我國個人信息保護現狀及立法思考

李宏弢

（中國社會科學院，北京 100009）

現實生活中，個人信息無處不在。個人信息收集、處理及其利用自古有之，與人類社會息息相關，隨人類社會的發展而發展。傳統社會中，囿于科技發展等的限制，個人信息保護并未成為隱私權發展的滯障。現代社會，計算機技術、數字通信技術的發展，互聯網的普及使得個人信息的收集、處理以及利用更為方便快捷。隨著大數據開發應用的不斷深入和普遍化，大量個人信息泄露引發的人格侵害事件頻發，且呈多樣化態勢，個人信息陷入安全危機。個人信息的法律保護受到世界各國的高度關注。“國際上已有50多個國家和地區制定了個人信息保護相關法規和標準，以圖保證個人信息在經濟活動、虛擬空間中的安全。”[1]基于此而進行的學術研究與探討方興未艾。

而我國傳統文化中，權利尤其是個人權利的缺失，使得傳統社會中個人信息保護未引起足夠重視。隨著計算機廣泛應用，互聯網普及，我國網民占全世界網民的四分之一，是信息化程度普及率最高的國家之一，國內個人信息暴露和侵害現象較為嚴重。如近期的12306系統漏洞導致大量的購票人個人信息泄露事件。如購物、購房、求學、就業、旅游、住宿等，個人信息均可能被泄露。由此而帶來的信息侵權、詐騙等行為，威脅人們的個人權利，打破了人們的寧靜生活。然而，目前我國沒有系統、完善的個人信息保護法律制度，使得大部分人在權益受到侵害時，很難尋求法律的解決途徑。因此完善個人信息保護法律體系迫在眉睫。

隨著我國公民權利意識增強、信息技術進步帶來的信息社會發展、知識經濟逐漸占據經濟主導地位帶來的社會發展變遷，使得法律的社會經濟基礎發生結構性改變。學者對個人信息保護的關注與研究；現實中大量個人信息侵權事例以及案件的發生，司法實踐部門實務上的積累，都為建立適應我國國情的個人信息保護立法模式奠定了理論和實務基礎。基于此，本文就我國個人信息保護的現狀以及原因進行梳理，為我國個人信息保護的立法提供理論參考。

一、個人信息保護現狀

（一）個人信息的濫用與危機

人類社會從農耕社會、工業社會再到信息社會的發展，信息收集的手段也從單純的手工收集，發展到電腦收集、分類與識別，再到現如今的大數據分析處理，技術革新帶來的方便快捷讓人們在享受其利好的同時，也經歷其帶來的“痛楚”。信息時代，資訊革命迅速充斥著生活的每個角落。“在此階段，社會對信息的依賴越來越強。個人信息成為社會信息的一種重要資源。”[2]并且，信息社會中的信息已改變了存在方式，從附屬于物質和能源中剝離出來，成為獨立的資源。“信息在信息社會獲得了獨立，其經濟屬性得到了充分發揮，信息具有價值和交換價值，還可帶來附加值，已進入流通領域自由買賣，對信息的占有量是衡量一個企業市場力量的標準之一。”[2]個人信息作為信息的重要組成部分，其在社會交往中以及經濟生活中的經濟屬性越來越明顯。現如今，智能通信設備尤其是智能手機的普及使得電商等網絡手段的應用越來越廣泛。這使得個人信息也更容易被收集。而個人信息所具有的商業價值與商業利益，促生個人信息被頻繁濫用，且規模巨大、范圍甚廣。針對個人信息濫用，“中國個人信息保護的現狀與意識”課題組在《個人信息保護現狀調研報告》中，將個人信息濫用歸納為過度收集個人信息、擅自披露個人信息、擅自提供個人信息、非法買賣個人信息、超目的使用個人信息、保管不善、掌握的信息不準確、個人信息被冒用八個方面[3]。可見，個人信息安全已成為人們必須面對的一個社會問題。

個人信息危機的存在嚴重威脅著人們的個人利益、社會利益乃至國家安全，主要表現在：

第一，自然人的人格利益受到侵害。自然人的人格利益包括與自然人的生命、身體、健康、自由、尊嚴、名譽等相關利益，并與其相應的權利，構成了人格權。這種人格權是以權利人的人格利益為客體的權利。包括生命權、身體權、健康權、自由權、姓名權、名譽權、肖像權、隱私權等等。與人格權相關的還有人格尊嚴。人格尊嚴“是指作為一個‘人’所應有的最起碼的社會地位，及應受到社會和他人最起碼的尊重。換言之，所謂人格尊嚴，即把人真正當作‘人’”[4]。信息社會中，因個人信息獲取方便，致使生活于其中的人被置于“透明人”或“半透明人”境地；同時因個人信息所具有的價值，人被當成信息社會利益鏈上的商品，因此人已沒有完全意義上的隱私可言，不僅人格利益受到侵害，而且與人格利益相對應的人格尊嚴也處于危機狀態。

第二，財產利益受到侵害。信息社會中，個人信息不但具有人格權屬性，還因其具有的經濟利益而具有財產權屬性。這因為，現代社會中經濟活動作為人類社會的重要組成部分，隨著科技的進步，經濟活動范圍逐步擴大，傳統意義上的經濟模式被打破，最突出的表現就是網絡及電子商務的發展，使得“有一部分人格權所保護的客體也因而已經成為經濟活動的客體”[5]，于是，傳統的以保護人格利益為目的的人格權在信息社會具有了新內涵，并超出精神利益范疇，具有一定的經濟利益。這使得傳統的以客體不同而劃分的人格權與財產權區分度降低，那些能夠參與到經濟活動中，具有經濟利益，能夠為商業利用的人格權被我國臺灣學者黃立稱為“財產人格權”[6]。而只有能夠為法律允許和社會倫理接受的“財產人格權”才具有正當性。但現實中，有些利用人格權的經濟利益進行的違法行為已超出法律和倫理允許的限度，如未經允許而將他人的姓名和肖像用于商業活動，非法收集個人信息進行詐騙等等。這些違法行為不但造成名譽損傷，甚至還侵害人身財產利益。

第三，易造成信息失控局面。信息社會中，信息已成為主要財產。正如美國社會學家A.托夫勒所言：“在第三次浪潮中，我們仍需土地、機器這些有形財產，但主要財產已變成了信息。如果說股票是象征的符號，那么信息財產則是象征的象征，這樣一來，財產的概念面目全非。”①轉引自陳英：《信息產權與知識產權外延和內涵的沖突》，載《中國知識產權報》，2003年10月16日。因而對于個人信息的價值與使用價值，必將會被最大限度地開發和利用。尤其是在大數據時代，隨著互聯網的廣泛應用，人們通過網絡留下的上網痕跡、數據網絡運行中進行的安全監測、系統漏洞存在的安全隱患以及黑客的存在，使人們的個人信息不知不覺間被非法訪問、使用甚至篡改等。如筆者經常光顧某網站購買圖書，網站會根據購買信息，推送你可能感興趣或者喜歡的書籍。又如去年轟動世界的馬航MH370失聯事件，在無任何線索情況下，航行專家根據美國波音公司傳來的數據分析，最終確定了MH370的航線范圍。這是因為盡管失事飛機的各種通信設備均停止工作，但有一個無法人為關閉的信號會自動向其傳送數據，這些數據是飛機例行維護和監控程序的一部分。再如之前被用戶廣為詬病的蘋果公司的后臺定位系統，使手機持有人的行蹤盡在掌控之中。現實生活中，未經本人允許而非法收集、存儲、使用、買賣個人信息的行為大量存在，因此信息自決權成為一紙空文。個人對其信息無掌控能力，這種信息獲取與保護的不對稱狀態，易導致信息失控。

第四，正常的經濟生活和商業秩序受到破壞。由于信息具有商業價值，從前僅限于公共行政部門的信息采集如今已擴大到社會各個行業，尤其是商業機構掌握的個人信息甚至比政府部門掌握的還要詳實。精明的商家會根據消費者的年齡、性別、職業、學歷、收入、愛好等等進行有針對性的商品投放。但有些商家為牟取暴利，利用非法渠道獲取個人信息，由此催生了專門從事個人信息買賣的非法經營活動網站。這已經不是單純的個人信息侵權行為，而是嚴重違反商業秩序的違法行為，擾亂了正常經濟生活。

第五，易引發國家安全和公共安全危機。強大的網絡傳播能力拉近了不同地區間人的距離，但也拉近了危機。如今利用網絡進行詐騙的行為已具有跨地區性和跨國性特征，這種危機不僅威脅個人安全，更容易危及國際安全和公共安全，使得國家利益受到損害。最為典型的如斯諾登事件牽出的“棱鏡計劃（PRISM）”。此計劃是美國國家安全局自2007年開始實施的絕密電子監聽計劃。該計劃能對即時通信和既存資料進行深度監聽。受其監聽的內容包括個人聊天日志、存儲的數據、語音通信、文件傳輸、個人社交網絡數據。而監聽的對象包括任何在美國以外地區使用參與該計劃公司服務的客戶，或是任何與國外人士通信的美國公民。按照斯諾登的披露，中國是美國監聽的主要對象之一。美國針對中國進行了大規模的網絡進攻，把中國領導人和華為公司作為目標，還包括中國的商務部、外交部、銀行和電信公司等掌握大量重要國家信息以及個人信息的部門。如此龐大的監聽范圍和內容，不但置個人信息安全于無法保護之地，而且使得國家安全和公共安全受到嚴重威脅。

（二）個人信息受侵害原因

我國個人信息濫用以及頻受侵害的原因是多方面的，主要有：

第一，信息技術的快速發展使個人信息被泄露的風險加大。隨著信息技術的快速發展，互聯網普及，網絡電商崛起，云存儲器應用，使得個人信息的收集和處理成本更為低廉。小到注冊郵箱，盡管不需真實信息，但如果需要更高級別的網絡保護，就需提供個人真實信息，如身份證號碼、手機號碼等。目前推出的郵箱綁定手機業務，便是例證。而微博、微信公眾號等同樣被要求網絡實名制。網購、網上銀行等更需層層信息設置才能完成，這一方面是出于網絡安全考慮，但另一方面如果網絡管理一旦出現問題，就容易使個人信息泄露，個人信息受到侵害的風險加大。

第二，個人信息的經濟價值被商業化。信息社會，個人信息已成為主要財產形式。由于個人信息具有經濟價值，使得各商家紛紛搶占個人信息，可以說，誰掌握的客戶信息越多，誰就擁有更多的消費者。于是，各商家想盡一切辦法收集個人信息，使一些不法分子看到“商機”，非法收集、出售個人信息，從中漁利，個人信息成為“商品”并被不當利用的行為已極為普遍。

第三，公民個人信息保護意識不強。筆者曾經就目前的網絡安全以及個人信息安全進行過隨機調查，結果顯示，在被調查者中，對個人信息的重要性都能認同，但保護個人信息或者個人信息防范意識并不高。如填寫各種注冊信息時，常使用同一用戶名和密碼，或使用過于簡單易攻的密碼。利用第三方軟件進行交易等，由于不了解網絡安全而使個人信息陷入不安全狀態。又如微信朋友圈常出現的幫忙投票帖子，都是為了獲取個人信息，被訪者大都認為無所謂，幫朋友投票只是舉手之勞。再如手機短信的網址鏈接有可能就是釣魚網站，之前手機短信發送的同學聚會照片，就是病毒木馬程序，一旦點開網址，便會自動向通訊錄群發，不但手機持有人個人信息，連同通訊錄里的信息都會泄露。如此眾多利用個人信息進行的各種侵權行為確實需要人們提高防范意識。

第四，我國現有法律對個人信息保護滯后。盡管目前我國立法基本涵蓋社會生活的各方面，但隨著經濟快速發展，在經濟生活和經濟交往過程中出現的大量新情況，亟需立法進行規范和調整。立法的滯后，使得一些投機者得以鉆營。就個人信息保護而言，盡管學者早在十年前便提出了立法建議稿②如齊愛民教授2005年提出《中華人民共和國個人信息保護法示范法草案學者建議稿》；以周漢華教授為代表的研究小組在2006年對個人信息保護提出《個人信息保護法》專家意見稿等。，且關于個人信息保護立法的呼聲不斷高漲，但我國目前仍沒有制定專門的個人信息保護法。對個人信息的保護散見于憲法、法律、法規以及各級行政規范中，這種狀態不利于個人信息保護。

二、我國現有立法對個人信息保護的相關規定

如前所述，我國對個人信息保護的相關規定散見憲法、法律、法規和規范當中，保護的位階較低。個人信息保護立法相對于迅速發展的信息社會而言，嚴重滯后。從立法上來說，我國直接對個人信息進行保護的法律法規等數量極為有限。“1980—1999年出臺的法規以及各類規范中涉及個人信息保護的規定相對較少。從1999年開始，新制定的法規等規范中涉及個人信息保護的規定明顯增加。如部門規章類的數量從1999年一年出臺約10件到2006年一年出臺約40件，每年新制定的規范件數都達到了兩位數。”[3]近年來，盡管我國并未制定出高位階的法律，但有關個人信息保護的法律規定也出臺一些，用以規范個人信息安全。

（一）憲法中的相關規定

憲法作為我國的根本法，是制定其他部門法的依據。憲法規定公民人格尊嚴不受侵犯、公民的通訊自由和通信秘密受法律保護等，為個人信息在其他部門法中獲得保護提供了依據。

（二）其他法律中的相關規定

由于我國沒有一部系統的個人信息保護法，因此有關個人信息保護的規定散見在具體的法律條文中。如《居民身份證法》作為對個人信息保護規定較有針對性的法律，既規定了有關個人信息的保密義務、相應的違法責任條款，又對公民獲得司法救濟進行了明確規定。《刑法》第177條的“竊取、收買、非法提供信用卡信息罪”、第252條的“侵犯通信自由罪”、253條的“私自開拆、隱匿、毀棄郵件、電報罪；出售、非法提供公民個人信息罪；非法獲取公民個人信息罪”等，都是對個人信息犯罪行為應承擔刑事責任的規定。《民法通則》第100條規定公民享有肖像權、第101條規定的名譽權，公民的人格尊嚴受法律保護等。《侵權責任法》第2條、36條、61條、62條有關規定，為個人信息侵權的法律救濟提供了依據。《消費者權益保護法》第14條、29條的規定對經營者收集、使用消費者信息遵循的原則、經營者的責任等進行了規制。此外，針對特殊群體，如《未成年人保護法》針對未成年人的個人隱私、《婦女權益保障法》在保護婦女的隱私信息等方面進行了規定。針對特殊行業，《統計法》第15條規定了“屬于私人、家庭的單項調查資料，非經本人同意，不得泄露”，盡管范圍僅限于統計事務，但卻是我國在法律上明確規定保護個人信息（個人資料）的內容。

（三）法規中的相關規定

對個人信息進行法律規范的主要有《中華人民共和國計算機信息安全保護條例》《中華人民共和國電信條例》《中華人民共和國政府信息公開條例》《醫療機構病例管理規定》《銀行管理暫行條例》《最高人民法院關于審理旅游糾紛案件適用法律若干問題的規定》《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》《關于加強網絡信息保護的決定》《互聯網信息服務管理辦法》《互聯網電子郵件服務管理辦法》《電信和互聯網用戶個人信息保護規定》等。這些法規多數屬于行業規范，可操作性不強，效力位階相對較低，與我國信息社會的快速發展不相適應。

（四）地方性法規

以地方性法規形式對個人信息進行立法，雖然不及法律和行政法規效力位階高，但因其立法程序相對簡單，立法周期相對較短，實踐中能夠與現實緊密結合而易被接受。在個人信息保護方面，廣州市于2002年發布的《政府信息公開規定》是我國首個與個人信息相關的地方性法規。上海市2003年通過《上海市個人信用征信管理試行辦法》，對個人信用信息的采集、處理、提供等作了較為詳細的規定。2004年通過的《上海市政府信息公開規定》對于涉及個人隱私的政府信息免于公開。而2008年通過的《上海市促進電子商務發展規定》則對企業在從事電子商務的過程中采集、管理和利用個人信息進行了規定。

我國個人信息保護法規的這種散布狀態，一方面，使得個人信息法律保護問題較多，另一方面，可操作性不強。由于沒有統一的個人信息保護法，使得個人信息權屬無法確認，有關個人信息的性質、權利的主體、信息收集處分利用過程中應遵循的原則、侵權責任的認定、舉證責任的分配以及法律監督機制等無法確認，使個人信息侵權行為有機可乘。

三、完善個人信息保護立法迫在眉睫

通過上述分析，我國完善個人信息立法迫在眉睫。目前世界上有多個國家和地區制定了專門的個人信息保護法律法規，如瑞典的《數據法》（1973），美國的《隱私法》（1974）、《電子通信隱私法》（1986）、《互聯網保護個人隱私的政策》（1999），英國的《數據保護法》（1984），日本的《個人信息保護法》（1988），歐盟的《關于保護自動化處理過程中個人數據的條例》（1980）、《個人數據保護指令》（1995）、《電子通訊數據保護指令》（1996）、《Internet個人隱私保護的一般原則》（1999）等。而世界經濟合作發展組織（OECD）頒布的《隱私保護和個人數據跨國流通指導原則》（1980）規定了個人信息保護的八項原則③八項原則為：收集限制原則、信息質量原則、目的明確化原則、利用限制原則、安全保護原則、公開原則、個人參加原則和責任原則。參見郎慶斌、孫毅、楊莉：《個人信息保護概論》，北京：人民出版社，2008年，第6頁。，這八項原則后來成為各國一致遵循的原則，各國在此基礎上制定本國的個人信息保護法規范。就我國而言，國際上的成熟做法為盡快完善個人信息保護立法提供了藍本，我國應在遵循個人信息保護的八項原則基礎上，制定《個人信息保護法》，規范個人信息的權利屬性、立法模式、保護原則、法律責任，完善我國個人信息保護制度。

［1］郎慶斌,孫毅,楊莉.個人信息保護概論[M].北京:人民出版社,2008.

［2］齊愛民.拯救信息社會中的人格:個人信息保護法總論[M].北京:北京大學出版社,2009.

［3］“中國個人信息保護的現狀與意識”課題組.個人信息保護現狀調研報告[C]//中國社會科學院法學所編.中國法治發展報告NO.7（2009）.北京:社會科學文獻出版社,2009.

［4］梁慧星.民法總論[M].北京:法律出版社,1996.

［5］程合紅.商事人格權論:人格權的經濟利益內涵及其實現與保護[M].北京:中國人民大學出版社,2002.

［6］黃立.民法債編總論[M].北京:中國政法大學出版社,2002.