（宪法学与行政法学专业论文）个人信息保护的行政立法研究.pdf

个人信息保护的行政立法研究 中文摘要 中文摘要 各国经验和我国事实证明，个人信息不仅需要民法、刑法领域进行立法保护， 行政法领域的立法保护同样重要。通过行政法律的调整，有利于加强市场经济主 体信息行为的合法化、也有利于行政主体合法、合理行政的有效实现并促进行政 效能的提高。 近年来，国内通过颁布实施政府信息公开条例、关于审理政府信息公开 行政案件若干问题的规定等行政立法、司法解释，开始重视对政府信息公开领 域的个人信息保护。但本文通过分析认为：个人信息保护不仅存在于行政主体领 域，也存在于非行政主体领域；不仅存在于政府信息公开领域，也存在于其他行 政行为当中。仅靠政府信息公开相关法律制度无法实现保护机制的完全覆盖，面 对信息处理主体行为，需要对国内行政实体、程序、救济制度进行适应性构建或 调整，以匹配未来个人信息保护专门立法的有效实施。 本文分为四个部分：第一部分为引言，通过案例引出个人信息行政立法保护 的意义，并对作为立法保护对象的个人信息及隐私权等进行概念厘定；第二部分 对国内现行个人信息保护法律制度的缺陷进行梳理和评析；第三部分尝试提出对 个人信息保护进行实体、程序制度的初步构建，包括：对监管部门的选择；个人 信息收集的行政法控制；政府信息公开与个人信息保护的关系梳理；行政协助中 的个人信息保护机制；第四部分探讨在法律适用竞合、归责原则、责任方式、受 案范围等方面的个人信息保护相关救济机制。 关键字：个人信息保护；法律制度；行政立法 作者：陈希 指导教师：黄学贤 t h e s t u d yo nt h ea d m i n i s t r a t i v el e g i s l a t i o no fp i p a b s t r a c t t h ee x p e r i e n c eo fl a w p r a c t i c ei nb o t hd o m e s t i ca n do v e r s e a sp r o v e st h a tp e r s o n a l i n f o r m a t i o nn e e dn o t o n l yt h e c i v i l l a w , c r i m i n a l l a wb u ta l s o l e g i s l a t i o no f a d m i n i s t r a t i v el a w , o fw h i c ha r e e q u a l l yi m p o r t a n t t h r o u g ht h ea d j u s t m e n to f a d m i n i s t r a t i v el a w , i sh e l p f u lf o rs t r e n g t h e n i n gt h em a r k e te c o n o m ym a i n b o d yb e h a v i o r l e g a l i z a t i o n ，i s a l s oc o n d u c i v et ot h e a d m i n i s t r a t i v es u b j e c t ，a d m i n i s t r a t i v e l e g a l r e a s o n a b l ee f f e c t i v ei m p l e m e n t a t i o na n dp r o m o t i o no fa d m i n i s t r a t i v ee f f i c i e n c y i nr e c e n ty e a r s ，t h ed o m e s t i ct h r o u g ht h ep r o m u l g a t i o na n di m p l e m e n t a t i o no f r e g u l a t i o n so no p e ng o v e r n m e n ti n f o r m a t i o n , o nt h et r i a lo fa d m i n i s t r a t i v ec a s e s a b o u tg o v e r n m e n ti n f o r m a t i o nd i s c l o s u r ep r o v i s i o n so ni s s u e ss u c ha s ”a d m i n i s t r a t i v e l e g i s l a t i o n ，j u d i c i a li n t e r p r e t a t i o n ，b e g i nt op a ya t t e n t i o nt ot h ep u b l i c i t yo fg o v e m m e n t i n f o r m a t i o ni nt h ef i e l do fp e r s o n a li n f o r m a t i o np r o t e c t i o n b u tt h r o u g ht h i s a r t i c l e a n a l y s i st h i n k s ：p e r s o n a li n f o r m a t i o np r o t e c t i o nn o to n l ye x i s t si nt h ea d m i n i s t r a t i v e f i e l d ，a r ea l s op r e s e n ti nt h ef i e l do fa d m i n i s t r a t i v es u b j e c t t h i sa r t i c l ei sd i v i d e di n t of o u rp a r t s ：t h ef i r s tp a r ti st h ei n t r o d u c t i o n ，t h r o u g hc a s e e l i c i t p e r s o n a li n f o r m a t i o nl e g i s l a t i o nt op r o t e c ts i g n i f i c a n c e ，a n da s t h e o b j e c to f p e r s o n a li n f o r m a t i o na n dp r i v a c yc o n c e p td e f i n i t i o n ；t h es e c o n dp a r ti st h ea n a l y s i so n d e f e c to ft h ec u r r e n td o m e s t i cl e g a ls y s t e mo n p e r s o n a li n f o r m a t i o np r o t e c t i o n ；t h et h i r d p a r tt r i e st oc o n s t r u c tt h el e g i s l a t i v ep r o c e d u r e ，i n c l u d i n g ：t h er e g u l a t o r yc h o i c e ，p e r s o n a l i n f o r m a t i o nc o l l e c t i o nc o n t r o lo fa d m i n i s t r a t i v el a w ；g o v e r n m e n ti n f o r m a t i o nd i s c l o s u r e a n dt h ep r o t e c t i o no fp e r s o n a li n f o r m a t i o ni nt h ea p p l i c a t i o no fl a w ；a d m i n i s t r a t i v e a s s i s t a n c ei nt h ep e r s o n a li n f o r m a t i o np r o t e c t i o ns y s t e m ；t h ef o u r t hp a r td i s c u s s e st h e a d j u s t m e n to nt h ea d m i n i s t r a t i v er e l i e f k e y w o r d s ：p e r s o n a li n f o r m a t i o n p r o t e c t i o n ；l e g a ls y s t e m ；a d m i n i s t r a t i v e l e g i s l a t i o n w r i t t e nb y ：s i dc h a n s u p e r v i s e db y ：h u a n gx u e x i a n i l 个人信息保护的行政立法研究 引言 引言 “1 9 9 3 年至2 0 0 0 年，纽约客重印次数最多的是一幅题为在互联网上， 没人知道你是一条狗的漫画。十多年过去了，这幅漫画所称颂的、可以在互联 网上不透露个人信息、发送或接受信息的时代即将过去。是时候该为这幅著名的 漫画出版一幅续集了，名字可以叫做在互联网上，连一条狗都躲不过”。 上述文字客观描述了在全球互联网技术的迅速发展的时代背景下，个人信息 保护的的紧张状态。进入2 1 世纪以来，国内包括网络在内的各种新型媒介的应用， 已成为大众获得信息的重要途径。个人信息也因各种各样的原因从以前单位时代 的实体档案馆，转移到网络平台。与此同时，网络信息的快速传播也有着很大的 负面性，在大量和错杂的信息中充斥着多样化的个人敏感信息。个人信息被各种 组织、个人以各种原因泄露的事件层出不穷，对公民的个人隐私甚至财产、生命 安全造成极大隐患。 一、案例引入 案例一：深圳4 万余名孕产妇个人信息遭泄露 2 0 1 0 年媒体报道，不法分子将深圳4 万余名孕产妇的信息制成光碟出售，有 受害人认为，这些信息详细而准确，很可能来自深圳市卫生部门建立的孕产妇信 息库。 尽管目前深圳市有关部门还在对信息来源和泄露的原因进行调查，但不可否 认的是，深圳市卫生部门作为掌握孕产妇信息最多最集中的部门，毫无疑问是第 一责任人。据受害人反映，泄密光碟上的孕产妇信息连户口、家庭住址、就诊医 院及预产期等都有，不法分子将这些信息出售给商家后，商家会频繁地给孕产妇 打电话推销各种产品。受害人认为，个人资料被泄露和她们到医院入院建卡时需 要填写的深圳市母子保健手册有关，手册罩包括姓名、住址、预产期等所有 孕产信息，相关信息填写后由医院录入深圳市孕产妇信息库，深圳7 0 余家医院能 共享这些信息。 案例二：储蓄实名制下，众学子集体“被办卡” 国覃术：“互联网无隐私”，载第一财经订报，2 0 1 0 年l o 月1 4 同。 圆摘自新华每电讯，2 0 0 8 年6 月1 6f 1 。 卿柳经纬：“公民个人信息保护亟待加强”，载人民f 1 报，2 0 1 0 年8 月3 l 口。 引言个人信息保护的行政立法研究 该事件同样发生于2 0 1 0 年，中国青年政治学院0 7 级、0 8 级、0 9 级1 0 0 多名 同学发现，他们在不知情的情况下于2 0 1 0 年6 月4 日在中国工商银行河北省分行 保定市分行七一支行一网点集体“被办理”了5 张工行储蓄卡。 尽管工行客服人员回应“办理储蓄卡并拖欠小额账户管理费，不会影响客户 信用记录”，并且“只要不交小额管理费，一年半后储蓄卡会自动销户”，但仍有 0 7 级同学出现了因为“被办卡”而无法办理新卡的情况，且所有被开户尚未注销 的储蓄卡均拖欠一定数量的小额账户管理费。此外，部分同学还接到工行通知， 其储蓄账号已被注销。 上述案例表明，随着信息技术的不断发展，不管是行政主体( 如案例一) 还 是非行政主体( 如案例二) ，其收集、利用个人信息变得越来越容易。这一趋势一 方面促进了公共管理社会事务能力和效率的提高，另方面也使得违法获得、泄露、 恶意利用、篡改个人信息的几率增加。 i各国相关立法和经验证明，个人信息不仅需要民法、刑法领域进行立法保护， 行政法领域的立法保护同样重要。通过行政法律的调整，有利于实现市场经济主 体信息行为合法化与现代资讯需求的统一；也有利于行政权扩张需求和诚信政府 建设的有机结合。可见，围绕个人信息保护的行政立法工作在当下具有重要的实 践意义。 ( 一) 实现市场经济资讯需求和个人隐私权保护的统一 除社会事务管理、提供公共服务的行政主体需要保有大量个人信息外，销售 渠道建设是任何经济体制、任何国家商业实体必备的营销前提。而销售渠道的客 体，除法人信息外，表现为大量的个人信息。其中包括极具私密性的家庭住址、 家庭经济状况、联系方式、个人喜好等。 正常情况下，只有本人才有权决定是否将个人信息予以交付商户或公开。然 而在国内，即使是个人针对特定商户的个人信息主动登记、填写( 如办理会员卡、 商户调查问卷等形式) ，也会由于相关法律控制的阙无导致在某一行业的一个商户 的主动登记后不久，就变成了该行业所有商户的“共享”资讯。 放眼国际市场，国内个人信息保护立法的不完善也造成了境内企业在销售渠 道建设上的步履维艰。国内知识产权法专家郑思成即曾指出，常有在欧盟国家、 北美国家开拓市场的我国大企业集团，被当地禁止收集客户信息。在许多知识产权 立法与执法健全的国家，一个企业所掌握的客户信息，被视为该企业的“商业秘密”， 2 个人信息保护的行政立法研究 引言 甚至是击败其他竞争者的王牌。我国企业被上述国家禁止收集各户信息，必将使我 国企业在该地市场竞争中处于不利地位。而这些国家下这种禁止令的理由，都是“中 国没有个人信息保护法”。 作为个人信息保护法律制度较完备的欧盟，其个人数据保护指令规定， 个人信息只能流通、共享至“数据保护充分”或具备其它条件的欧盟国家外国家。 随着越来越多的国家逐步达到欧盟国家指令的要求，欧盟国家以及其它国家完全 有可能根据对第三国商用个人信息保护水平的判断，对商用个人信息的跨国流动 作出单层次的限制，进而影响到整个国际贸易的正常进行。 大力发展社会主义市场经济当代中国，市场主体对于资讯需求的规范不仅需 要民法的调整，也需要行政法对市场主体的客户资源( 即个人信息) 的收集、流 通等进行规范才能真正实现市场经济资讯需求与个人隐私权保护的统一。 ( 二) 实现当代行政权扩张和公民权保护的统一 当代政府的职能发生很大的变化，行政权行使也从单纯的秩序行政方式向社 会服务、社会管理转变。现代行政权扩张使政府获得了更大、更为广泛的权力； 网络信息时代的急速发展则使行政主体在获取个人信息的“天然优势”得以更大 的展现。这客观上都对行政主体收集、流通、处理个人信息的全面、准确、速率 提出了更高层次的要求。 效率是行政权力永久的目标。正如有的学者所言，网络技术是人类追求效率 的结果，而行政机关正好适应了这一要求。行政机构和行政权力追求效率的品质 内在地暗合了全球化和网络时代追求效率的特性。 国内行政权扩张的趋势和信息共享机制的建立均凸显了保护个人信息这一公 民权客体的重要性。行政主体发挥获取个人信息“天然优势”是否有边界；行政 主体进行个人信息处理时如何在实现效率的基础上保障对个人信息的保护；行政 主体间在个人信息流通、共享时如何保证信息的不被泄露、滥用。这诸多疑问都 需要围绕个人信息，在法律“天平 上使行政权与公民权找到平衡。 ( 三) 实现诚信政府建设和个人信息保护的统一 据新闻报道，某市近万名车主的个人信息被制作成电子光盘的形式标价出售， 销售人员声称：“这些信息是从车管所拿到，准确率在8 5 以上”；央视今日说 法栏目记者在报道某地区车辆套牌泛滥时，通过收集到的各种证据隐晦地指出， o 摘自法制1 1 报，2 0 0 8 年8 月1 4 门。 圆黄旭；“网络时代政府权力扩张趋势分析”，载社会主义研究，2 0 0 7 年第2 期。 3 引言个人信息保护的行政立法研究 套牌所依赖的个人信息泄露主体也是机动车辆管理部门。据笔者了解，2 0 1 0 年在 苏州进行的全国人口普查工作中，社区作为基本普查主体，因普查涉及居民基本 信息的填写，敲门难，被拒绝的事情屡屡发生。 一般认为，社会诚信可分为个人诚信、企业诚信、政府诚信。我国诚信体系 建设中最主要、最核心的应该是政府诚信。 诚实信用原则业已成为现代政府行政行为多样化所催生的重要法治原则之 一。上述案例表明，政府诚信在某环节或部分的缺失，会造成严重的链锁反应。 如行政登记等传统强制行政行为对所涉及的个人隐私造成非法侵害的结果，那么 公民面对非强制行政行为时，自然选择“用脚投票”。 既然建立政府信息公开制度是实现政府诚信的可选路径，那么在当前建立完 备的个人信息保护制度则是是实现政府诚信的必由之路。个人信息的保护关乎不 仅关乎着个人隐私权的充分保障，也关乎着行政主体的合法、合理行政的有效实 现和促进政效能的提高，加强对个人信息保护的行政立法在当下具有双重重要的 意义。 杨海坤：“论政府诚信”，载广州大学学报( 社会科学版) ，第6 卷，2 0 0 7 年1 1 月第l l 期。 4 个人信息保护的行政立法研究 第一章行政立法保护对象相关概念厘定 第一章个人信息及其相关概念厘定 国内外相关立法文件和法律研究成果表明，本文研究的核心概念存在三种不 同的表述，分别是：个人信息( p e r s o n a li n f o r m a t i o n ) 和个人数据( p e r s o n a ld a t a ) ， 还包括隐私( p r i v a c y ) 。英美国家主要采用“隐私概念。 本文认为隐私概念涉及个人信息或个人数据的法律属性问题，故将在下一节 集中论述，这里重点尝试阐述其他两种表述的区别。 据称世界上已有5 0 多个国家或地区针对个人信息或个人数据保护制定了相关 法律。采用个人数据或个人资料概念进行表述的国家或地区主要是欧盟国家及其 成员国，如德国、英国、法国、丹麦等，以及其他受欧盟国家指令影响立法的国 家和地区；而日本、韩国、俄罗斯等相对较少的国家采纳了个人信息的概念，有 的学者通过比对法律文本的不同文字表述，认为主要是源于各国法律传统和体系 不同，其实质基本上都是一致的，在很多条件下也经常被混同对待。 个人数据英文一般翻译为“d a t a ，与信息“i n f o r m a t i o n ”相比，在英文中 有着不同的含义。本文赞同个人信息和个人数据在某种程度上或形式上的一致性， 但认为在实质上仍有区别。 英文字典中，i n f o r m a t i o n 仅指“f a c to rd e t a i la b o u ts b o rs t h ，即关于某人或 某事的事实或细节；而“d a t a ”则有两个含义，一个是“f a c t so ri n f o r m a t i o n ，e s p e c i a l l y w h e ne x a m e do ru s e dt of i n do u tt h i n g so rm a k ead e c i s i o n ，即特指用于查寻某种事物 或做出某种决定所依赖的事实或信息；另一个含义是“i n f o r m a t i o nt h a ti ss t o r e db ya c o m p u t e r ”，即储存于计算机中的信息。 可见在国内语言体系中，个人信息与个人资料之间是实质与形式的关系，即 个人资料是证明个人信息的载体，如纸质或电子文档等，当法律法规调整互联网 等电子个人信息保护时，可采用“个人资料”概念。我国现行的相关法律法规大 多也采用“个人信息”进行表述，如居民身份证法、护照法、统计法、社 会保险法、刑法等。 周汉华：“域外个人信息保护、：i = 法概况及主要立法模式”，载中国经济时报，2 0 0 5 年1 月1 3 日。 圆周汉化著：个人信息保护前沿问题研究，法律 i j 版社2 0 0 6 年版。 国下莹、李雅柳：“刑法对档案保护的新进展从维护国自档案到保障个人信息”，载档案捱垦设2 0 1 0 第l o 期。 5 第一章行政立法保护对象相关概念厘定个人信息保护的行政立法研究 i英美法系国家多以“隐私 来指代“个人信息”，如美国就以隐私权法( t h e p r i v a c ya c t ) 进行立法表述。这和英美法系于1 8 9 0 年创造的隐私或隐私权的概念 有关，一百年前，美国学者华伦( s a m u e ld w a r r e n ) 与布蓝迪斯( l o u i sd b r a n d i e s ) 在哈佛法学评论发表隐私的权幂t j ( t h er i g h tt op r i v a c y ) 一文，首次推出隐私 权定义：“独处而不被外界干扰之权利。隐私权观念在立法层面实际产生于美国 最高法院1 9 6 1 年蒲尔一案的判决。英美法系国家在形式上承认隐私权的客体不 仅包括个人信息，还包括如避孕物、婚姻关系、堕胎、私生活、安乐死等内容。 这是由英美法系国家司法判例制度决定的，该制度充分保障了英美法系国家可以 对个人信息和隐私( 权) 不加区分。另外隐私权保护的范围在世界范围内有不断 扩大的趋势，作为制定法传统的我国不具备在实质上将个人信息与隐私混同的条件。 国内法学界有研究成果认为隐私是隐私权的客体，准确的说隐私的一部分内 容是隐私权的客体。因为隐私包括私人信息、私人活动和私人领域，而只有私人 活动、领域本身的信息、内容和私人信息不愿被非特定人所知时，方构成隐私权 的客体。本人认为个人信息是隐私权的客体，即隐私权是个人信息的法律属性。 我国行政处罚法、反洗钱法等法律条文中也大量出现“个人隐私 的 表述。结合上述认识，私人活动、领域本身的、不愿被非特定人所知的信息与狭 义的个人信息构成了广义的“个人信息”。在这个层面上，个人隐私与个人信息在 内涵和外延上是一致的。 本文倾向于采用广义的“个人信息概念，并认为个人信息的法律属性是隐 私权。对于个人信息的法律属性，国内外学者存在以下不同认知： ( 一) 以波斯纳为代表的“所有权论 o 波斯纳通过经济学研究方法得出个人信息构成财产利益的结论，认为民众 对信息具有主动索取权，而信息主体对他们的信息拥有财产权利，并应允许 就这些财产权利( 所拥有的个人信息) 进行交易。 本文认为，结合我国传统观点和物权法等现行法律，将个人信息归于财 产利益的观点与国内的现行立法实践不一致。作为调整平等主体间的财产关系的 主要法律，我国民法通则和物权法中并未将个人信息作为财产性利益进 行规范。 国p o ev u i l m a n ，1 9 6 1 ，转引臼陆润康著：荚圈联邦宪法论，书海f f ：版社2 0 0 3 年版，第3 6 0 页。 国江、卜主编：民法学，中困政法大学 f ：版社2 0 0 0 年版，第2 9 6 2 9 7 页。 劫波斯纳著：侵权法：案例及经济分析，商务印书馆1 9 8 2 年版，第2 0 1 2 1 0 页。 6 个人信息保护的行政立法研究第一章行政立法保护对象相关概念厘定 ( 二) 以国内大多数学者为代表的“人格权论”。 此类观点认为，人格权可分为具体人格权和一般人格权，并将隐私权定位为 一种具体人格权。认为公民依法享有的住居不受他人侵扰以及保有内心世界、财 产状况、社会关系、性生活、过去和现在其他纯属个人的不愿为外界知悉的事务 的秘密权利属于一般人格权的范畴，且这些权利与隐私权共同构成个人信息保护 法调整的客体。 本文也认同将人格权作为个人信息的法律属性，并将隐私权作为人格权诸多 外延中的一项具体的人格权利。上述对隐私权外延的分析表明，国内隐私权的范 围其实也已经包括了“人格权论 者所说的全部内容。2 0 0 2 年中华人民共和国 民法( 草案) 中即在“人格权法”部分增加规定了自然人享有的隐私权。并认为 隐私的范围包括私人信息、私人活动和私人空间。禁止以窥视、窃听、刺探、披 露等方式侵害他人的隐私。 ( 三) 以国际组织为代表的“基本人权论” 此类学说从国际法视角出发，认为联合国宪章的目的和原则体现的是对基本 人权和自由的保障。联合国指南第l 条即规定：“禁止用非法或者不合理的方 法获得、处理个人信息，也禁止以与联合国宪章的目的和原则相违背的目的利用 个人信息”。那么基本人权就是个人信息的法律属性。 虽然我国2 0 0 4 年宪法修正案已将“国家尊重和保障人权”纳入宪法，但 人权所指向的宪法条文过于抽象且不具有实体法的操作性，故不认为在国内法学 层面将其作为个人信息的法律属性。 三、围绕个人信息的相关概念代称 本文出于为下文相关讨论提供语言便利，对行政主体或非行政主体围绕个人 信息产生的权利义务关系、行为内容等进行一定的概念代称，囿于研究旨趣并不 对下述代称相关性质等问题展开讨论。 首先，个人信息处理法律关系主体包括个人信息处理主体与信息主体。其中， 个人信息处理主体包括行政主体或非行政主体；而信息主体特指对个人信息享有 隐私权的公民。 其次，行政主体个人信息处理行为是指行政主体依法定职权，为实现行政目 的，对公民个人信息所进行的收集、保有、流通、处理行为；非行政主体个人信 国齐强军、齐爱民、陈琛：“论我国个人信息保护立法的权利基础”，载青海社会科学，2 0 1 0 年第l 期。 7 第一章行政立法保护对象相关概念厘定 个人信息保护的行政立法研究 息处理行为是指非行政主体为实现商业目的、或依公务委托，对公民个人信息所 进行的上述行为。 个人信息保护的行政立法研究第二章国内现行法律制度在个人信息保护上的缺陷 一、在实定法上个人信息及隐私权仅具有概念空壳 公民所享有的具体民事权利大多依赖宪法和民法的确定。在较早的研究中， 不少学者在宪法中寻找关于个人信息和隐私权的法律依据。典型的条文援引有： 宪法第3 8 条( 人格权保护) 、第4 0 条( 通信自由) 、第4 1 、4 7 、5 l 条和宪法修正 案第2 4 条。其中宪法第3 8 条规定“个人的人格尊严不受侵犯。禁止用所有形式 的方法对个人进行侮辱、诽谤和诬告陷害 。有学者据此认为该条是对个人信息保 护的原则性规定。 其中，第4 0 条规定：“个人的通信自由和通信秘密受法律的保护。除因国家 安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对 通信进行检查外，所有形式的组织或者个人禁止以所有形式的理由侵犯个人的通 信自由和通信秘密。 该条是对个人通信过程中的个人信息违法行为进行的禁止性 规定。 我们发现，上述所列条文实质上均没有对个人信息和隐私权进行明确定义。 另外，我国宪法虽然在法律体系上具有“母法 地位，但其法律条文大多为纲领 性、原则性规定，法律适用性和可操作性差( 如不可在行政诉讼中直接援引) 。 故上述对个人信息保护的宪法精神和相关规则有赖于部门实定法的进一步立法落实。 在民法领域，2 0 0 9 年侵权责任法的颁布标志国内立法首次将“隐私权” 纳入应受保护的民事权益之一。 该法实施前，我国法律使用的是“隐私”一词， 政府信息公开条例亦是如此。但是纵观整部侵权责任法，当中没有任何条 文对什么是隐私权进行规定，目前，也没有单行法或相关司法解释对隐私权的具 体内涵和外延作出司法解释。可见隐私权在国内实定法中面临着概念空壳的危机。 而对于“个人信息”这一概念，除刑法修f 案( 七) 把它作为法律概念进行提及 外，各实定法也均未对个人信息的内涵和外延问题作出过具体描述。特别指出， 国内政府信息公开条例也仅对“政府信息”这一概念进行过阐述。该条例第2 陈波、周小莉：“个人资料j 个人信息、隐私权的关系分析基于行政公开的视角”，载江汉论坛，2 0 1 1 年第4 期。 圆2 0 0 9 年，最高院对于关于裁判文书中引用法律、法规等规范性法律文件规定，在相关说明中认为：“宪 法足国家根奉火法，宪法规定j 解释和监督实施机关为伞罔人大及j 常委会。斟此，人民法院无杈解释宪 法小得引用宪法作为戡判依据”。并r “人民法院审判案件，小得在裁判文书中援引宪法规定。对于宪 法和法律仃规定的，人民法院应当依据法律规定审判案件”。摘自最高人民法院研究室编：最高人民法院 司法解释解读( 2 0 0 9 年卷) ，法律 版社2 0 1 0 年版，第1 9 6 页。 侵权责任法第二条规定：“本法所称民事权益，包括生命权、健康权、姓名权、名誉权、荣誉权、肖像 权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现 权、股权、继承杈等人身、财产权益”。 9 第二章国内现行法律制度在个人信息保护上的缺陷 个人信息保护的行政立法研究 条规定：“本条例所称政府信息，是指行政机关在履行职责过程中制作或者获取 的，以一定形式记录、保存的信息”。“个人信息”显然不能套用这一规定。 这样一来，当相关司法实践涉及隐私权的范畴时，不得不通过现存法律规则 所列举的相关条文内容或权利进行扩张解释，导致一定程度上个人信息保护法律 适用的漏洞。如关于贯彻执行 若干问题的意见( 试行) 第1 4 0 条规定：“以书面、口头等形式宣扬其它人的隐私、或者捏造事实公然丑化 其它人人格，以及用侮辱、诽谤等行为损害其它人名誉，造成一定影响的，可以 认定为侵害个人名誉权利的行为。” 另外，最高院关于确定民事侵权利精神损害赔偿责任若干问题的解释第l 条指出：“自然人因下列人格权遭受非法侵害，向人民法院起诉请求赔偿精神损害 的，人民法院必须依法予以受理：( 一) 生命权利、健康权利、身体权利；( 二) 姓名权利、 肖像权利、名誉权利、荣誉权利；( 三) 人格尊严权利、人身自由权利。违反社会公 共利益、社会公德侵害其它人隐私或者其其它人格利益，受害人以侵权利为由向 人民法院起诉请求赔偿精神损害的，人民法院必须依法予以受理。”该条构成对公 民在民法中具体权利的倒推解释。 对于隐私权的内涵和外延的立法确立问题，我们可以通过2 0 0 2 第九届全国人 民代表大会常务委员会第三十一次会议公布的关于 草案 的说明来进行展望。该草案在“人格权法 部分增加规定了隐私权。当中规定： “自然人享有隐私权。隐私的范围包括私人信息、私人活动和私人空间。禁止以 窥视、窃听、刺探、披露等方式侵害他人的隐私”。 i国内相对重视通过单行立法对诸如金融、电信、交通、教育、医疗等行业的 非行政主体的个人信息行为进行立法控制，这些行业也是个人信息受侵害的高发 区。但这些法律规范也很不具体，多呈现出原则性、分散性的特点。 如金融领域，较早颁布的银行管理暂行条例第4 7 条仅规定：“国家保护 个人储蓄存款，实行为储户保密的原则”；又如电信领域，2 0 0 1 年原信息产业部颁 布的电信服务质量监督管理暂行办法第2 5 条也仅原则规定：“电信管理部门 员工对调查所得资料中涉及当事人隐私、商业秘密等事项有保密义务。 随着对于个人信息保护的重视，近几年来颁布的法律法规中作出了相对具有 实体、程序意义的规定，使得个人信息保护有了一定的可操作性。如2 0 0 5 年中国 人民银行颁布的个人信用信息基础数据库管理暂行办法( 以下简称办法) 1 0 个人信息保护的行政立法研究第二章国内现行法律制度在个人信息保护上的缺陷 中就分别在总则、报送和整理、查询、异议处理、安全管理、罚则等各章，对个 人信息的收集、保有、流通、处理等作了较为详细的规定。但该办法在相关 救济、法律责任的制度设计上仍存在较大缺陷。如在信息主体对个人信息的查询 制度设计上，现行立法仅接受异议处理，限制了当事人的权利。 近年来，地方层面纷纷通过政府信息公开立法的方式对个人信息进行一定程 度的保护。继2 0 0 2 年广州市颁布国内第一部政府信息公开规定后，北京、上 海( 相关法规今已废止) 等地均颁布了适用本地区的政府信息公开规定。这 些地方法规无一例外规定了涉及个人隐私的政府信息免予公开的事项。但对个人 隐私的内涵和外延没有作进一步的解释，造成适用时各地的不统一。自2 0 0 8 年国 家颁布政府信息公开条例后，相关诸如实施办法、细则等相关立法配套工作 在国务院各部门、地方各省、地级市层面雨后春笋式地展开。 一些地方法规对个人信息的安全及合理适用问题也开始进行立法关注，如 2 0 0 3 年广东省率先制定的电子交易条例；又如2 0 0 4 年北京市颁布的个人信 用征信管理试行办法等均规定要保障个人信息的准确、安全以及正当使用。此 外，我国相关地方性法规，仅围绕行政主体或非行政主体的个人信息流通、处理 行为进行立法规制，对至关重要的收集行为却鲜有规定，如计算机信息系统安 全保护条例和广东省电子交易条例即是如此。 也有不同的例子。上海市2 0 0 8 年颁布的促进电子商务发展规定第1 6 条规 定：“企业在从事电子商务的过程中需要采集个人信息的，应当向信息提供人说明 采集目的和使用范围，不得收集与该经营事项无关的个人信息，不得超越范围使 用所获得的个人信息；对获得的个人信息应当采取必要的安全措施，保障其不被 泄露；未经信息提供人同意，不得将所获得的个人信息向第三方转让”。 上述分析表明，个人信息保护的现行立法，除政府信息公开条例相关立 法外，法律位阶多集中在地方性法规层面，各地又呈现出保护范围和力度的不尽 相同。本文认为，作为隐私权( 具体人格权) 的客体个人信息的保护更应体 现宪法上的平等原则，即无论任何居住地的任何公民均应受到平等的保护。从这 个角度上来说，国内亟需一部法律位阶更高立法来统领个人信息的保护工作。 相对于实体保护的规定，我国相关法律救济机制中对个人信息的保护显得更 个人信用信息幕础数据库管理暂行办法第f | 六条规定：“个人认为本人信用报告中的信用信息存和错误( 以 下简称异议信息) 时，町以通过所在地中国人民银行征信管理部门或直接向征信服务中心提j n 书面异议申请”。 圆范古胜、景丽萍：“政府信息公开过程中的个人信息保护”，载i i l 书馆学研究，2 0 1 0 年第2 l 期。 1 l 第二章国内现行法律制度在个人信息保护上的缺陷 个人信息保护的行政立法研究 加无力。首先，救济机制由于三大部门法对个人信息保护的立法进程不同，呈现 偏刑事责任的特点。如刑法第2 4 6 条第l 款规定：“以暴力或者其它方法公然 侮辱其它人或者捏造事实诽谤其它人，情节严重的，处三年以下的有期徒刑、拘 役、管制或者剥夺政治权”；第2 5 2 条规定：“隐匿、毁弃、非法丌拆其它人信件， 侵犯个人通信自由权，情节严重的，处一年以下有期徒刑或者拘役”；第2 5 3 条规 定：“邮政员工私自开拆或者隐匿、毁弃邮件、电报的，处二年以下有期徒刑或者 拘役。”这些法律规则可认为是国内刑法体系中对个人信息保护的最早规定。 2 0 0 9 年刑法修正案( 七) 的颁布标志在刑法层面首次明确提出了对个人信息 的保护。该修正案对刑法的第2 5 3 条增加条款规定：“国家机关或者会融、电 信、交通、教育、医疗等单位的员工，违反国家规定，将本单位在履行职责或者 出具服务过程中获得的个人信息，出售或者非法出具给其它人，情节严重的，处 三年以下有期徒刑或者拘役，并处或者单处罚金。窃取、收买或者以其它方法非 法获取上述信息，情节严重的，依照前款的规定处罚”。 关于 ( 草案) 的说明阐明，国家将此类 犯罪归为侵犯公民权利犯罪类别的同时，在刑法层面明确了对个人信息保护的立 法目的，并在法律制度设计上将行政主体和非行政主体的个人信息行为进行统一 调整。但将犯罪主体限于个人，对非行政主体作为单位犯罪的情形没有规定。但 不得不说，这是首次在三大部门法的法律层级渊源( 民事、行政、刑事) 中出现 的，较全面、明确的对个人信息保护的实定法规则。 在行政法领域，国内行政诉讼法的公开审判制度中确立了有关个人隐私的案 件不公开审理的原则，尚可认为是体现了审判模式上对个人信息的间接保护。但 在诸如救济途径、归责原则、受案范围、责任方式等方面尚待进行立法调整。对 此问题将在下文中专门进行分析。 1 2 个人信息保护的行政立法研究 第三章对行政实体、程序立法构建的初步探讨 第三章对个人信息保护实体、程序制度的初步构建 最初的联邦资料保护法仅规范行政主体的个人信息行为，德国针对非行 政主体的个人信息行为采取的是私法调整的模式。这里的“私法采广义理解， 即不仅包括法律调整，还包括行业组织自律。据此，德国最初所采取的监管模式 是对行政主体的国家监管和对非行政主体的行业自律。 但德国在七年后颁布的新联邦资料保护法在对人效力上体现出对行政主 体和非行政主体的行为一并进行了约束的趋势。之后的1 9 9 0 年和2 0 0 1 年该国又 进行了对该法的修订也是这样。观察德国联邦资料保护法的立法修订史，形 式上是对欧盟法律体系的约束而进行的国内法调整。其修订路径主要体现在从单 纯规制行政主体，到加入非行政主体的不断过程。但后两次修订从对非行政主体 调整的原则、力度上讲，约束力仍弱于对行政主体的规范。如德国近年来通过大 量特别立法，对行政主体的个人信息处理行为进行了一定的加强和细致化规定， 而对非行政主体则仍保留着一定的行业组织自律空间，这也导致德国作为欧盟国 家，在监管部门的设立上仍采取之前的国家监管加行业自律模式。 本文认为，无论我国未来在个人信息保护立法时采取何种立法模式，在对非 行政主体的监管上均应避免行业自我约束方式。众所周知，我国公民社会的建设 尚不完善，也不存在自下而上的自我约束传统。其次无论n g o ( 非政府) 组织还 是行业协会，其公信力、约束力均无法与国外相比。非行政主体的行业自我约束 模式无法承担保护个人信息的重任。 那么具体到应选择哪个监管主体呢? 本文认为，我国工业和信息化部的职能 范围完全契合了国家层面对个人信息保护的监管机制需求。根据我国工业和信 息化部主要职责内设机构和人员编制规定( 国办发 2 0 0 8 1 7 2 号) 的规定，重组后 的工信部具有如下职能：1 ) 统筹推进国家信息化工作，组织制定相关政策并协调 信息化建设中的重大问题，促进电信、广播电视和计算机网络融合，指导协调电 子政务发展，推动跨行业、跨部门的互联互通和重要信息资源的开发利用、共享； 2 ) 承担通信网络安全及相关信息安全管理的责任，负责协调维护国家信息安全和 国家信息安全保障体系建设，指导监督政府部门、重点行业的重要信息系统与基 础信息网络的安全保障工作，协调处理网络与信息安全的重大事件；3 ) 开展工业、 。周健：“加拿大隐私权法与个人信息的保护”，载法律文献与信息研究，2 0 0 1 年第l 期。 1 3 第三章对个人信息保护实体、程序制度的初步构建个人信息保护的行政立法研究 通信业和信息化的对外合作与交流，代表国家参加相关国际组织。 所以本文建议将工业和信息化部作为最高监管部门，地方则由原信息产业部 在3 1 个省、自治区、直辖市设置的、实行垂直管理的通信管理局履行个人信息保 护监管职能。其法定职能包括临检、定时检查权、行政建议权和行政处罚权。 二、对个人信息收集的行政法控制 个人信息保护法视野下的个人信息行为是以收集为起点，至保有、流通、处 理的全部过程，从动态上看各个环节紧密连接在一起，共同构成了个人信息行为 的整体。其中，个人信息收集行为无论对行政主体还是非行政主体来说，都具有 前提和基础意义。各国个人信息保护法都着重对收集、保有问题做出大量的规定。 加拿大甚至专门颁布信息获取法规范行政主体对个人信息的收集行为。 在对个人信息的收集进行行政法控制时，相关法律规则的明确性和可操作性 至关重要。而我国现行立法大多规定模糊，很难准确适用。如深圳市深圳经济 特区人才市场条例第9 条中对涉及个人信息采集的用人单位和中介机构进行规 范时，只规定在招聘活动中不得强制应聘人才提供与招聘职位无关的个人信息。 然而如何界定“与招聘职位无关”并不明确。 相比来讲，我国澳门地区的相关立法却呈现出其他的特点。1 9 9 9 年民法典 第7 9 条，对个人信息收集行为的规定集中在第二款：“收集个人数据以便作信息 化处理时，应严格依照收集该数据之目的而进行收集，并应让当事人知悉该等目 的”。 1 9 8 0 年经济合作与发展组织( o e c d ) 关于隐私保护与个人数据跨界流动的 指导方针之解释备忘录中，对个人信息的收集的原则、方法做了细致的阐 述，并据此总结为收集限制原则，值得国内立法过程中借鉴吸收。 通过研究o e c d 相关备忘和各国立法，本文认为应结合对收集本身的限制、 对收集质量的限制两方面，并区分行政主体和非行政主体来构建行政法控制框架。 另外针对非行政主体，特别设计对网上收集行为的行政许可限制制度和对网下收 集行为的档案制度限制制度。 ( 一) 对收集本身的限制收集目的和收集对象 l 、对收集目的的限制 回深圳经济特区人才市场条例第九条规定：“不得强制应聘人才提供与招聘职位无关的个人信息； 未经应聘人才本人同意，不得擅自公开其求职资料和个人信息，但法律法规另自规定的除外。 1 4 个人信息保护的行政立法研究 第三章对行政实体、程序立法构建的初步探讨 收集目的对非行政主体的要求是必须符合商用、或严格依据公权力的委托事 项。而对于行政主体的要求则是行政主体在个人信息收集行为中要遵循的职权法 定原则、比例原则。职权法定原则要求行政主体收集时仅可依法定职权进行，不 能随意收集个人信息。比例原则要求行政主体在收集个人信息的过程中重点避免 不妥当的收集，即应避免以下四种情形：收集结果对目的来讲“不足”；收集所追 求的目的超出了法定的目的；对相对人施加的手段，是法律上不可能或事实上不 可能；收集达成后，或者发现收集无法达成时，未立即停止行政行为。 2 、对收集对象的限制 在收集对象的限制上，对于两类信息处理主体是相同的，即收集的对象必须 符合个人信息本身的定义。从这个角度来看，这里的“限制”实为“确认”。对于 该问题学界和实务界存在一定的不同认识，总结各国