李欣倩

內(nèi)容摘要：隨著大數(shù)據(jù)時(shí)代的到來(lái)，個(gè)人信息已經(jīng)突破傳統(tǒng)人格權(quán)的范疇，成為具有商業(yè)價(jià)值可供流通的標(biāo)的。目前，我國(guó)個(gè)人信息大范圍泄漏事件時(shí)有發(fā)生，黑色產(chǎn)業(yè)鏈已經(jīng)形成。面對(duì)如此嚴(yán)峻的形勢(shì)，立法方面仍然進(jìn)展緩慢，現(xiàn)存立法的碎片狀況加劇了信息保護(hù)實(shí)施的不確定性。作為大陸法系的典型國(guó)家，德國(guó)《聯(lián)邦信息保護(hù)法》已經(jīng)走過(guò)了40年的歷程，先后經(jīng)歷過(guò)3次大規(guī)模改革。在其發(fā)展過(guò)程中，計(jì)算機(jī)技術(shù)的進(jìn)步和聯(lián)邦憲法法院的判決呈現(xiàn)出良性互動(dòng)，成為推動(dòng)德國(guó)個(gè)人信息保護(hù)發(fā)展的重要力量。以3次立法改革為視角，研究德國(guó)個(gè)人信息立法的發(fā)展歷程，以期為我國(guó)個(gè)人信息保護(hù)立法提供域外經(jīng)驗(yàn)。

關(guān)鍵詞：個(gè)人信息 信息自決 信息安全 個(gè)人信息立法

近年來(lái)，隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，信息逐漸打破地域的限制在全球范圍內(nèi)實(shí)現(xiàn)集中。2012年，《紐約時(shí)報(bào)》驚呼“大數(shù)據(jù)”時(shí)代已經(jīng)降臨，信息將成為未來(lái)商業(yè)、經(jīng)濟(jì)及其他領(lǐng)域決策的重要工具。這是一場(chǎng)生活、工作與思維的大變革，不僅改變著人們的行為模式，也給傳統(tǒng)法學(xué)理論，特別是隱私權(quán)理論帶來(lái)了極大的沖擊。在大數(shù)據(jù)時(shí)代中，個(gè)人信息逐步脫離人格權(quán)客體的范疇，成為具有商業(yè)價(jià)值可供流通的標(biāo)的。信息經(jīng)由專業(yè)的分析系統(tǒng)處理后，能夠客觀地展示用戶習(xí)慣和使用偏好。網(wǎng)絡(luò)服務(wù)提供商則根據(jù)分析結(jié)果提供個(gè)性化推薦服務(wù)，不僅提高了用戶的使用體驗(yàn)，更形成了極大的商業(yè)價(jià)值。在經(jīng)濟(jì)利益驅(qū)動(dòng)下，個(gè)人信息非法交易的黑色產(chǎn)業(yè)鏈逐步形成。據(jù)中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布的《中國(guó)網(wǎng)民權(quán)益保護(hù)調(diào)查報(bào)告（2015）》統(tǒng)計(jì)，僅2015年，網(wǎng)民因個(gè)人信息泄露、垃圾信息、詐騙信息等現(xiàn)象導(dǎo)致的總體損失約805億元。

面對(duì)日益嚴(yán)重的信息侵害，我國(guó)立法卻遲遲沒有作出回應(yīng)。早在2003年，國(guó)務(wù)院信息辦就委托中國(guó)社科院法學(xué)所承擔(dān)相關(guān)課題及起草專家意見稿。課題組于2005年完成了《個(gè)人信息保護(hù)法（專家意見稿）》，并于2008年提交到國(guó)務(wù)院。之后有關(guān)《個(gè)人信息保護(hù)法》的立法進(jìn)程一直處于擱置狀態(tài)。近年來(lái)，我國(guó)個(gè)人信息保護(hù)立法在體系上呈分散式發(fā)展。涉及個(gè)人信息保護(hù)方面的法律有將近40部，此外還有30部法規(guī)和大量的部門規(guī)章以及地方性立法?！? 〕分散式立法模式導(dǎo)致信息保護(hù)實(shí)施中存在極大的不確定性，既缺乏對(duì)個(gè)人信息范圍的界定，也缺乏可操作的標(biāo)準(zhǔn)。反觀德國(guó)個(gè)人信息保護(hù)的立法發(fā)展，從第一部《聯(lián)邦信息保護(hù)法》至今已經(jīng)走過(guò)了40年的歷程。這期間，計(jì)算機(jī)技術(shù)的發(fā)展和聯(lián)邦憲法法院的判決呈現(xiàn)出良性互動(dòng)，成為推動(dòng)德國(guó)個(gè)人信息保護(hù)發(fā)展的重要力量。40年來(lái)，《聯(lián)邦信息保護(hù)法》經(jīng)歷了3次大范圍修改，形成了以聯(lián)邦立法為核心、特別領(lǐng)域?qū)ｉT法為主體的個(gè)人信息保護(hù)體系。筆者以德國(guó)個(gè)人信息保護(hù)的立法進(jìn)程為對(duì)象，以其產(chǎn)生、形成和最新發(fā)展成果為脈絡(luò)開展研究，以期為我國(guó)個(gè)人信息立法提供域外經(jīng)驗(yàn)。

一、產(chǎn)生：從隱私權(quán)到個(gè)人信息保護(hù)

個(gè)人信息保護(hù)的興起與計(jì)算機(jī)技術(shù)的迅猛發(fā)展息息相關(guān)。在Cookie，Robots協(xié)議等技術(shù)大規(guī)模使用之前，個(gè)人信息一直作為隱私權(quán)的范疇，并沒有引起德國(guó)學(xué)術(shù)界的過(guò)多重視。第二次世界大戰(zhàn)之前，德國(guó)法學(xué)界仍然拒絕將名譽(yù)權(quán)和隱私權(quán)列入《德國(guó)民法典》第823條第1款的保護(hù)范圍，損害名譽(yù)和個(gè)人隱私不產(chǎn)生賠償義務(wù)?！? 〕在1953年公布的《歐洲人權(quán)公約》中，“個(gè)人信息”作為“尊重私人生活和家庭生活”，體現(xiàn)在其第8條第1款中?！? 〕但是，20世紀(jì)70年代以后，隨著信息技術(shù)的發(fā)展，個(gè)人信息的收集和獲取呈現(xiàn)出爆發(fā)式增長(zhǎng)，傳統(tǒng)的“私人生活”領(lǐng)域受到極大挑戰(zhàn)。個(gè)人信息在隱私權(quán)的范疇下，缺乏對(duì)抗公、私主體信息濫用行為的有效權(quán)能。

1970年，歷史上第一部關(guān)于信息保護(hù)的專門立法在德國(guó)黑森州誕生。第二次世界大戰(zhàn)后德國(guó)在政治體制上更加依賴地方團(tuán)體自治。作為基本政治制度，地方團(tuán)體負(fù)責(zé)執(zhí)行地方性法規(guī)、本州和聯(lián)邦的法律。但是隨著計(jì)算機(jī)技術(shù)的發(fā)展，信息開始在州乃至聯(lián)邦范圍內(nèi)大規(guī)模、統(tǒng)一地采集、處理和使用。地方團(tuán)體自治也因此受到威脅。1969年黑森州頒布法案，規(guī)定地方團(tuán)體和州行政機(jī)關(guān)不再使用相同的信息處理中心。這一規(guī)定雖然一定程度上保護(hù)了地方自治，但也割裂了立法機(jī)關(guān)和執(zhí)法機(jī)關(guān)的信息共享。與此同時(shí)，關(guān)于個(gè)人信息的保密問(wèn)題也逐漸在社會(huì)上受到重視，民眾對(duì)政府濫用個(gè)人信息的質(zhì)疑日漸高漲。作為應(yīng)對(duì)，各州政府紛紛開始將保密條款加入行政法規(guī)之中。在雙重壓力下，黑森州率先通過(guò)了《信息保護(hù)法》，明確行政機(jī)關(guān)的個(gè)人信息保密義務(wù)，重新劃分地方團(tuán)體和州行政機(jī)關(guān)在信息使用中的權(quán)限和地位。因此，這部法案在一定程度上是對(duì)1969年立法的延續(xù)?！? 〕該法案共計(jì)17章，主要側(cè)重于建立第三方信息監(jiān)管機(jī)構(gòu)和信息保護(hù)委員制度，并未就個(gè)人信息保護(hù)給出更多有益的措施。因此，有學(xué)者批評(píng)其用詞不當(dāng)?！? 〕

雖然歷史上第一部有關(guān)信息保護(hù)的法案產(chǎn)生于德國(guó)黑森州，但第一部國(guó)家立法則產(chǎn)生于瑞士。〔6 〕黑森州頒布《信息保護(hù)法》之后的第二年，德國(guó)各聯(lián)邦州也陸續(xù)開啟信息保護(hù)的立法進(jìn)程。1971年，聯(lián)邦政府在雷根斯堡大學(xué)組建專家小組，就未來(lái)聯(lián)邦信息保護(hù)法的基本框架提供專家意見。雖然草案很快得以完成，但由于極大地限制了私法主體在信息取得和使用上的權(quán)利而深受詬病，最終被擱置。后來(lái)，德國(guó)聯(lián)邦政府開始整合各州人口信息，建立國(guó)家人口信息信息庫(kù)。作為該項(xiàng)目的法律依據(jù)，《聯(lián)邦信息保護(hù)法（草案）》才重新提請(qǐng)審議，并最終于1976年11月通過(guò)，1978年1月開始生效。《聯(lián)邦信息保護(hù)法》共有47個(gè)條文，在各州信息保護(hù)法已有規(guī)定的基礎(chǔ)上，確立了“任何形式的個(gè)人信息處理必須經(jīng)信息主體同意或有法律上的許可，方得為之的基本原則?！?〔7 〕這部立法采納了公私二元制立法模式，注重防范政府濫用個(gè)人信息而不是合理使用個(gè)人信息，因此它只賦予信息主體少量的權(quán)利。〔8 〕

二、形成：內(nèi)外因素作用下的現(xiàn)代化進(jìn)程

1977年《聯(lián)邦信息保護(hù)法》對(duì)信息處理持消極態(tài)度，過(guò)度的管制引發(fā)了德國(guó)社會(huì)的廣泛批評(píng)?！? 〕進(jìn)入80年代以來(lái)，個(gè)人電腦逐漸在德國(guó)普及，信息技術(shù)的發(fā)展和盛行被視為德國(guó)社會(huì)發(fā)展的特征之一。于是，修改《聯(lián)邦信息保護(hù)法》的呼聲日益高漲。但是，議會(huì)先后審議了10個(gè)草案都未獲批準(zhǔn)。〔10 〕1982年3月，德國(guó)聯(lián)邦議會(huì)全票表決通過(guò)了《聯(lián)邦人口普查法》。該法案規(guī)定次年起（1983年），在聯(lián)邦范圍內(nèi)實(shí)施包括住址、職業(yè)、教育經(jīng)歷等個(gè)人信息的全面登記?！度丝谄詹榉ā奉C布后，民眾針對(duì)國(guó)家強(qiáng)制收集個(gè)人信息的行為產(chǎn)生了強(qiáng)烈的質(zhì)疑。后來(lái)，100多位公民以違反《基本法》為由，將該法案訴至聯(lián)邦憲法法院。法院審理后認(rèn)為，該法案第2條中第1至7項(xiàng)以及第3條至第5條違反《基本法》關(guān)于“人格的自由發(fā)展”的要求，判決違憲部分無(wú)效，其余部分修改后實(shí)施。這就是德國(guó)隱私權(quán)發(fā)展史上最為著名的“人口普查案”?！?1 〕判決指出，在信息社會(huì)中，不可避免地存在個(gè)人信息的收集、處理和使用，任何人都有可能成為信息侵害的對(duì)象，因此，個(gè)人應(yīng)享有“信息自決權(quán)”以對(duì)抗信息侵害?！?2 〕所謂“信息自決”是指信息主體有權(quán)決定其私人生活是否公開、公開到何種程度以及公開的時(shí)間和方式。憲法法院認(rèn)為，信息社會(huì)中，個(gè)人如果無(wú)法評(píng)估其信息公開的程度，勢(shì)必會(huì)影響其社會(huì)生活中的行為。特別是當(dāng)其不愿為公眾所知的信息有被公開的可能時(shí)，則對(duì)其自由發(fā)展之人格構(gòu)成威脅。因此，結(jié)合《基本法》第1條第1款“人性尊嚴(yán)不受侵犯”和第2條第1款“人格發(fā)展之自由”，憲法法院將“信息自決”確認(rèn)為一般人格權(quán)項(xiàng)下的基本權(quán)利。但是，判決同時(shí)也指出，信息自決在涉及公共利益和法律特殊規(guī)定的情況下應(yīng)受到限制。這里所稱的法律不僅應(yīng)依據(jù)憲法制定，也要符合明確性和適度原則。人口普查案件之后，北威州、薩爾州和梅前州等聯(lián)邦州先后將信息自決權(quán)寫入州憲法中，逐漸在聯(lián)邦范圍承認(rèn)其基本權(quán)利的地位。

1.《聯(lián)邦信息保護(hù)法》的第一次修改

人口普查案是德國(guó)信息保護(hù)立法發(fā)展的里程碑，標(biāo)志著信息保護(hù)基本理念的轉(zhuǎn)變。在此之前，立法的主要目的是防止公權(quán)力機(jī)關(guān)濫用個(gè)人信息，歸根結(jié)底對(duì)信息的收集、處理和使用持消極態(tài)度。此案之后，德國(guó)開始對(duì)《聯(lián)邦信息保護(hù)法》進(jìn)行第一次修改，于1990年12月完成。修改后的法案著眼于合理使用個(gè)人信息，“免受因個(gè)人信息傳播而引起的人格權(quán)侵害”?！?3 〕同時(shí)，該法案將國(guó)家安全機(jī)構(gòu)對(duì)個(gè)人信息的收集和處理納入信息保護(hù)法的范疇，明確了公法主體無(wú)過(guò)錯(cuò)賠償以及就非財(cái)產(chǎn)性損失提供財(cái)政補(bǔ)償?shù)倪m用條件?！?4 〕在結(jié)構(gòu)上，該法案繼承了公私二元制立法模式，但整體縮小了公私領(lǐng)域間信息保護(hù)標(biāo)準(zhǔn)的差異。在以往的立法經(jīng)驗(yàn)中，信息保護(hù)法能否囊括私法主體，一直是極具爭(zhēng)議的問(wèn)題。1977年的《聯(lián)邦信息保護(hù)法》采取了公私分立的模式，但鮮有關(guān)注私法主體。而根據(jù)“基本權(quán)第三人間接效力理論”，作為基本權(quán)利的信息自決權(quán)可以間接適用于私法領(lǐng)域，為個(gè)人信息保護(hù)領(lǐng)域的公私分立模式提供了憲法基礎(chǔ)。因此，這次修訂的意義并不限于個(gè)別法律制度或條款，更多的是信息保護(hù)宏觀理論和觀念的更新。

2.《聯(lián)邦信息保護(hù)法》的第二次修改

20世紀(jì)80年代以來(lái)，信息因其不受地理限制的特性逐漸在全球范圍內(nèi)受到關(guān)注。1980年9月和1981年1月，經(jīng)濟(jì)合作與發(fā)展組織（OECD）和歐盟委員會(huì)開始實(shí)施《關(guān)于保護(hù)隱私與個(gè)人信息跨國(guó)界流動(dòng)的準(zhǔn)則》 〔15 〕和《個(gè)人信息保護(hù)公約》（以下簡(jiǎn)稱Convention 108），〔16 〕以保護(hù)民眾的權(quán)利和基本自由，特別針對(duì)自動(dòng)處理個(gè)人信息提倡保護(hù)隱私權(quán)?！?7 〕公約首次明確了個(gè)人信息的范疇，是指“被識(shí)別的或具有被識(shí)別性的，與個(gè)人關(guān)聯(lián)的任何信息”?！?8 〕這表明，歐盟在20世紀(jì)80年代初期已經(jīng)完成了信息隱私從隱私權(quán)中分離的過(guò)程。信息保護(hù)的范圍相較于隱私保護(hù)更為寬泛，因?yàn)樾畔⒈Ｗo(hù)不僅限于私密領(lǐng)域，也涉及其他的權(quán)利或者自由。兩者相比，個(gè)人信息保護(hù)更偏重于信息的可識(shí)別性，但除此之外，即便侵犯私密領(lǐng)域的其他方面，也不在信息保護(hù)的范圍之內(nèi)。20世紀(jì)80年代后期，歐盟各成員國(guó)之間信息保護(hù)程度嚴(yán)重不平衡。如上文所述，德國(guó)和瑞士率先完成了本國(guó)信息保護(hù)立法；法國(guó)獨(dú)辟蹊徑，依靠“信息自由委員會(huì)”保障信息安全，〔19 〕而意大利和希臘則遲遲未予立法。立法上的差異阻礙了歐洲各國(guó)之間的信息流通，從而限制歐洲內(nèi)部統(tǒng)一市場(chǎng)的形成。歷經(jīng)四年磋商，1995年10月，歐盟最終簽署了《個(gè)人信息保護(hù)指令》（95/46/EC）。〔20 〕這條指令的主要目的是平衡各成員國(guó)的信息保護(hù)發(fā)展和基本理念，建立水平相當(dāng)?shù)男畔⒈Ｗo(hù)體系，以促進(jìn)實(shí)現(xiàn)內(nèi)部市場(chǎng)的形成和利益各方的平衡發(fā)展?！吨噶睢芬蟪蓡T國(guó)保護(hù)自然人的基本權(quán)利和自由，特別針對(duì)個(gè)人信息處理，加強(qiáng)隱私權(quán)的保護(hù)。另一方面，它要求成員國(guó)之間不得禁止或限制信息自由流通。因此，《指令》不僅旨在保護(hù)個(gè)人信息，特別是電子通訊服務(wù)中的隱私權(quán)，也為電信服務(wù)提供者開展個(gè)人信息有關(guān)的業(yè)務(wù)提供了法律上的可能性?！吨噶睢奉C布后兩年間，德國(guó)先后實(shí)施了《電信法》（TKG）和《電信服務(wù)信息保護(hù)法》，將《指令》中有關(guān)交易性匿名、假名、信息記錄程序、點(diǎn)擊流信息處理等規(guī)定轉(zhuǎn)化為國(guó)內(nèi)法，在通訊和互聯(lián)網(wǎng)領(lǐng)域完善信息隱私保護(hù)?！吨噶睢坊旧涎永m(xù)了《信息流動(dòng)準(zhǔn)則》和《個(gè)人信息保護(hù)公約》所建立的基本原則，并詳細(xì)規(guī)定了原則適用的條件和要求。同時(shí)，《指令》也為各成員國(guó)保留了大量的自由裁量權(quán)，被譽(yù)為歐洲信息保護(hù)通向基本權(quán)利的里程碑?！?1 〕

根據(jù)德國(guó)對(duì)政府間條約效力的法律規(guī)定，《指令》相關(guān)內(nèi)容必須在未來(lái)3年內(nèi)轉(zhuǎn)化為國(guó)內(nèi)法予以實(shí)施。《指令》為歐盟信息保護(hù)的發(fā)展奠定了基礎(chǔ)，具有極為重要的意義，但是對(duì)于德國(guó)而言，卻并未帶來(lái)過(guò)多的驚喜。〔22 〕《指令》中有關(guān)信息主體的知情權(quán)，信息處理中的合法及公平原則等，都與德國(guó)信息保護(hù)立法不謀而合。鑒于上述原因，在《指令》頒布的最初幾年，德國(guó)政府并沒有給予其足夠的重視。本應(yīng)于1998年完成國(guó)內(nèi)法轉(zhuǎn)化，實(shí)際上卻一拖再拖。各聯(lián)邦州也只有黑森州和勃蘭登堡州于規(guī)定時(shí)間內(nèi)完成了立法。90年代末正值互聯(lián)網(wǎng)技術(shù)快速發(fā)展時(shí)期，新技術(shù)的出現(xiàn)為個(gè)人信息保護(hù)帶來(lái)了新的挑戰(zhàn)，這時(shí)聯(lián)邦政府才認(rèn)識(shí)到信息保護(hù)的重要性。1997年至1998年間，綠黨和社民黨分別提交了修改《信息保護(hù)法》的議案，其中不僅囊括了歐盟信息保護(hù)指令的核心規(guī)則，還特別就當(dāng)時(shí)混亂的信息保護(hù)體系、嚴(yán)重落后于科技發(fā)展的立法進(jìn)程提出改革方案。但是，聯(lián)邦政府認(rèn)為只有徹底地變革，才能開啟信息保護(hù)的現(xiàn)代化進(jìn)程。〔23 〕于是，信息保護(hù)法修正案一拖再拖。2001年1月，歐盟提起對(duì)德訴訟，稱其未能在規(guī)定時(shí)間內(nèi)完成《指令》轉(zhuǎn)化。德國(guó)政府迫于壓力，只得在短時(shí)間內(nèi)完成《聯(lián)邦信息保護(hù)法》的第二次改革。

2000年的《聯(lián)邦信息保護(hù)法》進(jìn)一步更新了信息保護(hù)理念?！斗ò浮返?章第1條確立了信息經(jīng)濟(jì)原則，規(guī)定在設(shè)計(jì)和選擇信息處理系統(tǒng)時(shí)，應(yīng)通過(guò)技術(shù)手段或建立信息審計(jì)制度以減少信息采集樣本，并且盡可能地使用匿名信息，以減少對(duì)人格權(quán)的侵害。第4章第1條將合法性原則的適用范圍擴(kuò)大至信息收集行為，詳細(xì)規(guī)定了未經(jīng)信息主體同意進(jìn)行信息采集的條件。第6條增加了數(shù)據(jù)安全委員的新職能，在處理敏感個(gè)人信息時(shí)，其有權(quán)要求提前介入。另外，《法案》逐漸淡化監(jiān)管色彩，突出意思自治原則在信息保護(hù)領(lǐng)域中的作用。將權(quán)利人同意作為信息收集和處理的合法性來(lái)源。〔24 〕除此之外，《法案》建立了新的私法主體認(rèn)定標(biāo)準(zhǔn)，并一直延續(xù)至今。1990年《聯(lián)邦信息保護(hù)法》將信息經(jīng)營(yíng)行為或盈利目的作為確認(rèn)私法主體的唯一標(biāo)準(zhǔn)。修訂后的法案以信息行為作為私法主體的認(rèn)定標(biāo)準(zhǔn)，將調(diào)整范圍擴(kuò)大至使用信息處理設(shè)備進(jìn)行數(shù)據(jù)行為的私主體和針對(duì)非經(jīng)自動(dòng)形成或獲取的信息進(jìn)行數(shù)據(jù)行為的私主體，并明確地將以個(gè)人或家庭目的進(jìn)行數(shù)據(jù)行為的私法主體排除在外?！?5 〕此外，《法案》新增了有關(guān)視聽資料的規(guī)定。第六章承認(rèn)了經(jīng)由視聽資料處理得出的個(gè)人信息具有人工價(jià)值。第2條就公開視頻（例如閉路電視）監(jiān)督提出合法性和透明性標(biāo)準(zhǔn)。第3條新增了有關(guān)智能卡收集信息的透明性原則。

2000年《聯(lián)邦信息保護(hù)法》完成得非常匆忙，有學(xué)者稱其為“已有信息保護(hù)成果和現(xiàn)代化信息保護(hù)理念之間的分割線”?！?6 〕不可否認(rèn)的是，立法者是帶著“不久之后將其取而代之的意圖”通過(guò)該法案的?！?7 〕在修正案準(zhǔn)備期間，聯(lián)邦政府另外邀請(qǐng)了三位極富盛名的信息保護(hù)專家，就信息權(quán)利現(xiàn)代化出具專家意見，并為未來(lái)德國(guó)信息保護(hù)立法基本框架提供學(xué)理建議。2001年專家組以內(nèi)政部的名義提交了《信息保護(hù)權(quán)利的現(xiàn)代化》（Modernisierung des Datenschutzrechts）專家意見書?！?8 〕報(bào)告指出，現(xiàn)代化的信息保護(hù)法在內(nèi)容上應(yīng)以一般規(guī)定為主，實(shí)踐中依靠各領(lǐng)域的專門法來(lái)推進(jìn)信息權(quán)利的實(shí)施。同時(shí)，法案中既要有原則性規(guī)定，也要有精確性規(guī)定，但盡量避免使用開放性條款。法案在內(nèi)容上應(yīng)同時(shí)囊括信息處理的技術(shù)設(shè)計(jì)、信息安全、信息監(jiān)管和自我監(jiān)管，以避免立法碎片化，減少潛在的法律沖突。〔29 〕這份報(bào)告提交后，并沒有受到聯(lián)邦政府的足夠重視，卻在學(xué)術(shù)界引發(fā)了有關(guān)信息保護(hù)理念可操作性的爭(zhēng)論。有學(xué)者提倡信息保護(hù)應(yīng)尊重私法自治，認(rèn)為個(gè)人信息具備經(jīng)濟(jì)價(jià)值，雙方得就個(gè)人信息的處理和使用達(dá)成合意?！?0 〕但批評(píng)觀點(diǎn)認(rèn)為這樣會(huì)導(dǎo)致信息保護(hù)委員制度在大公司中日漸式微，立法應(yīng)以現(xiàn)實(shí)為基礎(chǔ)，為大公司的發(fā)展提供更多的自由空間。也有學(xué)者認(rèn)為，在信息社會(huì)中，信息處理是日常生活的一部分，信息保護(hù)作為個(gè)人權(quán)利的時(shí)代即將到來(lái)，政府不應(yīng)提供特別的公法保護(hù)?！?1 〕

3.《聯(lián)邦信息保護(hù)法》的第三次修改

進(jìn)入21世紀(jì)以來(lái)，在全球一體化的背景下，社交網(wǎng)絡(luò)、云計(jì)算和定位服務(wù)逐漸興起?？萍嫉倪M(jìn)步不僅從根本上改變了信息收集、獲取和使用的方式，也給個(gè)人信息保護(hù)帶來(lái)了新的挑戰(zhàn)。2002年歐盟通過(guò)了一系列有關(guān)電信和互聯(lián)網(wǎng)服務(wù)的指令，直接催生了德國(guó)《電信法》和《電信服務(wù)法》修正案的產(chǎn)生。新《電信法》增加了對(duì)IP網(wǎng)絡(luò)和網(wǎng)絡(luò)電話的規(guī)定?！峨娦欧?wù)法》新增了電信服務(wù)商就收集和處理用戶信息的告知和說(shuō)明義務(wù)，并將適用范圍擴(kuò)大至所有的電子信息和通訊服務(wù)領(lǐng)域，除傳統(tǒng)電信媒體外，還包括網(wǎng)上商城、音樂(lè)下載平臺(tái)、搜索引擎和電子郵件。2006年12月，北威州通過(guò)《憲法保護(hù)法》修正案，其中第5章第2條規(guī)定該州安全部門可以利用系統(tǒng)漏洞或木馬程序潛入被調(diào)查對(duì)象的電腦系統(tǒng)，以獲取信息或?qū)ζ溥M(jìn)行監(jiān)視。這種方法被稱作“在線搜索”或“遠(yuǎn)程控制”，其初衷是應(yīng)對(duì)極端分子或恐怖組織利用互聯(lián)網(wǎng)交流、策劃犯罪的行為。〔32 〕法案頒布后，德國(guó)各黨派和公民權(quán)利組織都極力反對(duì)。2008年2月27日聯(lián)邦憲法法院認(rèn)定該條規(guī)定違反《基本法》，并宣告其無(wú)效。但是，憲法法院并沒有簡(jiǎn)單地完全禁止“在線搜索”，而是明確了極為嚴(yán)格的適用條件。判決指出，“只有在個(gè)人生命或國(guó)家存亡遭受威脅之際”，安全部門才能將“在線搜索”作為調(diào)查手段使用。此外，憲法法院分析了當(dāng)前互聯(lián)網(wǎng)技術(shù)和個(gè)人電腦在實(shí)現(xiàn)人格發(fā)展中的重要作用，并進(jìn)一步指出信息自決權(quán)在對(duì)抗國(guó)家信息系統(tǒng)竊取民眾個(gè)人信息時(shí)的無(wú)力。〔33 〕在此基礎(chǔ)上，憲法法院將信息系統(tǒng)的私密性和完整性確認(rèn)為一項(xiàng)新的基本權(quán)利。

德國(guó)的信息保護(hù)立法盡管一直呈上升態(tài)勢(shì)，依舊無(wú)法遏制個(gè)人信息黑色產(chǎn)業(yè)鏈的形成。2006年春天，德國(guó)最大的電信服務(wù)商Deutsche Telekom宣稱，其信息系統(tǒng)遭到黑客入侵，導(dǎo)致1700萬(wàn)T-Mobile用戶信息泄露，其中包括用戶的姓名、地址、電話號(hào)碼、出生日期和電子郵箱等敏感信息?！?4 〕2007年后，大規(guī)模信息丑聞進(jìn)一步升級(jí)。多家大型公司，如德國(guó)鐵路、德意志銀行、連鎖超市Lidl等被指控涉嫌從事用戶信息非法交易或侵犯員工的信息隱私。一時(shí)間，個(gè)人信息保護(hù)再次聚焦在鎂光燈下，成為那一時(shí)期德國(guó)媒體的熱點(diǎn)話題。2008年，25000名民眾走上柏林街頭，高舉“自由，而非恐懼”的標(biāo)語(yǔ)，抗議越來(lái)越嚴(yán)重的信息侵害?！?5 〕面對(duì)媒體和民眾的責(zé)難，2009年5月至8月，聯(lián)邦議會(huì)先后通過(guò)3項(xiàng)《聯(lián)邦信息保護(hù)法》修正案，開啟了醞釀已久的現(xiàn)代化變革。修正后的《信息保護(hù)法》大范圍擴(kuò)展了信息主體的權(quán)利，增加了有關(guān)用戶習(xí)慣記錄、信息泄露通知、雇員和用戶信息管理等新規(guī)定。特別加強(qiáng)了對(duì)基于Cookie，IP address，瀏覽器指紋等追蹤技術(shù)進(jìn)行個(gè)性化廣告推薦的管理。

從整體上看，《法案》將信息經(jīng)濟(jì)原則進(jìn)一步擴(kuò)展到信息收集行為，至此，信息經(jīng)濟(jì)原則全面適用于信息行為的全過(guò)程?！斗ò浮费永m(xù)了憲法法院對(duì)信息安全的要求，將信息安全上升到基本原則的高度，要求信息的控制方或處理方在現(xiàn)有技術(shù)所及或合理范圍內(nèi)，對(duì)個(gè)人信息進(jìn)行匿名或假名化處理?！斗ò浮返?0章強(qiáng)制要求以市場(chǎng)營(yíng)銷或民意調(diào)查為目的獲取的信息必須進(jìn)行匿名或假名化處理，且不得改變?cè)杏猛?；通過(guò)非公開性信息源收集或處理的信息，完成匿名或假名化處理后方可改變?cè)杏猛尽Ａ硗?，《法案》進(jìn)一步強(qiáng)化了信息保護(hù)委員的監(jiān)管作用。上文提到，在2001年有關(guān)信息保護(hù)理的討論中，有學(xué)者認(rèn)為若將私法自治作為信息保護(hù)的核心理念，對(duì)于業(yè)務(wù)量更大，信息來(lái)源更廣泛的大中型私法主體來(lái)說(shuō)勢(shì)必會(huì)增加交易成本。因此，在大中型私法主體中提倡依靠信息保護(hù)委員實(shí)現(xiàn)自我監(jiān)管。上述觀點(diǎn)被2009年的《法案》采納。它一方面放寬了對(duì)小型私法主體的要求，將設(shè)立信息保護(hù)委員的最低人數(shù)由4人提高到9人；〔36 〕另一方面，《法案》為強(qiáng)化信息保護(hù)委員履行職能，新增了任職保障性規(guī)定。第三章規(guī)定，信息保護(hù)委員任職期限不少于1年，任職期間及卸任1年內(nèi)，其雇傭合同非出于正當(dāng)理由不得解除。同時(shí)，雇主有義務(wù)為任職委員提供教育和培訓(xùn)的機(jī)會(huì)并承擔(dān)相應(yīng)的費(fèi)用。第四章新增了信息保護(hù)委員設(shè)立的例外適用條件，規(guī)定從事傳播匿名信息或以市場(chǎng)營(yíng)銷、民意調(diào)查為目的的私法主體不受雇傭人數(shù)限制，必須設(shè)立信息保護(hù)委員。

具體來(lái)看，《法案》進(jìn)一步擴(kuò)展了信息自決權(quán)的范疇。除傳統(tǒng)的知情權(quán)外，信息主體在特定條件下，享有更正、刪除或封鎖其個(gè)人信息的權(quán)利。同時(shí)，信息主體有權(quán)對(duì)未經(jīng)其同意進(jìn)行的信息收集、處理和使用行為提起損害賠償訴訟。針對(duì)此前大規(guī)模爆發(fā)的信息丑聞，《法案》特別加強(qiáng)了關(guān)于雇員和用戶信息保護(hù)的規(guī)定?！斗ò浮返?8章增加了關(guān)于記錄用戶習(xí)慣的限制性規(guī)范。一般來(lái)說(shuō)，服務(wù)提供方會(huì)通過(guò)技術(shù)手段記錄用戶在互聯(lián)網(wǎng)上的操作痕跡，信息經(jīng)過(guò)處理和分析后得出概率值。服務(wù)方基于概率值來(lái)預(yù)測(cè)用戶的未來(lái)行為，并針對(duì)每位用戶提供個(gè)性化推薦服務(wù)。第28章將記錄行為限制在“與信息主體訂立合同”的目的范疇內(nèi)。此外，被收集的用戶記錄不得僅包括地址信息，且必須經(jīng)過(guò)數(shù)學(xué)統(tǒng)計(jì)程序證明被收集信息的必要性。如果服務(wù)方使用了用戶的地址信息，則需要提前以文件形式通知信息主體，這也體現(xiàn)了信息主體知情權(quán)的進(jìn)一步擴(kuò)張。第32章嚴(yán)格限制基于雇傭關(guān)系對(duì)個(gè)人信息的使用。第1條將信息的收集、處理和使用嚴(yán)格限制于“與雇傭相關(guān)”或“職務(wù)犯罪調(diào)查”之必要。在第一種情況下，必要是指為雇傭關(guān)系的建立、實(shí)施或解除提供必要依據(jù)。后者則僅限于調(diào)查履行職務(wù)相關(guān)的犯罪行為，且以存在紙質(zhì)證據(jù)材料為前提。在此基礎(chǔ)上，第2條將上述限制擴(kuò)大到非自動(dòng)化信息處理系統(tǒng)中，即不論使用何種方式或途徑，只要存在對(duì)雇員個(gè)人信息的收集、處理或使用，則必須遵守上述規(guī)則?！斗ò浮返?2章第1條新增了信息泄露通知義務(wù)，要求信息控制方或處理方在涉及個(gè)人敏感信息、職業(yè)機(jī)密、能夠指證刑事或行政犯罪的信息以及銀行、信用卡賬戶信息泄露時(shí)，應(yīng)及時(shí)報(bào)告信息管理機(jī)關(guān)并以適當(dāng)方式通知信息主體。通知中應(yīng)說(shuō)明本次信息泄露的特點(diǎn)，并推薦相應(yīng)避損措施。此外，在對(duì)主管機(jī)關(guān)的報(bào)告中，還應(yīng)額外說(shuō)明本次信息泄露有可能導(dǎo)致的后果和信息控制方或處理方已經(jīng)采取的措施。如果信息涉及群體龐大，通知全部受害者會(huì)給信息控制方或處理方造成不合理的支出，那么可以在至少兩種以上全國(guó)范圍內(nèi)發(fā)行的日?qǐng)?bào)上，以不低于半頁(yè)的篇幅刊登相關(guān)說(shuō)明或者采取其他具有相同意義的辦法。

三、最新發(fā)展：歐洲一體化背景下的統(tǒng)一立法

2009年《里斯本條約》生效后，歐洲一體化邁向新的發(fā)展階段。條約同時(shí)也為歐盟內(nèi)部信息的自由流轉(zhuǎn)提供了政治基礎(chǔ)。同時(shí)生效的《歐洲聯(lián)盟基本權(quán)利憲章》 〔37 〕首次明確承認(rèn)個(gè)人信息保護(hù)的基本權(quán)利地位。信息保護(hù)作為一項(xiàng)基本權(quán)利在歐洲開啟了新的歷程。

1995年《個(gè)人信息保護(hù)指令》實(shí)施后，歐盟各國(guó)都完成了信息保護(hù)立法，在此基礎(chǔ)上形成了各自信息保護(hù)的立法特色。根據(jù)歐盟委員會(huì)公布的資料顯示，歐盟共存在28種不同的信息保護(hù)法，立法碎片化為中小型公司開拓新市場(chǎng)增加了成本。〔38 〕為應(yīng)對(duì)計(jì)算機(jī)技術(shù)的最新發(fā)展，進(jìn)一步平衡各成員國(guó)之間信息保護(hù)的發(fā)展程度，2010年歐盟委員會(huì)建議在歐盟范圍內(nèi)建立統(tǒng)一的信息保護(hù)規(guī)則，將信息流轉(zhuǎn)作為建立歐盟內(nèi)部市場(chǎng)的重要因素。〔39 〕2012年1月，歐盟正式公布《一般信息保護(hù)條例（草案）》。這份草案在1995年《個(gè)人信息保護(hù)指令》的基礎(chǔ)上，進(jìn)一步豐富了信息主體的權(quán)利，淡化行政管制色彩，更為強(qiáng)調(diào)信息保護(hù)的自我監(jiān)管，并計(jì)劃將適用范圍擴(kuò)大至整個(gè)歐洲經(jīng)濟(jì)區(qū)。歷經(jīng)4年談判后，《一般信息保護(hù)條例》（以下簡(jiǎn)稱《條例》）最終于2016年4月27日審議通過(guò)，并將于2018年5月開始實(shí)施。屆時(shí)《條例》將取代《個(gè)人信息保護(hù)指令》，成為歐盟個(gè)人信息保護(hù)的基本法。

《條例》在適用范圍上兼采屬人主義和屬地主義，因此同樣適用于建立在歐盟境外但從事與歐盟境內(nèi)居民相關(guān)信息業(yè)務(wù)的信息處理方或控制方。從整體上看，《條例》進(jìn)一步完善了意思表示在信息處理行為中的作用，擴(kuò)大了信息主體的權(quán)利，確立了主觀故意與過(guò)失相區(qū)別的責(zé)任體系?！稐l例》要求信息主體對(duì)信息行為的同意授權(quán)必須以明示方式作出，且可不受限制地撤回。同時(shí)，《條例》新增了有關(guān)被遺忘權(quán)的規(guī)定，信息主體有權(quán)要求刪除其處理的或儲(chǔ)存的個(gè)人信息。在具體制度方面，《條例》新增了信息保護(hù)影響評(píng)價(jià)機(jī)制，要求信息控制方在處理敏感信息或進(jìn)行其他容易對(duì)信息主體的合法權(quán)益造成威脅的行為時(shí)，必須保留信息處理行為的相關(guān)記錄。另外，《條例》建立了信息泄露通知機(jī)制、信息保護(hù)委員制度等。《一般信息保護(hù)條例》將于2018年5月正式實(shí)施，不同于指令，條例可直接適用于各成員國(guó)，無(wú)需經(jīng)由國(guó)內(nèi)法轉(zhuǎn)化。即便如此，歐洲學(xué)術(shù)界普遍認(rèn)為各國(guó)不可避免地要對(duì)國(guó)內(nèi)法進(jìn)行一定程度上的修正，歐洲將迎來(lái)前所未有的信息保護(hù)立法高潮。反觀德國(guó)學(xué)術(shù)界，學(xué)者對(duì)《條例》的反響并不十分強(qiáng)烈。一方面由于德國(guó)的信息保護(hù)立法一直處在歐盟領(lǐng)先地位，《條例》中有關(guān)信息泄露通知、信息保護(hù)委員等制度都源自德國(guó)立法。另一方面，不少德國(guó)學(xué)者認(rèn)為，在輔助性原則影響下，歐盟不得過(guò)多干涉成員國(guó)內(nèi)部事務(wù)，因此，《一般信息保護(hù)條例》實(shí)施后，《聯(lián)邦信息保護(hù)法》的核心地位并不會(huì)被動(dòng)搖。

但是，不可否認(rèn)的是，2009年的信息保護(hù)法改革距今已有7年。近年來(lái)，全球信息的存儲(chǔ)量呈指數(shù)型上漲。據(jù)互聯(lián)網(wǎng)信息中心預(yù)測(cè)，截至2020年全球產(chǎn)生和復(fù)制的信息量將超過(guò)35ZB即350億TB?！?0 〕在這個(gè)技術(shù)日新月異的信息時(shí)代，德國(guó)的信息保護(hù)立法勢(shì)必要隨著技術(shù)的發(fā)展不停地進(jìn)行自我修正和更新。對(duì)比這兩份法律文件，《條例》整體上對(duì)信息的實(shí)際控制方持更為嚴(yán)格的限制態(tài)度，尤其在舉證責(zé)任方面完全推翻了德國(guó)現(xiàn)有的體系。另外，未成年人作為民法上的無(wú)行為能力或限制行為能力人，其獨(dú)立作出的同意收集信息的授權(quán)是否具有法律效力，能否成為信息實(shí)際控制方收集、處理和使用信息的合法性來(lái)源。這一問(wèn)題近年來(lái)逐漸受到歐洲學(xué)術(shù)界的關(guān)注，《條例》也在第17條有關(guān)被遺忘與刪除的權(quán)利中，特別強(qiáng)調(diào)了對(duì)未成年人信息權(quán)益的保護(hù)。筆者認(rèn)為，如果堅(jiān)持《聯(lián)邦信息保護(hù)法》在德國(guó)個(gè)人信息保護(hù)體系中的核心地位，那么德國(guó)必將在2018年之前迎來(lái)信息保護(hù)立法的第四次改革。