个人数据保护法的制定的介绍

（一）立法模式的多元化选择

通过比较法视野下的个人数据保护立法模式的考察，可以发现在全球范围内，传统的大陆法系国家包括英美法系中最具影响之一的英国都采用了统一立法模式，同时在现实立法中最初效仿美国进行分散模式立法保护个人数据权益的国家，后来也纷纷调整转向统一立法。统一立法模式的前提是在个人数据权保护中首先设定一个个人数据保护的基本法，在充分考虑到个人数据特征和个人数据权益需求的基础上，不仅对公共机关的数据利用行为作出规定，而且对私法主体也就是个人的数据的利用和保护义务作出规定，并且考虑到数据处理行为的内在联系，实现个人数据保护上的标准一致。同时，考虑到我国现有法律制度的更新方式和立法传统，首先制定出一部基础性的个人数据保护法，再进行细分制定具体的规则，更加符合我国的实际，因此，应当在原则上采用统一立法模式制定专门的个人数据保护法，同时兼顾其他模式的优势，在多变、专业的数据利用中发挥行业组织专业化的优势，促使其参与到个人数据保护的立法之中，取长补短，建立多元化的个人数据保护体系，其原因如下：

1.个人数据保护法应采用统一立法模式

（1）基础立法规定能够对制度规定起到统领作用。个人数据保护法是对个人数据领域的各类保护规则的总则和一般规定。个人数据保护法规定的是个人数据保护领域最核心的问题，而单行规定则针对特殊领域进行保护，这就为单行立法和行业规则的制定提供了方向，保障了个人数据相关立法的统一。任何复杂规则的系统化实现都必须有基础立法的规定，如合同法、侵权法都由债法总则进行一般性规定，而债权法、物权法都应当符合民法总则的基本要求。大数据时代已经到来，在对个人数据进行法律保护时，影响的主体不仅包括了个人，还包括了行政机关、社会组织，涉及的改变不仅影响到民法领域，还包括刑法、行政法、劳动法等法律领域。因此，对这些复杂的法律关系、多部门的法律规范进行统一的协调，进行基本法意义上的个人数据权保护法不仅是法律权利位阶上的需要，还是法律规定得以避免冲突、重复的需要。

（2）统一立法有利于实现立法效果。从采用统一模式立法的国家立法后的事实效果来看，统一立法更有利于某个数据管理机关在数据管理中进行全面的职责履行，从而实现系统的个人数据保护。个人数据的保护同时跨越了公共管理领域和私权保护领域，但是两者在价值取向和目标上是一致的，公共管理是为了实现个人数据的有效利用和防止损害个人数据权利人利益情况的发生，私权保护领域是为了要利用个人数据创造价值并维护私权主体的个人数据权益，总的来看，二者的终极目标都是为了实现个人数据权的优化配置和利益实现，而并非行政效率的改善。同时，在进行个人数据保护时，无论是采用统一立法还是采用分散立法的国家，不区分公法保护还是私法保护所采用的个人数据保护相关原则都是一致的。因此，个人数据保护采用统一的立法模式可以跨越公法和私法的界限，而不必拘泥于传统公私法律的划分，无需制定个人数据管理性规范和个人数据应用性规范，在一部基本法中就可以规定基础的数据使用和数据权利，实现数据权利保护和数据应用，可见采用德国统一交叉的立法模式是合适的，也适应了数据发展的趋势。

但是值得注意的是，个人数据保护法从本质上来说是一部规定私权为主的法律，其权利的本源来自于个人人格权，个人数据所承载的是数据主体的人格权益和财产权益，法律基于发展和包容性，对具有人格尊严和自由的尊重应当确认自然人享有的个人数据权，实现个人私权的保护，个人数据保护法自然要以个人数据权为核心，其规则设置也应当体现为对数据主体自由意志尊重的任意性规范，个人数据保护法中的管理性规范只是为了实现个人数据的保护而对公权力机关的职能和起到的作用进行一定的维护，并进而划清在个人数据利用中公权力机关权力边界，防止利用其滥用职权进行个人数据的采集和处理，这种规制行为并不能将个人数据基本规范变成公法规范，因此个人数据权保护法不是一种超越了公私法律划分，而规定一个领域内权利义务关系的“领域法”，而是以人格权为基础对个人数据进行规定的“民事单行法”。

2.借鉴“安全港”模式

在个人数据权统一立法的模式下，还应当参考“安全港”模式的优势，发挥行业组织自律规范的能力，使自律性的规范成为法律规范的有力补充，从而使得数据采集主体尤其是商业主体能够更好地对个人数据权进行维护。立法模式要求通过法律实现对个人数据的调整，而“安全港”模式通过行业规范实现目的。法律具有稳定性，而制定出的立法有可能会产生新数据变动之间的矛盾，行业规范恰恰能够弥补立法模式的缺陷，具有相当的灵活性，通过适时地进行调整，既能够实现个人数据处理的合法目的，又能够兼顾行业自律专业化的特点。有条件地对行业规范进行一定程度的认证，获取一定的法律地位，既可以发挥法律强制力的效果，也可以兼顾数据行业专业化的特点。

（二）保护内容上的创新路径

1.数据利用阶段的个人数据保护——从下游到上游(www.xing528.com)

曾经有美国法官在审理垃圾邮件侵权案件时，轻描淡写地说“从邮箱到垃圾箱的距离也没几步路”，同样也有人质疑，为了对抗数据信息网络而构建个人数据制度是否得不偿失，毕竟眼前看到的对个人数据保护制度构建的法律体系的投入和对数据发展造成的阻碍与远期个人数据开发可能造成的损害相比，显得虚幻遥远。正是基于此，有学者提出不对个人数据的处理进行管制，而之争对“下游”——个人数据利用，在可能对个人权益造成损害时才进行管理。如对电话营销来说，不针对获取电话号码、个人职业和收入状况的数据采集进行处理，因为此时并没有直接造成对个人权益的损害，而是针对电话营销开始利用个人数据的行为进行处理，这种管控理念即为“下游”管控，而所形成的立法则为“下游”立法，即对利用数据“进行的加害行为”的规制。这种否认了个人数据权可以作为一种独立的权利，与个人数据保护的趋势是相悖的，顽固地坚持侵害行为必须作用于现有人身利益至上，拒绝了对更加关键的数据采集和处理阶段的个人数据保护，是依靠传统私法制度进行的数据保护；相对而言，“上游”数据保护是指对采集和处理数据的初始阶段就进行数据保护，并将个人数据保护贯穿整个数据利用阶段之中。个人数据权的确立应当事先完成从“下游保护”到“上游保护”的重心转移和全面涵盖。

个人数据保护制度在出现之初专门是为了防止个人数据滥用造成的隐私、名誉的侵害，“下游”立法就开始设置对其进行规制，而数据的发展远远超出了人们的设想。人们对“上游”权益的保护愈发重视，对“上游”立法的需求也就越来越迫切。对于现行立法的内容规定上，美国还多停留在“下游”立法的水平，在美国很多时候只有权益实际受损时才可以寻求救济，而对数据权益保护要求更高已经越来越体现出“上游”立法的特色，如果个人数据的采集、处理本身就有引发权益损害的风险时，即可进行保护，但美国和欧洲的划分并不是绝对的。

个人数据实现“上游”立法与“下游”立法的并重，可以相互补充，从而解除个人数据采集和利用整体程序中，对个人生活造成损害之虞。上游立法解决的是根本性的、全局性的问题，如数据权人有哪些权利、哪些数据构成受法律保护的个人数据、个人数据采集处理的法定规则，而下游立法是为了做到对数据权益保护更有效率的执行规范，尤其是对个人数据权益维护的执法工作的规定，需要下游立法展开，下游立法针对个人数据保护的具体问题，反应更加直接迅速，当下游立法对有害的个人数据处理行为进行限制和禁止之后，上游立法的任务就纯粹为一种权利和制度设计——个人数据资源享有和利用规则。

2.数据利用范围的个人数据保护——从内容到方式

过去对个人数据相关权利的保护主要以数据内容的划分为标准，在个人数据保护规范之中列举常见的个人数据信息明确立法保护的范围，以内容为标准上对其进行特定的保护，符合个人数据权定义在个人数据保护规范的范围之内。这种保护范围的方式最为传统，符合一般法律规则的要求，但是个人数据权的保护从来都不是静止的，数据的影响力也从来都不是单纯的与数据内容有关，数据的价值与数据的传播方式、范围和载体有关，一个数据信息在某种环境由某些主体的控制下可能是数据垃圾，而在另一种环境下则具有巨大的价值。仅仅以数据内容为数据保护法的内容并不能对数据实现周延保护，尤其是在大数据环境下，使得数据采集利用方式更加多样，传统以数据内容为规制对象的缺陷越发难以忍受，因此不得不做出调整。

欧盟的立法已经突破了原有的单纯以数据内容规制范围的个人数据权益保护。在欧盟1995年颁布的《个人数据保护指令》中，法律调整的范围扩展到了一切与个人相关的“可识别”的个人数据，数据的收集、处理和利用方式也成了该指令考虑的对象。至此，数据的保护内容和方法，不仅局限于禁止对数据本身的取得和泄露，还包括了数据处理阶段的保护。因此，在个人数据保护法之中，应当既关注数据本身的内容，又将数据的处理和利用方式考虑在内，也就是说个人数据保护法应当实现从内容到方式的全面覆盖。

3.数据权益平衡的个人数据保护——从归属到流转

考察各国个人数据权保护法的立法重心，在于在数据使用过程中各方拥有的权利和义务。专家和媒体不断告诉我们，要有安全意识，不要随意使用自己的个人数据，微信朋友圈里也不断被人转发着“如何保护个人信息”“个人数据保护十法”“震惊了，你的个人信息就这样被偷了”……谷歌前任CEO埃里克·施密特（Eric Schmidt）甚至断言“如果你有什么事不想让任何人知道，也许首先你就不该做它。”普通人和社会公众人士的个人数据在大数据环境下的保护情况，并不存在社会阶层上的区别，“棱镜计划”同样监视了世界上最有权势的政要，“邮件门”同样使政府官员的加密邮件被无限制查看。个人只要在社会上活动其个人数据就会被人采集和利用，尤其是很多关键证据都被政府机关掌握，在无法避免不透漏自己数据信息的前提下，简单的规定个人数据属于谁，谁拥有支配权或者决定权，而不涉及数据处理和利用合理规则，都是推卸立法上的责任。

与其他人格权或者财产权的规范不同，个人数据权的法律保护制度，不仅关注个人数据的归属，还关注个人数据的流转及流转中产生的权利与义务。个人数据保护制度，提供了个人数据采集、使用和删除的规范，还承认了数据主体在允许别人使用数据后对数据依然享有的权利。个人数据的特性决定了其不可能与物质财富一样，无论何时、何地都是权利人的私人事务，而是基于这样一种社会共识：每个人都愿意交流，都愿意成为社会的一分子。个人数据保护法就是设立这样一种规则，便于数据的交流。正因如此，数据权益保护法不仅是一个数据权益归属规范还是数据权益流转规范，数据的归属和流转都是数据权益的主要内容。