和行业自律相结合虽然，美国在隐私权保护方面的理论研究和立法都比较早，但相对欧盟严格的法律管制而言，美国的个人信息保护制度处于分散状态，在个人信息保护方面，还没有一部专门的系统的立法。美国采用个人信息保护分散立法模式，散见于诸多法案中。1966年信息自由法确定了政府信息公开的原则。1970年公平信用报告法着重于信用卡客户信息的保护，保护客户免于消费者报告机构不准确的、武断的信息披露。1974年，美国参众两院通过了隐私权法。它是涉及个人信息保护的最重要的一步法案。1979年，美国第96届国会修订联邦行政程序法时将隐私权法编入美国法典第五编“政府组织与雇员”，形成低552a节。该法又称私生活秘密法，是美国行政法中保护公民隐私权和了解权的一项重要法律。就政府机构对个人信息的采集、使用、公开和保密问题作出了详细规定，以此规范联邦政府处理个人信息的行为，平衡公共利益与个人隐私权之间的矛盾。 周健美国与公民个人信息保护载情报科学第19卷第6期2001年6月美国1974隐私权法是涉及个人信息保护的最重要的一部法案。其主要内容如下：第一，立法原则。行政机关不应该保有秘密的个人信息记录；个人有权知道自己被行政机关记录的个人信息及其使用情况；为某一目的而采集的公民个人信息，未经本人许可，不得用于其他目的；个人有权查询和请求修改关于自己的个人信息记录；任何采集、保有、使用或传播个人信息的机构，必须保证该信息可靠地用于既定目的，合理地预防该信息的滥用。第二，使用范围。隐私权法对该法出现的机关、人和记录等概念的适用范围做出限定。1.机关(agency)：该法中的机关，包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司，以及行政部门的其他机构，包括总统执行机构在内。该法也适用于不受总统控制的独立行政机关，但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。2.人(individual)：该法中的人，是指美国公民或在美国依法享有永久居留权的外国人。3.记录(record)：该法中的记录，是指包含在某一记录系统中的个人记录。记录系统是指在行政机关控制之下的任何记录的集合体，其中信息的检索是以个人的姓名或某些可识别的数字、符号或其他个人标识为依据。个人记录是指行政机关根据公民的姓名或其他标识而记载的一项或一组信息。其中，其他标识包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码，以及其他一切能够用于识别某一特定个人的标识。个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的记载。第三，资料主体的权利。资料主体的权利主要有:决定是否同意公开自己资料的权利；对个人资料由获得的权利；修改的权利。第四，行政机关的义务。行政机关收集的个人资料，如果可能导致对信息主体做出不利决定时，必须尽可能的由信息主体提供；行政机关收集个人资料、建立个人的记录系统时，必须在联邦登记上发布通知；行政机关只能在执行职务相关和必要的范围内，保持个人记录。除了法律另有规定外，禁止保持有关个人的宗教信仰、政治信仰与行政机关执行职务无关的个人资料；行政机关必须保持信息的准确性、即使行和完整性以及保障资料的安全。除了隐私权法，情报自由法对政府文件中的个人档案规定了比较完整的保护措施以外，法律对个人信息在经济领域的安全与合理流动所提供的保障很少，其采取的策略主要是依赖个人信息使用者的自我约束。与欧盟严格的法律管制相比，这种“行业自律模式”使美国国内企业获得了较为宽松的经营环境。行业自律模式是指“由公司或者产业实体制定行业的行为规章或行为指引，为行业的网络隐私保护提供示范的行为模式”。 蒋坡主编国际信息政策法律比较法律出版社 2001年版 第433页美国政府认为，自律机制，包括企业的行为准则，民间“认证制度”以及替代争议解决机制，配合政府的执法保障，可以有效地实现隐私保护的目的。为此，美国政府一直保持与商界和消费者团体的对话，鼓励更多地保护隐私，采用自律性的隐私保护政策。当然，美国采取的行业自律，并不是完全放任自流，其与政府有着密切的关系，严格来说应该是政府引导下的行业自律模式。二启示严格来说，每个国家或地区的法律应该都是自成一种立法模式。因为法律它集中反映的是每个国家、地区的社会生活、经济、政治状况。因而，每一个国家的个人信息保护法和保护模式反映的都是本国或本地区独特的国情，世界上没有任何两个国家的个人信息保护法和模式会完全一样。因此，从这个角度来讲，不存在所谓的区分欧盟或是美国这两种立法模式问题。但鉴于这两个实体在世界上的经济、政治地位以及他们对其他国家个人信息保护立法的影响力，故作此区分。当然，这种区分也是国际上共同采用的一种分类方式。应该说，不论是欧盟以立法为主导的保护模式，还是美国以行业自律为主导的保护模式，都是有其各自的价值观和社会基础作为支撑的。我们不能单纯的评论它的好坏，他们都有其合理的地方。作为第三方，我们应该分析了解他们各自特色，从中得出一些启示，为下面我国个人信息行政法保护作一些铺垫；另外，随着网络的发展和信息化、电子政务、电子商务的广泛应用，个人信息的保护问题已经日趋严重。在进行个人信息处理时，人们对政府机关、其他个人信息处理者提出了更高的要求，需要他们遵纪守法和行业自律相结合来规范其自身的行为。更为迫切需要关注的是，国际合作交往中越来越重视对个人信息的保护问题。众所周知，美国和欧盟经过两年多的协调、磋商和谈判，直到2000年通过“安全港协议”之后才初步解决了电子商务中的隐私权争端问题。但是，欧盟委员会同时申明，如果美国对其居民的个人信息保护被证明不充分，它将会重新开启谈判。由此可见，个人信息保护问题已经发展成为开展经济活动中的一个不可忽视的重要因素，处理不当将成为国际贸易、电子商务中的障碍。最近，由于我国没有“隐私权保护法”（或个人信息保护法），我国企业在欧盟、北美等地区已遭遇到了被禁止收集客户信息的局面，缺乏隐私权立法已成为区别对待我国企业与其他国家企业，实行“差别待遇”的理由，但这一切又不违反WTO的公平竞争的原则。其结果是我国的企业已处于“不平等竞争”的地位，经济利益上受到严重影响。 梅绍祖个人信息保护的基础性问题研究因此，我国亟待出台有关个人信息保护的措施和法律法规。然而，这些措施和法律法规，无疑应该都是在分析、借鉴国外这些经验的基础上加以规定的。在个人信息保护法（专家稿建议）中，也提到了这个观点。由于我国关于个人信息的保护工作还处于初步阶段，即使可以预见欧盟判断非欧盟国家法律充分性的标准仍会保持其“高门槛”，我们也不可能一蹴而就的就能达到这些标准，但我们又不得不以欧盟、美国的标准为参照。需要强调的是，如果中国与欧盟未来就中国个人信息保护立法的保护充分性问题展开谈判，我们应以自己个人信息保护的整个法律体系，展示其个人信息保护制度的充分性。那么，我们就应该以解决中国的现实问题为主要考虑，从分析、了解他们各自的个人信息保护特色，得出一些适合我国国情，特别是如何从行政法方面对个人信息进行保护的启示：相比美国，欧盟的个人信息保护制度重视人权，其宗旨是尊重自主和自由。而美国的个人信息保护制度重点在于维护市场经济的活力，倾向效率优先。欧盟国家深受二战及纳粹独裁的危害，因此特被珍视人民的自主权利与自由，并把隐私权视为公民不可缺少的基本权利，由强大严格的制定法传统形成统一立法的要求，对个人信息提供比较完备的法律保护。从欧盟指令的第一条，我们就能看出来：“成员国应保护自然人的基本权利和自由，特别是私人数据处理上他们的隐私权”。欧盟数据保护指令的目的在于通过协调国家间的数据保护立法，便利跨越国界在欧盟成员国之间传输数据，同时保护作为基本权利的数据隐私权；美国是一个尤其重视企业的创造力与创新性的国家。美国政府希望通过对隐私保护采取平衡的规制方式，创造有利于创新的最佳增长环境。在价值基础上，美国的自由主义哲学在个人信息保护领域贯彻的结果是强调自由而相对忽视个人人格对个人自由和市场自由的关注和强调在某种意义上超过了对隐私权的关注。但无论是强调人格尊严的欧盟数据指令还是侧重个性自由的美国在隐私权框架下对个人信息的保护，它们的目的却都是：在保护个人信息的前提下实现个人信息的合理流动。无论是专门立法、分散立法和行业自律模式，对个人信息的保护并非是限制其流动，而是要在“限制”中，协调和促进信息的自由流动。欧盟数据指令对我国个人信息行政法保护提供了一些诸如目的、使用范围等总的指导原则和指导理念。它通过一部专门立法，对公领域与私领域中的个人信息保护进行统一规范、统一保护。而美国分散立法和行业自律相结合的保护模式，是以公领域的个人权利保护与私人领域的合理利用为主要特点。首先，其对公私领域进行区分，在公领域政府机关收集、处理和利用个人信息的领域，采取分散立法模式，区分不同领域或事项对个人信息分别制定单行法进行保护；而在私领域私人机关收集、处理和利用个人信息的领域实行行业自律模式，由行业制定行为规章或行为指引来规范个人资料处理行为。对于自律机制不能解决的部分，由政府和行业共同合作解决。目前，无论是我国在个人信息的跨国流通中所面临的严重问题，还是国内对个人信息保护的严重不足，“就我国而言，国家立法主导模式更符合我国的国情，但同时也要鼓励产业界建立相应的自律机制”尚晓宇网络个人资料保护应采取国家立法主导模式检察日报 2003年10月27日这种观点在国内学者中已达成共识。在我国个人信息保护法制定后，以此为基础，逐步建立我国个人信息保护的法律体系。从行政法的角度，规制政府机关、其他个人信息处理者处理个人信息的行为：一方面调整好政府机关内部处理个人信息的行为，处理个人信息时政府机关与信息主体的关系，明确其义务；另一方面政府机关又要管理好其他个人信息处理者在处理个人信息时的行为。以此达到对个人信息的保护同时促进自由流通。第三章 我国个人信息保护法律现状之分析与反思一我国个人信息法律规范探源1.宪法现行宪法第38条规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”这一规定以宣示性的一般规定阐明了隐私权的价值基础。它也是我国个人信息权利的直接来源，虽然在这个条文中没有明确出现“隐私保护”的字眼，但是在实质意义上，通过对上述权利的保护，公民个人的隐私也间接不受侵犯。第39条规定：“中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。”第40条规定：“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”这两条主要是禁止对公民生活空间的侵犯和禁止对公民通信过程红的个人信息的任意拦截、篡改和披露。它们可以当做事我国个人信息权利的直接宪法依据。另外，诸如宪法第41条，第47条，第51条和宪法修正案第24条，则可以作为我国宪法对个人信息权利的间接保护依据。2.法律、行政法规、地方性法规我国的民法通则第100条规定：“公民享有肖像权，未经本人同意，不得以获利为目的使用公民的肖像。”第101条规定：“公民、法人享有名誉权，公民的人格尊严受到法律保护，禁止用侮辱、诽谤等方式损害公民、法人的名誉。”第102条规定：“公民、法人享有荣誉权，禁止非法剥夺公民、法人的荣誉称号。”这三条规定是宪法第38条在民法领域的具体体现。随后颁布的最高人民法院在关于贯彻执行若干问题的意见（试行）第140条规定：“以书面、口头等形式宣扬他人的隐私，或者捏造事实公然丑化他人人格，以及用侮辱、诽谤等方式损害他人名誉，造成一定影响的，应当认定为侵害公民名誉权的行为。”这是我国最高司法机关对于公民隐私权所作的第一次司法解释。它并未突破现行宪法和民法的规定，采取变通的方法，规定宣扬他人隐私应追究民事责任。可以看出，这种变通仅限于侵害隐私导致他人名誉损害的情形，对于宣扬他人隐私但未造成名誉损害的情形，这个解释便显得力不从心。由此可见，这个解释也只是对维护公民正当的隐私权利的一种权宜之计。中华人民共和国未成年人保护法第39条规定：“任何组织和个人不得披露未成年人的个人隐私。”全社会都应当尊重未成年人的人格尊严，不得进行侮辱其人格的行为。中华人民共和国妇女权益保护法第39条规定：“禁止侮辱、诽谤、宣扬隐私等方式损害妇女的名誉和人格。”把“宣扬隐私”作为侵犯妇女名誉权的特定情形之一，在特定的范围内简接地为妇女的隐私信息提供了保护。中华人民共和国刑法第252条规定：“隐匿、毁弃或者非法开拆他人信件，侵犯公民通信自由权利，情节严重的，处一年以下有期徒刑或者拘役。”以及第253条对邮政人员“隐匿、毁弃、非法开拆”信件、邮件等犯罪行为应承担刑事责任。中华人民共和国邮政法第4条规定：“通信自由和通信秘密受法律保护。除因国家安全或者追查刑事犯罪的需要，由公安机关、国家安全机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”随后由国务院颁布的中华人民共和国邮政法实施细则对这一条还做了进一步的程序性的规定，对禁寄的物品也做了详细的规定。此外邮政法第6条第2款对邮政人员的保密义务也做出了相关规定。各省、自治区和一些较大的市也都结合该法和本地区的实际情况制定了邮政条例或邮政管理办法。中华人民共和国商业银行法第6条规定：“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯。”第29条还规定，商业银行有权拒绝任何单位或者个人查询、冻结、扣划个人储蓄存款，但法律另有规定的除外。在中华人民共和国人民代表大会常务委员会第三次会议通过,并于2004年1月1日起施行的中华人民共和国居民身份证法第6条规定：“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息，应当予以保密。第19条规定警察“泄漏因制作、发放、查验、扣押居民身份证而知悉的公民个人信息，侵害公民合法权益的必须承担相应的法律责任。”对“构成犯罪的，依法追究刑事责任。”可以看出，居民身份证法特别注重保护个人信息公民权利的实现。强调身份证在本质上不再是政府机关监管公民的工具，而应该只是证明公民身份的凭证而已。 周汉华个人信息保护法（专家建议稿）及立法研究报告法律出版社 2006年版 第47页它不但规定了人民警察的保密义务，而且有针对性地设置了违法责任条款，为公民获得相应的司法救济提供了明确的法律依据。中华人民共和国统计法第15条规定：“属于国家秘密的统计资料，必须保密。属于私人、家庭的单项调查资料，非经本人同意，不得泄露。”第30条规定：“统计机构、统计人员违反本法规定，泄露私人、家庭的单项调查资料或者统计调查对象的商业秘密，造成损害的，依法承担民事责任，并对负有直接责任的主管人员和其他直接责任人员依法给予行政处分。”这两个规定在我国法律中属于比较明确、而且涉及到从行政法角度予以直接保护个人信息的内容，但遗憾的是其使用范围仅限于统计事务。另外，中华人民共和国档案法部分地满足了公民的愿望，对档案机构的设置及其职责以及档案的管理都做了规定，但可惜的是，但可惜的是整个法律对个人档案的保护涉及不多，而且由于缺乏个人查询自己档案的机制，使得很多人从出生到死亡都不曾见过自己的档案，这样就有可能造成某些错误得不到纠正。05年10月，中国人事科学研究院完成的中国人才报告指出，目前我国人事档案制度改革举步维艰。在报告提出的一些具体建议中，有一条值得我们关注：个人求职或服务的新单位欲了解、查阅其原单位的人事档案，由本人书面授权，原单位应无偿提供。非经个人授权，任何单位和个人不得以任何理由扣留、公开、披露个人档案信息。 中国青年报 2005年10月08日05:03 这表明在人事档案制度的改革开始关注对个人档案信息的保护。1997年，经国务院批准，公安部颁布的计算机信息网络国际联网安全保护管理办法第7条规定：“