依法治網，為個人信息保駕護航

作者：中國人民大學法學院教授、網絡與信息法中心主任 張新寶

個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息。於信息主體自身而言，個人信息承載着信息主體的人格利益，並且與信息主體的其他人身、財產利益密切相關；於整個社會和國家而言，個人信息具有重要的社會管理價值和商業價值，並且與公共安全、國家安全密切相關。個人信息是信息社會中最為重要的信息資源，個人信息保護問題隨着社會信息化而出現和深入。保護公民個人信息，實則是保障民生。我國自1994年接入國際互聯網，個人信息保護始終是互聯網法治建設的重要內容。當下，切實推進個人信息保護法治發展，應當立足於現有的個人信息保護法治框架，檢省現有個人信息保護立法、執法、司法、研究等方面的不足。

我國自2000年全國人大常委會頒佈《全國人民代表大會常務委員會關於維護互聯網安全的決定》開啓了互聯網立法進程以來，個人信息保護法治建設初見成果。十餘年來，我國個人信息法治保護初見成果，約40餘部法律、30餘部法規以及200餘部規章涉及到個人信息保護。

法律層面上，2012年《全國人民代表大會常務委員會關於加強網絡信息保護的決定》是較為針對性的個人信息保護立法，該決定明確國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息，首次規定了個人信息保護遵循的合法、正當、必要等基本原則、網絡實名制等基本制度，是我國現有個人信息保護的最高層級、最基礎性的法律規定，奠定了後續個人信息保護的框架。最近的《網絡安全法》中更是將公民個人信息保護作為網絡信息安全的重要內容予以規範。

在刑事基本法層面，《刑法修正案（七）》增設“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”，並在《刑法修正案（九）》中進一步完善統一為“侵犯公民個人信息罪”，從維護公民人身權利的角度嚴厲打擊、遏制侵犯公民個人信息違法犯罪行為高發亂象。

在民事基本法層面，2009年《中華人民共和國侵權責任法》明確了隱私權作為獨立的民事權利，一定程度上為侵犯公民個人信息事件中受害人尋求司法救濟提供依據；在民事特別法方面，2013年新《消費者權益保護法》明確了消費者享有個人信息依法得到保護的權利、經營者收集和使用消費者個人信息應遵守的各項義務。2014年《最高人民法院關於審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》也對個人信息保護民事司法中的重要內容和典型情形進行了專門規定。

除了法律層面，大量的行政法規、部門規章也就個人信息保護問題進行了專門規定。其中較為典型的有，2005年中國人民銀行發佈的《個人信用信息基礎數據庫管理暫行辦法》、2012年國務院《徵信業管理條例》對個人信用信息的收集和使用進行了專門規範；2013年工信部《電信和互聯網用户個人信息保護規定》對電信業務經營者、互聯網信息服務提供者對個人信息的收集、使用、安全保障進行了詳細規定；2014年國家衞計委員發佈《人口健康信息管理辦法（試行）》對人口健康信息的收集、使用等作出專門規定。

（二） 我國個人信息保護法治建設檢省

從上面對我國現有個人信息保護法律建設成果的部分梳理來看，我國個人信息保護法治建設雖然初見成果，但也折射出我國目前個人信息法治保護的不足，主要體現在以下幾個方面：

1. 個人信息保護立法缺少頂層設計

在全國人大常委會《關於加強網絡信息保護的決定》之下，應當制定個人信息保護基本法對其規定予以細化和完善。但就個人信息保護法的立法模式選擇，適宜進行綜合立法模式的我國，尚未制定個人信息保護基本法。

比較法上來看，個人信息立法模式大致分為歐盟制定個人信息保護綜合性成文法的綜合立法模式和美國僅就行業或特殊問題進行特別立法的分散立法模式。兩種立法模式在我國究竟何去何從，主要取決於我國的法治傳統和既有法治框架。美國之所以採取分散立法模式，原因在於其已有的強大的隱私權法律體系，能夠為個人信息的妥當保護，僅需要針對特殊行業或特殊問題進行專項立法。反觀我國，雖然《侵權責任法》明確隱私權為獨立的民事權利，但理論界和實務界多傾向於將隱私權理解為消極抵禦的權利，隱私權僅僅是具體人格權之一，在個人信息保護方面的作為十分有限。再考慮到我國曆來的成文法傳統，歐盟式的綜合立法模式更為可取，通過一部完善的個人信息保護基本法，對個人信息保護的立法宗旨、利益衡量、具體制度構建等進行全面的規定。雖然早在2003年，原國務院信息化辦公室就曾着手個人信息保護法立法工作，第十一屆全國人大常委會也將個人信息保護法納入立法規劃，但個人信息保護法至今缺位。

2. 尚未形成完整的個人信息保護法律制度

從前述對個人信息保護法治建設成果的部分梳理來看，在個人信息保護現實需要和立法部門的推進之下，雖然個人信息保護法律規範條文數量較多，但整體立法水平和規範內容有限，碎片化問題突出，重複性規定居多。

在我國現有個人信息保護法律法規中，全國人大常委會《關於加強網絡信息保護的決定》是立法性質決定了只能是原則性和宣示性的規定，在其規定之下，由於個人信息保護法的缺位，各部門規章承擔其對該決定細化的任務。《電信和互聯網用户個人信息保護規定》、《個人信用信息基礎信息數據庫管理暫行辦法》等部門規章一定程度上代表了當前我國個人信息保護的立法水平。從各部門規章的實質內容來看，僅僅是規定了個人信息保護的基本原則、個人信息處理義務等框架性內容，較之國際上成熟的個人信息保護法的規定來看，還缺乏個人信息的類型化、個人信息處理者義務與例外、個人信息主體基本權利、個人信息保護風險評估、個人信息安全泄露通知等全方位的制度規定，使得其適用性有限，不能為公民個人信息提供切實保護。

3. 個人信息執法和監管力度有限

完善的個人信息法治保護應當是包含民事、行政和刑事手段的綜合性體系，其中民事手段旨在為個人信息受侵害的信息主體提供救濟，刑事手段重在懲罰嚴重侵害他人個人信息的行為人，而有力的行政監管和執法對於建立個人信息保護秩序、事前預防個人信息侵害而言是不可或缺的。但就我國來看，有關個人信息的行政執法和監管力度有限。目前，我國多行政法規、部門規章都對各自主管範圍內的個人信息保護事項的監管職權作出規定，賦予了各部門一定的執法權限，如同九龍治水一般的個人執法機構，造成長久以來個人信息保護行政執法存在多頭管理、職權交叉、權限不明的弊病，也導致了個人信息保護監管缺位的實質後果。

（三） 個人信息保護法治發展展望

當前，個人信息保護法的缺位，無疑是我國個人信息保護一系列問題所在，但同時也為我國制定更加科學、完善的個人信息保護提供了契機。未來我國有望在深入觀察互聯網發展規律，以個人信息保護與利用平衡為導向，借鑑和吸收現有國內外立法的基礎上，透過個人信息保護法的具體制度構建，包括個人信息保護基本原則、信息主體基本權利、個人信息處理基本規範與管理制度、個人信息多元共治體系、個人信息監管體制等方面，對個人信息保護作出更為妥當的制度安排。