个人信息保护之比较法分析——兼评《个人信息保护法》第4条.pdf

1、 109法治时空个人信息保护之比较法分析兼评个人信息保护法 第4条个人信息是一把双刃剑，其可以帮助第三人快速精准地识别某个体，但是如果让不法分子掌握大量个人信息并不当使用时，则会造成严重的不良后果。如今，全球正进入信息化社会，大数据技术的应用使得信息处理者希望通过各种渠道获取更多的个人信息，从而追求更大的经济利益，这导致了社会个人信息被非法获取的情况日益增多。近年来，中国电商经济发达，但出现了各大电商平台恶意收集个人信息的情况，我国在这方面面临颇大的挑战。个人信息的概念与学说简单而言，个人信息指的是能够识别特定自然人的各种信息集合。其在发展的过程中经历了“以隐私权为基础”到“以公民基本权利为基

2、础”的转变。起初，个人信息与隐私权息息相关，但仅局限于一些较为私密的信息。但后来，个人信息被赋予了新的内涵。不仅包括人的内部信息特征，也包括人的一些社会特征，甚至约束社会的各个主体，使个人信息不被侵犯。各国关于个人信息保护的发展不尽相同，而且保护的模式也因不同的立法源于不同的法律传统及文化有所区别。但是，对于如何定义个人信息，在学界中普遍认为主要有三种观点：关联说、隐私说和识别说。关联说，如同字面意思一样，认为只要与个人相关联的信息即为个人信息。而隐私说则是认为与个人隐私相关的信息才可能被称为个人信息。在我国，目前的主流学说是识别说。这是因为，关联说盲目扩大了个人信息的范围，不利于现代信息自王

3、宇轩（澳门科技大学法学院中国澳门999078）摘要：信息技术的发展便利了人民生活，却带来了一系列信息安全问题，其中个人信息安全就面临诸多挑战。国际上，已采取立法保护个人信息的国家和国际组织包括美国、德国、中国和欧盟等。但各国的立法关于个人信息保护的规则又不尽相同。美国以隐私权为基础，对个人信息保护采取分散立法；德国先是以隐私权为立法基础，后又将人格权作为权利基础；欧盟基于其特殊的法律渊源，逐步加强对个人信息保护；中国个人信息保护立法起步较晚，但不断借鉴国外优秀经验，如今已形成民法、刑法、行政法、个人信息保护法等多元综合治理体系。关键词：个人信息保护；比较法；保护模式；个人信息保护法由与流通。而

4、隐私说则混淆了个人隐私与个人信息两个不一样的概念。所谓识别说，是认为只有能够直接或间接识别特定个人的信息。识别是指通过信息能够特定地对某一个个体进行识别，使得信息与个体有一个清晰的对应关系。我国于2021年11月1日所施行的个人信息保护法所采取的正是识别说。个人信息保护的比较法分析德国模式德国在该方面的发展有一个曲折的过程。尽管早在1970年德国就颁布了黑森州数据保护法，但是后来德国深受美国的隐私权理论影响，并于1977年形成德国联邦个人资料保护法。德国个人信息保护立法一开始并没有权利基础，在受到美国的隐私权理论影响后将个人信息保护立法的权利基础转移到个人隐私权上。在美国，隐私权之所以能成为个

5、人信息保护的权利基础是有一个循序渐进的过程，最终发展为“大隐私权”。但是在德国并没有这样的传统，这就导致了德国在实践中碰到了问题。1982年德国出于人口普查的需要，对公民进行信息的收集。但是这引起了公民对自身权益的担忧。后来，德国的法院认为这一法律因损害公民的基本权利而违宪。判决中这样说明“其内容包括个人得本诸自主决定的价值与尊严，自行决定何时及于何种范围内公开其个人的生活事实。”1不难看出，本次的宪法判例为德国个人信息提供了新的权利基础，即认为个人信息保护不再是简单的权110 法治时空利，而是公民的一项基本人权。德国的人权保护范围十分广泛。正是基于人格权的广泛性，德国在保护模式上与美国截然不

6、同，其并没有采取公私领域分开的模式对个人信息进行保护，而是专门制定一部有关个人信息保护的单行法，从上而下严格规范个人信息保护。不仅如此，德国在设置专门单行法的同时还建立一套科学完整的监督体系，对个人信息保护法进行立法监督。德国的这种保护模式使得各领域在个人信息保护方面均有明确的立法，避免了行业制定规则的任意性，有利于国家集中维护个人信息领域的秩序。欧盟模式欧盟是一个超国家主义的区域国际性组织，其个人信息保护的模式与一般国家不同。由于欧盟组织的特殊性导致其法律渊源较为丰富，其中包括公约、条例、指令、决定、建议及意见等多种方式。因此，欧盟在不同时期通过不同的立法形式来保障个人信息安全。通过各国签订

7、公约的形式来保护个人信息。1980年，欧洲议会制定了关于自动化处理个人数据的个人保护公约（以下简称公约），公约在国际上被公认为最为重要的个人信息保护的国际公约性法律文件。尽管在1980年欧洲议会制定了 公约，第一次使欧洲各国认识了个人信息保护法律，但在国际上，公约一般需要国家自愿参与和实施，欧洲各国在实施公约上的积极性又参差不齐，最终导致公约的实施效果不理想。通过指令的形式来保护个人信息。公约实施后并没有得到很好的效果，因此，为了贯彻落实个人信息权利的保护，在1995年，欧盟颁布了 关于个人信息处理及个人信息自由传输的指令（以下简称数据保护指令）。毫无疑问，数据保护指令是欧洲个人信息保护的里程

8、碑，其开启了欧洲各国的个人信息保护立法。但在欧盟法的规定中，指令并没有直接效力，需要成员国通过制定国内法以实施指令的要求。这就导致各成员国将指令转化为国内法时存在不同的解释和选择，增加了欧盟个人信息保护法律制度的复杂性、不确定性。2通过条例的形式来保护个人信息。条例缺乏直接效力从而导致个人信息保护法律的混乱，为了解决这个问题，欧盟于2016年表决通过了通用数据保护条例，（以下简称数据保护条例），并于2018年5月正式实施。数据保护条例用条例的形式规定了个人信息保护的相关制度，能够直接适用于成员国以及各成员国的公民。数据保护条例与数据保护指令相比，通过增加案件的管辖范围、加强对违法者的罚则、增设

9、被遗忘权、取用权、数据可携带权多个权利及拓宽适用对象等多方面进一步加强对个人信息的保护。数据保护条例关注社会上的弱势群体，明确反对与禁止国家、政府及企业非法滥用个人信息，从制度上保护了成员国各国人民的基本人权。不仅如此，数据保护条例在各成员国中具有直接效力，不需要各成员国通过国内法转化，保证了此项制度在成员国统一适用。而且，数据保护条例中出现的被遗忘权、数据可携带权等新型个人信息权利也为世界各国在个人信息保护立法中提供了范本。中国模式中国在个人信息保护中借鉴了德国的模式，从上而下制定相关的法律规范以保护个人信息安全。但是，中国在保护个人信息安全的模式又独具特色，逐渐形成了一套多元综合治理的立法

10、保护模式。3民事法律制度保护。2013年新修订的消费者权益保护法第50条4规定了消费者的个人信息应该得到保护。而2017年民法总则第111条5不仅规定了个人信息受法律保护，还细化了保护个人信息的适用情况。2021年民法典开始施行，民法典适应了时代的发展，加大了对个人信息的保护力度，用了整整一章专门规定了隐私权和个人信息保护。民法典不仅界定了隐私权与个人信息的概念、规定了使用个人信息的条件与免责事由，还约束了信息处理者。这无疑是我国在保护个人信息安全上的一个重大进步。刑事法律制度保护。我国在刑法修正案（九）中增设“侵犯公民个人信息罪”，旨在惩戒不法分子侵害公民个人信息的行为，保障公民个人信息安全

11、。该罪与融合前的两罪相比下，体现我国日益重视个人信息安全的保护，体现了我国立法的时代性。行政法律制度保护。在2012年全国代表大会常务委员会颁布了 关于加强网络信息保护的决定中的第2条就规定了信息处理者在处理个人信息中所要遵守的相关原则。而在2013年工信部所制定的电信和互联网用户个人信息保护规定中也强调了信息处理者的义务与责任。由此可见，我国行政机关对个人信息保护的规制起步较早。综合性的专门法律制度保护。我国个人信息保护法于2021年11月1日起施行。该法是我国保护个人信息上的一块里程碑。首先，其全面规定了个人在信息处理中的权利，不仅细化了对信息查询权、复制权、删除权的规定，还特别增设了数据

12、携带权。其次，该法强化了个人信息处理者的保护义务，加强了对信息处理者的监督。再 111法治时空次，其为公民维护个人信息安全提供了完善的法律救济途径，公民不仅能够通过该法对违法者提起诉讼，还能通过民法典中的兜底法律维护自身合法权益。最后，该法规范了国家机关对于个人信息处理的行为，将个人信息保护的范围扩大至国家行政机关。个人信息保护法第4条的评析我国的个人信息保护法结合我国国情，在借鉴国外各优秀保护模式并加以发展的基础上颁布，为人民个人信息安全提供了坚实的法律保障。个人信息保护法具有诸多的亮点与创新之处，其中就包括对个人信息概念的界定。个人信息保护法在个人信息概念的界定之上除了坚持国内主流学说“识

13、别说”外还借鉴了欧盟一般数据保护条例的规定，在“识别说”的基础上，又加上了“关联说”的标准。6个人信息保护法第4条规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”个人信息保护法第73条就进一步明确了匿名化的定义。由此观之，该法旨在拓宽了个人信息的范围，从而进一步保障人民的个人信息安全。国内主流学说“识别说”尽管能够较为准确地定义个人信息的概念，但在网络信息技术发达的社会背景下仍然有所缺陷。以互联网的信息收集与个性化推送为例，很多情形下，从互联网上收集的个人信息并不包括个人的姓名、电话与地址，仅仅是收集用户的IP地址、MAC地址、I

14、MEI码、浏览记录、消费记录及种种行为信息，但这类信息与推送行为都对个人权益造成了重要影响。7由此看来，这些关联的信息表面上无法精准识别个人，但如果被泄露同样会造成个人权益的损害。因此，个人信息保护法第4条中添加了“有关”的表述，在互联网发达的背景下扩大了个人信息的范围也丰富了个人信息的内涵，体现了我国立法者贴合实践的立法精神。而且，在“识别”的基础上加上“有关”的表述，能够避免一些信息处理者在收集信息时自认为收集的信息不足以识别某个特定人的身份就加以滥用的情况，例如，在大数据发达的背景下，一些碎片化的信息看似没用，但是只要不法分子将部分碎片化全部整合就能完全获取公民的核心信息，进而损害其信息

15、安全。因此，该条适当扩大了个人信息的范围，而且丰富了其内涵，有利于全面系统地保护人民的个人信息权。但是，我们也应看到此条款的局限之处。即该条中增加“有关”的表述会导致条文模棱两可，势必会导致司法适用上出现问题。这是因为不同法官的知识水平和对条文的理解水平存在差异，这就会导致同案不同判的情况频频发生。这也是立法者在立法过程中企图穷尽所有的问题而忽视了现实中司法适用的局限性。但是，出于我国特有的制度优势，我国相关机关可通过出台司法解释的方式对“有关”的内容进行补充与完善，尽可能列举出相关的情形，为个人信息保护法做出兜底的规定，完善该法，为司法适用提供切实的参考，推动我国个人信息保护向精细化发展。总

16、的来说，虽然各国基于自身的司法实践、法律传统等因素而导致个人信息保护的立法起步时间与立法模式不同，但均已开始立法进程。近年来，中国电商经济发展迅速，在个人信息保护上面临着巨大挑战。一些电商通过非法获取个人信息以达到其销售的目的，给人民的生活带来较大的困扰。因此，在立法上，我国应借鉴不同模式中关于个人信息保护的做法，在我国通过综合的法律体系切实维护公民信息安全。在司法上，应当明确各种侵害个人信息的行为，推动个人信息保护向精细化发展。在学界上，应提倡更为全面及精准的个人信息保护理论，切实保障公民的信息安全。注释1王泽鉴.人格权的具体化及其保护范围隐私权篇（上）J比较法研究，2008(6):1-21

17、2刘云.欧洲个人信息保护法的发展历程及其改革创新J暨南学报（哲学社会科学版）,2017年第 2 期。3沈红雨.大数据流动背景下个人信息保护法律制度的挑战与对策基于比较法的视角J中国应用法学,2021(02):1-13.4消费者权益保护法 第五十条：“经营者侵害消费者的人格尊严、侵犯消费者人身自由或者侵害消费者个人信息依法得到保护的权利的，应当停止侵害、恢复名誉、消除影响、赔礼道歉，并赔偿损失。”5 民法总则 第一百一十一条自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信

18、息。6王利明,丁晓东.论个人信息保护法的亮点、特色与适用J法学家,2021(06):1-16+191.DOI:10.16094/ki.1005-0221.2021.06.001.7See Frederik J Zuiderveen Borgesius，“Singling Out People Without Knowing Their Names-Behavioural Targeting，Pseudonymous Da-ta，and the New Data Protection egulation”，Computer Law Security eview，Vol 32(2016)，pp 3135