魏健馨， 宋仁超

(天津大學 法學院， 天津 300072)

信息化是現(xiàn)代社會的三大特征之一，信息作為新生事物異軍突起，已經(jīng)滲透到人類社會生活的每一角落。后工業(yè)化發(fā)展過程中新出現(xiàn)的大數(shù)據(jù)概念，讓人們在悄然之中開始了對信息社會的體驗。尤其是撲面而來的信息化趨勢，促使社會生活發(fā)生了深刻變化。在日常生活中，人們被各種信息包圍著，既感受到經(jīng)由大數(shù)據(jù)傳輸獲得資訊的便捷，也深陷于形形色色信息帶來的困擾之中。特別是在政府職能部門或相關主體搜集、使用與管理個人信息的過程中，顯現(xiàn)出“信息不對稱”“個人信息被濫用”等消極現(xiàn)象，導致個體合法權(quán)益甚至人身遭受損害的現(xiàn)實案例時有發(fā)生。這些現(xiàn)實都在警示人們，個人信息及其權(quán)益的有效保護是一個值得高度重視的問題，也是需要從憲法與法律層面進行討論的問題。對已有相關文獻資料的檢索結(jié)果表明，個人信息權(quán)*作者以“個人信息”為關鍵詞在知網(wǎng)中檢索，共檢索出期刊論文151篇，其中提及日本個人信息保護的149篇，核心期刊為10篇?？梢妭€人信息保護問題的關注度還是比較高的，日本的相關理論與實踐也有可借鑒之處，值得深入研討。已經(jīng)進入學者的視野，成為學術研討的重要議題。

鑒于日本個人信息權(quán)利保護的立法與實施經(jīng)驗有獨到之處，本文基于比較視野，通過對日本個人信息權(quán)利保護立法的立法宗旨、理論依據(jù)，以及機構(gòu)設置等特點進行學理分析，為中國的相關立法提供具有學術價值的建議，并盡力促進有效保護個人信息權(quán)的社會實踐。

一、日本的個人信息保護立法早

2017年5月30日(平成29年)，日本最新修訂的《個人信息保護法》正式實施。最新版本的《個人信息保護法》對個人信息權(quán)保護規(guī)定得更為細致。其中對匿名處理信息的使用，利用信息的企業(yè)資質(zhì)認定，第三方認證體系，以及對獲取個人信息從業(yè)者的管轄權(quán)由總務大臣轉(zhuǎn)移到個人信息保護委員會等內(nèi)容，都是完善個人信息保護立法的最新成果。

與中國比較而言，日本有關個人信息保護的立法起步較早。日本立法保護個人信息發(fā)端于1988年12月通過的《行政機關保有利用處理的個人資料保護關系法》。該法的制定以《OECD個人資料保護指針》為藍本，但是該法的適用范圍狹窄，僅僅針對行政機關利用電子計算機處理的個人信息。2003年5月，鑒于國內(nèi)經(jīng)濟形勢發(fā)展和國際相關法律的制定趨勢*歐盟1995年頒布“歐盟指令”要求成員國規(guī)定，僅在第三國能夠確保充分保護個人信息時，才可以向其傳輸個人信息，并要求設立監(jiān)督機關監(jiān)督國內(nèi)法的實施。此舉對于日本影響很大。，日本又頒布了《個人信息保護法》《行政機關個人信息保護法》《獨立行政法人等個人信息保護法》《信息公開——個人情報保護審查會設置法》《行政機關保有個人信息保護法》五部與個人信息保護相關的法律，統(tǒng)稱為《個人信息保護法》。上述法律規(guī)范于2005年4月開始全面執(zhí)行。

《個人信息保護法》在保護個人信息的法律體系中，是比較具有代表性的法律規(guī)范，充分體現(xiàn)了立法保護的理念。該法共有六章，分別規(guī)定了立法目的與理念、國家和地方公共團體的責任和義務、個人信息保護對策、個人信息處理從業(yè)者的義務、法律適用的例外、罰則等事項?！秱€人信息保護法》的社會意義是多重的。它明確了各個主體在對個人信息的使用處理中所承擔的義務，為個人信息權(quán)利保護提供了法律依據(jù)，并兼顧了個人信息的有效利用及與之相關的個人合法權(quán)益的有效保護。

日本保護個人信息權(quán)利的法律體系采用統(tǒng)分結(jié)合的方式構(gòu)筑而成[1]，即在統(tǒng)一立法的同時鼓勵行業(yè)自律。在積極吸納國際規(guī)范與國際規(guī)制標準的基礎上，逐漸形成了從國際法規(guī)范到個人信息權(quán)利保護法，及至政府的政策與方針的多層次法律規(guī)制體系。此外，根據(jù)個人信息保護法，政府與民間行業(yè)還可以制定個別法或行業(yè)自律規(guī)范*如日本的金融與醫(yī)療領域都有相應的行政指導規(guī)范。。最終形成一個相對完善的個人信息法律保護規(guī)范體系。

二、日本的個人信息內(nèi)涵寬泛

個人信息的內(nèi)涵，在世界各國的立法中表述各不相同。例如中國臺灣地區(qū)《個人資料保護法》與德國1990年《聯(lián)邦資料保護法》中的專用名詞為“個人資料”；美國《隱私權(quán)法》將其稱為“個人隱私”；日本《個人信息保護法》界定為“個人情報”。筆者認為，“個人資料保護”在文意方面主要側(cè)重于對于承載個人信息的資料的保護，對于個人信息直接的保護未有充分的說明。如在臺灣地區(qū)2010年修訂的《電腦處理個人信息保護法》中第一條規(guī)定：“為規(guī)范個人資料之搜集、處理及利用，以避免人格權(quán)受侵害，并促進個人資料的合理利用特制定本法。”而對個人資料與個人信息兩個名詞的理解，至少在文義上存有一定的距離。美國則以“個人隱私”之名對個人信息加以保護，于中國而言也是擴大了對于個人隱私的認定范圍，由此一來，無關乎個人隱私的那部分信息并不能進入法律保護的視野。比較而言，日本所采用的“個人情報”與中國所要保護的個人信息更為相似相通。日語語境中所謂“個人情報”之“情報”包括以下三層意涵。其一是消息、信息，有關事務、事件的通知。其二是就某一特定目的，有助于做出準確判斷或者決定行動意志的資料或知識。其三是給機械系統(tǒng)或生物系統(tǒng)發(fā)出的指令或信號，如遺傳信息。日本《個人信息保護法》對個人信息的定義是：“有關生存?zhèn)€人的信息，即通過該信息中包含的姓名、出生日期等和其他表述能夠識別特定個人的信息以及含有個人識別符號之物*「個人情報保護法」第二條 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各號のいずれかに該當するものをいう。一、當該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)二、個人識別符號が含まれるもの。。因此，日本立法中對個人信息內(nèi)涵的界定經(jīng)驗，值得中國個人信息保護立法借鑒。

日本個人信息保護立法體現(xiàn)出最新的保護理念。針對不同的發(fā)展背景，日本個人信息保護法所遵循的基本方針經(jīng)歷過四次調(diào)整，以體現(xiàn)最新的保護理念，這在公布的官方文件中均有所體現(xiàn)。僅2016年就有兩次調(diào)整，而這兩次也最具有代表性，并最終形成了現(xiàn)行立法的指導方針。立法宗旨的前后變化非常明顯。此前的表述為“個人情報の保護に萬全を期すため”——即實現(xiàn)對個人信息的全方位保護，此后進一步明確個人信息的范疇，將合理有效利用有益于新產(chǎn)業(yè)的創(chuàng)造、有益于有活力的經(jīng)濟社會、有益于富裕的國民生活部分的個人信息與其他的個人信息相區(qū)別，同時也明確了各個主體都應當促進個人信息合理有效的利用。最終形成了“保護個人權(quán)利權(quán)益，兼顧個人信息有用性”的基本原則，目標是在充分保護的前提下，實現(xiàn)個人信息社會效益的最大化。

三、設立個人信息保護委員會

日本2017年正式施行的《個人信息保護法》修正案，將原來隸屬于政府各省主務大臣的分散于各個領域的監(jiān)督權(quán)，轉(zhuǎn)移并集中到個人信息委員會，確立了個人信息權(quán)利保護的一體化監(jiān)督體制。

日本個人信息保護委員會的專門化設置，與利用個人信息的主體發(fā)生變化密切相關。最初對個人信息權(quán)利的立法保護以監(jiān)督行政機關為目標，這種體制設計與計算機技術的發(fā)展趨勢息息相關。20世紀70年代前后，日本國內(nèi)個人和企業(yè)計算機的應用尚未與大規(guī)模收集、保存、利用個人信息相聯(lián)系，但政府職能部門已經(jīng)開始廣泛應用計算機技術對公民個人信息進行管理，自然引起學術界對政府公共權(quán)力有可能過度收集與控制公民個人信息現(xiàn)象的警惕。有鑒于此，1988年頒布的《行政機關保有電子計算機處理的個人信息保護法》*《行政機關保有電子計算機處理的個人信息保護法》于1986年開始編撰。，專門針對利用計算機處理個人信息的政府行為進行規(guī)范。包括現(xiàn)行的《個人信息保護法》第七章罰則中排在首位的第82條規(guī)定，對于委員會的委員以及事務局的職員等公務人員泄露、盜用在公務中知悉的信息，將被處以2年以下的有期徒刑、100萬以下的罰金?？梢娏⒎ㄕ邔φ脗€人信息的法律規(guī)制放在重要位置。

與之相對應，對民間利用個人信息從業(yè)的企業(yè)和個人的法律規(guī)制則相對滯后。對此當時日本國內(nèi)有社會共識，即一旦經(jīng)由立法確立統(tǒng)一標準規(guī)范，便會妨礙各類主體有效利用商業(yè)性個人信息，進而不利于市場活力與經(jīng)濟發(fā)展。同時人們認為對于那些不規(guī)范使用個人信息的企業(yè)，市場本身具有自發(fā)篩選與淘汰機制，大可不必動用法律進行直接干預。媒體甚至憂慮“政府將以保護隱私為由干涉公民表達自由”[2]。正是在這種觀念的驅(qū)動下，立法者設計并建構(gòu)了兼顧統(tǒng)一立法和民間行業(yè)自律的個人信息委員會制度。

個人信息保護委員會以《個人信息保護法》為法律依據(jù)，確立了“保護個人權(quán)益利益，兼顧個人信息有用性”的指導原則。委員會由委員長與八位委員組成，委員長與委員各自獨立行使監(jiān)管職權(quán)。其主要職責是對行政機關、企業(yè)等個人信息獲取者進行指導、監(jiān)督、檢查；認定和監(jiān)督個人信息保護認證機構(gòu)；設立專門窗口接受關于個人信息有關的投訴，解答相關的法律問題；并對利用個人電話號碼等信息的行政機關、企業(yè)的個人信息保護和風險應對體系進行評價等。委員會對全國公眾公開統(tǒng)一辦公電話，公眾可就個人信息問題進行詢問、投訴等。

根據(jù)《個人信息保護法》的規(guī)定，非公務部門引發(fā)的個人信息侵權(quán)行為，行政機關可以針對違法或者不當?shù)膫€人信息處理行為發(fā)出勸告或者命令，同時也允許各種民間團體參與糾紛處理。通過建立有效的事后救濟體系，防止政府行為對市場的過分干預。在該法第83條明確規(guī)定，個人信息從業(yè)者盜用個人信息又不正當?shù)靥峁┙o第三方從業(yè)者，將被處以一年以下有期徒刑，同時處50萬元以下罰金。

四、積極吸納國際標準

日本對于個人信息權(quán)利的法律保護，始終堅持積極吸納國際標準的立場，這種行事風格符合其一貫作風。

1980年OECD*Organization for Economic Cooperation and Development簡稱經(jīng)濟合作開發(fā)組織，1948年由歐洲16個國家發(fā)起設立，現(xiàn)有含美、日在內(nèi)的34個加盟國。頒布了關于隱私與個人數(shù)據(jù)保護的“OECD八項原則”，日本作為加盟成員國，積極引進并吸收其作為保護個人信息權(quán)利立法的指導原則。在個人信息保護法之下，為了給相關企業(yè)提供更為具體可行的行政指導，通商產(chǎn)業(yè)省于1999年制定了JISQ15001標準——個人信息管理體系標準。通過確立國家標準，對于利用個人信息的各類企業(yè)的規(guī)格和要求事項等進行專門性行政指導。這樣就使得企業(yè)在充分利用個人信息創(chuàng)造經(jīng)濟效益與社會效益的同時，又有切實可循的規(guī)范管理方式，最終目的在于減輕企業(yè)成本、降低企業(yè)風險、提高企業(yè)效率。對于符合個人信息保護指導標準的企業(yè)，日本信息處理開發(fā)協(xié)會予以認證(privacy mark)，讓普通民眾對獲取自己個人信息的企業(yè)擁有更為直觀的評判依據(jù)，進而在自我個人信息保護方面，獲得真正意義上的主動權(quán)。

日本保護個人信息權(quán)利的國際化，體現(xiàn)為一直在不斷引進國際標準認證體系。如ISMS(Information Security Management system)適合性評價制度，是進行認證的第三方認證機關的基準。該標準不僅包含“安對制度”*1982年7月20日通商產(chǎn)業(yè)省342號公告的《信息系統(tǒng)安全對策實施事業(yè)所認定制度》所創(chuàng)立的制度，較為關注對于設備等的管理，后為Isms所替代。中針對設施設備等技術層面的安全管理標準，同時還有專門針對操作人員的安全管理標準。ISMS的評價依據(jù)是日本工業(yè)標準調(diào)查會的JIS Q 27001，而這一標準正是ISO/IEC 27001*ISO/IEC 27001標準，最初起源于英國標準協(xié)會(BSI)制定的國家標準BS7799，是系統(tǒng)化管理思想在信息安全領域的應用。隨著國際標準化組織(ISO)與國際電工學會(IEC)的聯(lián)合，英國標準協(xié)會(BSI)的相關工作轉(zhuǎn)化為國際標準。的忠實日語表達，完整保留了國際規(guī)格的嚴謹性。ISMS適合性評價制度所涵蓋的范圍極其廣泛，包含與信息技術相關聯(lián)的各個領域，除了信息的合規(guī)利用，對于利用信息進行的各項業(yè)務都在規(guī)制對象范圍之內(nèi)*http：//isms.jp/about/情報セキュリティマネジメントシステム適合性評価制度の概要.訪問時間：2018年1月7日。。

作為一般財團法人的日本信息社會推進協(xié)會，在信息管理系統(tǒng)認證中心設有針對IT服務的ITSMS評價制度，涉及企業(yè)事業(yè)服務的停止、繼續(xù)的BCMC評價制度，以及對于計算機網(wǎng)絡安全的CSMS評價制度。上述由系列評價制度所構(gòu)成的評價體系，其中設定的評價認證標準，毫無例外都是對現(xiàn)行國際標準進行本土化改造后所確立的。

日本還吸納TRUSTe作為第三方認證機構(gòu)*該認證機構(gòu)最初出現(xiàn)于1997年的美國。宗旨是在互聯(lián)網(wǎng)上構(gòu)建可以被信賴的認證，為個人及政府提供可信賴的審查服務。。該認證制度的基本標準也是以“OECD八項原則”為基礎，但其具體標準相較于日本的個人信息保護法對企業(yè)提出了更高的標準。在標準國際化方面，TRUSTe在世界范圍內(nèi)都是非常具有代表性的。TRUSTe標準包括與《歐盟美國個人信息保護協(xié)定》《APEC個人信息越境規(guī)定》相對應的內(nèi)容，而且還分別設立了針對個人信息獲取的從業(yè)者資格CPA認證，個人信息管理者資格CPP認證，個人信息保護最高責任者資格CPO認證。此外，TRUSTe提供便利完善的服務機制，在網(wǎng)上就能輕松地獲得服務，相關投訴也有相應的處置機制*https：//www.truste.or.jp/more/TRUSTe一般社団法人日本プライ.訪問時間：2018年1月8日。。

公開信息顯示，TRUSTe為全球5 000多家企業(yè)提供隱私認證服務，中國知名企業(yè)騰訊旗下的“微信海外版”(WeChat)，也于2013年獲得了TRUSTe的國際認證。從中可以充分看出，在個人信息權(quán)利保護的國際格局中，TRUETe所具有的代表性與世界性。

這種向歐美發(fā)達國家吸取先進立法經(jīng)驗與國際標準的做法，以及不斷發(fā)展完善的個人信息權(quán)利法律保護體系，為日本企業(yè)與國際接軌提供了較好的法律保障。在實踐中所積累的糾紛解決經(jīng)驗，對日本個人信息法律保護體系的完善也是一個良性的驅(qū)動力量。

五、以個人信息控制理論為法理基礎

不同的邏輯起點會導致不同的制度設計與安排，最終產(chǎn)生不同的社會效應。日本個人信息權(quán)利保護的法律實踐過程，經(jīng)歷了從最初基于對隱私權(quán)的保護，而后逐漸產(chǎn)生差異，最終形成與隱私保護緊密相連，但又絕非等同的個人信息權(quán)利保護的演進過程。個人信息保護的主要目的和邏輯前提是對隱私權(quán)的保護，這也是人們往往將個人信息保護同隱私權(quán)保護等同的主要原因[3]。因此，對于制度背后所蘊含的理論基礎一探究竟，就顯得十分必要。在個人信息權(quán)利保護領域的主要理論依據(jù)是“獨處權(quán)”說及個人信息控制論說等，同樣也都是源于美國。

個人信息控制理論源于美國的隱私權(quán)理論。在美國的法律體系中，個人信息歸屬于隱私權(quán)的保護范疇。美國學術界對于隱私權(quán)的探討最早可以追溯到1890年沃倫與布蘭戴斯撰寫的《論隱私權(quán)》，二人在書中首次提出隱私權(quán)概念，認為隱私權(quán)是“在任何情況之下一個人都被賦予決定自己所有的信息是否公之于眾的權(quán)利?！钡牵[私的界定并不明確。即使到目前，國內(nèi)外學術界對隱私內(nèi)涵的分歧也沒有完全消弭。

《論隱私權(quán)》將隱私界定為“獨處權(quán)”(right to be let alone)。這一觀點強調(diào)個體從復雜的社會生活中一定程度的退卻，指出了孤獨對于個體的重要性。有日本學者曾對隱私權(quán)定義，與個人獨處權(quán)利極為相似的，即“保持私生活穩(wěn)定的權(quán)利”，但在日本受到批判[4]。反對者指出，隨著社會環(huán)境的變化，對個人不受外界干擾的保護，忽略了人的社會屬性。其后在“獨處權(quán)”的基礎上，又發(fā)展出“有限接近自我說”，即主體有權(quán)利決定自我在何種程度上可以受到公眾的關注。但是這一觀點將隱私權(quán)作為消極的防御權(quán)利，這種性質(zhì)的隱私權(quán)仍然不足以應對信息化時代無孔不入的信息收集、利用活動，甚至于其所帶來的信息傷害。20世紀60年代以來，伴隨計算機技術和信息商業(yè)化的發(fā)展趨勢，人們提出了個人信息控制理論。這一理論強調(diào)隱私權(quán)是主體對個人信息的控制，賦予了隱私權(quán)以請求權(quán)的積極性質(zhì)，以克服其作為消極防御權(quán)的惰性。隱私權(quán)的發(fā)展歷程充分展示了概念本身從消極被動的權(quán)利到積極主動控制個人信息的權(quán)利的過程。而日本也大致經(jīng)歷了相同的法律保護歷程，個人信息控制權(quán)在20世紀60年代末被日本學術界所接受，并成為個人信息保護立法的理論基礎。

需要注意的是，在美國的法律傳統(tǒng)中，隱私權(quán)是一個與人格權(quán)相當?shù)母拍?，隱私權(quán)可以被認為是具體人格權(quán)與一般人格權(quán)之總和的一個概念，涵蓋范圍廣泛。但是在大陸法系傳統(tǒng)中，隱私權(quán)僅表達一種具體的人格利益，或者作為一般人格權(quán)中的一個獨特部分。從功能上看，英美法系的隱私權(quán)體系相當于大陸法系的人格權(quán)[5]。也正因此，日本才能借鑒學習美國的隱私權(quán)理論，將其移植到法律規(guī)范之中，并指導個人信息權(quán)的立法。

個人信息與隱私的差異性，隨著信息化社會的發(fā)展逐漸被放大。日本國憲法第三章國民權(quán)利與義務第十三條規(guī)定：“一切國民都作為個人受到尊重。對于國民謀求生存、自由以及幸福的權(quán)利，只要不違反公共福祉，在立法及其他國政上都必須予以最大尊重?！边@一憲法條文被概括為“追求幸福的權(quán)利”，日本法學界將其確定為隱私權(quán)最主要的憲法依據(jù)。此外，第二十一條規(guī)定不得侵犯通信秘密，第三十五條規(guī)定對于任何人的住所、文件以及持有物不得侵入、搜查或扣留。上述憲法條款視為保護個人信息權(quán)的憲法原則與精神。

《個人信息保護法》第三條規(guī)定“個人信息為與個人人格密切相關之物”，就是憲法規(guī)定的“作為個人而受到尊重”原則的具體體現(xiàn)。憲法學家佐藤幸治認為，“隱私權(quán)是作為個人道德性自律的存在，為了達到個人認為善的目的，有權(quán)利去選擇公開與他人溝通和與自己存在相關的信息的范圍?！盵6]但是由于此前沒有保護個人信息權(quán)利的專門性立法，法官在司法實踐中，面對具體案例的審判采取的具體做法是逐漸擴大隱私權(quán)的保護范圍，即將個人信息的保護納入隱私權(quán)保護的案例*1986年“在日韓國人拒絕摁手印”一案審理時，東京高院指出“是否將其稱為隱私另當別論，但是國家權(quán)力無正當理由卻強制當事人摁手印違反憲法第13條規(guī)定”。隨之出現(xiàn)。這種做法在學術界引起了廣泛討論，但同時學術界也承認對于非隱私的個人信息*筆者將“非隱私的個人信息”部分界定為“公共性個人信息”，以區(qū)別于隱私權(quán)所涵蓋的“隱私性個人信息”。的保護具有合理性。

根據(jù)“個人信息控制理論”，通過正當?shù)姆椒ǐ@得、持有和使用與個人道德心不直接相關之信息，并不能直接做出侵犯隱私權(quán)的判斷。但是，當該信息被惡意使用或者積累到一定程度，以至于影響到個人道德心及自律時，就產(chǎn)生了隱私權(quán)保護及救濟問題。從中可見，當個人信息被惡意使用到某種程度時，才涉及法律救濟問題，而借用隱私權(quán)的救濟途徑對個體進行保護具有合理性但不能保證獲得充分有效及時的法律救濟。

筆者認為，基于當下的“信息化”趨勢，個人信息種類及范圍繁雜，能夠識別的、特定的個人信息不必然屬于一般人所認知的傳統(tǒng)隱私權(quán)范圍。日本《個人信息保護法》保護的是可識別個人的信息[7]，在此含義之下，個人信息較之隱私的范圍更廣。但是對于“非隱私信息”的保護，隨著日本經(jīng)濟的發(fā)展，計算機技術的廣泛應用，大數(shù)據(jù)以及政府、企業(yè)對于個人信息的利用等一系列因素的共同作用，關于保護個人信息權(quán)利的理論在與實踐的相互作用下，不斷清晰明確起來。

從總體上看，歐美國家都有保護個人信息權(quán)利的相關立法。為了不在國家經(jīng)濟交往中出現(xiàn)法律缺位，日本保護個人信息權(quán)利的立法應運而生。立法的法理基礎經(jīng)由立法目的條款表述為“人的權(quán)利利益”，上下文中沒有出現(xiàn)“隱私”一詞，也沒有“個人信息控制權(quán)”的表述。對此，盡管日本學者有不同的理解，但實際上是個人信息理論在發(fā)展過程中，與隱私理論的差異逐漸明朗?；诖箨懛ㄏ档娜烁駲?quán)理論，凡是與人格形成發(fā)展有關的事情都屬于人格權(quán)客體[8]，于是，最初借由隱私概念來保護個人信息權(quán)利的現(xiàn)實情境消失，但同時又能看到個人信息權(quán)利與隱私權(quán)之間始終有著千絲萬縷的聯(lián)系，難以割斷。

六、有效化解“過剩反應”

所謂“過剩反應”*過剩反應的日文為“過剰反応”。是指《個人信息保護法》頒布施行后社會公眾對于這一法律內(nèi)涵的理解出現(xiàn)的偏差。具體表現(xiàn)為，公民基于權(quán)利保護意識而突出強調(diào)個人隱私和個人信息，從而拒絕提供必要的個人信息，忽略了對有益于社會發(fā)展部分的個人信息進行合理有效利用，而應當秉持的態(tài)度與行動上的支持，導致出現(xiàn)一系列妨礙正常公共生活的現(xiàn)象。正是因為“過剩反應”現(xiàn)象的出現(xiàn)，促使日本政府于2008年4月5日將保護個人信息權(quán)利的基本方針進行了調(diào)整。各地為化解這種現(xiàn)象采取了各種措施，如開展針對不同主體的說明會，制作分發(fā)宣傳手冊，公布調(diào)查報告書，編輯簡潔、通俗易懂的宣傳畫冊，制作Q&A*“Question and answer”即以問答的形式編輯的宣傳冊。日常應對事例宣傳冊等多種形式，以加深社會公眾對個人信息保護法律的認知與理解。

2011年的調(diào)查報告概括了不同城市或地區(qū)“過剩反應”的典型表現(xiàn)與案例。大阪的調(diào)查顯示為：

(1) 大阪市的企業(yè)收到顧客的投訴，因為距離較遠，在詢問了地址之后沒有進行上門訪問，而為向顧客表示歉意，按顧客的地址向其郵寄了禮品，這被認為不正當?shù)墨@取使用了顧客的住址信息。

(2) 自治團體的一位成員向居民自治會詢問同樣是自治團員的居民自治會會長的聯(lián)系方式，因聯(lián)系方式被認為是“個人信息”而未得到答復。

(3) 在利用網(wǎng)絡犯罪中，警察從為犯罪嫌疑人提供服務的公司獲取了嫌疑人的個人信息，因而被詢問未得到法院的判決而提供個人信息的行為是否是對個人信息的正當使用。

神奈川縣還有探視生病的朋友在詢問病房時，醫(yī)院人員以“個人信息”為由不予告知的情形等*http：//www.ppc.go.jp.日本個人信息保護委員會網(wǎng)站。訪問時間2018年1月15日。平成23年3月《個人情報保護に関するいわゆる「過剩反應」に関する実態(tài)調(diào)査報告書》，第7-12頁。。此外，在某些應當提供個人信息的領域，比如學校的緊急聯(lián)絡網(wǎng)絡和名冊因為這種現(xiàn)象而無法建立，給居民正常的生活帶了不便。這些現(xiàn)象與保護個人信息權(quán)利的立法初衷相悖，都屬于“過剩反應”的具體表現(xiàn)。

對“過剩反應”現(xiàn)狀的實證調(diào)查表明，有51.1%(共47個都道府縣)的地區(qū)認為，“過剩反應”自從《個人信息保護法》全面施行以后就已經(jīng)產(chǎn)生，這種現(xiàn)象仍在繼續(xù)。有40.4%地區(qū)認為自法律施行以后才產(chǎn)生“過剩反應”，但現(xiàn)已平息。而對于現(xiàn)在仍然存在“過剩反應”的原因分析，根據(jù)調(diào)查書，主要是從“保護法”的字面意思很容易將其理解為把個人信息作為秘密來保護而引發(fā)的誤解。并且各個團體的指南各不相同，無形中增大了民眾理解的難度*http：//www.ppc.go.jp.日本個人信息保護委員會網(wǎng)站。訪問時間2018年1月15日。平成23年3月《個人情報保護に関するいわゆる「過剩反應」に関する実態(tài)調(diào)査報告書》，第103、105頁。。另外，根據(jù)企業(yè)團體的反映，居民個人隱私保護意識過高，而對于信息的有用性和相關法律的不理解是主要原因。對于居民個人信息保護法律意識的變化的調(diào)查結(jié)果顯示，83%的地區(qū)有可見的變化。主要體現(xiàn)在聽取意見的“相談會”數(shù)量的減少，說明居民對于條文內(nèi)容的理解更加準確等。

由此可見法律實施后的“過剩反應”雖然有一定的負面影響，但也同樣能夠加深社會成員對個人信息權(quán)利立法保護的理解。這一現(xiàn)象在當下看來，也符合普通社會成員對法律的認識規(guī)律，特別是一項新的法律在立法到頒布實施以后的各個階段，都要作耐心細致的法律宣傳工作，這一立法經(jīng)驗對中國有現(xiàn)實借鑒意義。

七、對我國的借鑒意義

隨著信息化的發(fā)展，中國法治建設中的一些不足之處也在逐漸顯現(xiàn)。在中國特色社會主義法律體系基本構(gòu)建完成之后，還需要在細節(jié)上進一步完善。借鑒日本的立法經(jīng)驗，在個人信息權(quán)利的法律保護領域中，需要明確目標，極大促進個人信息權(quán)利的有效保護。

第一，采取專門立法的模式，以彌補目前分散式法律保護的不足。

由于個人信息權(quán)利保護是一個新出現(xiàn)的問題，對此，中國現(xiàn)行法律采取的保護方式是分散式的，散見于不同的法律規(guī)范之中，導致法律保護與救濟效果不佳。個人信息保護的條款散見于現(xiàn)行憲法的“人格權(quán)條款”“住宅安全權(quán)條款”“通信自由與通訊秘密條款”*中國現(xiàn)行憲法第三十八條規(guī)定：“中華人民共和國公民的人格尊嚴不受侵犯，禁止用任何方法對公民進行侮辱、誹謗和誣告陷害。”第三十九條規(guī)定：“中華人民共和國公民的住宅不受侵犯。禁止非法搜查和非法侵入公民的住宅。”第四十條規(guī)定：“中華人民共和國公民的通信自由和通信秘密到法律的保護。除因國家安全或者追查刑事犯罪的需要由公安機關或者檢察機關依照法律規(guī)定的程序?qū)νㄐ胚M行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信秘密和通信自由?！保缎谭ā?2009年《中華人民共和國刑法修正案(七)》增加了侵犯個人信息權(quán)犯罪的條款?！睹穹ā?2017年《民法總則》規(guī)定自然人的人身自由、人格尊嚴受法律保護，自然人享有生命權(quán)、身體權(quán)、健康權(quán)、姓名權(quán)、肖像權(quán)、名譽權(quán)、榮譽權(quán)、隱私權(quán)、婚姻自主權(quán)等權(quán)利。第一百一十一條規(guī)定：“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！币约啊毒用裆矸葑C法》《政府信息公開條例》中的個別條款有所涉及。以分散的法律規(guī)范形式，難以有效保護復雜的個人信息收集、利用與管理過程，以及可能出現(xiàn)的法律問題。因此，建議采用專門性立法的方式，如《公民個人信息保護法》，將個人信息權(quán)利的立法保護規(guī)范化。

比較而言，中日兩國憲法文本對人格權(quán)的保護有相似之處。日本國憲法沒有將個人信息權(quán)列入憲法基本權(quán)利體系之中，但是《個人信息保護法》明確個人信息與人格相關。對個人信息權(quán)利的立法保護不僅有助于社會發(fā)展、關乎公共利益，還將與人格相關的個人信息部分納入法律規(guī)制的范疇之內(nèi)，對個人權(quán)益的保護無疑是有益的。目前已有典型案件發(fā)生，如“徐玉玉案”*徐玉玉案的簡要案情如下：2016年8月21日，女高中生徐玉玉因個人信息泄露，被詐騙電話騙走上大學的學費9 900元，因其過度憂慮導致心臟驟停，不幸離世。引起了社會普遍關注，對個人信息保護立法的呼聲高啟。因此應從中國實際情況出發(fā)，借鑒日本等國家的先進立法經(jīng)驗，以制度建構(gòu)回應國家與社會的快速發(fā)展背景下，對個人信息權(quán)利進行法律保護的現(xiàn)實需要。

第二，以專門立法與專門機構(gòu)監(jiān)督模式為宜。

在立法模式與機構(gòu)設置方面，日本的經(jīng)驗值得借鑒。實行國家制定統(tǒng)一立法與行業(yè)自治并行不悖的方式，能夠在一定程度上克服法律過于僵硬的弊端，借助于行業(yè)自律保持活力，并促進產(chǎn)業(yè)發(fā)展。設定國家規(guī)范標準，保證監(jiān)管標準的一致性，既可以避免對法律規(guī)范理解上的歧義，也可以避免不同行業(yè)不同標準下導致的“差別待遇”。當然，由于中國的信息化還在初始發(fā)展階段，在借鑒國際標準的同時，要適度控制，以適合于中國目前發(fā)展水平與國情為取舍標準。

專門機構(gòu)的設立有諸多益處?？梢允箓€人信息有專門、相對獨立的保護機構(gòu)，保證監(jiān)管的專業(yè)化高水準；在一定程度上減少來自其他公權(quán)力部門的干預；有效的保障與救濟更容易獲得民眾的信任，也方便民眾反映問題，了解相關法律與政策。在保護個人信息權(quán)利的同時，實現(xiàn)對政務的監(jiān)督，促進政府對個人信息的規(guī)范利用。值得肯定的是，到目前為止，個人信息保護法草案已初露端倪。《中華人民共和國個人信息保護法(專家建議稿)》*《中華人民共和國個人信息保護法(專家建議稿)》由中國社會科學院個人數(shù)據(jù)保護法研究課題組受國務院信息辦委托起草。與《中華人民共和國個人信息保護法示范法草案(學者建議稿)》，這兩部草案已于十年前完成，但仍在推敲打磨。表明中國個人信息權(quán)利的立法保護的新時代尚未正式開啟，還在起步階段。

第三，中國個人信息權(quán)利保護的社會環(huán)境更為復雜。

在中國，網(wǎng)絡時代引以為傲的網(wǎng)上購物、電子支付，以及互聯(lián)網(wǎng)企業(yè)等，都與個人信息的獲取有著極為密切的聯(lián)系。但不僅民眾甚至企業(yè)自身，對個人信息權(quán)利的相關法律知識還不夠了解。在知識經(jīng)濟背景下開放國家和社會發(fā)展狀況資訊，在增強政府決策信息透明度的同時還可以提高政府決策的有效性[9]。但事實上，政府職能部門在長期沒有統(tǒng)一規(guī)范的情況下，為了實現(xiàn)公共管理職能，以及基于國家與社會發(fā)展的需要，對于個人信息的收集、利用與管理已經(jīng)成為常態(tài)。政府職能部門對于統(tǒng)一法規(guī)的出臺也缺乏必要的準備?？梢哉f，普遍意義上的權(quán)益在加強，但個人信息權(quán)利意識仍是其中的薄弱部分，而且包括自上而下的主體在內(nèi)。

因此，可以結(jié)合中國的現(xiàn)實發(fā)展狀況，采取循序漸進的方式推進個人信息權(quán)利的立法保護。在專門立法正式頒布實施之前，先設定針對政府部門的規(guī)范性文件，在法律草案到專門立法正式頒布實施之間，輔之以充分的普法宣傳工作。為個人信息權(quán)利的立法保護奠定堅實的社會心理基礎。鑒于個人信息與每一個人息息相關，而且人們每時每刻都在參與個人信息的使用，可以預見，個人信息權(quán)利的立法保護實施效果是具有社會基礎的。

值得深入挖掘一下的是，日本的國民性在個人信息權(quán)利的立法保護過程中一如既往地有所顯示。即對于一項新事物的基本立場秉持謹慎但并不保守的態(tài)度，積極接受并吸納新事物與國際高標準，但同時在國內(nèi)采取步步為營的規(guī)制措施，以扶持其有序發(fā)展。日本在最初的個人信息權(quán)利保護立法中，對民間從業(yè)者的各種規(guī)制相對滯后。但是在OECD提出八項原則之后，為了在經(jīng)濟交往中獲得更大的發(fā)展空間，大力推進對國際標準的引進學習與本土化改造，大有后來者居上的野心。但又考慮到日本的島國環(huán)境，有著不同于歐美國家的謹慎，所以其制定法律之時，為使企業(yè)、民眾能夠順利接受新法，預留了兩年的緩沖期?？梢哉f為了保證個人信息權(quán)利立法保護的實施效果，日本考慮得極為周到。正如《菊與刀》中解析的那樣，由于日本民族性格之中具有強烈沖突性，于是向外展示出基于這種情感因素形成的動力性文化特征[10]。個人信息權(quán)利立法保護的過程就是這種特質(zhì)的最好佐證。

中國個人信息保護法的制定過程，應當解放思想，避免墨守成規(guī)，對于各國的立法經(jīng)驗應當結(jié)合實際需要，予以吸收學習?？梢灶A見，中國在改革開放的新階段，對外經(jīng)濟交往始終是開放的態(tài)勢，在經(jīng)濟交流之中，各國對于個人信息的保護也將促使中國加快制定相關法律的步伐。但同時也應該認識到，由于長期以來個人信息權(quán)利保護立法的缺失，實踐過程中也要避免操之過急，以免“過剩反應”甚至其他負面效果的發(fā)生。

總之，中國在建設社會主義法治國家的進程中，需要通過法律法規(guī)的發(fā)展與完善來促進整個法律體系的完善。法律的制定頒布不是目的，法律的有效實施才是關鍵所在。好的法律規(guī)范在技術標準上力求明晰、準確，在社會標準上，則體現(xiàn)為能夠解決現(xiàn)實社會問題，維持社會正義與秩序。在法律實施過程中，還要建立有效的反饋制度，實現(xiàn)規(guī)則制度的法律性和社會性的統(tǒng)一。此外，個人信息權(quán)利的立法保護還要面對宏觀上社會成員憲政意識和法律意識淡薄，以及公民性缺失的現(xiàn)實。在依法治國背景下，“公民性缺失的直接后果就是人們?nèi)狈τ谧约旱闹黧w地位的認識，難以樹立對法律的信仰，缺少將法律轉(zhuǎn)向信仰的主觀自覺。”[11]對個人信息收集、管理、利用的政府過程不規(guī)范，同時伴隨著人們對政府收集個人信息的敏感程度比較低，存在集體無意識的現(xiàn)象，以至于個人信息很容易被濫用。有鑒于此，個人信息權(quán)利的立法保護應當與國家治理方式與治理能力現(xiàn)代化的水平相吻合。在新階段市場環(huán)境下，有與之相匹配的法律規(guī)范，規(guī)范政府行為、指導企業(yè)與個人，實現(xiàn)對個人信息權(quán)利的法律保護，使整個法律體系始終保持與時俱進的活力狀態(tài)。