我國個人信息立法保護實證研究

王秀哲

隨著社會發展和信息技術的不斷進步，專門立法保護個人信息的呼聲日益高漲，早在2008年第十一屆全國人民代表大會開會期間就有代表提出制定個人信息保護法的提案。〔1 〕專家和學者建議稿草案也早就出臺。〔2 〕但我國個人信息保護統一立法卻一直難產。在個人信息保護法遲遲不能出臺的背景下，社會發展的客觀需要催生了不同法律層次的分散立法和專門領域立法，個人信息保護不斷出現在各種法律、法規、規章和司法解釋中。有研究認為，中國大陸目前有24個法律或者規范性文件各自從某方面涉及對公民個人信息的保護，且均具有行政法律法規的性質，〔3 〕也有資料顯示，我國目前有近40部法律、30余部法規以及近200部規章涉及個人信息保護。〔4 〕實際上，近年來，涉及個人信息的立法不斷增加，鑒于分散立法保護已經形成為一種氣候，且實際上推動或阻礙著個人信息法律保護的發展，筆者認為，有必要對已有的個人信息保護立法進行全面梳理、總結，從立法經驗總結和法律規范性文件統一兩個方面更好地推進個人信息立法保護的完善。

筆者以中國人大網的“中國法律法規信息系統” 〔5 〕為檢索數據庫，并結合北大法寶 〔6 〕和匯法網，〔7 〕全文檢索現行有效的法律、行政法規、地方性法規和司法解釋中有關個人信息保護的內容，對我國個人信息的立法保護進行梳理和總結。通過檢索發現，目前主要有普遍分散在各種規范性文件中的個人信息保護以及專門領域、行業的個人信息立法保護兩種類型，筆者分別結合不同的立法層次對上述兩種類型的法律法規進行考察。

一、法律、行政法規對個人信息的分散立法保護

（一）法律中的“個人信息”保護

登錄中國人大網“中國法律法規信息庫”，檢索規定有“個人信息”現行有效的憲法法律，共命中記錄95條，之所以檢索記錄很多，是因為系統默認同時檢索“個人”、“信息”、“個人信息”三個關鍵詞，經排查，規定有"個人信息"及相關保護內容的記錄僅有23條。通過閱讀法條，上述法律中規定個人信息的基本情況見下表：

通過上述統計可知，目前我國法律對個人信息的分散保護還相當粗糙。主要表現為：1.以個人信息保密并承擔法律責任的原則規定為主。除《職業病防治法》規定了檔案信息查閱權、《反間諜法》和《反洗錢法》規定了特定目的使用個人信息外，2013年最新修訂的《消費者權益保護法》從消費者個人信息權利、收集使用個人信息原則以及侵害個人信息權利承擔民事、行政責任等方面做了比較全面的規定。其他法律主要針對個人信息保密做了規定，并簡單表述為相關主體有對知悉的個人信息保密、不公開或不泄露的義務，同時規定了法律責任。而部分法律僅規定了個人信息公開和保密義務，并沒有配套的法律責任規定。2.個人信息具體內容不明確。上述涉及個人信息的具體內容以居民身份證法列舉的最多，為姓名、性別、民族、出生日期、常住戶口所在地住址、公民身份號碼、本人相片、指紋信息，《護照法》中還出現了出生地，《刑事訴訟法》列舉有工作單位。個人信息的列舉集中在《身份證法》、《護照法》等規范證照辦理的法律中，其他法律基本上只是規定保護個人信息但是并沒有規定個人信息的內容。3. 法律責任規定比較簡單。民事、行政和刑事法律責任雖都有規定，刑法入罪規定也有明確量刑，但是刑法中構成該罪必須達到“情節嚴重”的標準不具有可操作性，〔8 〕其他犯罪構成的實踐操作也有很多問題；〔9 〕除刑法外的其他法律中均為宣示性的“應當給予處分”、“依法給予賠償”等法律責任規定，具體操作性非常弱。4.個人信息法律保護規范的主體以公權力機關和公共服務單位為主。主要包括公安機關、監管機關、統計機關、社會保險行政機關、人民法院和檢察院等，其他主體包括經營者以及社會保險經辦機構、社會保險費征收機構和其他公共服務機構。《刑法修正案（七）》列舉了金融、電信、交通、教育、醫療等公共服務單位，修改后的居民身份證法也同樣列入。但是這里的單位主體到底是一般主體還是特殊主體，“等”字應作何解釋，在理論上還存在爭議。〔10 〕值得關注的是，2015年最新通過的《刑法修正案（九）》把侵犯公民個人信息的主體擴大為對世權的一般主體，不僅對履職和服務主體不再具體列舉，而且在履職和服務以外的所有“違反國家有關規定”侵犯公民個人信息的主體都受刑法規制，這無疑是對個人信息刑法保護責任主體范圍的擴大。

（二）行政法規中的個人信息保護

通過檢索，在中國人大網“法律法規信息庫”中檢索規定“個人信息”，現行有效的行政法規及文件，共有記錄170條，同樣因為系統默認同時檢索“個人”、“信息”、“個人信息”，經排查，明確規定或保護個人信息內容的記錄僅有12條。另參照北大法寶法律信息數據庫和匯法網進行行政法規全文搜索關鍵詞“個人信息”，還檢索出了專門規定個人信息的行政法規《征信業管理條例》，該條例在中國人大網“中國法律法規信息系統”中被列入了部委規章，但在國務院網站中被列入了行政法規。〔11 〕《征信業管理條例》屬于個人信息行業領域的專門保護規定，本文后面專門討論。

檢索出的行政法規多從保密義務和法律責任兩方面規定了對個人信息的保護，但列舉出的個人信息并不多。

行政法規對個人信息保護的規定，主要集中在公權力行使的幾個領域以及公權力特許的彩票經營、互聯網地圖服務、銀行、鐵路運輸企業等領域。保護的模式采用的是保密加法律責任，但是顯然對泄露個人信息法律責任的規定非常簡化，只規定高度概括的依法處分、處罰或追究刑事責任。涉及身份證、居住證、社會救助、保安登記、不動產登記等登記信息結合有個人信息的具體內容規定外，其他的幾乎都是概括規定個人信息。流動人口登記中規定保護涉及公民隱私的流動人口信息，但是并沒有明確具體是哪些信息。除了《現役軍人和人民武裝警察居民身份證申領發放辦法》與《居民身份證法》有銜接外，其他行政法規與規定有個人信息保護的法律均沒有上下承接關系。由此可見，在法律對個人信息分散保護比較粗糙的前提下，行政法規并沒有多大作為，只是擴大了幾個保護個人信息的行政管理領域。

二、部委規章和地方性法規、規章對個人信息的分散立法保護

（一）部委規章對個人信息的保護

在“部委規章及文件”子庫中檢索正文關鍵詞“個人信息”，現行有效的記錄共36篇，〔12 〕通過閱讀發現，有8篇規章中的“個人信息”的規定不涉及保護內容，《征信業管理條例》屬于行政法規。排除以上9篇內容，筆者首先對27篇現行有效的規定有個人信息保護的部委規章的相關內容進行了梳理，發現工業和信息化部《電信和互聯網用戶個人信息保護規定》（20130716）是專門針對個人信息進行保護的部委規章，下文專門討論。另有7部規章是直接落實上位法中的個人信息保護內容，對其直接落實上位法內容部分不再統計，而《侵害消費者權益行為處罰辦法》和《旅行社條例實施細則》雖然也是落實上位法的相關規定，但是，保護個人信息的內容有所增加。因此作者對26部部委規章中個人信息保護的內容進行了梳理。

通過閱讀規章內容發現：首先，部委規章在上述法律、行政法規之外的更大范圍內規定有個人信息保護的內容。包括舊電器電子產品流通、家電維修、房地產經紀、水路運輸、家用汽車產品、家庭服務等經營性活動管理領域；網絡游戲運營、互聯網信息服務、網絡零售等網絡經營管理領域；外航企業使用外國計算機訂座系統許可；消費金融公司運營、有限廣播電視運營等許可管理領域；結核病防制、養老、高校招生等社會性管理活動領域；以及財政信訪、工商行政管理行政處罰等公權力運行活動。其次，規制的主體多樣、模式單一。規制的主體包括私經營主體、公共服務組織和政府機構；主要規定模式依然為個人信息保密，不得泄露，一半以上并沒有配套規定法律責任，規定法律責任的規章也多數限于行政處罰。第三，基本上沒有界定個人信息具體內容。《侵害消費者權益行為處罰辦法》、《工商行政管理行政處罰信息公示暫行規定》對受保護的個人信息作了列舉并作了“識別”性的界定；《旅行社條例實施細則》有關于個人信息超保存期限應妥善銷毀的規定；《網絡零售第三方平臺交易規則制定程序規定》中有“制定、修改、實施保護個人信息的規則公示并備案”的規定。總體上看，部委規章涉及規定個人信息保護的領域比較寬泛，但是對個人信息的保護依然是泛泛規定，多為碎片化內容，法律操作性不強。值得注意的是，對個人信息明確列舉內容并使用“識別”性作為界定，對于個人信息內容的明定有示范作用。

（二）地方性法規、規章對個人信息的分散立法保護

在中國人大網法律法規信息系統選擇地方性法規規章子庫，在現行有效選項下，正文搜索關鍵詞“個人信息”，共檢索出6360條記錄，通過閱讀發現，在地方性法規規章層面，涉及個人信息保護有200多篇。在法律、行政法規、部委規章涉及的領域之外，還包括：志愿者、獻血、慈善事業、公共圖書館、檔案館等公益服務管理；勞動用工、人力資源市場、職業技能鑒定、農民工工資保障等勞動管理；未成年人保護、殘疾人保障等弱勢群體保護；服務租賃中介、郵政、按摩服務業、廢舊金屬收購、出租車、機動車維修、特種行業治安管理等特種行業管理；養犬、物業、城鎮住房保障、公租房保障、公共安全視頻監控、流動人口、居民卡制作、道路交通安全等公共管理；信息化、計算機信息系統安全、電子商務、網絡商品交易、信息化促進等網絡信息管理；精神衛生、農村合作醫療、醫患糾紛、遺體捐獻、胎兒性別鑒定、艾滋病防治等醫療管理；舉報監督、違紀處分、人大代表政協委員提案、法律援助、審計等監督管理。雖然領域比較寬泛，但是對于個人信息保護的規定依然限于保密、不泄露，法律責任比較概括。

部委規章和地方性法規保護個人信息領域的擴大，表明保護個人信息的社會需求的普遍性，但是從立法規制的角度看，由于基本沒有對個人信息內容的明確界定和列舉，沒有規定個人信息的收集、使用的具體原則和辦法，也沒有上位法可以參照，所以實際上上述眾多的規定并不能發揮有效的作用。

三、征信業規制與互聯網中的個人信息立法保護

與上述分散在不同的規范性文件中的非專門個人信息保護不同，我國目前在征信業和網絡個人信息保護方面有專門規范保護。國務院出臺的《征信業管理條例》（20130121）（以下簡稱《條例》）是從征信行業規制方面對個人信息進行的專門保護規定，《廈門市軟件和信息服務業個人信息保護管理辦法》（20121203）（簡稱《辦法》）雖然出臺在前，針對的是“信息服務企業”，實際上屬于對征信服務企業的規制；《全國人大常委會關于加強網絡信息保護的決定》（20121228）（簡稱《決定》）；工業和信息化部《電信和互聯網用戶個人信息保護規定》（20130716）（簡稱《規定》）；以及《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》（20140821）（簡稱《解釋》）是對網絡個人信息的專門保護。

（一）征信業規制中的個人信息保護

隨著大數據處理技術的發展，個人信息成為最有價值的社會資源。個人信息產業化需求已經形成，2012年的羅維鄧白氏買賣信息案 〔13 〕集中暴露了這一社會問題，也正是基于個人信息買賣的產業化需求和無序化社會現實，2013年國務院出臺了《征信業管理條例》。

《條例》適用于在我國境內從事個人或企業信用信息的采集、整理、保存、加工，并向信息使用者提供的征信業務及相關活動。規范的對象主要是征信機構的業務活動及對征信機構的監督管理。通過對征信機構的特許經營管理，對個人信息收集、加工的嚴格限制，在個人信息行政法規保護領域邁出了重要一步。《條例》在對征信機構的資質和成立進行規制中，針對設立從事個人征信業務的征信機構設定了相對嚴格的管理，規定取得個人征信業務經營許可證后方可辦理登記；并設征信業務規則專章對個人信息的收集使用進行了詳細規定。《條例》中個人信息保護的主要內容見下表：

從上表內容可見，《條例》從征信業收集使用的個人信息范圍、原則、個人信息主體權利、企業義務及法律責任等全方位進行了規制。其對禁止采集的個人信息的規定，是我國規范性文件中首次出現的有關敏感個人信息保護的規定，主要從宗教信仰、生理和疾病信息以及法律、行政法規規定四個方面作了規定。《條例》對于信息主體的知情同意、查詢、變更以及尋求救濟等權利規定的也比較完整。但是，《條例》的局限性也非常明顯：其一，尚缺少對于個人信息的明確界定，其對于禁止和限制采集的個人信息的列舉也值得商榷。其二，《條例》的規范范圍非常狹窄。征信管理基本上集中在金融信息的信用管理領域，國家機關以及法律、法規授權的具有管理公共事務職能的組織依照法律、行政法規和國務院的規定，為履行職責而進行個人信息的采集、整理、保存、加工和公布，不屬于該《條例》規范的范圍，而這一部分恰是目前個人信息收集和使用的重頭領域。〔14 〕其三，《條例》規制對象分類不明確。當前，我國征信業實行的是雙軌制，即以政府主導的國家征信機構為核心，以市場主導的民營機構為補充輔助的運行模式，兩者的職責應有所不同，但是《條例》沒有明確界分。其四，《條例》操作性不強。網絡信息社會的個人信息需求已經到了非常具體和細化的程度，收集和使用個人信息的經營業務遠比《條例》規定的復雜，雖然《條例》對于收集個人信息的征信機構作了特許經營管理，但實際上，大量的信息收集和使用在普遍意義的企業經營中就完成了。其五，程序規定缺失。《條例》中，信息主體同意、變更、約定等權利都是概括規定，沒有配套程序規定，使得實際上權利保護不可執行。最后，如果細致推敲，《條例》對于信息數據庫運行機制的規定、邏輯關系以及與上位法協調方面 〔15 〕也存在問題。

《廈門市軟件和信息服務業個人信息保護管理辦法》是早于《條例》規制征信企業的政府規章，其對個人信息和個人信息處理做了明確定義，其中個人信息的定義采用了列舉加可識別性概括規定的方式。但在《條例》出臺之后，《辦法》存在著如何與上位的《條例》協調的問題，比如，信息服務企業是否等同于征信企業，市信息化主管部門的監管與中國人民銀行的統一監管關系如何協調等。由于規范性文件本身操作性欠缺，導致了實踐中相互矛盾的問題還不明顯。

（二）網絡個人信息保護

網絡交流成為生活常態的當下，互聯網也成了侵害個人信息的重災區，網絡個人信息保護的社會需求非常迫切。《決定》是具有法律效力的專門針對網絡信息保護的規范性文件，《規定》是從電信與互聯網行業規制的角度對網絡個人信息做出保護規定的部委規章；司法解釋則是從侵權責任承擔角度對網絡個人信息做作出的救濟規定。

1.《決定》、《規定》對網絡個人信息的積極保護

《決定》是上位法，制定在先，《規定》是下位規章，制定在后，對于決定的內容有所落實，但兩部規范性文件的內容都很原則和概括，具有操作上的行政色彩。主要內容為：

第一，網絡個人信息的明確界定。《決定》界定的是公民電子信息，《規定》界定的是電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用戶個人信息。前者是從網絡個人信息保護出發進行的界定，而后者是從規制網絡服務提供者的角度進行的保護，這和《決定》是從普遍對世范圍保護網絡個人信息以及《規定》是行業規制性規范性文件的性質一致。《決定》對公民電子信息的界定采用的是概括的方法，有兩類判斷標準，即“能夠識別公民個人身份和涉及公民個人隱私”；《規定》采用的是概括加列舉的方式，即，用戶基本身份信息加上“可識別性”判斷標準。顯然，《決定》中的個人電子信息的判斷標準更為寬泛，但是，“身份識別性”與“涉及個人隱私”是否是一種并列關系，在個人隱私也并無法律明確規定的情況下，實踐中如果操作還是個難題。

第二，網絡個人信息處理的原則。《決定》第2條是關于網絡收集使用個人電子信息的原則規定，包括，應當遵循合法、正當、必要的原則；明示收集、使用目的、方式和范圍；經被收集者同意；依法依約定收集使用個人信息；公開收集、使用規則。《規定》中并沒有集中規定以上原則，但是在全文中貫徹了《決定》中的所有原則。

第三，網絡個人信息保護中的權利義務關系。由于《決定》對于公民網絡電子信息的普遍保護，其規范的義務主體范圍非常廣，主要包括三類：任何組織和個人不得非法獲取、出售、提供公民個人電子信息，不得向用戶固定電話、移動電話或電子郵箱發送商業性電子信息；網絡服務提供者和其他企事業單位負有對于掌握的個人信息保密并采取安全技術措施的義務；國家機關及其工作人員對于履職中獲得的個人電子信息必須保密、不得出售、非法提供。《規定》僅對電信業務經營者和互聯網信息服務提供者的安全保障責任作出了規定。《決定》和《規定》都沒有明確規定用戶的個人信息權利，只是在規制網絡信息使用中出現了知情、同意、舉報、控告等個人信息的權利內容。

第四，行政監管之下的法律責任承擔。兩個規范性文件都有行政監管責任的設定，《決定》中的有關主管機關監管需要和各行業的具體監管結合，《規定》中明確規定電信管理機構負責監督檢查。在法律責任設定上，主要規定了行政處罰和刑事責任，并都有記入社會誠信檔案的規定。《決定》還規定了治安管理處罰責任以及民事責任，但是法律責任都很原則，并不與具體違法情節裁量相銜接。《規定》中的行政法律責任比較具體，但僅限于警告和3萬元以下罰款。

在個人信息保護統一立法缺位的情況下，《決定》具有法律效力，但其僅限于保護個人電子信息，且只有12條原則規定，在個人電子信息界定、個人信息權利以及法律責任方面雖超越了本文前述分析的個人信息分散法律保護規定，然其規定非常模糊，無法在實踐中直接落實，還是需要制定配套的專門個人信息保護法律。

2.《解釋》對于網絡個人信息的消極不侵犯規定

由于網絡個人信息侵權事件頻發，民事糾紛不斷，在沒有專門的法律依據的前提下，從實踐需要出發，最高人民法院針對利用信息網絡侵害人身權益民事糾紛案件適用法律做出了司法解釋。《解釋》第12條是專門針對網絡用戶或者網絡服務提供者利用網絡不當公開個人信息作出的規定。主要內容包括：第一，列舉了利用網絡公開的個人信息的范圍，即“自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等個人隱私和其他個人信息”，公開上述個人信息造成他人損害的，可以向法院提起侵權責任之訴。與筆者上文討論的各種列舉不同，《解釋》列舉的個人信息主要集中在基因、醫療、犯罪記錄、住址和私人活動幾個方面，并用個人隱私和其他個人信息作了兜底，這意味著《解釋》中列舉的是屬于個人隱私的個人信息和其他個人信息。另外，《解釋》雖然在界定個人信息的范圍時，沒有使用識別性，但是在公開例外的列舉第三項中出現了“且公開的方式不足以識別特定自然人”的規定。這可以看成是對《決定》內容的落實。第二，規定例外情況公開個人信息不侵權，主要列舉了自然人同意或約定范圍公開、社會公益需要、科學研究需要、自然人自己公開或已經合法公開等幾種情形。這體現對個人信息保護與信息流通自由的平衡。第三，例外公開的例外規定。自然人自行在網絡上公開或合法渠道公開的個人信息，如果網絡用戶或者網絡服務提供者以違反社會公共利益、社會公德的方式公開的，或者侵害了權利人值得保護的重大利益的，權利人有權提起侵權保護之訴。這個例外的例外實際上是對個人自行公開個人信息的限制，賦予了權利人道德檢視的權利。在公共利益、社會公德并沒有法律明定范圍的情況下，公開的例外、例外的例外如何操作，依然存在實際的困難。第四，《解釋》的適用范圍非常狹窄。《解釋》是僅就民事侵權爭議的規定，“國家機關行使職權公開個人信息的，不適用本條規定”。第五，侵權責任承擔設上限。除了貫徹民法的實際損害賠償原則外，《解釋》第18條第2款規定：“被侵權人因人身權益受侵害造成的財產損失或者侵權人因此獲得的利益無法確定的，人民法院可以根據具體案情在50萬元以下的范圍內確定賠償數額。”這實際上是針對個人信息侵權無法計算損害標準的權宜規定。

四、個人信息立法保護需明確的基本問題

通過上述梳理可知，我國目前主要在各層級法律規范文件中對個人信息進行了分散保護，并在征信業和網絡個人信息保護方面進行了專門規定，但由于特定領域保護個人信息范圍很狹窄，所以，總體上，我國的個人信息保護還是分散立法保護的狀態。在個人信息分散立法與有限專門立法保護的努力中，暴露出了非常明顯的弊端，主要體現為保護對象不明確、信息主體權利缺失、權利義務不完善和法律責任不到位等，導致了雖然個人信息保護的規范性文件很多，但是實際上根本無法發揮個人信息法律保護的作用，由此決定了必須總結分散立法和專門立法保護內容，探討個人信息立法保護的新思路。結合上文分析的既有的個人信息立法中存在的問題，個人信息立法保護必須明確下述幾個基本問題：

（一）明確保護對象

個人信息作為法律保護的客體，應該明定范圍。在我國目前個人信息的分散立法保護中，基本上個人信息保護并不是上述統計的規范性文件的主要立法目的，只是鑒于個人信息現實保護的需要而加以附帶規定。所以多數規范性文件中沒有明定何為個人信息，只是簡單作了應當保護個人信息的原則規定。這個問題有必要專門統一解決，但結合已有的立法經驗，如何界定個人信息需要考慮如下問題：

其一，個人信息的基本內容列舉。在上述統計的分散保護個人信息的規范性文件中，列舉的個人信息有姓名、住址、身份證號碼、職業、消費情況、聯系方式等個人社會交往信息；出生日期、性別、指紋等生物特征信息；收入和財產狀況、銀行賬號等財產信息；健康狀況、就醫等醫療信息。而在專門保護個人信息的規范性文件中，增加了基因、血型等生物特征信息；疾病、病史等醫療信息；存款、有價證券、商業保險、不動產、納稅數額等細化的財產信息；婚姻狀況、職業經歷等社會信息；犯罪記錄、不良信用記錄等負面信息；宗教信仰、私人活動等其他信息。綜合起來看，幾乎包含了從生物特征、社會交往、財產、醫療、私人信仰、私人活動等較為全面的個人信息，但總體上，列舉的內容以泛泛的社會交往信息最為常見。在未來的個人信息立法中，上述出現的具體個人信息都值得關注，但需要從明確分類的角度總結已列舉的內容，決定是否列舉以及如何選擇列舉的具體內容。

第二，可識別個人性的概括界定。《統計法》、《規范互聯網信息服務市場秩序若干規定》、《侵害消費者權益行為處罰辦法》中出現了“能夠單獨或與其他信息結合識別用戶的信息”的概括規定，這與專門立法保護中的概括規定一致。可以說，“可識別個人性”是信息與個人相連，并能夠最終與侵犯個人權益相結合的最基本特征。但值得注意的是，《決定》及《解釋》中出現的涉及個人隱私也是個人信息概括規定的一個標準，其如何與個人識別性相結合判斷個人信息還是一個需要認真研究和論證的問題。

第三，敏感個人信息的保護問題。不同的個人信息其公開對個人權益的影響不同，《征信業管理條例》做出“個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規規定禁止采集的其他個人信息”的規定，就是關于敏感個人信息分類保護的努力。敏感個人信息和個人隱私保護緊密相連，直接關涉個人人格尊嚴的維護，張新寶教授就提出了“我國未來個人信息保護法應當以‘個人敏感隱私信息概念對個人信息進行類型化區分”的主張。〔16 〕何為敏感個人信息？如何明確保護范圍？除了上述列舉的種類外，其他國家立法中的犯罪記錄、政黨派別以及社會團體成員身份等敏感個人信息能否為我國借鑒？這些問題都需要結合我國的文化傳統和社會實際專門進行研究。

（二）具體化個人信息處理原則

本文統計的法律中出現了收集、使用個人信息應當遵循合法、正當、必要原則，明示收集、使用個人信息的目的、方式和范圍，知情同意，合法、合約，個人信息規則公開、行政監管等具體原則。在法律之下的規范性文件中還出現了不良信息告知、不良信息限期保存原則；約定（特定）用途使用原則；個人信息保密原則等規定，其中，保密原則最為普遍。個人信息保護原則是個人信息立法的核心內容，1995年歐盟數據保護一般指令就確立了合法、終極、透明、合適、保密和安全及監控原則，〔17 〕這六大原則目的是在提供數據保護最低限度制度基礎上促成數據的自由流通。〔18 〕這六大原則也成為世界范圍內各國個人信息立法保護的基本原則。與之相比較，六大原則已經存在于我國的規范性文件中，只是具體內容并不詳實。最主要的問題是各規范性文件中原則規定不統一、具體制度設計并沒有發揮原則的指導作用，從而導致個人信息保護的分散與隨意性。

（三）準確定性個人信息主體的權利

在上文統計的規范性文件中，只有《消費者權益保護法》中明確規定了保護“消費者個人信息權”，其他規范性文件中都沒有出現個人信息權利的用語，也沒有專門規定信息主體的權利，信息主體的知情同意、查詢、變更、控告、訴訟等具體權利的規定都是在規定信息收集使用者的義務、信息收集使用規則和法律責任等內容中附帶出現的。個人信息主體權利作為個人信息法律保護的核心內容直接對應個人信息處理主體的義務并與個人信息法律保護責任相匹配。所以必須從法律保護的權益目的出發明定個人信息主體權利。

個人信息主體權利并不是簡單列舉能夠完成，其與對個人信息主體權利性質的界定密切相關。早期的歐盟1995年《數據保護指令》第1條明確將立法目的表述為保護公民隱私權，個人信息權利的隱私權屬性一直有市場。〔19 〕而隨著網絡個人信息買賣的發展，個人信息財產權保護的主張浮出水面。〔20 〕目前，更多學者認為，個人信息保護的是人格權，兼具隱私、財產雙重權益屬性。〔21 〕個人信息主體的權利作為個人信息立法保護的核心問題，其輻射影響信息業者和國家利用及監管個人信息的權益和義務。各國立法中，通常直接確立個人信息自決權，這是個人信息隱私權屬性的具體體現，有學者論證認為，從權益損害的角度看，個人信息買賣能夠獲利是個人信息泄露、濫用的驅動力，而對獲利性的法律懲處并不等同于對個人信息財產權的保護，因為，大數據時代，往往大量的個人信息聚集才會產生財產利益，個人信息僅是這種社會財產權的微小組成部分，個人無法通過個人信息財產權主張完成對自身權益保護的主張。〔22 〕總之，個人信息權利屬性是與個人隱私權保護密切相關又有區別的，但顯然，由于目前我國個人隱私也沒有明確的法律保護，在立法實踐中，兩者的關系如何理清、個人信息權利如何定性及如何進行利益平衡等還需認真研究論證。

（四）落實個人信息保護法律責任

法律責任承擔是法律權益保護的直接實現，目前我國規范性文件中個人信息保護法律責任規定雖然類型全面，但是普遍存在無法落實的困境。原因主要在于沒有明確規定個人信息與個人信息權利內容，致使法律責任缺失具體侵權依據，無法進行危害程度和危害結果的量化規范。于是，在法律責任規定上，多數采取“泄露用人單位和個人信息的，依法給予處分或行政處罰”的簡單宣示規定，或者泛泛規定“造成損失”、“侵犯合法權益”的，承擔民事賠償責任，構成犯罪的承擔刑事責任等。具體在刑法修正案中，由于保護的個人信息內容不詳、證據認定和量刑標準模糊，使得刑事責任的規定并沒有發揮打擊個人信息濫用、個人信息買賣的功效；具體數額行政罰款的規定一般存在于規章中，但受規章設定行政處罰的限制，罰款數額過低且并不具有與損害事實及危害結果的一致性；前述司法解釋規定了當事人可以提起侵權責任之訴，但“造成他人損害”和“侵害了權利人值得保護的重大利益”同樣不具有裁量性，《解釋》僅規定了50萬上限賠償數額的法官自由裁量的限度，但在中國目前的司法環境下，法官是否有能力利用好自由裁量權還很難說。法律責任是個人信息保護的最后關卡，無法實際落實正暴露了個人信息保護的無力和不足，這一最后防線需要在個人信息立法內容明確的基礎上進行精心設計。

五、個人信息技術標準立法替代與專門立法保護

上述分析指出了個人信息立法保護需要明確的基本問題，這些問題似乎可以通過制定統一的個人信息保護法來解決。目前全世界已有90多個國家制定了個人信息保護法，選擇統一立法模式也一直是我國多數學者的主張。但是，已有的立法實踐并不能完全被忽略不計，雖然總體上效果不佳，成績還是不能抹殺的，至少相關部門在專門行業和領域的保護規定中作出了與實踐結合的努力。另外，信息時代，個人信息的資源性地位早以無法撼動，在個人信息保護領域，我國的立法努力是比其他方面都落后于社會需求的，這可以從立法之外的個人信息保護技術標準的出臺得以管窺。如果能夠借助于技術標準統一個人信息立法保護的術語、范圍、基本權利和原則等基本問題，給已有的普遍分散立法以操作的指引，然后再結合特定領域的保護需求進行專門立法，應該不失為節約立法成本的務實選擇。

（一）個人信息保護技術標準的最低標準立法替代

在信息化發展的推動下，為了彌補立法的不足，我國已經設計通過了個人信息保護技術標準。由工業和信息化部起草2013年2月1日起實施的《信息安全技術公共及商用服務信息系統個人信息保護指南》（簡稱《指南》）是我國關于個人信息保護的第一個國家標準。〔23 〕2014年3月15日中國科學技術法學會、北京大學互聯網法律中心聯合發布了《互聯網企業個人信息保護測評標準》（簡稱《標準》），這是我國首部互聯網領域由獨立第三方學術機構倡議的個人信息保護測評行業標準。〔24 〕

《指南》最顯著的特點是將個人信息分為個人一般信息和個人敏感信息，并提出默許同意和明示同意的概念，還提出了處理個人信息應當遵循的八項基本原則。〔25 〕對個人信息、個人信息主體、個人信息管理者、個人信息獲得者、個人敏感信息、個人一般信息等基本術語進行了界定，確立了包括第三方測評機構在內的各方主體的權利義務，從收集、加工、轉移、刪除四個環節進了個人信息保護規定。《標準》是針對目前個人信息立法保護缺乏可操作性的現狀，遵從《指南》的規定，從初使方、關聯方、第三方界定互聯網企業，并對用戶、個人信息、個人信息處理等術語進行了界定，制定了包括知情同意、收集、加工、使用、轉移、個人參與、政策修改、安全責任、特殊領域的個人信息在內的測評互聯網企業的指標體系。《標準》的發布機構將組建測評機構，從行業自律的角度主動推進互聯網企業的個人信息保護水平。

在有世界各國個人信息立法規定可以借鑒，我國個人信息立法規定弊端明顯的前提下，《指南》和《標準》對個人信息保護基本術語、個人信息主體權利、個人信息處理責任、個人信息保護原則等標準的明確對于個人信息立法保護的缺漏彌補十分明顯，個人信息保護國家標準的出臺實際上是以技術標準的方式對個人信息保護的確認，基本上涵蓋了上述除法律責任以外的個人信息立法保護的基本問題。基于對我國個人信息立法的整體判斷，張新寶教授提出以“兩頭強化，三方平衡”作為我國個人信息立法保護的理論基礎，建議制定一部最低標準的全面保護個人信息的法律。〔26 〕這一統一立法所涉及的最低標準實際上已經規定在上述兩個技術標準中。隨著大數據處理個人信息的普及化與技術化，個人信息利益主體多元、法律責任多樣，制定統一的個人信息保護法不僅涉及界定清楚權利、義務、原則等基本問題，還需要進行利益衡量設計不同的程序和法律責任，這難度顯然高于僅從技術角度做出的基本標準界定。那么，務實的立法選擇應該是承認技術標準在解決立法基本問題中的作用，關于個人信息基本術語、主體權利、處理原則等遵循技術標準的規定，不再制定統一的個人信息保護法，集中立法資源解決問題突出的特定行業和領域中的個人信息立法保護。這不僅是節約立法成本的務實做法，也可以與實踐結合推進我國的個人信息立法保護的實效發揮。為了實現這一立法替代功能，《指南》與《標準》中的具體標準化規定還需進一步明確細化，排除個人信息處理主體范圍限定等需利益衡量規范的問題，僅從最一般意義上規定個人信息保護的基本技術標準，并成立專門的第三方測評機構，使技術標準能在立法和行業自律中提供標準化的基本作用。

（二）規制與限制雙重面向的專門立法

和法律規范性文件相比，《指南》與《標準》缺少法律救濟和責任規定，且不具有強制約束力，顯然技術標準無法發揮法律的效用，但是如果有了個人信息保護的基本技術標準，那么個人信息立法保護就可以在保護需求迫切的專門領域展開。

目前在我國個人信息分散立法保護的總體情況下，為了回應信息產業化以及網絡信息發展的現實需要，有關部門已經在征信業和互聯網信息保護方面進行了專門立法努力。征信業和互聯網正是個人信息保護矛盾最集中的兩個領域，需要立法積極規制。由于全國人大常委會的《決定》僅具有指導意義，所以上述專門立法實際上并沒有在法律層面具體展開，而僅以行政法規、規章和司法解釋為基礎展開了個人信息立法保護。因為專門立法沒有在法律層面展開，行業規制和領域管理的行政色彩濃厚，對個人信息保護涉及的多元利益主體之間的關系衡量不到位，存在著不完整、不系統、無執行力等弊端。所以，在現有規范的前提下，征信業和網絡個人信息保護必須進行立法層次和立法內容的提升，讓其真正在特定領域保護個人信息中發揮作用。

上述征信業和網絡個人信息保護專門立法是政府進行監管的規制法。這是政府積極保護公民權利在個人信息領域的體現，但是，在信息社會，政府已經成為個人信息利用的大戶，有學者研究指出，我們有全世界最龐大的人口，我們的政府面對的是最復雜的社會治理，于是，電子政務方興未艾，專業化的政府巨型數據庫急速發展。〔27 〕“政府一直是最大的個人信息收集、處理、儲存和利用者，可以說，政府公權力所及之處必然涉及上述個人信息的收集、處理和利用。”“個人信息法律保護制度的發展始終伴隨著對政府權力的限制，這是因為個人信息法律保護制度的構建不僅是對公民提供保護，而且是為維護政府自身政權合法性所必須。” 〔28 〕正如上文數據統計所揭示的，我國目前缺失且急需進行立法保護的正是政府個人信息處理領域。上文的法律、行政法規統計中，涉及公權力機關個人信息保密責任的規定最多，這表明了個人信息立法保護要求限制政府公權力的實際需求。權力的擴張和正當使用必須通過法律來限制，結合依法控權的法治國家建設要求，專門針對國家機關處理收集個人信息進行立法非常重要。由于政府行政權力行使必須符合實體法和程序法的規定，針對政府機關處理個人信息的權限、程序進行統一立法是可行的，也符合我國目前正在進行的以清單方式規制政府權力的法制建設實際。所以有必要從限權角度制定規范政府公權力處理個人信息的專門立法，但具體立法要結合已有的《政府信息公開條例》、《檔案法》等規范性文件進行研究設計。

保護個人信息基本權利、規制信息利用者行為、國家作為管理者和利用者的雙重身份等多元利益需求決定了必須綜合平衡各方利益進行個人信息立法保護制度建構。總體上，我國個人信息的分散和專門立法保護強調的是政府監管，尚缺失限制政府機關處理個人信息權力的立法，急需針對政府機關進行限權性專門立法，由此，在限制政府權力的同時發揮政府的監管職能。

綜上，基于個人信息保護的現實需求，我國目前在分散立法中出現了大量的個人信息保護規定，這些規定雖然零散、幾乎沒有發揮法律效力，但是卻能反映出個人信息保護中需要調整的基本問題；征信業規制和網絡個人信息保護的專門立法雖然法律層級效力低、內容不完整，但卻是應對信息化發展的必然產物；個人信息保護技術標準包含了最低標準的個人信息立法保護內容；從個人信息權利保護的雙重國家職責出發，我國尚缺失對國家機關處理個人信息的限制。我國個人信息立法需要立足于已有的立法和相關實踐，在個人信息技術標準替代發揮最低標準立法作用的基礎上，從政府規制社會主體和限制政府權力行使兩個方面完善個人信息專門立法保護。總之，個人信息專門立法保護不能無視目前的立法保護實際，且需要在立法過程中以及立法之后作好與已有的分散規定的整合與協調。誠如中國社會科學院法學研究所、社會科學文獻出版社聯合發布的2015年《法治藍皮書》所指出的：“防止‘拍腦袋立法，仍是立法機關的重要課題。” 〔29 〕