比较法视野下的个人信息保护
——兼评《民法总则》第111条

刘玉杨

(安徽大学 法学院，安徽 合肥 230601)

德国比较法学者茨威格特和克茨说道:“比较法律是指一方面以法律为其对象,另一方面以比较为其内容的一种思想活动。”[1]无论是认为比较法是一门学科或者一种研究方法，都要先确定比较法的研究对象和最终目的。比较法学实质上是从人类社会的角度展开的一种普遍法学,它虽然具有双重目的,但最终目的是研究和发现世界共同法或普遍法这个人类社会最高行为规范的实在形式。[2]比较法经历了从关注不同到关注相同的发展轨迹，最后从研究和实践中窥见：从不同中发现共同才是比较法的根本要义。

一、大数据时代个人信息保护发展的背景

从20世纪60年代开始，随着计算机技术的飞速发展，各国政府和企业广泛运用计算机进行信息收集，庞杂的个人信息被无限制收集、运用与存储，传统分散的个人信息保护模式已经无法满足人们对个人信息保护的需要，因此，20世纪70年代全球大规模个人信息保护立法运动兴起。21世纪的人类社会已经进入信息大爆炸的互联网时代，在通信信息技术的飞速发展的推动下，各式各样的个人信息被大量收集、应用以及存储，特别是构建的人工智能、关联数据和语义网络时代，形成人与网络、网络与人相互连通，利用网络可以在信息数据的海洋里不断穿梭检索，并筛选出网络用户的选择、喜好以及行为习惯，摆脱了传统人机单纯“纸读”功能而转向崭新的数据库模式。事物的发展都有两面性，大量的个人信息合法或非法被收集、存储，一方面给人们带来了诸多便利，例如QQ、微信等即时通信软件便于人们之间的沟通交流；另一方面也会给不法分子侵犯个人信息打开一扇方便之门，导致人们的个人信息被恶意使用、违法滥用、非法监控等。身处大数据时代中的我们，如何应对个人信息的数字化给人们的个人信息权带来的诸多风险与挑战，如何从法律层面充分保护个人信息，是我们无法回避的现实问题。

二、比较法上的个人信息保护

(一)美国的隐私权保护模式

“隐私权”概念来源于Warren和Brandeis的《论隐私权》，他们系统阐述了隐私权的概念，认为“在任何情况下，每一个人都有被赋予决定自己所有的事情不公之于众的权利，都有不受他人干涉、打扰的权利，并认为用来保护私人著述及其他智力和情感产物的理念。”[3]美国侵权法学者Prosser教授在《论隐私》中将隐私权保护划分为四种类型：侵犯隐私、公开揭露、扭曲形象和无权在商业上使用他人姓名或肖像。1973年的Roe v.Wade案判决以及1977年的Whalen v.Roe案使隐私权发展到信息隐私权[4]，这一系列判例使得隐私权通过宪法判例的形式取得合宪性基础。因此，美国对个人信息的保护在宪法和侵权法领域都是以隐私权理论为基础。

美国从两方面对个人信息保护，首先在公领域采用分散立法的模式，在不同领域或事项范围内对个人信息分别立法保护，例如《隐私权法》《电子通讯隐私权法》等；其次在私的领域采用行业自律模式,通过公司或者企业制定行业的行为规章，为行业的信息隐私保护提供示范的行为模式。因为美国行业组织很发达，能够实现在本行业规范下统一制定适合本行业特点的信息隐私的规章制度，并在政府的引导下更好地维护隐私权秩序。

(二)德国的信息自决权保护模式

德国是世界范围内最早为个人信息保护立法的国家。1970 年德国黑森州制定了《黑森州数据保护法》，它是世界上第一部个人数据保护法。随后1977年《联邦个人资料保护法》生效。在实施过程中，1982年《人口普查法》要求对德国全国范围内的公民进行全面的个人信息收集，包括人口数量、职业和住所等个人数据。因此，有人就此提出《人口普查法》违宪的诉讼请求。通过此次联邦宪法法院的判例，将个人信息自决权认定为一项宪法上一般人格权项下的基本权利，“其内容包括个人得本诸自主决定的价值与尊严，自行决定何时及于何种范围内公开其个人的生活事实。”[5]本案可以视为个人信息保护发展道路上的里程碑事件。

德国人格权理论保护的是一般的、普遍存在的人格利益,其立足于人格权的广泛性和多元性。[6]信息无限量、无限制通过在网络平台公开、传输和使用，人格权理论在信息化社会得以广泛应用。德国区别于美国的分散立法模式，它采取的是统一立法模式，制定了一部专门的个人信息保护单行法，从而自上到下建立起保护个人信息自决权的法律体系。不仅针对政府机关收集个人信息的行为，而且也针对第三方企业大量收集、处理和利用信息的行为，这就有助于实现个人信息保护的统一性和公平性。同时德国个人资料保护法还设置资料保护委员对政府机关处理个人资料的行为进行监督,并设置资料保护人对非政府机关处理个人资料进行监督。

(三)《民法总则》第111条确立的个人信息保护权

2017年 3月 15 日，第十二届全国人民代表大会第五次会议通过《中华人民共和国民法总则》(下称《民法总则》)，作为民法典编纂准备工作的第一步，其在新增权利方面规定了“个人信息保护权”。首先，关于个人信息的内涵，2017年《网络安全法》将“个人信息”定义为，“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”只要是能够直接识别或与其他信息相结合可识别特定自然人的个人信息的，就是民法所保护的个人信息。其次，《民法总则》第111条是从信息收集利用者一方切入，以行为约束的方式划定了信息处理之行为界限。在行为规范的构造上，现行法区分信息获取、利用、持有三个阶段分别设定了相应的行为规范体系，任何信息获取、利用、持有行为都必须遵守这些行为规范要求。[7]

三、个人信息保护模式的比较和评价

(一)立法模式不同

前文所述，美国区分公、私领域对信息隐私进行分别保护，采用分散立法和行业自律模式。与美国截然不同的是，德国是统一立法模式。一方面，美德两国的立法模式与其价值理念有直接关系，美国崇尚自由，主张人格独立自由、不受侵犯，德国注重维护其人性尊严和人格自由发展的基本权利,这在一定程度上存在相同之处；另一方面，两国都试图通过制定相应的规范在个人信息保护与信息技术的发展两者之间找到一个最优的平衡点。不可否认，美国的行业自律模式为个人信息保护提供了新的范式，这种自下而上的模式能避免法律条文的僵硬而适时变化，并且专家可根据行业特点制定专门信息保护的自律规范。德国个人信息保护法更具国家强制性，在实际操作层面给予相应的纠纷解决程序，并且明确的保护条款普遍适用全体信息主体，不偏不倚实现正义目标。与美德两国两种模式相比，我国现阶段尚未形成系统的个人信息保护立法体系，《民法总则》第111条确认了“个人信息保护权”并规定行为规范模式加以规制，虽然明确规定了违法的信息收集利用的行为方式，但是国家机关收集处理个人信息的行为是否包含在个人信息保护范围内仍未确定。

(二)权利基础不同

美国、德国分属英美法系和大陆法系，因而在个人信息保护的权利基础上不尽相同，美国是以隐私权理论为基础；而德国是以人格权为基础，以保护个人资料为核心，在人格权基础上实现对“信息自决权”的民法保护。从比较法的角度来看，两者之间存在着直接社会功能的同一性或者类似性，即无论是以隐私权还是人格权基础最终都是为个人信息保护来服务，防止个人信息被权利人之外的人所恶意使用、滥用等。《民法总则》第五章“民事权利”中规定了第111条“个人信息保护权”，这是公民在现代信息社会享有的重要权利，明确对个人信息的保护，对于保护公民的人格尊严，使公民免受非法侵扰，维护正常的社会秩序具有现实意义。[8]虽然没有明确说个人信息权属于人格权，但是规定了其他民事主体对自然人个人信息保护的义务，如果违反相应义务，将要承担一定的民事责任。从条文分析来看，我国采取了一般人格权作为个人信息保护的权利基础，将个人信息保护权视为一项具体的人格权，这不仅弥补了人格权立法方面的漏洞，而且在信息化社会催生了一项新的个人信息保护权，使其具有相当的独立价值和时代意义。

四、我国个人信息保护的应然路径

(一)将个人信息保护权规定为一种人格权

通过上述比较分析，我国应当选择以一般人格权作为权利基础，不仅能使自然人的所有个人信息得到保护，而且也能使个人信息上承载的所有利益得到保护。美国法上的隐私保护模式与其没有人格权制度之间存在密切关系，其隐私权具有类似于大陆法系中的一般人格权的特点，隐私权自身具有很强的开放性，可以将很多的新型人格利益纳入其中。[9]但是我们不可能通过扩张隐私权的内涵和外延来涵盖对个人信息的保护，否则将会与我国的人格权制度产生冲突。因此，隐私权不能涵盖个人信息权。《民法总则》第111条的“个人信息保护权”正是适应当代立法趋势，将其作为人格权的重要内容，强化了对个人信息的保护，体现了以人民为中心的思想。

(二)以统一立法来规范个人信息

纵观全球，大多数国家针对个人信息都采取了统一立法的模式，包括一些英美法系的国家，例如英国以一部《数据保护法》提升了个人数据保护水平，并营造一个可信安全的在线网络生活环境和商业发展环境。如前所述，美国的分散立法和行业自律相结合模式虽然在个人信息保护方面发挥了巨大的作用,但这并不能遮盖其本身固有的缺陷，比如说投诉和争端解决机制不完善、缺乏强制力、普遍性不足而很多企业游离于自律之外、实效不理想等等。[10]而且，我国的行业组织并没有像美国那样发达，不同种行业难以形成一个联盟专门制定统一的规范得以遵守，这种行业自律模式不符合我国的社会实践。相比较而言，我国可借鉴德国的统一立法模式，制定一部《个人信息保护法》，明确个人信息权的概念，区分个人一般信息和个人敏感信息的不同，对此分别规定与之相应的权利和义务内容；在信息主体方面规定相应的权利义务内容，违反某项义务将承担一定的民事责任、行政责任或者刑事责任。除此之外，针对网络信息安全，《个人信息保护法》可建议网络运营者采取一些行业自律措施，单方面做出保护个人信息的承诺或制定相应的内部行为规范，激发行业组织自治，促进形成成熟的行业自律氛围。[11]《个人信息保护法》与《民法总则》第111条相衔接，完善了个人信息保护体系，符合立法的整体性与连贯性。除此之外，每个人都是自己个人信息的管理者和维护者，自己对个人信息的保护是效率最高、成本最小的，在社会生产生活进行信息交流、传输和处理时要提高警惕，增强信息防范意识，当自己的信息遭到滥用、非法泄露时，积极行使权利要求其承担相应的责任。

(三)技术手段与法律手段协调配合

随着互联网、人工智能等新科技的不断普及与发展，越来越多的个人信息日益数字化、网络化和透明化，通过数据抽取和集成实现用户隐私的获取,并且在现实中通过所谓的“人肉搜索”的方式能更快速、准确地得到结果。服务提供商也可能从授权用户数据的二次使用来获得利益,如目标广告的投放等。目前,对数据的二次使用还没有技术障碍。[12]欧盟《通用数据保护条例》中对于这些数据处理机构，要求应当采取适当的技术和组织安全措施，以防止处理过程中的风险。这些技术和安全措施适用于社会生产和生活的各个领域，无国界限制；而高科技研发机构相较于于立法者，他们对技术的敏感性更强，可以克服法律制定滞后性的弱点。[13]因此，我们在大数据时代更应当在以个人信息保护法为中心的法律体系项下，以相应的技术手段辅助保护个人信息，并不断改进和完善，以适应当今大数据时代的需要。