我国个人信息保护立法的完善

汤庆佳

(成都市郫都区人民检察院，四川 成都 610000)

一、个人信息保护概述

(一)个人信息的概念及界定

个人信息是指所有的能够辨别个体的信息集合，个人信息集合包含个人身体方面、外在交往方面、资产方面……，按照相关标准和概念的差异，能够区分为以下几种类型。(1)以对个人的识别程度为区分度，能够区分为直接与间接[1]。直接的标准是能够不依靠其他而独立识别个人的信息，例居民身份证、户口簿相关信息。间接的标准是依靠其他类似或者相关信息，进行信息综合后识别个人的信息。(2)以有无包含相关隐私内容为区分度，能够区分为敏感与琐碎。敏感的标准是包含个人隐私，这种隐私范围较广，可以是来自种族、信仰等方面的内容。琐碎的标准是不包含个人隐私，即没有包含前者的隐私概念范围。(3)以信息有无电脑处理为区分度，能够区分为电脑和非电脑处理。电脑处理的标准是有电脑或者类似信息处理器参与有关信息加工的过程。(4)以有无公开为区分度，能够区分为公开与隐私。公开的标准是在不违反法律、行政法规、公序良俗等前提下利用正当形式得到和了解。隐私的标准与前者相对，为非公开的信息。此种划分类型重在说明前者即使在类型上亦属于(2)类中的敏感信息范畴，亦不应给予特定保护。上述几种的区分是在较大范围面基础上的划分，亦可在譬如通信信息、就诊信息等具体信息种类方面划分，不过后者范围较小、适用性较差。

(二)个人信息保护的必要性

1.保障信息时代个人隐私的要求

自媒体时代的我们，面临着越来越多个人信息被泄露、被滥用、被交易。而作为保障个人信息隐私权最为根本性的法律，则存在着无确切适用性法律条文的现状，2016年发生的山东准女大学生徐玉玉遭电信诈骗猝死案件引起了社会对于个人信息保护的高度关注，出台个人信息保护基本法对于打击侵犯公民个人信息犯罪、维护社会稳定有着重要意义。

2.维护社会稳定的必要条件

个人信息不仅仅是文字、数据的记载，而且密切关乎个人财产性利益，在一定程度上甚至危及人身健康安全。最近的几起因个人信息泄露而引发的案件，反映出信息泄露会成为犯罪的突破口，会严重影响公众的正常生活和人身财产安全，因此加强个人信息保护事关国家和社会的和谐稳定。

3.属于《宪法》等法律部门规定的保护内容

个人信息应属于人格的范畴，属于公民的切身利益，宪法作为最根本性的法律赋予公民人格尊严、通信秘密等不受侵犯的权利，而此类权利受侵犯常伴随个人信息的被侵犯，公民最为根本性权利受到侵犯，必定要通过制定律法规章来调整[2]。最新《民法通则》也明确规定了对于公民个人信息的保护及其惩处。此外我国现行的《护照法》《档案法》等也对个人信息保护做了具体规定。

二、个人信息保护的国外立法状况

1.欧盟——统立模式

欧盟作为世界范围内最早制定有关个人信息保护的国家地区，在有关个人信息保护方面一直走在世界前列，对后来世界各国制定有关公民信息保护立法有着举足轻重的作用。

何为统立模式，是指在大范围下有着统一适用标准，而这个大范围就是涵盖欧盟所有国家在内的整体适用范围。在欧盟整体制定相关法律后，组织内的国家统一适用这一标准，用共同的标准来为各个国家的个人信息保驾护航。欧洲国家普遍认为，个人信息必定要通过制定法律来进行调整，故而推动了早期的立法活动。上世纪90年代颁布的《个人数据保护指令》，其范围之广泛，调整范围涉及公民几乎全部数据的应用与保存，例如信息的采集、加工、应用，而后欧盟又对有关通讯领域进行补充立法，其意义在于进一步深化了《个人数据保护指令》中所涉及网络的信息记录、站点及其中信息的保存、交互等问题。《通讯》极其细致的规定了信息在交互、加工等所应符合的手段和方式等，对于国家之间信息交互、不同国家公司在信息互相分享加工要求两者在私密信息安全保障方面符合欧盟共同要求，若非如此，两者之间的信息等交互就算是非法、不受保护的，此种举措的影响是积极的，信息交互两者之间法律在信息安全保障方面也逐渐趋于相同。

2.美国——分立模式

美国作为第一个对公民隐私权明确以律法形式调整的国家，对于个人信息的保护堪称典范。何为分立模式，是指没有立法在大范围进行规制，而是由有需求存在的各行业部门独立制定符合自己需求的规章、条例、标准等。美国作为这一模式的首创者其众多的社会组织、行业等功不可没。其模式的开始就是源于各种行业的自制章程、规范以此形成的内部对于信息的使用、管理与积极的保护防范，其目的是为保障信息的稳定流通及进一步建立行业内部安全防范体制[3]。政府引领下的分立模式，通过行业自制防范体系，分散进行订立规范、条例，并通过指导性的立法给予各行业各部门充分的自由，以此来使行业规范更有合理性、合法性。

3.日本——兼顾统立与分立模式

日本对于个人信息的保护是伴随着政府有关政策施行而产生的。何为兼顾统一与分立模式，它是指兼采欧盟统立模式与美国分立模式的一种独特模式，为日本所首创。日本模式的产生与美国分离模式的产生相仿，都是源于非官方的民间自治社团、组织等。目前日本较为规范的信息运行模式综合了欧盟统一模式与美国分立模式，其中较多借鉴了美国的方法与实践成果，利用官方的律法与民间组织的自制规范共同来保障信息不被侵犯[4]。日本的个人信息保护源于电子政府推进过程。其间不可避免地产生信息的使用等加工过程，信息被侵犯的几率大增，80年代后期官方颁布涉及电子信息化的法律，是规范官方对于信息使用的开始。

三、公民个人信息被侵犯的形式

(一)信息保管方贩卖、泄露信息

我们自身包括身边人，几乎每天都会有接收到推销电话、广告信息，对方几乎全面准确地了解我们的相关个人、家庭信息，根据一些已经发生的类似案件可见一斑。这种事情的发生更多的是由于保存我们信息的相关信息保存方本身为了获利或者其正常管理存在较多漏洞。据一些媒体的暗访调查揭露，不少的通讯等电话信息被相关公司人员贩卖，内部监管不力致使我们的电话信息被泄露，而广告商等通过低价批量购买其泄露的电话信息，这就是推销产品广告始终围绕在我们身边的根本原因，“内鬼不除”我们只能被骚扰。例如2016年引起全社会热烈讨论的宋振宁被骗致死案，犯罪分子李、刘等人利用“伪基站”发送诈骗短信，在宋振宁收到短信后打电话进行联系时，以借口诱骗其向犯罪团伙自己账户内转账，以至于发生最后的惨案。而该团伙行骗所用的电话号码则是通过较低的价格批量购买的，这也说明了我们的信息被随意贩卖的情况已经非常严重。

(二)个人信息被盗取

我们的个人信息亦属于被盗取的范畴，且往往更具隐蔽性、破坏性。如2016年发生的大学生徐玉玉被骗致死案，犯罪团伙通过技术手段攻击了山东的高考报名系统，盗取了大量的考生个人信息，这其中就包括徐玉玉的个人信息，随后该团伙冒充教育局人员以发放助学金为由骗取了徐玉玉的学费，后徐玉玉因受刺激以至死亡。这个案件能给予我们较多的警示，其中犯罪团伙利用高科技手段窃取机密信息的行为，一方面显示了我们的相关单位在信息保存、保管上安全系数较低，另一方面也显示了犯罪分子的犯罪手段越来越先进。因信息被盗窃致使被泄露、被滥用所占比例较大，作为侵犯信息的形式之一，我们应该尤为重视。

四、我国个人信息保护立法之完善对策

(一)完善之秉持原则

1.明确使用目的与接受监督原则

对于向公民采集的信息，相关部门或者机构应该告知其采集的特定目的及使用范围，“特定目的”对作为采集方而言是依据管理公共社会、维护社会运行的需求采集与处理公众个人信息而存在的特定目的[4]。禁止超出目的的收集、处理和利用个人信息。在合理合法的情况下管理和使用，同时接受民众监督，在不侵犯个人隐私的情况下适当公开，让信息在阳光下使用。

2.相同却又区分原则

对于普通群众和政府公务人员、需要公开特定信息人员等在信息保护上应有所区分，政府公务人员等特殊人员因为肩负执行公务等任务，本质上就应该接受监督，对其信息在工作范畴内应进行公开，此种情形的公开，与民众的个人信息保护并不冲突，与公民个人信息在法律上的保护并不冲突。

3.最少使用原则

对于民众的信息应该减少使用，充分保障其使用环境安全，通过少用来减少被泄露的风险。最少使用原则指公众信息在被处理、加工时必须明确按照采集时告知的使用方式及特定目的，禁止超出采集时告知所采集对象的处理方式及目的的范围[5]。公众个人信息的采集和处理、使用，务必保护与重视采集对象的权利与利益，保证在处理过程中坚持诚信原则，务必保持采集时的目的。

4.保护原则

保护原则指公众信息务必在安全环境之中保存、使用、加工，阻止个人信息外泄、损毁与超范围利用，对于公民信息在使用完毕后或者保存时应定期安全清除或者进行安全检查，以保障信息在使用、存储中的绝对安全。

(二)完善之模式选择——兼采统立与分立模式

我国人数众多、地域辽阔、社会形式复杂，仅采取统立模式会导致在不同行业形成统一标准，而各行业中的实际情况又有较大不同，在一定程度上会制约行业发展[6]。同理，若采取分立模式，会因众多的行业标准不同而制定出众多管控标准，极其不利于政府管理，不利于社会和谐。因而，采取统立与分立的立法模式就显得尤为必要，不仅可以方便政府管理、利于社会和谐而且可以促进行业向好的方向发展。

(三)完善之立法内容

1.区分主体

对于公众的个人信息保护首先要在主体上有所“区别对待”，特定人员比如公务人员，因其存在特殊的工作性质需要在某些方面接受社会公众监督，其个人信息在很大程度上要面向公众，因此个人信息免不了被公开。对于此类人员，在立法时要考虑其特殊性并在主体范围上予以区分，但是其不同也仅仅限于特定公务、工作上，对于其他方面的个人信息，应与普通公众标准相同，理应受到相关个人信息法律制度的保护。

2.加大违法成本

众多现行涉及个人信息保护的法律规章，总体呈现出重刑事处罚、轻民事救济的特点。公众个人信息本该属于民事权利保护范畴，然而在具体司法实践中却往往本末倒置，刑事保护先于民事救济。前述现象的存在很大程度上是由于互联网、大数据环境下个人信息侵权违法行为较为隐蔽、条文规章不完善致使司法实践中认识不统一。民事惩处违法成本低，对于潜在的违法犯罪人员的警示作用大大降低，针对我国目前侵犯个人信息案件数量多、影响恶劣等情形，相关立法部门在立法上要本着民事救济从严从重的原则，加大对侵犯公众个人信息违法人员的惩处，在经济处罚与刑事处罚上都要从严从重，以此来让潜在的违法分子慑于违法成本而放弃违法行为。

3.明确适用范围

个人信息保护法对于公民保护在适用范围上应分为社会部门的保护与非社会部门的保护。对于社会部门的信息利用(比如政府部门采集的居民信息)，就要符合相应的个人信息保护法，而对于非社会部门(比如金融、医疗、教育等特定行业部门)，就要兼顾个人信息保护法与其特定行业所订立的行业标准，在不违反律法原则、公序良俗的基础上两者都要兼顾。明确个人信息保护法的适用范围，可以在不同的情形下使用不同的标准、原则，从而更具针对性的保护，保护范围更细致、全面。

4.建立责任明确的追责体系

为了更好地落实个人信息保护法律、行业规定，需要在措施详细、保护范围全面的基础上针对性建立相应的失责追责机制。公民信息被侵犯、被滥用不能仅仅惩处相应的个人侵犯信息者、滥用者，还要对信息被侵犯的源头也就是信息管理不善者、泄露信息者做相应处罚，这类人虽然不是直接的个人信息侵犯者，但却对公众个人信息被侵犯起到了推波助澜的作用，是某种性质上的共犯。而且这类人的不当行为往往更具有隐蔽性，因而要严格追查个人信息管理的源头，对过失的不作为或者是故意的信息侵犯行为要肃查到底。

5.平衡各价值主体

公众个体对于自身相关信息有着强烈的保护诉求，但又无法禁止对于他人信息的有效使用，如验证身份信息等。对众多的信息管理方而言，通过采集到的众多个人信息数据能够直接形成巨大的商业价值(如淘宝、天猫等网购平台利用消费者网购大数据得出不同地区的消费习性)，当然也要求自身所掌握的信息数据能够受到法律的严密保护。就政府公共服务机构而言，更是兼具利用者、管理方、保障者三重身份，这就涉及到立法价值问题，需要平衡不同利益主体价值，在立法构建上更是要贯彻合法、正当、必要三原则。

6.信息内容保护差异化

数据信息只有在流动状态才能发挥最大价值。因而公众个体信息在保护上要做区分，划侧重。在类型上可以区分为敏感、重要、一般信息，在开发利用保护环节、保障程度、侵权追责惩处力度上亦要做区分，分门别类，以问题为导向，区分采集和利用，将信息使用作为重点规制环节。

7.强化国际合作

网络空间在某种程度上是国际空间的一种，国内公众的个人信息保护往往与他国紧密联系，这就要求个人信息保护条文在域外效力与国际合作上多着墨，将国内立法置于国际大环境中考量，注重与国际法、国际条约的协调搭配，强化国际交流与合作，丰富我国与他国的双边多边协议，以此来保障大数据时代下的个人信息安全。