何培育

(重慶理工大學(xué)知識產(chǎn)權(quán)學(xué)院，重慶 400054)

世界范圍內(nèi)個人信息保護(hù)立法的浪潮興起于20世紀(jì)70年代，一直延續(xù)至今，并有愈演愈烈之勢。世界上首個制定個人信息保護(hù)法的德國，個人信息保護(hù)立法體系特色鮮明并取得了良好的社會效果，值得我國學(xué)界深入分析，進(jìn)而為我國相關(guān)立法完善提供有益借鑒。

一、德國個人信息保護(hù)立法考察

(一)1977年《聯(lián)邦數(shù)據(jù)保護(hù)法》

1977年《聯(lián)邦數(shù)據(jù)保護(hù)法》第一次系統(tǒng)地闡釋了個人信息的法律保護(hù)，并將個人信息的屬性明確定位為民事權(quán)利［1］。1977年《聯(lián)邦數(shù)據(jù)保護(hù)法》的立法目的主要是為了控制國家對公民個人信息的不當(dāng)處理，但是否應(yīng)當(dāng)對非國家機(jī)關(guān)對個人信息的處理行為進(jìn)行規(guī)范曾經(jīng)引發(fā)了學(xué)界重大的爭議。

有學(xué)者認(rèn)為，只有國家機(jī)關(guān)行政行為才可能對公民的個人信息造成實(shí)質(zhì)傷害，而非國家機(jī)關(guān)的行為只能歸于經(jīng)濟(jì)生活的一部分，對公民不會造成實(shí)質(zhì)性的影響，因此非國家機(jī)關(guān)對公民信息的處理應(yīng)當(dāng)被排除在法律調(diào)整的范圍外［2］。但就兩種主體的信息處理行為如何規(guī)范的問題，學(xué)界又產(chǎn)生了不同的觀點(diǎn)。一種觀點(diǎn)認(rèn)為，雖然在當(dāng)時的歷史條件下，公眾了解個人信息被侵犯的事件主要是由國家行政機(jī)關(guān)造成的，但是事實(shí)上由于市場經(jīng)營者掌握的消費(fèi)者個人信息甚至比政府部門掌握的信息更加全面，而其侵犯個人信息的行為更加隱蔽，往往難以被消費(fèi)者發(fā)現(xiàn)，如果放任市場經(jīng)營者侵犯個人信息的行為，那么將會給個人信息保護(hù)帶來極為嚴(yán)重的后果［3］。另一種觀點(diǎn)則支持將市場經(jīng)營者對個人信息處理行為納入法律調(diào)整范圍，并希望能夠在更加廣泛的范圍內(nèi)適用。另外還有一種觀點(diǎn)認(rèn)為，雖然國家行政機(jī)關(guān)與市場經(jīng)營者的行為應(yīng)當(dāng)受到立法調(diào)整，但同時應(yīng)當(dāng)看到兩者的實(shí)質(zhì)性區(qū)別，不能將兩者整齊劃一，而是應(yīng)當(dāng)結(jié)合具體的情形而有區(qū)別地加以探討，甚至可以考慮對兩者分別立法［4］。

1977年《聯(lián)邦數(shù)據(jù)保護(hù)法》最終對國家機(jī)關(guān)與市場經(jīng)營者對公民個人信息的獲取與利用分別予以了規(guī)定。同時，1977年《聯(lián)邦數(shù)據(jù)保護(hù)法》還規(guī)定了一些例外條款?？傮w來說，德國1977年《聯(lián)邦數(shù)據(jù)保護(hù)法》對個人信息的收集采用一種相對較為嚴(yán)苛的態(tài)度，對個人信息起到了有力的保護(hù)作用。

(二)1990年《聯(lián)邦數(shù)據(jù)保護(hù)法》

1977年《聯(lián)邦數(shù)據(jù)保護(hù)法》生效后，學(xué)界對該法的爭議并未停止，特別是德國1983年發(fā)生的“人口普查法案”憲法訴訟，又將該部法律推上了風(fēng)口浪尖。1983年，德國議會通過的《人口普查法》規(guī)定人口普查的登記事項(xiàng)包括自然人的民族、職業(yè)、住址以及就業(yè)情況等內(nèi)容。盡管行政機(jī)關(guān)面向社會全面收集公民信息的動機(jī)具有很強(qiáng)的正當(dāng)性，但是當(dāng)時的社會背景下，公民的基本權(quán)利意識高漲，再加上呼吁加強(qiáng)個人信息安全保護(hù)的呼聲日益強(qiáng)烈，《人口普查法》在這個特殊的歷史時刻受到廣泛質(zhì)疑，甚至最終演變?yōu)橐ㄟ^德國聯(lián)邦憲法法院來審判該法是否違反了德國憲法。德國聯(lián)邦憲法法院在對該案的審判中，歷史性地明確了公民的“信息自決權(quán)”，從而將該案演變?yōu)榈聡鴤€人信息保護(hù)發(fā)展史上具有里程碑意義的事件。更重要的意義在于，該案將信息自決權(quán)從一項(xiàng)普通的民事權(quán)利上升為憲法意義上的基本人權(quán)，從而確立了個人資料保護(hù)崇高的法律地位。

隨后，德國個人資料保護(hù)法被再一次修訂并于1990年12月完成修正并公布，但對個人信息保護(hù)的色彩更加濃厚。在該次立法修訂的過程中，將經(jīng)濟(jì)生活中的個人信息收集、利用的問題單獨(dú)規(guī)定的觀點(diǎn)被學(xué)者重點(diǎn)關(guān)注，在市場經(jīng)營中的信息收集者和信息主體雙方互負(fù)權(quán)利義務(wù)，信息主體的信息自決權(quán)不容忽視，但是信息收集者同樣享有意思自治、經(jīng)營自由等私權(quán)，兩種性質(zhì)的信息收集與利用行為的性質(zhì)顯然有別，因而應(yīng)當(dāng)分別立法［4］。該觀點(diǎn)獲得了一些學(xué)者的支持，并在立法修訂過程中得到了一定的采納。雖然最終未能夠?qū)覚C(jī)關(guān)與市場主體的個人信息收集與利用問題分別立法，但在《聯(lián)邦數(shù)據(jù)保護(hù)法》中卻得到分別規(guī)定，體現(xiàn)了立法的進(jìn)一步細(xì)化和完善。①1990年德國《聯(lián)邦數(shù)據(jù)保護(hù)法》分為五部分，第一部分“一般條款”為總則，第二部分到第五部分為分則。第二部分為“公務(wù)機(jī)關(guān)的資料處理”，第三部分為“非公務(wù)機(jī)關(guān)和參與競爭的公法上的企業(yè)的資料處理”，第四部分為“特別規(guī)定”，第五部分為最后條款。

1990年德國《聯(lián)邦數(shù)據(jù)保護(hù)法》第3條第1項(xiàng)對個人資料的概念加以了界定。②1990年德國《聯(lián)邦數(shù)據(jù)保護(hù)法》第3條第1項(xiàng)規(guī)定，“個人資料是指可以直接或間接識別自然人的任何資料”。由此條可以看出，德國《聯(lián)邦數(shù)據(jù)保護(hù)法》保護(hù)的對象僅針對自然人的個人信息，而把法人的信息資料排除在外。依據(jù)德國立法精神，只有自然人信息才納入《聯(lián)邦數(shù)據(jù)保護(hù)法》保護(hù)的范圍，企業(yè)信息資料保護(hù)應(yīng)當(dāng)被納入商業(yè)秘密保護(hù)法或者不正當(dāng)競爭法調(diào)整的范圍。就“識別自然人的任何資料”而言，既包括公民自然信息例如姓名、性別、年齡、血型、肖像等，還包括其他社會信息，例如職業(yè)、收入、存款、消費(fèi)記錄等等。上述信息共同構(gòu)成了個人信息的范疇。1990年德國《聯(lián)邦數(shù)據(jù)保護(hù)法》將個人資料的使用分為3個階段:信息收集、信息處理與信息利用。“信息收集”是指取得自然人的個人信息?！靶畔⑻幚怼笔侵競€人資料的歸納整理、輸入系統(tǒng)、拷貝、傳輸、備份等等?！靶畔⒗谩笔侵竿ㄟ^對個人信息的分析、對比為決策提供依據(jù)。在權(quán)利內(nèi)容方面，《聯(lián)邦數(shù)據(jù)保護(hù)法》規(guī)定信息主體對個人信息享有一系列的權(quán)利，主要包括個人資料告知權(quán)、個人資料修正權(quán)、個人資料刪除權(quán)等內(nèi)容。其他主體侵犯了公民的個人資料權(quán)，應(yīng)承擔(dān)相應(yīng)的法律責(zé)任。在歸責(zé)原則方面，《聯(lián)邦數(shù)據(jù)保護(hù)法》規(guī)定行政機(jī)關(guān)侵犯了個人資料權(quán)適用無過錯責(zé)任原則，在賠償金額上設(shè)定了最高限額;其他民事主體侵犯了公民個人資料權(quán)的情形下，適用過錯責(zé)任原則，在賠償標(biāo)準(zhǔn)方面則根據(jù)受害人實(shí)際損失確定賠償金額。

(三)2003年《聯(lián)邦數(shù)據(jù)保護(hù)法》

歐盟委員會較早于1990年頒布了《資料保護(hù)指令草案》，經(jīng)過數(shù)輪討論與修改，1995年10月24日，歐洲議會和歐洲委員會通過了95/46/EC《關(guān)于個人數(shù)據(jù)處理中的個人保護(hù)和此類數(shù)據(jù)的自由流動的指令》。按照該指令，歐盟成員國應(yīng)當(dāng)在3年以內(nèi)將指令中的相關(guān)要求轉(zhuǎn)化為國內(nèi)法。與該指令相比，德國1990年版的《聯(lián)邦數(shù)據(jù)保護(hù)法》顯得在私人領(lǐng)域信息收集、利用行為規(guī)制力度不夠，且保護(hù)標(biāo)準(zhǔn)仍有待繼續(xù)提高，因此歐盟責(zé)令德國盡快修改國內(nèi)法以滿足歐盟《資料保護(hù)指令》的相關(guān)要求。按照歐盟的要求，德國立法機(jī)關(guān)著手對1990年《聯(lián)邦數(shù)據(jù)保護(hù)法》進(jìn)行修訂。

《聯(lián)邦數(shù)據(jù)保護(hù)法》分為6篇，第一篇為普遍的和共同的規(guī)定，主要規(guī)定了該法的目的和適用范圍，公共機(jī)關(guān)與私人機(jī)構(gòu)的界定，數(shù)據(jù)收集、處理和使用許可的規(guī)則，個人數(shù)據(jù)向國外以及跨國或者國際機(jī)構(gòu)的傳輸規(guī)則，數(shù)據(jù)保護(hù)官及其職責(zé)，損害賠償?shù)葍?nèi)容。第二篇為公共機(jī)關(guān)的數(shù)據(jù)處理，主要規(guī)定了公共機(jī)關(guān)的數(shù)據(jù)收集規(guī)則，數(shù)據(jù)儲存、修改和適用規(guī)則，向公共機(jī)關(guān)傳輸數(shù)據(jù)的條件，向私人機(jī)構(gòu)傳輸數(shù)據(jù)的條件，聯(lián)邦政府實(shí)施的數(shù)據(jù)保護(hù)，數(shù)據(jù)主體的權(quán)利，聯(lián)邦數(shù)據(jù)保護(hù)專員制度等內(nèi)容。第三篇為私人機(jī)構(gòu)和參與競爭的公法企業(yè)的數(shù)據(jù)處理，規(guī)定了數(shù)據(jù)處理的法律基礎(chǔ)、數(shù)據(jù)主體的權(quán)利、監(jiān)管機(jī)構(gòu)等內(nèi)容。第四篇為特殊規(guī)定，主要包括對處于專業(yè)保密下或者官方特別保密下的個人數(shù)據(jù)的使用限制，研究機(jī)構(gòu)對個人數(shù)據(jù)的處理和適用，媒體對個人數(shù)據(jù)的收集、處理和使用等內(nèi)容。第五篇為最后條款，規(guī)定了違反《聯(lián)邦數(shù)據(jù)保護(hù)法》的行政責(zé)任與刑事責(zé)任。第六篇為過渡性條款。2003年《聯(lián)邦數(shù)據(jù)保護(hù)法》第7節(jié)、第8節(jié)就損害賠償問題做出了明確的規(guī)定。按照2003年《聯(lián)邦數(shù)據(jù)保護(hù)法》，如果數(shù)據(jù)控制人通過不為該法或者其他數(shù)據(jù)保護(hù)規(guī)定所允許的或者不正確的數(shù)據(jù)自動收集、處理和使用而侵害了數(shù)據(jù)主體的利益，該數(shù)據(jù)主體控制人的責(zé)任機(jī)構(gòu)無論其是否存在過錯，均有義務(wù)賠償數(shù)據(jù)主體的損失。一旦數(shù)據(jù)控制人嚴(yán)重?fù)p害數(shù)據(jù)主體人格權(quán)，對數(shù)據(jù)主體的精神損害也應(yīng)當(dāng)給與適當(dāng)?shù)慕疱X賠償。在自動化處理數(shù)據(jù)的情況下，如果數(shù)個機(jī)構(gòu)同時儲存被違法使用的個人數(shù)據(jù)，而受害人無法確定實(shí)際儲存人的，那么涉及被侵權(quán)個人信息處理的相關(guān)機(jī)構(gòu)都應(yīng)當(dāng)承擔(dān)法律責(zé)任。這樣的規(guī)定加強(qiáng)了數(shù)據(jù)儲存機(jī)構(gòu)對個人信息的安全保障義務(wù)。

二、我國個人信息保護(hù)的現(xiàn)狀與問題

目前，我國關(guān)于個人信息保護(hù)的法律淵源除了《憲法》之外，民法領(lǐng)域主要包括《民法通則》與《侵權(quán)責(zé)任法》?！肚謾?quán)責(zé)任法》首次將隱私權(quán)作為一項(xiàng)獨(dú)立的民事權(quán)利予以保護(hù)，并規(guī)定了侵犯隱私權(quán)的民事責(zé)任。行政法領(lǐng)域《居民身份證法》規(guī)定了居民個人身份證信息的保護(hù)，《治安管理處罰法》規(guī)定了公安機(jī)關(guān)在辦理治安案件時對涉及個人隱私的保密義務(wù)，《政府信息公開條例》當(dāng)中的一些條款對與政府信息公開相關(guān)領(lǐng)域的個人信息保護(hù)的范圍、例外和救濟(jì)等方面予以了規(guī)定。③《刑法》第253條規(guī)定了國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等領(lǐng)域的工作人員出售或者非法提供給他人個人信息情節(jié)嚴(yán)重時的刑事責(zé)任。我國當(dāng)前個人信息保護(hù)制度主要存在以下問題:

首先，個人信息權(quán)利內(nèi)容不清晰。當(dāng)前立法對個人信息權(quán)的概念缺乏明確的界定，權(quán)利內(nèi)容邊界模糊，權(quán)利受到侵犯之后的法律救濟(jì)條款也付之闕如，極不利于公民個人信息權(quán)的法律保護(hù)。

其次，個人信息保護(hù)保障機(jī)制不完整。當(dāng)前我國尚未設(shè)立專門的個人隱私保護(hù)機(jī)構(gòu)，受理和調(diào)查個人信息侵權(quán)糾紛，對信息收集部門的行為及個人信息保護(hù)狀況進(jìn)行監(jiān)督。個人信息權(quán)利受到侵犯時只能訴求法院予以解決，這樣的處理方式無疑提高了權(quán)利人的維權(quán)成本以及維權(quán)難度。

第三，個人信息保護(hù)制度中對政府控制的檔案記錄與個人信息保護(hù)之間存在沖突時的保護(hù)標(biāo)準(zhǔn)尚未明晰。這樣的制度形態(tài)易造成政府、行政機(jī)關(guān)基于自身公權(quán)力的背景而對其收集的普通民眾個人信息的濫用，而普通民眾卻無法充分享受其知情權(quán)以保護(hù)其個人信息，難以對公民個人信息進(jìn)行全面保護(hù)。

三、德國個人信息保護(hù)立法對我國的啟示

為了有效遏制個人信息泄露、侵權(quán)的勢頭，筆者建議我國個人信息保護(hù)的立法完善應(yīng)當(dāng)借鑒德國等國家的立法經(jīng)驗(yàn)，從以下方面入手。

(一)加強(qiáng)行政機(jī)關(guān)的個人信息保護(hù)職責(zé)

由于政府掌握了大量的公民個人信息，防范政府部門濫用或者侵犯公民個人信息具有至關(guān)重要的意義。德國的個人隱私保護(hù)體系對于保護(hù)公民個人信息不受政府機(jī)關(guān)侵犯起到了至關(guān)重要的作用。

筆者認(rèn)為，我國應(yīng)當(dāng)參考國外的機(jī)構(gòu)設(shè)置模式，從國務(wù)院到地方政府設(shè)立專門的個人隱私保護(hù)機(jī)構(gòu)，受理和調(diào)查個人信息侵權(quán)糾紛，對政府部門個人信息保護(hù)狀況進(jìn)行檢察監(jiān)督，定期向國務(wù)院提交個人信息保護(hù)的研究報告。

另外，我國也應(yīng)當(dāng)明確個人信息遭受行政機(jī)關(guān)侵害時公民的行政救濟(jì)手段。具體而言，應(yīng)當(dāng)包括3個方面:第一，行政復(fù)議。當(dāng)信息主體認(rèn)為行政機(jī)關(guān)的具體行政行為涉嫌侵犯其個人信息權(quán)時，有權(quán)提起行政復(fù)議。從保護(hù)信息主體權(quán)益角度出發(fā)，不宜規(guī)定復(fù)議前置的強(qiáng)制性要求，賦予信息主體充分的選擇權(quán)。第二，行政訴訟。信息主體對行政復(fù)議結(jié)果不服的，有權(quán)提起行政訴訟。目前的行政訴訟法中尚未明確因個人信息權(quán)遭受侵害的事由，筆者建議將其明確納入行政訴訟的受案范圍，賦予信息主體行政訴權(quán)。第三，行政賠償。一旦通過復(fù)議或者訴訟程序確認(rèn)行政機(jī)關(guān)構(gòu)成個人信息侵權(quán)，信息主體有權(quán)獲得相應(yīng)經(jīng)濟(jì)賠償并確認(rèn)在先違法行政行為無效等權(quán)利救濟(jì)，確保公民個人信息權(quán)得到全面保護(hù)。

(二)制定分階段、分行業(yè)的個人信息保護(hù)執(zhí)法計劃

德國的個人信息保護(hù)立法體系并不是一蹴而就的，而是在1977年頒布《聯(lián)邦數(shù)據(jù)保護(hù)法》后，分別于1990年以及2003年不斷做出修訂，逐漸進(jìn)行完善的。因此筆者認(rèn)為，借鑒德國在推行個人信息保護(hù)立法的實(shí)施經(jīng)驗(yàn)，我國應(yīng)區(qū)別行業(yè)間的發(fā)展特點(diǎn)，分階段、分行業(yè)推行個人信息保護(hù)執(zhí)法計劃。一方面，針對個人信息有重大商業(yè)價值以及當(dāng)前基于個人信息糾紛頻發(fā)的行業(yè)，如銀行、互聯(lián)網(wǎng)、通訊等行業(yè)，制定行業(yè)的建議性指引以及相應(yīng)行業(yè)組織內(nèi)的監(jiān)管機(jī)制，引導(dǎo)重點(diǎn)行業(yè)在全行業(yè)之前完善個人信息保護(hù)。2014年3月15日發(fā)布的《互聯(lián)網(wǎng)企業(yè)個人信息保護(hù)測評標(biāo)準(zhǔn)》是基于個人信息保護(hù)測評的行業(yè)標(biāo)準(zhǔn)，有助于提升互聯(lián)網(wǎng)行業(yè)對個人信息的保護(hù)能力［5］，筆者建議借鑒此規(guī)范在其他行業(yè)制定相應(yīng)的個人信息保護(hù)標(biāo)準(zhǔn)規(guī)范。另一方面，在相應(yīng)的法律法規(guī)得以完善的同時加強(qiáng)行業(yè)自律。通過強(qiáng)化行業(yè)自律自治彌補(bǔ)法律法規(guī)滯后的缺陷，發(fā)揮行業(yè)自律的靈活性和專業(yè)性［6］。引導(dǎo)重點(diǎn)行業(yè)在個人信息保護(hù)領(lǐng)域制定并實(shí)行自律規(guī)范，將個人信息保護(hù)的主體轉(zhuǎn)移至企業(yè)自身，從根本上提高個人信息保護(hù)力度。

(三)平衡公私之間關(guān)于個人信息權(quán)利的利益

當(dāng)今社會是信息化社會，更是大數(shù)據(jù)的時代，特別是網(wǎng)絡(luò)、計算機(jī)技術(shù)的快速發(fā)展使得個人信息的擴(kuò)散不再如從前那樣易于控制［7］。大量的個人信息不僅掌握在以個人信息作為商業(yè)需求的企業(yè)手中，而且也集中掌握在政府部門手中，隨時都有發(fā)生個人信息失控的可能。雖然政府收集個人信息多基于公共利益的目的考慮，但政府在利用個人信息時常常存在個人信息保護(hù)與公共利益之間發(fā)生沖突的情況。個人信息保護(hù)制度不僅需要保護(hù)個人利益，更需要對其所涉及和調(diào)整的各種利益關(guān)系進(jìn)行平衡。依照德國的《打擊恐怖主義法》與《電信監(jiān)視法》，如果行政機(jī)關(guān)認(rèn)為出于國家安全的需要，那么就可以擴(kuò)大個人信息收集的范圍和權(quán)限［4］。這一規(guī)定也可看出該法認(rèn)為當(dāng)公共利益與個人隱私權(quán)發(fā)生沖突時，應(yīng)首先考慮公共利益。由此，我國在建立個人信息保護(hù)制度時也應(yīng)充分考慮公共利益與個人利益的平衡，構(gòu)建利益平衡機(jī)制，確立公共利益高于個人利益的基本原則，在保護(hù)公共利益的前提下對個人信息給予最大限度的保護(hù)，以避免因一味地考慮個人信息保護(hù)而造成個人利益與公共利益的失衡。

［1］王利明.論個人信息權(quán)的法律保護(hù)——以個人信息權(quán)與隱私權(quán)的界分為中心［J］.現(xiàn)代法學(xué)，2013(4):62.

［2］Schimmel/Steinmueller，Rechtspolitische Problemstellung des Datenschutzes//Dammann/Karhausen/Muller/Steinmueller(Hrsg.).Datenbank und Datenschutz， Frankfurt/New York，1974.

［3］Podlech，Prinzipien des Datenschutzes，in:Killian/Lenk/Steinmuller(Hrsg.)，Datenschutz，10.Brunnstein in Hoffmann/Tietze/Podlech，Numerierte Burger，Wuppertal，1975.

［4］蔣舸.個人信息保護(hù)立法模式的選擇——以德國經(jīng)驗(yàn)為視角［J］.法律科學(xué)，2011(2):116.

［5］張意軒，于芳芳.網(wǎng)企個人信息保護(hù)標(biāo)準(zhǔn)發(fā)布［N］.人民日報:海外版，2014－03－28(4).

［6］史衛(wèi)民.大數(shù)據(jù)時代個人信息保護(hù)的現(xiàn)實(shí)困境與路徑選擇［J］.情報雜志，2013(12):155 －159.

［7］何培育.電子商務(wù)環(huán)境下個人信息安全危機(jī)與法律保護(hù)對策探析［J］.河北法學(xué)，2014(8):34－41.