防止“個人信息”泄露，需打好“法治牌”

廖曉語

個人信息私法保護的必要性

一是建設個人信息私法保護能夠防止個人信息安全危機的發生。私人信息的收集自古已有，不論是政府、社會組織或是社會成員，都可能有信息收集的習慣。但在社會發展水平不高的階段，個人信息的非法收集并沒有大面積的造成個人權益損失。而隨著現代信息技術的發展，個人信息收集的性質也發生了變化，它成為商業機構或政府運行的動力，政府機構運用信息收集進行行政管理，甚至為其決策提供參考依據，而商業機構通過個人的信息收集分析來獲取商業利益并維護組織運行。目前，我國社會信用體系建設還不完善，自律機制也難以發揮強有力的作用，因此必須通過立法強制性來保護個人信息，避免個人信息安全危機的爆發。

二是保護好個人信息能夠確保其有效使用。保護個人信息需要有兩方面的考慮，一方面要在信息管理者與信息主體之間實現平衡，即既要保護個體人格權，又要滿足管理者的信息需求；另一方面則要注重在個人權利保護與促進經濟發展之間實現平衡。所以，個人信息在保護過程中既要保證信息自由流通，還要保證信息能夠有效使用。在現代社會，個人信息在商業發展以及公共管理中占據重要地位，因此不可能建立個人信息的絕對保護，在這種環境下，便需要法律來為信息的收集、使用、流通制定一定的規則，這既能夠讓信息發揮其應有的價值，也能夠防止信息的濫用。

三是制定個人信息保護法能夠促進我國法律體系的完善。個人信息的法律屬性較為復雜，一方面它并非無形財產，但在社會生活中卻又具備一定的財產價值，另一方面個人信息是一種新型的人格權要素，但是又不能完全融入到人格權法律體系之中。這些都導致個人信息在私法領域一直處于邊緣地位，我國法律對個人信息的保護尚待完善。為此，我國需要對個人信息保護進行專門立法，制定具體的保護內容、約束措施、實施程序等，促進我國民事責任體系與刑事責任體系的完善。

我國個人信息私法保護的現狀及問題

我國目前主要從兩個方面實現對個人信息的保護：一方面是在相關法律法規中制定個人信息保護的條款，另一方面就是依靠行業自律，即掌控個人信息方承諾對個人信息加以保護。

一是立法對個人信息的保護，這分為直接保護與間接保護兩個方面。直接保護主要是指法律對個人信息有明確加以保護的規定，這方面我國的法律還較少，主要是在《中華人民共和國身份證法》和《中華人民共和國護照法》中有所體現。在具有規范效力的一些行政法規、規章中也并不多見，僅在《2006～2020年國家信息化發展戰略》、《互聯網電子公告服務管理規定》、《最高人民法院、最高人民檢察院關于切實保障司法人員依法履行職務的緊急通知》幾個文件中有所提及。盡管有關個人信息直接保護的法律法規不多，但這也是我國個人信息保護法從無到有的進步，但這些保護僅限于公法領域。間接保護主要是指一些法律法規中對“個人隱私”、“個人秘密”以及“人格尊嚴”的相關規定，這些法律法規并非是為了直接保護個人信息，而是僅對部分個人信息進行保護，如我國對個體姓名、肖像以及隱私等具體人格權進行保護，這些規定有的表現在最高人民法院的司法解釋之中，有的在《民法通則》中有所體現。

二是行業自律對個人信息的保護。由于我國沒有完善的個人信息保護機制，信息侵害事件時有發生，因此社會個體并不愿意向他人透露自己的私人信息，這給一些機構的個人信息收集帶來困難。在此情況下，一些商家機構為了達到收集個人信息的目的，往往單方面作出保護個人信息的承諾，有的還制定了相應的內部規范來保護個人信息，這起到一定的作用，并促進了信息的流通。以近年來飛速發展的互聯網為例，網絡用戶在利用互聯網平臺時，一般需要注冊賬戶，才能夠獲得相關服務，注冊行為本身便需要填寫個人信息。除此之外，在購物、求職、發帖等一些網絡活動中也會留下個人信息。為了吸引用戶使用互聯網工具，并獲得用戶信任，網站大都會做出保護個人信息安全的承諾，一般會涉及以下幾個方面內容：一是承諾保護訪問者的個人隱私，不會泄露個人信息；二是強調網站的信息安全管理，能夠防止個人信息的丟失、誤改或濫用；三是強調網站對個人信息的使用有嚴格的審查管理，當第三方要求獲取個人信息時，將征求個人用戶同意，在未獲同意情況下，不會將個人信息泄露給第三方；四是對信息的修改或刪除做出說明，一般只有網友自己才可以修改或刪除自己發布的信息，但網站在審查過程中，若發現不適當或違法信息，也可根據自身權限進行刪除。

我國個人信息私法保護存在的問題。主要有：一是在立法上對個人信息保護就存在缺陷。首先，我國個人信息私法保護的范圍極其有限，在內容上僅將肖像、隱私以及榮譽等與個體有直接關系的個人信息納入保護范圍，而對個體的人事記錄信息、住址信息等則沒有法律上的保護。此外，在個人信息私法保護上，我國的法律保護方式是防御性的、消極的，這容易產生人格利益和經濟利益保護的矛盾。其次，我國對個人信息私法保護最為明顯的表現便是缺乏一部專門保護性法律，沒有從法律上明確個人信息的價值與保護意義，而且目前對個人信息保護的相關法律法規又分散在不同的法律之中，這也削弱了這些法律條例對個人信息的保護。最后，在個人信息受到侵害并給個體造成權益損害后，我國在法律上并沒有有效的救濟途徑。目前，在處理個人信息被侵害案件時，主要是要求侵害者停止侵害，并賠禮道歉，這是一種精神的慰藉，即便受害者能夠得到一些物質賠償，金額往往也較小，難以真正起到懲戒作用。盡管受害方的精神利益不能夠用金錢來衡量計算，但足額的金錢賠償，對于受害方是一種補償，且侵犯權利者能夠得到懲罰，既能讓受害方心理上獲得一定平衡，也能有效震懾意圖侵害他人個人信息者。

二是在個人信息保護上行業自律性并不強。盡管隨著商業模式的成熟，我國一些行業內部逐步形成了保護個人信息的自律，但實際上這種保護機制缺乏強制性，在保護個人信息的力度上有所欠缺。從范圍來看，并非各行各業都對保護個人信息做出承諾，一般來說是互聯網行業較多，但即便是在互聯網行業，也并非每一個互聯網企業都會做出保護個人信息的保證。而且從保護效果來看，行業所做出的保護承諾也是十分脆弱的，一旦發生個人信息泄露、買賣事件后，個體難以舉證行業信息管理者存在過錯，這也意味著信息主體難以維權，行業承諾也只是空談。此外，行業的個人信息保護承諾是信息管理者單方面提出，在保證聲明的制定上多從自身利益出發，并非真正從保護個人信息角度考慮。而且，目前我國公民的個人信息保護意識并不強，對個人信息所應享受的權益也沒有較多的了解，這也使得行業自律成為虛設。政府等公權力機構收集個體信息更多是為了管理便利，并能夠更快捷的服務于個體，個人在提供個人信息時也是履行義務，因此并不需要過多考慮信息所應有的權利。但非公機構收集個人信息的目的卻有所不同，一般都帶有商業目的。因此，信息主體往往也關注是否能從信息收集者中獲取相應對價，即獲取信息收集方所提供的信息服務。但除此之外，信息主體很少注意個人信息應享有的其他權利，這種思維讓行業機構在個人信息保護上更加懈怠和無力。

我國個人信息私法保護制度的構建

制定個人信息保護的基本法。隨著技術的進步，社會信息化已經是不可逆轉的潮流，而個人信息的保護也將與多個法律部門產生聯系，如刑法、民商法、經濟法以及行政法等等，這是一個廣泛而復雜的領域，因此需要制定一部基本法作為該領域的統帥。在個人信息保護法制定上，必須首先明確法律本身的性質，這樣才能確定具體的法律原則、適用原則。進入新世紀之后，我國政府開始重視個人信息的保護，早在2003年就制定相關方面的專門法而委托法學專家進行研究。2006年中國社科院專家周漢華主持起草了《個人信息保護法》的專家意見稿，其中將個人信息權利看作一種新的公權利，由此將個人信息保護法定義為行政法。但實際上個人信息承載的是個體的人格利益與財產利益，按照現代法律精神，應充分尊重個體的個人信息權，為此個人信息保護法也應該以保護個人信息權為核心。盡管刑事制度與行政制度能夠處理侵犯個人信息權的行為，但并不能就此將個人信息保護法定義為公法。也有學者建議個人信息保護法應該是公私法混合性質，但這就必須在立法中確立個人信息保護的主管機構，并對其職權有所規定，但我國在行政機構并無相應設置，也不必為了個人信息保護立法而設置新的行政機構。因此，我國有關個人信息保護的基本法應該是一部關于個人信息權保護、個人信息處理者規范處理個人信息的民事單行法，屬于私法性質，而非一部管理個人信息處理的法律。

個人信息保護法應推進行業自律。我國在個人信息保護法制定過程中，還需要把行業自律問題也納入到立法框架之中，因為目前我國的行業自律并不能真正起到保護個人信息的作用，這主要是因為我國并未形成十分成熟的行業自律體系，這一方面是因為我國的社會自治功能一度被廢止，而要重新恢復和生長則需要各方的長期努力。此外，我國行業自律所提出的個人信息保護規范大都是依照法律規定來制定的，而我國法律在個人信息私法保護上處于缺失狀態，這也限制了行業自律所制定規范的深度和廣度。因此，我國應該在個人信息私法保護立法中考慮行業自律問題，適當借鑒國外個人信息保護的安全港模式，即將行業自律納入到法律范疇，要求行業組織所制定的個人信息保護規范要符合國家信息保護法，而且還要接受國家相關機構對行業自律規范進行審查。目前我國并不具備完全建設安全港模式的條件，沒有專門機構來對行業規范進行管理審查，但可以適度借鑒這一模式的建設經驗，在個人信息保護私法內容制定中，要求社會組織或協會來根據法律制定行業規范，行業規范較之法律應該要求更高。在沒有專門審查機構的情況下，司法手段可以在一段時間內起到裁判行業自律規范是否符合個人信息保護法的作用，這能夠讓安全港模式發生作用，推動行業自律。

其他私法制度為個人信息權提供保護。個人信息的私法保護并非只是一部基本法，而應該是一個制度群，在基本法統帥下，應該制定其他有關個人信息保護的私法制度。為此，除了制定個人信息保護的基本法，在有關人格權法、侵權責任法、合同法等的民法典中也應有保護個人信息的規定。在未來的民法典修訂中，在人格權編中應確認人格信息權。除此之外，涉及公司保險法等的商事特別法也要將個人信息權保護納入其中，在涉及個人信息處理行為的條例規定中，要特別關注個人信息權的保護。在個人信息私法保護的具體實踐中，個人信息保護法作為統領性法律，它不可能根據各行各業的實際情況來制定內容，而且社會各行業的性質千差萬別，在個人信息處理活動中的性質也各有不同，基本法不可能涵蓋所有內容，但行業自律模式本身又缺乏保護個人信息的力度。為此，在個人信息保護法之外，還應建設其他私法制度，為各行業的個人信息保護提供具體的規定和規則，這才能夠讓我國的個人信息私法保護落到實處。

責編/王坤娜 孫垚（見習）

美編/楊玲玲