个人信息@@,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息@@。于信息主体@@自身而言@@,个人信息@@承载着信息主体@@的人格利益@@,并且与信息主体@@的其他人身@@、财产利益密切相关@@;于整个社会和国家而言@@,个人信息@@具有重要的社会管理价值和商业价值@@,并且与公共安全@@、国家安全密切相关@@。个人信息@@是信息社会中最为重要的信息资源@@,个人信息@@保护问题随着社会信息化而出现和深入@@。保护公民个人信息@@@@,实则是保障民生@@。我国自@@1994年@@接入国际互联网@@@@,个人信息@@保护始终是互联网@@法治建设的重要内容@@。当下@@,切实推进个人信息@@保护法治发展@@,应当立足于现有的个人信息@@保护法治框架@@,检省现有个人信息@@保护立法@@、执法@@、司法@@、研究等方面的不足@@。
(一@@) 我国个人信息@@保护法治建设成果@@
我国自@@2000年@@全国人大常委会@@颁布@@《全国人民代表大会常务委员会关于维护互联网@@安全的决定@@》开启了互联网@@立法进程以来@@,个人信息@@保护法治建设初见成果@@。十余年@@来@@,我国个人信息@@法治保护初见成果@@,约@@40余部法律@@、30余部法规以及@@200余部规章涉及到个人信息@@保护@@。
法律层面上@@,2012年@@《全国人民代表大会常务委员会关于加强网络信息保护的决定@@@@》是较为针对性的个人信息@@保护立法@@,该决定明确国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息@@,首次@@规定了个人信息@@保护遵循的合法@@、正当@@、必要等基本原则@@、网络实名制等基本制度@@,是我国现有个人信息@@保护的最高层级@@、最基础性的法律规定@@,奠定了后续个人信息@@保护的框架@@。最近的@@《网络安全法@@》中更是将公民个人信息@@保护作为网络信息安全的重要内容予以规范@@。
在刑事基本法层面@@,《刑法修正案@@(七@@)》增设@@“出售@@、非法提供公民个人信息@@罪@@”、“非法获取公民个人信息@@罪@@”,并在@@《刑法修正案@@(九@@)》中进一@@步完善统一@@为@@“侵犯公民个人信息@@罪@@”,从维护公民人身权利的角度严厉打击@@、遏制侵犯公民个人信息@@违法犯罪行为高发乱象@@。
在民事基本法层面@@,2009年@@《中华人民共和国侵权责任法@@@@》明确了隐私权作为独立的民事权利@@,一@@定程度上为侵犯公民个人信息@@事件中受害人寻求司法@@救济提供依据@@;在民事特别法方面@@,2013年@@新@@《消费者权益保护法@@》明确了消费者享有个人信息@@依法得到保护的权利@@、经营者收集和使用@@消费者个人信息@@应遵守的各项义务@@。2014年@@《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定@@》也对个人信息@@保护民事司法@@中的重要内容和典型情形进行了专门规定@@。
除了法律层面@@,大量的行政法规@@、部门规章也就个人信息@@保护问题进行了专门规定@@。其中较为典型的有@@,2005年@@中国人民银行发布的@@《个人信用信息基础数据库管理暂行办法@@》、2012年@@国务院@@《征信业管理条例@@》对个人信用信息的收集和使用@@进行了专门规范@@;2013年@@工信部@@《电信和互联网@@用户个人信息@@保护规定@@》对电信业务经营者@@、互联网@@信息服务提供者对个人信息@@的收集@@、使用@@、安全保障进行了详细规定@@;2014年@@国家卫计委员发布@@《人口健康信息管理办法@@(试行@@)》对人口健康信息的收集@@、使用@@等作出专门规定@@。
(二@@) 我国个人信息@@保护法治建设检省@@
从上面对我国现有个人信息@@保护法律建设成果的部分梳理来看@@,我国个人信息@@保护法治建设虽然@@初见成果@@,但也折射出我国目前@@个人信息@@法治保护的不足@@,主要体现在以下几个方面@@:
1. 个人信息@@保护立法缺少顶层设计@@
在全国人大常委会@@@@《关于加强网络信息保护的决定@@》之下@@,应当制定个人信息@@保护基本法对其规定予以细化和完善@@。但就个人信息@@保护法的立法模式选择@@,适宜进行综合立法模式的我国@@,尚未制定个人信息@@保护基本法@@。
比较法上来看@@,个人信息@@立法模式大致分为欧盟制定个人信息@@保护综合性成文法的综合立法模式和美国仅就行业或特殊问题进行特别立法的分散立法模式@@。两种立法模式在我国究竟何去何从@@,主要取决于我国的法治传统和既有法治框架@@。美国之所以采取分散立法模式@@,原因在于其已有的强大的隐私权法律体系@@,能够为个人信息@@的妥当保护@@,仅需要针对特殊行业或特殊问题进行专项立法@@。反观我国@@,虽然@@《侵权责任法@@》明确隐私权为独立的民事权利@@,但理论界和实务界多倾向于将隐私权理解为消极抵御的权利@@,隐私权仅仅是具体人格权之一@@@@,在个人信息@@保护方面的作为十分有限@@。再考虑到我国历来的成文法传统@@,欧盟式的综合立法模式更为可取@@,通过一@@部完善的个人信息@@保护基本法@@,对个人信息@@保护的立法宗旨@@、利益衡量@@、具体制度构建等进行全面的规定@@。虽然@@早在@@2003年@@,原国务院信息化办公室就曾着手个人信息@@保护法立法工作@@,第十一@@届全国人大常委会@@也将个人信息@@保护法纳入立法规划@@,但个人信息@@保护法至今缺位@@。
2. 尚未形成完整的个人信息@@保护法律制度@@
从前述对个人信息@@保护法治建设成果的部分梳理来看@@,在个人信息@@保护现实需要和立法部门的推进之下@@@@,虽然@@个人信息@@保护法律规范条文数量较多@@,但整体立法水平和规范内容有限@@,碎片化问题突出@@,重复性规定居多@@。
在我国现有个人信息@@保护法律法规中@@,全国人大常委会@@《关于加强网络信息保护的决定@@》是立法性质决定了只能是原则性和宣示性的规定@@,在其规定之下@@@@,由于个人信息@@保护法的缺位@@@@,各部门规章承担其对该决定细化的任务@@。《电信和互联网@@用户个人信息@@保护规定@@》、《个人信用信息基础信息数据库管理暂行办法@@》等部门规章一@@定程度上代表了当前@@我国个人信息@@保护的立法水平@@。从各部门规章的实质内容来看@@,仅仅是规定了个人信息@@保护的基本原则@@、个人信息@@处理义务等框架性内容@@,较之国际上成熟的个人信息@@保护法的规定来看@@,还缺乏个人信息@@的类型化@@、个人信息@@处理者义务与例外@@、个人信息@@主体@@基本权利@@@@、个人信息@@保护风险评估@@、个人信息@@安全泄露通知等全方位的制度规定@@,使得其适用性有限@@,不能为公民个人信息@@提供切实保护@@。
3. 个人信息@@执法@@和监管力度有限@@
完善的个人信息@@法治保护应当是包含民事@@、行政和刑事手段的综合性体系@@,其中民事手段旨在为个人信息@@受侵害的信息主体@@提供救济@@,刑事手段重在惩罚严重侵害他人个人信息@@的行为人@@,而有力的行政监管和执法@@对于建立个人信息@@保护秩序@@、事前预防个人信息@@侵害而言是不可或缺的@@。但就我国来看@@,有关个人信息@@的行政执法@@和监管力度有限@@。目前@@,我国多行政法规@@、部门规章都对各自主管范围内的个人信息@@保护事项的监管职权作出规定@@,赋予了各部门一@@定的执法@@权限@@,如同九@@龙治水一@@般的个人执法@@机构@@,造成长久以来个人信息@@保护行政执法@@存在多头管理@@、职权交叉@@、权限不明的弊病@@,也导致了个人信息@@保护监管缺位的实质后果@@。
(三@@) 个人信息@@保护法治发展展望@@
当前@@,个人信息@@保护法的缺位@@,无疑是我国个人信息@@保护一@@系列问题所在@@,但同时也为我国制定更加科学@@、完善的个人信息@@保护提供了契机@@。未来我国有望在深入观察互联网@@发展规律@@,以个人信息@@保护与利用平衡为导向@@,借鉴和吸收现有国内外立法的基础上@@,透过个人信息@@保护法的具体制度构建@@,包括个人信息@@保护基本原则@@、信息主体@@基本权利@@、个人信息@@处理基本规范与管理制度@@、个人信息@@多元共治体系@@、个人信息@@监管体制等方面@@,对个人信息@@保护作出更为妥当的制度安排@@。
作者@@:中国人民大学法学院教授@@、网络与信息法中心主任@@ 张新宝@@
作者@@:中国人民大学法学院教授@@、网络与信息法中心主任@@ 张新宝@@
