非自然人资料的法律保护

第二节　非自然人资料的法律保护

除自然人的隐私、人格、基本权利和自由等专属性权利不应扩展至营利性和非营利性的法律实体外，保护法人的资料也牵涉众多的现实问题及巨大的经济成本。以保护自然人资料的方式保护商业法人的资料是不适当、不必要且有害的。⁽³¹⁾

——国际商会

顾名思义，个人资料保护法保护个人资料，但在个人资料的范围上，特别是自然人外法律实体的资料应否由法律保护，国际和国内的理论、立法和实践不尽相同。其中，多数立法仅保护自然人的资料，少数不仅保护自然人的资料还全面保护法人等法律实体的资料，有些国内法除保护自然人的资料外，还在特定情形下保护其他法律实体特定类型的资料。总体而言，若将资料隐私视为保护个人的人格、隐私、私人生活和私人领域等纯粹属于自然人的基本权利，非自然人的资料就不能成为资料法的保护对象。若将资料保护法视为调整个人、资料使用者和社会之间在信息流转上的利害关系，平衡他们之间的力量对比和利益冲突，保护非自然人的资料就有一定法理基础。我们应从资料隐私的性质与资料保护法的宗旨入手，厘清非自然人的资料有待法律保护的原因，以保护自然人的资料为原则，并通过其他法律促进非自然人资料合理、合法、高效地流转。认清这一点，借鉴国际组织和各国在这一问题的立法和实践，对正在制定第一部资料保护法的中国而言，尤为重要。

一、国际和国内立法考察

(一)仅保护自然人的资料

有关资料保护的国际立法，如经合组织的《资料保护指导原则》、欧洲理事会的《资料保护公约》、联合国的《资料保护指导规则》与欧盟的《资料保护指令》，原则上仅保护自然人的资料，但并不限制国内法将保护范围扩展至法人等其他法律实体的资料。多数国内资料法也仅保护自然人的资料。

1．国际立法

下列国际组织在性质和宗旨上存在很大的差异，但它们制定的资料保护法均旨在保护个人的隐私、基本权利和自由，也都将其适用对象限定为自然人的资料。多数国家坚持仅保护自然人，特别是生存的自然人的资料，而少数国家则将资料保护扩展至死者，甚至是自然人外的法人、组织、基金或其他实体的资料。鉴于这种情况，考虑到其他政治、经济和文化因素，下列国际组织均采取了比较务实的政策，提倡仅保护自然人的资料，同时承认各国在该问题的不同立场和做法，在不影响资料保护和资料跨境自由流动的前提下，不提倡也不遏制保护非自然人的资料。

(1)资料保护指导原则

以经济发展为着眼点，经济合作与发展组织于1980年通过了《资料保护指导原则》，以权衡隐私保护与资料跨境自由流动之间的矛盾，协调成员国在个人资料保护和资料跨境流动上的立法差异，为经济发展扫清障碍。⁽³²⁾它将个人资料界定为与个人相关的信息，并将其适用范围限定为公私领域中的个人资料，因其处理方式、性质或使用情形，对隐私或个人自由构成了威胁。

在指导原则起草过程中，专家组探讨了非自然人的资料保护问题。⁽³³⁾意识到不少国家认为企业、组织和团体的资料需要与自然人类似或同等的保护。专家组指出，某些个人团体的资料需要特别的保护，而且小企业的资料与其所有者的信息也密不可分。但多数专家认为，个人隐私同企业在资料处理上的资料保护利益具有质的不同。最终，指导原则采取了更加务实和折中的立场。

(2)资料保护公约

科技的发展对个人自由和基本权利提出了挑战，日益增长的个人资料自动化处理和跨境流动必须尊重个人隐私。1981年，致力于人权保护的欧洲理事会通过了《资料保护公约》，明确要求保护个人的权利和基本自由，特别是其在个人资料自动化处理上的隐私权。它将个人资料定义为与个人相关的任何信息。考虑到某些成员国法保护法人或其他法律实体的资料，公约也采取了务实的策略:一方面，缔约方可将公约扩展适用于与个人团体、组织、基金、公司、企业以及由个人直接或间接组成的任何其他实体相关的信息，不论该实体是否具有法人资格;另一方面，上述国家可根据互惠原则同未作规定的缔约方解决有关问题。公约也不限制缔约方给个人资料提供比公约更全面的保护措施。

(3)资料保护指导规则

联合国大会于1990年通过的《资料保护指导规则》适用于公私领域中运用计算机处理个人资料的活动，各国可通过适当调整将规则扩展至资料的手动处理，也可以通过特别规定将全部或部分指导规则适用于法人的资料，尤其是若法人的资料含有与个人相关的信息。⁽³⁴⁾

(4)资料保护指令

在折中成员国已有资料保护立法和传统的基础上，为了给个人资料确立一个较高的统一标准，欧盟委员会于1995年通过了《资料保护指令》。指令保护自然人的基本权利和自由，尤其是他们在资料处理上的隐私权，并将个人资料限定为“与确定或可确定的自然人相关的任何信息”。⁽³⁵⁾指令的序言还特别指出关于法人在资料处理上相关利益保护的立法不受指令的影响。⁽³⁶⁾换言之，指令自身仅保护自然人的资料，但允许成员国保护非自然人的资料。

2．国内立法

目前，多数国家的资料保护法仅保护自然人的资料。例如，在德国，资料保护源自宪法中的基本原则，即个人尊严不容侵犯与个人人格自由发展。该原则被运用到资料保护领域，并最终发展出个人的信息自决权。⁽³⁷⁾法人无法主张这些权利，保护法人的资料也就缺乏法理基础。《德国联邦资料保护法》明确要求保护个人隐私，并仅适用于自然人(Natürlichen Person)的资料。希腊宪法直接赋予个人与资料处理有关的资料保护权，其资料保护法也要求保护自然人的基本权利和自由，特别是隐私权。⁽³⁸⁾它不保护法人的资料，因为，法人的资料保护应依据完全不同的原则和标准。⁽³⁹⁾《法国信息、档案与自由法》仅适用于同自然人(Personne Physique)相关的信息。⁽⁴⁰⁾比利时、荷兰、西班牙和葡萄牙法也作了类似的规定。⁽⁴¹⁾在瑞典，人格权为资料隐私的法理基础，资料保护旨在保护个人免受资料处理对其人格造成的侵害，它将个人资料界定为与生存的自然人直接或间接相关的信息。⁽⁴²⁾在资料保护上一直固守务实策略的英国和爱尔兰也将个人资料限定为与生存的自然人相关的资料。⁽⁴³⁾

(二)保护自然人外法律实体的资料

在欧盟成员国中，奥地利、丹麦、意大利和卢森堡的资料保护法除保护自然人的资料外，还在不同程度上和情形下保护法人或其他法律实体的资料。挪威和冰岛对该问题的规定比较特殊:它们早期的立法保护自然人、法人和其他实体的资料，而新近的立法却放弃了这种做法，仅保护自然人的资料。此外，瑞士和阿根廷法也在一定程度上保护自然人外法律实体的资料。

1．奥地利

1978年的《奥地利联邦资料保护法》将资料界定为“与可确定的自然人、法人或商事实体有关的信息”，并明确规定资料当事人包括自然人、法人和商事实体。⁽⁴⁴⁾该国现行的联邦资料保护法在很大程度上保留了上述规定。根据2000年的《奥地利联邦资料保护法》，个人对其个人资料具有保密利益，若资料因其一般的可获得性或不能用以识别资料当事人而不具有保密性，该利益亦不复存在。⁽⁴⁵⁾换言之，奥地利法以保护资料的秘密性为法理基础，可包容自然人和法人的资料，因为二者均可具有一定的保密性。该法也将资料当事人明确界定为资料控制者外，其资料被处理的任何自然人、法人或自然人的组合。

2．丹麦

至今，丹麦的三部资料保护法均涉及自然人外法律实体的资料保护。意识到私人通过掌握大量的资料对自然人和企业的正当利益构成了严重的威胁，丹麦于1978年制定了《私人资料库法》，既保护自然人的资料，也在一定程度上保护企业的资料。企业在丹麦既包括营利性的企业、一人公司，也包括非营利性的组织和实体，不论其是否具有法人地位。换言之，根据该法，资料当事人包括营利性的法人、非营利的法人以及不具有法人地位的一人公司等。⁽⁴⁶⁾原则上，该法同样适用于自然人和法人的资料，但很多条款仅针对自然人的资料，如有关全国性身份编码使用的第4a节及关于以直接营销为目的处理消费者资料的第4b节等。

1987年的《丹麦公共资料库法》适用于公共机关的资料库，且个人资料指与可确定的自然人相关的资料。该法并不规制含有企业资料的数据库，但国家机关可通过条例将其扩展适用于企业的资料。⁽⁴⁷⁾自该法实施至废止，丹麦并未通过此类条例。在2000年的《丹麦个人资料处理法》统一上述两部法前，丹麦法保护私人持有的自然人和私法法人的资料，公共机关持有的一人公司的资料，但不保护公共机关持有的法人资料。

经糅合前两部法的规定，现行丹麦法以保护自然人的资料为原则，以保护非自然人的资料为例外。根据丹麦法，个人资料为与确定或可确定的自然人相关的任何信息。⁽⁴⁸⁾该法开篇便声明其适用于个人资料(即自然人的资料)的自动化和非自动化处理。这一原则存在如下例外:①该法保护企业的资料，若资料处理由信用信息机构实施，②对不是由信用信息机构处理的公司资料，若处理由个人或私人机构实施，司法部可决定全部或部分适用资料保护法的有关规定。同时，该法的第5节(向信用信息机构披露对公共机关负债的资料)也适用于企业资料。对其他资料，若由公共机关处理，司法部也可决定全部或部分的适用该法的有关规定。简言之，例外既包括确定的情形，也包括潜在的情形。丹麦法保护企业资料主要针对企业的信用问题，即信用信息机构不当收集、使用和出卖公司等实体的信用信息，可能对其造成无法估量的经济损害。

3．意大利

相对于其他欧洲国家，意大利在个人资料保护上起步较晚，也遭受了不少批评。它于1996年制定了《个人资料处理中个人与其他主体的保护法》，确保资料处理充分尊重自然人的权利、基本自由和尊严，尤其是个人的隐私权和人格权，并保护法人与任何其他实体或团体的权益。该法将个人资料定义为“与确定和可确定的自然人、法人、实体或团体有关的任何信息”。⁽⁴⁹⁾处理法人的信息无需向资料保护机构(Garante)通报，也不适用关于跨境资料转移的规定。除此之外，根据该法，法人与自然人的资料几乎受到同等的保护。2003年的《意大利个人资料保护法典》在很大程度上继承了上述规定。⁽⁵⁰⁾它首先明确人人均具有资料保护权，并要求保护资料当事人的权利、基本自由和尊严，特别是保密、个人人格与个人资料保护权。该法将资料当事人界定为自然人、法人、机构或团体，并同等地适用于法人和自然人的资料。

4．卢森堡

卢森堡1979年的《个人资料(自动处理)法》明确规定资料当事人包括自然人、法人或不具有法人地位的团体。从字面意义上理解，该法保护自然人、法人、营利和非营利性组织、团体的资料，严格地说，法人还包括公法人和私法人。该法旨在保护自然人和法人免受非法资料使用造成的损害，⁽⁵¹⁾而不论资料当事人为自然人还是法人。该国2002年的《个人资料保护法》仍保留了上述规定，要求保护自然人的自由和基本权利，特别是在资料处理中与其私人生活相关的基本权利，并保障法人的合法权益。资料当事人既包括自然人，也包括法人。⁽⁵²⁾

5．挪威与冰岛

挪威1978年的《个人资料库法》将个人信息界定为“与个人、组织或基金直接或间接相关的信息和评价”。⁽⁵³⁾该国2000年的《个人资料处理法》彻底修正了上述规定，仅保护自然人的隐私权在个人资料处理过程中免受侵害，确保资料处理行为尊重个人隐私，保护个人人格和私人生活。资料当事人也仅指自然人，不包括法人等其他法律实体。⁽⁵⁴⁾

冰岛法也经历了类似的转变。根据该国1985年的《个人资料系统记录法》，个人资料是指一般应加以合理的保密且与私人事务相关的信息，例如自然人、公共团体、公司及其他法人的财务事项。⁽⁵⁵⁾很显然，该法以保密为理论基础，并将自然人外法律实体的资料也视为保护对象。冰岛现行的资料保护法，即2000年的《与个人资料处理有关的隐私保护法》要求促进个人资料处理行为遵守资料保护和隐私的基本原则，确保资料的可靠性、真实性和完整性，以及资料在欧洲经济区内部市场中的自由流动。个人资料是指“与资料当事人有关的资料，即与特定的个人(不论生死)，直接或间接相关的信息”。⁽⁵⁶⁾

6．瑞士与阿根廷

根据瑞士1992年的《联邦资料保护法》，资料隐私保护资料被处理的个人的人格和基本权利，但该法却适用于私人和联邦机关处理自然人和法人资料的活动，资料当事人也包括自然人和法人。⁽⁵⁷⁾阿根廷2000年的《个人资料保护法》要求全面保护资料记录、登记、资料库或经其他方式处理的个人信息，保障个人的尊严和隐私，查阅可能记录的与其相关的信息。资料保护法中的条款在一定程度上亦适用于法律实体的资料。个人资料为“与确定或可确定的自然人或法律实体相关的任何类型的信息”。此外，该法采用了“资料所有者”的概念，并将其界定为资料经处理的任何自然人或法人，且其在阿根廷具有住所，设有办公室或分支机构。⁽⁵⁸⁾

二、自然人资料法律保护的思辨

对于非自然人的资料是否有待法律保护，存在正反两种观点。支持者认为:法人同自然人一样对与其相关的资料具有类似的利害关系，而且法人与自然人的资料可能难以明确区分。反对者认为:法人对其资料的利害关系与自然人在资料处理上所具有的隐私权等基本权利和自由具有质的区别，而且保护法人的资料从国内和国际的角度看均可能招致更多的问题。

(一)非自然人的资料需要法律保护

既然上述各国法均在不同程度上及特定情况下保护非自然人的资料，那么它们的资料是否有待法律保护，是否应由资料保护法调整?我们可从两个方面剖析非自然人的资料为何需要法律保护:①非自然人同自然人一样对与其相关的资料具有正当利益;②非自然人和自然人的资料往往难以区分。⁽⁵⁹⁾

1．非自然人对其资料具有正当利益

1971年国际律师组织(Internaitonal Association of Lawyers)向欧洲理事会提交了两份建议，指出公司在隐私权上具有与个人类似的利益。对二者而言，隐私权均保护个人领域免受侵扰，保护个人资料免受电子资料库的不当处理以及非法侵占资料所涉及的产业和商业利益。⁽⁶⁰⁾1978年，英国的林道普资料保护工作组(Norman Lindop)特别考察了资料当事人的范围问题，即除自然人外是否应包括法人等实体。工作组在报告中指出，个人和法人等的资料均需要适当保护，但应通过不同的立法加以调整。⁽⁶¹⁾

美国学者威斯丁(Alan Westin)将信息隐私界定为个人、组织或机构有权自行决定何时、如何以及在何等程度上可向他人披露与其相关的信息。⁽⁶²⁾换言之，法人等法律实体同自然人一样对信息披露具有利害关系。广而论之，法人对谁了解自己的资料，掌握了什么资料，如何使用资料，资料是否准确、完整、得以更新，是否向第三人披露和转移甚至出卖资料等具有一定的利益。该利益并非资料监控对个人带来的抽象、潜在、间接的影响，或由此对个人人格发展构成的威胁和障碍，它更多的是一种现实的经济利益。

保护非自然人资料的国家的立法和实践表明，保护范围和水平应根据具体的情形和利益而定。从字面上看，奥地利资料保护法的内容全部适用于法人的资料，但它也通过“值得保护的利益”(Protection-Worthy Interests)这一灵活的标准加以必要的限制。丹麦法仅在特定情形下才将资料保护法适用于法人的资料，并允许部长通过立法扩展上述情形。卢森堡法适用于法人的资料，但它却强调在现实中应尽量避免这种情形的发生，若其他法律对法人的资料提供了相应的保护。⁽⁶³⁾

法人等法律实体对保护自己的资料具有如下正当利益。

(1)以信息为据对其作出具有重大影响的决定

根据欧盟《资料保护指令》，任何人均有权不受仅基于自动化资料处理而作出的决定的约束，若该决定对其产生法律效力或重大影响，且资料处理旨在评定与其有关的某些个人情况，如工作表现、信誉、可靠性或行为等。⁽⁶⁴⁾从理论和现实而言，法人也需要该法律保护。私人行业中的资料使用者可能利用法人资料作出对其具有影响的决定。为了评定法人的信用或诚信度，对客户和消费者作出警告，信用信息机构处理法人的资料。公司和消费者可能以之为据决定是否同其发生业务关系，银行等金融机构可能据此决定是否向其提供贷款等。根据奥地利法，此类自动化决定应被认定为影响了法人值得保护的利益。若不存在其他法律，卢森堡的资料保护法亦应给法人提供相应的保护。丹麦法适用于信用信息机构处理法人的资料，基于资料处理作出对其具有重大影响的自动化决定自然也应遵守该法的有关规定。

对一人公司而言，即使一国的资料保护法仅保护自然人的资料，也应对其提供适当的保护:他们应有权查阅公共机关收集的信息，对资料的真实性、完整性和是否得以更新提出异议，并有权在必要情形下要求删除资料。对其他法律实体而言，一般的行政法可能规定了类似的权利，如查阅和反对权等，但是，它们往往不全面也不统一。因此，对公共机关持有的企业资料，丹麦法允许企业进行查阅和修改。在奥地利，公共机关处理法人的资料也被视为影响法人值得保护的利益。卢森堡法也在一定程度上弥补了其他法律的空缺与不足。

(2)提供给国家或社会用于统计目的的法人信息

根据法律规定，公司需要越来越多地提供有关其财务状况、环境保护及其他活动的具体信息。毋庸置疑，提供这些信息具有必要性，但不正当的使用这些信息可能损害公司的利益。尤其是，竞争者可能通过非法手段获取这些信息，用于采取对该公司不利的行动，进而影响正当竞争关系。因此，对这些信息也应适用资料保护法中的一些基本原则，如资料使用目的明确有限、资料安全和保密等。

2．非自然人与自然人的资料难以严格区分

个人团体由成员直接构成，团体和成员的资料相互交融、密不可分，处理团体的资料往往也对其成员产生影响。隶属于某团体这一信息自身就需要特殊的保护。⁽⁶⁵⁾收集宗教、哲学、工会或政治组织的信息可能影响团体和成员的基本权利，如宗教信仰自由和集会自由等。尤其是，若信息不准确、不完整、不适当，团体与个人一样容易遭受不利，它们应有权查阅和修改信息。

一些国家的经验表明，法律实体和个人的资料可能混合在一起，无法加以严格区分。⁽⁶⁶⁾例如，小企业的资料与个人信息可能交织在一起，与企业有关的信息可能同时涉及其所有者的信息。在这种情形下，似乎应将资料保护原则扩展适用于企业的资料。⁽⁶⁷⁾对此，澳大利亚隐私法改革委员会主张揭开公司面纱，因为，很多资料表面上与企业相关，而实质上却与个人具有更紧密的关联。⁽⁶⁸⁾对小企业，应构建灵活的法律框架保护其资料隐私。实际上，这正是早期挪威法将非自然人的资料纳入保护范围的主要原因。⁽⁶⁹⁾

英国在林道普工作组发布隐私报告前开展的一项调查表明，中小企业一致要求保护其资料，⁽⁷⁰⁾跨国企业则强烈反对保护非自然人的资料。⁽⁷¹⁾实际上，企业是否支持保护非自然人的资料往往取决于其经济实力和地位。欧洲经济共同体在考察是否保护非自然人的资料时就表现出保护小企业信息的倾向，因为，若不保护其资料，具有竞争优势的大企业更有需要，也更有能力操控竞争对手的发展。⁽⁷²⁾

(二)非自然人的资料无需法律保护

自然人在资料和信息流转上的人格和隐私权益同个人团体和企业的经济利益具有质的不同。既然性质不同，解决方法和平衡利益的政策框架也应有所不同。⁽⁷³⁾除自然人的隐私、人格、基本权利和自由等专属性的权利不应扩展至营利性和非营利性的法律实体外，保护法人的资料也牵涉众多现实问题与经济成本。以同样的方式保护法人的资料是不适当、不必要，且有害的。⁽⁷⁴⁾保护法人或其他商业组织的信息将限制商业信息的流动，并给经济发展造成不必要的成本和障碍。公司若有权限制他人使用自己的资料，有权查阅竞争者持有的与其相关的信息，检查信息的真实性和完整性及其是否得以更新，其他公司自由收集和正当使用商业信息的活动可能受到限制。此外，保护公司的信息必将影响人们对公司信息的知情权，而了解此类信息正是社会公共利益的要求。⁽⁷⁵⁾从国际方面看，一旦像保护自然人的资料般全面保护法人的资料，法人信息的跨境流动必然受到严重限制。不将法人与自然人的信息严格区分，政府可能借保护企业隐私为名庇护本国企业，给自由贸易造成障碍。这也是经济合作与发展组织、欧洲理事会和欧盟未将法人资料纳入保护范围的主要原因。

三、资料保护法不宜全面保护非自然人的资料

资料隐私问题源于个人同公私机构之间在资料和信息流转参控上的力量失衡，资料保护法应以平衡个人同资料使用人和社会之间在资料和信息流转上的利益关系为核心，不可全面保护法人等法律实体的资料。

洪笛斯曾将早期的资料保护法分为两类:一类仅旨在保护个人在隐私保护上的利益，另一类还保护非自然人的资料。⁽⁷⁶⁾根据大多数国家的资料保护法，资料隐私旨在保护个人的尊严、基本权利和自由，特别是个人的隐私、私人生活和私人领域。这些利益和价值专属于自然人，法人不具有人格和人性尊严，也无需保护其隐私、私人生活和私人领域。相反作为一个虚拟的法律实体，公众有权了解其信息。另一方面，与隐私法不同，资料保护法不仅为个人创设私人权利，更旨在为资料当事人、资料使用者和社会提供一种利益平衡框架。⁽⁷⁷⁾除自然人对资料处理享有知情权和反对权，对自己的资料享有查阅权、更正权、删除权外，法人在很多场合也可主张上述利益。在某些情形下，资料处理确实也可能损害作为资料主体的法人的现实利益。这也是奥地利、丹麦、卢森堡、瑞士和阿根廷等国保护非自然人资料的原因。

以资料保护法全面保护法人的资料同资料隐私的性质和宗旨并不相符，在实践中赋予法人广泛的资料权利也会造成更多的问题。我们需要采取更加务实的态度，对特定情形下特定的法人资料进行特定的保护。自动化资料处理确实可能影响法人的利益，特别是小企业相对于作为资料使用者的大企业，企业相对于作为资料处理者的政府，在信息流转上也面临权力失衡。当然，这种失衡更多地意味着经济地位和经济利益，不可通过旨在保护个人人格的资料保护法加以全面调整。法律需要确保公平、公正、合理的法人信息流转关系，并应以保障商业信息的自由流动为主旨。自然人的资料保护应以保障个人的资料权益，特别是个人人格的自由全面健康发展为根本目的。具体而言，信用信息机构处理法人的商业信息，法人向国家提供的资料，宗教、哲学、政治和工会组织的信息以及一人公司的信息等需要法律保护。⁽⁷⁸⁾

总之，在自然人外法律实体资料的法律保护上，各国和国际性的立法和实践并不一致。我们需要以资料隐私的性质与资料保护的目的为出发点和落脚点，明确自然人在资料和信息流转上的权益相较于法人对自己的资料具有的经济利益具有质的不同，资料保护法赋予自然人的资料权利及其为资料控制者施加的义务不可全面适用于非自然人的资料。基于上述分析，笔者建议我国的资料保护法采取目前的通行做法，在“定义”这一条中将个人资料界定为与确定或可确定的自然人相关的资料，将非自然人的资料保护明确地排除在个人资料保护法的适用范围之外。