個人信息保護的中國范式

中圖分類號：G250 文獻標識碼：A 文章編號：1003-1588（2025）08-0130-03

1個人信息保護制度的生成邏輯：社會發(fā)展視角下的制度成長

個人信息安全保護主要有以歐盟為代表的立法保護模式、以美國為代表的行業(yè)自律模式和以日本為代表的綜合保護模式[。我國個人信息保護制度是與網(wǎng)絡(luò)數(shù)字經(jīng)濟的發(fā)展與大數(shù)據(jù)時代同步成長的。在改革開放之初一個相當(dāng)長的歷史時期內(nèi)，基于經(jīng)濟發(fā)展、社會認知、政府管理等各種主客觀因素的制約，我國沒有有關(guān)個人信息的專門立法，“個人隱私”保護的規(guī)定也只散見于個別法律法規(guī)中。

1.1刑法規(guī)制：網(wǎng)絡(luò)安全時代的立法探索

世紀之交，隨著網(wǎng)絡(luò)信息建設(shè)的不斷推進和網(wǎng)絡(luò)信息服務(wù)的發(fā)展，非法侵入網(wǎng)絡(luò)郵箱等網(wǎng)絡(luò)信息安全問題日益突出，網(wǎng)絡(luò)信息違法犯罪時有發(fā)生，嚴重危害國家安全和社會公共利益。為此，2000年12月，全國人大常委會通過《關(guān)于維護互聯(lián)網(wǎng)安全的決定》，將“侵犯公民通信自由和通信秘密”規(guī)定為犯罪，這是我國運用刑事法律手段保護公民個人信息的開始。

入世以后的中國，“移動改變生活”“短信”“支付寶”逐漸成為人們最便捷的聯(lián)系方式和新興交易平臺。同時，非法獲取、出售個人通信信息的違法行為頻繁發(fā)生，嚴重危害社會公共利益和公民通信安全。2009年2月，全國人大常委會通過《中華人民共和國刑法修正案（七）》，對侵犯公民個人信息的行為依據(jù)“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”定罪處罰[2]

2010年以來，伴隨智慧城市建設(shè)和“互聯(lián)網(wǎng) + ；的發(fā)展，物聯(lián)網(wǎng)、云計算和移動終端的廣泛應(yīng)用，網(wǎng)絡(luò)信息違法行為爆炸式增長，給國家、社會和公民個人的利益造成巨大威脅。為強化網(wǎng)絡(luò)信息執(zhí)法活動，2012年12月全國人大常委會通過《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，明確規(guī)定“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”[3]，從國家立法層面確立我國個人信息保護“合法、正當(dāng)、必要\"的基本原則。2015年8月，全國人大常委會又通過《中華人民共和國刑法修正案（九）》，對出售、非法提供、非法獲取等侵犯公民個人信息的行為以“侵犯公民個人信息罪”定罪處罰。

1.2單項立法：部門和地方的立法嘗試

在刑法規(guī)制的同時，借鑒歐洲的立法保護方法，我國開始嘗試制定個人信息保護立法。2012年，為遏制“人肉搜索”等嚴重侵害個人信息的違法行為，廈門市制定《廈門市軟件和信息服務(wù)業(yè)個人信息保護管理辦法》，第一次用地方性法規(guī)的手段規(guī)范個人信息處理行為。2013年，工業(yè)和信息化部制定《電信和互聯(lián)網(wǎng)用戶個人信息保護管理規(guī)定》，首次明確“個人信息”的法律概念，重申合法、正當(dāng)、必要的個人信息保護原則，為以后立法中“個人信息”概念的界定提供了規(guī)范參考。

1.3專門立法：構(gòu)建立法保護和技術(shù)規(guī)范保護相結(jié)合的個人信息保護范式

2020年前后，移動互聯(lián)網(wǎng)加速普及，我國正式進人“全民互聯(lián)”時代。在這個處處都是攝像頭，人人皆是信息發(fā)布平臺的自媒體時代，公民個人隨時可能成為個人信息的“透明人”，每個人也都可能成為“網(wǎng)暴”“社死”的受害者。面對日益復(fù)雜嚴峻的個人信息保護形勢，統(tǒng)一網(wǎng)絡(luò)信息安全立法、回應(yīng)社會關(guān)切、構(gòu)建有中國特色的個人信息保護制度體系，成為應(yīng)對大數(shù)據(jù)時代新問題新挑戰(zhàn)的迫切需求。為此，我國實施了兩步走的立法戰(zhàn)略：首先，2020年通過的《中華人民共和國民法典》（以下簡稱《民法典》）對個人信息權(quán)利做出規(guī)范，賦予個人信息主體同意權(quán)、查閱權(quán)、復(fù)制權(quán)、異議權(quán)、更正權(quán)、刪除權(quán)等一系列信息權(quán)利，完善個人信息民事法律保護體系，為相關(guān)立法奠定了民事基本法律依據(jù)[4]。其次，以網(wǎng)絡(luò)安全、數(shù)據(jù)安全立法為先導(dǎo)，制定頒布《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》），構(gòu)建我國信息安全“三法一規(guī)范”制度體系。2016年，全國人大常委會審議通過《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》）。2021年，全國人大常委會先后審議通過《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）和《個人信息保護法》，加上作為信息安全技術(shù)國家標準的《信息安全技術(shù)個人信息安全規(guī)范》，我國以“三法一規(guī)范”為核心的個人信息保護制度體系正式形成。

2個人信息保護的中國模式：立法保護 + 技術(shù)規(guī)范保護

2.1以《個人信息保護法》為核心的立法保護

2.1.1《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》是個人信

息法律保護的基礎(chǔ)。《網(wǎng)絡(luò)安全法》從維護國家網(wǎng)絡(luò)空間主權(quán)出發(fā)，創(chuàng)設(shè)三重網(wǎng)絡(luò)安全管理制度：一是網(wǎng)絡(luò)安全等級制度，二是網(wǎng)絡(luò)應(yīng)急處置制度，三是網(wǎng)絡(luò)安全認證、檢測、風(fēng)險評估制度；確立網(wǎng)絡(luò)安全共同治理原則，推動建立國家網(wǎng)絡(luò)安全標準體系，規(guī)范網(wǎng)絡(luò)用戶實名制度，明確網(wǎng)絡(luò)監(jiān)管部門職責(zé)和網(wǎng)絡(luò)經(jīng)營者的權(quán)利義務(wù)，依法保障網(wǎng)絡(luò)運行安全。《數(shù)據(jù)安全法》立足于國家總體安全大局，通過依法規(guī)范數(shù)據(jù)處理活動，保障網(wǎng)絡(luò)數(shù)據(jù)安全。在數(shù)據(jù)管理方面，我國建立數(shù)據(jù)分級分類管理制度、數(shù)據(jù)服務(wù)行政許可制度，推動建立國家數(shù)據(jù)安全標準體系；在數(shù)據(jù)安全管理方面，我國建立數(shù)據(jù)安全認證、風(fēng)險評估、監(jiān)測預(yù)警、應(yīng)急處置、風(fēng)險報告制度；在數(shù)據(jù)安全監(jiān)管方面，我國建立中央國家安全委員會統(tǒng)籌協(xié)調(diào)下的行業(yè)數(shù)據(jù)監(jiān)管機制。

2.1.2《個人信息保護法》是個人信息法律保護的核心。首先，該法進一步完善“個人信息”的法律概念，改變了《網(wǎng)絡(luò)安全法》所采用的“定義 + 列舉”規(guī)范模式，為實踐中“個人信息”概念內(nèi)涵和外延的發(fā)展預(yù)留了空間。其次，該法拓展個人信息處理的原則和規(guī)則，在《網(wǎng)絡(luò)安全法》“合法、正當(dāng)、必要”原則的基礎(chǔ)上進一步發(fā)展為“合法、正當(dāng)、必要、誠信、公開、透明和最小范圍收集”原則；在依法保障個人信息權(quán)利的同時，促進信息數(shù)據(jù)合理利用，推動數(shù)字經(jīng)濟發(fā)展；確立以“告知—同意”為核心的個人信息處理規(guī)則，規(guī)范個人信息處理行為[5]。在此基礎(chǔ)上，該法優(yōu)化個人信息保護監(jiān)管體制，突出國家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)職能，明確其他部門的監(jiān)管職責(zé)；建立個人信息分類保護制度，嚴格限定敏感個人信息處理的法律要件。《個人信息保護法》最大的亮點在于其充分體現(xiàn)了對個人信息的系統(tǒng)保護，對保護什么、誰來保護以及怎么保護的問題進行了全方位的制度安排。在個人信息收集方面，該法嚴格規(guī)范個人身份識別、個人圖像采集設(shè)備的安裝使用，采集的個人信息只能被用于維護公共安全目的；在個人信息監(jiān)管方面，該法明確信息監(jiān)管部門的法定職責(zé)，嚴格規(guī)范監(jiān)管部門在宣傳教育、投訴舉報、安全測評、調(diào)查處理等活動中的法定義務(wù)，規(guī)范信息主管部門依法正確履行職責(zé)。

2.2以《信息安全技術(shù)個人信息安全規(guī)范》為核心的技術(shù)規(guī)范保護

在技術(shù)規(guī)范建設(shè)領(lǐng)域，2006年大連市軟件行業(yè)協(xié)會就依據(jù)我國相關(guān)信息安全管理法規(guī)，參照歐盟《關(guān)于隱私保護與個人資料跨國流通的指針的建議》和日本JISQ15001技術(shù)規(guī)范，制定了《大連軟件及信息服務(wù)業(yè)個人信息保護規(guī)范》，實施信息安全認證機制[6。2017年，在工信部《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》的基礎(chǔ)上，全國信息安全標準化技術(shù)委員會制定發(fā)布《信息安全技術(shù)個人信息安全規(guī)范》（GB/T35273—2017），從技術(shù)標準的角度規(guī)范個人信息的收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等信息處理行為，為個人信息處理者提供了可操作性強的規(guī)范指引，也為個人信息保護實踐中的立法、執(zhí)法、司法工作提供了規(guī)范參考[7]

近年來，人體生物特征識別、視頻監(jiān)控、數(shù)字貨幣、網(wǎng)絡(luò)金融等技術(shù)應(yīng)用日益廣泛，也對個人信息保護提出了新的挑戰(zhàn)。為應(yīng)對日益復(fù)雜多樣的信息威脅，我國也加快了制定信息技術(shù)規(guī)范的步伐。據(jù)統(tǒng)計，截至2024年年底，全國信息安全標準化技術(shù)委員會已制定發(fā)布的網(wǎng)絡(luò)信息安全技術(shù)標準達378個，從信息技術(shù)的角度全面規(guī)范個人信息處理行為，保障公民個人的合法權(quán)益。

3個人信息保護的優(yōu)化路徑：立足實踐開放包容面向未來

3.1立足實踐：優(yōu)化我國立法保護和技術(shù)規(guī)范保護相結(jié)合的個人信息保護制度

在個人信息保護的發(fā)展過程中，采用最新的技術(shù)防護手段、制訂嚴格的技術(shù)保護方案必不可少，但技術(shù)的發(fā)展具有兩面性，技術(shù)進步的同時技術(shù)風(fēng)險也會增加，這是事物發(fā)展的邏輯宿命。因此，信息技術(shù)規(guī)范在個人信息保護制度體系中只能處于從屬地位，立法保護才是最主要的保護方式[8]。在二者的規(guī)范效力上，立法保護主要體現(xiàn)為強行性法律規(guī)則，對行為人做出“剛性”約束；技術(shù)規(guī)范主要體現(xiàn)為任意性技術(shù)規(guī)則，為行為人提供“柔性”技術(shù)參考。二者剛?cè)嵯酀餐苿游覈鴤€人信息保護制度的良性發(fā)展。

3.2開放包容：吸收其他國家的有益經(jīng)驗

我國個人信息保護制度體系的構(gòu)建是一個開放的過程，既吸收了其他國家的有益經(jīng)驗，也順應(yīng)了世界個人信息保護的發(fā)展趨勢。我國前期主要借鑒歐盟和日本的立法經(jīng)驗，隨著市場經(jīng)濟的發(fā)展和行業(yè)協(xié)會的成長，考察、學(xué)習(xí)以美國為代表的行業(yè)自律經(jīng)驗，創(chuàng)建我國的個人信息保護行業(yè)自律規(guī)范體系，也成為未來我國個人信息保護制度發(fā)展的參考選項。

3.3面向未來：持續(xù)優(yōu)化我國個人信息保護立法、執(zhí)法、司法體系

《個人信息保護法》實施已近4年，從相關(guān)機構(gòu)發(fā)布的調(diào)研報告看取得了良好的社會和法律效果[9]。但技術(shù)和制度的發(fā)展是一個動態(tài)的過程，只有不斷完善發(fā)展才能保持持久的生機和活力。要想真正實現(xiàn)“保護個人信息權(quán)益，規(guī)范個人信息處理活動，促進個人信息合理利用”的立法目的，我國就要密切追蹤信息社會發(fā)展前沿，持續(xù)優(yōu)化信息保護立法、執(zhí)法和司法體制機制；進一步加強信息保護地方立法，明確地方信息保護執(zhí)法機構(gòu)和執(zhí)法重點；通過司法解釋、指導(dǎo)案例等形式，進一步明確個人信息分類和執(zhí)法、司法案件處理標準；加強個人信息保護宣傳教育，營造公眾守法、公正執(zhí)法、公平司法的良好社會環(huán)境。

參考文獻：

[1][6][8]曹樹金，王志紅，古婷驊.智慧城市環(huán)境下個人信息安全保護問題分析及立法建議[J].圖書情報知識，2015（3） ：35-45.

[2]中華人民共和國刑法修正案（七）[EB/OL].[2025-07-28].https：//baike.so.com/doc/393788-416936.html.

[3] 全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定[EB/OL].[2025-07-28].https：//www.cac.gov.cn/2015-02/05/c_1114266581.htm.

[4] 王利明，丁曉東.論《個人信息保護法》的亮點、特色與適用［J].法學(xué)家，2021（6）：1-16，191.

[5] 張新寶.論個人信息權(quán)益的構(gòu)造[J].中外法學(xué)，2021（5） ：1144-1166.

[7]信息安全技術(shù)個人信息安全規(guī)范（GB/T35273-2020）[EB/OL].[2025-07-28]. https：//www. tc260.org.cn/front/bzcx/yfgbqd.html.

[9]《個人信息保護法》實施兩周年觀察報告[EB/OL].[2025- 07 - 28]. https：//www. secrss.com/articles/60719.

（編校：周雪芹）