个人信息保护的现状分析

文 单飞

个人信息保护的现状分析

文 单飞

个人信息的法律保护问题是近半个世纪以来随着信息社会的发展而日益凸显的问题。由于社会观念、信息产业、科学技术以及立法规划等方面的原因，我国很长一段时间以来没有认识到保护个人信息的重要性，因此直到现在为止，我国还没有制定专门的个人信息保护方面的法律。

现阶段，我国对个人信息的保护，主要体现在两大方面：一是在与个人信息保护有关的法律法规中设置个人信息保护条款对个人信息加以法律保护。个人信息的法律保护又可以表现为法律的直接保护和间接保护，所谓法律的直接保护即法律法规明确提出对“个人信息”进行保护；间接保护即法律法规通过提出对“人格尊严”“个人隐私”“个人秘密”等与个人信息相关的范畴进行保护，进而引申出对个人信息的保护。二是通过信息控制人的单方承诺或特定行业的自律规范的承诺对个人信息加以自律性质的保护。个人信息在自律保护也表现为两方面，即企业通过单方承诺这种市场运作方式对个人信息加以保护，以及特定行业组织通过行业自律规范对个人信息确立行业保护标准进而进行保护。

我国个人信息保护相关法律

自2003年起国务院就委托有关专家开始起草《个人信息保护法》，2005年专家建议稿已经完成，并提交国务院审议，启动了保护个人信息的立法程序。在每年的全国“两会”上，都有人大代表大声疾呼。这都在相当程度上折射出，我国公民个人信息被泄露和滥用已经到了相当严重的程度，甚至已经成为一种社会公害，加快立法步伐，制定个人信息保护法到了刻不容缓的地步。

在此之前，我国的法律中还没有关于个人信息的专门规定。以往《民法通则》第101条关于个人隐私权保护的规定，“公民、法人享有名誉权，公民的人格尊严受法律保护，禁止用侮辱、诽谤等方式损害公民、法人的名誉。” 这样笼统而模糊的规定，已显得过于原则、缺乏可操作性。至于《最高人民法院关于贯彻执行〈民法通则〉若干问题的意见（修改稿）》所确认的“隐私权”，只有当个人信息确实被侵犯，并发生了实际损害之后，才能主张侵权责任赔偿，这样的保护既不及时便捷，也谈不上足够有效。

2008年8月25日，首次提请审议的刑法修正案（七）草案（以下简称草案）专门增加规定，明确提出国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将履行公务或者提供服务中获得的公民个人信息出售或者提供给他人，或者以窃取、收买等方式非法获取上述信息，情节严重的，追究刑事责任。

机关与公共服务单位收集与储存个人信息本意是为提高行政管理和公共服务的质量及效率，可是另一方面，也使个人信息泄露成为可能。世界上的国家或地区已经有超过50个制定了个人信息保护法律，通过限制公权力的途径来保护个人信息已经是通用做法。在这样的背景下，草案对侵犯公民个人信息的行为追究刑事责任，极具现实针对性。刑法的作用也仅局限于防范、阻止和惩罚犯罪行为。而现有刑法的规定集中于规范公权力，对于尚未触犯刑律的行为，再威严的刑法也无能为力。刑法与个人信息法的组合乃至信息保护法律法规体系的形成才是改变信息保护失序环境的根本。

在网络隐私权的保护问题上，我国基本还处于无法可依的状况。网络侵犯隐私权的情形主要集中在个人信息收集、处理、传输和利用等环节中。概括起来，对网络隐私权的侵犯主要表现在：非法获取、传输、利用用户的个人数据资料、非法侵入用户的私人空间、干扰私人活动以及破坏用户个人网络生活的安宁和秩序等方面。

涉及这一问题的，只有信息产业部于2000年11月7日发布的《互联网电子公告服务管理规定》中提及“电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意，不得向他人泄露”，违反此规定者，由电信管理机构责令改正，给上网用户造成损害或者损失的，依法承担法律责任。

因此，就法律的适用范围而言，保护个人信息的法律条款数量较为有限、适用范围相对狭窄，没有专门的针对所有信息控制人均适用的统一的个人信息保护法；就个人信息的法律保护手段而言，重“刑事处罚”和“行政管理”，轻“民事确权”与“民事归责”，导致个人信息遭受侵害后，即使侵权行为人最终遭致刑事处罚或行政处罚，信息主体的财产及非财产损失也得不到任何实质性的补偿；就法律的可操作性而言，大部分规定缺乏可操作性，许多条款仅仅规定了对个人信息的保密义务，而没有规定违背该义务的后果；就法律的体系性而言，现有规定之间缺乏体系上的呼应，给人一种“杂乱无章”“群龙无首”的感觉，不符合我国已经继受的大陆法系的法律思维，同时也不利于法律的适用；就法律条款的具体内容而言，大部分条款通常仅对个人信息保护问题轻描淡写、一带而过，往往未能揭示个人信息保护的立法理由、个人信息保护的基本原则、信息主体的权利、个人信息收集、处理、利用及传递的规则、个人信息保护的执行机制及监督机制等个人信息保护法应当具备的重要内容。就保护个人信息的观念而言，我国法律对个人信息的直接保护是近几年来的新近发展趋势，在较长时间内由于对个人信息保护的重要意义缺乏正确认识而仅对个人信息采取了有限的间接保护措施。

在个人信息的自律保护方面主要涉及非公共部门及公共部门两部分。非公共部门，特别是一些商业网站，己经逐步认识到了个人信息的巨大价值以及个人信息对信息主体的重大意义，为了增强消费者使用网络的信息，提供了相对较为详细的隐私保护政策。但也应注意到，我国国内各商业网站的个人信息保护水平差异很大，大型的商业网站大多有比较完备的个人信息保护政策；但一些小型网站在个人信息保护方面是令人担忧的，它们不仅没有公开相应的个人信息保护政策，甚至不惜商业信誉，只要能给网站的经营者带来利益，就会不适当地收集、利用乃至出售访问者的个人信息。另外，非公共部门中，除了商业网站及为数不多的其他主体之外，大多数非公共部门并没有单方面向相对人提供个人信息保护政策。与上述单个信息控制人在个人信息保护方面的自律措施相对应的是，除了互联网行业，其他的非公共部门行业也鲜有保护个人信息的行业自律公约。

就公共部门而言，出于长期以来形成的“官本位”的思维定势，对个人信息的关注基本上是出于其管理的需要，强调得更多的是个人提供信息的义务，而个人就其自身信息所享有的权利基本被漠视。举例而言，如今浏览我国的各级政府网站，几乎无法看到与一些大型商业网站所具备的“隐私政策”，哪怕是中央人民政府的网站——“中国政府网”对个人上网信息的保护问题也没有提供相应的政策，这不能不说是我国电子政务发展至今的一大遗憾。就这一现象，有学者认为，“这可能由于我国政府网站还处于发展的开始阶段，主要功能还只是对政府政策、办事流程的公示，起到的只是一个电子公告版的作用。政府网站只提供给网络用户阅读信息、资料，而不收集网络用户的个人信息。”

但是，这些学者同时也认为，“政府网站发展成为和大多数商业网站那样具有交互式的平台是必然的趋势。为了更好地为纳税人服务，政府网站将来肯定会朝着功能多样化的方向发展。为了方便用户和网站的运作，提供更加个性化的服务，将来的政府网页完全可能发展到给不同的用户发送不同的、适合用户胃口的个性化网页。这样，政府网站也就不可能不收集网络用户的个人信息而永远停留在电子黑板报的层次。另外，不同的政府部门通过网上政务处理，掌握大量关于市民通过网络提交的方方面面的信息，如果缺乏个人信息保护政策，就很肯能侵犯个人信息。”对于这一论述，笔者深表赞同。

个人信息保护关键需强化民法相关条款

正因为个人信息保护机制的这种现状，导致了我国社会生活中个人信息频频遭受各种威胁。面临这样的状况，除了由每一个人自己加强自我保护、倡导个人信息保护自律机制的建构之外，越来越多的人们希望我国能够在个人信息保护领域制定一部专门的法律。事实上，如果从建设法治社会的大背景出发，无论是加强信息主体的自我保护、倡导建构个人信息保护的自律机制，还是制定个人信息保护法，均应当着重从民法保护个人信息的角度进行观察与理解。刑法和行政法对个人信息的保护固然能够起到重要的不可或缺的作用，在一定程度上也能够起到预防侵害个人信息行为的发生，但刑法重在惩罚、行政法重在行政管理，其对信息主体的权利确认及事后的全面救济的作用是有限的。

首先，信息主体保护自身个人信息的力量可以通过民法上的自力救济制度得以强化。在法治社会，虽然原则上不允许自力救济，但在来不及采取公力救济措施并且权利有被侵害的现实危险时，法律允许有限地采用自力救济，信息主体可以在法律允许的限度内通过实施自卫行为或自助行为保护自身的个人信息。

其次，就自律机制而言，若信息控制人主动单方面地作出信息保护的承诺，则可以将控制人的这一行为判定为民法上附生效条件的法律行为，一旦条件成就，即信息主体的信息被承诺人所控制，则信息控制人的承诺行为即发生法律效力，信息控制人此时即应当承担其承诺的信息保护义务；若行业自律组织对个人信息保护作出了承诺，则可以视为加入该自律组织的信息控制人均作出了信息保护的承诺，如此一来，同样可以采用附生效条件的法律行为的相关理论进行解释与处理。

另外，如果从民法生长的社会基础——市民社会的理论出发，行业组织是现代市民社会的重要构成环节。是国家权力与市民权利的缓冲地带，行业组织对个人信息保护的重要作用是不可小觑的。最后，个人信息保护法的制定，其内容虽然离不开个人信息的行政保护及刑事保护，但对信息主体而言，对其最有力也是最为实质的保护是通过个人信息保护法赋予其相应权利，使信息主体能够通过自身权利对抗公权力对其个人信息的不当干预、并平衡与其他私权利主体之间的权利冲突。与此同时，当不当侵害他人个人信息时，通过法律对侵权行为人苛以民事责任，则能使被侵害的信息主体得到全面的救济与补偿。

链接：《刑法修正案（九）》进一步加强对公民个人信息的保护

《刑法修正案（九）》将刑法第二百五十三条之一修改为：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。

“违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚。“窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。

“单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”

之所以说《刑法修正案(九)》进一步加强了对公民个人信息的保护，主要体现在如下两个方面：

一是扩大了犯罪主体的范围。刑法修正案(七)曾规定了针对个人信息的犯罪主体，并进行了列举：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”。然而在实践中，各地对主体范围的把握不一致，有些地方有些窄，仅限于条文中的列项，使得个人信息的保护力度受到限制。这次取消了明确的列举，所有的主体都有可能构成侵犯公民个人信息的犯罪主体。扩大犯罪主体的范围，可以更有效地保护个人信息的权益。

二是对侵犯个人信息行为的范围也进行了扩充。“向他人出售或者提供公民个人信息”，意味着只要是出售或者违反规定提供，情节严重的都要追究。这体现出对个人信息有了更大边界的保护，而目的就是要更有效地打击目前严重泛滥的非法出售、非法提供或者违反规定提供个人信息的行为。