试论中国个人信息的法律保护

试论中国个人信息的法律保护

摘要：为了使公民个人信息的保护有法可依，运用实证分析法对个人信息的内涵和立法价值进行深入分析，认为个人信息保护和隐私保护不可等同，法律应该保护以各种形态存在的个人信息；个人信息保护的价值体现在保障基本人权实现、促进电子商务和电子政务健康发展、推动国际贸易发展等方面；中国应该采取以制定统一的个人信息保护法为主导，同时发挥企业自律的个人信息保护模式，法律保护应体现八项原则。

关键词：个人信息；立法价值；法律保护

近年来，随着信息技术的不断发展，在政府行政管理机构以及金融、电信、交通、医疗等社会公共服务领域，收集和存储了大量的公民个人信息。这一方面使人们信息控制和处理能力得到大幅度的提升，为提高行政管理及各项公共服务的质量和效率提供了便利；另一方面也增加了个人信息的保护成本与难度。个人信息作为一种重要的社会资源被恶意利用的事件屡屡发生，给信息主体造成财产权或人格权损失。这些现象对我国现有的权利保护体系、尤其是个人信息的保护提出了新的挑战。因此，当务之急在于制定和完善我国的个人信息保护法律，使得个人信息的保护有法可依，有章可循，使之在合法合理制度框架下有秩序地流动。

一、个人信息与相关概念的区别和联系

个人信息是指那些能够直接或间接识别出特定自然人身份的信息。我国学者基本上采用列举的方式表达个人信息所包括的内容，虽然列举的事项和语言表述有所区别，可是个人信息包括以下内容基本已达成共识：个人信息包括姓名、性别、出生年月１３、民族、身份证号码、血型、指纹、户籍、婚姻状况、家庭状况、教育背景、工作履历、健康信息、财务状况等任何单独或与其他信息比对可以识别特定个人的信息。个人信息主要具有以下基本特征：（１）广泛性。个人信息的内涵十分丰富，凡是与个人相关、能构成对个人进行识别的信息都属于个人信息的范畴，包括个人的自然情况、社会背景、思想观念、生活经历与习惯等诸多方面的内容。（２）可识别性。通过个人信息能够把当事人直接或间接地辨认出来，把当事人从其他人中间区别出来。这一特征就将那些虽与个人有关，但不具有识别性的信息排除在个人信息范畴之外，如将消费者姓名删除后的购物记录，虽然该记录与该消费者相关，但我们并不能凭借该记录识别出该消费者。（３）时效性。大部分个人信息自产生之日起就一直处于不断变化、更新之中，比如年龄、受教育情况、财务状况、职业经历、住址等。明确这一点对个人信息的保护十分重要，过时的个人信息不仅不能反映出信息主体的现在特征，反而会起误导作用。（４）可共享性。同一内容的个人信息可以在同一时间被两个或两个以上的信息用户获得、拥有和使用。信息提供者并不会因为将信息传递给他人而失去信息。个人信息的这一特征一方面拓展了个人信息的价值发挥空间，另一方面也增加了个人信息的保护成本与难度。

对于个人信息保护问题，无论在国外还是国内，无论是立法上还是学术讨论中，个人信息和隐私、个人数据总是同时提出，混合使用。为了更好地理解个人信息，有必要弄清楚个人信息与个人数据、个人信息与个人隐私的区别和联系，这直接影响到我国未来相关法律的命名和保护范围。

从欧洲理事会、欧盟、欧盟成员国等以个人数据命名的国家法律内容来看，个人数据和个人信息是最为接近的两个概念，二者的覆盖面基本相同。《欧盟个人数据保护指令》对个人数据所下的定义为：个人数据是指有关已被识别的或者可被识别的自然人（数据主体）的任何信息；可被识别的自然人是指一个可以被证明的，即可以直接或间接地通过对身体的、生理的、经济的、文化的或生活的等身份的一项或多项内容所进行的识别。可以看出，欧盟给个人数据所下的定义和我们所提的个人信息的概念是相同的，那么是否可以因此认为个人数据和个人信息是同一概念，没有本质区别呢？笔者对此观点持否定的态度。我们常将英文中的ｉｎｆｏｒｍａｔｉｏｎ译为信息，是指经过加工后的数据；将ｄａｔａ译为数据或资料，根据Ｂｌａｃｋ　Ｌａｗ　Ｄｉｃｔｉｏｎａｒｙ　Ｆｉｆｔｈ　Ｅｄｉｔｉｏｎ中的解释，资料是为特定目的而收集的信息。

我国有学者认为，个人资料以个人信息为内容，个人资料是个人信息的物化形式，并不是所有的个人信息都表现为个人资料。这种看法既和数据与信息的真实含义相吻合，同时也符合信息论中的基本原理。笔者认为此观点是正确的，立法和学术讨论中的混用不能作为证明个人数据和个人信息内涵一致、没有本质区别的科学证据。个人信息的存在和表现形式多种多样，并非都表现为个人数据，但是没有收集、转化为个人数据的个人信息对信息主体同样具有价值，因此，立法保护的应该是能够识别个人的所有个人信息，不管该信息以何种形式存在。

现代社会隐私的概念已经有了较严格的界定。隐私在法律上是与公共利益无关的个人私生活秘密方面的事宜。美国学者理查德Ｔ德乔治（Ｒｉｃｈａｒｄ．Ｔ．Ｄｅ．Ｇｅｏｒｇｅ）认为隐私应该分为六种类型：空间隐私、身体／精神隐私、个人信息隐私、通信隐私、个人隐私和计算机隐私。我国理论界认为，传统意义上的隐私包括私人信息、私人活动以及私人领域等三个方面，并且隐私的概念并不是一成不变的，传统的隐私概念随着时代的发展而不断拓展，如网络环境下电子信箱、ＱＱ号、网络用户名、聊天记录等都属于隐私的新增内容。不可否认，个人信息和隐私之间确实存在着交叉，比如电话号码、宗教信仰、健康状况等个人信息同时也属于个人隐私问题。但不能因此就将个人信息完全等同于个人隐私，美国学者朱莉．Ｃ．英尼斯（Ｊｕｌｉｅ　Ｃ．Ｉｎｎｅｓｓ）认为，并非所有的而只有那些具有亲密性的个人信息才属于个人隐私的范畴。笔者也认为个人信息和个人隐私是两个不同的概念。首先，二者的内容不完全相同，有些个人信息不属于隐私，比如职业、社会保障号码等公开的个人信息，有些隐私也不属于个人信息，比如私人活动和私人领域；其次，二者的侧重点不同。隐私侧重于强调私密性，是主体不愿告人或不愿公开的事情，带有一些主观性色彩。个人信息则侧重于识别，即通过个人信息将个人认出来，具有客观性；最后，隐私和个人信息的法律保护也有不同。隐私保护主要追求的是对人格尊严的保护，个人信息的保护既追求对信息主体的人格尊严保护，同时也要保障现代社会信息的自由流通；隐私权保护强调的是在损害结果发生后对当事人的权利救济，属于事后的保护，个人信息保护则强调如何对个人信息的收集、处理、利用、传递等行为进行管理，以及如何对个人信息的主体与作为信息处理者的公共机构和非公共部门之间的关系进行调整，是事前对个人信息设置一定的保障措施。

二、个人信息保护的立法价值