1 论个人信息的法律保护 齐爱民 上传时间:2006-7-25

自从近代民族国家诞生，其渗入公民生活的企图就从未停止过。国家权力渗入公民生活的重要手段就是对个人信息的收集。通过对个人信息的收集和处理，“公民生活越来越成为可见的、可计算的、可预期的”[1]。从19世纪60年代开始，随着计算机及其网络在全球的进一步应用和普及，发达国家跨入信息社会。在这个阶段，社会对信息的依赖性越来越强。个人信息成为信息社会的一种重要社会资源。国家政府机构出于政策分析、弱势人群保护等行政目的，开始利用计算机等现代科技对个人信息进行大规模地自动化收集与处理。与此同时，无孔不入的商业机构为了经济利益也争先恐后地加入了这个行列。在信息社会的背景下，对个人信息的争夺，像一场没有硝烟的战争在社会各个领域悄悄蔓延。 见诸个人信息的法律问题，并不是信息社会产生的新问题，但的确是在信息社会被“放大”的社会问题。采用任何技术（无论是传统的亦或电子的技术），对个人信息的处理都有可能导致个人信息的泄露、扭曲和错误使用。“资料处理”一词源于电子资料处理领域，指广泛地从事资料（Data）和信息（Information）的处理。后来被解释为采用任何形式（人工、电子或自动化）、或对承载于任何资料媒介之上（纸面或电子等）的个人信息所为的任何目的的收集、储存、识别、复制、分类、传输、比对或其他形式的处理[2]（P511）。在信息社会，对个人信息的收集与处理大多是通过计算机等自动化设备进行，这种收集往往在个人信息所有者本人不知情并且不能控制的情形下暗中实施。收集者暗中实施收集所利用的主要工具有：System administrator（服务器系统管理机构，可以详细记录访问信息）、Cookies（跟踪软件）、New Visitor Counting（对造访者进行再度造访次数的记录软件）、Push Technology或Agent Technology（追踪与归类网络使用者特定网络兴趣或所需网络信息内容之功能的软件），Oil Change Program（记录网络使用者所使用之硬盘的详细内容的软件），Click Stream Data（记录网络使用者浏览过的网站名称的软件），等等。在资料收集与处理的每一环节，个人信息都面临被扭曲和错误使用的危险。“上述Cookies以及相关技术的运用结果，是针对网络使用者的网络形象加以“型朔”（profiling），亦即等同于透过拼凑种种有关网络使用者个人的枝微末节的方式，勾勒出网络使用者的剖面图。”[3]由此，与事实不符的个人信息以及由其构成的“使用者的剖面图”就可能对人格权造成严重的侵害。有鉴于此，各主要发达国家和地区都相继开展了个人信息保护的专门立法。由于这是一个崭新的法律领域，在个人信息的概念、性质与保护模式的确定与选择上，各国立法和学界都存在很大分歧。时至今日，关于个人信息的概念与法律性质的争论也并未平息。中国政府已经将个人信息保护问题列入立法计划（注：参见《国务院信息化工作办公室副主任刘鹤发表的讲话（二）》，http：//inews.gzic.gd.cn/web/newsdetail.asp？news.sno=131。）。在这种形势下，理论界对个人信息进行科学定性不仅仅具有法学研究上的意义，而且具有服务于国家立法的价值。“自古以来，信息的内容、信息的处理与信息的传输，一直是国家的治理者所关注的。要使一个国家安定、稳定，继而发展、繁荣，国家从立法的角度，就不能不对这三个方面进行某种程度的管理。”[4] 2

一、基本概念的争论与定位 （一）国外立法例的分歧 从世界各国立法来看，个人信息的概念称谓并不统一。个人信息的概念滥觞于1968年联合国“国际人权会议”中提出的“资料保护”（data protection），这一年被称为“资料革命”年。最早的国内个人信息保护立法是德国黑森州《个人资料保护法》（1970年），而最早的国家级个人信息保护立法则是瑞典的《资料法》（1973年）。然而，这些最早的会议和立法文件对“个人资料”的界定，并未得到普遍的承认和遵从。各国学界和立法对个人信息的认识也并不一致，最直接的表现是个人信息在各国立法上被分别冠以不同的称谓。采用“个人隐私”称谓的立法例主要有：1974年美国《隐私权法》、1981年以色列《隐私保护法》、1987年加拿大《隐私权法》、1988年澳大利亚《隐私权法》、1992年比利时《个人信息处理时保护隐私法》等；采用“个人信息”称谓的立法例主要有：1978年奥地利《信息保护法》、1984年英国《自动化处理个人信息的利用与将其提供于公务规范法》等；采用“个人资料”称谓的立法例主要有：1978年法国《资料保护法》、1981年冰岛《有关个人资料处理法》、挪威1978年《资料登录法》、1987年芬兰《资料保护法》、1988年日本《有关行政机关电子计算机自动化处理个人资料保护法》等。中国政府已经将个人信息保护问题列入立法计划。对个人信息进行科学定性不仅仅是法学研究所应解决的一个理论问题，也是立法的迫切需要。从法学的视野出发对个人信息进行科学定性是个人信息保护立法的基础。 （二）我国立法关于概念称谓的争论与选择 关于个人信息，我国学界也有不同的称谓。有学者称为“个人信息”[5]（information relating to individuals），也有学者称为“个人隐私”[6]，也有学者称为个人资料或个人数据（personal data）。“资料”、“信息”和“隐私”的区别不仅是在称谓上，而且分别有其独立的外延和内涵。首先，将个人信息的概念界定为“个人隐私”或直接使用“个人信息”，这两种称谓最大的区别在于范围上的差异。从形式逻辑出发，“个人信息”和“个人隐私”是包含关系，即个人信息包含个人隐私，个人隐私是个人信息的下位概念，是个人信息的一部分。选择“个人隐私”的立法例和观点主张法律保护个人信息是因为其涉及到个人的隐私，换句话说，法律仅保护涉及个人隐私的个人信息，而不保护不涉及个人隐私的个人信息。“个人信息”和“个人隐私”是相互区别的概念，很多个人信息并不涉及个人隐私，比如公开个人信息和琐细个人信息。法律对个人信息的保护，是对满足一定条件的全部个人信息进行全面保护，并不仅限于保护隐私利益。个人信息保护法就客体的法律要件为“识别性”，而不是隐私。因此，采用“个人隐私”这一概念失之过窄，显不足取。 在我国，对应该选择“个人资料”还是“个人信息”存有争论。从信息科学的角度看，“资料”和“数据”的英文均为“Data”，是指用有意义的、可以识别的符号对客观事物加以表示得到的符号序列，是代表人、事、时、地的一种符号序列（不以文字为限）。信息的英文是“Information”，是指资料经过处理后可以提供为人所用的内容，它的功能是使事物的不确定性减少。我国台湾将信息称为资讯。在资料与信息的区分上，一般来讲，资料侧重于客观的形式，不以资料反映的内容与人的互动关系为着眼点；信息的着眼点恰恰在于此，即其作用于人的大脑形成的认识。“无数客观事务的信息，正是通过人的眼、耳、鼻、舌、身这五个官能，‘传递’给人们，经过人们的大脑进行‘去粗取精、去伪存真’的加工，人 3

们方才认识了世界，又转过来改造世界”[7]（PP23～24）。从资料与信息的内在关系看，资料是信息的载体，信息是资料表现的内容[8]（PP13～14）。比如，“崔永元男中央电视台节目主持人”，这是一个资料或称为数据。而这个资料反映到人脑，人脑得到的内容是信息，可以表述为“崔永元是中央电视台的男性节目主持人”。不同的数据也可以表示相同的信息。如果将以上资料中的“男”替换为“M”，并给出“M”的相关资料，这时资料就变成了“崔永元M中央电视台节目主持人M=男”，但表述的信息与第一个资料是完全相同的。从这个角度理解，可以说信息是资料的内容，资料是信息的物化形式。 从个人信息和个人资料的关系上看，个人信息是个人资料所反映的内容，个人资料是个人信息的表现形式。从确定性上讲，个人资料这一概念的确定性比个人信息要好。个人信息往往因收集者的主观目的不同而有差别。在上例中，对于一个想解决“M”这个资料的信息内涵的人来说，信息只有一条：“M是代表男性的符号”。个人资料的最基本单位是资料元素，它由文字、数字和符号构成。由资料元素组成资料单位，如生日中的年、月、日构成一个资料单位。几个资料单位组成资料组，由资料组组成资料档案[9]（P27）。在个人信息保护立法的最初，使用最多的是资料、资料处理等技术性概念，而随着个人信息保护法的发展，立法越来越多地使用了个人信息这一概念用来表明对个人权利的关注[10]（PP315～318）。从这个角度看，个人信息比起个人资料来是一个更具有人文关怀的概念。而且我们也必须看到，个人信息的表现和存在方式是多种多样的，并不一定表现为个人资料，没有物化成个人资料的信息大量存在，比如一个人自然表现出的个人属性信息。因此，个人信息的范畴大于个人资料。从这个意义上出发，笔者曾经主张我国在立法上应选择个人资料这一概念[11]。然而，暂时脱离这些标准的羁绊，我们发现立法保护的目的在于个人信息，而不停留于个人资料本身。换句话说，保护个人资料的目的在于保护个人信息。在这个意义上，使用“个人信息”更能体现立法目的。而立法目的直接确定了一部法律的内容和作用，对于法律而言是至关重要的。那么，我们究竟应如何取舍？或者说，二者是不是有一个自然科学领域中绝对的对错问题呢？目前，笔者较为倾向于一种折衷的立场，在个人信息保护法领域，“个人资料”和“个人信息”应该是可以通用的概念。事实上，很多国家和国际组织在其法律文件中也是将个人资料与个人信息通用的。联合国《关于自动资料档案中个人资料的指南》（以下简称“联合国指南”）中将个人资料和个人信息等同使用。该国际文件以“个人资料”作为标题的核心概念，但在其A部分确立各国立法所应确保实行的最低基本原则时，第1条规定“合法合理原则”中使用了“个人信息（用词是information）”。该条规定：“不得用非法或者不合理的方法收集、处理个人信息，也不得以与联合国宪章的目的和原则相违背的目的利用个人信息。”英国1998年《资料保护法》，法律名称为“资料保护”（data protection），而绪言的解释为对个人信息（information relating to individuals）进行保护。 美国法直接将个人资料和个人信息相等同。美国商务部和国际贸易管理委员会2000年7月24日公布的《美国—欧盟的隐私安全港原则与常涉问题（FAQ）》中规定：“个人数据和个人信息是指在指令的覆盖范围内，关于某一确定的人的数据或用于确定某人的数据。”因此，笔者认为，个人资料和个人信息在保护法领域是可以通用的。综观个人信息保护法的发展历史，可以得出如下结论：个人信息作为一个全新的概念，实定法在采纳它的时候，并没有时间能够等待它成熟，因此无论是概念称谓的选择还是概念内涵的确定，各国立法都存