我国个人信息法律保护的制度构建

 我国目前尚未制定公民个人信息保护的专门法律，虽然有近四十部法律、三十余部法规以及近二百部规章涉及个人信息保护，然而这些规定较为分散、权责不明晰或者存在部门规章效力层级偏低等问题。2013年2月1日，我国首个“个人信息保护”的国家标准即《信息安全技术公共及商用服务信息系统个人信息保护指南》（下称《指南》）正式实施。尽管这意味着我国个人信息保护工作进入了“有标可依”阶段，但其毕竟只是一个标准，尚缺乏法律约束力，不足以震慑违法犯罪行为。从表面上看，信息法保护的是个人信息；但实质上，它不仅保护个人的隐私、自由和自治，事关个人人格的健全发展，它还具有重大的社会价值，关系到个人信息的公平、合理、高效流转。资料保护的个人和社会双重价值及资料保护问题的个人和社会双重属性，使得资料保护法跨越了公法与私法的界限，涉足宪法、刑法、行政法和民法等部门法。任何一部传统的部门法单凭一己之力均无法完成个人信息法治化流转的使命。这就要求制定一部专门的资料保护法，使它成为规制个人资料收集、使用、加工和散播等整个信息流转过程的基础性法律。因此，我国亟需出台的不是针对某个领域、行业或某类资料处理的条例、管理办法、指导意见、行为守则，也不只是对刑法、行政法和民法中涉及资料保护的部分进行简单的修补，而是宪法指导下的一部个人资料保护 法。[16]在这部个人信息保护法中，我们应确立科学而严谨的原则体系，明确界定个人信息法律关系的客体制度，构建健全的个人信息权利救济制度，从而充分保障信息主体的个人信息权。
（一） 确立个人信息保护法的基本原则
个人信息保护法基本原则体现了信息法的基本价值，集中反映了信息法立法的宗旨和目的，对各项信息法律制度和信息法规范起统帅和指导作用，也是指导我们立法和司法实践活动的基本准则。学界对于个人信息保护法的基本原则进行了较为充分的研究，大致形成了共识。[17?20]一般认为，个人信息法的基本原则主要包括以下几个方面，即目的明确原则、最少够用原则、公开告知原则、个人同意原则、质量保证原则、安全保障原则、诚信履行原则以及责任明确原则等。
（二） 明晰个人信息法律关系的客体制度
个人信息法律关系的客体，也称个人信息权的客体，是指个人信息法律关系中信息主体之间享有的民事权利和承担的民事义务所共同指向的对象。具体地说，个人信息法律关系的客体指的就是信息主体的个人信息。当前，在个人信息的定义上，有概括型、概括列举型和识别型三种模式。概括型定义就是单独使用概括的方法描述个人信息的定义方式，列举型是单独使用列举的方法界定个人信息的定义模式。单独使用列举型定义的立法十分少见，而大部分采取混合型定义模式或者概括型定义模式。识别型模式就是以识别为核心要素对个人信息进行界定的定义方式。相比较而言，识别型定义是目前国际和国内立法采用较多的个人信息定义方式。[21]（109）尽管《指南》对“个人信息”进行了定义，但其仅仅局限于“计算机数据”，并不具有高度涵盖性，从而缺乏普适性。笔者认为，我们可以在参考《侵权责任法》第2条第2款立法模式的基础上采取识别型定义法，即我国《个人信息保护法》中所讲的“个人信息”是指“自然人姓名、出生日期、身份证号码、健康状况、基因、指纹、婚姻家庭、教育、职业、医疗、联络方式、财务情况、社会活动以及护照号码等能以直接或间接方式识别该个人的信息。” 需要指出的是，《指南》将个人信息进一步区分为个人敏感信息（personal sensitive information）和个人一般信息（personal general information）。
一般来说，国际上对个人敏感信息大致有三种立法体制。一是列举法。欧盟《数据保护指令》第8条第1款对个人敏感数据采取了列举式立法体制。例如该条规定，敏感数据（sensitive data）是指“表明种族或民族、政治观点、宗教或哲学信仰、工会会员以及有关健康或性生活资料处理的个人数据”。列举法的优点是简单明了，但其无法穷尽个人敏感信息的所有客体。二是目的法。目的法关注的是处理个人信息的目的，它是2005年欧洲理事会在其一份“信息自决权”报告中提出的一个概念。采用目的法能有效降低成本效 益——减少数据保护机构的行政负担。其缺点也是明显的，即由哪一个机构来认定信息的敏感性；无论是基于主观标准抑或是客观标准，随意性都比较大。[22] 三是情境法。情境法是指根据数据的背景或者内容来判断个人信息是否具有敏感性。我国采取的就是这种模式，例如《指南》规定，“各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定”。从理论上讲，情境法是一种很灵活的方法，但采取这种立法模式将很大程度上导致对敏感信息的认定具有不确定性，因为“敏感性”的判断标准并不受法律条款本身的限制。[23]进言之，敏感信息可能涵盖任何信息或数据，从而使得敏感信息的外延被无限扩大了。
正是基于前述的原因和理由，敏感数据（信息）和非敏感数据的区分法一直以来就受到学界的广泛批评。同时，随着互联网的迅猛发展，个人敏感信息与个人一般信息之间的区别变得越来越模糊。从欧盟数据指令和德国、瑞典及英国等国家数据保护法的适用来分析，在网络环境下，将个人敏感信息与个人一般信息区分开来是一个很大的挑战，效果也不甚理 想。[22]笔者认为，我国未来的“个人信息保护法”是否有必要进一步区分个人敏感信息与个人一般信息，值得进一步研究。
（三） 构建健全的个人信息权利救济制度
与个人信息安全相关的核心问题是商业活动和政府行为。我们需要重构个人信息权与企业及政府的关系，也就是说，当企业及政府机构收集、处理或利用我们的个人信息时，它们怎样对待我们，这是我们需要严肃思考的问题。目前，个人信息的采集者和使用者往往对我们不负责任。个人信息遭到收集和使用，然而我们根本就不知道也无力掌控这些信息的安全性。对于收集和利用我们个人信息资料的公司企业须在多大程度上对我们承担责任，令人吃惊的是，法律竟然没有明确规定。[6]毋庸置疑，“无救济则无权利”。如果要使信息主体的合法权益得到有效的法律保护，那么个人信息保护法中就应该明确规定对信息主体权利的相关救济制度。
首先，归责原则的确定。一方面，国家机关违反法律规定，导致个人信息遭到非法收集、处理、利用或者导致其他侵害行为发生的，应该承担无过错责任。很多国家或地区的法律都进行了类似的规定。例如，德国《联邦资料保护法》第7条规定：“当公务机关在本法或其他资料保护规定下，由于未经许可或不正确的个人资料自动化处理对资料本人造成损害的，公务机关有责任赔偿本人的损失，而不论其是否有过错。”另一方面，对于非国家机关违反法律规定，导致个人资料遭到非法搜集、处理、利用或者导致其他侵害行为发生，行为人不能证明自己没有过错的，应当承担侵权责任。申言之，非国家机关对其民事侵权行为导致损害后果发生的，应承担过错责任。以我国台湾“个人资料保护法”为例。该法第29条规定：“非公务机关违反本法规定，致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者，负损害赔偿责任。但能证明其无故意或过失者，不在此限。”
其次，损害赔偿额的计算方法。尽管我国《侵权责任法》第20条对侵害他人人身权益造成财产损失的损害赔偿制度进行了较为详尽的规定，但现实生活中，针对个人信息权的侵害，往往很难确定具体的损害赔偿数额。因此，个人信息保护法往往通过定额赔偿制度来计算损害，但计算机处理个人信息的规模宏大，由于限定了最高额赔偿，可能使得一些超过了最高赔偿额的损害无法得到赔偿。在此情况下，应允许当事人依据民法主张赔偿全部损害。[21]（184）
最后，精神损害赔偿的提出。实践中，个人信息经常被滥用，进而发生身份盗用、诈骗、跟踪、不正当营销活动以及对信息主体进行监视等。这些滥用行为将会导致一些实质性损害的发生，例如经济上的损失、情绪困扰，甚至身体暴力等。尤其是，身份盗用对于受害人而言简直就是一场梦靥。犯罪分子通过使用受害人的个人信息获得贷款，公开诈骗账户，侵占受害人账户中的财产。当身份盗用发生之后，受害者的个人档案因为错误信息而被玷污——债务未清偿、交通违法，逮捕以及其他令其名声扫地的数据。因为犯罪分子盗用受害人的个人信息，执法数据库有时将受害者的名字与盗用者的犯罪活动联系起来。[11]前述侵权行为不仅给权利人造成了财产损失，也会导致精神损害。对此，我国《侵权责任法》第22条明确规定，侵害他人人身权益，造成他人严重精神损害的，被侵权人可以请求精神损害赔偿。笔者认为，当义务主体违反法律规定，导致个人信息遭到非法采集、处理、利用或者导致其他侵害情形的发生，造成信息主体严重精神损害的，被侵权人可以依法请求精神损害赔偿。