我国个人信息立法保护实证研究

王秀哲

随着社会发展和信息技术的不断进步，专门立法保护个人信息的呼声日益高涨，早在2008年第十一届全国人民代表大会开会期间就有代表提出制定个人信息保护法的提案。〔1 〕专家和学者建议稿草案也早就出台。〔2 〕但我国个人信息保护统一立法却一直难产。在个人信息保护法迟迟不能出台的背景下，社会发展的客观需要催生了不同法律层次的分散立法和专门领域立法，个人信息保护不断出现在各种法律、法规、规章和司法解释中。有研究认为，中国大陆目前有24个法律或者规范性文件各自从某方面涉及对公民个人信息的保护，且均具有行政法律法规的性质，〔3 〕也有资料显示，我国目前有近40部法律、30余部法规以及近200部规章涉及个人信息保护。〔4 〕实际上，近年来，涉及个人信息的立法不断增加，鉴于分散立法保护已经形成为一种气候，且实际上推动或阻碍着个人信息法律保护的发展，笔者认为，有必要对已有的个人信息保护立法进行全面梳理、总结，从立法经验总结和法律规范性文件统一两个方面更好地推进个人信息立法保护的完善。

笔者以中国人大网的“中国法律法规信息系统” 〔5 〕为检索数据库，并结合北大法宝 〔6 〕和汇法网，〔7 〕全文检索现行有效的法律、行政法规、地方性法规和司法解释中有关个人信息保护的内容，对我国个人信息的立法保护进行梳理和总结。通过检索发现，目前主要有普遍分散在各种规范性文件中的个人信息保护以及专门领域、行业的个人信息立法保护两种类型，笔者分别结合不同的立法层次对上述两种类型的法律法规进行考察。

一、法律、行政法规对个人信息的分散立法保护

（一）法律中的“个人信息”保护

登录中国人大网“中国法律法规信息库”，检索规定有“个人信息”现行有效的宪法法律，共命中记录95条，之所以检索记录很多，是因为系统默认同时检索“个人”、“信息”、“个人信息”三个关键词，经排查，规定有"个人信息"及相关保护内容的记录仅有23条。通过阅读法条，上述法律中规定个人信息的基本情况见下表：

通过上述统计可知，目前我国法律对个人信息的分散保护还相当粗糙。主要表现为：1.以个人信息保密并承担法律责任的原则规定为主。除《职业病防治法》规定了档案信息查阅权、《反间谍法》和《反洗钱法》规定了特定目的使用个人信息外，2013年最新修订的《消费者权益保护法》从消费者个人信息权利、收集使用个人信息原则以及侵害个人信息权利承担民事、行政责任等方面做了比较全面的规定。其他法律主要针对个人信息保密做了规定，并简单表述为相关主体有对知悉的个人信息保密、不公开或不泄露的义务，同时规定了法律责任。而部分法律仅规定了个人信息公开和保密义务，并没有配套的法律责任规定。2.个人信息具体内容不明确。上述涉及个人信息的具体内容以居民身份证法列举的最多，为姓名、性别、民族、出生日期、常住户口所在地住址、公民身份号码、本人相片、指纹信息，《护照法》中还出现了出生地，《刑事诉讼法》列举有工作单位。个人信息的列举集中在《身份证法》、《护照法》等规范证照办理的法律中，其他法律基本上只是规定保护个人信息但是并没有规定个人信息的内容。3. 法律责任规定比较简单。民事、行政和刑事法律责任虽都有规定，刑法入罪规定也有明确量刑，但是刑法中构成该罪必须达到“情节严重”的标准不具有可操作性，〔8 〕其他犯罪构成的实践操作也有很多问题；〔9 〕除刑法外的其他法律中均为宣示性的“应当给予处分”、“依法给予赔偿”等法律责任规定，具体操作性非常弱。4.个人信息法律保护规范的主体以公权力机关和公共服务单位为主。主要包括公安机关、监管机关、统计机关、社会保险行政机关、人民法院和检察院等，其他主体包括经营者以及社会保险经办机构、社会保险费征收机构和其他公共服务机构。《刑法修正案（七）》列举了金融、电信、交通、教育、医疗等公共服务单位，修改后的居民身份证法也同样列入。但是这里的单位主体到底是一般主体还是特殊主体，“等”字应作何解释，在理论上还存在争议。〔10 〕值得关注的是，2015年最新通过的《刑法修正案（九）》把侵犯公民个人信息的主体扩大为对世权的一般主体，不仅对履职和服务主体不再具体列举，而且在履职和服务以外的所有“违反国家有关规定”侵犯公民个人信息的主体都受刑法规制，这无疑是对个人信息刑法保护责任主体范围的扩大。

（二）行政法规中的个人信息保护

通过检索，在中国人大网“法律法规信息库”中检索规定“个人信息”，现行有效的行政法规及文件，共有记录170条，同样因为系统默认同时检索“个人”、“信息”、“个人信息”，经排查，明确规定或保护个人信息内容的记录仅有12条。另参照北大法宝法律信息数据库和汇法网进行行政法规全文搜索关键词“个人信息”，还检索出了专门规定个人信息的行政法规《征信业管理条例》，该条例在中国人大网“中国法律法规信息系统”中被列入了部委规章，但在国务院网站中被列入了行政法规。〔11 〕《征信业管理条例》属于个人信息行业领域的专门保护规定，本文后面专门讨论。

检索出的行政法规多从保密义务和法律责任两方面规定了对个人信息的保护，但列举出的个人信息并不多。

行政法规对个人信息保护的规定，主要集中在公权力行使的几个领域以及公权力特许的彩票经营、互联网地图服务、银行、铁路运输企业等领域。保护的模式采用的是保密加法律责任，但是显然对泄露个人信息法律责任的规定非常简化，只规定高度概括的依法处分、处罚或追究刑事责任。涉及身份证、居住证、社会救助、保安登记、不动产登记等登记信息结合有个人信息的具体内容规定外，其他的几乎都是概括规定个人信息。流动人口登记中规定保护涉及公民隐私的流动人口信息，但是并没有明确具体是哪些信息。除了《现役军人和人民武装警察居民身份证申领发放办法》与《居民身份证法》有衔接外，其他行政法规与规定有个人信息保护的法律均没有上下承接关系。由此可见，在法律对个人信息分散保护比较粗糙的前提下，行政法规并没有多大作为，只是扩大了几个保护个人信息的行政管理领域。

二、部委规章和地方性法规、规章对个人信息的分散立法保护

（一）部委规章对个人信息的保护

在“部委规章及文件”子库中检索正文关键词“个人信息”，现行有效的记录共36篇，〔12 〕通过阅读发现，有8篇规章中的“个人信息”的规定不涉及保护内容，《征信业管理条例》属于行政法规。排除以上9篇内容，笔者首先对27篇现行有效的规定有个人信息保护的部委规章的相关内容进行了梳理，发现工业和信息化部《电信和互联网用户个人信息保护规定》（20130716）是专门针对个人信息进行保护的部委规章，下文专门讨论。另有7部规章是直接落实上位法中的个人信息保护内容，对其直接落实上位法内容部分不再统计，而《侵害消费者权益行为处罚办法》和《旅行社条例实施细则》虽然也是落实上位法的相关规定，但是，保护个人信息的内容有所增加。因此作者对26部部委规章中个人信息保护的内容进行了梳理。

通过阅读规章内容发现：首先，部委规章在上述法律、行政法规之外的更大范围内规定有个人信息保护的内容。包括旧电器电子产品流通、家电维修、房地产经纪、水路运输、家用汽车产品、家庭服务等经营性活动管理领域；网络游戏运营、互联网信息服务、网络零售等网络经营管理领域；外航企业使用外国计算机订座系统许可；消费金融公司运营、有限广播电视运营等许可管理领域；结核病防制、养老、高校招生等社会性管理活动领域；以及财政信访、工商行政管理行政处罚等公权力运行活动。其次，规制的主体多样、模式单一。规制的主体包括私经营主体、公共服务组织和政府机构；主要规定模式依然为个人信息保密，不得泄露，一半以上并没有配套规定法律责任，规定法律责任的规章也多数限于行政处罚。第三，基本上没有界定个人信息具体内容。《侵害消费者权益行为处罚办法》、《工商行政管理行政处罚信息公示暂行规定》对受保护的个人信息作了列举并作了“识别”性的界定；《旅行社条例实施细则》有关于个人信息超保存期限应妥善销毁的规定；《网络零售第三方平台交易规则制定程序规定》中有“制定、修改、实施保护个人信息的规则公示并备案”的规定。总体上看，部委规章涉及规定个人信息保护的领域比较宽泛，但是对个人信息的保护依然是泛泛规定，多为碎片化内容，法律操作性不强。值得注意的是，对个人信息明确列举内容并使用“识别”性作为界定，对于个人信息内容的明定有示范作用。

（二）地方性法规、规章对个人信息的分散立法保护

在中国人大网法律法规信息系统选择地方性法规规章子库，在现行有效选项下，正文搜索关键词“个人信息”，共检索出6360条记录，通过阅读发现，在地方性法规规章层面，涉及个人信息保护有200多篇。在法律、行政法规、部委规章涉及的领域之外，还包括：志愿者、献血、慈善事业、公共图书馆、档案馆等公益服务管理；劳动用工、人力资源市场、职业技能鉴定、农民工工资保障等劳动管理；未成年人保护、残疾人保障等弱势群体保护；服务租赁中介、邮政、按摩服务业、废旧金属收购、出租车、机动车维修、特种行业治安管理等特种行业管理；养犬、物业、城镇住房保障、公租房保障、公共安全视频监控、流动人口、居民卡制作、道路交通安全等公共管理；信息化、计算机信息系统安全、电子商务、网络商品交易、信息化促进等网络信息管理；精神卫生、农村合作医疗、医患纠纷、遗体捐献、胎儿性别鉴定、艾滋病防治等医疗管理；举报监督、违纪处分、人大代表政协委员提案、法律援助、审计等监督管理。虽然领域比较宽泛，但是对于个人信息保护的规定依然限于保密、不泄露，法律责任比较概括。

部委规章和地方性法规保护个人信息领域的扩大，表明保护个人信息的社会需求的普遍性，但是从立法规制的角度看，由于基本没有对个人信息内容的明确界定和列举，没有规定个人信息的收集、使用的具体原则和办法，也没有上位法可以参照，所以实际上上述众多的规定并不能发挥有效的作用。

三、征信业规制与互联网中的个人信息立法保护

与上述分散在不同的规范性文件中的非专门个人信息保护不同，我国目前在征信业和网络个人信息保护方面有专门规范保护。国务院出台的《征信业管理条例》（20130121）（以下简称《条例》）是从征信行业规制方面对个人信息进行的专门保护规定，《厦门市软件和信息服务业个人信息保护管理办法》（20121203）（简称《办法》）虽然出台在前，针对的是“信息服务企业”，实际上属于对征信服务企业的规制；《全国人大常委会关于加强网络信息保护的决定》（20121228）（简称《决定》）；工业和信息化部《电信和互联网用户个人信息保护规定》（20130716）（简称《规定》）；以及《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（20140821）（简称《解释》）是对网络个人信息的专门保护。

（一）征信业规制中的个人信息保护

随着大数据处理技术的发展，个人信息成为最有价值的社会资源。个人信息产业化需求已经形成，2012年的罗维邓白氏买卖信息案 〔13 〕集中暴露了这一社会问题，也正是基于个人信息买卖的产业化需求和无序化社会现实，2013年国务院出台了《征信业管理条例》。

《条例》适用于在我国境内从事个人或企业信用信息的采集、整理、保存、加工，并向信息使用者提供的征信业务及相关活动。规范的对象主要是征信机构的业务活动及对征信机构的监督管理。通过对征信机构的特许经营管理，对个人信息收集、加工的严格限制，在个人信息行政法规保护领域迈出了重要一步。《条例》在对征信机构的资质和成立进行规制中，针对设立从事个人征信业务的征信机构设定了相对严格的管理，规定取得个人征信业务经营许可证后方可办理登记；并设征信业务规则专章对个人信息的收集使用进行了详细规定。《条例》中个人信息保护的主要内容见下表：

从上表内容可见，《条例》从征信业收集使用的个人信息范围、原则、个人信息主体权利、企业义务及法律责任等全方位进行了规制。其对禁止采集的个人信息的规定，是我国规范性文件中首次出现的有关敏感个人信息保护的规定，主要从宗教信仰、生理和疾病信息以及法律、行政法规规定四个方面作了规定。《条例》对于信息主体的知情同意、查询、变更以及寻求救济等权利规定的也比较完整。但是，《条例》的局限性也非常明显：其一，尚缺少对于个人信息的明确界定，其对于禁止和限制采集的个人信息的列举也值得商榷。其二，《条例》的规范范围非常狭窄。征信管理基本上集中在金融信息的信用管理领域，国家机关以及法律、法规授权的具有管理公共事务职能的组织依照法律、行政法规和国务院的规定，为履行职责而进行个人信息的采集、整理、保存、加工和公布，不属于该《条例》规范的范围，而这一部分恰是目前个人信息收集和使用的重头领域。〔14 〕其三，《条例》规制对象分类不明确。当前，我国征信业实行的是双轨制，即以政府主导的国家征信机构为核心，以市场主导的民营机构为补充辅助的运行模式，两者的职责应有所不同，但是《条例》没有明确界分。其四，《条例》操作性不强。网络信息社会的个人信息需求已经到了非常具体和细化的程度，收集和使用个人信息的经营业务远比《条例》规定的复杂，虽然《条例》对于收集个人信息的征信机构作了特许经营管理，但实际上，大量的信息收集和使用在普遍意义的企业经营中就完成了。其五，程序规定缺失。《条例》中，信息主体同意、变更、约定等权利都是概括规定，没有配套程序规定，使得实际上权利保护不可执行。最后，如果细致推敲，《条例》对于信息数据库运行机制的规定、逻辑关系以及与上位法协调方面 〔15 〕也存在问题。

《厦门市软件和信息服务业个人信息保护管理办法》是早于《条例》规制征信企业的政府规章，其对个人信息和个人信息处理做了明确定义，其中个人信息的定义采用了列举加可识别性概括规定的方式。但在《条例》出台之后，《办法》存在着如何与上位的《条例》协调的问题，比如，信息服务企业是否等同于征信企业，市信息化主管部门的监管与中国人民银行的统一监管关系如何协调等。由于规范性文件本身操作性欠缺，导致了实践中相互矛盾的问题还不明显。

（二）网络个人信息保护

网络交流成为生活常态的当下，互联网也成了侵害个人信息的重灾区，网络个人信息保护的社会需求非常迫切。《决定》是具有法律效力的专门针对网络信息保护的规范性文件，《规定》是从电信与互联网行业规制的角度对网络个人信息做出保护规定的部委规章；司法解释则是从侵权责任承担角度对网络个人信息做作出的救济规定。

1.《决定》、《规定》对网络个人信息的积极保护

《决定》是上位法，制定在先，《规定》是下位规章，制定在后，对于决定的内容有所落实，但两部规范性文件的内容都很原则和概括，具有操作上的行政色彩。主要内容为：

第一，网络个人信息的明确界定。《决定》界定的是公民电子信息，《规定》界定的是电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户个人信息。前者是从网络个人信息保护出发进行的界定，而后者是从规制网络服务提供者的角度进行的保护，这和《决定》是从普遍对世范围保护网络个人信息以及《规定》是行业规制性规范性文件的性质一致。《决定》对公民电子信息的界定采用的是概括的方法，有两类判断标准，即“能够识别公民个人身份和涉及公民个人隐私”；《规定》采用的是概括加列举的方式，即，用户基本身份信息加上“可识别性”判断标准。显然，《决定》中的个人电子信息的判断标准更为宽泛，但是，“身份识别性”与“涉及个人隐私”是否是一种并列关系，在个人隐私也并无法律明确规定的情况下，实践中如果操作还是个难题。

第二，网络个人信息处理的原则。《决定》第2条是关于网络收集使用个人电子信息的原则规定，包括，应当遵循合法、正当、必要的原则；明示收集、使用目的、方式和范围；经被收集者同意；依法依约定收集使用个人信息；公开收集、使用规则。《规定》中并没有集中规定以上原则，但是在全文中贯彻了《决定》中的所有原则。

第三，网络个人信息保护中的权利义务关系。由于《决定》对于公民网络电子信息的普遍保护，其规范的义务主体范围非常广，主要包括三类：任何组织和个人不得非法获取、出售、提供公民个人电子信息，不得向用户固定电话、移动电话或电子邮箱发送商业性电子信息；网络服务提供者和其他企事业单位负有对于掌握的个人信息保密并采取安全技术措施的义务；国家机关及其工作人员对于履职中获得的个人电子信息必须保密、不得出售、非法提供。《规定》仅对电信业务经营者和互联网信息服务提供者的安全保障责任作出了规定。《决定》和《规定》都没有明确规定用户的个人信息权利，只是在规制网络信息使用中出现了知情、同意、举报、控告等个人信息的权利内容。

第四，行政监管之下的法律责任承担。两个规范性文件都有行政监管责任的设定，《决定》中的有关主管机关监管需要和各行业的具体监管结合，《规定》中明确规定电信管理机构负责监督检查。在法律责任设定上，主要规定了行政处罚和刑事责任，并都有记入社会诚信档案的规定。《决定》还规定了治安管理处罚责任以及民事责任，但是法律责任都很原则，并不与具体违法情节裁量相衔接。《规定》中的行政法律责任比较具体，但仅限于警告和3万元以下罚款。

在个人信息保护统一立法缺位的情况下，《决定》具有法律效力，但其仅限于保护个人电子信息，且只有12条原则规定，在个人电子信息界定、个人信息权利以及法律责任方面虽超越了本文前述分析的个人信息分散法律保护规定，然其规定非常模糊，无法在实践中直接落实，还是需要制定配套的专门个人信息保护法律。

2.《解释》对于网络个人信息的消极不侵犯规定

由于网络个人信息侵权事件频发，民事纠纷不断，在没有专门的法律依据的前提下，从实践需要出发，最高人民法院针对利用信息网络侵害人身权益民事纠纷案件适用法律做出了司法解释。《解释》第12条是专门针对网络用户或者网络服务提供者利用网络不当公开个人信息作出的规定。主要内容包括：第一，列举了利用网络公开的个人信息的范围，即“自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息”，公开上述个人信息造成他人损害的，可以向法院提起侵权责任之诉。与笔者上文讨论的各种列举不同，《解释》列举的个人信息主要集中在基因、医疗、犯罪记录、住址和私人活动几个方面，并用个人隐私和其他个人信息作了兜底，这意味着《解释》中列举的是属于个人隐私的个人信息和其他个人信息。另外，《解释》虽然在界定个人信息的范围时，没有使用识别性，但是在公开例外的列举第三项中出现了“且公开的方式不足以识别特定自然人”的规定。这可以看成是对《决定》内容的落实。第二，规定例外情况公开个人信息不侵权，主要列举了自然人同意或约定范围公开、社会公益需要、科学研究需要、自然人自己公开或已经合法公开等几种情形。这体现对个人信息保护与信息流通自由的平衡。第三，例外公开的例外规定。自然人自行在网络上公开或合法渠道公开的个人信息，如果网络用户或者网络服务提供者以违反社会公共利益、社会公德的方式公开的，或者侵害了权利人值得保护的重大利益的，权利人有权提起侵权保护之诉。这个例外的例外实际上是对个人自行公开个人信息的限制，赋予了权利人道德检视的权利。在公共利益、社会公德并没有法律明定范围的情况下，公开的例外、例外的例外如何操作，依然存在实际的困难。第四，《解释》的适用范围非常狭窄。《解释》是仅就民事侵权争议的规定，“国家机关行使职权公开个人信息的，不适用本条规定”。第五，侵权责任承担设上限。除了贯彻民法的实际损害赔偿原则外，《解释》第18条第2款规定：“被侵权人因人身权益受侵害造成的财产损失或者侵权人因此获得的利益无法确定的，人民法院可以根据具体案情在50万元以下的范围内确定赔偿数额。”这实际上是针对个人信息侵权无法计算损害标准的权宜规定。

四、个人信息立法保护需明确的基本问题

通过上述梳理可知，我国目前主要在各层级法律规范文件中对个人信息进行了分散保护，并在征信业和网络个人信息保护方面进行了专门规定，但由于特定领域保护个人信息范围很狭窄，所以，总体上，我国的个人信息保护还是分散立法保护的状态。在个人信息分散立法与有限专门立法保护的努力中，暴露出了非常明显的弊端，主要体现为保护对象不明确、信息主体权利缺失、权利义务不完善和法律责任不到位等，导致了虽然个人信息保护的规范性文件很多，但是实际上根本无法发挥个人信息法律保护的作用，由此决定了必须总结分散立法和专门立法保护内容，探讨个人信息立法保护的新思路。结合上文分析的既有的个人信息立法中存在的问题，个人信息立法保护必须明确下述几个基本问题：

（一）明确保护对象

个人信息作为法律保护的客体，应该明定范围。在我国目前个人信息的分散立法保护中，基本上个人信息保护并不是上述统计的规范性文件的主要立法目的，只是鉴于个人信息现实保护的需要而加以附带规定。所以多数规范性文件中没有明定何为个人信息，只是简单作了应当保护个人信息的原则规定。这个问题有必要专门统一解决，但结合已有的立法经验，如何界定个人信息需要考虑如下问题：

其一，个人信息的基本内容列举。在上述统计的分散保护个人信息的规范性文件中，列举的个人信息有姓名、住址、身份证号码、职业、消费情况、联系方式等个人社会交往信息；出生日期、性别、指纹等生物特征信息；收入和财产状况、银行账号等财产信息；健康状况、就医等医疗信息。而在专门保护个人信息的规范性文件中，增加了基因、血型等生物特征信息；疾病、病史等医疗信息；存款、有价证券、商业保险、不动产、纳税数额等细化的财产信息；婚姻状况、职业经历等社会信息；犯罪记录、不良信用记录等负面信息；宗教信仰、私人活动等其他信息。综合起来看，几乎包含了从生物特征、社会交往、财产、医疗、私人信仰、私人活动等较为全面的个人信息，但总体上，列举的内容以泛泛的社会交往信息最为常见。在未来的个人信息立法中，上述出现的具体个人信息都值得关注，但需要从明确分类的角度总结已列举的内容，决定是否列举以及如何选择列举的具体内容。

第二，可识别个人性的概括界定。《统计法》、《规范互联网信息服务市场秩序若干规定》、《侵害消费者权益行为处罚办法》中出现了“能够单独或与其他信息结合识别用户的信息”的概括规定，这与专门立法保护中的概括规定一致。可以说，“可识别个人性”是信息与个人相连，并能够最终与侵犯个人权益相结合的最基本特征。但值得注意的是，《决定》及《解释》中出现的涉及个人隐私也是个人信息概括规定的一个标准，其如何与个人识别性相结合判断个人信息还是一个需要认真研究和论证的问题。

第三，敏感个人信息的保护问题。不同的个人信息其公开对个人权益的影响不同，《征信业管理条例》做出“个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息”的规定，就是关于敏感个人信息分类保护的努力。敏感个人信息和个人隐私保护紧密相连，直接关涉个人人格尊严的维护，张新宝教授就提出了“我国未来个人信息保护法应当以‘个人敏感隐私信息概念对个人信息进行类型化区分”的主张。〔16 〕何为敏感个人信息？如何明确保护范围？除了上述列举的种类外，其他国家立法中的犯罪记录、政党派别以及社会团体成员身份等敏感个人信息能否为我国借鉴？这些问题都需要结合我国的文化传统和社会实际专门进行研究。

（二）具体化个人信息处理原则

本文统计的法律中出现了收集、使用个人信息应当遵循合法、正当、必要原则，明示收集、使用个人信息的目的、方式和范围，知情同意，合法、合约，个人信息规则公开、行政监管等具体原则。在法律之下的规范性文件中还出现了不良信息告知、不良信息限期保存原则；约定（特定）用途使用原则；个人信息保密原则等规定，其中，保密原则最为普遍。个人信息保护原则是个人信息立法的核心内容，1995年欧盟数据保护一般指令就确立了合法、终极、透明、合适、保密和安全及监控原则，〔17 〕这六大原则目的是在提供数据保护最低限度制度基础上促成数据的自由流通。〔18 〕这六大原则也成为世界范围内各国个人信息立法保护的基本原则。与之相比较，六大原则已经存在于我国的规范性文件中，只是具体内容并不详实。最主要的问题是各规范性文件中原则规定不统一、具体制度设计并没有发挥原则的指导作用，从而导致个人信息保护的分散与随意性。

（三）准确定性个人信息主体的权利

在上文统计的规范性文件中，只有《消费者权益保护法》中明确规定了保护“消费者个人信息权”，其他规范性文件中都没有出现个人信息权利的用语，也没有专门规定信息主体的权利，信息主体的知情同意、查询、变更、控告、诉讼等具体权利的规定都是在规定信息收集使用者的义务、信息收集使用规则和法律责任等内容中附带出现的。个人信息主体权利作为个人信息法律保护的核心内容直接对应个人信息处理主体的义务并与个人信息法律保护责任相匹配。所以必须从法律保护的权益目的出发明定个人信息主体权利。

个人信息主体权利并不是简单列举能够完成，其与对个人信息主体权利性质的界定密切相关。早期的欧盟1995年《数据保护指令》第1条明确将立法目的表述为保护公民隐私权，个人信息权利的隐私权属性一直有市场。〔19 〕而随着网络个人信息买卖的发展，个人信息财产权保护的主张浮出水面。〔20 〕目前，更多学者认为，个人信息保护的是人格权，兼具隐私、财产双重权益属性。〔21 〕个人信息主体的权利作为个人信息立法保护的核心问题，其辐射影响信息业者和国家利用及监管个人信息的权益和义务。各国立法中，通常直接确立个人信息自决权，这是个人信息隐私权属性的具体体现，有学者论证认为，从权益损害的角度看，个人信息买卖能够获利是个人信息泄露、滥用的驱动力，而对获利性的法律惩处并不等同于对个人信息财产权的保护，因为，大数据时代，往往大量的个人信息聚集才会产生财产利益，个人信息仅是这种社会财产权的微小组成部分，个人无法通过个人信息财产权主张完成对自身权益保护的主张。〔22 〕总之，个人信息权利属性是与个人隐私权保护密切相关又有区别的，但显然，由于目前我国个人隐私也没有明确的法律保护，在立法实践中，两者的关系如何理清、个人信息权利如何定性及如何进行利益平衡等还需认真研究论证。

（四）落实个人信息保护法律责任

法律责任承担是法律权益保护的直接实现，目前我国规范性文件中个人信息保护法律责任规定虽然类型全面，但是普遍存在无法落实的困境。原因主要在于没有明确规定个人信息与个人信息权利内容，致使法律责任缺失具体侵权依据，无法进行危害程度和危害结果的量化规范。于是，在法律责任规定上，多数采取“泄露用人单位和个人信息的，依法给予处分或行政处罚”的简单宣示规定，或者泛泛规定“造成损失”、“侵犯合法权益”的，承担民事赔偿责任，构成犯罪的承担刑事责任等。具体在刑法修正案中，由于保护的个人信息内容不详、证据认定和量刑标准模糊，使得刑事责任的规定并没有发挥打击个人信息滥用、个人信息买卖的功效；具体数额行政罚款的规定一般存在于规章中，但受规章设定行政处罚的限制，罚款数额过低且并不具有与损害事实及危害结果的一致性；前述司法解释规定了当事人可以提起侵权责任之诉，但“造成他人损害”和“侵害了权利人值得保护的重大利益”同样不具有裁量性，《解释》仅规定了50万上限赔偿数额的法官自由裁量的限度，但在中国目前的司法环境下，法官是否有能力利用好自由裁量权还很难说。法律责任是个人信息保护的最后关卡，无法实际落实正暴露了个人信息保护的无力和不足，这一最后防线需要在个人信息立法内容明确的基础上进行精心设计。

五、个人信息技术标准立法替代与专门立法保护

上述分析指出了个人信息立法保护需要明确的基本问题，这些问题似乎可以通过制定统一的个人信息保护法来解决。目前全世界已有90多个国家制定了个人信息保护法，选择统一立法模式也一直是我国多数学者的主张。但是，已有的立法实践并不能完全被忽略不计，虽然总体上效果不佳，成绩还是不能抹杀的，至少相关部门在专门行业和领域的保护规定中作出了与实践结合的努力。另外，信息时代，个人信息的资源性地位早以无法撼动，在个人信息保护领域，我国的立法努力是比其他方面都落后于社会需求的，这可以从立法之外的个人信息保护技术标准的出台得以管窥。如果能够借助于技术标准统一个人信息立法保护的术语、范围、基本权利和原则等基本问题，给已有的普遍分散立法以操作的指引，然后再结合特定领域的保护需求进行专门立法，应该不失为节约立法成本的务实选择。

（一）个人信息保护技术标准的最低标准立法替代

在信息化发展的推动下，为了弥补立法的不足，我国已经设计通过了个人信息保护技术标准。由工业和信息化部起草2013年2月1日起实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》（简称《指南》）是我国关于个人信息保护的第一个国家标准。〔23 〕2014年3月15日中国科学技术法学会、北京大学互联网法律中心联合发布了《互联网企业个人信息保护测评标准》（简称《标准》），这是我国首部互联网领域由独立第三方学术机构倡议的个人信息保护测评行业标准。〔24 〕

《指南》最显著的特点是将个人信息分为个人一般信息和个人敏感信息，并提出默许同意和明示同意的概念，还提出了处理个人信息应当遵循的八项基本原则。〔25 〕对个人信息、个人信息主体、个人信息管理者、个人信息获得者、个人敏感信息、个人一般信息等基本术语进行了界定，确立了包括第三方测评机构在内的各方主体的权利义务，从收集、加工、转移、删除四个环节进了个人信息保护规定。《标准》是针对目前个人信息立法保护缺乏可操作性的现状，遵从《指南》的规定，从初使方、关联方、第三方界定互联网企业，并对用户、个人信息、个人信息处理等术语进行了界定，制定了包括知情同意、收集、加工、使用、转移、个人参与、政策修改、安全责任、特殊领域的个人信息在内的测评互联网企业的指标体系。《标准》的发布机构将组建测评机构，从行业自律的角度主动推进互联网企业的个人信息保护水平。

在有世界各国个人信息立法规定可以借鉴，我国个人信息立法规定弊端明显的前提下，《指南》和《标准》对个人信息保护基本术语、个人信息主体权利、个人信息处理责任、个人信息保护原则等标准的明确对于个人信息立法保护的缺漏弥补十分明显，个人信息保护国家标准的出台实际上是以技术标准的方式对个人信息保护的确认，基本上涵盖了上述除法律责任以外的个人信息立法保护的基本问题。基于对我国个人信息立法的整体判断，张新宝教授提出以“两头强化，三方平衡”作为我国个人信息立法保护的理论基础，建议制定一部最低标准的全面保护个人信息的法律。〔26 〕这一统一立法所涉及的最低标准实际上已经规定在上述两个技术标准中。随着大数据处理个人信息的普及化与技术化，个人信息利益主体多元、法律责任多样，制定统一的个人信息保护法不仅涉及界定清楚权利、义务、原则等基本问题，还需要进行利益衡量设计不同的程序和法律责任，这难度显然高于仅从技术角度做出的基本标准界定。那么，务实的立法选择应该是承认技术标准在解决立法基本问题中的作用，关于个人信息基本术语、主体权利、处理原则等遵循技术标准的规定，不再制定统一的个人信息保护法，集中立法资源解决问题突出的特定行业和领域中的个人信息立法保护。这不仅是节约立法成本的务实做法，也可以与实践结合推进我国的个人信息立法保护的实效发挥。为了实现这一立法替代功能，《指南》与《标准》中的具体标准化规定还需进一步明确细化，排除个人信息处理主体范围限定等需利益衡量规范的问题，仅从最一般意义上规定个人信息保护的基本技术标准，并成立专门的第三方测评机构，使技术标准能在立法和行业自律中提供标准化的基本作用。

（二）规制与限制双重面向的专门立法

和法律规范性文件相比，《指南》与《标准》缺少法律救济和责任规定，且不具有强制约束力，显然技术标准无法发挥法律的效用，但是如果有了个人信息保护的基本技术标准，那么个人信息立法保护就可以在保护需求迫切的专门领域展开。

目前在我国个人信息分散立法保护的总体情况下，为了回应信息产业化以及网络信息发展的现实需要，有关部门已经在征信业和互联网信息保护方面进行了专门立法努力。征信业和互联网正是个人信息保护矛盾最集中的两个领域，需要立法积极规制。由于全国人大常委会的《决定》仅具有指导意义，所以上述专门立法实际上并没有在法律层面具体展开，而仅以行政法规、规章和司法解释为基础展开了个人信息立法保护。因为专门立法没有在法律层面展开，行业规制和领域管理的行政色彩浓厚，对个人信息保护涉及的多元利益主体之间的关系衡量不到位，存在着不完整、不系统、无执行力等弊端。所以，在现有规范的前提下，征信业和网络个人信息保护必须进行立法层次和立法内容的提升，让其真正在特定领域保护个人信息中发挥作用。

上述征信业和网络个人信息保护专门立法是政府进行监管的规制法。这是政府积极保护公民权利在个人信息领域的体现，但是，在信息社会，政府已经成为个人信息利用的大户，有学者研究指出，我们有全世界最庞大的人口，我们的政府面对的是最复杂的社会治理，于是，电子政务方兴未艾，专业化的政府巨型数据库急速发展。〔27 〕“政府一直是最大的个人信息收集、处理、储存和利用者，可以说，政府公权力所及之处必然涉及上述个人信息的收集、处理和利用。”“个人信息法律保护制度的发展始终伴随着对政府权力的限制，这是因为个人信息法律保护制度的构建不仅是对公民提供保护，而且是为维护政府自身政权合法性所必须。” 〔28 〕正如上文数据统计所揭示的，我国目前缺失且急需进行立法保护的正是政府个人信息处理领域。上文的法律、行政法规统计中，涉及公权力机关个人信息保密责任的规定最多，这表明了个人信息立法保护要求限制政府公权力的实际需求。权力的扩张和正当使用必须通过法律来限制，结合依法控权的法治国家建设要求，专门针对国家机关处理收集个人信息进行立法非常重要。由于政府行政权力行使必须符合实体法和程序法的规定，针对政府机关处理个人信息的权限、程序进行统一立法是可行的，也符合我国目前正在进行的以清单方式规制政府权力的法制建设实际。所以有必要从限权角度制定规范政府公权力处理个人信息的专门立法，但具体立法要结合已有的《政府信息公开条例》、《档案法》等规范性文件进行研究设计。

保护个人信息基本权利、规制信息利用者行为、国家作为管理者和利用者的双重身份等多元利益需求决定了必须综合平衡各方利益进行个人信息立法保护制度建构。总体上，我国个人信息的分散和专门立法保护强调的是政府监管，尚缺失限制政府机关处理个人信息权力的立法，急需针对政府机关进行限权性专门立法，由此，在限制政府权力的同时发挥政府的监管职能。

综上，基于个人信息保护的现实需求，我国目前在分散立法中出现了大量的个人信息保护规定，这些规定虽然零散、几乎没有发挥法律效力，但是却能反映出个人信息保护中需要调整的基本问题；征信业规制和网络个人信息保护的专门立法虽然法律层级效力低、内容不完整，但却是应对信息化发展的必然产物；个人信息保护技术标准包含了最低标准的个人信息立法保护内容；从个人信息权利保护的双重国家职责出发，我国尚缺失对国家机关处理个人信息的限制。我国个人信息立法需要立足于已有的立法和相关实践，在个人信息技术标准替代发挥最低标准立法作用的基础上，从政府规制社会主体和限制政府权力行使两个方面完善个人信息专门立法保护。总之，个人信息专门立法保护不能无视目前的立法保护实际，且需要在立法过程中以及立法之后作好与已有的分散规定的整合与协调。诚如中国社会科学院法学研究所、社会科学文献出版社联合发布的2015年《法治蓝皮书》所指出的：“防止‘拍脑袋立法，仍是立法机关的重要课题。” 〔29 〕