我國個人信息安全立法現狀分析與立法建議

摘要當前我國個人信息安全保護的現狀令人堪憂，現有法律法規效力等級低、內容零散，缺乏具體、可操作的規定。缺乏統一的專門性法律已經成為危害個人信息安全的最根本原因。在此背景下，出臺《個人信息安全保護法》，建立完善的個人信息安全法律保護體系已經迫在眉睫。本文針對我國個人信息安全保護的立法模式、基本原則、權利義務的規定、個人信息侵權行為的法律責任、個人信息安全監管機構和監管職責等問題提出了自己具體的立法建議。

關鍵詞個人信息安全 立法現狀分析 立法建議

中圖分類號:D920.4文獻標識碼:A

1 國內個人信息安全立法現狀

從立法來看，目前我國尚未形成完整的個人信息安全的法律保護體系，個人信息安全內容散見于憲法、刑法和一些民事立法中，部門法中并沒有直接承認個人信息權，對個人信息安全的保護范圍僅限于個人隱私信息這類敏感個人信息，而且并沒有為隱私權提供獨立的保護，而是納入名譽權，在對公民名譽權保護的同時，間接地保護公民隱私權。執行手段也很少，且沒有規范數據出口。

2 我國現有立法在個人信息安全保護方面存在的不足

2.1 缺少統一的專門的立法

我國雖然對個人信息安全有了一些間接的或局部的立法規定，但從個人信息保護的要求來看，還是缺乏一部統一的、效力層次高的、專門規范個人信息安全的法律制度。對于哪些信息屬于個人信息、哪些信息可以合法使用、對于不正當使用如何追究等根本性問題缺少相應的規范。要用法律規范上述基本性問題，必須要制定專門性法律文件。

2.2 效力層次普遍較低，系統性差，法律法規之間缺乏協調配合

現有涉及個人信息安全的立法規范，最多的是行政法規和地方性法規，效力層次普遍較低，往往是對本部門、本地方涉及個人信息安全的某一方面問題作出規范，缺乏系統性。憲法、民法、刑法等基本法中只有個別法條有關于個人信息的零散的規定，更多的是以司法解釋等非正規的形式，并且缺乏配套法律的完備，致使法律規定流于形式。

2.3 個人信息保護范圍狹窄

這體現在兩個方面:一是需要保護的個人信息范圍狹窄。現行立法對個人信息安全的保護范圍僅停留在隱私保護的層面，而且對哪些個人信息屬于隱私也沒有界定。對于個人隱私信息以外的其他個人信息安全，僅關注身份證信息、通信、儲蓄賬戶等敏感的個人信息安全，除此之外的其他大量個人信息的安全保護，尤其反映個人物質生活狀態的信息(如個人消費記錄等)基本沒有規定，這無疑是當前法律保護的空白。二是個人信息保護的責任主體范圍狹窄。以《中華人民共和國居民身份證法》為例，該法是目前我國對個人信息安全最直接的立法，但其第六條第三款規定的責任主體只限于公安機關及其人民警察。實際生活中，很多行業需要使用身份證進行實名登記。該法對于工商、銀行、電信、賓館、航空等行業在使用身份證過程中知悉的公民個人信息，卻沒有規定保密義務。該法第十九條僅把人民警察列為泄露個人信息的責任主體，對其他眾多可能泄露個人信息的主體卻完全沒有規定。

2.4 現有立法保護內容片面

我國現有法律法規對公民個人信息的保護還處于最初級的階段。除了《廣東省電子交易條例》和《上海市個人信用征信管理試行辦法》在電子商務和個人信用征信領域立法較為完善以外，其他法律法規對個人信息的保護都是片面的、支離破碎的或者僅僅涉及個人信息流動的某一環節，保護內容無論在深度上還是廣度上都遠遠不能滿足人們的實際需要。

從立法保護的權利范圍看，立法者對個人信息權的保護僅提出防御性的權利，即防止個人信息或隱私被非法披露和公開;對于積極性質的個人信息權，即個人信息主體的權利，尤其是報酬請求權等財產權，現有的法律法規中幾乎沒有涉及。

2.5 沒有建立民事補償機制

根據中國現行法律的規定，個人信息受到侵害后，責任主體承擔法律責任的范圍僅限于行政責任和刑事責任，存在著重“刑事處罰”和“行政管理”，輕“民事確權”和“民事歸責”的狀況。在目前通過信息網絡收集大量個人信息并且非法用于商業用途的案例日益增多的情形下，應該建立一套完善的民事補償機制，使個人信息遭受侵害后，信息主體的財產及非財產損失能得到實質性的補償。

3 立法建議

我國在制定個人信息安全的法律法規時，應當兼顧個人信息的“權利保護”與個人信息的 “自由流動”，以達到二者之間的和諧與平衡。

3.1 立法模式

筆者認為，我國應該統一交叉立法規范個人信息保護，走他律統—立法模式。同時并不排斥自律。張新寶教授也曾說“就我國而言，國家立法主導模式更符合我國的國情，但同時也要鼓勵產業界建立相應的自律機制。”

統一交叉立法模式要求:首先中央層面應盡快出臺統一適用的個人信息安全保護的基本法，確立個人信息安全保護的基本框架;在此框架之下，各部門應以此為依據，結合自己部門的特殊性來確立和完善個人信息保護方面的規定。兩方面相配合，才能建立比較完善的個人信息安全保護法律體系。

3.2 效力層次

目前已有的個人信息安全法律法規中以部門規章和地方性法規為多數，這些部門規章和地方法規的效力層次較低，直接導致其適用范圍和力度的不足。并且由于缺乏級別更高的法律的指引，關于個人信息安全的法律法規系統性差，還沒有形成統一、穩定的法律原則，規定之間缺乏必要的呼應和協調，甚至存在著一些沖突和不一致的地方。因此，我國《個人信息安全法》應該是一部統一適用的專門性法律，以憲法為依據，其效力層次應該是高于行政法規、地方性法規和部門規章。

3.3 立法目的

為保證個人信息安全，保障公民的人格利益和財產利益，同時促進個人信息的自由流動應該成為《個人信息安全法》的立法目的。個人信息保護法一方面需要保護個人權利;另一方面，又不能阻礙正常的信息流動，阻礙社會的進步。

3.4 立法原則

我國個人信息保護的基本原則建議以OECD8條原則為藍本，因為該8項原則科學合理，已成為世界各國進行個人信息保護國內立法所依循、遵守的重要準則。我國遵循8條原則，在此基礎上根據我國情況加以修正，有助于同國際通行規則保持一致性。

3.5 立法保護范圍

個人信息都是立法保護的范圍，但立法保護的程度和方式應根據信息主體的身份不同和信息內容的不同而有所區別。首先，特殊群體的個人信息應作特別規定。通常是指未成年人、名人、公務員的個人信息。由于這些人或屬于弱勢群體，或屬于公眾人物，或屬于公共利益的直接掌控人，對他們的個人信息的法律保護應不同于一般的社會群體。其次，立法應明確區分絕對禁止收集的個人信息和相對禁止收集的個人信息。絕對禁止收集的個人信息包括裸照、性生活信息、不為人知的重大疾病缺陷等與人格尊嚴有直接關系的個人隱私信息，一經披露或為他人知悉，就會對主體的尊嚴、社會評價或精神造成消極影響，因此才需要保密，未經允許不得擅自收集、披露和利用。此外對于與公民人格尊嚴和財產安全沒有直接關系的個人信息，應在征得信息主體同意并保證不得后續濫用的前提下，允許合法的信息使用者收集處理使用。因為這類個人信息公開本身并不會直接對信息主體造成傷害，而真正造成傷害的是后續的濫用行為。如果對個人信息不加區分，全盤禁止，無法保障人們正常社會活動和社會交往的需要，不利于個人信息的自由流動和合法化利用，不利于信息主體財產權的實現。再次，立法應分為政府機關與其他個人信息處理者兩部分，對信息處理范圍作分別規定。對于其他個人信息處理者，信息處理范圍應列禁止性規定;而對于政府機關，應在個人信息安全基本法框架下，在各部門立法中明確規定政府機構各部門允許收集的個人信息范圍，并規定超越職權收集個人信息的法律責任。

3.6 個人信息安全法律保護中的權利、義務規定

3.6.1 個人信息主體的權利范圍

所謂個人信息主體，是指通過個人信息可以被識別出來的特定的自然人。個人信息直接或間接指向該自然人，個人信息的內容反映了該個人的身份特征。維護個人信息安全的本質就在于維護信息主體的人格權益和財產權。個人信息主體的權利可謂“個人信息權”，它是一系列權利的集合，是一個“權利束”。它由以下六項具體權利組成。

(1)信息的決定權。信息決定權是指信息主體得以直接支配和控制其個人信息，并決定個人信息是否被處理以及以在何時、用何種方式、以何種程度、為何種目的、范圍被處理的權利。決定權在個人信息權中處于核心地位，它集中反映了信息權利的人格屬性——絕對性和支配性。信息決定權具體體現為:①支配、控制權;②知悉權;③信息主體對個人信息有最終決定權;④直接行銷禁止權。

(2)信息保密權，是指信息主體得以請求信息處理主體保持信息隱秘性的權利。

(3)信息公開請求權，又稱信息查詢權，是指信息主體有權要求信息處理主體公開其所持有的關于本人的個人信息，了解自己的個人信息被搜集和使用的具體情形;有權查閱、使用自己的個人信息。

(4)信息的維護權，是指當信息為他人合法獲取后，信息主體仍享有維護個人信息真實、完整、準確的權利。

(5)信息利用的報酬請求權。報酬請求權是指信息主體因其個人信息被商業性利用而得以向信息處理主體請求給付相應報酬的權利。報酬請求權體現了個人信息的財產屬性。

(6)損害賠償請求權。賠償請求權是指因個人信息的不正確、不完整、丟失或非法搜集、處理、傳輸、公開、使用而致使信息主體的利益遭受侵害并造成損失的情形下，本人得以請求財產或精神賠償的權利。

3.6.2 個人信息使用者的義務

所謂的個人信息使用者，是指為實現一定的目的而使用公民個人信息的組織或個人，信息使用者對個人信息的不當使用會侵犯公民的權利，這種情況下，信息使用者扮演著侵權人的角色。

(1)個人信息使用者的類型。個人信息的使用者主要包括兩類:一是政府及其他公共管理部門;二是商家、網站、專門的數據庫經營者及某些個人。

(2)個人信息使用者的法律義務。①政府部門以外的其他個人信息使用者，搜集或使用個人信息之前，需向信息主管部門登記，并需獲得信息主管部門的行政許可，才能獲得相應的使用資格。②搜集和使用個人信息之前通知本人并取得同意(法律另有規定除外)，須有合法、正當目的且不得超出該目的搜集和使用。③采取必要的保密措施，確保所持有的個人信息的安全，防止個人信息的泄漏、丟失、損毀或其他安全事故。④允許信息主體查閱、使用自己的個人信息。⑤職業義務:信息使用者及其工作人員對任職期間因處理個人信息所獲知的內容，負有保守秘密的職業義務，不得擅自告知他人或者以其他方式加以披露或使用。⑥不履行上述義務或履行不完全應承擔法律責任。法律責任包括民事責任、行政責任、刑事責任。

參考文獻

[1]梅紹祖.個人信息保護的基礎問題研究.蘇州大學學報(哲學社會科學版)，2005(2):28.

[2]洪海林.個人信息保護立法理念探究——在信息保護與信息流通之間.河北法學，2007(1):108.

[3]尚曉宇.網絡個人資料保護應采取國家主導立法模式.檢察日報，2003(10):27.