（一） 我國個人信息保護法治建設(shè)成果

 

　　我國自2000年全國人大常委會頒布《全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定》開啟了互聯(lián)網(wǎng)立法進程以來，個人信息保護法治建設(shè)初見成果。十余年來，我國個人信息法治保護初見成果，約40余部法律、30余部法規(guī)以及200余部規(guī)章涉及到個人信息保護。

 

　　法律層面上，2012年《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》是較為針對性的個人信息保護立法，該決定明確國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息，首次規(guī)定了個人信息保護遵循的合法、正當(dāng)、必要等基本原則、網(wǎng)絡(luò)實名制等基本制度，是我國現(xiàn)有個人信息保護的最高層級、最基礎(chǔ)性的法律規(guī)定，奠定了后續(xù)個人信息保護的框架。最近的《網(wǎng)絡(luò)安全法》中更是將公民個人信息保護作為網(wǎng)絡(luò)信息安全的重要內(nèi)容予以規(guī)范。

 

　　在刑事基本法層面，《刑法修正案（七）》增設(shè)“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”，并在《刑法修正案（九）》中進一步完善統(tǒng)一為“侵犯公民個人信息罪”，從維護公民人身權(quán)利的角度嚴(yán)厲打擊、遏制侵犯公民個人信息違法犯罪行為高發(fā)亂象。

 

　　在民事基本法層面，2009年《中華人民共和國侵權(quán)責(zé)任法》明確了隱私權(quán)作為獨立的民事權(quán)利，一定程度上為侵犯公民個人信息事件中受害人尋求司法救濟提供依據(jù)；在民事特別法方面，2013年新《消費者權(quán)益保護法》明確了消費者享有個人信息依法得到保護的權(quán)利、經(jīng)營者收集和使用消費者個人信息應(yīng)遵守的各項義務(wù)。2014年《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》也對個人信息保護民事司法中的重要內(nèi)容和典型情形進行了專門規(guī)定。

 

　　除了法律層面，大量的行政法規(guī)、部門規(guī)章也就個人信息保護問題進行了專門規(guī)定。其中較為典型的有，2005年中國人民銀行發(fā)布的《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》、2012年國務(wù)院《征信業(yè)管理條例》對個人信用信息的收集和使用進行了專門規(guī)范；2013年工信部《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》對電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者對個人信息的收集、使用、安全保障進行了詳細規(guī)定；2014年國家衛(wèi)計委員發(fā)布《人口健康信息管理辦法（試行）》對人口健康信息的收集、使用等作出專門規(guī)定。

 

　?。ǘ?我國個人信息保護法治建設(shè)檢省

 

　　從上面對我國現(xiàn)有個人信息保護法律建設(shè)成果的部分梳理來看，我國個人信息保護法治建設(shè)雖然初見成果，但也折射出我國目前個人信息法治保護的不足，主要體現(xiàn)在以下幾個方面：

 

　　1. 個人信息保護立法缺少頂層設(shè)計

 

　　在全國人大常委會《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》之下，應(yīng)當(dāng)制定個人信息保護基本法對其規(guī)定予以細化和完善。但就個人信息保護法的立法模式選擇，適宜進行綜合立法模式的我國，尚未制定個人信息保護基本法。

 

　　比較法上來看，個人信息立法模式大致分為歐盟制定個人信息保護綜合性成文法的綜合立法模式和美國僅就行業(yè)或特殊問題進行特別立法的分散立法模式。兩種立法模式在我國究竟何去何從，主要取決于我國的法治傳統(tǒng)和既有法治框架。美國之所以采取分散立法模式，原因在于其已有的強大的隱私權(quán)法律體系，能夠為個人信息的妥當(dāng)保護，僅需要針對特殊行業(yè)或特殊問題進行專項立法。反觀我國，雖然《侵權(quán)責(zé)任法》明確隱私權(quán)為獨立的民事權(quán)利，但理論界和實務(wù)界多傾向于將隱私權(quán)理解為消極抵御的權(quán)利，隱私權(quán)僅僅是具體人格權(quán)之一，在個人信息保護方面的作為十分有限。再考慮到我國歷來的成文法傳統(tǒng)，歐盟式的綜合立法模式更為可取，通過一部完善的個人信息保護基本法，對個人信息保護的立法宗旨、利益衡量、具體制度構(gòu)建等進行全面的規(guī)定。雖然早在2003年，原國務(wù)院信息化辦公室就曾著手個人信息保護法立法工作，第十一屆全國人大常委會也將個人信息保護法納入立法規(guī)劃，但個人信息保護法至今缺位。

 

　　2. 尚未形成完整的個人信息保護法律制度

 

　　從前述對個人信息保護法治建設(shè)成果的部分梳理來看，在個人信息保護現(xiàn)實需要和立法部門的推進之下，雖然個人信息保護法律規(guī)范條文數(shù)量較多，但整體立法水平和規(guī)范內(nèi)容有限，碎片化問題突出，重復(fù)性規(guī)定居多。

 

　　在我國現(xiàn)有個人信息保護法律法規(guī)中，全國人大常委會《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》是立法性質(zhì)決定了只能是原則性和宣示性的規(guī)定，在其規(guī)定之下，由于個人信息保護法的缺位，各部門規(guī)章承擔(dān)其對該決定細化的任務(wù)?！峨娦藕突ヂ?lián)網(wǎng)用戶個人信息保護規(guī)定》、《個人信用信息基礎(chǔ)信息數(shù)據(jù)庫管理暫行辦法》等部門規(guī)章一定程度上代表了當(dāng)前我國個人信息保護的立法水平。從各部門規(guī)章的實質(zhì)內(nèi)容來看，僅僅是規(guī)定了個人信息保護的基本原則、個人信息處理義務(wù)等框架性內(nèi)容，較之國際上成熟的個人信息保護法的規(guī)定來看，還缺乏個人信息的類型化、個人信息處理者義務(wù)與例外、個人信息主體基本權(quán)利、個人信息保護風(fēng)險評估、個人信息安全泄露通知等全方位的制度規(guī)定，使得其適用性有限，不能為公民個人信息提供切實保護。

 

　　3. 個人信息執(zhí)法和監(jiān)管力度有限

 

　　完善的個人信息法治保護應(yīng)當(dāng)是包含民事、行政和刑事手段的綜合性體系，其中民事手段旨在為個人信息受侵害的信息主體提供救濟，刑事手段重在懲罰嚴(yán)重侵害他人個人信息的行為人，而有力的行政監(jiān)管和執(zhí)法對于建立個人信息保護秩序、事前預(yù)防個人信息侵害而言是不可或缺的。但就我國來看，有關(guān)個人信息的行政執(zhí)法和監(jiān)管力度有限。目前，我國多行政法規(guī)、部門規(guī)章都對各自主管范圍內(nèi)的個人信息保護事項的監(jiān)管職權(quán)作出規(guī)定，賦予了各部門一定的執(zhí)法權(quán)限，如同九龍治水一般的個人執(zhí)法機構(gòu)，造成長久以來個人信息保護行政執(zhí)法存在多頭管理、職權(quán)交叉、權(quán)限不明的弊病，也導(dǎo)致了個人信息保護監(jiān)管缺位的實質(zhì)后果。

 

　?。ㄈ?個人信息保護法治發(fā)展展望

 

　　當(dāng)前，個人信息保護法的缺位，無疑是我國個人信息保護一系列問題所在，但同時也為我國制定更加科學(xué)、完善的個人信息保護提供了契機。未來我國有望在深入觀察互聯(lián)網(wǎng)發(fā)展規(guī)律，以個人信息保護與利用平衡為導(dǎo)向，借鑒和吸收現(xiàn)有國內(nèi)外立法的基礎(chǔ)上，透過個人信息保護法的具體制度構(gòu)建，包括個人信息保護基本原則、信息主體基本權(quán)利、個人信息處理基本規(guī)范與管理制度、個人信息多元共治體系、個人信息監(jiān)管體制等方面，對個人信息保護作出更為妥當(dāng)?shù)闹贫劝才拧?br/>
        作者：中國人民大學(xué)法學(xué)院教授、網(wǎng)絡(luò)與信息法中心主任 張新寶