他山之石:德国个人信息保护立法的考察与借鉴

德国个人信息保护立法堪称世界范围内个人信息立法的典范,在1977年颁布实施《联邦数据保护法》之后,又经过1990年与2003年的两次修订,日臻完善。我国当前个人信息保护立法存在诸多问题,需要从加强行政机关的个人信息保护职责、制定分阶段、分行业的个人信息保护执法计划以及平衡公私之间关于个人信息权利的利益等方面加以完善。

作者简介： 何培育(1983—),男,副教授,研究方向:信息法学、知识产权法学。;

Stone from Other Hills: Review and Reference on Germany Personal Information Protection Legislation

HE Pei-yu

Intellectual Property Institute,Chongqing University of Technology

Abstract：

The personal information protection legislation of Germany is a worldwide model of personal information legislation. After the promulgation of the “Federal Data Protection Act”in 1977,the legislation has been amended twice in 1990 and 2003,and gradually became more perfect. There are many problems about personal information protection legislation of our country currently. To resolve the problems,it's needed to strengthen the responsibilities of the government to protect personal information,to draft the personal information protection plan of different industries,and to the balance the interest about personal information right between the public and private,etc.

Keyword：

personal Information; tort liability; privacy;

世界范围内个人信息保护立法的浪潮兴起于20世纪70年代,一直延续至今,并有愈演愈烈之势。世界上首个制定个人信息保护法的德国,个人信息保护立法体系特色鲜明并取得了良好的社会效果,值得我国学界深入分析,进而为我国相关立法完善提供有益借鉴。

一、德国个人信息保护立法考察

( 一) 1977 年《联邦数据保护法》

1977年《联邦数据保护法》第一次系统地阐释了个人信息的法律保护,并将个人信息的属性明确定位为民事权利^[1]。1977年《联邦数据保护法》的立法目的主要是为了控制国家对公民个人信息的不当处理,但是否应当对非国家机关对个人信息的处理行为进行规范曾经引发了学界重大的争议。

有学者认为,只有国家机关行政行为才可能对公民的个人信息造成实质伤害,而非国家机关的行为只能归于经济生活的一部分,对公民不会造成实质性的影响,因此非国家机关对公民信息的处理应当被排除在法律调整的范围外^[2]。但就两种主体的信息处理行为如何规范的问题,学界又产生了不同的观点。一种观点认为,虽然在当时的历史条件下,公众了解个人信息被侵犯的事件主要是由国家行政机关造成的,但是事实上由于市场经营者掌握的消费者个人信息甚至比政府部门掌握的信息更加全面,而其侵犯个人信息的行为更加隐蔽,往往难以被消费者发现,如果放任市场经营者侵犯个人信息的行为,那么将会给个人信息保护带来极为严重的后果^[3]。另一种观点则支持将市场经营者对个人信息处理行为纳入法律调整范围,并希望能够在更加广泛的范围内适用。另外还有一种观点认为,虽然国家行政机关与市场经营者的行为应当受到立法调整,但同时应当看到两者的实质性区别,不能将两者整齐划一,而是应当结合具体的情形而有区别地加以探讨,甚至可以考虑对两者分别立法^[4]。

1977年《联邦数据保护法》最终对国家机关与市场经营者对公民个人信息的获取与利用分别予以了规定。同时,1977年《联邦数据保护法》还规定了一些例外条款。总体来说,德国1977年《联邦数据保护法》对个人信息的收集采用一种相对较为严苛的态度,对个人信息起到了有力的保护作用。

( 二) 1990 年《联邦数据保护法》

1977年《联邦数据保护法》生效后,学界对该法的争议并未停止,特别是德国1983年发生的“人口普查法案”宪法诉讼,又将该部法律推上了风口浪尖。1983年,德国议会通过的《人口普查法》规定人口普查的登记事项包括自然人的民族、职业、住址以及就业情况等内容。尽管行政机关面向社会全面收集公民信息的动机具有很强的正当性,但是当时的社会背景下,公民的基本权利意识高涨,再加上呼吁加强个人信息安全保护的呼声日益强烈,《人口普查法》在这个特殊的历史时刻受到广泛质疑,甚至最终演变为要通过德国联邦宪法法院来审判该法是否违反了德国宪法。德国联邦宪法法院在对该案的审判中,历史性地明确了公民的“信息自决权”,从而将该案演变为德国个人信息保护发展史上具有里程碑意义的事件。更重要的意义在于,该案将信息自决权从一项普通的民事权利上升为宪法意义上的基本人权,从而确立了个人资料保护崇高的法律地位。

随后,德国个人资料保护法被再一次修订并于1990年12月完成修正并公布,但对个人信息保护的色彩更加浓厚。在该次立法修订的过程中,将经济生活中的个人信息收集、利用的问题单独规定的观点被学者重点关注,在市场经营中的信息收集者和信息主体双方互负权利义务,信息主体的信息自决权不容忽视,但是信息收集者同样享有意思自治、经营自由等私权,两种性质的信息收集与利用行为的性质显然有别,因而应当分别立法^[4]。该观点获得了一些学者的支持,并在立法修订过程中得到了一定的采纳。虽然最终未能够将国家机关与市场主体的个人信息收集与利用问题分别立法,但在《联邦数据保护法》中却得到分别规定,体现了立法的进一步细化和完善。¹

1990年德国《联邦数据保护法》第3条第1项对个人资料的概念加以了界定。² 由此条可以看出,德国《联邦数据保护法》保护的对象仅针对自然人的个人信息,而把法人的信息资料排除在外。依据德国立法精神,只有自然人信息才纳入《联邦数据保护法》保护的范围,企业信息资料保护应当被纳入商业秘密保护法或者不正当竞争法调整的范围。就“识别自然人的任何资料”而言,既包括公民自然信息例如姓名、性别、年龄、血型、肖像等,还包括其他社会信息,例如职业、收入、存款、消费记录等等。上述信息共同构成了个人信息的范畴。1990年德国《联邦数据保护法》将个人资料的使用分为3个阶段: 信息收集、信息处理与信息利用。“信息收集”是指取得自然人的个人信息。“信息处理”是指个人资料的归纳整理、输入系统、拷贝、传输、备份等等。“信息利用”是指通过对个人信息的分析、对比为决策提供依据。在权利内容方面,《联邦数据保护法》规定信息主体对个人信息享有一系列的权利,主要包括个人资料告知权、个人资料修正权、个人资料删除权等内容。其他主体侵犯了公民的个人资料权,应承担相应的法律责任。在归责原则方面,《联邦数据保护法》规定行政机关侵犯了个人资料权适用无过错责任原则,在赔偿金额上设定了最高限额; 其他民事主体侵犯了公民个人资料权的情形下,适用过错责任原则,在赔偿标准方面则根据受害人实际损失确定赔偿金额。

( 三) 2003 年《联邦数据保护法》

欧盟委员会较早于1990年颁布了《资料保护指令草案》,经过数轮讨论与修改,1995年10月24日,欧洲议会和欧洲委员会通过了95 /46 /EC《关于个人数据处理中的个人保护和此类数据的自由流动的指令》。按照该指令,欧盟成员国应当在3年以内将指令中的相关要求转化为国内法。与该指令相比,德国1990年版的《联邦数据保护法》显得在私人领域信息收集、利用行为规制力度不够,且保护标准仍有待继续提高,因此欧盟责令德国尽快修改国内法以满足欧盟《资料保护指令》的相关要求。按照欧盟的要求,德国立法机关着手对1990年《联邦数据保护法》进行修订。

《联邦数据保护法》分为6篇,第一篇为普遍的和共同的规定,主要规定了该法的目的和适用范围,公共机关与私人机构的界定,数据收集、处理和使用许可的规则,个人数据向国外以及跨国或者国际机构的传输规则,数据保护官及其职责,损害赔偿等内容。第二篇为公共机关的数据处理,主要规定了公共机关的数据收集规则,数据储存、修改和适用规则,向公共机关传输数据的条件,向私人机构传输数据的条件,联邦政府实施的数据保护,数据主体的权利,联邦数据保护专员制度等内容。第三篇为私人机构和参与竞争的公法企业的数据处理,规定了数据处理的法律基础、数据主体的权利、监管机构等内容。第四篇为特殊规定,主要包括对处于专业保密下或者官方特别保密下的个人数据的使用限制,研究机构对个人数据的处理和适用,媒体对个人数据的收集、处理和使用等内容。第五篇为最后条款,规定了违反《联邦数据保护法》的行政责任与刑事责任。第六篇为过渡性条款。2003年《联邦数据保护法》第7节、第8节就损害赔偿问题做出了明确的规定。按照2003年《联邦数据保护法》,如果数据控制人通过不为该法或者其他数据保护规定所允许的或者不正确的数据自动收集、处理和使用而侵害了数据主体的利益,该数据主体控制人的责任机构无论其是否存在过错,均有义务赔偿数据主体的损失。一旦数据控制人严重损害数据主体人格权,对数据主体的精神损害也应当给与适当的金钱赔偿。在自动化处理数据的情况下,如果数个机构同时储存被违法使用的个人数据,而受害人无法确定实际储存人的,那么涉及被侵权个人信息处理的相关机构都应当承担法律责任。这样的规定加强了数据储存机构对个人信息的安全保障义务。

二、我国个人信息保护的现状与问题

目前,我国关于个人信息保护的法律渊源除了《宪法》之外,民法领域主要包括《民法通则》与《侵权责任法》。《侵权责任法》首次将隐私权作为一项独立的民事权利予以保护,并规定了侵犯隐私权的民事责任。行政法领域《居民身份证法》规定了居民个人身份证信息的保护,《治安管理处罚法》规定了公安机关在办理治安案件时对涉及个人隐私的保密义务,《政府信息公开条例》当中的一些条款对与政府信息公开相关领域的个人信息保护的范围、例外和救济等方面予以了规定。³ 我国当前个人信息保护制度主要存在以下问题:

首先,个人信息权利内容不清晰。当前立法对个人信息权的概念缺乏明确的界定,权利内容边界模糊,权利受到侵犯之后的法律救济条款也付之阙如,极不利于公民个人信息权的法律保护。

其次,个人信息保护保障机制不完整。当前我国尚未设立专门的个人隐私保护机构,受理和调查个人信息侵权纠纷,对信息收集部门的行为及个人信息保护状况进行监督。个人信息权利受到侵犯时只能诉求法院予以解决,这样的处理方式无疑提高了权利人的维权成本以及维权难度。

第三,个人信息保护制度中对政府控制的档案记录与个人信息保护之间存在冲突时的保护标准尚未明晰。这样的制度形态易造成政府、行政机关基于自身公权力的背景而对其收集的普通民众个人信息的滥用,而普通民众却无法充分享受其知情权以保护其个人信息,难以对公民个人信息进行全面保护。

三、德国个人信息保护立法对我国的启示

为了有效遏制个人信息泄露、侵权的势头,笔者建议我国个人信息保护的立法完善应当借鉴德国等国家的立法经验,从以下方面入手。

( 一) 加强行政机关的个人信息保护职责

由于政府掌握了大量的公民个人信息,防范政府部门滥用或者侵犯公民个人信息具有至关重要的意义。德国的个人隐私保护体系对于保护公民个人信息不受政府机关侵犯起到了至关重要的作用。

笔者认为,我国应当参考国外的机构设置模式,从国务院到地方政府设立专门的个人隐私保护机构,受理和调查个人信息侵权纠纷,对政府部门个人信息保护状况进行检察监督,定期向国务院提交个人信息保护的研究报告。

另外,我国也应当明确个人信息遭受行政机关侵害时公民的行政救济手段。具体而言,应当包括3个方面: 第一,行政复议。当信息主体认为行政机关的具体行政行为涉嫌侵犯其个人信息权时,有权提起行政复议。从保护信息主体权益角度出发,不宜规定复议前置的强制性要求,赋予信息主体充分的选择权。第二,行政诉讼。信息主体对行政复议结果不服的,有权提起行政诉讼。目前的行政诉讼法中尚未明确因个人信息权遭受侵害的事由,笔者建议将其明确纳入行政诉讼的受案范围,赋予信息主体行政诉权。第三,行政赔偿。一旦通过复议或者诉讼程序确认行政机关构成个人信息侵权,信息主体有权获得相应经济赔偿并确认在先违法行政行为无效等权利救济,确保公民个人信息权得到全面保护。

( 二) 制定分阶段、分行业的个人信息保护执法计划

德国的个人信息保护立法体系并不是一蹴而就的,而是在1977年颁布《联邦数据保护法》后,分别于1990年以及2003年不断做出修订,逐渐进行完善的。因此笔者认为,借鉴德国在推行个人信息保护立法的实施经验,我国应区别行业间的发展特点,分阶段、分行业推行个人信息保护执法计划。一方面,针对个人信息有重大商业价值以及当前基于个人信息纠纷频发的行业,如银行、互联网、通讯等行业,制定行业的建议性指引以及相应行业组织内的监管机制,引导重点行业在全行业之前完善个人信息保护。2014年3月15日发布的《互联网企业个人信息保护测评标准》是基于个人信息保护测评的行业标准,有助于提升互联网行业对个人信息的保护能力^[5],笔者建议借鉴此规范在其他行业制定相应的个人信息保护标准规范。另一方面,在相应的法律法规得以完善的同时加强行业自律。通过强化行业自律自治弥补法律法规滞后的缺陷,发挥行业自律的灵活性和专业性^[6]。引导重点行业在个人信息保护领域制定并实行自律规范,将个人信息保护的主体转移至企业自身,从根本上提高个人信息保护力度。

( 三) 平衡公私之间关于个人信息权利的利益

当今社会是信息化社会,更是大数据的时代,特别是网络、计算机技术的快速发展使得个人信息的扩散不再如从前那样易于控制^[7]。大量的个人信息不仅掌握在以个人信息作为商业需求的企业手中,而且也集中掌握在政府部门手中,随时都有发生个人信息失控的可能。虽然政府收集个人信息多基于公共利益的目的考虑,但政府在利用个人信息时常常存在个人信息保护与公共利益之间发生冲突的情况。个人信息保护制度不仅需要保护个人利益,更需要对其所涉及和调整的各种利益关系进行平衡。依照德国的《打击恐怖主义法》与《电信监视法》,如果行政机关认为出于国家安全的需要,那么就可以扩大个人信息收集的范围和权限^[4]。这一规定也可看出该法认为当公共利益与个人隐私权发生冲突时,应首先考虑公共利益。由此,我国在建立个人信息保护制度时也应充分考虑公共利益与个人利益的平衡,构建利益平衡机制,确立公共利益高于个人利益的基本原则,在保护公共利益的前提下对个人信息给予最大限度的保护,以避免因一味地考虑个人信息保护而造成个人利益与公共利益的失衡。