我国立法模式之选择

第六节　我国立法模式之选择

从全球范围看，绝大部分的大陆法系国家，包括少部分的英美法系国家^[23]都选择了统一立法模式。统一立法模式是在立法上将个人信息保护法作为基本法对待。其特点在于充分考虑到个人信息保护的统一性，照顾到行政机关和私人机关处理个人信息行为的内在联系，同时有助于在司法上采取同一标准。美国的分散式立法模式是在针对不同领域制定单行法，此种模式的最大优点在于立法目的明确，内容界定清晰。其弊端是无论是从立法角度还是从司法角度，都容易造成法治的不统一。笔者认为，鉴于我国的法律体制和一贯的法律传统，我国个人信息保护法应采选择统一立法模式。

同时，我国个人信息保护应在此基础上引入自律模式，相互融合取长补短。从我国的实际情况出发，将行业自律纳入统一立法模式，以优化统一立法模式，兼蓄两种模式的长处。

一、为什么选择统一立法模式

我国选择法律机制，采取统一立法模式，制定个人信息保护基本法保护个人信息的主要理由如下:

第一，从理论上讲，但是涉及一个复杂而广泛的领域的立法，往往有基本法的规定。社会信息化是人类社会发展的一个趋势，不可阻挡，信息化过程中和信息化实现后对个人信息的保护，不仅仅是一个部分法的问题，其涉及民法、行政法、劳动法、教育法、刑法等诸多领域，是这些领域共同要解决的问题，因此，制定基本法意义上的个人信息保护法实有必要。而从个人信息保护领域来看，教育、金融、房地产、服务，以及诸多行政领域都和个人信息的大规模处理有关，为避免上述领域制定单行法的冲突、重复与抵触，有必要制定基本法意义上的个人信息保护法。

第二，尽管个人信息保护同时发生在公的领域和私的领域，但二者在价值取向和直接目标上是一致的。两个领域的基本价值取向与直接目标基本一致，均为对个人权利保护的追求，而不是对行政效率的追求。并且，从立法后的实施情况分析，统一立法模式更适合于一个主管机关对个人信息保护进行全面监管，更有利于个人权利的实现。

第三，无论是公的领域还是私的领域，个人信息保护的基本原则基本一致。在基本原则的内在规定性上，两国立法基本一致。美德两国在基本原则的立法方面，表述上有明显的差异，而其内在规定性却有着惊人的一致性。德国的立法没有明确的基本原则规范。通过对德国个人信息保护法条文的总结，我们发现有德国联邦个人信息保护法确立了以下原则:①直接原则。直接原则是指个人信息的收集，原则上应该直接向本人收集。德国保护法第13条是直接收集原则的法律依据，该条规定:“应向个人资料本人直接收集个人资料。”②更正原则。更正原则是指为了保护个人信息的内容完整与正确，本人有权利修改其个人资料以使个人资料在特定目的范围内保持完整、正确及时新。德国保护法第20条是更正原则的法律依据，该条规定:“不正确的个人资料应该更正。”③目的明确原则。目的明确原则是指个人信息在收集时必须有明确的目的（又称特定目的），禁止公务机关和非公务机关非法超出目的范围收集、储存个人信息。德国保护法第14条是目的明确原则的法律依据，该条规定:“资料档案控制者因执行其主管职务之必要，且为达成收集资料之目的，储存、变更和利用个人资料。如未先行收集者，仅限于为储存之目的，使得变更或利用资料。”④安全保护原则。安全保护原则是指个人信息应该处于安全的保护中，避免可能发生的个人资料的泄漏、意外灭失和不当使用。德国保护法第9条规定:“处理个人资料的公务机关和非公务机关为了自己或他人的利益应该采取技术上和组织上的必要措施来保证遵守本法的规定，特别是本法附件中的要求。只要有关措施与达到期待的保护水平有关且是合理的，就应该采取该措施。”⑤公开原则。公开原则是指对个人信息的收集、处理与利用，一般应保持公开，本人有权利知悉个人资料的收集、处理与利用情况。德国保护法第13条规定资料应向当事人收集，其第33条规定了告知义务。⑥限制利用原则。限制利用原则是指个人信息在利用时应该严格限定在收集的目的范围内，不应作收集目的之外的使用。德国保护法第14条规定:“单纯基于资料保护检查、资料安全或确保资料处理设备的合法运用的目的，而储存个人资料者，仅得依其目的而使用。”该法第31条对于非公务机关也有相同的规定。美国的信息隐私法也没有明确的基本原则规范。美国NII小组于1995年6月发布了一份《隐私权与NII》报告，该报告分三个方向，列举了保护个人信息隐私所应遵循的原则^[24]。其确立的一般原则有三个:①个人信息不应该被不适当地改变或销毁。②个人信息应保持正确、完整和时新，并和收集与使用目的相一致。③个人信息的收集、使用和公开必须尊重当事人的隐私。针对信息使用者的原则有5个:①在收集、公开或使用个人信息时，应仅限于为目前或计划中所必需的资料，并应评估对个人隐私的冲击。②信息收集者在收集个人信息时，应该对本人提供以下信息:收集目的、使用范围、保持资料机密、完整和正确的方法、提供或不提供资料的后果、任何更正、补救的权利。③信息使用者需以适当的方法来保护资料的机密与完整。④除非有强烈的公益考量，信息使用者不应在超出使用目的的范围之外使用个人信息。⑤信息使用者应教育自己及大众关于信息隐私如何保护。第三个方面是针对信息提供者的原则，其实就是针对信息收集者的一个问题的两个方面。以上原则渗透在美国在个人信息领域的不同立法中。通过分析和归纳，可以将这些规定总结为五个基本原则:目的明确原则、公开原则、资料品质原则、限制利用原则、安全保护原则。显见两者立法精神与原则的高度一致。

第四，两大立法模式存在着显著的分歧，但均呈现出相当的包容性。美德两国立法模式虽然不同，但立法动机是一致的，均强调在保障人格权的前提下，促进个人信息资源的开发利用。不仅如此，两国立法在基础概念个人资料（德国）和个人“记录”（美国）等基础概念在界定上也表现出惊人的一致性。

美国《隐私权法》采用“记录”的概念表述个人资料的涵义，该法（a）条定义中第（4）项规定:“记录”是指行政机关所保持的关于个人的信息、信息集合或信息分类，包括但不限于该个人的教育程度、财产状况、医疗记录、刑事记录或职业履历，以及姓名或用以识别该个人的数字、符号或其他属于个人的特别标志，例如指纹、声纹或照片。1990年德国个人信息保护法第3条第1项规定:“个人资料是指可以直接或间接识别自然人的任何资料。”由以上定义可见，首先，在个人信息的概念上，二者都选择了识别型的定义方式，以能否直接或间接识别该个人为判断是否构成个人资料的标准。所谓“识别”，就是指个人信息与信息主体存在某一客观确定的可能性，简单说就是通过这些信息能够把当事人直接或间接“认出来”。其次，在保护对象上，二者都以自然人为限。1990年德国个人信息保护法第3条明确将个人信息保护的主体限定于自然人范围，排除了法人和其他组织。美国《隐私权法》在定义中规定:“‘个人’是指美国公民或者在美国的永久居住权得到合法承认的外国人。”^[25]也将个人信息的主体限于“自然人”（individuals），反对将社会组织体（包括家庭）的信息纳入信息隐私法制进行保护。除此之外，在个人信息主体权利方面的规定，二者也有很多相通之处。

二、为什么制定个人信息保护法

采取立法模式保护个人信息，就是要制定个人信息保护法作为保护个人信息的基本法。为什么必须制定个人信息保护法？个人信息保护法是个人信息保护领域的母法，是在个人信息保护领域统帅全局的法律。详述如下:

第一，个人信息保护法是个人信息保护领域诸法的总则和一般规定。个人信息保护法规定的是个人信息保护领域最重要、最主要，也是最一般的问题，单行法针对特殊领域规定特殊保护制度。个人信息保护基本法可以为个人信息保护特殊领域的立法以及行业自律规范的制定，提供统一方针与基本方向，保证我国个人信息保护法制的统一。

第二，个人信息保护法是特殊领域个人信息保护法和行业自治规范制定的具体依据。特殊领域中的个人信息保护立法，宪法是总依据，而个人信息保护法是具体依据。特殊领域对个人信息进行保护，其宗旨和原则不能与个人信息保护法相抵触。

第三，个人信息保护法是在个人信息保护领域中唯一的、不能替代的法律。随着社会的发展，我国在个人信息保护领域将有可能如同环境法和金融法一样，出现诸多单行法，非但这些单行法都不具备基本法的地位，不能与基本法的宗旨和基本原则相抵触；而且个人信息保护法作为基本法在个人信息保护领域具有唯一性。制定个人信息保护基本法，可以比避免单行法之间的矛盾与冲突，保障立法和司法的统一。

在个人信息保护立法方面，要既注重区别，又做到兼收并蓄。选择德国的立法模式，并不意味着对美国法的否定。从实质理性出发，两个立法模式并无对错之别，甚至也无高下之分。我们对美国分散立法模式的否定主要是从实践理性出发的，此种立法模式不合适中国，并不是因为其不合适美国。

三、为什么对自律模式既“弃”又“用”

（一）“弃”:自律模式不适合中国

我国历来强调外力约束政府，而缺乏政府自律的习惯和传统。我国的行政机关无设计自律规范进行内在约束的普遍传统。政府自律是指行政机关为行使行政决策权力和实施行政行为进行的自我约束。在政府自律和外力约束方面，大众更倾向于支持外力约束。大众较为普遍的心理认为外力约束更有权威性。政府自律必须以外在约束作保证。政府的自律离开了外在的强制力，会变得软弱无力。只有外力约束才是强有力的，在外力约束下政府才会有自身审查的主动性。

从行业组织来看，我国行业组织发育不良，进行行业自律的文化和观念尚未完全建立。经过改革开放以来20多年的发育，中国民间组织快速发展。从民政部门管理的角度来看，中国民间组织包括两类，一是社会团体，二是民办非企业单位。截至2001年底中国经登记的各类民间组织有23万多个，其中社会团体有13.4万个民办非企业单位10多万个^[26]。目前，中国的民间组织存在着两方面的严重问题:第一，合法性缺乏。由于目前中国实行民间组织双重登记制度，有相当一批非营利部门没有登记注册或者在工商部门注册。据不完全统计，占总数80%以上的民间组织属于“非法存在”^[27]。第二，经过合法登记的民间组织也存在内部管理不善、财务混乱、欠缺相应对外协调能力甚至违法犯罪等问题。我国民间组织发育并不成熟，行业协会运作机制也不完善，他们还不能胜任个人信息保护的任务，不能对个人信息保护起到应有的示范作用和制约作用。

我国已有的行业自律，大多不是真正意义上的行业自律，而是企业自律。企业自律就是由企业制定企业及其员工共同遵守的行为规章或行为指引的机制。我国目前的行业自律实属行业自律的早期阶段——企业自律的层次。行业自律机制，是指在行业协会统一制定个人信息保护的行规制度，在协会的管理和组织下，全体会员单位及其从业人员自觉遵守、共同履行并由协会负责监督的自律机制。企业自律是行业自律的前期阶段，而行业自律是企业自律发展和完善的方向。与企业自律相比，行业自律对于个人信息的保护无论从力度还是广度上都要更胜一筹。首先，个人信息保护的行业自律由行业协会进行管理和组织，企业受行业协会的监督，因此约束力较强。其次，行业自律由行业协会根据行业的自身特点统一制定行业规章，为各会员提供统一的标准，从而避免了各会员在个人信息保护方面适用不同的标准，避免了同一行业内个人信息保护的混乱。

再者，行业自律规范的制定往往是以政府的法律法规为参照标准的。我国没有可供行业参照的个人信息保护立法。行业自律是在法律框架内的规范体系。英国为了帮助行业协会实施行业自律颁布了大量的法律，比如1974年《消费者信用法》、1978年《消费者安全法》、1976年《消费者交易秩序法》等。美国在商业领域实施行业自律保护个人信息，是因为美国宪法有关于隐私保护的严格规定和各种判例，最重要的是美国行政程序法有专门的《隐私权法》对公务机关处理个人信息进行规范。行业协会在这些专门法指导下制定自律规范。

我国不能以自律模式保护个人信息的另外一个原因是我国缺乏自律传统和观念，民间组织发育不全，社会自治能力弱。我国社会民间自治能力弱，若实行行业自律，有可能既失去国家对个人信息的保护，又失去社会对个人信息的保护。我国曾经经历过国家对个人过度动员、对个人生活全盘接管的阶段，在这一阶段中，社会自治功能被废止，民间自治传统被放弃。然而，民间自治功能重新生长、民间价值自发再生需要的不是止一代人和两代人的努力，而是很多代人的共同努力。而这个过程时值中国市场经济处于极速狂奔时期，汹涌的经济大潮鼓励的是金钱、欲望、不择手段和麻木，充斥了颠覆文明的丛林规则。^[28]这一点，山西黑砖窑事件已经向我们敲响了警钟。在这种情况下，提倡以自律模式保护个人信息只能炫人耳目，并无实际功效。再则，如果我们把保护个人信息的全部重量压在自律模式之上，会加速社会自治功能的瘫痪。此时的社会，非但不能在保护个人信息方面发挥监督和保护作用，反而有可能沦为国内外企业争相掠夺的个人信息的帮凶或者冷酷的沉默者。

（二）“用”:安全港模式之借鉴

鉴于我国行业自律的现状和民间自治能力较弱的实际情况，笔者主张我国应采统一立法模式，通过制定保护个人信息的专门法——个人信息保护法来实现对个人信息的保护。同时，应看到自律模式的优势，应确定行业组织自律规范的效力，使自律成为法律的有力补充。这样可以更好地实现个人信息的保护，也可以刺激和促使健康的民间自律的重生。政府在实现政府自律的同时，应有目的、有引导地帮助民间组织（主要是行业自律组织）培育信息科学规范的伦理守则，充分发挥民间组织的现有作用，更好地发挥其保护个人信息的作用。

立法模式与行业自律分属于两种不同的规制模式。立法模式通过法律对个人信息处理进行调整，而行业自律通过行业规范来实现目的。比较之下，立法模式的优势在于法律规范明确，有国家强制力提供保障。但缺陷也很明显，那就是立法的稳定性要求与现有的信息技术发展不成熟而可能产生的变动性之间的矛盾无法解决。美国主张由私人机构主导电子商务就是从这个角度出发的。行业自律恰恰能弥补立法模式的缺陷。由于各个行业对个人信息的具体处理目的和方式的不同，理论上说，行业自律除了具备相当的灵活性外，还能最大限度地满足既实现个人信息处理的合法化目的，又能切实保障信息主体的合法权利。而采取立法模式和行业自律相结合的综合模式，通过立法赋予经审查的自律规范以法律效力，既发扬法律规范的强制力优势，又兼顾行业自律的专业化的特点。

【注释】

[1]戴恩·罗兰德，伊丽莎白·麦克唐纳.信息技术法［M］.宋连斌，林一飞，吕国民，译.武汉:武汉大学出版社，2004:308.

[2]戴恩·罗兰德，伊丽莎白·麦克唐纳.信息技术法［M］.宋连斌，林一飞，吕国民，译.武汉:武汉大学出版社，2004:308.

[3]参见中共中央办公厅、国务院办公厅印发的《2006—2020年国家信息化发展战略》。

[4]郝铁川.法治成本与人治成本［EB/OL］.［2007-04-07］.http://www.law-lib.com/lw/lw＿view.asp？no＝495.

[5]戴恩·罗兰德，伊丽莎白·麦克唐纳.信息技术法［M］.宋连斌，林一飞，吕国民，译.武汉:武汉大学出版社，2004:315-318.

[6]戴恩·罗兰德，伊丽莎白·麦克唐纳.信息技术法［M］.宋连斌，林一飞，吕国民，译.武汉:武汉大学出版社，2004:308.

[7]www.cctv.com首页无隐私保护政策，《央视国际会员条款》亦无隐私保护政策，http://www.cctv.com/vote/club/index.html2004年6月30日访问。www.zol.com.cn首页无隐私保护政策，2004年7月5日访问。

[8]百度搜索引擎免责声明［R/OL］.［2004-07-07］.http://www.baidu.com/duty/index.html.

[9]东方网首页无隐私保护政策，其为注册免费邮箱设定的协议第5条会员隐私制度规定:“尊重会员个人隐私是东方网的基本政策。”［R/OL］.［2004-06-30］.http://member.eastday.com/scripts/userinfo/userid.exe.

[10]凤凰网站隐私权保护声明［R/OL］.［2004-07-05］.http://www.phoenixtv.com.cn/home/gongsiziliao/baohuys.html.

[11]所谓醒目原则就是指在电子商务中，网站签订的合同等法律文件应该具有显著和醒目的特征，否则对用户不发生效力。

[12]日语的情报含义等同于英语的information。因此，其“个人情报”也可以译为“个人信息”。

[13]Karl Larenz.法学方法论［M］.陈秀娥，译.台北:五南图书出版股份有限公司，1996:15.

[14]例如，我国台湾省“电脑处理个人资料保护法”第五章《罚则》，香港特区《个人资料（私隐）条例》第九部《罪行及补偿》，荷兰1998《个人资料保护法》第十章《处罚》。

[15]戴恩·罗兰德，伊丽莎白·麦克唐纳.信息技术法［M］.宋连斌，林一飞，吕国民，译.武汉:武汉大学出版社，2004:308.

[16]阿丽塔·L.艾伦，理查德·C.托克雷顿.美国隐私法——学说、判例与立法［M］.冯建妹，等，译.北京:中国民主法制出版社，2004:158.

[17]蒋坡.国际信息政策法律比较［M］.北京:法律出版社，2001:445.

[18]李德成.网络隐私权保护制度初论［M］.北京:中国方正出版社，2001:36.

[19]蒋坡.国际信息政策法律比较［M］.北京:法律出版社，2001:449-450.

[20]蒋坡.国际信息政策法律比较［M］.北京:法律出版社，2001:449.

[21]王明礼.美国企业资料安全问题严重［J］.资讯法务透析，1995（3）.

[22]理查德·A.斯皮内洛.世纪道德——信息技术的伦理方面［M］.刘钢，译.北京:中央编译出版社，1999:50-51.

[23]如英国1998年个人资料保护法。

[24]王郁琦.美国NII小组发表《隐私权与NII》最终报告［J］.信息法务透析，1995（12）:57-86；王郁琦.NII与个人数据保护［J］.信息法务透析，1996（1）:34-68.

[25]国家保密局法规处.美国保密法律制度［M］.北京:金城出版社，2000:298.

[26]十大因素正在影响中国近中期的发展［J/OL］.［2004-08-17］.http://finance.qianlong.com/26/2003-7-15/65＠951231.htm.

[27]谢海定.中国民间组织的合法性困境［EB/OL］.［2004-08-17］.http://www.tylf.net/shehui/minjianzuzhi.html.

[28]南方报业.必须正视山西黑窑里人性的集体沉沦［N/OL］.［2007-06-23］.http://news.xhby.net/system/2007/06/20/010070141.shtml.