政府保护个人信息的基本策略

第一节　政府保护个人信息的基本策略

一、个人信息保护与基本策略

（一）个人信息保护的定义

目前，国际社会对个人信息保护的主要是借由法律手段进行的，但是这并不意味着法律是唯一手段，更不意味着对其他保护手段的排斥。个人信息保护是指保护在个人信息处理中的个人权利遭受伤害。由此可知，任何能够保护个人信息的手段的应用，都构成个人信息保护，这些手段包括政策、道德（信息伦理）和技术等手段，当然法律是核心手段。

信息保护与信息安全是有区别的。信息保护侧重的是对个人权利和自由的保护，而信息安全仅仅涉及的是对信息本身的保护。信息保护的主要方法是赋予信息主体对自己个人信息的人格权和信息管理者的相对义务，信息管理者实现信息安全的主要方法是使用合适的信息设施和场所，以及建立信息管理制度，这些方法的应用主要在于确保信息系统中储存信息的机密性、完整性。

（二）个人信息保护的基本策略

个人信息保护的基本策略是指国家在信息化过程中针对个人信息收集和利用应采取的基本立场和建立的保护机制。国家进行个人信息保护的基本策略包括个人信息保护的基本立场、个人信息保护的机制选择，以及与之相关的个人信息保护的立法模式确定等基本问题。因此，国家进行个人信息保护的基本策略问题不仅是政府采取什么样的方式保护个人信息的宏观政策问题，而且直接影响到立法的基本价值取舍问题。

法治社会中，并不是每个问题，尤其新生问题，都是通过立法机关进行立法的途径予以解决的。法治是与人治是相对立的。实行人治的社会，是专制、独裁或用道德教化、个人权威的方式治理国家的社会。这样的社会也有法律，但法律并不重要，有时甚至是可有可无的。法治社会则完全不同，主要指一个国家推行民主和宪政，通过法律这一艺术，将人类的世俗社会在共同权利和共同利益的基础上组织起来的社会。然而，即便是在法治社会，也并不意味着每一件事情都必须通过法律机制来解决，除了法律，政策、自律等机制都是可供选择的问题解决社会问题的主要机制。人天生是经济人，他选择什么、放弃什么，都会本能地进行一番成本与收益的盘算。^[4]政府也是如此，在同样能达到目标的前提下，哪种机制成本最低，政府就愿意选择哪种。在对个人信息进行保护的问题上也是如此，政府需要平衡有关的各方面利益（包括评估建立机制的成本）来选定个人信息保护的基本策略。

二、多元的价值追求:基本立场

个人信息保护，体现了个人权利、自由以及促进经济发展等多元化的价值。但不同的国家和地区的具体立场的确定并不完全一致并且往往是取其一个方面加以突出。欧盟更加注重民众的权利，而美国则侧重经济的发展，具体说是电子商务的发展。

（一）欧盟:保障人权

欧盟认为在个人信息保护问题上，国家的基本立场是保障人权。因此，其主张通过立法的方式保护个人信息。欧盟通过立法保护个人信息已有较长的历史，其立法宗旨和保护重点表现出一个动态的演进过程。欧盟个人信息保护立法的演变历史，是国际社会个人信息保护立法的重心转移历程的真实写照。对这个过程的了解，可以让我们更清晰地理解现有的个人信息保护法的制度和灵魂。

欧洲可谓个人信息保护的发祥地。到现在，欧洲个人信息保护立法已经经历了四个发展阶段^[5]。第一个阶段是指20世纪70年代早期的个人信息保护立法。在这个阶段，个人信息保护立法并不是以个人的权利为中心，其目的是为了适应个人信息管理者对个人信息的处理，换句话说，就是满足社会对信息处理的实际需要。即便有个人权利的体现，也是为了更好地实现处理者对个人信息的处理，使得处理者保有的个人信息具有精确性。反映在概念的选择与定位上，这个阶段没有选择“隐私”、“信息”等概念，而是使用了“数据”、“数据记录”和“数据文档”等技术性很强的概念。第二阶段是指20世纪70年代晚期。这个阶段开始，立法转向了个人权利的保护，个人信息立法开始真正以个人权利为核心。但是这一阶段最大的弊端就是这个被保护的权利往往仅具有宣示意义，个人很少有机会参与自己信息的处理过程。第三个阶段是指20世纪90年代。这个阶段的立法主要是针对第二个阶段的弊端展开，直接目的是保障个人信息处理中个人权利的实现，个人参与个人信息处理的权利得到明显加强并逐步制度化，个人可以持续地介入其信息的处理。第四个阶段是指20世纪90年代后期。反映这一阶段立法的主要思想的是欧洲议会和欧盟理事会于1995年发布的欧盟指令。在这一阶段，立法者开始意识到个人面对信息处理的弱势地位。以欧盟指令为代表的这一阶段立法主要加强了两个方面的工作:第一个方面，增强个人相对于信息管理者的地位，减少二者力量的悬殊；第二，对第二阶段和第三阶段立法倡导的个人权利给予强行法保护。特别强调的是在某些领域应该给予法律的强制保护，不允许当事人放弃。在这个阶段的另一个特点是个人信息保护向专业化发展，许多部门保护规范纷纷出台。

（二）美国:反对滥用

美国保护个人信息的基本立场是反对个人信息滥用。美国联邦政府于1998年1月发表《Elements of Effective Self-Regulation for Protection of Privacy》草案讨论报告，认为在电子商务兴起之际，贸然制定隐私保护法律规范行业的个人信息收集和处理行为，将会抑制电子商务的发展。并且，商业记机构如果能够制定完善的保护个人信息的隐私政策，将可使消费者加强对商业机构的信任，反而可以促进电子商务的发展。1999年7月，美国联邦贸易委员会（Federal Trade Commission，简称FTC）在向国会的报告中提出，由于许多商业机构（尤其是中小企业）并未注意到网络侵害消费者的隐私问题，因此建议今后的工作重点是敦促商业机构进行消费者隐私的保护，并接受联邦贸易委员会的监督。此外，提议商业机构开发相关应用程序使消费者有能力保护自己的个人信息，并负有教育消费者意识到网络对隐私的侵害问题的义务。联邦贸易委员会此报告中的主要目的仍是推动商业机构自负其责，实施行业自律，以便为电子商务的成长赢得空间。但出于未成年人保护的目的，联邦贸易委员会在1999年10月20日公布法令，要求网站想要从13岁以下儿童自身收集个人信息，必须有从儿童家长处获得的书面同意证明。这个法令最后并入1998年通过的《儿童在线隐私保护法》（Children’s Online Privacy Protection Act 1998）。

（三）我国应有的立场:个人权利与经济发展并重

美国和欧盟进行个人信息保护的基本立场明显不同。两者的差异实质上是民众的权利，尤其是隐私保护，和电子商务的发展孰轻孰重的问题。欧盟一向认为个人信息上的权利是基本人权，必须通过立法予以确认和给予相当的保护。欧盟指令规定，第三国若不能对个人信息提供适当保护，则拒绝与其有电子商务上的交易，表明欧盟宁愿牺牲某些商业机会，也要捍卫人权的决心。而美国则相反，美国政府和实务界更多地主张以自律规范保护个人信息，认为强硬的法律结构“将不可避免的阻碍商业活动”^[6]，因此反对将个人信息之上的权利作为基本人权对待，也反对立法规范个人信息处理行为。我国社会已在信息化路途之中，促进社会信息化将是我国政府在个人信息保护方面的着眼点之一。然而，一个十分重要的实际情况是，由于我国社会深受儒家治世学说的影响，长期以来对人格权保护重视不够，如果不通过立法对个人信息进行保护，恐难实现国家保护个人信息的目标。我国社会曾长期奉行大一统的帝制结构，法律自产生之初就深受大陆法系传统的影响，因此任何较大的社会问题往往是通过立法予以规范的，而不是留给民间自治。如果自然人主张他人的行为构成侵权并要求赔偿，那么，他必须有提出法律赋予了其相关权利的依据。否则，其主张难以得到法院支持。有鉴于此，笔者认为，我国政府应借鉴欧盟的基本立场，在个人信息保护问题上以保护个人权利（尤其是人权）为基本立场。但保护个人权利，不等于不要经济发展，在保护个人权利的立场下，如何促进电子商务的发展，政府仍有一定的作为空间，那就是保护机制的选择。

三、保护机制的确立

保护机制的选择是一个宏观问题，是有关国家保护利用何种资源保护个人信息的问题。

可供政府选择的个人信息保护机制有三种:第一种是通过立法建立法律保护机制；第二种是以自律规范为主导的保护机制，简称自律机制；第三种是以立法与自律相结合的保护机制，简称为综合保护机制。面对个人信息的保护问题，一国政府迈出的第一步应是选择适合于自身的保护机制。而个人信息保护机制选择的核心问题是如何在促进行政、商业发展和充分保护个人权利之间寻求平衡的问题。

（一）法律机制

法律机制就是以政府为主导，并通过立法来实现保护个人信息的机制。欧盟一贯主张通过制定个人信息保护法，确认自然人对其信息所享有的权利来实现个人信息的保护。从全球范围来看，大多数国家都选择了法律机制保护个人信息。法律机制的核心就是法律规范的制定和信息主体权利的法定。主张法律机制的国家的典型标志是其个人信息保护法的制定。目前世界上已有几十个国家通过了个人信息保护立法。

（二）自律机制

个人信息保护中的“自律”是指作为信息管理者的行政机关和民事主体在个人信息处理过程中进行自我约束、自我控制，通过制定自治规范保护信息主体的权利。所谓自律机制就是指以信息管理者为主导，并通过制定自律规范来实现个人信息保护的机制。美国一贯坚持以自律机制保护个人信息的主张和实践。自律机制能否发挥实际效用，关键取决于自律规范的制定和实施机制的建立。以我国网站为例，对我国个人信息保护的自律机制现状加以分析。国内网站的个人信息保护政策，一般称为“隐私政策”。目前，根据隐私政策的不同，国内网站大体可以分为四类:第一类，无隐私政策网站，如我国中央电视台的央视网和中关村在线。^[7]第二类，免责性隐私政策网站。该类网站无独立的隐私政策，而是将相关规定纳入网站的免责条款之中，凸显你目的不在于为个人提供保护，而在于为自己开脱责任。百度的隐私政策就是该类的典型。著名搜索引擎网站“百度”并无独立的隐私政策，而是在免责条款中对个人隐私加以规定。《百度搜索引擎免责声明》第5条是有关个人隐私权保护的规定。百度公司缺乏独立隐私保护政策的作为和公司的地位极不相称。非但如此，百度还公然声称“用户在使用搜索引擎时输入的关键字将不被认为是用户的个人隐私资料”。^[8]第三类为宣誓性政策网站。此类网站的隐私政策可谓惜字如金，只有一句的隐私政策也并不少见，如东方网。人民网首页并无隐私政策，而是在申请免费邮箱时有用户协议涉及个人信息保护问题，也仅具有宣誓意义。^[9]第四类为完备隐私政策的网站。如凤凰网，其《隐私权保护声明》制定了比较完备的一个隐私保护政策。^[10]该声明将个人信息划分为“非个人化信息”和个人资料。非个人化信息包括浏览器性质、操作系统种类、给您提供接入服务的ISP的域名等。更为重要的是，网站对个人信息提供了技术和法律双重保护。技术方面的保护具体规定在“信息安全”部分，而法律保护具体在“用户权利”“限制利用原则”、“个人资料之披露”和“未成年人隐私权的保护”中加以规定。该网站对Cookies的使用进行了明示，“Cookies是指一种技术，当使用者访问设有Cookies装置的本网站时，本网站之服务器会自动发送Cookies至阁下浏览器内，并储存到您的电脑硬盘内，此Cookies便负责记录日后您到访本网站的种种活动、个人资料、浏览习惯、消费习惯甚至信用记录”。最后，是免责条款的规定。凤凰网站《隐私权条款提示》有以下不足，第一，关于“非个人化信息”的规定并不准确，因为它们都属于个人信息，此规定，将部分个人信息排除在保护之外，限制了浏览者的权利范围。第二，关于Cookies装置的设置仍是“霸王条款”，因为浏览者无法排除该技术的应用。但是，从国内现有网站的隐私政策比较来看，凤凰网的隐私政策尚属完善且具有操作性的隐私保护政策。

总体上看，目前国内网站的隐私政策大多仅仅停留在宣誓阶段。制定隐私政策的网站虽然不少，但这些隐私政策几乎都和实施无关。对于大多数网站而言，挂在网站的一角进行某种意义上的宣誓就是它的全部使命。网站制定所谓的隐私政策的目的有二:一是标榜自己注重保护浏览者权益，树立自身的良好形象；二是一旦有法律纠纷发生，这些仅具有宣誓性意义的政策可以为自己开脱责任。总体来看，国内网站并无完善的隐私保护政策，更未建立政策的实施机制。在隐私权政策的内容方面，多缺乏完整性，仅提留在口号层次。相比较而言，国外网站的隐私政策大多受到重视，对于浏览者的权利、个人信息收集和使用的详细说明和告知、相关法律责任等。而隐私政策都会放置在首页的明显位置，以满足法律关于醒目原则^[11]的要求。此外，国外的多数网站都加入了一定的行业协会，其隐私政策往往是取得相关协会的专业认证的隐私政策。还有一个十分有趣的现象，国内网站往往在隐私政策中明示应遵守国家的相关法律，当侵害行为发生时，往往以法律责任为后盾；而国外网站则较少涉及法律，而是详尽说明网站的责任和浏览者可能遇到问题以及解决方式，求得纠纷在自律机制内得到解决。

（三）综合保护机制:我国保护机制之选择

所谓综合保护机制是一种将政府部门的立法机制和民事主体的自律机制相结合的综合保护机制。综合机制可以分为两类，一类是相加型综合保护机制。相加型综合保护机制是法律机制和自律机制简单相加，各行其是的综合机制；而另一类融合型综合保护机制。融合型综合保护机制是法律机制和自律机制相互融合、相互借力的综合机制。融合型综合保护机制往往是把自律机制纳入法律机制之中，而实现目的。具体说，就是通过在立法中确认行业自律的效力来实现立法和行业自律的有机结合的保护机制。它要求行政机关和行业组织根据自己的具体情况，拟定一个适当合理的个人信息的保护规则，该规则经过法定机关审查通过后，可以发生和法律一样的效力，遵守了该自律规则即为遵守了法律。我国香港《个人资料（私隐）保护条例》将行业自律规范称为“实务守则”（code of practice），在第三部分做了专门规定。根据该条例第2条的规定，“实务守则”包括标准、规格以及其他文件形式的实务性的指引。根据第三部分的规定，实务守则由隐私专员负责核准。经过隐私专员核准的实务守则具有相当于法律的效力。

与法律机制和自律机制相比，综合保护机制的优势在于，吸取了法律机制和自律机制的长处，既有法律的统一性和强制性，有兼顾了各具体行政机关和民事主体的实际情况，而且，对个人信息实行自律与立法的双重保护，可以发挥更好的效用。在两类综合机制中，相加型综合机制仍将法律作为最后的屏障，不利于自律机制发挥作用；而融合型综合机制通过审查而赋予自治规范法律效力，会极大促进自律机制的形成、完善和作用的发挥，但是融合型综合机制的实施成本非常高，一方面要求有独立的审查机关，另一方面，要求具有很高专业素质的审查人员。这两者都是我国目前尚不具备的。笔者认为，融合型综合机制是我国实施个人信息保护的理想选择，但我们必须面对现实，因此，笔者主张我国应选择融合型综合机制保护个人信息。

保护机制确定后，将面临具体的保护模式的选择问题。目前，较为成熟的保护模式有统一立法、分散立法、自律模式和安全港模式。以下几节就保护模式展开论述。