查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《云南大学学报法学版》
我国个人信息保护法立法模式思考
【作者】 杨芳【作者单位】 海南大学法学院
【中文关键词】 个人信息保护法;立法模式;事先防范规范
【文章编码】 CN53-1143/D(2016)04-85-07【期刊年份】 2016年
【期号】 4【页码】 85
【摘要】 个人信息保护法应当定位为保护人格权与财产权免遭个人信息滥用而受到侵害的事先防范规范,而不是对在理论上无法成立的个人信息自决权提供保护。我国个人信息保护立法应对公务机关和非公务机关的个人信息收集、处理和利用行为规定严苛程度不同的规则。否则,将给私人领域的信息交流自由构成不当限制。
【全文】法宝引证码CLI.A.1218261    
  一、引言
  个人信息保护立法似乎已经成为了一种无法阻挡的国际潮流。据不完全统计,近二十年以来,陆续出台的个人信息保护法大约50部。[1]已出台的个人信息保护法不断被修订,导向更加强化的个人信息保护。面对如此的国际立法趋势与频发的个人信息泄密和滥用事件,国内个人信息立法的呼声日益高涨。
  防止个人信息免遭他人获取、传播和利用,并不是法律上的新问题,本属传统民法中隐私权的保护范畴,那么作为法律领域的新生事物,个人信息保护法的正当性和合理适用范围何在?脱离了对此问题的思考和厘清,我国的个人信息保护立法恐怕容易沦为对国际个人信息保护立法潮流的盲目跟风。
  二、比较法上的公私分立与公私统一立法模式
  这里要回答的问题是,在个人信息保护的具体规则上,对于公务机关和非公务机关,是否分别规定义务严苛程度不同的两套规则,还是对二者适用同样或在实质效果上基本相同的统一规则。
  (一)德国《联邦个人信息保护法》为代表的公私统一立法模式
  所谓公私统一,系指在个人信息保护法中,无论是公务机关,还是非公务机关,在处理个人信息时所遵循的规则大体一致。德国现行《联邦个人信息保护法》(2010)正是此种立法模式的典型代表。“欧洲议会和欧盟理事会1995年10月24日关于涉及个人数据处理的个人保护以及此类数据自由流通的指令”和我国台湾地区“个人资料保护法”(2012)与此相同。
  德国法上的个人信息保护源于这么一种思想:在现代信息处理技术面前,区分信息处理者究竟是公务机关还是非公务机关,不再具有意义;个人对于自己的信息拥有一种可以自主决定流向的个人信息自决权,这项权利不仅受到国家这个“老大哥”的威胁,还有可能受到私人机构的侵犯,一个统一的个人信息保护法将更加有利于保护两个领域中的个人信息自决权。[2]作为保障基本权的个人信息保护法,不仅仅是针对国家的防御权,也意味着国家具有保护个人信息权免遭私人侵犯的义务;因此,从德国“人口普查案”[3]发展出来的个人信息自决权同样适用于私人信息处理者。[4]
  尽管在德国个人信息保护立法之初,关于是否应该区别私人机构与国家部门的个人信息处理行为而分别立法的问题,曾经存在争议,今天这样的讨论已不存在,学者们所关注的往往是如何进一步统一规则,使个人信息自决权不仅能对抗国家,也能防御私人机构的侵害。[5]
  在这种思想的影响下,在现行德国《联邦个人信息保护法》(2010)中,公务机关与非公务机关的个人信息处理行为应遵循的行为规则,虽然分别规定在该法第二章与第三章中,但是,其中的核心规范并没有太大的差异。例如,二者任何一项个人信息处理行为都必须与收集时的目的相一致,除非有其他合法事由,否则将构成“违法行为”;[6]二者在信息收集时必须向信息主体告知信息处理的过程;[7]和公务机关一样,非经信息主体同意、或者除非具有其他合法事由或者具有其他合理理由的情形下,非公务机关不得收集其个人信息。[8]
  不仅如此,对于非公务机关个人信息处理的法律规制而言,德国《联邦个人信息保护法》具有信息处理基本法(Grundgesetzder Datenverarbeitung)的地位。[9]除非个别部门法中的存在特别规定,德国《联邦个人信息保护法》统一适用于所有的非公务机关个人信息处理行为。
  (二)公私分立,私领域分散立法的立法模式
  所谓公私分立,私领域分散立法的立法模式,系指公务机关和非公务机关在个人信息处理上遵循着不同的规则,并且不制定适用于所有非公务机关的一般性个人信息保护法,而是针对不同的领域下的非公务机关分别立法。美国即是此种模式的典型代表。
  在个人信息的保护上,美国比较重视市场机制和行业自律,不存在如同德国那样的统一的个人信息保护法,在联邦法律方面,较重要的1974年《联邦隐私保护法》(Federal PrivacyAct)以政府为规范对象,对来自企业和个人的侵害仅作个别性的规范。[10]其个人信息保护规则主要针对国家的信息处理行为。因为,在立法者看来,与国家信息处理行为相比,非公务机关的个人信息处理行为对于个人的威胁要小得多,从而只需要针对私人领域的某些部门做出个别立法即可;在这些部门中存在现实的、明显的威胁个人利益的个人信息处理行为,其所掌握的个人信息对于个人而言至关重要。[11]这些个别领域的立法包括:针对信用纪录报告中心的1970年《公平信用纪录报告法案》(Fair Credict Reporting Act 1970)、针对金融机构的1999年《格雷姆-里奇-比利雷法》(Gramm - Leach- Bliley Act(GLBA)1999)第五章、针对通讯机构的1984年《有线通讯法案》(Cable Com- munication Policy Act 1984)、1986年《电子通讯隐私法案》(Electronic Communications Pri- vacy Act 1986)以及1996年《电信通讯法案》(Telecommunications Act 1996)、针对所有以电子形式处理医疗信息的医疗保险部门,医疗救治结算部门以及所有的医疗服务提供者的2003年《个人可识别性健康信息隐私标准》(Standards for Privacy of Individually Identifiable Health Information)以及保护13岁以下儿童网上个人信息的1998年《儿童网上隐私保护法案》(Children’s Online Privacy Protection Act 1998)。直到今天,美国的个人信息保护立法主要规制的仍然是国家行为,并不存在一部针对所有信息处理者的一般性个人信息保护法。
  三、我国既有立法建议稿所持立场及其评析
  (一)两部专家建议稿所持立场
  目前,在个人信息保护立法领域,较成熟的专家建议稿有如下两部:重庆大学法学院齐爱民先生所提出的“个人信息保护法示范法草案学者建议稿”(下文简称“齐版建议稿”)[12],以及中国社会科学院法学所周汉华先生负责起草的“个人信息保护法专家建议稿”(下文简称“周版建议稿”)[13]。
  这两部建议稿的适用范围都涵盖了公务机关和非公务机关对个人信息的处理行为。[14]而且两类性质不同的主体在信息处理上都遵守着大致相同的“基本原则”。这些基本原则和政府间合作组织“经济合作与发展组织(OECD)”1980年颁布的“保护个人隐私和个人信息跨国流通指令”(Guidelines on the Pro- tection of Privacy and Transborder Flows of Personal Data)所提到的八项原则并无太大差异,包括:信息收集限制原则、信息质量原则、列明目的原则、使用限制原则、安全保护原则、公开原则、个人参与原则以及责任原则。由此看来,这两部专家建议稿在立法模式上均取法德国模式,选择了公私统一的立场。
  在上述草案起草者看来,这种对原本分属于公法领域与私法领域的个人信息处理行为设定统一规则的理由大致有如下两点:第一,周汉华先生认为,“从个人信息保护的角度来看,不论是公共部门还是私营部门,只要掌握大量的个人信息,均存在滥用或侵犯个人权利的可能”;[15]第二,齐爱民先生认为,“个人资料尽管可以分为公的领域和私的领域,但二者在价值取向和直接目标上是一致的,均为对个人权利保护的追求,而不是对行政效率的追求”。[16]
  (二)评析
  笔者以为,上述理由似乎还有商榷之余地。其问题都在于,忽略了公务机关(国家机关)和非公务机关个人信息处理行为的性质、目的、能力和对个人的威胁程度上的差别:前者作为国家行为,原则上须具有相应的法律授权,后者是私人行为,原则上自由的,除非侵犯到他人的合法权益;国家收集个人信息的目的在于推行国家管理,且有权基于收集的个人信息对个人采取国家强制行为,非公务机构的信息处理行为主要旨在追求经济目的或其他私人目的,无权对个人采取强制措施;国家的管理行为涉及方方面面,纳入收集范围的信息极其广泛,几乎无所不包,相反,单个的非公务机构出于特定目的(例如业务需要)通常只涉及某类个人信息。因此,用同样的信息保护标准规范公务机关和非公务机关的信息收集、处理和利用行为,逻辑上要么是将适合公务机关的高标准信息保护义务转用于非公务机构,导致对私人领域信息交流自由的不当限制,要么是将适合非公务机关的较低标准信息保护义务转用于公务机关,导致对公务机关的约束不足。
  四、个人信息保护法保护对象之辩
  (一)个人信息自决权和个人信息保护法
  前述美国和德国立法模式存在差别的原因在于,两者对个人信息威胁的来源认识不同。美国法将政府视为主要威胁来源,在私人领域只对存在较大威胁的个别部门进行个别性立法规制。德国则认为在自动化信息技术面前,公务机构和非公务机构的威胁一样大。其中,是否承认信息自决权成了关键。如果承认一项个人控制和支配个人信息的信息自决权或者以信息自决权之观念为出发点,那么,加害人到底是公务机关还是非公务机关对于是否保护和保护程度之问题将不再重要。美国立法上没有像德国那样,确认一项在政府行为领域和私人领域均存在的信息自决权。
  在个人信息自决权的理论主张中,自决是核心概念,当事人得自由决定自己的个人信息上承载着何种价值,由此,任何违反当事人意志的信息收集、处理或者利用的行为都侵犯了当事人的自决权,从而也侵犯了该信息上承载的人格利益。个人信息自决权的经典表述是:“个人可以决定向谁告知哪些和他相关的信息,哪些可以隐瞒。这项权利适用于一切个人信息,自然也适用于那些看上去无关紧要的个人信息,我们不再要求根据个人信息的内容来划分哪些处于私人领域,哪些处于公共领域”。[17]
  即使主张者把信息自决权表述为一种建立在个人信息之上的支配权,这么一项权利也不可能是私法权利体系中的绝对权或者支配权,甚至不可能是法学意义上的权利。保护绝对权并不意味着保护漫无边际的自由意志,毋宁,绝对权必须建立在一个外在的、可归属于权利主体的客体之上,唯有如此,他人的自由才不会受到无限度的限制。[18]亦即,绝对权和排他性的支配力是同义语。而个人信息不具备充当

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
本篇【法宝引证码CLI.A.1218261      关注法宝动态:  

法宝联想
【共引文献】
【相似文献】
【作者其他文献】
【引用法规】