如何判断个人信息权是否被侵犯

近年来，由于信息化的迅猛发展与权利观念的进一步提升，人们越来越重视个人信息及隐私权的保护。那么，何谓个人信息保护？如何判断个人信息及隐私权是否被侵犯？如何保护个人信息及隐私权？本刊特请中国社科院法学所研究员周汉华作答。——编者  
近年来，电脑用户对电脑上个人的隐私和信息保护问题一直担忧颇多。由于改革开放所带来的观念上的进步，从上个世纪80年代、尤其是90年代初以后，不论是政府文件、立法还是民间，普遍以“隐私”概念代替了习惯的“阴私”概念。随着法律概念的变化，这一时期的特点表现在：（1）法律保护的权利种类已经从过去的诉讼程序权利进入到了主要是民事实体权利的领域，诸如未成年人保护法、妇女权益保障法等法律，都明确将隐私权明确作为一项实体权利加以规定，最高人民法院的司法解释也确认了隐私权的民事权利地位；（2）权利保护的方法已经从单一的不公开审理诉讼程序保护，发展到诉讼程序保护与民事侵权救济程序保护并重的二元保护体制。（3）就诉讼程序权利而言，由于原来的司法解释仍然有效，最高人民法院并未就“隐私案件”的范围制定新的司法解释，因此，变化的只是概念，其范围应该说与传统的“阴私”概念仍然有延续性。
自上个世纪九十年代末开始，尤其是进入新世纪以来，由于信息化的迅猛发展与权利观念的进一步提升，首先从信息化和消费者权利保护这两个领域的地方立法开始，逐步出现了个人信息概念。这一时期，不但出现了新的概念，更重要的变化在于：（1）相比于边界模糊、主要依靠传统民事侵权法予以保护的隐私权，个人信息概念更为中性，其覆盖范围远远超出传统的民事侵权法所能覆盖的范围。比如，对于不当采集、使用、披露、交换或者传播个人姓名、住址、电话、职业、学历等客观个人信息的行为，很难用传统的侵权法认定为是侵权行为并加以追究，而采用个人信息保护法则容易得多。这样，采用个人信息概念，其保护的范围就比隐私权的范围要大，边界相对也更为明确，由此实现了权利边界的扩张。（2）由于个人信息保护超出了传统的隐私权侵权民法保护的范畴，因此，对个人信息的保护手段除了传统的两种方式以外，又增加了刑事制裁、政府的监管责任和行政法保护方式，这样，就从传统的事后保护向事前、事中、事后并重的多阶段、全过程保护迈出了一大步。其实，在国际上，谈个人信息保护，普遍都是一个公法与政府监管问题，不是普通的民事侵权问题。
由于我国缺少一部统一的《个人信息保护法》，对于如何保护个人信息并没有一套现成的规定，加之现行法律对于个人信息的界定同隐私概念一样非常抽象、模糊，因此，一些电脑软件的扫描行为是否构成对个人信息的侵犯，其实无法简单地进行法律上的判断。如果一定要回答这个问题，必须也只能采用类比的方法，借鉴国际上其他国家的通行做法或者评价标准。
在个人信息保护制度比较健全的国家，除其他条件以外，判断是否对个人信息构成侵害有两个最为重要的前提：（1）所涉及的个人信息必须是“可识别特定个人”的信息；（2）必须有个人信息“处理”的行为。这两个条件均属于必要条件，只有分别满足这两个要求，才有可能判断行为违法。在各国的法律规定以及法律实践中，“可识别特定个人”是对个人信息的核心要求。个人信息必须可以与特定的个人挂钩，能够根据该信息识别特定的个人，如果具体信息不能识别特定的个人，属于一般的商业信息或者综合信息等，则不属于个人信息。而且，个人信息并不是法律规范的对象，必须有“处理”个人信息的行为，才能启动个人信息保护法。对于何谓处理，各国法律大同小异。简而言之，处理是指以手动或者自动的方式，对个人信息的特定操作，如采集、分类、保存、利用、转移、提供、销毁等，贯穿个人信息操作的全流程，其基础当然是个人信息的采集行为。如果仅仅只是私下口头宣扬、传播他人的不良信息或者一般信息，可能会满足民事上隐私权侵权的要求，但是，这种口头传播行为绝对不属于“处理”活动，不违反个人信息保护法，不会引发个人信息保护法的适用。
可见，要构成对个人信息的侵犯，首先必须存在“可识别特定个人”的信息，其次还要有个人信息的“处理”活动。有了这两点，就不难从法律上澄清了一些行为是否存在窥探隐私问题。