（民商法学专业论文）我国个人信息侵权问题研究.pdf

大连理工大学硕士学位论文 摘要 2 0 世纪7 0 年代以来，信息网络技术飞速发展，人类进入信息社会。个人信息成为一 种重要的社会资源，对人们的生产和生活起着巨大的推动作用。同时，个人信息的收集、 处理和利用变得十分简便快捷，由此而引发的个人信息侵权现象也日益普遍，因此，个 人信息保护逐渐成为人们普遍关注的课题。世界上很多国家已纷纷立法保护个人信息， 我国目前尚没有专门的个人信息保护法，对个人信息的保护十分薄弱，亟待出台一部高 水平的个人信息保护法，以填补这方面的法律空白。 本文从个人信息的基本理论入手，分析了个人信息权的法律属性和个人信息法律关 系的内容，着重论述了个人信息侵权相关问题及其法律责任，在比较借鉴国外相关立法 的基础上，针对我国个人信息保护的立法现状和不足，提出了制定我国个人信息保护法 的立法建议。 全文共分为四章。第一章是关于个人信息和个人信息保护的基本理论问题，包括个 人信息的涵义、特征与分类，个人信息权的法律属性及个人信息保护法律关系等。 第二章阐述了个人信息侵权的相关问题，包括个人信息侵权的概念、侵权类型、个 人信息侵权的构成要件、归责原则及个人信息侵权应承担的法律责任。 第三章比较借鉴了几个主要的国际组织和国家的个人信息保护立法，并对我国个人 信息保护的立法现状和不足作出分析。 第四章提出了完善我国个人信息保护的立法建议，是本文的重点和创新点，包括选 择立法模式，确立个人信息保护法的基本原则和适用范围，以及设立执法机构等几个立 法中必须解决的主要问题。 关键词：个人信患；个人信息侵权；信息处理；人格权 我国个人信息侵权问题研究 s t u d yo np e r s o n a li n f o r m a t i o nt o r ti no u rc o u n t r y a b s t r a c t s i n c e19 7 0 s ，t h et e c h n o l o g yo fi n f o r m a t i o na n di n t e r n e th a sb e e nd e v e l o p i n gr a p i d l y ，a n d r e s u l t a n t l ym a n k i n de n t e r e di n f o r m a t i o ns o c i e t y p e r s o n a li n f o r m a t i o ni so n eo fi m p o r t a n t s o c i e t y r e s o u r s e sa n dp l a y sav i t a lr o l ei np e o p l e p r o d u c t i o na n dl i f e m e a n t i m ep e r s o n a l i n f o r m a t i o n c o l l e c t i n g ，p r o c e s s i n ga n du t i l i s i n ga r eb e c o m i n ge x c e e d i n g l yc o n v e n i e n ta n d r a p i d ，w h i c hm a k e sp e r s o n a li n f o r m a t i o nt o r ta b u s e d ，a n dt h u sp e r s o n a li n f o r m a t i o np r o t e c t i o n i sg r a d u a l l yf o c u s e do n p r e s e n t l ym a n yc o u n t r i e sh a v em a d el a w st op r o t e c tf o rp e r s o n a l i n f o r m a t i o n ，b u ts of a ro u rc o u n t r yl a c k so fa s s o c i a t e dl a w s a sar e s u l tp r o t e c t i o no fp e r s o n a l i n f o r m a t i o ni sp o o r ，s oi ti su r g e n tf o ru st om a k eah i 曲一l e v e ll a wo fp e r s o n a li n f o r m a t i o n p r o t e c t i o nt op l o m bt h i sl e g a lv a c u i t y i nt h i sa r t i c l e ，t h el e g a la t t r i b u t eo fp e r s o n a li n f o r m a t i o nr i g h ta n dt h er e l a t i o n s h i po f p e r s o n a li n f o r m a t i o nl a w sa r ea n a l y z e d ，a n dp e r s o n a li n f o r m a t i o nt o r ta n di t sl e g a ll i a b i l i t ya r e s p e c i a l l yi l l u s t r a t e d ，b a s e do nb a s i ct h e o r yo fp e r s o n a li n f o r m a t i o n ；l e g i s l a t i v es u g g e s t i o n s a b o u tp e r s o n a li n f o r m a t i o np r o t e c t i o nl a wo fo u r c o u n t r y a r ep u t f o r w a r d ，b a s e d o n c o m p a r i s o no fa s s o c i a t e dl e g i s l a t i o no fo t h e rc o u n t r i e sa n dt h el e g a ls t a t u so fp e r s o n a l i n f o r m a t i o np r o t e c t i o ni no u rc o u n t r y t h i sa r t i c l ei sd i v i d e di n t of o u rc h a p t e r s i nt h ef i r s tc h a p t e r t h ef u n d a m e n t a lt h e o p yo f p e r s o n a li n f o r m a t i o na n di t sp r o t e c t i o na r ei n t r o d u c e d ，i n c l u d i n gt h ec o n c e p t ，h a r a c t e r s ， c l a s s i f i c a t i o na n dl e g a la t t r i b u t eo fp e r s o n a li n f o r m a t i o n ，t h el e g a lr e l a t i o n s h i po fp e r s o n a l i n f o r m a t i o np r o t e c t i o nl a w s ，a n ds oo n i nt h es e c o n dc h a p t e r ，p e r s o n a li n f o r m a t i o nt o r ti s i l l u s t r a t e d ，i n c l u d i n gi t sc o n c e p t ， c l a s s i f i c a t i o n ，c o n s t i t u t i o n ，i m p u t a t i o np r i n c i p l e sa n dl e g a ll i a b i l i t y i nt h et 1 1 i r dc h a p t e r a s s o c i a t e dl a w s o fp e r s o n a li n f o r m a t i o np r o t e c t i o no fs e v e r a l i n t e m a t i o n a lo g a n i z a t i o n sa n do t h e rc o u n t r i e sa r ec o m p a r e d ，a n dt h es t a t u sa n ds h o r t c o m i n g s o fp e r s o n a li n f o r m a t i o np r o t e c t i o nl a w so fo u rc o u n t r ya r ea n a l y s e d i nt h ef o u r t hc h a p t e r , t h el e g i s l a t i v es u g g e s t i o n so fp e r s o n a li n f o r m a t i o np r o t e c t i o no fo u r c o u n t r yi sp u tf o r w a r d ，w h i c hi st h ee m p h a s i sa n dh i g h l i g h to ft h i sa r t i c l e ，i n c l u d i n gs e l e c t i n g t h em o d eo fl e g i s l a t i o n ，d e c i d i n gt h ep r i n c i p l ea n dt h e s c o p eo fa p p l i c a t i o no fp e r s o n a l i n f o r m a t i o np r o t e c t i o nl a w s ，a n de s t a b l i s h i n gi n s t i t u t i o n e n f o r c i n gt h el a w , w h i c ha r em a j o r p r o b l e m st or e s o l v e di nt h el a w - m a d e 一i i 大连理工大学硕士学位论文 k e yw o r d s ：p e r s o n a li n f o r m a t i o n ；p e r s o n a li n f o r m a t i o nt o r t ：i n f o r m a t i o np r o c e s s i n g ； 硒g h to fp e r s o n f l i t y 独创性说明 作者郑重声明：本硕士学位论文是我个人在导师指导下进行的研究工 作及取得研究成果。尽我所知，除了文中特别加以标注和致谢的地方外， 论文中不包含其他人已经发表或撰写的研究成果，也不包含为获得大连理 5 - - 大学或者其他单位的学位或证书所使用过的材料。与我一同工作的同志 对本研究所做的贡献均已在论文中做了明确的说明并表示了谢意。 作者签名：动：亟蛰日期：丝! 墨：笪： 大连理工大学硕士研究生学位论文 大连理工大学学位论文版权使用授权书 本学位论文作者及指导教师完全了解“大连理工大学硕士、博士学位 论文版权使用规定，同意大连理工大学保留并向国家有关部门或机构送 交学位论文的复印件和电子版，允许论文被查阅和借阅。本人授权大连理 工大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，也 可采用影印、缩印或扫描等复制手段保存和汇编学位论文。 名：盔! ! i 鳓 导师签名：专椎钐、 大连理工大学硕士学位论文 引言 上世纪七十年代以后，计算机和网络技术的出现与迅速发展，改变了人类的生产和 生活方式，给人们带来了极大的便利，促进了信息资源的流通和利用。但同时也大大降 低了获取信息的成本和技术难度，使得个人信息的收集、传递和处理变得十分简便快捷， 很多以往并不易为他人所知的各种个人信息，经常在本人不知情的情形下泄露出去，被 他人不当利用，个人信息权益时刻面临着被侵犯的危险，给人们带来心理上的不安和生 活上的不便，严重的甚至会侵害到财产和生命安全，这种状态难免使人们对个人信息安 全产生担忧。 在现代社会，信息已经和物质与能量一样，成为社会的核心资源，信息资源的安全 流动和合理利用是现代社会发展必不可少的条件和动力，而保护个人信息的安全，促进 个人信息流动的合理化、秩序化，反映了当代个人与国家、个人与社会之间关系的深刻 变迁。因此，只有为保护个人信息安全提供一个良好的制度环境，才能保障人们积极主 动的提供个人信息，从而利用信息资源给社会发展带来的积极推动作用。在这种社会背 景下，很多国家和地区都纷纷认识到加强个人信息保护的重要性，相继制定了有关法律， 保护公民的个人信息权利。据不完全统计，世界上制定了个人信息保护法律的国家或地 区已经超过5 0 个。相比之下，我国对个人信息的保护还相当薄弱，缺乏专门的个人信 息保护法，因此，亟待通过立法来加强对个人信息权益的保护，同时，促进信息正常有 序的流动。 我国个人信息侵权问题研究 1个人信息与个人信息保护 1 1个人信息的概念 1 1 1个人信息的含义及与相关概念之比较 ( 1 ) 个人信息的含义 “信息( i n f o r m a t i o n ) 一一词早已不新颖，在生活中时常被提及和使用。其内涵十 分广泛，凡是用以表达主观世界与客观世界的各种符号及内容都可以被看作是信息。在 信息社会，信息已经由简单的交流工具演变为一种基础资源信息资源，如物质和能 量一样重要，对社会发展起着巨大的推动作用 。“个人信g ( p e r s o n a li n f o r m a t i o n ) 是 “信息”的引申概念，其作为“个人 和“信息 的合成词，是网络技术快速发展的催 生物。个人信息是信息资源中的特殊的一部分，它记录了个人生活的重要内容，与个人 的人格利益密切相关。在现代社会，几乎有关个人的一切数据和资料都可以被看作是个 人信息，包括生理、心理、智力、个体、家庭、社会、经济、文化等各个方面。 对于个人信息的概念，世界各国和地区的个人信息保护法都作出了明确界定。总体 而言，有两种定义方式：一是“概括式定义 ，即从各种形态的个人信息中抽象出共同 点，指出个人信息的核心要素。如经济与合作发展组织隐私保护与个人数据跨国流通 指南第1 条就规定：“个人数据指，与确定的和可确定的个人相关的任何信息”：欧盟 1 9 9 5 年个人数据保护指令( 简称欧盟9 5 指令) 第2 条规定：“个人数据，是指任何与 已确认的或可以确认的自然人有关的信息 ；在德国，根据2 0 0 2 年联邦数据保护法 的规定，“个人数据 被定义为任何与个人有关的信息或关于特定个体的物质详情；英 国1 9 9 8 年数据保护法规定，个人数据指与可识别的活着的个人的数据组合，通过这 些数据或结合信息控制者占有或可能占有的其他信息可以识别该个人。二是“概括加列 举式定义，即为了易于人们理解法律概念以及增加概念的形象性，在概括式定义的基 础上，结合列举某些典型的个人信息类型加以说明。例如，我国台湾地区电脑处理个 人资料保护法第3 条中规定：个人资料，指自然人之姓名、出生年月日、身份证统一编 号、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动及其他 足资识别该个人之数据；美国1 9 7 4 年隐私权法中的定义是，由任何机关保管的有关 个人情况的单项、集合或组合，包括但不限于其教育背景、金融交易、医疗病史、犯罪 前科、工作履历及其姓名、身份证号码、代号或其他特属于该个人的身份标记，如指纹、 声纹或照片。 一2 一 大连理工大学硕士学位论文 因此，个人信息是指以任何形式存在的、可以识别特定个人的信息。具体来说，可 分为以下几类：标识个人基本情况的信息，如姓名、性别、身高、体重、肖像、出生 年月、指纹等；标识个人生活与工作及社会情况的信息，如身份证号码、电话号码、 住址、婚姻家庭情况、职业、学历、宗教信仰、政治背景、个人习惯等；有关个人 信用和财产状况的信息，如个人收入、资产负债情况、信用记录等；与网络有关的个 人信息，如网上活动踪迹、电子邮箱地址、网上购物嗜好、登录和使用的各种帐号密码 等。我国个人信息保护法( 专家建议稿) 将个人信息界定为“个人姓名、住址、出 生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可以识别特 定的个人的信息”，采取的是概括加列举的定义方式。 ( 2 ) 个人信息与相关概念之比较 从以上国外的相关定义中可以看出，“个人信息这一概念，并不是国外个人信息 保护法上通用的称谓。在现有的各国或地区的个人信息保护法中，还有使用“个人数据 或“个人资料 ( p e r s o n a ld a t a ) 和“隐私”( p r i v a c y ) 之概念的。其中使用个人数据( 或 个人资料) 概念的国家或地区最多，主要是欧盟及其成员国，如德国、英国、法国、丹 麦等，及受欧盟9 5 指令影响而立法的一些国家和地区；在普通法国家，如美国、澳大利 亚、新西兰、加拿大等，则使用的是隐私概念；而少数几个国家，如日本、韩国、俄罗 斯等，使用了个人信息的概念。存在三个称谓不同的相关概念，主要是源于各国法律传 统和体系不同，其实质基本上都是一致的，在很多情况下也经常被混同使用。但若具体 比较分析，还是有细微差别的，为了更好的理解个人信息的内涵，我们有必要弄清楚个 人数据( 或个人资料) 、个人隐私与个人信息之间的区别和联系。 个人信息与个人数据( 个人资料) 我们常将英文中的“i n f o r m a t i o n 译为“信息”，而将“d a t a 译为“数据或资料 。 数据，也称资料，主要是指固定于一定物质载体上的信息，一般指计算机等自动化设备 所记录或结构化的文件系统中的信息，也包括某些手工文件。而信息从广义上说，是指 任何形式的符号和内容。严格意义上，信息的外延要比数据大，信息包括数据，数据只 是特定的信息。因此，个人信息与个人数据二者的正确关系是：个人数据是个人信息的 物化形式，个人信息为个人数据的内容，并不是所有的个人信息都表现为个人数据或个 人资料，相比之下，个人信息概念包含的形式和内容更为广泛。 个人信息与个人隐私 美国等一些普通法系国家使用隐私一词来表述个人信息的概念。我国在实践中也经 常将个人隐私和个人信息相提并论，造成人们对二者理解上的混淆。实际上，从广义上 讲，隐私乃是一种与公共利益无关的，当事人不愿他人知道或他人不便知道的信息，当 我国个人信息侵权问题研究 事人不愿他人干涉或他人不便干涉的个人私事和当事人不愿他人侵入或他人不便侵入 的个人领域口1 ，即隐私包括三种形态：个人信息、个人私事、个人领域。从狭义上讲，个 人隐私就是指本人不愿或不便他人知道的个人信息。从个人信息和隐私的定义我们可以 看出，这两个概念存在竞合的情形，二者的关系是你中有我、我中有你：个人隐私中包 括私密性个人信息，即我们所说的敏感个人信息；个人信息涵盖个人隐私，但不限于隐 私信息，还包括公开的个人信息和琐细个人信息。并非所有个人信息都应纳入隐私范畴 加以保护，只有那些具有私密性的个人信息才属于个人隐私。 在我国即将制定个人信息保护法之际，究竟采用何种概念是立法的首要前提，我国 学界目前尚存争论。在这三种表述之间，个人隐私的概念显然不符合我国的法律传统和 使用习惯，而且个人隐私的称谓缩小了个人信息概念的内涵，有造成公众误解和混淆之 嫌。而对于个人数据与个人信息这两种表述，大多数学者认为应该选择个人信息的概念。 因为数据这一概念在现代汉语中涵义比较狭窄生僻，它主要适用于技术领域，如数据库、 数据交换等。如果法律采用此称谓，会使公众产生一定的理解困难和偏差，不利于法律 的实施和普及。另外，正如上述所分析，数据的概念内涵小，不能完全涵盖个人信息的 全部内容和形式。多数国家使用个人数据这一概念是因为，很多个人信息保护法最早仅 保护自动系统中的个人信息，后来发展为既保护自动系统中的个人信息，又保护半自动 系统中的和人工处理的个人信息，但是法律仍然沿用早先适用于保护自动系统范围的数 据这一表述。相比之下，个人信息的概念，含义清晰，容易理解，更能体现个人信息保 护法的立法目的和我国特色，我国应采纳。据了解，我国个人信息保护法草案确定 使用个人信息概念，并将其界定为“现实生活中能够识别特定个人的一切信息 。但在 本文中，由于经常会提及国外的相关立法，因此笔者会交替使用这三个概念，大多数情 况下，其实质含义基本上是一致的。 1 1 2 个人信息的特征与分类 ( 1 ) 个人信息的特征 尽管各国或地区有关个人信息保护的法律制度在很多方面都有差异，但总的来说， 个人信息都具有以下几点共同特征： 个人信息的主体为自然人。个人信息是自然人的信息，法人和其他组织的信息 不是个人信息保护的范畴。个人信息是与本人密切相关的、可识别出该特定个人的信息， 具有很强的人身专属性，保护个人信息就是为了保护自然人的人格尊严和个人权利。制 定个人信息保护法的大多数国家都将个人信息的主体限定为自然人，只有极少数国家， 如奥地利，将法人和其他组织也列为保护对象，笔者认为不妥。另外，有些国家进一步 一4 一 大连理工大学硕士学位论文 规定，个人信息的主体必须是活着的自然人，认为死者已不存在人格利益，无需对其相 关信息给予保护，如英国和我国台湾。 个人信息具有广泛性。与个人有关的信息种类繁多，形式多变，范围十分广泛。 从广义上来说，凡是与个人相关，能识别该特定个人身份特征的所有形式的信息都属于 个人信息范畴。无论该信息是以何种形式存在，是否能单独识别个人，是否涉及个人隐 私或是否公开，法律都应该对其作出相应程度的保护。 个人信息具有可识别性。可识别性是各国公认的个人信息最主要的特征，包括 直接识别性和间接识别性。因为，个人信息必须是可以直接或间接识别特定个人的信息， 只有在该信息能够明确特定个人身份，单独或相互结合能描绘出个人特征时，侵害个人 信息的行为才有可能对个人的生活产生实际影响，对个人权益造成损害，从而需要法律 予以保护。因此，可识别性是个人信息的应有之义和首要特征。 ( 2 ) 个人信息的分类 根据不同的划分标准，可以对个人信息进行以下分类： 以能否直接识别特定个人为标准，可以把个人信息分为直接个人信息与间接个 人信息。直接个人信息是可单独识别特定个人的信息，如姓名、住址、身份证件号码、 肖像、指纹、医疗病历等；间接个人信息是无法单独识别特定个人，需与其他信息结合 起来才可确定个人身份的信息，如性别、身高、血型、出生日期、职业、学历、性格爱 好等。通常来说，由于直接个人信息的可识别性强，对其侵害后果会更加严重，但是现 实生活中侵害间接个人信息的现象也是相当普遍，因为间接个人信息的组合可能构成直 接个人信息，从而指向某特定个人。因此，法律不应只对直接个人信息给予保护，间接 个人信息同样应受到重视。此类划分的意义就在于扩大个人信息的保护范围，国外大多 数个人信息保护法均将保护范围延伸至间接个人信息，例如欧盟9 5 指令就明确保护间接 个人信息。 依据处理方式的不同，可以将个人信息划分为自动处理的个人信息与手动处理 的个人信息。自动处理的个人信息是指经电脑或其他自动化设备处理后得出的个人信 息，如电脑统计数据、上网踪迹、- 购物嗜好、信用记录、视频、声频资料等；手动处理 的个人信息主要是指自动生成或通过手工处理存在的个人信息，如出生日期、性别、血 型、指纹、文件档案等；另外，现实生活中还存在一些信息的混合处理情形，即所谓的 “半自动”处理。个人信息的这一分类之所以出现，其原因很大程度上在于计算机技术 的迅速发展引发的个人信息侵权现象远比前计算机时代严重，因此人们对自动处理的个 人信息的保护倾注了更多的关注。很多国家和地区最初的个人信息保护立法都是仅保护 自动处理的个人信息，如1 9 8 1 年欧洲理事会通过的保护自动化处理个人数据公约规 我国个人信息侵权问题研究 定，其立法目的是保护与个人数据之自动处理有关的隐私权；我国台湾地区于1 9 9 5 年 的立法甚至直接以电脑处理个人资料保护法来命名。然而，只要是个人信息，无论 其处理方式是自动的还是手动的，其在本质上都是没有区别的，不能因为其处理方式不 同而采取不同的保护标准。此类划分的目的就在于，这两种类型的个人信息具有同样的 保护价值和法律意义，不能因为信息技术的发展而忽视对传统形式个人信息的保护。 以是否涉及个人隐私为标准，个人信息可以分为敏感个人信息与一般个人信息。 所谓敏感个人信息，我国有学者认为，是指涉及个人隐私的信息h 1 ，但这种界定有相当 的局限性。国外有些立法则将敏感个人信息界定的更为严格和详细，如欧盟指令第8 条 规定为：显示种族或民族起源、政治观点、宗教或哲学信仰和工会资格、以及有关健康 和性生活的数据。一般个人信息，又称琐细个人信息，是指除敏感个人信息之外的、不 涉及个人隐私的其他信息，如姓名、性别、身高、年龄、电话号码、身份证号码等反映 个人基本情况的信息。一般来说，敏感个人信息具有较强的私密性，一旦遭到侵害，后 果将比较严重；而一般个人信息虽不具有隐秘性，但亦具有识别性，一旦泄露或被不当 利用，也会给本人的生活安宁或财产利益造成损害。对于个人信息的这一分类，在理论 上是有重要意义的，有利于通过法律的特别规定对敏感个人信息予以特殊保护。 当然，关于个人信息的分类，还存在其他划分标准。例如，有学者将个人信息分为 公开个人信息与隐秘个人信息、属人的个人信息与属事的个人信息、原始个人信息与传 来个人信息等。 1 2 个人信息权的法律属性 1 2 1关于个人信息权法律属性的主要学说 国内外对个人信息权法律属性的界定，可谓众说纷纭，争论不已，其中有四种主张较 为典型，分别为“所有权客体说、“隐私权客体说”、“人格权客体说和“基本人 权客体说 。 ( 1 ) 所有权客体说 所有权客体说认为，个人信息具有一定的经济价值，是一种财产利益，信息主体对 他们的信息享有的是所有权。波斯纳( p o s n e r ) 的隐私经济学理论是此种观点的代表，他 认为，人们无一例外地拥有信息，这些信息在有些时候对他人和社会是有价值的，他们会 愿意付出对价来购买这些信息，应该允许人们就这些拥有产权的个人信息进行交易嘲。 我国也有学者持这一观点，主张个人信息保护法关于信息主体权利的规定，应该采取所 有权模式。其理由是：在市场经济条件下，资料采集者将成千上万的个人资料采集起来 一6 一 大连理工大学硕士学位论文 的目的并不是为了了解个体，而是要把所有具有某种共同特征的主体的个人资料按一定 的方式组成资料库，以该资料库所反映的某种群体的共性，来满足其自身或其他资料库 使用人的需要。对于资料采集者来说，获得个人资料不是目的，而是一种手段，是建立和 扩展财源的一种途径。由此得出结论：根据所有权原理，只要不与法律和公共利益相抵触， 所有权人均享有对其个人资料的占有、使用、收益和处分权，个人资料的所有者是该资 料的生成体，无论他人对该主体个人资料的获取方式与知悉程度如何，都不能改变个人 资料的所有权归属哺1 。 ( 2 ) 隐私权客体说 隐私权客体说起源于美国，该学说主张个人信息是一种隐私利益，个人信息保护立 法应采取隐私权保护模式，美国1 9 7 4 年的隐私权法是这一主张的典型代表。由于美 国是个人信息保护立法的先驱，因此，其立法理念和技术对其他国家和地区的立法有很 大的影响。我国台湾也有学者认为，个人资料保护的目的在于保护个人隐私。砸1 经合组 织指南则不仅在名称上旗帜鲜明地保护隐私权，而且在第1 7 条明确规定：“任一成员国应 该制止对本国与另一成员国之间的个人数据跨国流通进行限制，除非后者未实质地遵守 本指南或者出口这样的数据会规避其本国的隐私权法。鉴于本国隐私权法根据数据属性 对某些种类的个人数据做出特别规定，而其他成员国没有对这些数据提供相当的保护， 成员国可以限制这些数据的流通。我国香港1 9 9 6 年个人资料( 隐私) 条例则在绪 言就只用一句话直接指出：“本条例旨在在个人资料方面保障个人的隐私，并就附带事宜 及相关事宜订定条文。 ( 3 ) 人格权客体说 人格权客体说认为，个人信息体现的是一般人格利益，个人信息的保护应该采取人 格权的保护模式。人格权客体说以德国法为代表，在最初的理论和立法上，德国曾一度 接受了美国的隐私权理论，其1 9 7 7 年的联邦个人数据保护法规定，个人信息保护的 目的在于保护隐私。随着个人信息保护在德国的深入开展，隐私权客体说逐渐暴露出与 德国大陆法体系不相容的弊病，关于修改法律的呼声此起彼伏，最后在1 9 8 3 年被德国联 邦宪法法院“人口普查法案”判决予以推翻。该判决认为，个人数据在何种情况下是敏 感的，不能只依其是否触及隐私而论。在此判决的指引下，德国1 9 9 4 年修订的个人数据 保护法第1 章第1 条规定：“本法旨在保护个人的人格权，使其不因个人数据的处置而遭受 侵害。这一规定标志着在个人信息保护的理论基础上，德国法终于有勇气放弃了作为 舶来品的隐私权理论，转而寻求本国法律体系中比较完善的人格权理论口1 。我国台湾的个 人资料保护法也采用的是人格权客体说，该法第1 条规定：“为规范电脑处理个人资料， 以避免人格权受侵害，并促进个人资料之合理利用，特制定本法。 我国个人信息侵权问题研究 ( 4 ) 基本人权客体说 关于个人信息权的法律属性，还有少数国外立法主张个人信息权体现的是一种基本 人权，即关于个人的基本权利与自由。这种主张多见于国际组织的立法，如欧洲理事会 公约在绪言中指出：“考虑到在自动化处理条件下个人数据跨国流通的不断发展，需要扩 大对个人权利和基本自由，特别是隐私权的保护。”后来的欧盟9 5 指令在绪言中也作出 了类似规定：“由于对个人数据处理中的个人权利和自由，特别是隐私权的保护水平不同， 可能阻碍数据在成员国之间传递，并对共同体的经济生活产生不利影响，妨碍竞争和阻 止各国政府履行共同体法律规定的职责 。这些规定都是将个人信息权划归为宪法 上的基本权利来予以保护的。 1 2 2 个人信息权的人格权属性 对个人信息权法律属性的界定，是我国个人信息保护立法的重要前提之一，必须予 以明确。在上述几种说法中，笔者认为，所有权客体说显然是不能成立的，因为它混淆 了人格利益和财产利益、信息主体的权利和信息处理者的权利。虽然说个人信息在某些 情形下表现出一些财产权属性，信息主体对其个人信息有一定的控制和支配权，但并不 能说明个人信息是所有权客体，将个人信息权归入所有权范畴来保护。目前，世界上尚 无所有权保护模式的立法例出现，只是在理论上的观点而已。隐私权客体说有其特定的 法律文化背景，是建立在英美法系隐私权文化基础之上的。由于英美法上的隐私概念以 及立法体系和大陆法系并不相同，因此，将个人信息权界定为隐私权不符合我国国情。 基本人权客体说是从宪法的角度看待个人信息权属性的结果，实际上，所有的法律权利 归根结底都是以宪法为依据，最终目的是为了保护个人基本权利和自由，但不能因此将 所有个人权利都上升为宪法权利。个人信息权是一项具体的个人权利，将其界定为基本 人权予以保护大可不必。从中国现有的法律制度出发，笔者比较赞同人格权客体说，认 为个人信息权是一种新型的、独立的民事权利，应属于人格权范畴。个人信息是能够直 接或间接识别特定个人的信息，其本质就在于与特定主体紧密相联，具有很明显的人身 依赖性与专属性。任何自然人，始于出生，终于死亡，一生都会拥有大量的个人信息， 对个人信息的收集、处理及利用直接关系到信息主体的人格尊严和人格利益。对公民个 人信息的侵害会造成其人格利益受损，如扰乱个人生活安宁、侵犯个人隐私、造成精神 损害等。因此，应将对个人信息的保护纳入人格权保护体系中，将个人信息权明确规定 为人格权的一种。我国未来建立个人信息保护制度的做法，应该是除了制定专门的个人 信息保护法之外，同时在民法典的人格权一章中增加关于个人信息权这一新型民事权利 的相关规定，做到民事一般法和民事特别法的双重保护。 一8 一 大连理工大学硕士学位论文 1 3 个人信息保护法律关系 个人信息保护法律关系是指受个人信息保护法调整，因个人信息的收集、处理和利 用而形成的社会关系。个人信息保护法律关系是法律关系的一种，具备法律关系的一般 特征，同样包括主体、客体和内容三个方面。 1 3 1 法律关系主体 ( 1 ) 信息主体权利主体 个人信息的权利主体，简称信息主体，是指个人信息所指向或涉及到的个人，即通 过个人信息可以被识别出来的特定个人阳1 。信息主体是其个人信息的生成体，应以自然 人为限，法人及其他组织信息的价值和功用与自然人不同，不属个人信息保护的范畴， 应由其他相关法律调整。个人信息保护法保护的是自然人的人格利益在个人信息的收 集、处理和利用过程中不受侵害。 ( 2 ) 信息处理者义务主体 在个人信息保护法律关系中，与信息主体相对应的一方为信息处理者。信息处理者， 是指信息主体以外的对个人信息收集、处理和利用的自然人、法人或其他组织，包括政 府机关和商家、网站及个人等其他个人信息处理者。 政府机关 政府机关具体包括行政机关和法律、法规授权行使行政管理职能的部门或提供公共 服务的其他组织。与其他处理者相比，政府机关作为国家的公共管理与决策机构，被法 律赋予了强大的立法、行政、司法职能，为实现政府职能、维护公共利益，政府机关需 要收集和处理大量的、详尽的个人信息，各政府部门之间也时常会有信息的流通与共享， 在这些过程中，如果个人信息保护制度不完善的话，那么，政府机关的信息处理活动极 易侵害到公民的个人信息权益。现实生活中，我们经常会遇到这样的情形：在填写政府 机关收集的某份表格时，需要写明的内容多达几十项，有些根本是与收集目的无关的， 这样过度地收集个人信息，势必会带来个人信息滥用和泄露的隐患。因此，对政府机关 及其他公共管理部门的个人信息处理活动的规范，是个人信息保护最重要的一个方面。 商家、网站及个人 除政府机关以外的其他个人信息处理者，包括商家、网站及个人。从目前的情况来 看，商家、网站等对个人信息安全造成的危害更大，这些信息处理者对个人信息的收集、 处理和利用，通常是基于其经营之需，也有可能出于其特殊兴趣或科学研究的需要。在 市场经济飞速发展的今天，对于大多数商业机构来说，获取并运用信息的能力已成为市 场竞争胜负的关键，已经意识到这一点的商家不会放过任何给自己带来利益的机会，他 我国个人信息侵权问题研究 们通过收集有关个人身份、居住和财产状况、通信方式、网上购物习惯等个人信息，目 的在于分析消费者的喜好和需求，提高投放商业广告的效率。但对那些不需要这些广告 信息的人来说，就是对其个人信息的滥用及对其人格利益的侵害。另外，一些非法的社 会团体也利用电子邮件、手机短信等手段宣传自己的理念，呼吁人们参与其组织的活动。 还有黑客及其他无聊的偷窥者利用特殊的网络技术手段，获取他人的个人信息，刺探他 人的隐私或盗取账号密码等，更是令人防不胜防，给信息主体造成精神和财产的严重损 害。这些个人信息侵权行为在人们的生活中非常普遍，带来的不良影响已经不容忽视。 1 3 2 法律关系客体 显而易见，自然人的个人信息是个人信息保护法律关系的客体，也是一切问题的逻 辑起点，个人信息保护法律关系围绕着个人信息的收集、处理和利用等行为而发生或改 变。构成个人信息的实质要素是“识别 ，即个人信息必须是可以直接或间接识别特定 个人的信息。构成个人信息的形式要素包括得以固定和可以处理：得以固定是指，个人 信息必须以一定的方式得以固定，即个人信息得有一定的载体；可以处理是指，个人信 息必须以一定的方式得以查阅、检索和进行其他的处理叩3 。 1 3 3 法律关系内容 ( 1 ) 信息主体的权利 信息主体作为权利主体，对其个人信息享有个人信息权。个人信息权是指信息主体 依法对其个人信息享有的支配、控制并排除他人侵害的权利n 们。信息主体享有的个人信 息权是个人信息保护的核心问题，其目的在于使个人能够以自己的积极行为支配和控制 其个人信息，保护本人的人格利益。根据现有国外立法的有关规定，个人信息权有十分丰 富的内容，涉及到个人信息处理的各个环节，具体包括以下几项： 自主决定权。自主决定权是指信息主体得以直接支配和控制其个人信息，并决 定个人信息是否被处理以及以何种方式、目的、范围被处理的权利。自主决定权是个人 信息权的首要权能和基础性权利，它集中反映了个人信息权的人格属性绝对性和支 配性。基于这项权利规定，信息处理者在收集、处理、使用个人信息之前必须通知信息 主体有关事宜，并经本人同意，否则构成侵权。 知悉权。知悉权，又称查询权，是指信息主体有了解与其个人信息有关的情况 以及个人信息本身的权利，即有权知道其个人信息于何时、何地，因何种目的被何人收 集和处理。各国立法多赋予信息主体知悉权或查询权，例如经济合作与发展组织隐私 保护与个人数据跨境流通指南第二部分第十三条规定，本人就其个人数据享有如下权 大连理工大学硕士学位论文 利：有权向数据处理主体或其他人确认是否保有关于自己的数据；有权在合理的期间内， 于必要的情形下，以不过当的费用和合理的方式，以及容易了解的形式，查知有关自己 的数据；有权就前列权利行使被拒绝时要求说明理由，并提出异议，且于异议成立时请 求删除、更正、完善及补充。 更正权和删除权。信息控制者负有保证其控制的个人信息的准确、完整和最新 的义务。各国立法为贯彻该原则，纷纷确立了信息主体的更正权和删除权。信息主体可 基于如下理由行使更正权：其一，不正确，是指信息控制者储存的个人信息与事实不符； 其二，不完整，是指个人信息的内容就其特定目的而言是不全面的；其三，不最新，是 指个人信息没有及时更新，不能反映最新的事实。对于信息主体行使删除权，个人信息 保护法一般规定了两种情形：一是非法储存个人信息；二是已储存的个人信息不再服务 于任何目的3 。 直接营销禁止权。直接营销禁止权是指信息主体有权禁止他人以直接营销为目 的，对其进行广告或市场行销宣传而处理其个人信息的权利。其中，广告和市场行销宣 传并不要求有固定的形式，直接邮寄、电子邮件、电话、电传、短信等各种形式，都得 构成此种宣传n 钉。由于个人信息具有很强的商业利用价值，现实生活中很多商家为营销 目的收集、处理和利用他人的个人信息，或以营利为目的直接出售个人信息，这些侵权 行为对社会和信息主体造成的影响十分恶劣，法律应明确禁止。这一权利的规定明显体 现了个人信息权具有一定财产属性的特征。 请求救济权。没有救济就没有权利。请求救济权是指当信息主体的上述各项权 利受到侵害时，信息主体可以采取向个人信息处理者投诉、要求信息主管部门予以查处 或向法院提起诉讼的方式请求保护个人信息权。当个人信息侵权行为给个人权益造成损 害时，信息主体还可以请求侵权行为人给予损害赔偿，包括精神损害赔偿和财产损害赔 偿。侵权行为人为政府机关及公共部门的，信息主体可以通过行政复议或行政诉讼等途 径解决；侵权行为人为其他信息处理者的，除向信息主管部门请求救济外，个人还可通 过提起民事诉讼的方式保护其个人信息权。 ( 2 ) 信息处理者的义务 信息处理者是个人信息保护法律关系中的义务主体，在信息处理活动中有义务保障 信息主体实现其权利。综观各国立法，主要是从以下几个方面来规范信息处理者行为的： 第一，资格限制。如果主体是政府机关的，则要求在其职权范围内并以特定目的为要件， 依法收集、处理和利用个人信息；如果是非政府机关，则要求向信息主管部门申请处理 个人信息的资格。第二，目的限制。收集、处理和利用个人信息，均须有特定的目的，并 于收集之前将该特定目的向主管部门登记，在处理和利用过程中，未经法律特别授权或 我国个人信息侵权问题研究 当事人同意，不得超出特定目的范围。第三，保障安全、准确。信息处理者有义务采取必 要的技术手段和管理措施，尽可能的保障个人信息安全，不得泄露和非法处理、利用个 人信息。信息处理者应允许并配合信息主体查询了解其个人信息及相关情况，且确保个 人信息的内容正确、完整和最新。 1 4 个人信息保护的紧迫性及意义 ( 1 ) 个人信息保护的紧迫性 侵害个人信息的案件越来越多，亟须出台相关法规调整和规范各方的权利义务。 由于个人信息的利用价值在商业竞争中尤为重要，因此有许多商家、网站设法采取各种 手段获取他人信息，并无所顾忌地处理和利用这些信息，造成个人信息侵权事件频繁发 生，已经引起人们的广泛关注。 公民的权利意识增强，加快个人信息保护立法的呼声越来越高。最近几年，每 年都会有全国人大代表和政协委员提出这方面的立法议案和建议，学界也有很多专家推 出各自的立法建议稿，并展开讨论，期待我国的个人信息保护法早日出台。 政府机关及公共部门为方便公共管理和提高行政效率而进行的信息流通和共 享，亟须得到法律的规范，以维护个人利益与国家、公共利益之间的平衡关系。 ( 2 ) 个人信息保护的意义 有利于保护个人权利。由于信息技术的发展，通过各种可直接或间接识别出个 人的信息，很容易便能够勾画出一个人的全貌或者把握其某一方面的特征，因此，个人 信息是与自然人的人格尊严和人格利益密切相关的，个人信息权是信息主体的一项重要 民事权利。当人们享受着信息化给生活带来的种种便利的同时，又不得不面对个人生活 空间逐步缩小的现实，为了还人们一个安宁的个人世界，保护人们的基本权利和自由不 受侵犯，必须加强对个人信息处理活动的规范。 有利于促进信息的共享与自由流动。个人信息保护法的立法目的并不只为了保 护个人权利，还要促进个人信息的有序流动。尤其在信息时代，信息作为社会基础资源， 其自由流动具有重要的经济和社会意义，如果对个人信息的保护走入极端，过度干预， 会加大信息处理的成本，势必使信息的自由流动与共享受到阻碍，不利于社会的发展进 步。因此，如何平衡个人信息保护与信息自由流动的关系，可