个人信息保护法的形成

第三节　个人信息保护法的形成

关键之处就在于，法律依赖于技术。技术引领着人类社会的发展，技术能改善人类的生存状况，改变人类社会关系。但技术的负面影响也十分显著，比如用信息技术进行数据分析，就对个人权利造成了相当的威胁，影响了人类的生活。而有些本质的追求不变，比如保障人权。所以，当我们分析个人信息保护法的产生因素时，应当注意技术是基础，人类价值取舍是核心。大家都感到现代人的生活不如以前宁静了，这自然是技术进步带来的负面影响，但通过“治理”，除掉污染，水还是水，生活还是生活。

一、四大促进因素

个人信息保护法产生因素可分为四个:第一，技术因素；第二，组织决策因素；第三，技术发展带来的公共威胁因素；第四，法律因素。

（一）当技术遇到个人信息

社会组织体（包括国家机关和商业机构）数据分析的自动化是促进个人信息保护法形成的技术因素。

个人信息保护法的产生，始于20世纪50年代的计算机数据处理技术的发展。信息技术的发展和在数据处理领域的应用为大量收集、储存和处理个人信息带来了广阔的前景。最早的个人信息保护立法是处理个人信息的技术规范的直接反映，因此，曾有人据此认为个人信息保护法是对技术发展和应用的机械反映。虽然，上述观点是站不住脚的，但个人信息保护法根源于计算机对个人信息的处理却是不容争辩的事实。

社会组织体发现可以运用计算机完成那些通常难以进行的数据分析，并可以获得一个比较完美的分析结果，比如政府机构决定社会福利发放、金融机构进行个人信用评估等情况下，从海量的个人信息中抽出关于一个人的真实、完整和正确的信息，并进行处理和分析，取得一个可以应用的结果，单单依靠手工操作的难度将非常巨大，有时候甚至是不可完成的。而计算机是一个天生的数据分析能手。在个人信息处理上的应用，极大地改变了数据分析的面貌，人工、时间和结果的正确性等方面都得到了巨大的改观。何况，计算机软件技术还培育出专门用来进行信息处理的尖端软件，计算机软硬件的发展和在个人信息处理方面的应用，使个人信息的数据分析进入半自动甚至全自动化阶段。

（二）组织决策因素

个人信息保护法产生的最大社会因素是组织体的决策越来越依赖于数据分析。

自20世纪60年代开始，各国政府开始积极建立人口登记制度和实施人口普查计划。与此同时，政府和商业机构都注意到个人信息的深一层价值——能为政府决策和商业机构进行企业战略提供直接的参考，因此，数据分析开始在公私各种机构普遍进行。这导致了两个最直接的后果:第一，民众的个人信息被集中保存于数据库之中。第二，储存在数据库中的个人信息被政府和商业机构等组织体所掌握和利用。公众注意到，这个后果最终可能给自身带来灾难性的侵害，包括极大地侵害了隐私权和人身自由、人格发展等，并有可能对民主社会造成不应有的打击，逐步破坏民主多元社会的基础。

社会组织体之间的个人信息共享越来越普遍和广泛。无论是政府机关还是商业机构对依靠个人信息处理结果做出决策（这个过程就是数据分析）的兴趣越来越大。这导致海量的个人信息被这些组织体收集并储存于它们的数据库之中。这些储存于数据库中的个人信息经常被用于不同的目的。个人信息的二次利用是普遍存在的现象，是信息管理者付出经济代价储存个人信息的动力所在。

应该注意到，技术因素和组织因素是相互影响，互相促进的，技术发展激发了组织体对数据分析的需求，而这种需求正不停地被技术的发展所催进。

（三）技术发展带来的公共威胁因素

其实，人们已经普遍感受到数据分析对个人和社会的重要意义。在民族国家，公民福利的增加，税收的减免，就业机会的提供等政策的制定和实施，有赖于政府准确掌控个人信息并进行正确的数据分析。于是，社会福利计划和公民个人信息的处理被自然地联系起来，人们一边期待这种联手能促进自身的福利，一边又在担心过度或者错误的数据分析会给自己造成伤害。

社会组织体掌控的个人信息的品质往往良莠不齐，因此组织体依据这样的信息进行的数据分析结果而对个体采取措施，往往缺乏公平和对个体权利造成侵害。公众对组织体掌控自己个人信息的事实越来越不可接受，他们认为这样的社会现状将导致公民个人生活的过度透明化，因此主张削弱组织体收集和储存个人信息的能力，提高个体对其自身个人信息的控制能力。

数据分析的大规模应用给公民带来了潜在的、但真实的恐慌。因为在这个过程中，社会组织体收集和分享的个人信息的数量在飞快增长，而信息主体对这个过程几乎没有参与能力，而这个过程的结果却影响着他们的人生。所有这些担心是不限于一种笼统的忧虑，如果得不到解决，会很快会转变为对社会的怀疑和抵触，进而威胁到民主社会和多元价值观存在的基础。澳大利亚法律改革委员会（the Law Reform Commission Act 1973，简称ALRC）在建议颁布个人信息保护法的报告中说，在信息技术广泛应用在数据分析的今天，如果对隐私的保护得不到加强，社会将很难不顾科技的变化而保持它的自由和民主传统。

除此之外，过度的数据分析也威胁了经济的进一步发展。在网络经济背景下，各国政府无不企图借由电子商务促进本国经济的发展，然而消费者参与电子商务的信心直接决定着电子商务的发展成败，人们普遍担心在缺乏个人信息保护立法情况下进行电子交易的安全。另一方面，人们也担心将要制定的个人信息保护法是打着保护人格的招牌而从事地方经济保护主义的勾当。由于个人信息保护法有对流入外国的个人信息进行限制的规定，这被商业机构认为是阻碍跨国数据流动的，从而可能造成国际贸易的障碍，破坏国际贸易的发展。人们担心有的国家的个人信息保护法，表面上是为了保护隐私，实际目的是经济保护主义，因为个人信息的跨国流通本身会蕴含着经济上的巨大利益。

（四）法律因素

促进个人信息保护法形成的最后一个积极因素是法律。个人信息保护法的形成和流变，受益于各种保护人权的国际公约（条约）、国家法律（宪法、行政法和民法）以及部分国家通过判决创造的规则。

1.国际人权文件

国际人权立法为个人信息保护立法打下了理论基础。和个人信息保护有关的法律文件主要有1948年的《世界人权宣言》、1966年的《公民权利和政治权利公约》等国际人权保护文件和主要的地区性人权文件。以上经典文件中对人权的多种规定，尤其是权利自由、思想自由、免受歧视的规定，诱启了个人信息保护法的基本原则。这些国际人权文件关于个人人格受法律保护的规定，是贯穿于个人信息保护法基本原则的灵魂。

2.国内立法

国家宪法中关于人权和人格权保护的规定，也是促使个人信息保护法诞生的重要法律因素。个人信息保护法和宪法有着密切联系，有的国家的宪法明确规定或者通过判例确认了特殊的个人信息权利，有的国家宪法则要求进行个人信息保护立法，更多国家的宪法通常包含了许多有关可促进个人信息保护立法的其他规定，如人格尊严、人格独立、人格发展和隐私保护以及其他相关价值。

民法中关于人格权和隐私权的规定，为个人信息的法律保护提供了权利理论基础。根据民法的基本理论和规定，个人信息是人格利益的一种，其上的权利应为人格权。行政法和行政诉讼法的规定为个人信息保护法的出现提供了重要的支撑。行政法和行政诉讼法的部分法律传统为个人信息保护法所吸收，如公正决定事务的要求，做出决定应有充足的依据的规定，给接受决定的人申诉的权利的制度等，就对个人信息保护法上的信息品质原则和主体的参与制度产生了直接影响。

正是以上四种因素在数据分析领域中的相互作用和影响，催生了个人信息保护法。

二、复杂要求导致的立法迟缓

个人信息保护法是一个十分重要的法律，因此其起草过程充满了争议。在联邦德国、美国、英国和荷兰，个人信息保护法都不是经过短暂的甜蜜而完成的，而是历经了一个相比较为复杂的和持续时间很久的立法过程。情形最为严重的是芬兰，第一部资料保护法的起草工作居然进行了15年，常常因政治冲突而搁置。欧盟指令的起草和通过也是如此。但瑞典是个例外，它的资料保护法相对快速和顺利。^[19]

个人信息保护法的起草之所以有这么多的争议，第一个原因是个人信息保护法被认为和各国的传统法律有所不同，它囊括了国家机关和商业机构两个性质不同的团体（以下统称社会组织体），这被认为和国家的法律传统、法律体系以及立法技术不相容。个人信息保护法涉及的社会问题实在太广泛，而不同的集团在不同的社会关系中的立场是不同的，这就要求它必须协调同时并存的多种不同的立场。民众希望自己的人格（主要是隐私）利益得到保障；保守者认为应该加重对个人信息商业开发的负担，以使具有相对机密性的传统社会得以保持；政府和商业机构认为应该尽可能地为个人信息处理和利用提供便利，美国政府一向主张个人信息保护法的宗旨是防止滥用，而不在于“保护”^[20]。这些不同立场的冲突，引发了个人信息保护法起草过程中的争议。

三、个人信息保护法问世

个人信息保护法始于20世纪70年代美国公布的《公平信用报告法》和德国黑森邦1970年的资料保护法。然而，“自古以来，信息的内容、信息的处理与信息的传输，一直是国家治理者所关注的。要使一个国家安定、稳定，继而发展、繁荣，国家从立法的角度，就不能不对这三个方面进行某种程度的管理”。^[21]从20世纪60年代开始，各国政府和民间机构广泛运用计算机收集个人信息，于是一场保护个人权利的立法在全球范围内展开。目前，全球已有近三十个国家、地区和国际组织制定了个人信息保护方面的法律。世界上最早的国家个人信息立法为瑞典1973年颁布的《资料法》。瑞典设立专门的个人信息处理监督机关——数据监督局，未经数据监督局批准，任何人不得进行个人信息处理。经济合作开发组织1980年《隐私保护与个人数据信息国际流通的指针建议》提出了个人信息保护的八大原则，此八大原则奠定了国际组织乃至各国法律基本原则的框架。法国于1978年通过了《计算机与自由法》，明文规定对个人信息的处理，不得损及个人的人格、身份以及私生活方面的权利^[22]。制定个人信息保护法的国家还有:挪威1978年《个人资料登录法》、芬兰1978年《资料保护法》、奥地利1978年《个人资料保护法》、冰岛1981年《有关个人资料处理法》、荷兰1998年《资料保护法》、爱尔兰1988年的《资料保护法》、葡萄牙1991年《资料保护法》、比利时1992年《资料保护法》、加拿大2000年《个人信息保护和电子文件法案》。根据欧盟1995年颁布的《关于个人资料处理及自由流通个人保护指令》（以下简称《欧盟指令》），各成员国纷纷按照该指令对个人资料保护法进行了修订。我国台湾省和香港特区也颁布了相关立法。我国台湾省于1995年公布了“电脑处理个人资料保护法”（以下简称“台湾资料法”），香港于1996年颁布《个人资料（私隐）条例》。下面就典型立法例进行重点介绍。

四、欧洲个人信息保护法的流变

美国的隐私法制可谓影响巨大，在中国，关于介绍和研究美国隐私法或者受此影响研究隐私法的书籍不胜枚举，然而对欧洲的个人信息保护法方面的研究却凤毛麟角。但是，我们必须注意到，正是欧洲个人信息保护法的演变体现了个人信息保护法的发展方向。

欧洲个人信息保护法诞生于20世纪70年代，最早的个人信息保护成文法是德国黑森州1970年的资料保护法，最早的国家立法是1973年瑞典颁布的资料法。个人信息保护法从制定之初到现在，历经半个世纪，随着信息技术的发展和人们对自身价值的认识，个人信息保护的价值和理念以及相关的制度设计，都发生了相应的变化。

诞生时期的个人信息保护法以规范个人信息的处理为中心。第二次世界大战中希特勒利用IBM生产的电脑对犹太人进行种族灭绝的大屠杀行为，给整个欧洲敲响了个人信息保护的警钟。然而，欧洲个人信息保护法的出现却发生在政府和企业开始运用信息技术进行个人信息处理之后。所以，很多立法仅仅保护自动化处理的个人信息。此阶段的代表性立法为1970年德国黑森州资料法、1973年瑞典资料法、1977年德国联邦个人资料保护法。

这个时期，信息技术的广泛应用并没有立即给人们创制一个美丽新世界，而是让人们普遍感受到了电子监控的危机。这个历史时期，利用信息技术处理个人信息还仅限于政府部门以及大型企业。为了规范个人信息处理，排除民众的心理危机，第一代个人信息保护法在欧洲脱颖而出了。这个阶段的个人信息保护法的重点不是对个人权利的保护，而是对个人信息处理的规范，企图借由规范个人信息处理而解除危机。

成熟后的个人信息保护法以保护个人权利为中心。随着信息技术的发展与普及，利用信息技术处理个人信息已不仅仅局限于政府和大企业，中小企业也开始加入个人信息处理行列。人们越来越意识到个人信息保护，不仅仅是规范个人信息处理，防止个人信息滥用的发生，而是应该进行个人权利的保护。于是，通过修法和立法，欧洲各国逐步走向了以保护个人权利为中心的个人信息保护法时期，这是个人信息保护法发展成熟的标志。

【注释】

[1]［2007-05-11］.http://fr.wikipedia.org/wiki/Loi＿informatique＿et＿libert%C3%A9s.

[2]胡水君.全球化背景下的国家与公民［J］.法学研究，2003（3）.

[3]韩捷.浅析电子文件与电子档案［J］.黄河科技大学学报，2003（1）.

[4]Peter Dyson.英汉双解网络词典［M］.马树奇，译.北京:电子工业出版社，2000:498.

[5]Peter Dyson.英汉双解网络词典［M］.马树奇，译.北京:电子工业出版社，2000:534.

[6]Peter Dyson.英汉双解网络词典［M］.马树奇，译.北京:电子工业出版社，2000:564.

[7]李德成.网络隐私权保护制度初论［M］.北京:中国方正出版社，2001:35.

[8]李德成.网络隐私权保护制度初论［M］.北京:中国方正出版社，2001:36.

[9]刘静怡.从Cookies以及类似信息科技的使用浅论网际网络上的个人信息隐私保护问题［J］.资讯法务透析，1997（10）.

[10]See David Burnham，The Rise of The Computer State 189（1983）.

[11]张守文，周庆山.信息法学［M］.北京:法律出版社，1995:23.

[12]袁文宗.电子商务导论——网络基础篇［M］.北京:中国青年出版社，2000:7.

[13]齐爱民，徐亮.电子商务法原理与实务［M］.武汉:武汉大学出版社，2001:1.

[14]李英明.网路社会学［M］.台北:扬智文化事业股份有限公司，2000:69.

[15]李英明.网路社会学［M］.台北:扬智文化事业股份有限公司，2000:112-113.

[16]阿丽塔·L.艾伦，理查德·C.托克音顿.美国隐私法——学说、判例与立法［M］.北京:中国民主法制出版社，2004:207.

[17]这个“自己”是很有意义的，美国人重视隐私重视的是自己的隐私，不包括别国的人，别国的人是他们科研和营销的对象；还有，美国人打着知识产权国际警察的旗号，却对保护非物质文化遗产百般刁难，理由很简单，一个暴发户没有历史，哪有文化遗产。

[18]郑成思.个人信息保护立法——市场信息安全与信用制度的前提［J］.中国社会科学院研究生院学报，2003（2）:14-21.

[19]See，eg，Bennett，supra n 5，60-65，218.

[20]笔者接受国务院信息化办公室综合组的委派，参加中美个人信息保护立法讨论会（电视电话会议，2004年11月30日北京—华盛顿），以Our Focuses about Personal Information Protection为题做专题报告。其间，美国商务部代表屡次向笔者提问，是主张防止个人信息滥用还是保护，笔者当时明确回答是保护。防止滥用的出发点是促进个人信息的流通和使用，只是不要因滥用而侵害个人权利而已；保护的出发点在于把个人信息之上的权利作为基本人权看待，主张在个人信息开发利用过程中对个人权利的尊重。笔者在发言中明确指出个人信息之上的权利为基本人权，因此支持“保护”主张。

[21]郑成思.个人信息保护立法——市场信息安全与信用制度的前提［J］.中国社会科学院研究生院学报，2003（2）.

[22]周健.信息时代隐私权的法律保护［EB/OL］.http://www.guxiang.com/xueshu/others/falv/200204/200204180055.htm.