论我国个人信息法律保护的制度构建

肖少启　韩登池

收稿日期：2012?12?13；修回日期：2013?04?01

基金项目：国家社科基金项目“网络环境下个人信息安全危机与法律对策研究”（12XFX021）；中央高校基本科研业务费科研专项人文社会科学类重大项目“政府依法治理网络空间的技术规范和法律规则研究”（CDJKXB12001）

作者简介：肖少启（1970?），男，湖南衡阳人，韶关学院法学院讲师，重庆大学法学院博士研究生，主要研究方向：民法学，法学理论；韩登池（1967?），男，湖北浠水人，韶关学院法学院教授，主要研究方向：法学理论.

摘要：个人信息是人格权的重要组成部分。然而，我国目前对个人信息保护的形势不容乐观。对于个人信息采取何种保护模式，学界进行了广泛而有益的探讨。为了充分保护个人信息权，规范信息流转制度，维护数字社会的信息安全，我们亟需制定一部统一的个人信息保护法，构建健全的权利制度保障体系，从而实现信息社会的可持续发展。

关键词：个人信息；权利救济；法律保护；制度构建

中图分类号：D923.8 文献标识码：A 文章编号：1672-3104（2013）04?0075?06

随着互联网的迅猛发展，无所不在的个人信息及个人信息收集，功能越来越强大的计算机和其他数据处理设备，射频识别、生物识别技术、人脸识别等特新技术，日益加强的管制和数据监控，以及越来越频繁的最初并不是为了收集目的的个人数据的使用，尤其是涉及国家安全、打击有组织的犯罪和恐怖主义 等，[1]使得个人信息法律保护面临诸多挑战。自20世纪50年代起，西方发达国家就开始关注个人信息保护问题，通过立法确立了旨趣不一的个人信息法律保护模式。我国正大踏步迈进信息社会，个人信息保护问题也越来越引起人们的高度关注和重视。《人格权法》的起草和制定工作正如火如荼地展开，个人信息保护的立法亦随之被提上了议事日程。为了确保个人的信息安全，实现信息社会的可持续发展，制定一部科学合理的个人信息保护法具有重要的现实意义。

一、我国个人信息立法保护的现实

迫切性

现实生活中，“共享客户资源”在商界几乎是公开的秘密，一旦个人信息被非法出售，房产代理、各种中介服务公司、广告公司、保险经纪公司、信用卡公司等会时不时电话或短信骚扰客户。我们的个人信息，一下子就成了这些公司企业的金矿。更有甚者，它们业已形成利用个人信息从事非法获利的黑色链条。

我国现行法律法规对于银行个人金融信息缺乏有效的保护和明确的规定，有关银行对个人客户信息保护的规定比较零散而且笼统，更多的规定集中于银行对个人金融信息的披露方面，并且授予许多政府部门获取个人金融信息的权力。现行法律中保护银行个人金融信息的内容过于简陋，仅仅规定了银行负有保密义务，并且这种保密义务也是非常笼统的，缺乏对个人金融信息权属的确定，个人客户在其信息利益遭受侵犯时无法获得法律上的救济。总而言之，我国对银行个人金融信息保护的相关法律都侧重于公共机构对于个人金融信息的获取而缺乏对有关的权利主体救济方面的规定。[2]由此，我们的档案信息几乎得不到有效保护，任何人都可以轻易获取我们的档案材料。身份盗用，即利用个人信息非法获取现有的金融帐户，公开诈骗帐户，或者以他人名义获得信用卡，这些都是增长最快的白领型犯罪活动。[3]

随着传感器网络、生物识别技术、射频识别及监控系统等高科技的发展，个人身份识别、电子病历信息、远距离医疗记录、交通讯息、各种消费资金账户信息载体与日常生活层面应用的异类结合等，都会造成个人信息被大量运用与流通，信息主体本人却被蒙在鼓里，尤其是在虚拟网络的推波助澜作用下， 个人信息被滥用、私权被侵害的程度达到无以复加的程度。特别是云计算技术的运用，个人信息的保护问题更为突出。云计算将使未来的互联网变成超级计算的乐土，但同时也是个人信息泄露的温床。由于互联网没有国

界的限制，在云计算环境下，数据有可能储存在世界上任何一个我们根本就无从知晓的数据中心，信息主体把自己的业务放到云端数据中心，安全是个非常严峻的问题。[4]前不久，我国发生了十亿条个人信息被盗事件，公民信息泄露程度“触目惊心”。[5]信息一旦泄露，人们精神上可能极度焦虑，因为他们无法再进行数据恢复和防止信息资料的下游滥用。而且，一旦信息被不法分子利用，潜在的危害如账户失窃、身份盗用、诈骗、绑架等严重的刑事犯罪将接踵而 至。[6]针对这一严峻形势，世界上大约90个国家和地区颁布了法律，赋予个人控制由政府机关和私人机构收集和使用的这些个人信息数据。几个主要国际公约已在欧洲生效，亚非国家正在制定相关的法律。国际机构也正在制订国际公约，国际法庭则发布了有关的决定。[7]

二、我国个人信息法律保护的

学理分歧

鉴于我国尚未制定公民个人信息保护的专门法律，对于公民个人信息究竟提供何种法律保护或救济途径，学界进行了积极的探索。其中不乏真知灼见，但有的观点未免有失偏颇。

其一，行政法保护说。对于个人信息，我国有学者主张利用行政法来进行保护。[8]甚至有学者认为，个人信息保护法是行政法的特别法。这是因为行政机关在个人信息处理和利用的过程中占了很大比重，个人信息保护法大量的篇幅是有关纵向信息关系的调整规范的。从这个意义上说，个人信息保护法是公法，属于行政法的范畴。[9]笔者认为，个人信息保护法不是行政法的特别法，而是私法和权利法。一方面，从权利的本质上来看，个人信息权是信息主体依法享有的一项基本的民事权利，它通过赋予权利主体支配和控制其个人信息的权利，以期保护权利主体存在于其个人信息上的人格利益。进言之，个人信息权是一项基本的人权。人权是人之为人所享有的最起码的权利，它只有通过制定法加以确认，才能转化为现实的权利。作为权利法，个人信息保护法是实现人权的手段。另一方面，由于个人信息保护法是以确立和保护个人信息权为重要职能，故它是私法。当然，为了规范信息流转，保护信息安全，维护信息社会的井然秩序，个人信息保护法必然会制定一些强行性规定，从而表现出一些公法属性。本质上，个人信息保护法是具有一定公法属性的私法，它旨在保护具有私权性质的个人信息权；而行政法是公法，其地位和作用主要体现在维护社会秩序和公共利益，监督行政主体、防止行政权力的违法和滥用，保护自然人、法人或其他组织的合法权益等方面。由此可见，个人信息保护法和行政法在价值取向上既有共同点又有差异，二者在个人信息保护方面相辅相成、相得益彰。

其二，刑法保护说。有学者认为，在侵权行为日益猖獗的今天，仅仅以其他手段诸如民事制裁似乎很难遏制这种现象的滋生和蔓延，只有通过刑法这种最严厉的保障手段才能有效地对个人信息权进行保 护。[10]笔者认为，对个人信息保护寄予刑法厚望是不现实的。诚然，我国刑法第253条规定了“出售、非法提供公民个人信息罪”及“非法获取公民个人信息罪”，但该条存在以下几个方面的不足：第一，本罪的成立要件是“情节严重”。何谓“情节严重”，现行法律及司法解释都没有做出明确的规定。第二，该罪的刑罚力度不足。本罪的最高刑期为三年以下的有期徒刑，难以有效遏制此类违法犯罪活动，故有必要适当提高刑罚的上限。第三，刑法第253条所规定的犯罪主体局限于特殊主体，即国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，而对于其他主体如互联网公司、汽车厂商、房地产中介、宾馆酒店等单位和机构则排除在外。丹尼尔教授认为，利用刑法作为主要的法律手段打击个人信息滥用的犯罪行为效果不佳。一方面，执法官员缺乏足够的资源来指控身份盗用行为；另一方面，与暴力犯罪和毒品犯罪相比，身份盗用被视为是一项轻罪。现实生活中，身份窃贼往往很难被抓住，因为他们经常出现在许多不同的地点，犯罪证据的获取变得十分棘手。据一份评估报告称，在700个身份盗用案件中，不到一个犯罪分子被定罪量刑。由此可见，刑法对身份窃贼的震慑效果有限，况且刑法对受害者的救助也少得可怜。[11]

其三，民法保护说。对于个人信息的民法保护观点，又可以进一步分为三种情形。第一种，侵权法保护说。针对个人信息，有学者主张用侵权法来保 护。[12]我国《侵权责任法》对个人信息保护虽然有所规定，但该法第36条所规制的对象局限于网络用户和网络服务提供者。如同刑法救济一样，侵权责任法也属于事后救济，而在互联网时代需要对网络安全以及个人信息进行全流程的监管才更为有效。当然，受害者可以寻求侵权法的救济，但起诉滥用个人信息的违法犯罪分子往往是徒劳的，因为有时很难侦查身份窃贼是从何处获得个人信息并实施违法犯罪行为的。或许有学者会认为，受害者可以起诉泄露该个人信息的公司或者起诉许可窃贼以受害人名义设立账户的公司。从情理上讲，这种观点容易为人们所理解，但是

法律必须确认该公司违反了其最起码的注意义务以及由此引起的损害后果两者之间因果关系的存在，这些要素更加难以确定。即便法律认定该公司允许不正当获取个人信息主观上存在过错，但进行法律诉讼仍存在一些障碍。例如，非法获取的个人信息可能多年以后才被不当传播并导致实质性损害的发生。由于信息的无形性，它可以为不同的人同时拥有，而且可以进一步传播开来。除非我们能侦查到窃贼获取信息的源头，否则将很难把具体损害与确保数据安全的特定主体二者联系起来。[13]第二种，隐私权客体说。该理论起源于美国，主张个人信息是一种隐私利益，个人信息立法应该采取隐私权保护模式。隐私权客体说在我国亦有不少支持者。然而，个人信息权与隐私权是两个不同的权益范畴，两者具有不可调和性。随着越来越多的国家进行相关的立法，隐私权法和个人信息权法之间的关系引起了全球范围内的讨论。由于利益和价值的多元化需求，两者之间必然会存在某些交叉重叠，也不可避免会导致一些冲突。例如，政府有时候因为各种原因需要获取大量个人的信息，记者进行新闻调查，民间社会团体为问责而斗争，个体需要知道政府部门做出某种决定的理由，公司为了营销目的而寻求信息，历史学家和学者则探究各种事件的来龙去脉等。对此，已有五十多个国家分别颁布了隐私权法、数据保护法和信息权法。[7]第三种，人格权客体说。该学说主要以德国法为代表，认为个人信息体现的是一种人格利益，对个人信息应该采取人格权保护模式。这一学说对我国影响较大。有学者指出，从现代社会的发展对个人自由的扩展趋势而言，强化个人对其信息资料的积极控制，即“控制自己资讯的权利”或“资讯自决权”，有相当积极的作用，人格权法应予积极的反映。[14]进言之，个人信息权就其主要内容和特征而言，在民事权利体系中，应当属于人格权的范畴。个人信息权应当作为一项独立的权利来对待，此种权利常常被称为“信息自决权”。[15]笔者认为，采用人格权的保护模式来保护个人信息无疑是正确的选择，但人格权与个人信息权亦是两个不同的权益范畴，两者既有交叉重叠的部分，也有不兼容之处。申言之，我们在制定“人格权法”的同时，亦需要制定一部独立的“个人信息保护法”。

三、我国个人信息法律保护的

制度构建

我国目前尚未制定公民个人信息保护的专门法律，虽然有近四十部法律、三十余部法规以及近二百部规章涉及个人信息保护，然而这些规定较为分散、权责不明晰或者存在部门规章效力层级偏低等问题。2013年2月1日，我国首个“个人信息保护”的国家标准即《信息安全技术公共及商用服务信息系统个人信息保护指南》（下称《指南》）正式实施。尽管这意味着我国个人信息保护工作进入了“有标可依”阶段，但其毕竟只是一个标准，尚缺乏法律约束力，不足以震慑违法犯罪行为。从表面上看，信息法保护的是个人信息；但实质上，它不仅保护个人的隐私、自由和自治，事关个人人格的健全发展，它还具有重大的社会价值，关系到个人信息的公平、合理、高效流转。资料保护的个人和社会双重价值及资料保护问题的个人和社会双重属性，使得资料保护法跨越了公法与私法的界限，涉足宪法、刑法、行政法和民法等部门法。任何一部传统的部门法单凭一己之力均无法完成个人信息法治化流转的使命。这就要求制定一部专门的资料保护法，使它成为规制个人资料收集、使用、加工和散播等整个信息流转过程的基础性法律。因此，我国亟需出台的不是针对某个领域、行业或某类资料处理的条例、管理办法、指导意见、行为守则，也不只是对刑法、行政法和民法中涉及资料保护的部分进行简单的修补，而是宪法指导下的一部个人资料保护 法。[16]在这部个人信息保护法中，我们应确立科学而严谨的原则体系，明确界定个人信息法律关系的客体制度，构建健全的个人信息权利救济制度，从而充分保障信息主体的个人信息权。

（一） 确立个人信息保护法的基本原则

个人信息保护法基本原则体现了信息法的基本价值，集中反映了信息法立法的宗旨和目的，对各项信息法律制度和信息法规范起统帅和指导作用，也是指导我们立法和司法实践活动的基本准则。学界对于个人信息保护法的基本原则进行了较为充分的研究，大致形成了共识。[17?20]一般认为，个人信息法的基本原则主要包括以下几个方面，即目的明确原则、最少够用原则、公开告知原则、个人同意原则、质量保证原则、安全保障原则、诚信履行原则以及责任明确原则等。

（二） 明晰个人信息法律关系的客体制度

个人信息法律关系的客体，也称个人信息权的客体，是指个人信息法律关系中信息主体之间享有的民事权利和承担的民事义务所共同指向的对象。具体地说，个人信息法律关系的客体指的就是信息主体的个人信息。当前，在个人信息的定义上，有概括型、概括列举型和识别型三种模式。概括型定义就是单独使用概括的方法描述个人信息的定义方式，列举型是单独使用列举的方法界定个人信息的定义模式。单独使用列举型定义的立法十分少见，而大部分采取混合型定义模式或者概括型定义模式。识别型模式就是以识别为核心要素对个人信息进行界定的定义方式。相比较而言，识别型定义是目前国际和国内立法采用较多的个人信息定义方式。[21]（109）尽管《指南》对“个人信息”进行了定义，但其仅仅局限于“计算机数据”，并不具有高度涵盖性，从而缺乏普适性。笔者认为，我们可以在参考《侵权责任法》第2条第2款立法模式的基础上采取识别型定义法，即我国《个人信息保护法》中所讲的“个人信息”是指“自然人姓名、出生日期、身份证号码、健康状况、基因、指纹、婚姻家庭、教育、职业、医疗、联络方式、财务情况、社会活动以及护照号码等能以直接或间接方式识别该个人的信息。” 需要指出的是，《指南》将个人信息进一步区分为个人敏感信息（personal sensitive information）和个人一般信息（personal general information）。

一般来说，国际上对个人敏感信息大致有三种立法体制。一是列举法。欧盟《数据保护指令》第8条第1款对个人敏感数据采取了列举式立法体制。例如该条规定，敏感数据（sensitive data）是指“表明种族或民族、政治观点、宗教或哲学信仰、工会会员以及有关健康或性生活资料处理的个人数据”。列举法的优点是简单明了，但其无法穷尽个人敏感信息的所有客体。二是目的法。目的法关注的是处理个人信息的目的，它是2005年欧洲理事会在其一份“信息自决权”报告中提出的一个概念。采用目的法能有效降低成本效 益——减少数据保护机构的行政负担。其缺点也是明显的，即由哪一个机构来认定信息的敏感性；无论是基于主观标准抑或是客观标准，随意性都比较大。[22] 三是情境法。情境法是指根据数据的背景或者内容来判断个人信息是否具有敏感性。我国采取的就是这种模式，例如《指南》规定，“各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定”。从理论上讲，情境法是一种很灵活的方法，但采取这种立法模式将很大程度上导致对敏感信息的认定具有不确定性，因为“敏感性”的判断标准并不受法律条款本身的限制。[23]进言之，敏感信息可能涵盖任何信息或数据，从而使得敏感信息的外延被无限扩大了。

正是基于前述的原因和理由，敏感数据（信息）和非敏感数据的区分法一直以来就受到学界的广泛批评。同时，随着互联网的迅猛发展，个人敏感信息与个人一般信息之间的区别变得越来越模糊。从欧盟数据指令和德国、瑞典及英国等国家数据保护法的适用来分析，在网络环境下，将个人敏感信息与个人一般信息区分开来是一个很大的挑战，效果也不甚理 想。[22]笔者认为，我国未来的“个人信息保护法”是否有必要进一步区分个人敏感信息与个人一般信息，值得进一步研究。

（三） 构建健全的个人信息权利救济制度

与个人信息安全相关的核心问题是商业活动和政府行为。我们需要重构个人信息权与企业及政府的关系，也就是说，当企业及政府机构收集、处理或利用我们的个人信息时，它们怎样对待我们，这是我们需要严肃思考的问题。目前，个人信息的采集者和使用者往往对我们不负责任。个人信息遭到收集和使用，然而我们根本就不知道也无力掌控这些信息的安全性。对于收集和利用我们个人信息资料的公司企业须在多大程度上对我们承担责任，令人吃惊的是，法律竟然没有明确规定。[6]毋庸置疑，“无救济则无权利”。如果要使信息主体的合法权益得到有效的法律保护，那么个人信息保护法中就应该明确规定对信息主体权利的相关救济制度。

首先，归责原则的确定。一方面，国家机关违反法律规定，导致个人信息遭到非法收集、处理、利用或者导致其他侵害行为发生的，应该承担无过错责任。很多国家或地区的法律都进行了类似的规定。例如，德国《联邦资料保护法》第7条规定：“当公务机关在本法或其他资料保护规定下，由于未经许可或不正确的个人资料自动化处理对资料本人造成损害的，公务机关有责任赔偿本人的损失，而不论其是否有过错。”另一方面，对于非国家机关违反法律规定，导致个人资料遭到非法搜集、处理、利用或者导致其他侵害行为发生，行为人不能证明自己没有过错的，应当承担侵权责任。申言之，非国家机关对其民事侵权行为导致损害后果发生的，应承担过错责任。以我国台湾“个人资料保护法”为例。该法第29条规定：“非公务机关违反本法规定，致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者，负损害赔偿责任。但能证明其无故意或过失者，不在此限。”

其次，损害赔偿额的计算方法。尽管我国《侵权责任法》第20条对侵害他人人身权益造成财产损失的损害赔偿制度进行了较为详尽的规定，但现实生活中，针对个人信息权的侵害，往往很难确定具体的损害赔偿数额。因此，个人信息保护法往往通过定额赔偿制度来计算损害，但计算机处理个人信息的规模宏大，由于限定了最高额赔偿，可能使得一些超过了最高赔偿额的损害无法得到赔偿。在此情况下，应允许当事人依据民法主张赔偿全部损害。[21]（184）

最后，精神损害赔偿的提出。实践中，个人信息经常被滥用，进而发生身份盗用、诈骗、跟踪、不正当营销活动以及对信息主体进行监视等。这些滥用行为将会导致一些实质性损害的发生，例如经济上的损失、情绪困扰，甚至身体暴力等。尤其是，身份盗用对于受害人而言简直就是一场梦靥。犯罪分子通过使用受害人的个人信息获得贷款，公开诈骗账户，侵占受害人账户中的财产。当身份盗用发生之后，受害者的个人档案因为错误信息而被玷污——债务未清偿、交通违法，逮捕以及其他令其名声扫地的数据。因为犯罪分子盗用受害人的个人信息，执法数据库有时将受害者的名字与盗用者的犯罪活动联系起来。[11]前述侵权行为不仅给权利人造成了财产损失，也会导致精神损害。对此，我国《侵权责任法》第22条明确规定，侵害他人人身权益，造成他人严重精神损害的，被侵权人可以请求精神损害赔偿。笔者认为，当义务主体违反法律规定，导致个人信息遭到非法采集、处理、利用或者导致其他侵害情形的发生，造成信息主体严重精神损害的，被侵权人可以依法请求精神损害赔偿。

四、余论

当前，我国在个人信息法缺位的情形下，法院司法实践活动对保护信息主体的权益至关重要。正如博登海默所指出的，理性通常允许采纳几个有效的解决方法，然而面对该问题的法官却必须设法用斩钉截铁的手段去解决这种棘手问题。[24]令人欣慰的是，2010年11月，最高人民法院颁发了《关于案例指导工作的规定》。从理论上来说，此规定解决了之前的司法实践中一直存在的一个重大困惑，即对于法律没有明文规定的民事纠纷，法院不愿也不敢作出裁判，从而导致对包括个人信息权争议在内的相当数量的民事纠纷无法获得司法裁决，当事人受到侵害的权益无法得到司法救济和保护。这也就意味着，尽管我国个人信息保护法尚未制定，但当信息主体的个人信息权受到侵害时，该规定对权利主体进行司法救济提供了一种现实的可能性。最高人民法院发布的这个规定对构建具有中国特色的案例指导制度意义巨大，必将对审判实践、法学理论研究和法学教育产生深远的影响，称其为“一个具有划时代意义的标志”毫不为过。[25]当然，司法并不是一项机械活动，法官不是一部自动售货机般的判决机器，输入法条和事实即可，法官适用法律，通常都需要解释法律，眼光需要在事实与规范之间流转往返，其中存在一定的能动空间。在依法独立审判的大原则下，法官应该在这个空间范围之内，运用法律技术和法律思维，寻求个案的公正解决，努力取得法律效果和社会效果的统一。[26]

参考文献：

[1] Korff， Douwe， etc. New Challenges to Data Protection—Final Report [EB/OL]. http：//ssrn.com/abstract=1636706， 2012?10? 18.

[2] 唐友伟. 个人金融信息保护工作亟待完善[J]. 金融会计， 2012（4）： 65.

[3] Walker， Robert Kirk. Forcing Forgetfulness： Data Privacy， Free Speech， and the ‘Right to Be Forgotten [EB/OL]. http：//ssrn.com/abstract=2017967 or http：//dx.doi.org/10.2139/ ssrn.2017967， 2012?10?18.

[4] Hon， W. Kuan， etc. Data Protection Jurisdiction and Cloud Computing – When are Cloud Users and Providers Subject to EU Data Protection Law？ The Cloud of Unknowing， Part 3 [EB/OL]. http：//ssrn.com/abstract=1924240 or http：//dx.doi.org/ 10.2139/ssrn.1924240， 2012?10?18.

[5] 10亿条个人信息是如何被偷的？[EB/OL]. http：//news. xinhuanet.com/legal/2013-03/15/c_115042338.htm， 2013?03? 26.

[6] Swire， Peter P.. From Real-Time Intercepts to Stored Records： Why Encryption Drives the Government to Seek Access to the Cloud [EB/OL]. http：//ssrn.com/abstract=2038871 or http：//dx. doi.org/10.2139/ssrn.2038871， 2012?10?18.

[7] Banisar， David. The Right to Information and Privacy： Balancing Rights and Managing Conflicts [EB/OL]. http：//ssrn.com/ abstract=1786473 or http：//dx.doi.org/10.2139/ssrn.1786473， 2012?10?18.

[8] 刘巍. 论个人信息的行政法保护[J]. 行政法学研究， 2007（2）： 29.

[9] 齐爱民. 论个人信息保护法的行政法属性[J]. 中共长春市委党校学报， 2008（2）： 73.

[10] 刘宪权， 方晋晔. 个人信息权刑法保护的立法及完善[J]. 华东政法大学学报， 2009（3）： 122.

[11] Solove， Daniel J.. The New Vulnerability： Data Security and Personal Information [EB/OL]. http：//ssrn.com/abstract=583483， 2012?10?18.

[12] 罗海山， 陈肖楠. 论个人信息的侵权法保护[J]. 海南师范大学学报， 2012（1）： 40.

[13] Hon， W. Kuan， etc. Who is Responsible for 'Personal Data' in Cloud Computing？ The Cloud of Unknowing， Part 2 [EB/OL]. http：//ssrn.com/abstract=1794130， 2012?10?18.

[14] 王利明. 人格权法制定中的几个问题[J]. 暨南学报， 2012（3）： 6?7.

[15] 王利明. 论个人信息权在人格权法中的地位[J]. 苏州大学学报， 2012（6）： 70.

[16] 孔令杰. 制定<个人资料保护法>的理论基础与立法构想[J].重庆社会科学， 2009（9）： 98.

[17] 齐爱民. 中华人民共和国个人信息保护法示范法草案学者建议稿[J]. 河北法学，2005（6）： 3.

[18] 周汉华. 中华人民共和国个人信息保护法（专家建议稿）及立法研究报告[M]. 北京： 法律出版社， 2006： 11.

[19] 刘巍. 论个人信息的行政法保护[J]. 行政法学研究， 2007（2）： 33.

[20] Banisar， David. The right to information and privacy： Balancing rights and managing conflicts [EB/OL]. http：//ssrn.com/abstract= 1786473 or http：//dx.doi.org/10.2139/ssrn.1786473， etc. 2012? 10?18.

[21] 齐爱民. 私法视野下的信息[M]. 重庆： 重庆大学出版社， 2012.

[22] Wong， Rebecca. Data Protection in the Online Age [EB/OL]. http：//ssrn.com/abstract=2220754 or http：//dx.doi.org/10.2139/ ssrn.2220754， 2013?03?12.

[23] Cuijpers， Colette， etc. Smart Metering and Privacy in Europe： Lessons from the Dutch Case [EB/OL]. http：//ssrn.com/abstract= 2218553， 2013?03?12.

[24] [美]E?博登海默. 法理学： 法律哲学与法律方法[M]. 邓正来译. 北京： 中国政法大学出版社， 2004： 584.

[25] 王利明. 我国案例指导制度若干问题研究[J]. 法学， 2012（1）： 72.

[26] 何勤华. 新形势下人民法院在提升法律体系的品质、维护法制权威的作用[J]. 法学， 2011（8）： 20.