刍议个人信息法律保护的困境及应对策略

◎郗蕊

刍议个人信息法律保护的困境及应对策略

◎郗蕊

在我国，个人信息权属于基本人权。但是，在法律规定方面因为分散性比较明显且十分简略，导致权利主体在其个人信息泄露的情况下，很难获取及时的法律救济。而在个人信息保护途径方面，在学界也存在一定的争议。基于实际情况，为了能够实现对个人信息权的全面保护，确保现代社会信息的安全性，就必须要尽快制定出个人信息保护法。与此同时，明确基本的原则内容，将个人信息法律关系客体制度进行相应的界定，以保证权利制度的保障机制更加完善与健全。

现阶段，在商业领域，客户资源共享已经成为“公开的秘密”。伴随生物识别技术以及射频识别等多种更为现代化的技术形成并应用，使得交通讯息内容、个人身份识别以及电子病历的信息内容，甚至是不同消费资金账户的相关信息都已经融入到人们的日常生活领域中，实现了不同类别信息的融合。在这种情况下，使得个人信息的流通与运用更加频繁，特别是在虚拟网络的推动下，滥用个人信息并侵害私权现象发生的几率随之提高。而如果个人信息被泄露，那么信息主体很难恢复数据，而对于滥用信息的掌控将更难实现。一旦不法分子运用了被泄露的信息，则会不断发生账户失窃亦或是诈骗与身份盗用等多种不同形式的刑事犯罪事件。而发达国家在上世纪中期意识到对个人信息保护的重要性，并且通过法律法规明确了不同形式的个人信息法律保护途径。基于此，国内也起草了《人格权法》，个人信息保护立法也逐渐受到国人的重视。而本文将以个人信息的法律保护作为研究重点，阐述了其中存在的问题与相应的应对策略，以供参考。

当前个人信息保护立法现状解构

对于任何一个国家而言，个人信息都是其重要的战略资源。在我国，已经发生了大量的信息被盗事件，由此可见，公民信息泄露的问题十分严重。而正是个人信息泄露现象的出现，信息主体隐私权被侵犯，同时，也为其日常生活带来了负面的影响。特别是在信息化时代背景下，信息的传输速度极快，实际传播的范围广泛，因而，个人信息保护也正面临严峻形势。基于此，创建个人信息保护制度势在必行。

当前，在我国并未制定出致力于个人信息保护的法律法规。但是，已经陆续出台了诸多法律法规与规章制度，其中涉及到了个人信息保护问题。针对出台的法律法规，与个人信息保护相关的内容相对分散，而且在权利与责任划分方面十分模糊，甚至有很多部门的规章制度效力并不高。于2013年年初，我国首次提出了个人信息保护国家标准并且投入到实践过程中。而这一标准的执行也同样彰显除了个人信息保护工作已经迈入了全新的发展阶段，有标准作为重要行使依据。然而，也仅仅只是标准，并不具备法律的约束能力。标准本身的效力层次并不高，所以，对于违法犯罪行为难以起到震慑的作用。在这种情况下，工业与信息化部门公布了电信与互联网用户的个人信息保护具体规定征求意见稿，主要的目的就是对电信企业以及互联网予以严格地规范，以保证在对用户个人信息收集与使用的过程中更加合法，为用户个人信息的安全性提供有力保障。从根本角度出发进行分析与思考，可以发现，这一规定同样与之前的标准面临相同问题。虽然信息法能够对个人信息进行保护，但是，并不单纯地对个人隐私与自由给予保护，也直接关系着每个人的人格发展，社会价值不容忽视，特别是与个人信息流转的高效性以及公平性存在紧密地联系。正是在资料保护下的个人与社会以及资料保护问题下的个人与社会，其双重价值与双重属性都决定了资料保护法将突破公法以及司法的界定，将设计刑法、民法、甚至是宪法等多个部门法。但是，对于传统部门法而言，仅凭借自身能力都难以落实个人信息的法治化转变。为此，必须要科学合理地制定专业资料保护法律，对个人资料进行专门地收集与使用，对所收集信息进行加工与散播，针对信息的整体流转流程予以严格地规制，形成一门基础法律。这里所说的基础性法律，并不仅仅适用于某一个领域亦或是某一种行业，也并不是对某一种类型资料进行处理的管理与处理方法，同样不只是补充涉及资料保护的相关法律内容，而是接受宪法的指导所形成的个人资料保护法。

对国外个人信息保护立法与相关启示的探讨

在国外，对于个人信息保护的问题，已经形成了两种不同的立法机制。其中一种是欧盟统一性的立法模式，另外一种就是美国的分散立法模式。而这两种立法框架都已经确定出新时期背景下信息法的发展趋势。对于美国信息法而言，其出发点就是实用性，对于信息内容所具有的实用性价值十分关注，所以，将分散律法与行业自律两种方式有机融合。对于欧盟信息法而言，其最重要的而理论基础就是道义论。而对于这一立法机制，将重点放在保护个人信息上，始终坚持个体自治的基本原则。于1996年，欧盟已经通过数据保护的指令，所以，在欧盟国家中已经确定出隐私权的立法原则，在立法背景与基本理念方面都与美国立法存在差异。在欧盟已经把隐私权当作基本人权，因而，必须要在政治方面解决。另外，欧盟的数据保护指令也同样在个人信息保护方面提供了有效的途径，并给予了必要的救济方法。由此可见，欧盟这种综合方法同美国相比存在极为明显的不同之处。具体表现在，美国立法的隐私权规范涉及范围有限，与此同时，需要利用市场保护隐私权。但是，欧盟在此方面不同，已经制定出相对成熟且完整的信息保护法律，对于公共领域与私自领域当中的信息处理行为都作出了适当的调整与规范。

而在德国，所执行的《联邦资料保护法》则属于大陆法系当中比较典型的一种。此法律所运用的是统一立法模式，实现了统一规范并保护个人信息保护的目的。在1982年一年当中，德国在“人口普查案”中促进了个人信息保护的进一步发展。随后，德国也同样对该法律进行了适当地调整与修订，并于1990年贯彻落实，实际效果得到了国内各界认可。第一，在《联邦资料保护法》当中，已经形成严谨原则机制。在该法律当中，对于公开原则、安全保护原则以及更正和目的明确等相关原则都已经进行了明确地规定。第二，对于监督机制而言，德国也已经构建了双轨制的模式，有机结合内外部监督机构。其中，外部监督机构，也就是个人资料保护委员会，其主要的工作内容就是严格监管公务机关对个人资料进行收集与处理的实际效果。通常情况下，委员会的成员都是法官亦或是大学教授，且任职的稳定性较高。而对于内部监督机构而言，就是资料保护人，而具体的任务就是严格监督非公务机关对于个人资料的处理行为。而资料保护人通常都是单位自主选择任职，但前提必须要具备良好品性与专业知识。第三，《联邦资料保护法》落实双轨制损害赔偿机制。在该法律内容中，已经将个人信息侵权行为细化成两个部分，即行政侵权与民事侵权。基于此，法律同样对两种不同侵权行为的损害赔偿进行了明确地界定，提出了赔偿的范围与归责的基本原则。详细地讲，针对行政侵权行为，其损害赔偿应当遵循无过错的责任原则，而赔偿的范围则已经确定最高限额。而针对民事侵权行为，其损害赔偿同样遵循无过错的责任原则，而实际的赔偿范围则要贯彻并落实全额赔偿的机制，但是在最高限额方面并没有限制。

完善个人信息保护立法的有效途径

明确个人信息保护法的基本原则。对于个人信息保护法而言，通过明确基本原则，能够真实地彰显法律价值与理念，并且对立法宗旨以及目的进行反映，同时，在不同信息法律制度与规范方面都发挥着不可替代的指导价值，也同样为立法与司法的实践活动提供参考依据。在个人信息保护方面，OECO与亚太经合组织已经分别在1980年和2005年出台《保护隐私和个人数据跨国流通指南》与《亚太经合组织隐私权保护框架》，与此同时，对于个人信息保护原则进行了相应规定，一定程度上促进了不同地区个人信息保护的立法，将其作为重要基础，合理地制定了国内与不同地区个人信息保护法，并予以不断完善与改进。而在现代信息化社会背景下，个人信息立法保护的目的也不单纯对个人信息流动予以限制，而是进行严格管理与规范，希望确保个人信息流动的合法与合理，同样为个人信息的正确性与安全性提供保障。但是，在对个人信息进行全面保护的基础上，同样需要确保社会信息资源配置的全面优化。也就是说，不仅要充分践行个人信息价值，而且应更好地为人民群众提供所需服务，以保证信息主体与人民群众实现利益的平衡。

全面整合个人信息法律关系的客体机制。所谓的个人信息法律关系客体，具体指的就是在个人信息法律关系当中，信息主体和信息主体间享有民事权利并承担民事义务的指向对象，简单来讲，就是信息主体个人信息。目前，在定义个人信息方面，比较常用的模式就是识别型。虽然在个人信息保护国家标准中定义了个人信息，然而却严重缺失涵盖性特点，最终导致定义的适用性不强。针对这种情况下，应当在《侵权责任法》立法模式方面融入识别型定义的方法。

值得注意的是，在个人信息保护国家标准中已经对个人信息进行了细化，即包括个人敏感信息以及个人一般信息。通常情况下，国际范围内已经针对个人敏感信息制定了不同种类的立法机制。而在个人信息保护国家标准当中，所采用的是情境法的模式。站在理论角度分析，这种模式相对灵活，但是却难以确保敏感信息认定的确定性，而且，这种模式的判断标准始终不会受到法律条款的限制。概括来讲，由于敏感信息中包含了所终信息与数据内容，导致这种信息外延随之变大。受互联网发展影响，个人敏感信息和一般信息区分也更加不明显。对于国外个人信息保护法律的借鉴与研究，要想区分两种不同信息难度很大。为此，在这一方面仍需要展开深入研究。

全面建设个人信息权利的救济制度。第一，确定归责原则。如果是因为国家机关违背了法律的规定而引发个人信息受侵害，这种行为属于无过错责任。另外，如果是因为非国家机关的民事侵权行为而引发个人信息受侵害，则应当承担过错责任。第二，明确双轨制损害赔偿制度与相关金额计算具体方法。通常情况下，应将个人信息侵权行为细化成行政与民事侵权行为两种。针对侵权行为，不仅要积极借鉴现代化立法经验，同样需要合理地引入双轨制损害赔偿机制。详细的说，如果是因行政侵权行为所带来的损害赔偿，在法律方面应当确定最高限额赔偿的范围。而如果是因民事侵权行为所带来的损害赔偿，则应当贯彻并落实全额赔偿，而在法律方面也无需明确最高限额赔偿的范围。另外，在计算损害方面，个人信息保护法所采用的都是定额赔偿机制，然而，由于计算机所处理的个人信息数量极大，且限定最高额的赔偿，因此，很多超出最高额度的损害都难以获取赔偿。为此，当事人则应当严格遵循民法的主张对所有损害进行赔偿。

综上所述，由于个人信息泄露问题频繁发生，所以，人民群众对于个人信息保护的重视程度也不断提高。在此背景下，也必须要对相关法律法规进行全面完善，而政府相关部门也同样应给予个人信息高度重视，加大打击的力度，通过采取合理的完善措施来对个人信息进行有效保护。作为公民，也应当不断增强对个人信息保护的意识，严格遵守社会道德。

（作者单位：中央民族大学）