個人信息保護立法問題研究

孟　莉

(新鄉學院 政法系，河南 新鄉 453003)

?

個人信息保護立法問題研究

孟莉

(新鄉學院 政法系，河南 新鄉 453003)

摘要：隨著我國社會信息化進程的不斷推進，個人信息的收集、處理和利用為社會管理提供了有效的信息資源。信息技術使得批量處理和傳遞個人信息更加快捷，同時也使保護個人信息成為一個難題。非法收集個人信息，不正確地處理、使用個人信息的問題日益嚴重，因此有必要對個人信息進行立法保護。筆者剖析了實踐中個人信息遭受侵害的現狀，并提出構建我國個人信息保護體系的法律建議。

關鍵詞：個人信息；個人信息保護；個人信息保護立法

隨著信息技術的發展和進步，個人信息在信息化社會被廣泛地收集、使用和處理。個人信息的商業價值和管理價值越來越被人們重視。作為能夠識別具體個人的信息，它的收集、分類管理和共享，不僅廣泛地應用于新產品的研發、銷售，也為社區管理和人們的生活提供了便利條件。但是，管理不當和惡意使用個人信息也給信息主體帶來了不利影響，甚至給信息主體的人身安全、財產安全和活動自由造成隱患。近年來，個人信息侵權行為并未得到法律的有效規制。就目前我國的立法現狀而言，相關法律雖然規定了一些有關個人信息保護的條文，但是分散立法缺乏系統性。面對日益嚴重的個人信息侵權現狀，有必要對個人信息的概念和法律屬性進行理論研究，對國外個人信息保護的立法實踐和成功經驗進行借鑒，以促進我國個人信息保護法律體系的建立。

一、我國個人信息保護的現狀

2014年9月至12月，本課題組針對我國個人信息保護的現狀，在河南省鄭州市、新鄉市、焦作市3座城市進行了調研，總的調研結果可以歸納為以下四個方面。

(一)實踐中存在侵害個人信息的行為

第一，非法收集和使用個人信息。如有的企業以售后服務為借口，非法收集、使用個人信息，日后卻用來向客戶推銷商品。第二，非法向第三方提供個人信息。如銀行、保險公司等在未獲得法律授權或客戶本人同意的前提下，向第三方提供其掌握的客戶個人信息。第三，非法披露個人信息。有的信息處理機構在未獲得法律法規授權的情況下，或者在未經個人信息主體許可的前提下，披露該人的個人信息。如醫療器械和藥品的廣告主披露患者的個人信息，甚至篡改治療效果等信息。第四，非法買賣個人信息。如有的孕產婦的個人信息被醫療機構或其職工賣給保險公司、孕嬰用品商家等。第五，技術、管理措施不完善導致有關機構掌握的個人信息被泄露、遺失等。如有些醫療機構在其檢驗科窗口公然放置許多患者的化驗單，他人可隨意翻看。第六，有關機構掌握的個人信息不準確，沒有及時更新，甚至被張冠李戴等。第七，個人信息被冒用。如有些人冒用他人的身份證到銀行辦理開戶手續等。

(二)信息主體的自我保護意識強弱不一

第一，在被調查者中經常在因特網上搜索與自己有關信息的人只占1%，絕大部分人選擇偶爾有或者是沒有。第二，每次都詳細了解個人信息控制人收集或使用個人信息目的的僅占8.1%。第三，對于公眾在個人信息處理過程中應當享有的權利，有90.6%的人認為有權要求被告知個人信息的用途、被告知收集者掌握的個人信息，有權要求更正錯誤信息。在個人信息受到侵害后，認為權利人有權要求損害賠償的占83%，認為有權拒絕提供個人信息的人占52%，原因是在某些情況下如果不按照要求提供個人信息，就無法辦理相應的業務。第四，個人信息被濫用的問題日益嚴重。在接受調查者中，有86.7%的人接聽過推銷商品的陌生電話，有38%的人在生活中遇到過自己的個人信息被相關組織不法侵害的情況。第五，被調查者認為公共機構應依法規范信息處理行為并加強對其收集的個人信息的安全管理的占100%，認為企業應當健全內部管理機制，加強內部人員管理的占95%。第六，由于我國還未建立個人信息保護救濟機制，因個人信息被侵害而進行投訴和提起訴訟的人僅占3%，其原因主要是不知道應該向哪個機構投訴、無法確定責任承擔者或取證困難等。因此，被調查者普遍認為應加大個人信息保護的力度。

(三)信息控制人的自律意識較差

第一，在被調查者(包括公共機構和企業、商家等)中，有65%的人認為只要客戶不明確反對，收集一些不必要或者與業務無關的信息應該不屬于侵權。第二，有15.1%的人認為實踐中很少有受害人因個人信息被侵害而進行投訴或提起訴訟，因此沒必要在收集、處理個人信息時過分謹慎。第三，有15%的人認為個人信息受害人一般也只是精神上受到損害，對此許多受害人并不知情或并不十分在意。第四，超過95%的人認為在履行職務或工作中，侵害個人信息的主要原因是缺乏相關法律的明確規定。

被調查者提出了個人信息保護方面的建議：第一，進行個人信息保護專項立法。第二，建立專門的個人信息保護的執行機構和監督機構。第三，健全侵害個人信息的救濟機制，尤其是要找到民事救濟的途徑，其中包括精神損害賠償。

綜上所述，在具體實踐中個人信息被濫用的現象比較普遍，公民信息自我保護意識在不斷增強，而信息處理人的行為尚無法律規制。

二、個人信息保護立法的可行性

在我國憲法中，已經有關于人格權和個人信息保護的相關規定。《中華人民共和國憲法》明確規定，公民人格權尊嚴不受侵犯和公民在通信過程中的個人信息受到法律保護。這是個人信息保護立法的憲法基礎。

散見于各種法律中關于個人信息保護的條款，則是個人信息立法的法律基礎。《中華人民共和國民法通則》確認姓名權、名譽權、肖像權三種權利的不可侵犯性，《中華人民共和國侵權責任法》也明確了對上述權利遭受侵害時給予救濟，《中華人民共和國居民身份證法》則對公權力領域的身份證使用行為做出了詳細規定，使保護身份證中包含的個人信息有了法律依據。身份證中包含了持證人常住戶口所在地、生日、性別等較多信息，《中華人民共和國居民身份證法》規定公安機關和人民警察泄露因執法而獲得的個人信息，應當承擔行政責任或者其他法律責任。目前，散見于我國法律中的相關法律條文，為開展個人信息保護法的立法工作奠定了基礎。

三、我國個人信息保護立法的建議

(一)對立法涉及的幾個基本問題的澄清

1.法律保護客體的稱謂

世界各國及各地區在立法中對個人信息保護客體的稱謂各有不同，主要有“個人資料”“個人數據”“個人信息”“個人隱私”四種稱謂。將個人信息稱作“個人隱私”的，主要是以美國為代表的英美法系國家，而大陸法系國家多將個人信息稱作“個人資料”“個人數據”或“個人信息”，其主要原因就是大陸法系國家沒有類似于美國的范圍寬泛的隱私權的概念，其主要通過人格權對個人信息加以保護。我國屬于大陸法系國家，基于我國法律傳統和使用習慣，個人資料或個人數據涵蓋范圍過窄，在個人信息的保護上自然也就采用了“個人信息”這一概念。

2.個人信息的界定

“隱私型”學說認為，個人信息指多數人不愿向外透露的，或是對個人極敏感而不愿讓他人知道的信息。“識別型”學說認為，個人信息指自然人的姓名、性別、出生日期、民族、身份證號碼、遺傳特征、指紋、職業、婚姻狀況、家庭狀況、教育狀況、健康狀況、財務狀況、社會活動及其他可以識別個人的客觀信息[1]。“隱私型”學說是在信息主體特定的情況下談論信息本人的隱私的，這一學說表明，個人信息是絕對不允許被他人或組織收集和處理的。“隱私型”學說將個人信息等同于個人隱私，將個人信息界定得過于狹窄了，因此，個人信息保護的范圍已經失去了探討的意義。“識別型”學說將個人信息分解成若干信息要素，只有通過綜合識別，才能確定信息本人。因此，個人信息保護法所保障的個人信息遠遠大于傳統隱私權所涉及的隱私事項[2]。筆者認為“識別型”學說更能體現個人信息的內涵，只有將個人信息的范圍確定為可以識別的信息，對其保護才有意義。

姓名、肖像、指紋、DNA、身份證等信息可以直接識別信息主體。間接識別信息主體的個人信息雖然不能單獨識別信息主體是誰，但將這些信息與其他信息組合后可以得出指向某個特定個人的直接識別信息，比如性別、身高、體重、愛好、受教育狀況、財務狀況、社會活動等。個人信息包括姓名、性別、年齡、血型等可以直接識別或間接識別信息主體的一切信息。

3.信息本人與信息處理人的范圍界定

信息本人是指個人信息的來源人，信息處理人是指收集、處理、控制、利用信息的人。二者作為權利消長的對立雙方，其權利義務關系是個人信息法律規范的內容。信息本人是個人信息保護法律關系中的弱勢群體，是權利易受到侵害的一方，在個人信息保護法律關系中他與信息處理人相對應，是權利的享有者。目前，學界對信息本人的適用范圍是有爭議的。有的人認為信息本人僅指自然人，有的人認為信息本人還應該包括死者、法人、胎兒等。目前世界絕大多數國家的立法例均將個人信息保護的主體限定于自然人，只有奧地利、挪威、盧森堡等極少數國家將法人作為信息保護的主體在法律中加以規定。根據我國現行法律規定，法人的信息主要由民法和反不正當競爭法進行保護。死者的個人信息應歸屬死者近親屬利益的保護，胎兒的信息應歸屬胎兒母親的個人信息。綜上所述，筆者認為信息本人的適用范圍應限定為自然人。

在具體實踐中，信息處理人包括公共機構和非公共機構，二者都有可能掌握大量的個人信息，也都有可能因個人信息收集、處理或利用行為而給信息本人帶來損害。從這一點上講，二者并無本質差別。從法律層面上講，人為地把二者分開，并不適合我國的社會現實。因此，在我國進行個人信息保護立法時，應將公共機構、非公共機構以及個人均納入信息管理人的范圍。這樣，既能夠充分考慮公共機構和非公共機構處理個人信息的共性，還可以節約立法成本。

(二)信息本人的權利范圍

信息本人享有權利的范圍和方式直接決定了個人信息受保護的程度。從性質上講，個人信息權是一種具體人格權，屬于人身權的范疇。但是，在信息社會中個人信息作為一種無形資產，可以通過其交換和使用帶來經濟利益，因此，個人信息權利中隱含有財產性權利，具有間接的財產權屬性。特別是隨著市場經濟的發展，個人信息權的財產權屬性將會越來越明顯。為了使自然人的人格得到全面保護，我國在進行個人信息立法時，應包括查閱、更正、封鎖、請求制給復制本、請求刪除、請求告知等一系列和保護個人信息相關的權能[3]。這樣，信息本人既享有財產權利，也享有人身權利。關于權利的規定方式，比較法上有不同的立法例，建議我國在規定信息本人享有的權利時，采用集中列舉式的規定。

(三)信息本人的權利的救濟機制

信息本人權利的實現不僅要靠法律的明確規定，更有賴于信息處理人嚴格履行使用、處理個人信息的義務。當前，我國掌握個人信息的多是管理公共事務和提供公共服務的公共機構與組織。因此，我國應建立相應的監督體制，設立相應的監督機關，并賦予監督機關履行監督職責相應的職權，對信息處理人處理信息的權力進行監督。國外的個人信息立法均對監督機構做出了明確規定。當然，由于各國或各地區的法律傳統不同，個人信息保護監督機制的構建模式也有所區別。有些國家(如美國、日本、韓國)采用分立的監督體制，對信息處理人進行區分監督管理，對公共機構與組織的信息處理由專門的監督機關進行監督，對非公共機構與組織的信息處理主要倡導和依靠行業自律機構進行監督。有些國家(如歐盟成員國)則采用綜合監督體制，設立統一的、專職的監督機關。歐盟成員國的有關規定值得我國借鑒，我國應采納綜合監督機制，設立統一的、專職的信息處理監督機關，對監督職責、職權和程序予以統一規范。如果法律法規對公共機構組織處理信息的監督另有規定的，那么該規定應該比個人信息保護立法中的監督更為嚴格。

無救濟則無權利，救濟是權利實現的最后屏障。在個人信息保護立法中，公民信息權利的救濟規范是不可或缺的部分，立法需設置充分的救濟途徑，這是保障公民信息權利實現的關鍵。縱觀各國個人信息立法實踐并結合我國國情，對公民信息權的救濟方式應包括行政復議、行政訴訟以及民事訴訟三種方式。信息處理人如果屬于承擔公共管理職能的公眾機構，則其在個人信息的收集、處理、利用時，應嚴格按照法律規范來約束自己的行為，只有在法律明確授權的情況下，才能進行個人信息的收集、處理、利用，若信息本人的權利受到侵害，受害人可以采用行政復議和行政訴訟的方式尋求救濟。如果行政處理人屬于非公眾機構，則法律不應對其規定較為嚴格的義務。作為普通民事主體，個人信息處理是按照市場機制進行的商業行為，若個人信息受到侵犯，可以通過民事訴訟進行救濟，按照市場成本原則去約束行政處理人的違法行為。當然，個人信息保護專門立法還需要與《政府信息公開條例》《行政復議法》《行政訴訟法》等法律法規進行有效銜接，這樣的救濟機制才是完善或健全的。

(四)侵犯個人信息的法律責任

近年來，電信詐騙案件在我國大量出現，涉及諸多領域，如利用網絡上同學錄中的同學信息進行詐騙的、利用子女信息編造事故詐騙子女父母的、利用車輛牌照信息進行退稅詐騙的等。這些詐騙案件不僅侵害了信息本人的財產權利，還給信息本人增加了巨大的精神負擔。根據實踐中個人信息日益遭受嚴重侵害的現狀，應當在立法中明確侵犯個人信息應承擔的綜合責任，除了對信息本人應承擔的民事賠償責任外，還應增加其刑事責任，以建立更為科學完整的法律責任體系。個人信息雖然不具有直接的財產內容，但具有財產價值。那種以商業為目的擅自使用個人信息的行為，就是一種侵權行為。如果做出這種侵權行為，就必須承擔民事賠償責任，包括精神損害賠償。鑒于目前我國個人信息遭受侵害的現狀，只有對情節嚴重的侵權行為給予刑事制裁，才能加大對侵權違法行為的震懾力度。2009年全國人大常委會通過的《中華人民共和國刑法修正案(七)》明確規定，國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違法處理個人信息可構成犯罪，追究刑事責任。該條款對非法利用個人信息所進行的犯罪行為起到了震懾作用。當然，該條款也應繼續完善，例如它對信息處理者這一主體的限制過于狹窄，應擴大到非法收集和利用個人信息的網絡公司、酒店、律師事務所等主體。

四、特殊行業領域的個人信息保護

個人信息保護的立法宗旨是保護信息本人的合法權利，促進信息資源的有效利用，它主要是通過規范信息處理者的行為來保障個人信息權利的。任何權利都是相對的，為了避免濫用個人信息權，在一些特殊行業領域，當個人信息權利和社會公共權力發生沖突時，可以對個人信息權利進行適當的限制。在具體實踐中主要表現為以下領域：第一，銀行業和電信業采用的實名登記制。第二，醫療衛生行業對患者信息的獲取。第三，新聞媒體行業的工作人員對違法者的違法行為的曝光。新聞媒體應本著真實的基本原則進行核實，在未經當事人核實之前，不得播出。第四，政府網站對行政處罰行為的公開。第五，中央銀行對個人征信信息的管理等。在這些領域，當個人信息權和隱私權涉及公共利益和公共管理秩序時，個人信息權就應受到適當限制。但是，限制的程度和范圍還應根據不同行業的實際情況進行科學規范。只有找到個人信息有效流動、保護個人隱私和保護社會公共利益之間的契合點，才能實現個人信息權利和社會公共組織信息處理之間的平衡。

五、完善配套法律法規

在保護個人信息方面，除了制定《個人信息保護法》以外，還應該完善相關配套的法律法規。一方面，要加強《個人信息保護法》與《民事訴訟法》《行政訴訟法》《國家賠償法》《刑法》等法律的銜接，有效地對個人信息權進行救濟；另一方面，要健全《新聞法》《記者法》《刑事訴訟法》《行政信息公開條例》《官員個人及家庭財產申報制度》等相關法律法規，形成個人信息保護的立法體系。

通過調研我們發現，日趨嚴重的侵害個人信息行為的發生與公眾的個人信息權利意識淡薄也有直接關系。在我國，個人信息權利長期被忽視，因此需要增強公民的個人信息保護的權利意識和培養公民保護個人信息的行為習慣，從信息形成源頭開始，避免個人信息的泄露。個人信息保護是全社會的責任，只有國家機關、社會組織、公民個人共同努力，建立和完善立法、執法、司法和監督等體系，才能有效地保護個人信息，構建和諧信息社會。

參考文獻：

[1]王海燕.個人信息保護的法律問題研究[J].河南機電高等專科學校學報，2010(2)：46-48.

[2]呂艷濱.論完善個人信息保護法制的幾個問題[J].當代法學，2006(1)：56-62.

[3]齊愛民.個人信息保護法研究[J].河北法學，2008(4)：15-33.

【責任編輯李敬】

Research on the Legislation of Personal Information Protection Law

MENG Li

(Department of Politics and Law, Xinxiang University, Xinxiang 453003, China)

Abstract:With the development of the social information process in our country, the collection， processing and utilization of the personal information provides effective information resources for the social management. Information technology makes batch processing and personal information delivery more quickly, while protecting personal information has become a problem. At the same time， the problem of collecting personal information illegally and processing and utilizing personal information improperly has become more serious. So it is necessary to enact laws on the protection of personal information. The paper analyzes the present situation of personal information violated in practice and puts forward some law proposals on constructing personal information legislation protection system.

Keywords:personal information； protection of personal information； legislation of personal information

中圖分類號：D901

文獻標識碼：A

文章編號：2095-7726(2016)02-0014-04

作者簡介：孟莉(1978—)，女，河南新鄉人，副教授，研究方向：高校法治建設理論與實踐。

基金項目：2013年河南省科技廳軟科學研究計劃項目(132400410006)

收稿日期：2015-10-30