?。ㄒ唬?我國個人信息保護法治建設成果

 

　　我國自2000年全國人大常委會頒布《全國人民代表大會常務委員會關于維護互聯網安全的決定》開啟了互聯網立法進程以來，個人信息保護法治建設初見成果。十余年來，我國個人信息法治保護初見成果，約40余部法律、30余部法規(guī)以及200余部規(guī)章涉及到個人信息保護。

 

　　法律層面上，2012年《全國人民代表大會常務委員會關于加強網絡信息保護的決定》是較為針對性的個人信息保護立法，該決定明確國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息，首次規(guī)定了個人信息保護遵循的合法、正當、必要等基本原則、網絡實名制等基本制度，是我國現有個人信息保護的最高層級、最基礎性的法律規(guī)定，奠定了后續(xù)個人信息保護的框架。最近的《網絡安全法》中更是將公民個人信息保護作為網絡信息安全的重要內容予以規(guī)范。

 

　　在刑事基本法層面，《刑法修正案（七）》增設“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”，并在《刑法修正案（九）》中進一步完善統一為“侵犯公民個人信息罪”，從維護公民人身權利的角度嚴厲打擊、遏制侵犯公民個人信息違法犯罪行為高發(fā)亂象。

 

　　在民事基本法層面，2009年《中華人民共和國侵權責任法》明確了隱私權作為獨立的民事權利，一定程度上為侵犯公民個人信息事件中受害人尋求司法救濟提供依據；在民事特別法方面，2013年新《消費者權益保護法》明確了消費者享有個人信息依法得到保護的權利、經營者收集和使用消費者個人信息應遵守的各項義務。2014年《最高人民法院關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》也對個人信息保護民事司法中的重要內容和典型情形進行了專門規(guī)定。

 

　　除了法律層面，大量的行政法規(guī)、部門規(guī)章也就個人信息保護問題進行了專門規(guī)定。其中較為典型的有，2005年中國人民銀行發(fā)布的《個人信用信息基礎數據庫管理暫行辦法》、2012年國務院《征信業(yè)管理條例》對個人信用信息的收集和使用進行了專門規(guī)范；2013年工信部《電信和互聯網用戶個人信息保護規(guī)定》對電信業(yè)務經營者、互聯網信息服務提供者對個人信息的收集、使用、安全保障進行了詳細規(guī)定；2014年國家衛(wèi)計委員發(fā)布《人口健康信息管理辦法（試行）》對人口健康信息的收集、使用等作出專門規(guī)定。

 

　　（二） 我國個人信息保護法治建設檢省

 

　　從上面對我國現有個人信息保護法律建設成果的部分梳理來看，我國個人信息保護法治建設雖然初見成果，但也折射出我國目前個人信息法治保護的不足，主要體現在以下幾個方面：

 

　　1. 個人信息保護立法缺少頂層設計

 

　　在全國人大常委會《關于加強網絡信息保護的決定》之下，應當制定個人信息保護基本法對其規(guī)定予以細化和完善。但就個人信息保護法的立法模式選擇，適宜進行綜合立法模式的我國，尚未制定個人信息保護基本法。

 

　　比較法上來看，個人信息立法模式大致分為歐盟制定個人信息保護綜合性成文法的綜合立法模式和美國僅就行業(yè)或特殊問題進行特別立法的分散立法模式。兩種立法模式在我國究竟何去何從，主要取決于我國的法治傳統和既有法治框架。美國之所以采取分散立法模式，原因在于其已有的強大的隱私權法律體系，能夠為個人信息的妥當保護，僅需要針對特殊行業(yè)或特殊問題進行專項立法。反觀我國，雖然《侵權責任法》明確隱私權為獨立的民事權利，但理論界和實務界多傾向于將隱私權理解為消極抵御的權利，隱私權僅僅是具體人格權之一，在個人信息保護方面的作為十分有限。再考慮到我國歷來的成文法傳統，歐盟式的綜合立法模式更為可取，通過一部完善的個人信息保護基本法，對個人信息保護的立法宗旨、利益衡量、具體制度構建等進行全面的規(guī)定。雖然早在2003年，原國務院信息化辦公室就曾著手個人信息保護法立法工作，第十一屆全國人大常委會也將個人信息保護法納入立法規(guī)劃，但個人信息保護法至今缺位。

 

　　2. 尚未形成完整的個人信息保護法律制度

 

　　從前述對個人信息保護法治建設成果的部分梳理來看，在個人信息保護現實需要和立法部門的推進之下，雖然個人信息保護法律規(guī)范條文數量較多，但整體立法水平和規(guī)范內容有限，碎片化問題突出，重復性規(guī)定居多。

 

　　在我國現有個人信息保護法律法規(guī)中，全國人大常委會《關于加強網絡信息保護的決定》是立法性質決定了只能是原則性和宣示性的規(guī)定，在其規(guī)定之下，由于個人信息保護法的缺位，各部門規(guī)章承擔其對該決定細化的任務。《電信和互聯網用戶個人信息保護規(guī)定》、《個人信用信息基礎信息數據庫管理暫行辦法》等部門規(guī)章一定程度上代表了當前我國個人信息保護的立法水平。從各部門規(guī)章的實質內容來看，僅僅是規(guī)定了個人信息保護的基本原則、個人信息處理義務等框架性內容，較之國際上成熟的個人信息保護法的規(guī)定來看，還缺乏個人信息的類型化、個人信息處理者義務與例外、個人信息主體基本權利、個人信息保護風險評估、個人信息安全泄露通知等全方位的制度規(guī)定，使得其適用性有限，不能為公民個人信息提供切實保護。

 

　　3. 個人信息執(zhí)法和監(jiān)管力度有限

 

　　完善的個人信息法治保護應當是包含民事、行政和刑事手段的綜合性體系，其中民事手段旨在為個人信息受侵害的信息主體提供救濟，刑事手段重在懲罰嚴重侵害他人個人信息的行為人，而有力的行政監(jiān)管和執(zhí)法對于建立個人信息保護秩序、事前預防個人信息侵害而言是不可或缺的。但就我國來看，有關個人信息的行政執(zhí)法和監(jiān)管力度有限。目前，我國多行政法規(guī)、部門規(guī)章都對各自主管范圍內的個人信息保護事項的監(jiān)管職權作出規(guī)定，賦予了各部門一定的執(zhí)法權限，如同九龍治水一般的個人執(zhí)法機構，造成長久以來個人信息保護行政執(zhí)法存在多頭管理、職權交叉、權限不明的弊病，也導致了個人信息保護監(jiān)管缺位的實質后果。

 

　　（三） 個人信息保護法治發(fā)展展望

 

　　當前，個人信息保護法的缺位，無疑是我國個人信息保護一系列問題所在，但同時也為我國制定更加科學、完善的個人信息保護提供了契機。未來我國有望在深入觀察互聯網發(fā)展規(guī)律，以個人信息保護與利用平衡為導向，借鑒和吸收現有國內外立法的基礎上，透過個人信息保護法的具體制度構建，包括個人信息保護基本原則、信息主體基本權利、個人信息處理基本規(guī)范與管理制度、個人信息多元共治體系、個人信息監(jiān)管體制等方面，對個人信息保護作出更為妥當的制度安排。

        作者：中國人民大學法學院教授、網絡與信息法中心主任 張新寶