德国个人信息立法的历史分析及最新发展

　　内容摘要：随着大数据时代的到来，个人信息已经突破传统人格权的范畴，成为具有商业价值可供流通的标的。目前，我国个人信息大范围泄漏事件时有发生，黑色产业链已经形成。面对如此严峻的形势，立法方面仍然进展缓慢，现存立法的碎片状况加剧了信息保护实施的不确定性。作为大陆法系的典型国家，德国《联邦信息保护法》已经走过了40年的历程，先后经历过3次大规模改革。在其发展过程中，计算机技术的进步和联邦宪法法院的判决呈现出良性互动，成为推动德国个人信息保护发展的重要力量。以3次立法改革为视角，研究德国个人信息立法的发展历程，以期为我国个人信息保护立法提供域外经验。
　　关键词：个人信息 信息自决 信息安全 个人信息立法
　　近年来，随着互联网技术的快速发展，信息逐渐打破地域的限制在全球范围内实现集中。2012年，《纽约时报》惊呼“大数据”时代已经降临，信息将成为未来商业、经济及其他领域决策的重要工具。这是一场生活、工作与思维的大变革，不仅改变着人们的行为模式，也给传统法学理论，特别是隐私权理论带来了极大的冲击。在大数据时代中，个人信息逐步脱离人格权客体的范畴，成为具有商业价值可供流通的标的。信息经由专业的分析系统处理后，能够客观地展示用户习惯和使用偏好。网络服务提供商则根据分析结果提供个性化推荐服务，不仅提高了用户的使用体验，更形成了极大的商业价值。在经济利益驱动下，个人信息非法交易的黑色产业链逐步形成。据中国互联网协会发布的《中国网民权益保护调查报告（2015）》统计，仅2015年，网民因个人信息泄露、垃圾信息、诈骗信息等现象导致的总体损失约805亿元。
　　面对日益严重的信息侵害，我国立法却迟迟没有作出回应。早在2003年，国务院信息办就委托中国社科院法学所承担相关课题及起草专家意见稿。课题组于2005年完成了《个人信息保护法（专家意见稿）》，并于2008年提交到国务院。之后有关《个人信息保护法》的立法进程一直处于搁置状态。近年来，我国个人信息保护立法在体系上呈分散式发展。涉及个人信息保护方面的法律有将近40部，此外还有30部法规和大量的部门规章以及地方性立法。〔1 〕分散式立法模式导致信息保护实施中存在极大的不确定性，既缺乏对个人信息范围的界定，也缺乏可操作的标准。反观德国个人信息保护的立法发展，从第一部《联邦信息保护法》至今已经走过了40年的历程。这期间，计算机技术的发展和联邦宪法法院的判决呈现出良性互动，成为推动德国个人信息保护发展的重要力量。40年来，《联邦信息保护法》经历了3次大范围修改，形成了以联邦立法为核心、特别领域专门法为主体的个人信息保护体系。笔者以德国个人信息保护的立法进程为对象，以其产生、形成和最新发展成果为脉络开展研究，以期为我国个人信息立法提供域外经验。
　　一、产生：从隐私权到个人信息保护
　　个人信息保护的兴起与计算机技术的迅猛发展息息相关。在Cookie，Robots协议等技术大规模使用之前，个人信息一直作为隐私权的范畴，并没有引起德国学术界的过多重视。第二次世界大战之前，德国法学界仍然拒绝将名誉权和隐私权列入《德国民法典》第823条第1款的保护范围，损害名誉和个人隐私不产生赔偿义务。〔2 〕在1953年公布的《欧洲人权公约》中，“个人信息”作为“尊重私人生活和家庭生活”，体现在其第8条第1款中。〔3 〕但是，20世纪70年代以后，随着信息技术的发展，个人信息的收集和获取呈现出爆发式增长，传统的“私人生活”领域受到极大挑战。个人信息在隐私权的范畴下，缺乏对抗公、私主体信息滥用行为的有效权能。
　　1970年，历史上第一部关于信息保护的专门立法在德国黑森州诞生。第二次世界大战后德国在政治体制上更加依赖地方团体自治。作为基本政治制度，地方团体负责执行地方性法规、本州和联邦的法律。但是随着计算机技术的发展，信息开始在州乃至联邦范围内大规模、统一地采集、处理和使用。地方团体自治也因此受到威胁。1969年黑森州颁布法案，规定地方团体和州行政机关不再使用相同的信息处理中心。这一规定虽然一定程度上保护了地方自治，但也割裂了立法机关和执法机关的信息共享。与此同时，关于个人信息的保密问题也逐渐在社会上受到重视，民众对政府滥用个人信息的质疑日渐高涨。作为应对，各州政府纷纷开始将保密条款加入行政法规之中。在双重压力下，黑森州率先通过了《信息保护法》，明确行政机关的个人信息保密义务，重新划分地方团体和州行政机关在信息使用中的权限和地位。因此，这部法案在一定程度上是对1969年立法的延续。〔4 〕该法案共计17章，主要侧重于建立第三方信息监管机构和信息保护委员制度，并未就个人信息保护给出更多有益的措施。因此，有学者批评其用词不当。〔5 〕
　　虽然历史上第一部有关信息保护的法案产生于德国黑森州，但第一部国家立法则产生于瑞士。〔6 〕黑森州颁布《信息保护法》之后的第二年，德国各联邦州也陆续开启信息保护的立法进程。1971年，联邦政府在雷根斯堡大学组建专家小组，就未来联邦信息保护法的基本框架提供专家意见。虽然草案很快得以完成，但由于极大地限制了私法主体在信息取得和使用上的权利而深受诟病，最终被搁置。后来，德国联邦政府开始整合各州人口信息，建立国家人口信息信息库。作为该项目的法律依据，《联邦信息保护法（草案）》才重新提请审议，并最终于1976年11月通过，1978年1月开始生效。《联邦信息保护法》共有47个条文，在各州信息保护法已有规定的基础上，确立了“任何形式的个人信息处理必须经信息主体同意或有法律上的许可，方得为之的基本原则。” 〔7 〕这部立法采纳了公私二元制立法模式，注重防范政府滥用个人信息而不是合理使用个人信息，因此它只赋予信息主体少量的权利。〔8 〕
　　二、形成：内外因素作用下的现代化进程
　　1977年《联邦信息保护法》对信息处理持消极态度，过度的管制引发了德国社会的广泛批评。〔9 〕进入80年代以来，个人电脑逐渐在德国普及，信息技术的发展和盛行被视为德国社会发展的特征之一。于是，修改《联邦信息保护法》的呼声日益高涨。但是，议会先后审议了10个草案都未获批准。〔10 〕1982年3月，德国联邦议会全票表决通过了《联邦人口普查法》。该法案规定次年起（1983年），在联邦范围内实施包括住址、职业、教育经历等个人信息的全面登记。《人口普查法》颁布后，民众针对国家强制收集个人信息的行为产生了强烈的质疑。后来，100多位公民以违反《基本法》为由，将该法案诉至联邦宪法法院。法院审理后认为，该法案第2条中第1至7项以及第3条至第5条违反《基本法》关于“人格的自由发展”的要求，判决违宪部分无效，其余部分修改后实施。这就是德国隐私权发展史上最为著名的“人口普查案”。〔11 〕判决指出，在信息社会中，不可避免地存在个人信息的收集、处理和使用，任何人都有可能成为信息侵害的对象，因此，个人应享有“信息自决权”以对抗信息侵害。〔12 〕所谓“信息自决”是指信息主体有权决定其私人生活是否公开、公开到何种程度以及公开的时间和方式。宪法法院认为，信息社会中，个人如果无法评估其信息公开的程度，势必会影响其社会生活中的行为。特别是当其不愿为公众所知的信息有被公开的可能时，则对其自由发展之人格构成威胁。因此，结合《基本法》第1条第1款“人性尊严不受侵犯”和第2条第1款“人格发展之自由”，宪法法院将“信息自决”确认为一般人格权项下的基本权利。但是，判决同时也指出，信息自决在涉及公共利益和法律特殊规定的情况下应受到限制。这里所称的法律不仅应依据宪法制定，也要符合明确性和适度原则。人口普查案件之后，北威州、萨尔州和梅前州等联邦州先后将信息自决权写入州宪法中，逐渐在联邦范围承认其基本权利的地位。

相关热词搜索：德国 个人信息 立法 分析 发展