我国个人信息保护的立法实践与路径走向*

杨翱宇

(清华大学 法学院，北京 100084)

我国个人信息保护的立法实践与路径走向*

杨翱宇

(清华大学 法学院，北京 100084)

计算机和互联网的产生与发展构成了信息时代的技术挑战，衍生了我国个人信息保护的本土需求。我国在“是否通过立法保护个人信息”的问题上秉持肯定立场，但仍处于分散式立法保护阶段，且现行立法实践存在个人信息保护缺少完整请求权基础等困境。《民法总则》第一百一十一条的确立对个人信息保护具有开创性意义，但仍存在值予修缮的固有局限。面向未来，我国个人信息保护立法的应然路径走向为：分阶段实现个人信息权及其子权利的法定化与精细化；从内外两个层面实现个人信息保护法制的体系化；以统一式路径实现个人信息保护行政主管机关专责化。

个人信息；《民法总则》；个人信息权；体系化；专责化

一、问题的提出：“一条腿走路”

在技术剧变和信息洪流的汹涌浪潮下，我国虽自20世纪末开始引入计算机和互联网，并于近年着力发展大数据产业，但与此形成鲜明反差的是我国在个人信息保护领域的立法仍相当滞后。如果将中国当前正在建设的信息社会比作一个前行中的人，那么无疑数据产业发展是其前行的一条支撑腿，而另一条不可或缺的支撑腿便是公民的个人信息保护*需要说明的是，信息在整体上可依是否能直接或间接识别自然人为标准而分为个人信息和其他信息，其中能直接或间接识别某个自然人的信息即个人信息，是本文的研究对象。数据产业发展中所处理的信息虽可能包括国家信息、商业公司信息和自然人个人信息，但国家信息可依其涉密与否通过《保守国家秘密法》和《政府信息公开条例》等予以有效调整，商业公司信息可依其性质通过商业秘密保护等法律予以有效调整，唯独自然人个人信息保护目前尚缺乏体系性调整的规范依据，因此其在信息社会发展中凸显为缺失的“另一条腿”。同时，国家信息和商业公司信息的主体非为自然人，其非属个人信息范畴，故不在本文研究范围之内。。前者在我国当前的社会领域中似乎占据强势地位，我国的信息社会建设显示出一条腿走路的局面，犹如工业社会发展进程中“先污染、后治理”困局的翻版。公民的个人信息一般可通过立法途径和司法途径加以保护，其中立法规范往往是司法适用展开的重要前提，诸多个人信息保护案件，例如，“中国被遗忘权第一案”中当事人诉请被驳回的重要理由之一便是“我国现行法律中并无对‘被遗忘权’的法律规定”*参见北京市第一中级人民法院(2015)一中民终字第09558号民事判决书。。因此，对我国个人信息保护的立法实践进行考察尤为必要，而需要考察的具体问题则包括：我国个人信息保护立法是在怎样的时代背景下展开的？在此背景下，我国个人信息保护立法经历了怎样的变迁轨迹，其现状如何？当前的情境下，我国个人信息保护立法主要存在哪些困境？面对这些困境，我国个人信息保护立法在未来应选择怎样的解决路径？此外，万众瞩目的《中华人民共和国民法总则》(以下简称《民法总则》)于2017年3月15日由全国人大通过。作为民事立法的重要一环，该法第一百一十一条对个人信息保护而言具有哪些成就和局限，亦是值得特别关注的问题。笔者通过对这些问题的梳理与研究，一方面，期待公民个体的个人信息能够获得更为全面和更高层级的保护；另一方面，呼吁我国信息社会的前行务必摆脱当前依靠数字经济和数据产业一条腿走路的困局，坚持数据产业发展和个人信息保护两条腿走路。如此而为，中国信息社会的布局与建设方能走得更远。

二、我国个人信息保护立法的基本脉络梳理

(一)形成背景：技术挑战与本土需求

用人手方法制作信息记录在人类文明发展中已有久远历史，但1946年世界上第一台计算机的问世革新了信息记录的储存方式。20世纪50年代末至60年代初，计算机的用途由科学计算拓展至大规模信息的处理与利用。随着科技一日千里的发展，至20世纪八九十年代，计算机由最初大型、昂贵、难操作的形态演变为小型、廉价、易操作的形态，互联网技术亦逐渐得以在世界范围内普及和应用，此时微型计算机和互联网技术的结合使得国家机关、社会实体大规模储存、加工和传输个人信息的能力呈几何倍的提升[1]。进入21世纪之后，随着计算机移动终端和云计算技术的发展，个人信息得以超乎想象方式收集、处理、加工和利用的大数据时代正式来临。

一方面，计算机和互联网的产生与技术变革促使人类社会由传统工业社会向现代信息社会转变，大大增强了国家机关、社会实体对个人信息挖掘与利用的力度[2]；另一方面，国家机关和社会实体借助计算机和互联网深度挖掘与利用个人信息显现出严重负面后果，个人信息被非法、任意和无限制地收集、储存、加工、利用和传输，使得个体暴露成为“透明人”或“被看透的人”[3]。此时，个体隐私、生活、人格、形象与权益自由遭受时时刻刻和前所未有的威胁。为此，以德国和美国为代表的诸多国家与地区自20世纪70年代起制定个人信息保护领域的专门法律以来，通过立法对个人信息进行专门保护俨然成为一种时代趋势。同时，一个国家或地区个人信息的权利保护水平与法制健全程度，在经济全球化进程中成为其他国家或地区是否与之开展相关国际贸易的重要参考指标[4]。

因此，可以说计算机和互联网的产生与发展带来了信息时代最为严峻的技术挑战，由此衍生出世界各国和地区的公民保护其个人信息的强烈需求。作为参与信息化建设和全球化融合的重要成员，当今的中国不可避免地正在遭受这些新兴技术的挑战，并由此产生中国公民迫切保护其个人信息的本土需求。

(二)变迁轨迹：分散式演进与肯定性立场

面对上述时代挑战与本土需求，为回应我国从工业社会向信息社会加速转型期[5]中凸显的个人信息保护问题，我国学界自21世纪初开始关注个人信息保护立法至今已十余年，其间虽有周汉华研究员[6]和齐爱民教授[7]各自提出个人信息保护法的立法建议稿，但个人信息保护法的制定工作一直未进入国家正式立法程序，我国对个人信息保护在整体上仍处于分散式立法保护阶段。

2012年之前，我国保护个人信息的规定散见于各类行政和刑事的法律法规规章当中。例如，2011年修订的《居民身份证法》第三条对身份证上应当登记的信息种类予以规定，第六条对公安机关和人民警察负有的个人信息保密义务予以规定，第十九条对国家机关和金融、电信、交通、教育、医疗等单位及其工作人员泄露身份证上个人信息的法律责任予以规定，第二十条对人民警察泄露个人信息的法律责任予以规定。又如，2009年通过的《刑法修正案(七)》增设“非法获取公民个人信息罪”和“出售、非法提供公民个人信息罪”，第一次在中国的刑事立法中确立侵犯公民个人信息的犯罪，从而为我国个人信息的严格保护提供了重要法律依据[8]。在此基础上，《刑法修正案(九)》第十七条对前述条款予以修改，通过扩大犯罪主体范围和犯罪行为类型以及提高法定刑最高限度的方式增强了对个人信息犯罪的打击力度。

2012年12月28日，全国人大常委会通过《关于加强网络信息保护的决定》(以下简称《决定》)，第一次对我国个人信息保护提供“法律”层级的框架性规范。国家工业和信息化部于2013年9月1日起实施《电信和互联网用户个人信息保护规定》(以下简称《规定》)，以部门规章形式对电信业务经营者和互联网信息服务提供者收集和处理用户个人信息的行为提供规制依据。此外，国家标准化管理委员会于2013年2月1日起实施《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)，为利用信息系统处理个人信息的活动提供不具备法律强制力的指导性技术标准。值得一提的是，2017年3月15日通过的《民法总则》纳入一条个人信息保护条款，承认对个人信息的私法保护。随后，自2017年6月1日起施行的《网络安全法》以及最高人民法院和最高人民检察院联合发布的《关于侵犯公民个人信息刑事案件适用法律若干问题的解释》分别以法律和司法解释的形式为个人信息保护提供了不同层次的规范依据。

前述法律和规范的陆续出台勾勒出了我国近年来个人信息保护立法的演变轨迹，其表明在“是否通过立法保护个人信息”的问题上，我国秉持了肯定立场。

(三)新近突破：《民法总则》第一百一十条的确立与成就

在我国个人信息保护立法的变迁历程中，尤值特殊关注的就是其在民事法领域的突破性进展，即《民法总则》及其历次草案文本中有关个人信息保护条款的增加、修改与确立。

早在2016年7月，全国人大常委会公布的《民法总则(草案)》即在其第一百零八条第二款第八项将“数据信息”纳入知识产权的客体范畴，但较为遗憾的是其第五章“民事权利”部分并未规定个人信息权。在争议声中，全国人大常委会于2016年11月公布的《民法总则(草案)》(二次审议稿)中增设一条个人信息保护条款*《中华人民共和国民法总则(草案)》(二次审议稿)第一百零九条规定：“自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息，不得非法提供、公开或者出售个人信息。”，首次明确对个人信息的私法保护。随后，全国人大常委会于2016年12月公布的《民法总则(草案)》(三次审议稿)在继续专条对个人信息保护予以肯认*《中华人民共和国民法总则(草案)》(三次审议稿)第一百一十条规定：“自然人的个人信息受法律保护。任何组织和个人不得非法收集、使用、加工、传输个人信息，不得非法买卖、提供或者公开个人信息。”的同时，将非法购买个人信息亦列为禁止，适度扩大了保护范围。在此基础上，2017年3月提交全国人大审议的《民法总则(草案)》(大会审议稿)更是明确了信息安全原则*《中华人民共和国民法总则(草案)》(大会审议稿)第一百一十四条规定：“自然人的个人信息受法律保护。任何组织和个人应当确保依法取得的个人信息安全，不得非法收集、使用、加工、传输个人信息，不得非法买卖、提供或者公开个人信息。”。最终，全国人大于3月15日通过的《民法总则》正式确立个人信息条款，在第一百一十一条规定“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”。

从最初草案中没有规定个人信息条款，到后续草案中个人信息条款的增加与修改，再到最终个人信息条款的正式通过，我国《民法总则》第一百一十一条的确立虽非一帆风顺，但亦是有惊无险。在当前中国的时代背景下，该条款的确立至少具有以下四点里程碑式的成就与意义。

首先，开创性地在民事基本法层面确立起对个人信息的私法保护，迈出了我国个人信息权法定化的第一步；其次，在立法实践上明确区分个人信息与隐私，一方面回应了学理中有关隐私与个人信息区分的争论，另一方面建立起《民法总则》第一百零八条隐私保护与第一百一十一条个人信息保护并行的“二元制”保护模式，为自然人权利保护提供最大限度规范支撑；再次，在当前《个人信息保护法》尚未正式进入国家立法程序的背景下，为我国将来《个人信息保护法》的酝酿与出台奠定了较高位阶的私法基础；最后，与《民法总则》第一百零九条自然人“人格尊严受法律保护”条款相结合，不仅表明我国立法者积极回应信息社会挑战和充分保障公民私权的态度，而且彰显了21世纪民法扩展人格保护的时代趋势与世界潮流。

三、我国个人信息保护立法的主要症结反思

(一)多维检讨：“权利—体系—机关”视域下的三重困境

纵观我国个人信息保护法制现状可知，虽然我国对个人信息的立法保护实现了从无到有的质的进步，但亦需正视其中存在的三项主要问题。

1.个人信息保护缺少完整的请求权基础

个人信息权作为一种区分于隐私权的新型具体人格权[9]，理应成为个人信息立法保护的权利基础，而我国在相当长一段时期内未将其纳入到既有法制规范当中。即使《民法总则》在其第五章第一百一十一条专项增加个人信息保护条款，但未能完成为个人信息保护提供完整请求权基础的任务。个人信息权完整性的缺失不利于有效保护信息主体的正当权益，司法实践中个人信息侵权案件往往只能依赖传统隐私权路径加以保护[10]，“个案裁决的救济方式都无法建构完整的个人信息保护框架”[11]，此种路径因其保护范围和保护方式的局限性而无法为个人信息提供理想的全面保护[12]。个人信息权完整性的缺失亦不利于明晰廓清个人信息立法保护的理论基础。如全国人大常委会《决定》第一条规定：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”，将个人信息和隐私并列谈及，忽视了滥觞于英美法系的隐私常包括私密空间、私密事务和私密信息[13]，在汉语中指“不愿告人或不愿公开的事”[14]，其与个人信息在外延上属交叉关系[15]。故而上述规定似同时显出在理论基础问题上于“隐私权说”和“人格权说”区分之间的缠绕与纠葛。

2.个人信息保护法制缺乏体系化

法制的体系包括内在体系和外在体系两个层面，前者是指法律内部所蕴含的根本价值取向，后者是指法律外部所显现的概念和制度[16]。就内在体系而言，我国现行个人信息保护法制没有明确其内在精神与理念究竟为何。从既有规范来看，全国人大常委会《决定》、工信部《规定》和国家标准化管理委员会《指南》通过“为了保护网络信息安全”“为促进个人信息合理利用”和“为了保护电信和互联网用户的合法权益”等措辞似倾向于将个人信息保护立法的内在目的建置在“信息利用”而非“信息保护”的基点上，更遑论“人权保障”，这对于个人信息保护本身和个人信息保护法制的体系化而言有害无利。就外在体系而言，我国现行个人信息保护法制在具体的制度内容构造方面严重不健全且不同规范之间存在现实冲突与矛盾。全国人大常委会《决定》全文仅有十二条，规定极其简略，虽在法律层级为个人信息保护提供框架性指导，但就其内容本身而言更像是我国立法机关保护个人信息的宣言书。以适用范围为例，全国人大常委会《决定》将受保护的个人信息限定于网络中以自动化方式处理的电子信息，而非以自动化方式处理的保存于其他载体的个人信息并不受同样保护。工信部《规定》作为部门规章仅适用于电信业务经营者和互联网信息服务提供者收集和使用用户个人信息的活动，二者之外的其他信息控制主体并不受该《规定》规制。国家标准化管理委员会颁布的《指南》本身即不具备法律强制力，而且该《指南》亦将其适用范围限缩为除政府机关等行使公共管理职责的机构以外的各类组织和机构处理个人信息的活动，将庞大的政府机关信息控制者排除在《指南》的适用范围之外。

3.个人信息保护行政主管机关缺位

在我国个人信息保护法制严重滞后的背景下，统一的个人信息保护行政主管机关缺位似为必然。当前的个人信息保护工作现状可以分为两种情形：第一种情形，即在少数领域由相应主管机关处理个人信息保护工作。例如，依据工信部《规定》第十七条，电信业务经营者和互联网信息服务提供者处理用户个人信息的行为由“电信管理机构”规管；依据《消费者权益保护法》相关规定，经营者收集处理消费者个人信息的行为由“有关行政部门”规管。此种情形下，不同机关执法态度各异且权限无法统一，往往导致各机关在个人信息保护工作中相互推脱或各自为政。在电信业务经营者同样具有经营者身份时，即有可能显现个人信息保护工作无法落实之弊端。虽然《网络安全法》第八条*《网络安全法》第八条第一款规定：“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。”提及国家网信部门，但其角色定位主要为“统筹协调”部门，真正的执法与保护工作仍有赖“电信主管部门”和“公安部门”等机关在其所属领域内开展工作。第二种情形，即在其他多数领域，个人信息保护工作无机关规管。例如，在《网络安全法》保护的网络电子个人信息之外的大量人手处理的非电子个人信息，即无明确的行政主管机关对其保护。此时，个人信息主体在其信息权益遭受侵害之后的很多场合仅能向法院寻求司法救济，而无法在事前和事中通过个人信息保护行政主管机关的介入而充分保障其合法权益。值得注意的是，《网络安全法》第五十条*《网络安全法》第五十条规定：“国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现法律、行政法规禁止发布或者传输的信息的，应当要求网络运营者停止传输，采取消除等处置措施，保存有关记录；对来源于中华人民共和国境外的上述信息，应当通知有关机构采取技术措施和其他必要措施阻断传播。”赋予了国家网信部门和有关部门一定的行政执法权，为网络个人信息保护提供了行政救济路径。但结合该法第六章“法律责任”部分可知，行政处罚仍由相应领域的“有关主管机关”或“公安机关”*参见《网络安全法》第六章第五十九条至第六十九条。做出，实际上仍属分散保护。同时，在网络之外由人手处理非电子个人信息的场合，尚无法获得与网络电子个人信息相同的行政救济。概言之，我国当前部分领域行政机关保有个人信息保护职责与权限，但缺位统一且专责的个人信息保护行政主管机关。

(二)焦点审视：《民法总则》第一百一十一条的现实局限

严格来讲，有关《民法总则》第一百一十一条局限的评述与前文我国个人信息保护法制存在的主要困境密切相关。鉴于该条款的重要性与特殊性，同时为下文困境破解思路的展开予以准备，故有必要单独考察其存在的不足。

整体而言，《民法总则》第一百一十一条的条文内容稍显简略，款项数量稍显单薄。具体而言，主要存在以下四点局限：首先，个人信息的定义不明晰。《民法总则》采隐私与个人信息并行的“二元制”保护模式，该条未对个人信息的概念加以界定，实践中不利于对个人信息范围的认定与针对性保护。其次，权利的明文化不彻底。虽然该条第一句明示“自然人的个人信息受法律保护”，但未直接使用“个人信息权”之权利名称。在我国立法追求文字精准和语意明晰的场域下，“权”字表述的缺失使得“个人信息权”究竟是否是我国民法中一项独立权利的争议未得到妥善澄清和解决，亦不利于司法机关对该条款的解释与适用。再次，权利的内涵不完整。个人信息权乃是由资讯权、查阅权等若干子权利组成的权利群或曰权利束，《民法总则》第一百一十一条显然未涵盖个人信息权的丰富权能。最后，列举式的立法技术有碍个人信息的周延保护。该条第二句在个人信息保护的基本原则和个人信息处理方式两方面均采列举式规定。前者表现为，该条第二句前段通过规定获取个人信息应当“确保信息安全”从而明确了信息安全原则，但对于个人信息立法保护领域广为接受的信息质量原则、目的限制原则等基本原则只字未提。后者表现为，该条第二句后段列举了“收集”“使用”“加工”“传输”“买卖”“提供”“公开”这七种个人信息处理方式，既未提及个人信息处理的其他方式例如“互联”“比对”，亦未在条文中使用“等”字，故有挂一漏万之嫌。

四、我国个人信息保护立法的路径走向分析

(一)分阶段实现个人信息权及其子权利的法定化与精细化

个人信息权作为一种新型权利，是指自然人依法对其个人信息所享有的控制和支配并排除他人侵害的权利[17]。该权利体现了人格特征，承载了人格利益[18]，在性质上应属一项独立的积极性具体人格权[19]。我国现有立法缺乏个人信息保护完整的请求权基础，亦未采用“个人信息权”的权利名称，如何实现个人信息权的完全法定化是我国个人信息法律保护进程中亟待解决的首要问题。对此，可分解为三个阶段。

1.第一阶段：个人信息权的彻底明文化

借助民法典编纂契机和2020年民法典整合时部分条文之修订机会，应将《民法总则》第一百一十一条“自然人的个人信息受法律保护”修订为“自然人的个人信息权受法律保护”，或仿照该法第一百一十条的表述明示“自然人享有个人信息权”，同时对个人信息的概念予以明确界定。

一方面，个人信息权的彻底明文化具有可行性。无论是《网络安全法》《居民身份证法》《刑法修正案(七)》《刑法修正案(九)》还是全国人大常委会《决定》和《民法总则》，均已将个人信息作为法律保护对象，因此既有规范直接或间接认可了个人信息作为权利客体的资格。另一方面，个人信息权的彻底明文化具有必要性。首先，有利于廓清我国个人信息立法保护的权利基础。我国既有规范在该问题上显示出模糊纠葛并与隐私权暧昧不明的态度，实现个人信息权法定化能够摆脱以传统隐私权为权利基础的局限性。其次，有利于为信息主体全面维护其信息权益提供法律依据。实践中若发生侵害个人信息权事件，受害人依据个人信息权能够获得比依据传统隐私权更为全面的救济。再次，有利于为我国将来制定《个人信息保护法》奠定民法基础。《个人信息保护法》的出台并非一蹴而就，在民法中确立个人信息权对于分阶段推进个人信息保护立法工作而言实属必要。最后，在民法而不是其他法律中确立个人信息权能够明确个人信息权的私权属性。不仅彰显出对个人信息所体现的人格自主和私人利益的重视，而且符合新时代民法扩展人格保护民事制度的历史潮流。

2.第二阶段：各项子权利的法定化

结合我国实情，在民法典中以少数条款对个人信息权予以彻底明文化之后，有两条路径可供实现个人信息权各项子权利的法定化。其一，在民法典人格权编或侵权责任编对各项子权利加以配置。但从已经开始的民法典分则各编分工来看，人格权独立成编的机会较小*参见中国民法学研究会：《中国法学会民法典分则各编课题组成立并有序开展工作》，2016年8月2日。，且侵权责任编虽可对各类人格权遭受侵害时如何救济提供保障，但似不宜对各类权利的内涵与行使本身做出规范。其二，为积极因应信息社会危机和有效保障信息主体权益，应在将来的《个人信息保护法》中完成对各项子权利的法定化。即在《个人信息保护法》中对查阅权、更正权、删除权、反对权、不受自动化决定约束权和损害赔偿权等诸项子权利的权利主体、权利内容、行使方式和限制条件等予以全方位的详细配置。

3.第三阶段：权能的精细化

个人信息权及其子权利权能的精细化受启于个人信息权在欧盟取得的最新发展。欧盟法院在2014年“谷歌/西班牙案”判决中确立了“被遗忘权(right to be forgotten)”，意指信息主体有权要求搜索引擎等互联网机构将其过时、不相关的个人信息或链接从互联网上予以删除[20]。2016年4月27日，欧洲议会和理事会正式通过《一般资料保护条例》(GENERAL DATA PROTECTION REGULATION)*该条例的英文全称为：REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL ON THE PROTECTION OF NATURAL PERSONS WITH REGARD TO THE PROCESSING OF PERSONAL DATA AND ON THE FREE MOVEMENT OF SUCH DATA, AND REPEALING DIRECTIVE 95/46/EC (GENERAL DATA PROTECTION REGULATION)。，该条例虽未重复欧盟法院判决对被遗忘权内容的阐述，但在其第十七条“Article 17 Right to erasure(‘right to be forgotten’)”中将被遗忘权之权利名称明文化，并附属规定于个人信息权中的删除权，扩展了个人信息权在21世纪互联网与大数据时代的意蕴，势必会对世界范围内各国与地区个人信息保护的立法与修法产生广泛影响。实质而言，欧盟此举一定意义上丰富了个人信息权中删除权的内涵与权能，是对删除权权能细化的一次实践。因此，面向未来，我国应积极考虑被遗忘权的本土化议题，即在实现个人信息权的彻底明文化和各项子权利的法定化之时或之后，着力于各项权能的精细化工作。这不仅是权利本位导向下丰富个体权利内涵的主观诉求，亦是准确把握个人信息保护法时代发展动向的客观需要。

(二)从内外两个层面实现个人信息保护法制体系化

1.内在体系层面：“人权保障”的理念定位

个人信息保护法制的内在精神理念与价值取向时时刻刻牵动和引导着外在具体制度规范的安排与设计。如何准确定位我国内地个人信息保护法制的内在理念，对于后续开展个人信息立法保护工作具有先决性影响。

对此问题，世界范围内关于个人信息保护立法的立法理念主要可分为两类：一类是以欧盟为代表的“信息保护基础上的人权保障”(或称“人权保障下的信息保护”)；一类是以美国为代表的“防止滥用基础上的自由流通”(或称“自由流通下的防止滥用”)[21]。

我国正处于信息社会建设的峰值期[22]，无论是公共部门运作还是私营实体发展均对各类信息包括个人信息高度依赖并产生“信息为王”的观念，部分领域甚至达到“信息迷信”的程度。在此背景下，笔者认为我国应当将个人信息保护法制的内在理念定位为“信息保护基础上的人权保障”，主要理由有四。

从宪法基础来讲，我国宪法的“人权保障”理念为个人信息保护提供了空间。《宪法》第三十三条规定“国家尊重和保障人权”，第三十八条规定“中华人民共和国公民的人格尊严不受侵犯”，而以个人信息权为核心、以“人格权说”为理论基础的个人信息保护法正是为保障个体人格利益所设，因此这两项条款从宪法人权和基本权利层级为确定个人信息保护法制的精神理念提供了充分的解释张力[23]。

从社会机制来讲，我国缺少与美国相仿的社会自律机制。美国在私人领域依靠社会自律解决个人信息保护问题，建基于其发达的行业组织和成熟的自律传统，如美国五大信息专业组织计算机学会(ACM)、资料处理管理协会(DPMA)、电脑专业资格认证协会(ICCP)、在线隐私联盟(OPA)和网络隐私认证计划(OP)通过大量的个人信息处理和保护规范为个人信息保驾护航[24]。若我国在缺乏此等自律机制的情形下以自由流通为理念，任由个人信息被肆意收集和处理，则不免偏颇，且有陷于早前工业化进程中环境保护问题上“先污染，后治理”困境之虞。

从权利本位来讲，“信息保护基础上的人权保障”理念更契合我国信息主体的权利享有与实现。我国从古至今，民众的权利意识较为淡薄，公共部门的行政权力常有越界倾向[25]，若仅倡导“自由流通下的防止滥用”，不仅将对个人信息的保护归入消极被动的防御，而且无益于现代中国从义务本位向权利本位的转型。故此，我国将个人信息保护法制的根本价值取向厘定为“信息保护基础上的人权保障”，对于塑造信息主体权利观念、推动信息主体参与控制个人信息进而落实我国权利本位导向至关重要。

从长远功效来讲，“信息保护基础上的人权保障”理念更有助于政府公信力和企业信用价值的提升。相较于自由流通而言，人权保障有时被认为不利于基于信息统计和信息分析而做出政府决策和企业决断，一定程度上会干扰政府和企业在信息时代的有效运转。这种观点看似在为社会功效考量，实则囿于偏颇之嫌而属误解，其未看到个人信息保护中的“人权保障”价值取向的设定与达成更利于社会的长足发展。对于政府等公共部门而言，以人权保障的价值理念处理个人信息保护工作不仅不会阻塞自身运作，反而会策励其深入完善自身个人信息保护机制，从而提升政府信息工作的公信力、助推政府工作顺利开展。对于企业等私营实体而言亦是如此，无论是信用商业品牌打造还是电子商务经济腾飞，都离不开技术进步和信息发掘，更离不开人权保障理念的指导和基于此而设的严格的个人信息保护举措。唯有如此，才能切实保证消费者的消费信心与安全感，才能在深层次为长远拉动经济内需有所贡献，正如2008年全球金融危机爆发后，时任国务院总理温家宝针对国际国内经济发展问题所提之良方：“信心比黄金和货币更重要”[26]。

2.外在体系层面：“软硬结合”的规范补缺

在内在理念的指引下，个人信息保护法制外在规范的补缺关涉具体的制度填充与内容安排。具体而言，我国宜从以下几个方面对个人信息保护法制外在规范的缺陷予以弥补。

首先，在民法典纳入个人信息权后适时出台《个人信息保护法》专法。制定专门的《个人信息保护法》契合世界范围内立法的实践趋势，更是对我国面临的信息时代挑战和本土保护需求的回应与关照。值得注意的是，将个人信息权的民法典作为制定《个人信息保护法》的前置策略属于较为理想的应然选择。《民法总则》出台以前，个人信息权能否法典化未达成一致共识，在寄望立法者远见卓识的同时需认识到，即使个人信息权未能入典，适时出台《个人信息保护法》专法仍是完善我国个人信息保护法制的不二选择。《民法总则》出台以后，我国实现了个人信息权法定化的第一步，亦为日后《个人信息保护法》的制定提供了良好开端并奠定了民法基础。

其次，在《个人信息保护法》中设计统一完整的具体保护机制。参酌相对成熟立法例所建构的体系与内容，我国的《个人信息保护法》至少应当在以下七个方面有所作为。

第一，合理界定个人信息保护法适用范围。对于规范主体而言，应将信息控制者涵括所有公共机关、私营实体和个人，同时将信息主体仅限定为自然人。对于保护客体而言，应采“识别说”和“混合式”对个人信息加以定义，将所有可直接或间接识别个人身份的信息纳入法律保护范畴。

第二，全面订定个人信息保护法基本原则。在明确订立尊重基本权利原则、透明处理原则、合法善意原则、目的限制原则、适度原则、信息品质原则、保存时限原则和信息安全原则等八项基本原则的基础上，将基本原则的内涵贯穿于法律规范的其他各个角落。

第三，着力构建个人信息主体权利体系。将个人信息权各项子权利——包括资讯权、查阅权、更正权、删除权、封锁权、反对权、不受自动化决定约束权、保密权和损害赔偿权——全方位构建于《个人信息保护法》的同时，为信息主体行使该等权利的条件、方式、限制和后果列明规则。

第四，明确个人信息跨境转移的条件。“我国目前尚未就个人信息保护进行专门立法，对于个人信息跨境转移的限制也极为有限”[27]，因此原则上仅允许个人信息被依法转移至其法律体系能够确保适当保护程度的国家和地区，并规定相应的例外条款。

第五，重视对个人信息互联的规管。原则上应仅在法律许可或个人信息保护机关许可的情况下，方可将一个信息控制者信息库的信息与其他一个或多个信息控制者一个或多个信息库的信息相联系与比对、或将同一信息控制者但目的不同的信息库相联系与比对。

第六，确立个人信息处理的通知机制与许可机制。根据不同信息处理行为风险程度高低，分别规定信息控制者向个人信息保护机关履行通知或申请许可义务，同时在法定或个人信息保护机关决定的情形下得豁免或简化某些通知与申请许可义务。

第七，健全违反个人信息保护法的法律责任体系。民事责任层面，将个人信息侵权损害赔偿责任归责原则设定为无过错责任原则，损害赔偿范围同时包括物质损害和精神损害。行政责任层面，对于既遂、未遂和故意、过失的行政违法行为均予处罚。刑事责任层面，为具有严重社会危害性的其他类型个人信息违法行为设定具体罪名并细化相应刑期的量刑，在《刑法修正案(九)》的基础上补充刑法有关个人信息犯罪规定的不足。

最后，在特定领域制定配套法律与规范辅助《个人信息保护法》的落实。统筹运用具有法律效力的“硬法”和不具有法律效力的“软法”[28]。一方面，由立法者针对不同的事务领域制定相应的个人信息保护特别法，由国家强制力保证实施。另一方面，由将来的个人信息保护主管机关根据实务需要和不同行业界别特点，发布内容更为具体和细致的指引、指南和意见书等指导性文件，以加深民众和社会各界对个人信息保护法的理解、优化个人信息保护法在实践中的适用效果。

(三)以统一式路径实现个人信息保护行政主管机关专责化

“徒法不足以自行。”欠缺个人信息保护行政主管机关监察与协调的个人信息保护法将会成为一纸空文。整体而言，主管机关的设置可分为“分散式”主管机关路径(即由不同行业的主管机关各自负责本行业的个人信息保护工作)和“统一式”主管机关路径(即由一个专职机关统一负责所有领域的个人信息保护工作)。

我国目前在实践中采前者。2015年，工业和信息化部下属的电信管理局更名为信息通信管理局，被赋予在电信和互联网行业领域保护个人信息的职责[29]，但该职责处于未有作为的虚化状态；消费者保护领域依《消费者权益保护法》由“有关行政部门”负责个人信息保护工作，但无从明确具体机构为何；此外，备受关注的国家互联网信息办公室的职责范围本不包括个人信息保护[30]，仅在《网络安全法》颁布后获得一定的网络安全“统筹协调”权限，并非专职负责个人信息保护。同时，在人手处理个人信息的诸多领域甚至无相应机关规管保护。因此，为有效落实与执行个人信息保护法制，笔者认为，我国宜采纳“统一式”主管机关路径，主要理由有三。

统一式路径的专责机关利于统一事权、明晰权责。“分散式”路径下的多头并管实质等同于无人去管，各机关往往会因执法态度各异和事权无法统一而使个人信息保护法陷于实效无从发挥之“死法”境地[31]。而“统一式”路径下的专责机关因其事权一体且权责清晰，更利于个人信息保护法保持“活法”姿态从而策进其社会功效之实现。

统一式路径的专责机关更利于保障信息主体权益，减轻法院工作负担。互联网时代，个人信息违法和侵权事件呈井喷式爆发，个人信息的保护阶段必须提前、保护方式必须扩展。只有通过专责机关事前监察、事中调控、事后调查与处罚相结合的途径，方能全方位和多角度保障个人信息主体权益免遭侵害并丰富其在遭受侵害后可供选择的救济路径。此外可以预见的是，若将大量潜在和显在的个人信息保护工作通过专责机关分流处理，亦可为已采取立案登记制且负荷量巨大的我国法院减轻不少工作负担。

统一式路径的专责机关是世界范围内多数国家与地区的通行做法。在已经颁行个人信息保护法的国家和地区，大都选择通过专责机关监察与执行该法律，代表者如欧盟大部分国家，亚洲的日本、韩国、新加坡和我国香港地区，美洲的加拿大，以及澳洲的澳大利亚和新西兰等。即使是当前正在采用“分散式”路径依靠不同行业“目的事业主管机关或直辖市、县(市)政府”*参见我国台湾地区的“个人资料保护法”第二十二条。规管个人信息保护工作的我国台湾地区，在对澳门特别行政区个人资料保护办公室和香港特别行政区个人资料(私隐)专员公署考察后，亦积极考虑改采“统一式”路径，认为：对内而言，“采取单一专责机关之立法模式，以便能有效监管个人资料保护制度之运作，由专责机关作出法律解释与相关实务指引，并能对个案之投诉与检举作出处分，不仅可增进处理效率并能收事权统一之效，且在预算与人力配置妥当之情况下，始能将个人资料保护之相关推行、宣导工作细致化”；对外而言，“在今日个人资料跨境传输频繁发生的情况下，对外交流亦宜由个人资料保护专责机关担任统一对外窗口，借由与他国或国际组织间之经验分享，与国际个人资料保护制度接轨，并健全我国之个人资料保护制度”[32]。

五、结语：“两条腿前行”

中国信息社会的长远建设无疑需要两条腿协力支撑，数字经济和数据产业的强劲发展不能掩盖个人信息立法保护的迫切需求，而保有某些公法特征的个人信息保护法亦不能掩盖其肇端于人格权法的私法本质属性。“私法的基本概念是人”[33]，对私权的保障和人性需求的关怀乃是私法的根本任务[34]。《民法总则》个人信息保护条款的确立具有里程碑意义，但仍存在应予修整的局限。我国在民法典编纂和信息社会建设进程中：一方面，应在民法典实现个人信息权彻底明文化之后逐步实现各项子权利法定化与权能的精细化；另一方面，应以“信息保护基础上的人权保障”定位内在理念、以《个人信息保护法》及配套法规补缺外在规范，实现个人信息保护法制的体系化；同时，为确保法制监察与协调应选择“统一式”路径实现个人信息保护主管机关专责化。唯有如此，方能真切体现对个体私权的终极保障与对人性尊严的终极关怀[35]。亦唯有如此，方能有效确保中国信息社会在浮躁的数字经济氛围和激荡的信息强国战略中两条腿稳步前行。

[1] 香港法律改革委员会.有关保障个人资料的法律改革[R].香港：香港法律改革委员会，1994：8-9.

[2] 齐爱民.个人信息保护法研究[J].河北法学，2008(4)：16.

[3] SIMITIS S.Reviewing Privacy in an Information Society[J].University of Penn Sylvania Law Review,1987(77):707.

[4] NUGTER A. Transborder Flow within the EEC[M]. Kluwer: Computer Law Series,1990:204.

[5] 国家信息中心信息化研究部“信息社会发展研究”课题组.中国信息社会发展报告2015[J].电子政务，2015(6)：20.

[6] 周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法研究[M].北京：法律出版社，2006:1.

[7] 齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿[J].河北法学，2005(6)：2-5.

[8] 赵秉志.《刑法修正案(七)》的宏观问题研讨[J].华东政法大学学报，2009(2)：107.

[9] TZANOU M.Is data protection the same as privacy? An analysis of telecommunications’metadata retention measures[J].Journal of Internet Law,2013(9):26.

[10] 最高人民法院中国应用法学研究所.人民法院案例选：第4辑[M].北京：人民法院出版社，2011：96.

[11] 张建文，高完成.司法实践中个人信息的保护模式及其反思——以隐私权的转型为视角[J].重庆邮电大学学报(社会科学版)，2016(3)：27.

[12] 张建文.隐私权的现代性转向与对公权力介入的依赖[J].社会科学家，2013(6)：11.

[13] 韩大元，王建学.基本权利与宪法判例[M].北京：中国人民大学出版社，2013：138.

[14] 杨立新.人格权法[M].北京：法律出版社，2015：258.

[15] 王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学，2013(4)：62.

[16] 朱岩.社会基础变迁与民法双重体系建构[J].中国社会科学，2010(6)：154-156.

[17] 张振亮.个人信息权及其民法保护[J].南京邮电大学学报(社会科学版)，2007(1)：41.

[18] 王利明.论个人信息权在人格权法中的地位[J].苏州大学学报(哲学社会科学版)，2012(6)：71.

[19] 杨立新，扈艳.《中华人民共和国人格权法》建议稿及立法理由书[J].财经法学，2016(4)：52.

[20] WEBER R H. On the Search for an Adequate Scope of the Right to Be Forgotten[J].Journal of Intellectual Property.Information Technology and Electronic Commerce Law,2015(6):2.

[21] 洪海林.个人信息保护立法理念探究——在信息保护与信息流通之间[J].河北法学，2007(1)：108.

[22] “中国信息社会测评研究”课题组.中国信息社会建设十大趋势[N].人民邮电报，2013- 09- 09(6).

[23] 姚岳绒.论信息自决权作为一项基本权利在我国的证成[J].政治与法律，2012(4)：72.

[24] 蒋坡.国际信息政策法律比较[M].北京：法律出版社，2001：449- 450.

[25] 梁慧星.靠什么制约公权力的滥用？[J].时代法学，2004(3)：4.

[26] 李星佳，王星桥.信心比黄金和货币更重要——记温家宝总理与美国经济金融界人士座谈美国金融危机[N].人民日报(海外版)，2008-10- 01(3).

[27] 王楠.个人信息跨境转移的法律保护——以公司隐私规划为视角[J].重庆工商大学学报(社会科学版)，2016(1)：74.

[28] 罗豪才，宋功德.软法亦法[M].北京：法律出版社，2009：297.

[29] 中央编办调整工业和信息化部有关职责和机构[EB/OL].(2015- 07-10)[2017- 01- 05].http://www.scopsr.gov.cn/bbyw/qwfb/201507/t20150710_278816.html.

[30] 国家互联网信息办公室的主要职责[EB/OL].(2012- 01-20)[2017- 01- 08].http://www.scio.gov.cn/zhzc/9/6/Document/1086658/1086658.htm.

[31] 刘佐国.我国个人资料隐私权益之保护——论“电脑处理个人资料保护法”之立法与修法过程[J].律师杂志，2005(4)：46.

[32] 台湾地区“法务部”.考察澳门、香港“个人资料保护专责机构”报告[R].台北：台湾地区“法务部”，2013：51.

[33] 星野英一.私法中的人[M].王闯，译.北京：中国法制出版社，2004：20.

[34] 申卫星.中国民法典的品性[J].法学研究，2006(3)：78.

[35] 王利明.民法的人文关怀[J].中国社会科学，2011(4)：152.

(编辑：刘仲秋)

LegislationPracticeandPathTrendofPersonalInformationProtectioninChina

YANG Aoyu

(SchoolofLaw,TsinghuaUniversity,Beijing100084,China)

The production and technical change of computer and internet promote the human society from traditional industry society to modern information society. On the one hand, it strengthens the ability of society to use personal information; on the other hand, it increases the risk of personal information to be collected and disposed unjustifiably. Facing this background, China is in favor of legal protection for personal information, but it’s still in the stage of dispersive legal protection. Specifically speaking, the main problems of it contain the lack of entire legal basis for personal information right, and so on. To cope with the time challenges and respond the local demands, the ideal trend of China’s legislation of personal information protection contains three aspects. Firstly, personal information right and its sub-rights should be codified stage by stage; secondly, the legal protection of personal information should be systematized from internal and external layers; thirdly, the administrative authority of personal information protection should be specialized under the unified way.

personal information; General Provisions of Civil Law; personal information right; systemization; specialization

10.3969/j.issn.1673- 8268.2017.06.006

2017- 07- 04

教育部人文社会科学重点研究基地重大委托项目：新兴权利的基本问题研究(16JJD820031)；司法部国家法治与法学理论研究项目：新生权利的理论与实践问题研究(16SFB2001)

杨翱宇(1992-)，男，河南南阳人，民法学博士研究生，主要从事信息法学和民法学研究。

D923

A

1673- 8268(2017)06- 0042- 10