第29章个人信息及其保障机制的法律性质

范文舟

摘要：个人信息及个人信息权不仅仅是公法保护的对象，同时还应当是私法保护的对象，个人信息保护除了有刑法的保护以外，必需还要有行政法、民法的保护。最好制定独立的个人信息保护法，确立一个独立的个人信息保护机构，使之既涵盖公法规范的对象，又涵盖私法规范的对象。英国的机制比较合理和值得借鉴之处即在于，其保障机构及其职权的独立性，为使之能被更充分地理解，另作《英国个人信息保护的组织机构简介》附后对之进行专门介绍。

“图_中_不_figure_0217_0031_em”

“图说”合天律师事务所范文舟“/图说”

一、个人信息的法律性质

（一）个人信息的概念

所谓个人信息，是包括人之内心、身体、身份、地位及其他关于个人之一切事项之事实、判断、评价等所有信息在内。换言之，有关个人之信息并不仅限于与个人之人格或私生活有关者，个人之社会文化活动、为团体组织中成员之活动，及其他与个人有关联性之信息，全部包括在内。《中华人民共和国个人信息保护法（专家建议稿）》将个人信息定位为“个人姓名、住址、出生日期、身份证号码、医疗记录、认识记录、照片等单独或与其他信息对照可以识别特定的个人的信息”。

（二）个人信息与个人隐私的比较

俗话说，有比较才能为鉴别。欲弄清个人信息的法律性质，就必须将其与个人隐私进行比较。因为，个人信息和个人隐私的“血缘关系”是最近的。在法学界，个人隐私的定义、法律性质都已经比较清晰、稳定，是指公民个人生活中不愿为他人公开或知悉的秘密。隐私权是自然人享有的对其个人的、与公共利益无关的个人信息、私人活动和私有领域进行支配的一种人格权。在生活中，每个人都有不愿让他人知道的个人生活的秘密，这个秘密在法律上称为隐私，如个人的私生活、日记、照相簿、生活习惯、通信秘密、身体缺陷等。自己的秘密不愿然他人知道，是自己的权利，这个权利就叫隐私权。有学者把侵犯隐私权的行为总结为以下十类：

1.未经公民许可，公开其姓名、肖像、住址和电话号码。

2.非法侵入、搜查他人住宅，或以其他方式破坏他人居住安宁。

3.非法跟踪他人，监视他人住所，安装窃听设备，私拍他人私生活镜头，窥探他人室内情况。

4.非法刺探他人财产状况或未经本人允许公布其财产状况。

5.私拆他人信件，偷看他人日记，刺探他人私人文件内容，以及将他们公开。

6.调查、刺探他人社会关系并非法公之于众。

7.干扰他人夫妻性生活或对其进行调查、公布。

8.将他人婚外性生活向社会公布。

9.泄露公民的个人材料或公之于众或扩大公开范围。

10.收集公民不愿向社会公开的纯属个人的情况。

关于个人信息和个人隐私的关系，学术界一般有三种观点：第一种观点是个人信息包含个人隐私。持该说的学者认为，“个人信息”和“个人隐私”是包含关系，也就是说个人信息包含个人隐私，个人隐私是个人信息的下位概念，是个人信息的一部分。诸多个人信息并不涉及个人隐私，比如公开的个人信息，这部分个人信息的保护与隐私权无关，但本人仍享有对这部分信息的收集、处理与删除的决定权，并且本人还享有查询并更正信息内容的权利。第二种观点认为，个人信息和个人隐私是交叉关系。个人隐私与个人信息是一种交叉的复杂关系。从权利客体的角度看，隐私权的客体包括私人信息、私人空间和私人活动，个人信息只是隐私权的保护标的之一；而从权利保护范围看，个人信息除了包含不能或者不适于公开的私密信息以外，还包含大量的可公开信息，个人信息的范围要大于个人隐私。第三种观点认为，个人隐私包含个人信息。如前所说，隐私，又称私人生活秘密或私生活秘密，是指私人生活安宁不受他人非法干扰，私人信息保密不受他人非法搜集、刺探和公开等。隐私权是自然人享有的对其个人的与公共利益无关的个人信息、私人活动和私有领域进行支配的一种人格权。隐私权保护的内容包括个人信息、个人生活与个人私事决定。可见，个人信息是隐私的下位概念。

笔者比较赞成第一种观点，即认为个人信息包含个人隐私。个人隐私的范围要小于个人信息，即个人隐私只是个人信息中的一部分，“是指公民个人生活中不愿为他人公开或知悉的”那一部分个人信息。对这部分个人信息的权利即构成为法律上的个人隐私权。但是法律保障的并非仅仅是这部分个人信息，而是所有的个人信息，不管是信息所有人是否愿意公开，都是受到法律保护的，这就是个人信息权。

二、个人信息保障机制及其法律性质

（一）相关国家的个人信息保障机制及其法律性质“注释◆◆◆1”

各国的国情不同，个人信息保障的机制也不同。如，美国是司法机构即法院保障机制是司法性质的。这也是大多数国家的做法。英国的个人信息保障机制非常独特，被认为是“（准）宪法性质”的，为全世界大多数国家所瞩目。虽然英国的国情和我们不同，但是他的个人信息保障机制所彰显的保障理念很值得包括中国在内的许多国家学习和效仿，实际上，也的确有许多国家予以效仿。所以，本文以下就不吝笔墨予以介绍。

欧盟信息保护指令第28条要求各会员国的个人信息监督机构应被赋予广泛职权，其中包括调查权、有效的干预权、参与法律程序、听取个人申诉等权力，同时其要求个人信息监督机构必须履行定期提出其行使职权的报告、与各会员国个人监督机构合作、保守业务机密等义务。

就英国内国法的规范而言，信息专员办事处的职责亦分别由信息保护法、信息公开法、环境信息规则所规定。其中要求信息专员办事处扮演几种角色，包括个人信息保护的促进者、规范制定者、保护者、合作沟通的桥梁等角色。

就作为促进者而言，信息专员办事处的职权包括：1.促进信息管理人公共机关良好的实践（good practice），促使其各自遵守1998年信息保护法，且在涉及公共机关的时候，确保其遵守信息自由法以及国务秘书依该法制定有关实践行为的执行规则。2.为大众提供有关法律规定与执行、良好实践及与信息专员工作相关的信息。3.与官方信息保存者协商有关促进公共机关遵守信息管理执行规则之情事。该协商同时须在向公共机关就执行规则发布建议之前进行。4.审查送交至专员办事处的出版计划（publication schemes），并决定是否支持各项计划。

作为规范制定者，信息专员办事处必须：1.依据适当的商议结果，在信息专员认为恰当或在国务秘书指示之下，发布关于信息保护的良好实践方面相关执行规则，以做指导之用。2.信息专员同时也须在适当的情形下，鼓励商业协会准备与宣传资料保护的执行规则，并对该送交于信息专员的规则予以审核，经合适的咨询之后，对该执行规则提出相关意见。

作为保护者，信息专员办事处的职责包括：1.保存信息管理人依照信息保护法予以通报的登记事项，并就该登记可加入新的记录或修正旧有纪录。信息专员须让大众具有途径免费查阅上述登记中的相关信息。信息专员亦须让所有社会大众可通过缴付规定费用而获得该注册信息的核证副本。2.处理依照信息自由法而提出的决议申请。信息专员须决定公共机关是否遵守信息自由法的相关要求而处理公众对于信息的请求。3.处理根据信息保护法所提出的评估要求。信息专员应评估该直接影响公众的信息处理是否符合法律要求。当信息委员对信息管理者的信息处理做成良好执行的评估结果时，应通知信息管理人相关结果。4.持续审查通报系统相关规则的适用情况。若须由国务秘书进行审查，则信息专员应考虑所有关于通报规则的事项，并就该事项提出对通报规则进行修正的建议。5.对所有向信息专员就涉及特别目的处理信息的案件提供法律援助的申请，予以考虑并决定，随后也须将该决定通知申请人。

同时信息专员办事处亦需承担合作桥梁的角色，作为英国的国家监督机关，对外其基于欧洲法制与其他国际规定下，履行各种有关或源自该信息专员就信息保护所扮演的国际角色而形成的职权。特别是信息专员就所有其所通报或授权的国际信息传送事宜，应该通知欧盟执委会与其他欧洲经济区内的国内监督机关。对内部分，信息专员应每年向国会提出关于其依据信息保护法与信息自由法行使职权的整体报告。而就未列入上述报告，依照国务秘书指示，且根据信息专员所制定的信息保护执行规则，也都应该送交至国会。

英国保护个人信息的专门机构是信息专员办事处，是为了促进公民对于官方信息的权利与保护个人信息所设立的一独立公共机关。就国家的行政目的来看，英国信息专员办事处作为国家体制中的一环，为内阁底下的非部委公共机关（the non-departmental public body， NDPB）。为了使得信息专员办事处能善尽保护者的角色，立法赋予信息专员办事处如下相对应的权力。

第一，信息通知书。根据信息自由法与环境信息规则，英国信息专员可对所有公共机关传送“信息通知”，其可要求该公共机关向专员提供特定的资讯。这需在就该信息需要检验查阅的要求是否被恰当的处理、决定公共机关是否遵守信息自由法第一部分与环境信息保护规则第二部分的规定时，或在判断信息处理是否遵从相关法律规定时进行。依据信息保护法，信息专员办事处亦有相关的权力工具，信息专员办事处可在特定情况下，传送“信息通知书”并评估该法是否受到遵行。在此需要信息管理人向信息专员提供在某段期间内特定的信息，其将有助于信息专员评估该法是否受到遵守。

第二，决定通知。根据信息自由法与环境信息规则，英国信息专员有权在其审议相关申诉之后发布“决定通知”。在此通知中，信息专员将阐述，该案件是否遵守了相关法律或规则的规定。当公共机关未满足法律或规则所规定的要求时，该通知书将会特意指出该机构为遵守该要求所必须采取的措施。其同时也会特别限定上述措施的实施期限。

第三，执行通知。英国信息专员有权在其审议相关申诉之后发布“执行通知”。该通知将特别指出该公共机构所应采取的措施以遵守所有信息自由法与环境信息法的规定。该通知的内容亦将特别限定实施的期限。若该公共机构未能依照法律、决定或执行通知书而为其所规定的措施，则将视同藐视法庭罪而被处理。依据信息保护法，信息专员亦可传送一执行通知书，就违反该信息保护法或即将违反的情况，命令其遵守该法律规定，在此亦需信息管理人采取特定措施或阻挡特定措施，以令其得以遵守法律规定。

第四，审核权。依据信息保护法，经信息管理人的同意，信息专员可以查阅所有信息处理的资料，以确保其就信息保护法有良好的实践。且经公共机关同意，信息专员有权查阅公共机关是否有遵守信息自由法的良好实践方式。有人称此为“审核”权利。

第五，提起诉讼。依据信息保护法，信息专员有权对构成了信息保护法或信息自由法中的罪名之人提起诉讼。与此相连接，其也有因调查该犯罪而衍生的登录与近用权利。

而苏格兰信息专员由于主要任务系实践2002年苏格兰信息公开法，其个人信息保护业务，仅在政府信息公开与个人信息保护产生冲突可能性时，方会出现。实践中，出现过的诉讼实际案例，原告是被苏格兰信息专员认为违反2002年苏格兰信息公开法第15条的提供建议与协助义务，而原告以1998年信息保护法作为豁免例外规定（2002年苏格兰信息公开法第38条第1项参照）仍拒不提供，在经信息专员纠正后依2002年苏格兰信息公开法第56条向法院提起诉讼。

（二）我国个人信息保障机制的现状及改进设想

《中华人民共和国刑法修正案（七）》七，在刑法第二百五十三条后增加一条，作为第二百五十三条之一：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。”“单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

刑法的这一规定使得我国的个人信息，而不仅仅是个人隐私，得到了刑法的保护，应该是一大进步。但是，我国的个人信息保护机制仍然存在以下可商榷的地方：

第一，刑法上的此一规定，并没有民法上的相应规定做铺垫，而这一“铺垫”是必需的。因为，按照上述规定，“情节严重的”，才被追究刑事责任；言下之意，情节不严重的，就不可能被追究刑事责任，就该被追究民事责任，可是，当我们追究行为人的民事责任时，就会发现，我们会面临无法可依的尴尬。因为我国的民事法律规范中没有保护个人信息的内容。而依据前文的内容可知，在法解释学上，我们无法引用隐私权的法律规定来保护个人信息权的，也无法引用政府信息公开条例的规定来保护个人信息权。

第二，即便是刑法保护机制，我们也会发现，我国刑法规定的是“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定”侵犯个人信息，才可能被追究刑事责任。那么，非此条规定的人员呢？他们侵犯了个人信息权了，怎么办呢？这在法律解释学上也是无法解决的。

第三，刑法修正案的这一规定，也仅仅是规定了相关单位的刑事责任，而没有规定行政责任。即在行政法上，我们也无法保护个人信息权。

综上所述，在我国，侵犯个人信息的事例大量发生也就不奇怪了。当事人的个人信息权被屡屡侵犯，也就是司空见惯的了，行为人侵犯了个人信息权而不会被追究，也就不奇怪了。

笔者对我国的个人信息保护机制建设提出以下设想：

一是由上述英国的经验可知，个人信息的法律性质是独特的，并不为个人隐私等概念所涵盖。所以，其法律保护机制也并不为刑法、民法上隐私权的保护机制所涵盖。所以，个人信息保护除了有刑法的保护以外，必需还要有行政法、民法的保护。最好的办法是制定独立的个人信息保护法，确立一个独立的个人信息保护机构，使之既涵盖公法规范的对象，又涵盖私法规范的对象。

二是次一级的办法，即对我国的有关行政组织法，如人民警察法等法律法规进行修改，规定国家机关及其工作人员侵犯个人信息的行政责任。也可以规定特定的机关，如人民警察，对个人信息的行政保护职责；对我国的有关民事法律规范进行修改，如侵权行为法，规定侵犯个人信息的行为会被追究民事责任。

三是我国的国情不同于英国，可以在公安机关内部建立专门的个人信息保护机构，但它不能提起诉讼，可以继续应用司法机关的保护机制，即法院保护机制。

附文：英国个人信息保护的组织机构简介

英国有其专门的个人信息保护机构，即信息专员办事处。本文现对其基本情况做一简介。

一、法律地位

英国信息专员办事处是为了促进公民对于官方信息的权利与保护个人信息所设立的一独立公共机关。就国家的行政目的来看，英国信息专员办事处作为国家体制中的一环，为内阁底下的非部委公共机关（the non-departmental public body，有人将非部委公共机关称为“准自主非政府组织”（Quasi-autonomous non-governmental organizations， Quangos），但是事实上更严谨地说，非部委公共机关不是非政府组织，因为一般非政府组织指的是民间自行成立的团体，但是其实非部委公共机关是由政府成立的，因此其本质依然是国家所成立的机制之组成部分，而应强调的重点是其本质是非部委的。也有人称非部委公共机关为“形式上的政府组织”（paragovernmental organizations），其所强调的是非部委公共机关只有形式上是政府组织的一部分，实质上则有其独立性。而其实非部委公共机关是摇摆于政府与非政府之间，其不是民间团体，具有形式上政府组织的一部分之特质，但是却又与部委有一定距离。

就一般原则而言，其实非部委公共机关被认为是在建立或适用政策时协助部长及部委，特别是在需要专业领域，而因为他们与政府的距离，同时他们不在部委之内，也非公务员，因此有独立的空间。但是相关部委仍然必须对于非部委公共机关的独立性、效率及成效向国会负责。既然设立执行型的非部委公共机关是要使部委不需对之紧密监督，即只有在有非比寻常或是困难事情发生时，相关部委首长才需要介入或是被告知。

然而，实际上英国信息专员办事处是否可能成为独立的保障个人信息的机制，或可能通过其人事任命、经费预算、内部结构等方面进一步一一论述。

二、人事任命

有关信息保护专员任命的程序，依据英国1998年《信息保护法》第6条第2项规定，信息专员应由英女王陛下以特许状任命的，而实质上则是由政府任命的。至于其任期，则规定于该法附件五第二段，规定其任期于其受任命时决定，但每任任期都不得超过五年（第1条）；至于其解职条件，则规定于同段，亦即信息专员可经女王陛下或自行之请求而解职（第2条），或可由女王陛下依据上下议院的要求而去职（第3条），而有在完成该年度的职务时，该专员已达六十五岁；或者若未达该年龄，在其任职届满十五年此二条件之一成就时，则必须解职。不过，在任期届满时停止担任信息专员的，具有资格可为再行任命。但该再行任命的情形，除非因为公共利益的需要，否则不得超过两任以上，且不得连续任命。（同段第4、5条）。

苏格兰信息专员的人事结构则规范在2002年苏格兰信息公开法第48条，其任命与解职条件与前述英国信息专员大致相同，仅在议会解职方面系由苏格兰议会全体三分之二决议后必须解职此点稍有不同。

因此其任命程序其实是由行政权掌握，而去职除了法定要件之外，尚受行政权及国会的钳制，严格说来，其非独立的机制。

三、经费预算

由于欧盟个人信息保护指令第62条规定：“在各会员国建立监督机关，并在完全的独立性下行驶其职权，乃为保障个人人权中关于个人信息之保护极为重要的一环。”因此，很明显地，信息专员行驶职权需要相当的资源支持，其经费来自于两个方面，一方面是公共基金，另一方面是政府预算补助。

因为该公共机关本身也是信息管理者，因此考虑到该资源的来源可能将不可避免地影响信息专员的独立性，故于1998年信息保护法的规定中设立公共基金，该基金的来源乃为该通报管理系统之所得，此收入将用于支付信息专员有关资料处理保护相关活动的花费，该公共基金来自信息管理人依信息保护法通报其就个人信息进行处理所缴交的费用累积而成。除了财政方面的考虑以外，该通报系统的目的同时还在于确保个人与他人可经由简便的公共途径获得关于信息管理员的资料。从2009年10月的预算看，信息专员总体预算金额为19.5M，其中就有14.0M来自通报费用部分。

除了公共基金之外，政府也对信息专员提供财政补助。关于落实信息自由法方面的花费则持续由该司法部的财政补助所支持，该财政补助于2007年至2008年间为5，050，2008年至2009年间为5，500.而预算的流程是，每财政年度开始之前，司法部将与公共服务协商部门中与信息专员相关的目标，及下一年将影响信息专员的政策变更声明一起，寄送信息专员。一旦司法部完成了该声明的寄送，则在遵守相关法规、总体政策、管理计划、财政备忘录等限制之下，信息专员就有权在该预算之内进行花费，而不须进一步地请示司法部。故资助部门决定将向信息专员所支付的财政补助金额，并由司法部部长（Secretary of State for Justice）通过。且支付该赞助金额须符合赞助部门所订定的条件。

从经费预算来看，英国希望信息专员办事处的经费尽可能不由政府预算中支出，尽可能形成自给自足的状态，但是显然这种方式会影响信息专员办事处行使职权，如果信息专员办事处无法提高收费标准，其不能有更好的资源，但是提高收费标准却又会转嫁于信息使用者，如此可能使得信息专员办事处陷入两难境地。而政府补助部分则由司法部掌握，行政权有一定的预算掌控权，也难以达到预算独立的境界，因此信息专员办事处必须在此双重困境之下取得其经费预算。

四、内部结构

依照信息保护法附表五第四段，信息专员有权任命一个或一个以上的助理专员，且也有权决定其所雇佣的主管、员工人数以及该雇员所得的薪资与工作条件等，作出这些决议都需经国务秘书（secretary of state）核准。目前信息专员办事处的总员工数为365人。信息专员旗下设立两名助理专员，分别负责信息自由与信息保护事项，另设人事资源主任、沟通与外部关系主任、整体运作主任等，各自就其负责领域统领相关人员。

而关于信息专员办事处的政策决定与运作方面，其又就现有成员分为营运理事会（management board）、执行小组（executive team）、审计委员会（audit committee）、管理委员会（operational management committee），以协助信息专员作成相关决定。

另外信息专员办事处还分别在北爱尔兰、威尔士、苏格兰设立区域办公室，以满足当地的需要。而在苏格兰方面，由于苏格兰有独立的议会，因而该机制即对该议会负责，并由苏格兰政府资助。其信息专员则是仅仅针对信息公开方面加以设置，同时包含环境信息公开的相关规则。然而，苏格兰信息公开法中的例外规定，亦包括到个人信息保护的理念范围，从而，其信息专员也会接触到个人信息保护的相关议题。

由上述可知，信息专员办事处有内部职权的分工，也有英国国内区域组织的差别，但是核心问题是当其地位被界定为是内阁底下非部委公共机关时，其人员数量、规模是由内阁决定，被归纳到广义行政权之下，不过信息专员办事处有人事任命的自主权，相对地尚可维持其人事自主权。

五、职权范围

欧盟信息保护指令第28条要求各会员国的个人信息监督机构应被赋予广泛职权，其中包括调查权、有效的干预权、参与法律程序、听取个人申诉等权力，同时其要求个人信息监督机构必须履行定期提出其行使职权的报告与各会员国个人监督机构合作、保守业务机密等义务。

就作为促进者而言，信息专员办事处的职权包括：1.促进信息管理人公共机关良好的实践（good practice），促使其各自遵守1998年信息保护法，且在涉及公共机关的时候，确保其遵守信息自由法以及国务秘书依该法制定有关实践行为的执行规则。2.为大众提供有关法律规定与执行、良好实践、及与信息专员工作相关的信息。3.与官方信息保存者协商有关促进公共机关遵守信息管理执行规则之情事。该协商同时须在向公共机关就执行规则发布建议之前进行。4.审查送交至专员办事处的出版计划（publication schemes），并决定是否支持各项计划。

作为规范制定者，信息专员办事处必须：1.依据适当的商议结果，在信息专员认为恰当或在国务秘书指示之下，发布关于信息保护的良好实践方面相关执行规则，以作指导之用。2.信息专员同时也须在适当的情形下，鼓励商业协会准备与宣传资料保护的执行规则，并对该送交于信息专员的规则予以审核，经合适的咨询之后，对该执行规则提出相关意见。

相对地，为了使得信息专员办事处能善尽保护者的角色，亦赋予信息专员办事处如下相对应的权力。

第一，信息通知书。根据信息自由法与环境信息规则，英国信息专员可对所有公共机关传送“信息通知”，其可要求该公共机关向专员提供特定的资讯。这需在就该信息需要检验查阅的要求是否被恰当的处理、决定公共机关是否遵守信息自由法第一部分与环境信息保护规则第二部分的规定时或在判断信息处理是否遵从相关法律规定时进行。依据信息保护法，信息专员办事处亦有相关的权力工具，信息专员办事处可在特定情况下，传送“信息通知书”并评估该法是否受到遵行。在此需要信息管理人向信息专员提供在某段期间内特定的信息，其将有助于信息专员评估该法是否受到遵守。

“注释★★★1”本部分关于英国个人信息保障制度的介绍之详细内容见后附拙文：《英国个人信息保护的组织机构简介》。

第29章 个人信息及其保障机制的法律性质

第29章个人信息及其保障机制的法律性质