我國個人信息法律保護的制度構(gòu)建

 我國目前尚未制定公民個人信息保護的專門法律，雖然有近四十部法律、三十余部法規(guī)以及近二百部規(guī)章涉及個人信息保護，然而這些規(guī)定較為分散、權責不明晰或者存在部門規(guī)章效力層級偏低等問題。2013年2月1日，我國首個“個人信息保護”的國家標準即《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》（下稱《指南》）正式實施。盡管這意味著我國個人信息保護工作進入了“有標可依”階段，但其畢竟只是一個標準，尚缺乏法律約束力，不足以震懾違法犯罪行為。從表面上看，信息法保護的是個人信息；但實質(zhì)上，它不僅保護個人的隱私、自由和自治，事關個人人格的健全發(fā)展，它還具有重大的社會價值，關系到個人信息的公平、合理、高效流轉(zhuǎn)。資料保護的個人和社會雙重價值及資料保護問題的個人和社會雙重屬性，使得資料保護法跨越了公法與私法的界限，涉足憲法、刑法、行政法和民法等部門法。任何一部傳統(tǒng)的部門法單憑一己之力均無法完成個人信息法治化流轉(zhuǎn)的使命。這就要求制定一部專門的資料保護法，使它成為規(guī)制個人資料收集、使用、加工和散播等整個信息流轉(zhuǎn)過程的基礎性法律。因此，我國亟需出臺的不是針對某個領域、行業(yè)或某類資料處理的條例、管理辦法、指導意見、行為守則，也不只是對刑法、行政法和民法中涉及資料保護的部分進行簡單的修補，而是憲法指導下的一部個人資料保護 法。[16]在這部個人信息保護法中，我們應確立科學而嚴謹?shù)脑瓌t體系，明確界定個人信息法律關系的客體制度，構(gòu)建健全的個人信息權利救濟制度，從而充分保障信息主體的個人信息權。
（一） 確立個人信息保護法的基本原則
個人信息保護法基本原則體現(xiàn)了信息法的基本價值，集中反映了信息法立法的宗旨和目的，對各項信息法律制度和信息法規(guī)范起統(tǒng)帥和指導作用，也是指導我們立法和司法實踐活動的基本準則。學界對于個人信息保護法的基本原則進行了較為充分的研究，大致形成了共識。[17?20]一般認為，個人信息法的基本原則主要包括以下幾個方面，即目的明確原則、最少夠用原則、公開告知原則、個人同意原則、質(zhì)量保證原則、安全保障原則、誠信履行原則以及責任明確原則等。
（二） 明晰個人信息法律關系的客體制度
個人信息法律關系的客體，也稱個人信息權的客體，是指個人信息法律關系中信息主體之間享有的民事權利和承擔的民事義務所共同指向的對象。具體地說，個人信息法律關系的客體指的就是信息主體的個人信息。當前，在個人信息的定義上，有概括型、概括列舉型和識別型三種模式。概括型定義就是單獨使用概括的方法描述個人信息的定義方式，列舉型是單獨使用列舉的方法界定個人信息的定義模式。單獨使用列舉型定義的立法十分少見，而大部分采取混合型定義模式或者概括型定義模式。識別型模式就是以識別為核心要素對個人信息進行界定的定義方式。相比較而言，識別型定義是目前國際和國內(nèi)立法采用較多的個人信息定義方式。[21]（109）盡管《指南》對“個人信息”進行了定義，但其僅僅局限于“計算機數(shù)據(jù)”，并不具有高度涵蓋性，從而缺乏普適性。筆者認為，我們可以在參考《侵權責任法》第2條第2款立法模式的基礎上采取識別型定義法，即我國《個人信息保護法》中所講的“個人信息”是指“自然人姓名、出生日期、身份證號碼、健康狀況、基因、指紋、婚姻家庭、教育、職業(yè)、醫(yī)療、聯(lián)絡方式、財務情況、社會活動以及護照號碼等能以直接或間接方式識別該個人的信息?！?需要指出的是，《指南》將個人信息進一步區(qū)分為個人敏感信息（personal sensitive information）和個人一般信息（personal general information）。
一般來說，國際上對個人敏感信息大致有三種立法體制。一是列舉法。歐盟《數(shù)據(jù)保護指令》第8條第1款對個人敏感數(shù)據(jù)采取了列舉式立法體制。例如該條規(guī)定，敏感數(shù)據(jù)（sensitive data）是指“表明種族或民族、政治觀點、宗教或哲學信仰、工會會員以及有關健康或性生活資料處理的個人數(shù)據(jù)”。列舉法的優(yōu)點是簡單明了，但其無法窮盡個人敏感信息的所有客體。二是目的法。目的法關注的是處理個人信息的目的，它是2005年歐洲理事會在其一份“信息自決權”報告中提出的一個概念。采用目的法能有效降低成本效 益——減少數(shù)據(jù)保護機構(gòu)的行政負擔。其缺點也是明顯的，即由哪一個機構(gòu)來認定信息的敏感性；無論是基于主觀標準抑或是客觀標準，隨意性都比較大。[22] 三是情境法。情境法是指根據(jù)數(shù)據(jù)的背景或者內(nèi)容來判斷個人信息是否具有敏感性。我國采取的就是這種模式，例如《指南》規(guī)定，“各行業(yè)個人敏感信息的具體內(nèi)容根據(jù)接受服務的個人信息主體意愿和各自業(yè)務特點確定”。從理論上講，情境法是一種很靈活的方法，但采取這種立法模式將很大程度上導致對敏感信息的認定具有不確定性，因為“敏感性”的判斷標準并不受法律條款本身的限制。[23]進言之，敏感信息可能涵蓋任何信息或數(shù)據(jù)，從而使得敏感信息的外延被無限擴大了。
正是基于前述的原因和理由，敏感數(shù)據(jù)（信息）和非敏感數(shù)據(jù)的區(qū)分法一直以來就受到學界的廣泛批評。同時，隨著互聯(lián)網(wǎng)的迅猛發(fā)展，個人敏感信息與個人一般信息之間的區(qū)別變得越來越模糊。從歐盟數(shù)據(jù)指令和德國、瑞典及英國等國家數(shù)據(jù)保護法的適用來分析，在網(wǎng)絡環(huán)境下，將個人敏感信息與個人一般信息區(qū)分開來是一個很大的挑戰(zhàn)，效果也不甚理 想。[22]筆者認為，我國未來的“個人信息保護法”是否有必要進一步區(qū)分個人敏感信息與個人一般信息，值得進一步研究。
（三） 構(gòu)建健全的個人信息權利救濟制度
與個人信息安全相關的核心問題是商業(yè)活動和政府行為。我們需要重構(gòu)個人信息權與企業(yè)及政府的關系，也就是說，當企業(yè)及政府機構(gòu)收集、處理或利用我們的個人信息時，它們怎樣對待我們，這是我們需要嚴肅思考的問題。目前，個人信息的采集者和使用者往往對我們不負責任。個人信息遭到收集和使用，然而我們根本就不知道也無力掌控這些信息的安全性。對于收集和利用我們個人信息資料的公司企業(yè)須在多大程度上對我們承擔責任，令人吃驚的是，法律竟然沒有明確規(guī)定。[6]毋庸置疑，“無救濟則無權利”。如果要使信息主體的合法權益得到有效的法律保護，那么個人信息保護法中就應該明確規(guī)定對信息主體權利的相關救濟制度。
首先，歸責原則的確定。一方面，國家機關違反法律規(guī)定，導致個人信息遭到非法收集、處理、利用或者導致其他侵害行為發(fā)生的，應該承擔無過錯責任。很多國家或地區(qū)的法律都進行了類似的規(guī)定。例如，德國《聯(lián)邦資料保護法》第7條規(guī)定：“當公務機關在本法或其他資料保護規(guī)定下，由于未經(jīng)許可或不正確的個人資料自動化處理對資料本人造成損害的，公務機關有責任賠償本人的損失，而不論其是否有過錯?！绷硪环矫?，對于非國家機關違反法律規(guī)定，導致個人資料遭到非法搜集、處理、利用或者導致其他侵害行為發(fā)生，行為人不能證明自己沒有過錯的，應當承擔侵權責任。申言之，非國家機關對其民事侵權行為導致?lián)p害后果發(fā)生的，應承擔過錯責任。以我國臺灣“個人資料保護法”為例。該法第29條規(guī)定：“非公務機關違反本法規(guī)定，致個人資料遭不法搜集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。”
其次，損害賠償額的計算方法。盡管我國《侵權責任法》第20條對侵害他人人身權益造成財產(chǎn)損失的損害賠償制度進行了較為詳盡的規(guī)定，但現(xiàn)實生活中，針對個人信息權的侵害，往往很難確定具體的損害賠償數(shù)額。因此，個人信息保護法往往通過定額賠償制度來計算損害，但計算機處理個人信息的規(guī)模宏大，由于限定了最高額賠償，可能使得一些超過了最高賠償額的損害無法得到賠償。在此情況下，應允許當事人依據(jù)民法主張賠償全部損害。[21]（184）
最后，精神損害賠償?shù)奶岢?。實踐中，個人信息經(jīng)常被濫用，進而發(fā)生身份盜用、詐騙、跟蹤、不正當營銷活動以及對信息主體進行監(jiān)視等。這些濫用行為將會導致一些實質(zhì)性損害的發(fā)生，例如經(jīng)濟上的損失、情緒困擾，甚至身體暴力等。尤其是，身份盜用對于受害人而言簡直就是一場夢靨。犯罪分子通過使用受害人的個人信息獲得貸款，公開詐騙賬戶，侵占受害人賬戶中的財產(chǎn)。當身份盜用發(fā)生之后，受害者的個人檔案因為錯誤信息而被玷污——債務未清償、交通違法，逮捕以及其他令其名聲掃地的數(shù)據(jù)。因為犯罪分子盜用受害人的個人信息，執(zhí)法數(shù)據(jù)庫有時將受害者的名字與盜用者的犯罪活動聯(lián)系起來。[11]前述侵權行為不僅給權利人造成了財產(chǎn)損失，也會導致精神損害。對此，我國《侵權責任法》第22條明確規(guī)定，侵害他人人身權益，造成他人嚴重精神損害的，被侵權人可以請求精神損害賠償。筆者認為，當義務主體違反法律規(guī)定，導致個人信息遭到非法采集、處理、利用或者導致其他侵害情形的發(fā)生，造成信息主體嚴重精神損害的，被侵權人可以依法請求精神損害賠償。