论个人信息的法律保护

郑维和

（214028 无锡市新吴区人民法院 江苏 无锡）

自然人从其出生就开始产生各种信息，这些信息成为识别具体自然人的重要标志，同时也发挥着联系他人和社会的重要作用。在人类尚未进入信息社会以前，由于受到技术水平的限制，个人信息无法进行大规模、系统化处理和利用，因此对个人信息的利用和保护并未引起重视。随着信息技术的不断发展，互联网技术被广泛应用，个人信息被大规模收集、处理和广泛应用。个人信息被誉为二十一世纪最有价值的资源，同时也存在被任意掠夺和侵害的风险。个人信息法律保护的理论和立法研究早已在欧美国家率先开展，国内也掀起了研究个人信息法律保护的热潮。

一、个人信息概念界定

在现代信息社会，随着计算机、智能手机和智能穿戴设备的广泛应用，与信息主体相关的信息显现指数爆炸式的增长。大数据时代，信息已经成为一种巨大的生产力。个人信息的合理利用能够促进经济发展、社会进步和人类福祉的实现，因此个人信息的法律保护理念应该是防止滥用和努力平衡个人信息的保护与利用。在个人信息界定上，学术界一直存在争论。目前，有代表性的理论有关联说理论、隐私说理论和识别说理论。关联说理论将与自然人相关的一切信息全部定义为个人信息。这种理论对个人信息的定义过于宽泛，明显扩大个人信息范围，不利于信息的自由流通和互联网技术的发展。隐私说理论认为与个人隐私相关的信息才能称之为个人信息。这一理论使个人信息范围过于狭窄，不利于个人信息的保护。识别说理论把能够直接确定或者通过简单关联分析确定信息主体身份的信息定义为个人信息。三种理论中识别说理论是主流理论，在国内外立法中被广泛应用。

本文采用识别说理论，研究的个人信息指可以明确识别自然人的相关信息，主要包括全部直接识别和部分间接识别的个人信息。直接识别的个人信息因其与自然人自身特性联系紧密，仅凭其就可以直接识别出特定自然人的身份，对其理应予以保护。间接识别个人信息绝大多数在信息识别过程中都只起到辅助和验证作用，只有对那些显著特征进行简单信息处理就可以整体识别的信息才应予以保护。这一个人信息的概念同时考虑到了信息和信息主体之间的联系和识别，合理的界定了个人信息的范围，有利于保证信息的自由流通。

二、个人信息法律保护的现状

随着大数据时代的到来，互联网信息技术不断地被广泛应用，人们不断在互联网上留下“足迹”，个人信息也不断的被收集和大规模的处理。在大数据时代，个人信息已经成为一种具有极高的经济价值和战略意义的资源。个人信息被广泛收集和应用过程中逐渐显现规模化、深度化和智能化特点。

（一）大数据时代个人信息处理的特点

在“万物互联”的信息时代，个人信息被广泛的应用，个人信息处理显现以下三个特点。第一，规模化。在信息化社会，个人信息显现指数爆炸式的增长，除了政府机构收集和处理信息之外，网络服务提供者日益成为个人信息主要的收集和处理者。随着智能手机、智能穿戴等移动终端的广泛应用，个人信息处理内容也有姓名、身份证号、联系方式等传统信息扩展到地理位置、个人喜好等很多信息主体都可能不易察觉的一些微小信息上，信息处理规模空前扩大，显现规模化倾向。第二，深度化。在大数据时代，人们不再仅仅局限于对个人信息收集和初步处理，而是更加注重对数据的第二次开发利用。随着个人信息处理规模的不断扩大，大数据整合技术和挖掘技术也应运而生，对个人信息的处理深度不断加深。第三，智能化。大数据时代，个人信息处理在规模化、深度化的基础上逐渐向智能化发展。

（二）国外对个人信息的法律保护

基于大数据时代的到来，世界各国都调整和加强了对个人信息的保护。在世界范围内，国际组织、欧美国家和亚洲国家和地区都有关于个人信息保护的文件和立法。本文通过对比，主要选取有代表性德国、美国和日本做研究。

1.德国的统一式立法模式

基于二战时期纳粹统治的惨痛经历，德国高度重视个人信息的保护。德国采用统一立法模式来主动保护个人信息，制定了《联邦数据保护法》作为基本法来保护个人信息。统一的立法模式控制了政府机构和非政府机构对个人信息的处理，严格保护个人信息。然而其弊端也是显而易见的。在大数据时代，对个人信息的严格保护有可能阻碍信息的自由流通，妨害了对个人信息的合理利用，不利于信息技术的发展和创新。

2.美国的分散立式法模式

由于美国有防范和限制政府权利的传统，认为政府机构对个人信息的处理可能比非政府机构存在更大的威胁。美国基于隐私权理论采取了分散式立法模式来保护个人信息，区分政府机构和非政府机构。政府机构处理个人信息注重处理过程的规范性，严格按照法律授权进行处理，而对于非政府机构则主要采取行业自律方式来规范和引导。对于比较重要的事项，如金融、电信和未成年人领域采用单独立法模式。美国拥有发达的互联网产业和完善的行业自律组织，因此也更加注重个人信息保护和合理利用之间的平衡。

3.日本的混合型立法模式

日本保护个人信息的基本法是《行政机关个人信息保护法》。日本采用混型立法模式，既考虑到公民可能受到的来自政府机构的权力侵犯，同时兼顾本国行业组织的发展情况。可以说日本混合立法模式就是对美国和德国立法模式的结合，试图在保护个人信息和促进信息流通之间需找平衡。

（三）国内对个人信息的法律保护

到目前为止，我国尚没有专门的法律保护个人信息。对于个人信息保护的规定主要散见于不同的法律法规之中，主要包括两个方面：“个人信息”名义的法律法规和“隐私权”名义的法律法规。“个人信息”名义的法律法规保护力度明显不够，仅包括在《刑法》《社会保险法》《统计法》《护照法》以及《居民身份证法》五部法律之中。“隐私权”名义的法律法规主要从人格权、隐私权、名誉权等方面入手，散见于法律法规和各种司法解释之中。虽然以“隐私权”名义的法律法规数量上比“个人信息”名义的法律法规多，但是由于过于分散，在适用时并不是很方便。

三、个人信息法律保护的必要性和正当性

“数据已经成为石油与黄金，成为社会管理的杀手锏。”在大数据时代，对个人信息的大规模收集和处理确实是一把双刃剑。对个人信息的保护有其必要性和正当性。

（一）个人信息法律保护的必要性

“个人信息已经成为现代商业和政府运行的基础动力，”[1]大数据时代的个人信息已经是一种重要的资源，加强对个人信息的法律保护对于保护数据安全，提高数据质量至关重要。

1.保障数据安全

在大数据时代，对个人信息的大规模处理在给人们提供诸多便利的同时也引发了一些危机。由于信息社会实现了“万物互联”，人们每天都要在互联网上留下“数据足印”。加之现在实名制泛化，在使用一些重要软件之前都要求提供真实姓名、身份证号码、电话号码等极为隐秘的个人信息，即使是普通软件也都要求提供邮箱或者是手机号码注册，否则便不能使用。但是频频曝光的个人信息被滥用或者泄露的新闻也不断地提醒我们个人信息的保护需要不断加强。“棱镜门”事件告诉我们，政府作为庞大的数据帝国，存在作恶的能力和动机。在徐某某电信诈骗案中，一个年轻的生命因为个人信息的泄露而过早的逝去。大数据时代，人们信息被广泛的收集，很多个人隐私也无处遁形。近年来由于网络支付的盛行，一旦个人信息被泄露或者窃取，极易使得人们遭受财产损失。因此，保护个人信息，保障数据安全在很大程度上就是保护公民的人格权、隐私权和财产权。

2.提高数据质量

人类正在进入大数据时代，这是一个不可逆转的趋势。大数据时代的基础就是海量数据和信息的自由流通，大数据的不断发展需要不断提高数据质量和信息自由流通度。在大数据时代，个人信息的商业价值与日俱增，已经逐渐成为一种新的创造财富的资源。数据质量是个人信息的价值之所在，错误的和缺乏价值的信息都是没有意义的。只有保障了数据的安全，才敢于提供真实有效的数据信息，才能实现信息提供者和数据处理者的双赢。

因此，亟待加大对个人信息的保护力度，保障数据安全，提高数据质量，促进经济发展和社会进步，增加人类福祉。

（二）个人信息法律保护的正当性

1.保护人格尊严

人格尊严起源于自然法传统，是一个抽象的概念。“做一个人，并尊敬他人为人。”[2]自然法学派都认为人格尊严是神圣不可侵犯的，在任何时候都不能够损害。“不论是谁，在任何时候都不应把自己和他人仅仅作为工具，而应该永远视为自身就是目的”。[3]人格尊严体现为每个人都是平等、独立、自主的个体。在大数据时代，随着数据的信息化和商品化，人正在被动的成为信息的生产工具，人的主体地位正在逐渐丧失。保护人格尊严要求人应该是独立、自由的，不受他人控制。在大数据时代，通过对个人信息的处理来实现对个人的控制已经成为可能。个人信息作为能够识别自然人身份之存在，关乎基本人权，承载着信息主体的人格利益，应受到保护。

2.保障公共秩序

随着大数据时代的到来，个人信息经济价值不断凸显，个人信息存在被掠夺和泄露等风险。缺乏个人信息的保护必然会引发人们的恐慌和不安全感，引发公共秩序混乱。秩序“意指在自然发展和社会发展中均具有的某种程度的一致性、连续性和确定性”。[4]在大数据时代，大量数据被政府机构和非政府机构处理，缺乏对个人信息的保护容易引发数据的滥用和泄露，危害公共秩序。加强对个人信息的保护才能减少信息被滥用和泄露的可能性，消除恐慌心理，保障公共秩序。

四、个人信息法律保护的制度建构

由于目前我国尚没有专门的法律保护个人信息，对个人信息保护的规定主要“个人信息”和“隐私权”名义散见于不同的法律法规之中，对个人信息的保护力度明显不够。笔者认为需要通过明确个人信息权，采用适当的立法模式，提供司法救济来完善个人信息保护制度。

（一）确定个人信息权是一种框架性权利

在大数据时代，个人信息的经济价值凸显。个人信息不仅体现人格利益，同时体现财产价值。目前理论界对个人信息权的相关的理论主要有隐私权理论、个人信息自决权理论、财产权理论、框架性权利理论。个人信息和隐私联系密切，两者都与自然人的人格尊严相关联，体现着自然人对自己私人空间所享有的自主决定和控制。[5]然而隐私并不等同于个人信息，个人信息概念的外延要比隐私的更为宽泛，对隐私权的保护不能涵盖所有个人信息。个人信息自决权主张自然人有权自由决定外界在何时何种程度上获得与自身主体联系密切的信息。框架性权利具有内容不确定和边界模糊的特点，其实质上是一种兜底性权利。在大数据时代，个人信息的外延不断扩展，由原来单一的人格利益发展到包括财产利益。随着互联网信息处理技术的不断发展，个人信息的外延有可能还会不断扩张，所以适合将个人信息确定为框架性权利。确立个人信息为框架性权利有利于保护自然人的人格权，促进信息资源的开发利用，推进我国信息化法律体系的建设。

（二）采用折中立法保护模式

通过上文对德国统一式立法模式和美国分散式立法模式的介绍，我们可以发现德国的立法模式更加注重对个人信息的保护，而美国的立法模式更加有利于信息的自由流通。目前，我国互联网企业蓬勃发展，很多技术创新都处在世界前列。但是与此同时众多互联网也存在野蛮生长和行业组织发展不完善的问题。结合大陆法系的立法传统和互联网企业发展情况，我们适宜采用折中的立法方式，即是借鉴德国统一立法模式，制定一部保护个人信息的基本法，同时兼采美国行业自律模式，严格区分政府机构和非政府机构对信息的处理，既保护个人信息，同时也不妨碍信息的自由流通。

（三）完善司法救济途径

所谓无救济无权利。任何法律制度的设计都不可能穷尽所有情况，救济机制是对法律滞后和不周延性的弥补。对个人信息的保护可以采用重要信息的事前同意，造成损害的事后赔偿，明确责任承担。第一，行政责任。行政责任是指政府机构在处理个人信息时违反法律规定，侵害个人利益所应承担的责任。在公民个人信息被侵害时可以通过申请行政复议或者提起行政诉讼来维护自身权利。第二，民事责任。随着个人信息商业价值的不断凸显，非政府机构逐渐超越政府机构成为主要的信息处理机构。在非政府机构处理个人信息过程中对个人造成的损害达不到承担刑事责任的程度，应当承担民事责任。虽然我国目前没有统一的个人信息保护法，但是可以根据民法通则的一般性规定实行。三，刑事责任。刑事责任是针对严重侵犯个人信息，情节恶劣，社会影响较大时承担的责任。关于承担刑事责任的承担较多的领域一般是金融、电信领域。在徐某某电信诈骗案中，陈某某等人通过非法途径获取徐某某个人信息进行诈骗，骗走其全部学费，导致其悲伤离世，在这种情况下程某某等人就应该承担刑事责任。