個人信息的立法保護現狀和風險應對初探

朱媛+孫家樂

摘要：隨著中國經濟的快速發展和國際互聯網技術的不斷進步，信息時代正在不斷改變著人們的生活，信息交流和傳遞也變得方便和快捷。人們在享受商品和服務時，需要向商品或服務提供者提供個人的姓名、住址、聯系方式等基本信息。與此同時，一些推銷和詐騙電話對自己的信息了如指掌，甚至社會上出現因個人信息泄露導致的信用卡盜用，非法獲取和出賣個人信息的犯罪行為。當前，保護公民個人信息日益受到關注，國家從立法和監督管理的力度也在逐步加強。

關鍵詞：個人信息；泄露；立法保護；風險

2014年3月，據新聞報道，國內知名漏洞報告平臺烏云公布了攜程支付系統漏洞，即攜程安全支付日志可下載，導致大量用戶銀行卡信息泄露，包含持卡人姓名、身份證、所持銀行卡類別、銀行卡號、卡CVV碼、6位卡Bin（用于支付的6位數字）。①近日，又有一款名為“性感殺手”的新型Android系統病毒將自身偽裝成色情視頻APP引誘網民下載，一旦手機中毒，用戶會自動安裝黑客指定的惡意程序，導致用戶面臨個人信息泄露、銀行賬戶被盜等風險。相類似的報道不絕于耳，人們開始擔憂自身個人信息的丟失和泄露，與此同時，社會對個人信息保護的關注進入到一個新的高度。

一、個人信息的定義

個人信息是指“個人的姓名、住址、出生日期、身份證號碼、醫療記錄、人事記錄、照片等單獨或與其它信息比照可以識別特定的個人信息”。②個人信息不同于個人隱私，在我國個人信息往往被視為隱私的一個組成部分，只有具有私密性的個人信息才與個人隱私重合，另外，個人信息還包含有愿意公諸于眾的部分。

2012年11月5日，國家標準化管理委員會發布了推薦性標準《信息安全技術公共及商用服務信息系統個人信息保護指南》（以下簡稱“指南”，2013年2月1日實施）。《指南》盡管并非法律規定，但是我國未來立法的趨勢。根據《指南》，“個人信息是指可為信息系統所處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定自然人的計算機數據。個人信息可以分為個人敏感信息和個人一般信息。” “各行業個人敏感信息的具體內容根據接受服務的個人信息主體意愿和各自業務特點確定。個人敏感信息可以包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等。”“個人一般信息則是個人敏感信息之外的個人信息。”

二、有關個人信息的法律規定及不利后果

《刑法修正案（七）》首次將侵犯公民個人信息行為入罪，隨后，《最高人民法院、最高人民檢察院關于執行<中華人民共和國刑法>確定罪名的補充規定（四）》發布，確定了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”。這兩個新罪是刑法首次直接針對公民個人信息進行全方位保護的規定。這里，“出售、非法提供公民個人信息罪”的犯罪主體是特殊主體，比如金融、電信等單位本身以及單位的工作人員（自然人）；而“非法獲取公民個人信息罪”的犯罪主體為一般主體，即任何自然人和單位均可以構成本罪。

《全國人民代表大會常務委員會關于加強網絡信息保護的決定》指出，國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息，這為加強保護公民個人信息，維護網絡安全提供了有利的法律依據。

去年修訂的《中華人民共和國消費者權益保護法》也在相關條款中對個人信息保護做出詳細的規定。例如，其第十四條規定：“消費者在購買、使用商品和接受服務時，享有人格尊嚴、民族風俗習慣得到尊重的權利，享有個人信息依法得到保護的權利。”

對于不履行法律相關要求，可能有以下不利后果：（一）若以書面、口頭等形式宣揚他人的隱私，造成一定影響的，根據《最高人民法院關于貫徹執行<中華人民共和國民法通則>若干問題的意見》第140條的規定，可認定為侵害公民名譽權的行為，受害人可以追究民事責任，即請求停止侵害、損害賠償等。（二）若違反社會公共利益、社會公德侵害他人隱私或者其他人格利益，依據《最高人民法院關于確定民事侵權精神損害賠償若干問題的解釋》第一條第二款，受害人可以侵權為由向人民法院起訴請求賠償精神損害。（三）如果經營者未盡到保密義務致使消費者個人信息遭到泄漏，權利受到損害的，受害人可以依據《消費者權益保護法》追究經營者的民事責任，包括請求停止侵害、損害賠償等。

此外，各部委也在積極制定更加具體的個人信息保護規定。比如信息化部和工信部聯合起草了《電信和互聯網用戶個人信息保護規定（征求意見稿）》、《電話用戶真實身份信息登記規定（征求意見稿）》（以下簡稱《規定》），且向社會廣泛公開征求意見。根據《規定》，電信業務經營者、管理機構及工作人員不得出售或非法向他人提供電話用戶真實身份信息，否則可以處1萬元以上③萬元以下罰款，構成犯罪的，依法追究刑事責任。由此可以看出我國對個人信息保護的堅決態度和立場，因為這不僅關系公民切身權益，甚至關系國家安全問題。這是一項系統的工程，不是靠一部法律法規就能完成的。總體看來，我國個人信息保護立法還處于初級階段，雖然出臺了相關法律法規和標準，但是比較分散，沒有統一的立法，且需要健全具體的可操作性的配套制度。

三、個人信息保護的風險應對

結合我國國情，針對個人保護的風險，需要國家完善立法、政府加強保護、公民提高保護意識和企業規范使用四方面的努力。

（一）在國家立法層面，應盡快出臺一部《個人信息保護法》。個人信息保護基本法的缺失直接制約我國個人信息的保護，也是相關違法犯罪行為屢禁不止的原因。盡管我國相關法律中有對公

民個人信息保護的條款，畢竟比較分散，在同一部法律中往往條款不夠具體詳盡，也容易造成多頭管理，保護體系難以統一，操作起來也有很多困難，不能有效起到對個人信息的保護作用。③同時，明確個人信息法律用語和范圍，增強可操作性，并加大違法打擊力度，通過提高相關違法行為的犯罪成本，達到威懾作用，這是防止個人信息非法流轉到第三方手中的有效途徑之一；

（二）在政府保護層面，除了加強立法保護，政府還應該加大對個人信息保護的宣傳，借助媒體力量，打造良好的輿論氛圍，進而提高公民的信息安全意識。另外，可以建立個人信息保護制度的獎勵機制，鼓勵公民舉報身邊侵犯個人信息的違法行為，讓違法犯罪行為無處遁隱；

（三）在公民防范層面，公民要提高自我保護意識，比如了解對方獲取此類信息的原因和目的，堅持最小夠用原則，只提供必要信息，且采取措施限定使用的范圍并及時銷毀信息；

（四）在企業層面，信息泄露案件會對企業聲譽風險的控制造成壓力，在個人信息保護中，企業應充分考慮信息的收集、利用、轉移和刪除環節的風險。在收集時，可以參照《指南》，對于個人敏感信息，在明示同意的基礎上，在收集和利用之前，首先獲得個人信息主體明確的授權。對于個人一般信息，在默許同意的基礎上，只要個人信息主體沒有明確表示反對，便可收集和利用。在這個過程中，保障信息主題的知情權，向信息主體告知適用范圍和目的，同時采取適當的措施防止信息泄露。當企業達成使用目的后及時刪除個人信息并履行保密義務。

[注釋]

①攜程用戶信用卡信息遭泄露.網易新聞：http：//news.163.com/14/0323/14/9O1CTDTV00014AED.html.

②周漢華.中華人民共和國個人信息保護法（專家建議稿）及立法研究報告[M].北京：法律出版社，2006. 3.

③楊化鋒：《論我國個人信息保護立法》（碩士學位論文）[D].重慶大學，2013年4月.

（作者單位：華東政法大學，上海 200000；寧都縣人民檢察院，江西 寧都 342800）