《个人信息保护法》立法工作乃时代趋势

◆张玉林 孙宏跃

《个人信息保护法》立法工作乃时代趋势

◆张玉林 孙宏跃

（中孚信息股份有限公司 山东 250000）

我国法律规定公民的个人信息受到法律保护。然而近年来频频发生的个人数据泄露案和出现维权难等问题，暴露出了当前我国对个人信息保护的分散立法已经不能很好地满足公民对个人信息保护的相关需求。目前，全世界有100多个国家和地区都制订了个人信息保护法，去年5月欧盟正式生效的《一般数据保护条例》更是成为对个人信息保护的里程碑之作。基于此，本文论述了当前我国《个人信息保护法》的立法趋势。同时采用文献调查法，参考国外相关立法成果，结合我国国情，给出了三点立法建议。

个人信息保护；GDPR；立法建议

0 引言

世界潮流，浩浩荡荡，顺之者昌，逆之者亡。当今的中国再一次站在时代的转折点上，习近平主席高瞻远瞩，强调并指明了当今时代的潮流。那么当今时代的潮流是什么？2018年，上海合作组织成员国元首理事会第十八次会议上习近平主席总结道：国际关系民主化已成为不可阻挡的时代潮流、安全稳定是人心所向、合作共赢是大势所趋、不同文明交流互鉴是各国人民共同愿望[1]。

相比于以往，当今的世界都发生了什么样的变化？早上走进地铁，拿出手机翻看新闻，第一条便是给你推送“巴黎圣母院大火”，在几分钟内你便和全球几十亿人一同见证、参与了这一历史时刻。读完新闻，你注意到屏幕下方同时给你推送了一个便宜的机票，你不觉大吃一惊，这不是昨天在另一个平台上搜索过的机票吗？怎么出现在这个平台了。中午吃饭时，你收到短信通知，你的快递已到，存在楼下的某某云柜里，请尽快取出。你不觉感慨信息化带给你的方便。不一会儿，你又收到一个短信，告知鉴于你的信用良好，我行将给予你100万元的信用贷。你觉得特别好玩，便将其截图分享到朋友圈。几分钟后，你收到朋友评论，说他也收到了类似的短信。就这样你和朋友虽然没有见面，却很方便的共享了信息。上述场景便是如今区别于10年前最显著的特征之一。大数据、人工智能、云存储等技术新兴发展，使人们获取信息的渠道变得如此方便与迅速，同时也使人们的信息被获取变得如此迅速与不经意。

在中国裁判文书网上，以“个人信息”为关键词进行检索，将相关裁决书数量以年份为横坐标绘制如图1示意图。从图中可以看出，从2013年以来涉及个人信息的相关案件陡然上升，且随后几年也呈上升趋势。在中国知网上以“个人信息保护”为主题词检索，将相关研究文章数量绘制如图2所示的随时间变化曲线图。从图中可以看见，与个人信息泄露案件一致，相关的研究也呈现一致的上升趋势。美国法学家英格索尔曾说过：“法律源于人的自卫本能”。正是由于近年来民众个人信息泄露事件不断发生，出于自我保护本能，人们要求完善相关立法的呼声不断高涨。然而梳理相关案件我们不难发现，与众多的个人信息被侵犯事件相比，能够进入司法审判程序的案件数量还是显得微不足道。制定一个统一的《个人信息保护法》已成为顺应时代趋势的潮流。

图1 “个人信息”关键词裁判书数量变化图

图2 “个人信息保护”研究文章数量变化图

1 国外情况

目前全世界范围内有100多个国家和地区制定了个人信息保护法[2]，表1列出了部分国家的立法时间。对文献[3-8]的研究成果进行分析，一方面我们可以看出很多国家和地区早期对个人信息的保护也多分散在不同的法律体文件中。如韩国之前的立法就属于“二元立法体系”，公共部门和民间部门分别制定了相应的个人信息保护法。另一方面我们也看到不同国家的立法也要结合本国的实际情况。如对于个人信息权限方面的规定，台湾相关立法中并没有规定“个人信息权”为一项独立的权利，而在欧盟等国则赋予了公民这样的权利。

表1 部分国家或地区立法时间

去年5月欧盟正式生效的《一般数据保护条例》（简称GDPR）更是成为有关个人信息保护法的里程碑与划时代之作。该法案最引人注目和争议的有两点，其一为数据主体自决权，法案规定数据主体有对数据进行删除、携带等权利。其二为域外效力，法案规定凡是涉及欧盟公民数据的，无论其是否在欧盟境内，都将受到该法令的制约。也就说即使对于中国企业没有在欧盟开展业务，只要其涉及欧盟公民个人数据的该条例都将适用[9]。

对于该条例的出台，各界也褒贬不一。反面观点高举“数字经济”大旗，认为该法案过多限制不仅给人工智能、大数据等新技术吹来一股冷风，还将增加企业的成本。同时法案本身存在许多不合理之处，认为应当将个人信息保护法定义为保护人格权和财产权免遭个人信息滥用而受到侵害的事先防范规范，而不是在承认和保护一项难以成立的个人信息自决权[10-11]。

支持者则认为，信任是数字经济的基石，数据共享的核心是信任，严格的法律能够建立起社会信任。社会上太多的企业打着技术创新的口号，行的是倒卖数据之实，非法与合法之间缺少界限。而该条例捍卫了个人信息安全，同时加强了社会的信任。企业应当看到其中蕴含的机遇，从提升自身价值出发[12]。

2 我国现状

立善法于天下，则天下治，立善法于一国，则一国治。早在千百年前，中国的先贤们就强调治理国家必以法为重。我国是一个法治国家，《宪法》第三十三条明确将国家尊重和保障人权作为宪法的基本原则之一[13]。2016年11月7日全国人民代表大会常务委员会发布的《中华人民共和国网络安全法》则更是将国家保障个人的信息安全具体化，第四章的网络信息安全则以十条详细准则规定了网络运营者和个人必须依法收集和使用他人信息，充分保障了公民的个人信息安全。与时俱进是包括法律在内的任何事务得以保持鲜活的重要品质之一。2009年2月28日，第十一届全国人民代表大会常务委员会第七次会议便通过了《刑法修正案（七）》。该修正案中新增了两项关于侵害个人信息犯罪的罪名，对侵犯个人信息的行为起到了威慑作用。另外我国对个人信息保护的相关规定还有存在于《民法总则》、《侵权责任法》、《消费者权益保护法》、《居民身份证法》等相关法律中。

写到这里我们不禁疑问，既然我国拥有这么多么对个人信息保护的法律，为什么还有呼吁制定《个人信息保护法》的呼声呢？由于个人信息保护法律体系是一个涉及宪法、民法、行政法、刑法等多个部门的综合体系，散落在一些法律条款中的个人信息保护规定已经无法很好地保护公民的尊严与权利。近年来频频发生的信息泄露案件中，很多受害者维权失败。2016年的徐玉玉电信诈骗案更是给受害人及其家庭带去了无法挽回的伤害，在社会上造成了轰动效应。最终犯罪分子得到了应有的惩罚，我们庆幸刑法捍卫了法律最后的权威，我们也惋惜为什么法律的第一道防线没有阻止这样的事发生。

3 立法建议

面对欧盟推出的《一般数据保护条例》，我们不仅需要看到我国企业走向海外带来的诸多限制，同时也要看到其中所蕴含的借鉴价值。结合我国国情，顺应时代潮流加强对个人信息保护的重视。

早在2016年欧盟刚刚发布《一般数据保护条例》时，国内就有学者参考该条例和结合我国国情给出了我国《个人信息保护法》起草建议。结合相关学者的研究成果和《一般数据保护条例》笔者总结出如下当务之急的可行建议：

（1）扩展和明确主体数据的定义范围。除了对原有姓名、身份证号、手机号等常规信息外，还应涵盖健康数据，生物指纹、政治观点等信息。从许多信息泄露案件中看出，个人信息的不明确性导致许多受害者维权失败。

（2）加强数据控制者和处理者的义务与法律责任。如增加数据泄露后的报告和辅助义务。目前很多案例中个人信息泄露带来的侵害虽不是直接来自数据控制者和处理者，但终究有保护不当之责。

（3）建立数据分级分类管理制度。由于我国国情等因素，我们还无法做到赋予公民绝对高的数据自决权。但分级保护有利于明确数据主体、数据控制者和数据处理者之间的界限。对数字经济发展和个人信息保护作用起到双赢效果。

4 结束语

个人信息权利是公民的一项基本权利。大数据时代个人信息泄露事件频发，给国家、企业和个人都带了不利影响。因此，加快制订《中华人民共和国个人信息保护法》的立法工作既是现实需求也是时代趋势。

[1]习近平.弘扬“上海精神” 构建命运共同体[M].人民出版社，2018.

[2]Daniel J. Solove & Woodrow Hartzog.The FTC and The New Common Law of Privacy[J]. Columbia Law Review[Vol. 114:583].

[3]柴裕红.日本个人信息保护法概要[J].人民法院报，2018.

[4]卡佳.俄罗斯个人信息保护法立法现状以及对中国的启示[D].北京邮电大学硕士学位论文，2015.

[5]刘程.论台湾地区《个人信息保护法》及借鉴[J].吉林省教育学院学报，2015.

[6]康贞花.韩国《个人信息保护法》的主要特色及对我国的立法启示[J].延边大学学报，2012.

[7]马国治.新加坡个人信息保护的立法模式及对中国的启示[J].上海交通大学学报，2015.

[8]刘云.欧洲个人信息保护法的发展历程及其改革创新[J].暨南学报，2017.

[9]京东法律研究院.欧盟数据宪章：《一般数据保护条例》（GDPR)评述及实务指引）[M].法律出版社，2018．

[10]李小武.为什么我们应该反对GDPR[J].中国信息安全，2018.

[11]杨芳.我国个人信息保护法立法模式思考[J].云南大学学报法学班，2016.

[12]任哲.建立欧盟统一的数据保护框架[J].中国金融，2018.

[13]中华人民共和国宪法[M].法制出版社，2018.