建构公民个人信息保护的诚信机制

李瑜青，张 玲

(华东理工大学 法学院，上海200237)

在商品经济和市场机制日益发达的当下，可商品化的事物发展达到了前所未有的繁荣状态，公民的个人信息也随之进入一些不法分子眼中，成为其牟取不法利益、进行精确犯罪活动的有效工具。这不仅对正常的市场秩序造成不良影响，而且给个人的日常生活乃至人身财产安全带来一定的困扰和威胁。探讨和研究公民个人信息保护的重要性日益突显，有的学者从公民权利、刑法等不同角度提出了各自的保护建议，笔者则认为公民个人信息保护的核心在于诚信机制的建设，所以有必要对诚信机制的价值、内容等作出说明。

一、公民个人信息保护研究的不同视角

学界有关公民个人信息保护已有多方面讨论，有的学者突出从刑法入罪的角度思考，有的学者从整体构架出发提出防范机制等，这些分析虽然很有价值，但离开诚信机制去思考，不能从根本上解决问题。

当然，讨论这个问题，首先有必要理清个人信息所囊括的内容及个人信息保护的法律依据。迄今为止，大部分学者主要是采取列举的方式囊括其内容，如姓名、性别、出生年月日、民族、身份证号码、血型、指纹、户籍、婚姻状况、家庭状况、教育背景、工作履历、健康信息、财务状况等。不过，已有学者在此基础上进行了归纳和提升，阐述了个人信息与相关概念的区别和联系，并肯定了个人信息保护的多元立法价值［1］。而对于个人信息权到底应以何种形式的权利受到确认和保护，是立法、司法和执法所必须解决的。有的学者将个人信息遭泄露定性为他人对受害者隐私权的侵犯以及公民个人对其信息的失控，因此个人信息保护是法律对个人隐私权的保障以及个人对自身信息控制权的实现［2］。有的学者建议，将个人信息控制权和个人隐私权在民法中规定为人格权，这一升华为个人信息保护提供了更高层次的法律依据［3］。从个人信息遭泄露并被非法利用的严重危害来看，对公民的个人信息进行保护有着强烈的社会需求。公民个人信息购买者与出卖者之间利诱与被利诱的互动行为是违反正义、破坏市场规则的一剂毒药，日益促成个人信息非法买卖市场的形成，其结果为不法商户提供了开展非法经营活动的原材料，并将危害延伸到公民个人，尤其是公民的自由、安全与人权。在中国，确认法律对人权的保护作用的标志为1991年发表的第一份中国人权状况白皮书，自此人权的概念和内涵逐渐丰富起来。已有学者从确认公民对其个人信息的控制权入手，构建公民个人信息保护的基石，并建议在民法上将公民个人信息界定为人格权，成为人权的核心内容之一。公民个人信息寻求保护的具体法律依据是2009年颁布的《刑法修正案(七)》。其第253条规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给他人，情节严重的，处3年以下有期徒刑或者拘役，并处或者单处罚金。”

有的学者重视个人信息泄露的防范机制建设。面对企业和政府等不同部门的个人信息泄露状况，有的学者指出其是信息化和网络化的发展所带来的问题。笔者认为，电子商务和电子政务在技术运用上存在共性，其个人信息泄露根源相似。学者们在进行研究后提出个人信息保护手段大致可归纳为三点:一是公民个人及信息管理人员的安全教育，二是技术手段，三是法律手段［4］［5］。笔者首先肯定这些保护措施的有效性:安全教育是从思想观念上增强公民个人及信息管理单位的信息保护意识，是个人信息保护的基础;防火墙和加密等软件技术的革新以应对不断升级的网络技术，是个人信息保护的核心;通过立法来确认个人对其信息的控制权，并出台可行的保护个人信息的法律制度等重要的法律手段，是个人信息保护的根本。但在讨论防范机制时离开社会发展的条件进行抽象的讨论，并不能建立起有效的防范机制。我们必须关注正在建设的社会主义市场经济的社会条件所带来的影响。一般来说，在市场经济运作中，诚信对其具有基础性的意义。市场经济活动以交换来实现各自的利益，而诚信是实现这种交换活动的基础。在市场经济活动中每一个当事人都充分认识到自己的独立存在及价值，他们都是不同的利益主体，都有自身独立的要求。人们之所以要进行市场交换，是因为他们都认识到自己本身并没有能力生产出自己所需要的所有物质生产资料，同时又没有权利命令他人无偿地提供这方面的帮助，因此就有了与他人进行交换的需求。市场上利益主体进行交换，双方都以主体的身份出现，诚信就成为交换活动的基础，因为任何一方的不诚信都可能带来交换活动的终止，或者缔结契约后又通过救济的方式要求赔偿。诚信是市场经济资源合理配置和流动的基本条件，但事物往往具有复杂性。市场经济的发展对诚信价值具有内在的需求，但同时其内涵的“物欲化”要素使人们可能对自身利益作不正当的诠释而消解这种需求。所谓物欲化，就其倾向而言实质是市场经济运行中存在的对物质的过分崇拜、过分迷恋的现象［6］。它将人从自由自在的生命主体沦为崇尚享乐、没有情趣和理想、均为消费与欲望所支配或满足的工具［7］。而这种现象使得某些人或组织为一己利益而不择手段，逐渐消解了市场经济发展所要求的诚信价值。离开了对诚信机制建设的思考，所进行的个人信息泄露防范机制建设就显得苍白无力。

有的学者强调个人信息权的刑法保护意义。对个人信息权刑法保护的激烈讨论始于《刑法》的第七次修正，学者也对刑法保护的效力进行了研究［8］［9］。从总体来说，《刑法修正案(七)》有关侵犯个人信息权犯罪的补充修正具有重要意义，但是现有法律条文仍存在一些不足或欠妥之处，如犯罪主体规定和犯罪客观行为规定的不足等。因此，个人信息权的刑法保护还有待进一步加强立法完善，尤其是对侵犯个人信息权犯罪罪名的确定，对犯罪内容及犯罪情节严重性的详细司法解释，以及增强刑法条文与行政法律法规之间的协调。当然，对法规条文等细节问题进行细致推敲，必将对实务界的个人信息保护工作起到巨大的推进作用。但在个人信息泄露犯罪事件依旧屡禁不止的大背景下，笔者不禁思考起“现有的研究是否触及了问题的根源，如果不是，那问题的根源到底在哪儿。”对刑法保护机制的研究是威慑和抑制侵犯个人信息犯罪所必需的，但刑法保护仅是一种消极的和治表的事后救济。况且，法律的更新相对于现实生活的变化往往存在滞后性，这将为不法分子钻取法律漏洞提供机会。因此，为实现对公民个人信息的最大保护，我们必须从积极防范的意义上进行研究，构建公民个人信息保护的有效机制，要转消极为积极，转被动为主动。

二、公民个人信息保护诚信机制的构建

诚信机制建设对公民个人信息保护具有基础性意义。一般说，参与公民个人信息买卖活动的主体，除了一般意义上的商业主体外，还涉及部分政府部门。尽管如此，其活动的本质是商业性的，遏制此不良势头要从源头着手。相对来说，因技术问题导致的信息泄露情况较少，因为这种情况可以通过网络技术的更新与发展来弥补，而人为因素则是信息泄露的主导因素，尤其是信息出卖者的不诚信问题，为不法分子敞开了违法活动的大门，其危害程度与波及范围也更深更广。因此，隐藏在导致个人信息泄露诸多因素背后的是商业诚信的严重缺失。个人诚信意识的缺失和集体诚信约束机制的薄弱为不法分子套取信息资料提供了可乘之机，往往使得保密规则在暴利面前成为一纸空文，因此在公民个人信息保护中倡导并实践诚信具有根本性意义。

现代诚信至少包括两个方面:一为传统道德层面的诚信，二为现代法律层面的诚信。道德层面的诚信其实主要体现一个国家的软实力，通过国民的修养及自律来维持。儒家的“慎独”思想，意指越到独处之时越要洁身自好，因为到此时本性中不好的一面便容易显露出来。不过，道德层面上对诚信的约束毕竟是有限的，而且道德约束也有其自身的缺陷。儒家的“慎独”是一种很高的人生境界，并非人人皆可达到，通常我们所见到的情况是，无人之处人性的弱点会暴露得更全面，而非审慎待之。此处其实已经溢出了通常所谓的道德层面了。道德其实恰恰是利用“他者”的眼光对主体自身的行为进行监督，它所依靠的是一种朴素的善恶观念。一方面，这种观念没有强制性，只能带来舆论上的压力，所以难以对真正的违法行为构成打击;另一方面，道德观念自身具有迟滞性，有时也具有陈旧性，所以难以依据道德得出准确的结论。在这种情况之下，为避免“诚信”沦为一句口号，应该强调从法律层面确立诚信机制的制度体系，并提供强有力的配套机制——惩戒机制，进而让诚信在市场经济中发挥积极的治本作用。

正是在这个意义上，公民个人信息保护强调重视诚信的机制建设。中共十七届六中全会通过的《中共中央关于深化文化体制改革、推动社会主义文化大发展大繁荣若干重大问题的决定》明确提出，要“把诚信建设摆在突出位置，大力推进政务诚信、商务诚信、社会诚信和司法公信建设”。可以说，稳定市场秩序、构建和谐社会是建构诚信制度的本质目的。其主要依据为诚信是市场经济的基石，其基本要求是无欺、守诺与践约。在市场经济条件下，缺失诚信的组织或个人的最终结果是无法在市场中获得生存。失信泛滥造成的恶果是扰乱经济秩序，甚至影响社会稳定和政治安定。

公民个人信息保护的诚信机制建设属于商务诚信的范畴。其主要约束对象是通过正常活动暂时保有公民个人信息的组织或个人，其尽管拥有保管权、知晓权和管理权等，但绝无交易权。基本要求是参与社会主义市场经济的主体以诚信为本开展商业活动，从事商业买卖，防止并杜绝此类组织或个人参与到非法倒卖公民个人信息的商业活动中。

如何利用法治保证公民个人信息?实际上，诚信的法治管理需要规范化。这一措施至少包含以下五个方面:

其一，商务诚信机制中的承诺制度。

承诺制度其实是一种自我约束与社会监督相结合的制度。在商业组织的经济活动中，承诺行为主要表现在不欺诈、不欺瞒顾客，从而构建良好的公信力。具体到本文所讨论的问题之中，其实许多单位都会承诺对客户的个人信息进行保密，比如银行、通信单位等。可是仅仅是承诺还是远远不够的，承诺者必须严格遵守自己的承诺，并且要对自己的承诺负相关的责任。如若有违背承诺的行为则需要有相应的惩罚。在这个层面上，承诺其实承担了一个类似于合同的契约性的作用，可以使公民个人的信息在处理过程中有所依据。

在行政机关的行政活动中，承诺制度需要彰显的更多的是政府对民众的忠诚，只有做到公开承诺、有诺必践，政府才能得到民众的信任，其政务权力才能得到认可。在行政活动中，政府需要自主地将软性承诺转化为硬性指标，加强行政自我约束和社会监督的双结合。其中，内部管理机制的强化是重点，行政机关需要以内部承诺的落实来保障社会承诺的实现。

其二，商务诚信机制中的程序制度。

诚信行为本身是一个很宽泛的概念。诚信行为只有通过具体的操作程序才有可能具体化，成为一系列可以操作的行为。不过商业活动中实行特定程序可能会存在不少的困难，因为相对而言，商业活动可能形式更加松散。这样的话，可以推行局部程序制度，即在涉及公民个人信息管理的时候实行程序制度，尤其是信息管理方在访问和使用公民个人信息时必须遵守严格的程序，坚决杜绝信息的随意查阅与恶意使用。

在行政活动中，诚信政府要保护行政执法主体与行政相对人之间的信任关系，就必须有相应的行政程序作保障。现代程序的基本特征在于，平等地对待每一个参加决定过程的个体，发挥每一个个体的作用。在机会均等的条件下，人们既有选择的自由，同时也对自己的行为负责。若是行政机关违反诚信，在公民个人信息的管理中违反正当的使用程序，为信息泄露埋下伏笔，进而影响甚至危害公民个人及其家庭，则公民有权就政府的公信力与权力的合法性提出质疑。此时则需要在此程序制度中设置公民意见的反馈渠道。

其三，商务诚信机制中的责任制度。

顾名思义，所谓责任制度就是在具体的个人信息保护事务中强调责任，并且让相关责任人承担责任的制度。不过在具体实施的过程中却往往会面临许多问题，比如责任如何划分、责任如何量化等等，这些方面都会衍生出一系列的问题。建立个人、单位负责人、单位整体的分级责任制度，并将责任指数转化为未来努力的方向。清晰的责任划分与准确的量化评估方法，是后续处理违反诚信责任制度的根本依据。在商业活动中，商业组织与公民个人之间就信息交换形成的关系是代理与被代理、委托与被委托的关系，商业活动的持续开展离不开公民个人对商业组织的信任、认同和支持，而此类信任又以商业组织的负责任为前提。然而商业组织在高额利润与高度责任的天平上往往偏向利润，而缺乏自觉责任意识，因此需要借助外力如工商等监管部门强化其责任制度的构建。

对行政机关而言，强化责任制度的深层含义是政府部门由权力本位转化为责任本位。公务人员也需要随之转换角色，由掌权者转向服务者，权力并不是可供其彰显的资本，而是其为人民服务的基础工具。政府责任制度的设置将遵循宪法性、政治性、法律性和道义性等原则，坚持以依法为人民服务为中心，违背上述原则与中心则应接受相应的处罚。责任内容则需要随着现实生活的发展与需求及时进行更新，对公民个人信息的自觉保护责任乃是政府责任制度的又一项重点内容。

其四，商务诚信机制中的监督制度。

英国危机管理专家迈克尔·里杰斯特曾说:“预防是解决危机的最好方法。”为避免因商业失信而产生危机同样需要强有力的预防措施，使得一切可能的危害被扼杀在摇篮里。监督制度作为商务诚信机制中的基础环节，其根本目的在于通过监督机构的定期督查使被监督部门时刻保持警醒，以做到“防患于未然”。监督包括内部监督和外部监督两方面。内部监督往往由于缺乏自觉性甚至存在自我包庇的现象，而使监督形同虚设;外部监督往往由于监督者的权力与地位弱于或低于被监督者，导致其监督效力难以保证。因此，为避免监督沦为空话，在设计监督制度时必须同时考虑以上两个因素。一方面，可以通过适当明确连带责任以加大相互监督的动力;另一方面，可以通过适当提升外部监督尤其是第三方监督的权威以震慑被监督部门。

对拥有实际权力的行政单位而言，更需要在其监督制度中考虑到权力的制衡要素。权力制衡的主体则应以各种社会组织和社会力量为主，包括公民个人、NGO、大众传媒等，并通过公民的自由结社、自由言论以及报纸电视网络等传媒讨论对政府权力进行监督和制衡，充分发展与经济社会发展相适应的民主机制。

其五，商务诚信机制中的档案公开制度。

公开制度在此意味着将商业组织或行政机关的诚信记录档案公之于众，以解决公民个人与商业组织或行政机关信息不对称的问题。在商业活动中，以真实的诚信档案作为参考，公民个人可以“用脚投票”，放弃诚信度较低的商户而选择诚信度较高者，这是对公民自由权的一大保障。在行政事务中，尽管处于弱势地位的公民无法转换业务部门，但他们可以依据信用档案对行政机关的合法性和权威提出质疑。一旦政府部门意识到其执政地位存在被动摇的可能性与危机，则公民的质疑就开始起作用，促进了执政部门的自我完善。

三、完善与诚信机制相配套的惩戒制度

其实，排除一些技术性的原因，比如公民个人信息的网站被攻破等，一些部门都有为客户保守个人信息秘密的要求，比如金融系统的职员。当下之所以屡次发生公民个人信息遭泄露的事件，是因为诚信制度中的惩戒制度构建不完善。为完善适用于公民个人信息泄露诚信问题的特定惩戒制度，首先要明确受惩戒的客体、惩戒的依据、实施惩戒的主体与具体的惩戒措施。

第一，受惩戒客体显然是违反诚信倒卖公民个人信息的个人或组织，主要包括两大类:信息的买方和信息的卖方。信息的买方是比较容易确认和定型的对象。而信息的卖方虽然往往只是某个组织或单位的员工，但是为强化单位自身的诚信意识与内部监督，此时的惩戒客体除了具体出卖信息的个人以外，还应连带部门负责人及其单位。

第二，惩戒需要证据，真实且合法的信用信息档案是进行惩戒评判的重要依据，而明确诚信档案的信息搜集方与档案管理机构是首要任务。目前的信息搜集主体主要有两类:一是行政机关，二是中立的第三方，例如征信机构和信用评估机构［10］。就信息搜集效果而言，两类主体各有其优势，但目前档案管理权仍主要归属政府部门，比如上海的诚信档案管理机构设置在检察院。笔者认为，应将诚信档案的管理权从政府的系列权力中剥离出来交予独立的第三方，给公正的第三方以更多的自主权，充分发挥社会的力量，而政府则主要承担扶持与监督之责。

第三，惩戒需要落实明确的惩戒主体与具体的惩戒措施。由于参与公民个人信息泄露的主体具有复杂性，对其进行惩戒需要实行多部门联动，如工商部门、法院、检察院等。对参与公民个人信息泄露的商业组织，工商管理部门需依法加大检查频次和力度，对切实造成各方危害的经营主体需采取行政处罚措施，如没收非法所得、限制或取缔其经营权等。而对部分已触犯刑法的个人和企业，除使用常规的行政处罚外，还需依情节轻重通过法律途径进行刑事处罚，如罚款或判刑等。

此外，对于信息卖方的惩戒仅就泄露信息的个人进行处罚是不够的，应采用分级责任制。首先，对于泄露信息的当事人，采用“一票否定制”，调离人事部门等知晓信息的关键岗位，情节严重者甚至勒令解聘;其次，作为单位的部门负责人，由于监管失力则需要直接承担责任;最后，对于单位整体而言，则需要接受单位信用等级下调的考评与结果公布，并对受害者承担直接的补偿责任。

［1］涂慧.试论中国个人信息的法律保护［J］.西北大学学报:哲学社会科学版，2010，(3):149.

［2］周健.美国隐私权法与公民个人信息保护［J］.情报科学，2011，(6):608 －611.

［3］刘士国.新生人格权问题研究［J］.法学论坛，2011，(11):5－9.

［4］兰天.论电子商务中隐私权的法律保护［J］.社会科学辑刊，2011，(3):97 －99.

［5］李广都.建立民生档案应注重公民个人信息保护［J］.中国档案，2008，(11):12 －13.

［6］李瑜青.人文精神的价值与法的合理性追问［J］.上海大学学报，2008，(1):75 －78.

［7］李瑜青.人文精神与法治文明关系研究［M］.北京:法律出版社，2007:9－12.

［8］沈海平.为保护公民个人信息织就更严密的法网［J］.人民检察，2008，(23):13 －15.

［9］刘宪权，方晋晔.个人信息权刑法保护的立法及完善［J］.华东政法大学学报，2009，(3):120 －130.

［10］李富莹，王仲菊，等.信用惩戒在地方立法制度设计中的应用研究——一种社会管理方式创新的尝试［C］//第二届京津沪渝法治论坛入选论文集.上海:上海法学会，2012:11.