论我国个人信息保护的立法完善*

王岳丽

中共湘西州委党校法学教研部，湖南 吉首 416000

在宪政视野下看待个人信息保护立法，必须着眼于宪法以及立法法所规范的整个法律体系。目前我国尚未有专门的个人信息保护法律，同时，也未形成一个系统的关于个人信息保护的法律体系。我国现行的个人信息保护立法呈现出非专门化以及分散化的特点，这给我国的个人信息保护带来极大的障碍。个人信息保护在根本上是一个宪法问题，它是公民基本权利保护的一部分。宪政视野下的个人信息保护立法体系，不仅着眼于宪法，还着眼于其他宪法性法律以及属于基本权利保障的法律。

一、个人信息的宪法保护

宪法规定了一国公民的基本权利以及公权力行使的基本制度，是保障基本权利之根本。如上所述，个人信息保护从信息自决权、人格尊严、财产利益和一般人权条款中都可以找到根据，此成为个人信息宪法保护的基础。由于个人信息宪法保护的重要性随着互联网的发展而日益凸显出来，但由于各主要发达国家的宪法制定年代较早，因而没有明文载入“个人信息权”的字眼，但并不意味着没有对个人信息进行宪法保护。德国宪法法院以两个宪法性判例确立了信息自决权受德国基本法保护的原则。1969年，德国宪法法院在“人口调查第一案”的判决中指出，国家在收集信息过程中不能把人仅作为工具对待，调查过程必须保证个人隐私不受披露。在1983年的“人口调查第二案”中，德国宪法法院要求议会修正某些特殊规定，以防止法律漏洞导致在收集、储存、使用并转移个人信息过程中的滥用权力。另外，我国台湾地区“司法院”大法官会议于2005年就“户籍法”的强制捺指纹换取身份证的规定而作出的解释中，指出隐私权为基本权利但并非不受限制，强制捺指纹并予以录存的目的未有明文规定，不符合比例原则，“户籍法”的相关规定再适用。我国宪法属于不可司法性的宪法，并未能像德国一样拥有宪法法院，也无法像台湾地区一样可以通过大法官会议来解释宪法问题。因此，对个人信息的宪法保护只能通过在宪法中明文载入个人信息保护的条款，通过明示的宪法条款来进行，从而确立个人信息权作为一项公民的基本权利的地位。

二、个人信息保护法的制定

鉴于个人信息权的公民基本权利属性，有必要通过制定一部专门的《个人信息保护法》来作为保护公民个人信息的基本法律。这一法律的性质属于基本权利保护法的范畴，与《妇女权益保障法》、《未成年人保护法》等基本的权利保护法律以及学界讨论中的《反歧视法》等一样，应当同属于宪法视野下的权利保护法的范畴。由于篇幅和主题的限制，这里只探讨四个最基本的问题。

(一)个人信息保护法的宗旨

该法的宗旨应当与宪法相衔接，即保障公民的基本权利，这既主要针对个人信息权，同时还涉及人格尊严等相关的宪法权利。《奥地利联邦个人数据保护法》第一章即为“宪法条款与一般性条款”，而其第1条即为“数据受保护的基本权利。”《意大利有关个人和其他主体的个人数据处理的保护法》第1条第1款规定：“本法律保证对个人数据的处理尊重自然人的权利、基本自由和尊严，特别是个人的隐私和特性；并将进一步确保对法人和其他组织或协会权利的保护。”《葡萄牙个人数据保护法》第2条(一般原则)规定：“个人数据处理应当本着透明、严格尊重隐私及其他基本权利、自由、保障之原则进行。”由此可见，很多国家把个人信息保护法与宪法基本权利紧密相连，甚至规定尊重人的基本自由和尊严为个人信息保护法的宗旨。在制定该法时，不能忽视其与宪法的紧密联系，应当确立其尊重人的信息自决、隐私和人格尊严为一般的宗旨。

(二)立法的基本模式

当今世界上个人信息保护的立法模式主要有四种，分别为：统一立法模式、分散立法模式、行业自律模式和安全港模式。统一立法模式是指由国家立法统一规范国家机关和民事主体收集、处理和利用个人信息的立法模式，此为欧盟所倡导，并且以德国和日本为代表。德国模式是统一立法对公领域和私领域中的个人信息进行统一规范与保护；而日本模式是在制定个人信息保护的基本法之余，在个别政府领域可以制定个别法，而民间行业也可以制定自律规范，因而又被称为统分结合模式。分散立法模式则是没有个人信息保护的基本法，而区别不同领域而制定不同的法律。

选择何种立法模式，必须考虑到我国个人信息保护的特点以及我国的法治环境。由于我国当前的立法呈现出分散化的特点，且我国是成文法国家及缺乏法治传统，过于分散的立法会对法律的执行效力产生严重的影响，因此，我国的个人信息保护立法可以采用统合结合模式，其优点有：其一，制定统一的个人信息保护基本法，可以结束当前立法的分散化、效力层级较低的弊端，为个人信息保护提供强有力的法律依据；其二，允许制定个别领域的法律，可以使个人信息保护更加灵活，做到有统一的、基本的保护制度，也可以填补为基本制度所不能覆盖的个别领域的空缺。我们在吸收和借鉴国外立法经验的同时，应充分尊重本国的社会、政治和法律传统。

(三)立法的原则

可以考虑设立如下基本原则：(1)法律保留原则，即对个人信息的收集、处理、利用和披露都必须基于法律的明确规定，而不能基于行政法规，更不能基于行政命令。(2)必要性原则，即政府在收集个人信息时，要强调必要性原则，以实现某种目的为限，没有必要的，就不能收集个人信息。(3)比例原则，即收集、利用和披露个人信息要跟所要实现的目标成比例，不能超过合理的比例收集、利用和披露个人信息。(4)程序法定原则，即政府收集、利用和披露个人信息必须符合法律规定的程序，而程序必须由法律实现规定好。(5)救济原则，即公民认为政府在个人信息的收集、利用和披露中侵害了其合法权益的，有权寻求法律救济，法律应当提供各种救济的渠道。

(四)设置独立保护机构

世界各国和地区大多设置有专门的信息保护专员制度。如欧盟1995年《个人数据保护指南》第28条即是“监督机关”。为使公民在其权利受到侵犯后能够有效地寻求救济，设置一个独立的个人信息保护机构成为其必要。这一独立机构可以拥有调查权、干预权(如对不当的政府行为发表意见)、接受咨询权、接受投诉权、向人大定期报告的权力以及协助公民进行诉讼的权力等。

三、结语

在当前的信息社会，个人信息的不当收集、利用和披露已经成为影响公民基本权利和基本生活状况的行为。如果不对这些行为进行法律规范，公民的人格尊严、隐私和财产利益等都会受到影响。个人信息保护建立在个人信息权这一基本权利的基础上，有其宪法基础，并且有必要对其进行宪法保护。我们必须站在宪政的视野下，才能处理好信息社会中的个人信息保护问题，也只有以宪政的眼光，才能处理好此种政府与公民之间的复杂关系。