（宪法学与行政法学专业论文）个人信息保护法律制度研究.pdf

个人信息保护法律制度研究 学位论文完成同期： 指导教师签字： 答辩委员会成员签字： | | i l ll lr ll f l r i l li i i i iif y 18 3 0 3 3 3 ， 巧备 独创声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含未获得或 其他教育机构的学位或证书使用过的材料。与我一同工作的同志对本研究所做的 任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：来暗签字同期：阳j 年月罗r 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，有权保留并 向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人 授权学校可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用 影印、缩印或扫描等复制手段保存、汇编学位论文。同时授权中国科学技术信息 研究所将本学位论文收录到中国学位论文全文数据库，并通过网络向社会公 众提供信息服务。( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：屏j 耷导师签字：到救 签字同期：弘加年月7 日签字同期：如卜年月7 f i 个人信息保护法律制度研究 摘要 个人信息是有关自然人的所有信息，对个人信息的保护本质上是对人格权的 保护。近年来个人信息保护制度如何构建一直是理论界研究的热点问题，我国的 相关研究起步较晚，理论研究还比较薄弱。对于怎样构建我国的个人信息保护体 系理论界并没有统一的认识，因此笔者试图通过本文探讨符合我国国情的个人信 息保护制度。在全面分析了域外的个人信息保护模式之后，笔者倾向于按照美国 的“安全港模式”来设计中国的个人信息保护制度，这种制度不仅有专门的个 人信息保护法，还将大量的行业自律条约引入到个人信息保护的架构当中，这 样能最大限度的发挥全社会的力量构建我国的个人信息保护之网。为了说明这个 问题，笔者从以下几个方面进行论述。 第一部分是全文的基本理论阐述阶段，从个人信息的概念入手，分析研究了 个人信息的概念、基本内容和外在形式以及与其他相关概念的区别联系。通过这 一部分的论述，全面厘清个人信息的内涵和外延从而为后面的论述打下基础。 第二部分则简要介绍了相关国家和地区关于个人信息保护方面的立法规定， 重点分析了美国和欧盟的立法现状，通过这一部分的介绍，展示了世界范围内关 于这一问题的理论和实践成果。 第三部分分析了我国的个人信息受侵害现状，通过几个活生生的例子揭示了 中国目前存在的严重的侵害个人信息的现状。我国目前个人信息的侵害现状已经 非常严重，相关的报道也很多，而我国的法律保护却相对不力，社会的发展在呼 唤着我国个人信息保护法律制度的快速发展和完善。 第四部分是本文的重点和创新之处，关于个人信息保护的保护模式，有的专 家建议采取立法的模式，而笔者认为，立法模式虽然符合我国大陆法系困家的传 统，但是仅仅依靠一部法律难以应付闷益膨胀的个人信息侵害现状，因此应当将 行业协会的自律条约通过审核的方式使其成为“准法律”与个人信息保护法构成 一个完整的体系共同保护我国脆弱的个人信息。 关键词：个人信息；个人信息保护法；行业协会；安全港模式 p e r s o n aiin f o r m a tio np r o t e c tio nk e g ai s y s t e m a b s t r a c t h o wt ob u i l dap e r s o n a li n f o r r n a t i o np r o t e c t i o ns y s t e mh a sb e e nah o ti s s u ei nt h e s t u d yo ft h e o r y , o u rr e s e a r c hh a sd e v e l o p e dr a p i d l yd e s p i t e al a t es t a r t ，h o w e v e r , p r o f e s s o ra n dp r o f e s s o rz h o uh a n h u am o d e l sf r o mt h ep r o p o s e dd r a f to ft h e i n t r o d u c t i o no ft w oe x p e r t s r e s e a r c hi nt h i sa r e ai no t l rc o u n t r yh a sm a t u r e d s i g n i nt h e e x p e r ta d v i c eb a s e do nt h ed r a f ti nl i n ew i t ho u rn a t i o n a lc o n d i t i o n sa n dt h i sa r t i c l e a t t e m p t st oe x p l o r et h ep e r s o n a li n f o r m a t i o np r o t e c t i o ns y s t e m s ，ac o m p r e h e n s i v e a n a l y s i so ft h ee x t r a t e r r i t o r i a lp e r s o n a li n f o r m a t i o np r o t e c t i o nm o d e it e n dt of o l l o w t h eu s ”s a f eh a r b o rm o d e l ”t od e s i g nap e r s o n a li n f o r m a t i o np r o t e c t i o ns y s t e mo f c h i n a , t h i ss y s t e mn o to n l yh a ss p e c i a l i z e di nt h e ”p e r s o n a li n f o r m a t i o np r o t e c t i o n a c t ”al a r g en u m b e ro fi n d u s t r yp r a c t i c e sw i l lb ei n t r o d u c e dt ot h es t r u c t u r eo f p r o t e c t i o no fp e r s o n a li n f o r m a t i o nw h i c h s ot om a x i m i z et h ep l a ya l ls o c i a lf o r c e st o b u i l do u rw e bo fp r o t e c t i o no fp e r s o n a li n f o r m a t i o n t oi l l u s t r a t et h i sp r o b l e m s e v e r a l a s p e c t sf r o mt h ef o l l o w i n gd i s c u s s i o n t h es e c o n dc h a p t e rf o c u s e so nt h er e l e v a n tc o u n t r i e sa n dr e g i o n sa sr e g a r d st h e p r o t e c t i o no fp e r s o n a li n f o r m a t i o n ，l e g a lr e q u i r e m e n t so ft h eu n i t e ds t a t e sa n dt h e e u r o p e a nu n i o nf o c u s e do nt h el e g i s l a t i v es i t u a t i o n ，t h ei n t r o d u c t i o nb yz h e y i b u f e n ， s h o w i n gaw o r l d w i d eo nt h i si s s u ew i t h i nt h et h e o r ya n dp r a c t i c eo fc h e n gg u o b e t t e r t od i s c a r dt h ed r o s si t se s s e n c e s of o ro u ro w nu s e t h et h i r dc h a p t e ra n a l y z e st h es t a t u so fo u rp e r s o n a li n f o r m a t i o np r o t e c t i o n ， t h r o u g hs e v e r a lr e a l l i f ee x a m p l e sr e v e a l t h ee x i s t e n c eo fc h i n ai sas e r i o u s j n f r i n g e m e n to ft h es t a t u so fp e r s o n a li n f o r m a t i o n c h i n a sc u r r e n ts i t u a t i o na g a i n s tt h e p e r s o n a li n f o r m a t i o nh a v eb e e nv e r ys e r i o u s ，t h e r ea r em a n yr e p o r t sr e l a t e dt o ，b u t c h i n ai sr e l a t i v e l yw e a kl e g a lp r o t e c t i o na n ds o c i a ld e v e l o p m e n ti nc a l l i n go u rl e g a l s y s t e mt op r o t e c tp e r s o n a li n f o r m a t i o n ，t h er a p i dd e v e l o p m e n ta n di m p r o v e m e n t t h ef o u r t hc h a p t e ri st h ef o c u so ft h i sa r t i c l e ，a n di n n o v a t i o n s ，o nt h ep r o t e c t i o no f p e r s o n a li n f o r m a t i o np r o t e c t i o nm o d e t h et w oe x p e r t sw e r eu n a n i m o u s i nt h e r e c o m m e n d a t i o n so ft h ea d o p t e dd r a f tm o d e ll e g i s l a t i o n ，b u tlt h i n kt h a tm o d e l ，w h i l e l e g i s l a t i o ni nl i n ew i t ho u rt r a d i t i o no fc i v i ll a wc o u n t r i e s h o w e v e r , al a wa l o n ei s d i 衔c u l tt oc o p ew i t ht h ee x p a n s i o no fp e r s o n a li n f o r m a t i o na g a i n s tt h es t a t u sq u o ， a n dr e l a t e di n d u s t r i e ss h o u l db e a b s o r b e di n f u l lu s eo fi t si n d u s t r yn o r m sa n d i n d u s t r yp r a c t i c e ss e l f - d i s c i p l i n e ，s oa st h el e g a lc o n s t r u c t i o no fa d d i t i o n a la n db e t t e r i n f o r m a t i o nf r o mi n d i v i d u a l s p r o t e c t i o ns y s t e m k e y w o r d s ：p e r s o n a li n f o r m a t i o n p e r s o n a li n f o r m a t i o np r o t e c t i o na c t i n d u s t r y a s s o c i a t i o n s a f eh a r b o rm o d e l 目录 弓i 言1 第一章个人信息保护制度概述2 第一节个人信息的概念2 第二节个人信息与相关概念的关系。4 第三节个人信息的特征、分类及法律属性5 第二章域外个人信息保护立法简介。9 第一节美国个人信息保护立法9 第二节欧盟的个人信息保护立法1 0 第三节德国和同本的个人信息保护立法1 1 第四节我国香港和台湾地区个人信息资料保护立法1 2 第三章中国个人信息受侵害的现状1 3 第一节中国个人信息受侵害的概述1 3 第二节中国个人信息受侵害的特征1 7 第三节具体侵害个人信息的环节1 9 第四章如何构建我国的个人信息保护制度2 1 第一节立法模式与行业自律模式的比较研究2 3 第二节立法模式与行业自律模式的融合“安全港模式”2 7 第三节我国安全港模式之选择2 9 结语4 0 参考文献。4 l 仝厶信恳缢坦法徨剑筐虹究 引言 个人信息保护在这个时代具有重要的意义，最近几年来这个问题在法学、伦 理学、社会学等学科都引起了广泛的关注。从国外的实践看来，个人信息保护制 度研究在二十世纪末出现，在近几年日趋完善和成熟，在国内，我国的相关专家 学者也倾注了大量的精力和心血，尤其周汉华教授和齐爱民教授的专家建议稿出 台标志着我国的研究已经进入成熟阶段。之所以个人信息保护制度引起了人们这 么大的兴趣，主要是人类世界进入二十世纪六七十年代以来，随着计算机技术的 突飞猛进，批量收集、储存和处理个人信息成为可能，计算机在给人们带来巨大 便利的同时也日益侵蚀着人们脆弱的隐私权，而个人信息作为个人隐私权的一个 重要客体，首当其冲。在这样的背景下，立法模式以其权威性高、社会成本少而 成为各困的首选。 在当今的信息社会中，信息的传递、处理和利用方式十分灵活、快捷，与个 人有关的各种信息很容易在本人不知情的情况下泄露出去，由此导致了人们心理 上的不适和生活上的诸多不便，有的人甚至会遭遇生命或者是财产的损失。这其 中主要的方式就是个别无良的商家和网站伙同个别掌握着个人信息资源的人和 机构进行无休止的电话骚扰和短信骚扰，互联网上铺天盖地的垃圾邮件往往令人 不胜其烦，不但占用了邮箱空间，而且需要花费很多时间来处理。更为严重的是， 通过盗窃信用卡密码、身份证号码等方式，从银行或其他金融机构骗取不义之财 的情况也屡屡见诸报端，这种现象加重了人们对个人信息安全的担忧。可见， 保护个人信息已经到了非常紧迫的时候了。 在中国，随着市场经济的不断深入，个人信息潜在的市场价值越来越大，其 遭到不当收集滥用的机率也越来越大，如医院。房地产商、汽车经销商等能够合 法获得个人信息的社会主体未经消费者的许可便私自将这些信息低价卖给需要 这些信息的主体，而这些主体往往没有合法资质，利用手中的信息轻则电话轰炸， 短信骚扰，重者有些人利用这些信息进行违法犯罪活动，而在中国，这种事情时 常见之于报端，但是我国到目前为止我国并没有统一的法律更没有统一的执行机 构仅仅在有些法条中口号式的提几句，根本就没有任何的法律执行力。随着侵犯 个人信息法律案件的增多，为了规范个人信息的合理利用，保护个人权利，保护 个人信息的有序合理利用，我国急需建立一部专门的个人信息保护法对相关问题 进行专门的规定。因此，对于中国而言，汲取国外的相关立法经验，立足于中国 特色社会主义构建一部高水平的个人信息保护法已经到了刻不容缓的时候了。 第一章个人信息保护制度概述 第一节个人信息的概念 信息是人们在日常生产和生活中产生的，它通过文字、声音、图形、音像等 形式存在。并且通过各种方式传播，广泛的存在于自然界、人类社会和人的思维 之中。因此，“凡是用以表达主观世界与客观世界的各种符号都可以被看做是信 息。”人类自诞生之初就在产生利用和传播着信息，从最原始的结绳记事、文字 交流到今天互联网的广泛应用，均包含着信息的产生、传递、识别、显示、提取 和利用，当今世界更是一个信息社会，“个人信息”( p e r s o n a li n f o r m a t i o n ) 顾 名思义，就是关于个人的信息。应该说，个人信息并不是新鲜事务，每个人在生 产生活中都会产生关于自身的大量信息，但是，在互联网广泛发展的今天，个人 信息以其广泛的包容性，巨大的商业性以及潜在的道德和商业风险，日益成为人 们关注的对象，尤其在法律领域，对其规制保护和利用已经在许多国家和地区广 泛的发展起来。 对于个人信息的定义，专家学者们进行了深入的研究，相关概念也很多，但 是有较大影响的定义主要有概括型、概括列举混合型和识别型三种模式。 概括型模式就是单独使用概括的方法描述个人信息的定义方式，从中提取核 心要素。当前采取概括型模式的国家主要有德国，美国，荷兰，o e c d ( 经济合作与 发展组织) 和我国的香港地区。据德国资料保护法第2 条之规定，个人资料 是指“儿涉及特定或可得特定的自然人的所有属人或属事的个人资料”。美国商 务部签发的安全港隐私保护原则亦采用概括性定义模式。该规则规定，“个 人数据”和“个人信息”是指在指令的覆盖范围内，关于某一确定的人的数据或 用以确定某人的数据。应当浼，概括性模式是比较早期的个人信息模式，它的 。刘爱静：我国个人信息侵权问题研究，大连理工人学硕十论文，2 0 0 8 年，第2 页。 。齐爱民：拯救信息 会中的人格，法律版社，2 0 0 8 版，第8 4 页。 2 优点是具有极大的概括性，但是缺点是不具有针对性，容易产生法律争议。 为了克服单纯概括所带来的针对性弱的缺点，英国和我国的台湾地区采用了 概括加列举的模式。这种模式的优点就是能使民众比较直观的知道该法所保护的 对象。比如，我国台湾“资料法”第1 条第3 款规定，“个人资料指自然人之姓 名、出生年月日、身份证同意编号、特征、指纹、婚姻、家庭、教育、职业、健 康、病历、财务情况、社会活动等足以识别该个人之资料。” 识别性模式是当前比较流行的定义。a p e c ( 亚洲经济合作组织) 隐私架构中 所称的个人信息主要是指可以识别个人的信息，此种识别包括直接识别和间接识 别两种类型。所谓的“识别 就是信息主体与信息之间存在着某一客观的关联性， 通俗的说就是通过这些客观的信息就能把某一个主体“认出来。“个人信息”指 个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或 者可以和其他信息对照可以识别特定的个人的信息这种识别可能是直接识别也 可能是问接识别，直接识别的个人信息包括姓名、个人身份证号码、驾驶执照等 等；间接识别的个人信息是指那些不能直接识别出个人，还要与其他信息相联系 才能识别出个人的信息，包括爱好、学历、职业、经历等。我们在分析一个具体 主体的个人信息时，毫无疑问，姓名、性别、身份证号、学历、职位、生活经历 等都是体现这个主体的特定内容，这些信息的汇总与整合就会大致勾勒出一个人 的概况，这就是个人信息的特点，也就是可以识别性。可以识别性是个人信息的 内核，它构成了个人信息的骨架，当然，这种信息可以使主体知道的，但是还有 一些是主体所不知道的，但是不管是本人知道的还是本人不知道的，个人信息保 护法都将给于同等的保护。 以上三种模式各有优缺点，在今后我国个人信息保护法立法过程中，笔 者主张应该把识别型和概括性结合起来。识别是界定个人信息的最核心的要素， 但是概括性模式可以兼顾概括型和列举型的长处，不但对个人信息做出了概括型 规定，避免挂一漏万，又突出了个人信息的重点内容，符合我国立法的现实化和 明确化的要求。所以笔者认为个人信息的定义应该是：个人姓名、住址、出生同 期、身份证号码、医疗记录、人事记录、照片等单独或者可以和其他信息对照可 以识别特定的个人的有关信息以及除此之外其他任何与自然人有关的信息。 o 刘爱静：我图个人信息侵权问题研究，人连理t 大学2 0 0 8 级硕士论文，第2 页。 国周汉华：中4 # 人民共和困个人信息保护法专家建议稿，法律出版社，2 0 0 6 年9 月版，第3 页。 3 第二节个人信息与相关概念的关系 “个人信息”这一概念并不是一个得到所有专家学者认同的概念，“个人资料 “个人数据”“个人隐私”等都是与之非常类似的概念，那他们之间到底有什么 样细微的区别呢? 笔者将“个人信息”与相关的概念进行比对，以期找到他们之 间的细微差别。 个人信息与个人隐私。隐私来源于英文p r i v a t e ，其最早产生于美国，1 8 9 0 年，路易斯布兰代斯和沃伦在哈佛法律评论上发表的隐私权一文中，首 次提出将隐私权定义为“不受干涉”或“免于侵害”的独处的权利。在中国学 者中也有人称“个人信息 为“个人隐私”，而更多的学者倾向于“个人信息 的称谓，“隐私权”和“个人信息 不仅是称谓不同而是有独立的内涵和外延的 不同概念。“个人隐私”和“个人信息 最大的区别主要在于两者的包括范围上， 一般而言，“个人隐私”包含在“个人信息 之中，即个人信息包含个人隐私， 个人隐私只是个人信息的一部分，在人们日常的工作和生活中，隐私的信息是存 在的，但不是特别广泛，绝大部分的个人信息并不涉及个人隐私。比如说个人公 开的信息等，但这些个人信息同样需要个人信息保护法律加以规范和提供保护， 法律对个人信息的保护是对满足一定条件的所有个人信息进行的概括而全面的 保护，并不是仅仅停留在保护隐私权这么一个方面。同时，个人信息的核心要件 是“可识别性而不是“隐私性 。因此“个人隐私”这一个概念实际上将不涉 及隐私的个人信息排除在保护范围之外，是不足取的。 个人信息与个人资料( 个人数据) 。在日常生活中，我们一般将英文中的 i n f o r m a t i o n 翻译为“信息”而将d a t e 翻译为“数据”，从个人信息和个人资料 的关系上看，个人信息是个人资料所反映的内容，个人资料是个人信息的表现形 式。 因此，可以说，资料是信息的载体，信息时资料表现的内容。英国个人 资料保护法就“资料”和“信息”之间的关系进行了明确的界定。该界定反映 了法律对“信息是资料所反映的内容 这一原理的确认。该法第一条规定，“资 料( d a t e ) 的实质是“信息”( i n f o r m a t i o n ) 。尽管如此，英国资料保护法 o 布兰代斯、沃伦：隐私权，哈佛法律评论，1 8 9 0 年第5 期，第6 2 页。 陈起行：资讯隐私杖法理探讨以英国法为中心，载政大法学评论2 0 0 0 年6 4 期，2 9 7 3 4 l 页。 - 千侏：我国个人信息的保护及合理问题的研究，重庆邮i 乜人学学报，2 0 0 8 年第3 期。 张淑奇，壬齐序：电了商务环境的信息系统，武汉人学j l j 版社，2 0 0 0 版，第1 3 一1 4 页。 4 名称为资料保护“d a t ep r o t e c t i o n ”而序言的解释为对个人信息( i n f o r m a t i o n r e l a t i n gt oi n d i v i d u a l ) 进行保护。美国法将个人资料和个人信息等同，美国 商务部和国际贸易管理委员会2 0 0 0 年7 月2 4 闩公布的美国欧盟的隐私安 全港原则与常涉问题( f a q ) 中规定：“个人资料和个人信息是指在指令的覆盖 范围内，关于某一确定的人的资料或用于确定某人的资料。 从以上立法例可以 看出，数据和信息具有非常密切的联系，由于个人信息和个人数据的内涵和外延 基本一致，所以，笔者认为两者区别并不大可以互相代替。 个人信息与商业秘密。商业秘密是指那些不为公众所熟悉，却能为权利人带 来经济利益，具有实用性并经权利人采取保密措施的技术信息和经营信息。圆它 包括专有技术、工艺流程、设计图纸、企业的管理方法、客户名单、营销策略、 广告计划、招投标中的标底及标书内容、人事变更等信息。从共性上分析，两者 都是信息，原则上都具有保密的特性。从区别上来看，在主体上，个人信息的主 体只能是自然人，而商业秘密一般是企业法人；在内容上，个人信息所反映的主 要是人格权，虽然有时候也有价值，但是相对于它的人格属性，价值是次要的， 而商业秘密主要是财产权，权利人之所以将其列为商业秘密就是为了保护自己最 大的财产利益；最后在转让方式上，个人信息由于其人格属性原则上是不能转让 的，而商业秘密由于其财产属性，主要各方达成协议时可以转让的。 通过以上分析，我们得知个人信息与相关概念之间不仅有密切的联系而且有 比较明显的区别，区分这些概念不但是学术研究的需要，它还涉及到国家法律名 称的选择上，这一点笔者将在后面详细论述。 第三节个人信息的特征、分类及法律属性 特征是一事物异于他事物的特点，个人信息的特征决定了个人信息具有法律 价值的前提，概括而言，个人信息主要有以下几个特征。 首先，个人信息为个人信息的主体所拥有。个人信息主体是其所拥有的个人 信息可以作为数据收集、处理的自然人。个人信息主体享有权利并承担义务。其 所拥有的个人信息具有可识别性，并且可以依据这些信息定位特定的主体。个人 信息主体与个人信息管理者不同，个人信息管理者是包括政府在内的合法收集、 o 齐爱民：拯救信息 l ：会中的人格，北京人学 f 版社，2 0 0 9 年第l 版，第8 0 页。 罾李莉：“草船借箭”浅谈合法扶取商业秘密，经营管理者，2 0 0 1 年第l o 期。 5 使用、个人信息的主体。但是不管怎样，个人信息首先是属于个人信息的主体所 拥有，这是个人信息的主要特征也是个人信息保护的重要前提。 其次，个人信息的可识别特征。个人信息的可识别性是通过个人信息的内容， 经过判断可以确定个人信息的主体，可识别性是个人信息的重要特征，是明确个 人信息内容和范畴的客观标准。 最后，个人信息的价值特征。个人信息的属性决定了个人信息是具有价值的 资源，由于个人信息具有可识别性的特征，可以非常方便的了解个人信息主体的 个人爱好、生活习惯、个人需求等，从而创造可能的获得利润的机会。个人信息 的价值属性是个人信息的突出特征，也是个人信息屡屡遭到侵害的根源。 个人信息的主体拥有性决定了个人信息对有些人来说是有价值的，而可以识 别性则为这些人的侵害提供了可能性，通过侵害有些主体会得到相关的经济利 益，因此个人信息的这三种特征相互联系构成一个完整的体系，同时这也是我们 构建个人信息保护法律制度的逻辑起点。 个人信息的分类是指导立法的前提，通过分类，筛选出重点和非重点，为法 律的制定指明方向。根据不同的划分方法，个人信息可以分为不同的类别 首先，根据是否能够直接识别自然人为标准，分为直接个人信息和间接个人 信息。所谓直接识别，就是不需要其他的辅助信息就能把本人识别出来，比如说 姓名、身份证号码、肖像、社会保险号码等；间接个人信息是指那些不能单凭某 些信息把本人识别出来，而必须要借助其他信息才能确定本人的确切的个人信 息，包括学历、性别、爱好等等。 其次，根据是否涉及到个人隐私为标准，分为敏感的个人信息和日常的个人 信息。敏感个人信息是那些涉及个人隐私的信息。英国数据保护法1 9 9 8 将个人敏感信息定义为“数据主体的种族或种族起源、政治观点、宗教信仰或其 他相似的信仰、公会所属关系、生理或心理状态、性生活、代理或宣称的委托代 理关系、或于此有关的诉讼，以及诸如此类的信息组成 日常个人信息是指不涉及隐私的信息，虽然它不涉及个人隐私但是经过精心 收集依然可以完整的掌握个人的信息从而有可能对信息主体造成损害。因此依然 需要进行保护。区分它们的意义在于，二者的保护方式和程度不同。对琐碎个人 。郎庆斌等：个人信息保护概述，人民 l ；版社，2 0 0 8 年1 2 月版，第2 6 页。 6 信息的保护程度上要弱一些，比如瑞典规定日常个人信息的收集处理不需要经过 检察院许可：挪威规定日常个人信息的收集处理不需要经过国王允许。而对敏感 个人信息就有一些特殊的保护制度，如越南民法典第3 4 条第二款规定：“收 集、公布个人私生活的情报资料必须得到本人的同意，若本人死亡或丧失民事行 为能力，则必须得到其亲属的同意。 最后以个人信息是否公开为标准，个人信息分为公开个人信息和隐私个人 信息。固公开的个人信息是指权利人依照法律规定或者按照自己的意志将自己的 个人信息全部或一部分向外界公开，比如工商登记注册的信息，在网站上注册并 同意公开的个人信息等等。隐秘个人信息是不对社会公开的那些个人信息。区分 二者的意义在于，只要是依照法律的强制性规定或者是自己的同意而公开的信息 均不能请求法律对于隐私权的特别保护。 除此之外，依据处理信息工具的不同，信息还可以分为计算机自动处理的个 人信息和非自动处理的个人信息；按照易于识别的程度，分为显性信息和隐性信 息等；按照主体在社会中的角色不同又可以分为生活个人信息，工作个人信息， 学习个人信息等等。一般而言，直接个人信息、敏感个人信息和隐私个人信息涉 及到个人的人格利益所以应当是立法时应该重点注意的对象，只有加强这些分类 的个人信息的保护，才能从根本上起到保护个人信息的作用。 关于个人信息的法律属性研究方面，中外理论界的观点很多，但是仔细归纳 起来主要有以下三种观点。 隐私权客体说。这种学说起源于美国，主张个人信息是一种隐私利益，美国 1 9 7 4 年的隐私权法是这一主张的典型代表。我国台湾地区也有学者认为：“个 人资料保护的目的即在保护个人隐私”。 我国香港地区的资料条例，不但在名称 上表明“隐私”还在条文中加以明确规定。该条例的序言只有一句话：本条例旨 在在个人资料方面保障个人的隐私，并就附带事宜及相关事宜订定条文。隐私权 的本质是对个人领域的事务即隐私的控制权。它的主体是自然人客体是个人的 事务，作用是控制，也即个人对其自身事务掌控和自主的权利。 所有权客体说。该学说认为个人信息是一种财产利益。该种观点认为由于个 祝倍僖：个人信息的法律保护，贵州大学2 0 0 6 级硕i ：论文，第1 2 贞。 张素华：个人信息商业运用的法律保护，苏州人学学报，2 0 0 5 年第2 期。 王郁琦：个人数据保护，载信息法务透析，1 9 9 6 年第l 期，第3 4 _ 6 8 页。 刁胜先：论网络隐私权之隐私范嘲，西南民族大学学报，2 0 0 4 年第2 期。 人信息在现代社会具有极高的经济价值，“在市场经济条件下，个人信息采集者 将成千上万的个人信息采集起来的目的并不是要为了了解个体。而是要把整个具 有某种共同特征的主体的个人信息按一定的方式组成资料库，以该资料库所反映 的某种群体的共性来满足其自身或其他资料库使用人的需要”并且“对于信息采 集者来说，获取个人信息不是目的，而是一种手段，是建立和扩展财源的一种途 径。 并由此得出结论“根据所有权原理，只要不与法律和公共利益相抵触，所 有权人均享有对个人资料的占有、使用、收益、处分的权利 并认为“个人资料 的所有者是该资料的生成体个人，无论他人对主体个人资料的获取方式与知悉程 度如何，都不能改变个人资料的所有权归属 。个人信息可以作为商品利用、出 让，为权利人带来经济利益，是一种财产利益，由所有权保护。圆 人格权客体说。该学说认为个人信息体现的是一种人格利益，个人信息的保 护应该采取人格权的保护模式。固该学说以德国为代表，在最初的理论和立法上， 德国一度接受美国的隐私权理论，但是随着个人信息保护在德国的深入丌展，“隐 私权客体说”逐渐暴露出与德国法系不相容的弊病。关于修改法律的呼声此起彼 伏，“隐私权客体说”最后在1 9 8 3 年被德国联邦宪法法院人口普查案判决推 翻。该判决认为，资料在任何情况下是敏感的，不能只依其是否触及隐私而论。 在此判决的指引下，德国1 9 9 0 年修改后的个人资料保护法第一章“一般条 款第1 条规定，本法旨在保护个人的人格权，使其不因个人资料的处置而遭受 侵害。该法的目的是为了保护个人人格权在个人信息处理时免受侵害。同时， 我国台湾地区“资料法”也采用“人格权客体说”。该法第1 条规定：“为规范电 脑处理个人资料，以避免人格权受侵害，并促进个人资料之合理利用，特制定本 法。 我国个人信息保护制度的构建，必须首先确定个人信息权的法律属性，当前 来说，“所有权说”混淆了人格利益和财产利益，只是一种纯粹的理论观点，目 前世界上尚没有所有权模式的立法例；“隐私权说”是比较流行的观点，许多国 家都采用了这种立法例，比如澳大利亚的隐私修正法、新西兰的隐私权法 等，但是这种学说是建立在西方特定的法律文化背景之上，尤其是英美法系隐私 。祝倍倍：论个人信息的保护，贵阳学院院报，2 0 0 1 年第1 0 期。 o 汤擎：试论个人资料j 相关法律关系，载华东政法学院学报，2 0 0 0 年第5 期，第4 5 6 9 页。 i 侏：我国个人信息的保护及合理问题的研究，重庆邮电人学学报，2 0 0 8 年第3 期。 齐爱民：拯救信息社会中的人格，北京人学出版社，2 0 0 9 年第l 版，第9 4 页。 权文化基础之上的，而我国却缺乏这种传统，因此并不符合我国的国情。从中国 现有的法律传统和文化出发，笔者赞同“人格权说 。从宪法的角度来说，这种 “人格权 就是我国宪法所规定的“人格尊严权”。根据我国宪法第3 8 条的规定： “中华人民共和国公民的人格尊严不受侵犯”。它与德国基本法、日本宪法确认 一般人格权的条文内容是相通的，并且符合我国的立法传统，因此可以成为确立 一般人格权的宪法依据。 第二章域外个人信息保护立法简介 随着计算机的普及和发展，在网络环境下如何保护个人信息不受侵害成为各 国立法的重点，1 9 7 0 年德国黑森州制定的个人信息保护法是最早的有关个 人信息保护的国内法，随后1 9 7 3 年瑞典编制了资料法，1 9 7 4 年美国制定了 隐私权法，1 9 8 1 年欧洲议会出台了个人数据保护协议，1 9 9 8 年欧盟制订 了欧盟个人数据保护指令据不完全统计，世界上制定个人信息保护法律的国 家和地区已经超过5 0 个。 “他山之石可以攻玉”，通过学习其他国家和地区的立法对于制定符合我国国 情的个人信息保护法具有十分重要的参考价值，因此，针对这一问题，笔者选取 了几个具有代表性的国家和地区的立法状况进行简要的分析，以此希望能够对我 国个人信息保护法的制定提供参考。 第一节美国个人信息保护立法 在隐私权的理论和保护方面，美国的研究比较早，美国的隐私权研究起源于 1 8 9 0 年沃伦与布兰代丝在哈佛法学评论发表的隐私权，随着美国由乡村 社会发展到计算机社会，个人信息的收集和利用也广泛起来，在此大背景下，为 了保护个人信息免受不当利用，美国制定了大量的法律。1 9 7 0 年的公平信用 报告法是美国个人信息保护法律的丌端，但是1 9 7 4 年的隐私法却是美国 信息隐私法的基础法案。美国第9 6 届国会修订联邦行政程序法时将其编入 美国法典第五编“政府组织与雇员”，形成第5 5 2 a 节。由于该法在制定之初， 杜敬明：信息化j j 法，法律 版社，2 0 0 5 年版，第6 8 页。 周汉华：个人信息保护法及讧法研究报告。法律出版社，2 0 0 6 年版第2 8 5 页。 9 正是美国“水门事件”爆发并引起社会高度关注的时期，因此，这部法律主要是 规范行政机关收集处理个人信息的行为，对行政机关储存的个人信息在程序上和 内容上都有严格的要求，在立法精神上强调公平与正义。 该法的适用范围仅限于联邦部级以上的机构，而不及于部以下的行政机构或 者州政府的各级行政机构。同时该法规定了资料主体的权利和义务主体的义务。 虽然由于其适用范围的狭窄以及对对象的过多限制，使其功效大大降低。1 9 8 8 年美国对其进行了修改，但是隐私权法依然是美国行政法中保护个人隐私的 最主要的法律。由于隐私权法及其后续立法，他们的适用范围主要是公领域， 主要是针对联邦政府而不适用于民间机构，因此，在美国的私领域，逐渐形成了 自律模式。“行业自律是指民事主体在个人信息处理活动中为保护信息主体权益 而建立的自我约束体系。 总之，美国的个人信息保护在立法思路上分为两部分：分散立法模式和行业 自律模式，这两种模式都有其特定的调整对象各自发挥着自己的作用，但是近年 来这两种模式逐渐融合发展成为“安全港模式”。这种模式既有专门的法律规范， 又积极的将行业组织的自律条约吸收进来，给予“准法律”的待遇，极大的扩充 了保护的范围和对象，因此在世界范围内产生了广泛的影响。关于“安全港”模 式，笔者将在本文最后一部分做详细论述。 第二节欧盟的个人信息保护立法 1 9 9 5 年1 0 月，欧盟通过了关于个人资料处理及自由流通个人保护指令 简称欧盟指令，并于1 9 9 8 年1 0 月2 6 日正式生效。该指令是是目前世界上保护 标准最高的立法例，同时，与美国相比，欧盟指令对个人权利的保护更加全面， 贯彻到了所有的使用环节。欧盟指令还规定了有关跨国流通的问题，根据欧盟指 令，个人资料不可以被传送到一个不能达到适当保护标准的非欧盟的国家。指令 的基本目标是建立最低个人权利保护标准，调和国际社会关于个人资料立法保护 标准的分歧同时促进个人资料在成员国之间自由流动。指令的适用范围非常广 泛，不仅适用于所有的自然人、法人还包括公务机关和非公务机关。同时，指令 采取了对敏感个人信息以禁止处理的为原则以特殊情况下的处理为例外的原则。 齐爱民：个人信息保护法研究，河北法学2 0 0 8 年第4 期。 l o 有关种族、血缘、政治倾向、宗教或哲学信仰、工会资格、健康或性生活都是指 令所规定的敏感信息。 欧盟指令是世界上第一个采用统一立法的方式对个人信息进行保护，该指令 规定了最低的保护标准，不但保护了公民的个人信息还促进了信息的合理流动， 进而促进了欧洲相关产业的大发展，同时，由于其标准的规范性和适用的广泛性， 许多非欧盟的国家和地区也都采取了类似的综合立法模式。但是，由于欧盟是一 个国家联盟，它并不是一个统一的主权国家，因此在协调方面存在很大的问题， 有时候为了全体成员能够顺利通过此法案，对各国的履行做了很大的让步。从而 带来了许多法律问题。其次，欧盟的最低保护标准相对于大多数国家来说还是有 点高，只要是不符合该指令最低标准的就不与其合作，无形当中就排斥了大量的 国家不利于国家之间的交流更不利于欧洲企业对外的合作和扩张，最终对欧洲经 济的发展不利。 第三节德国和日本的个人信息保护立法 德国联邦个人资料保护法是大陆法系国家具有代表性的一部个人资料保 护专法。该法将个人信息定义为：个人资料是指可以直接或者问接识别自然人的 资料。该条明确将个人资料保护的主体限定与自然人范围，排除了法人和其他组 织。这科，观点认为个人资料保护的立法目的在于保护人格的自由发展，而只有自 然人才会涉及到人格发展问题，法人资料的价值和自然人资料的价值根本不同， 法人的资料应该依据不同的原则由有关商业秘密和反不正当竞争的法律加以保 护。该法对监督机制做出了完整而系统的规定，设置资料保护委员对公务机关处 理个人资料的情况进行监督，同时设置资料保护人对非公务机关处理个人资料进 行监督。在个人资料保护法的权利救济方面，保护法对基于行政侵权行为发生的 损害赔偿和基于民事侵害发生的损害赔偿进行了区分，分别规定了不同的归责原 则和赔偿标准：基于行政侵权发生的损害赔偿适用无过错责任原则，在赔偿范围 的确定上，针对行政侵权放弃了全额赔偿原则，设定了明确的最高限额。而基于 民事侵权行为发生的损害赔偿适用过错责任原则，而在赔偿范围方面则实行全额 赔偿，不设最高额限制。随着网络侵权的不断恶化，1 9 9 7 年德国又通过了信 息和通讯服务法这是世界上第一部多媒体法，适用了信息社会的发展趋势，为 其他国家和地区树立了典范。 由于德国是欧盟成员国，其自然会受到欧盟指令的影响，但是，在此基础之 上，德国根据本国的具体实际，以宪法中的信息自决权和民法中的一般人格权为 基础创设了联邦个人资料保护法和信息和通讯服务法。由于其特意搞定 了监督机制和损害赔偿机制，因此，与欧盟指令相比，更具有操作性和可行性。 经济合作与发展组织1 9 8 0 年通过的隐私保护与个人资料跨境流通指导原 则促使日本1 9 8 8 年1 2 月制定了行政机关电脑处理个人情报保护法专门对 政府机关电脑处理“个人信息的行为加以规范。但是日本政府随后发现，单单 规范政府机关的行为，而任由民间行业完全自主的对个人信息加以开发和利用远 远不能实现