李宏弢

（中国社会科学院，北京 100009）

现实生活中，个人信息无处不在。个人信息收集、处理及其利用自古有之，与人类社会息息相关，随人类社会的发展而发展。传统社会中，囿于科技发展等的限制，个人信息保护并未成为隐私权发展的滞障。现代社会，计算机技术、数字通信技术的发展，互联网的普及使得个人信息的收集、处理以及利用更为方便快捷。随着大数据开发应用的不断深入和普遍化，大量个人信息泄露引发的人格侵害事件频发，且呈多样化态势，个人信息陷入安全危机。个人信息的法律保护受到世界各国的高度关注。“国际上已有50多个国家和地区制定了个人信息保护相关法规和标准，以图保证个人信息在经济活动、虚拟空间中的安全。”[1]基于此而进行的学术研究与探讨方兴未艾。

而我国传统文化中，权利尤其是个人权利的缺失，使得传统社会中个人信息保护未引起足够重视。随着计算机广泛应用，互联网普及，我国网民占全世界网民的四分之一，是信息化程度普及率最高的国家之一，国内个人信息暴露和侵害现象较为严重。如近期的12306系统漏洞导致大量的购票人个人信息泄露事件。如购物、购房、求学、就业、旅游、住宿等，个人信息均可能被泄露。由此而带来的信息侵权、诈骗等行为，威胁人们的个人权利，打破了人们的宁静生活。然而，目前我国没有系统、完善的个人信息保护法律制度，使得大部分人在权益受到侵害时，很难寻求法律的解决途径。因此完善个人信息保护法律体系迫在眉睫。

随着我国公民权利意识增强、信息技术进步带来的信息社会发展、知识经济逐渐占据经济主导地位带来的社会发展变迁，使得法律的社会经济基础发生结构性改变。学者对个人信息保护的关注与研究；现实中大量个人信息侵权事例以及案件的发生，司法实践部门实务上的积累，都为建立适应我国国情的个人信息保护立法模式奠定了理论和实务基础。基于此，本文就我国个人信息保护的现状以及原因进行梳理，为我国个人信息保护的立法提供理论参考。

一、个人信息保护现状

（一）个人信息的滥用与危机

人类社会从农耕社会、工业社会再到信息社会的发展，信息收集的手段也从单纯的手工收集，发展到电脑收集、分类与识别，再到现如今的大数据分析处理，技术革新带来的方便快捷让人们在享受其利好的同时，也经历其带来的“痛楚”。信息时代，资讯革命迅速充斥着生活的每个角落。“在此阶段，社会对信息的依赖越来越强。个人信息成为社会信息的一种重要资源。”[2]并且，信息社会中的信息已改变了存在方式，从附属于物质和能源中剥离出来，成为独立的资源。“信息在信息社会获得了独立，其经济属性得到了充分发挥，信息具有价值和交换价值，还可带来附加值，已进入流通领域自由买卖，对信息的占有量是衡量一个企业市场力量的标准之一。”[2]个人信息作为信息的重要组成部分，其在社会交往中以及经济生活中的经济属性越来越明显。现如今，智能通信设备尤其是智能手机的普及使得电商等网络手段的应用越来越广泛。这使得个人信息也更容易被收集。而个人信息所具有的商业价值与商业利益，促生个人信息被频繁滥用，且规模巨大、范围甚广。针对个人信息滥用，“中国个人信息保护的现状与意识”课题组在《个人信息保护现状调研报告》中，将个人信息滥用归纳为过度收集个人信息、擅自披露个人信息、擅自提供个人信息、非法买卖个人信息、超目的使用个人信息、保管不善、掌握的信息不准确、个人信息被冒用八个方面[3]。可见，个人信息安全已成为人们必须面对的一个社会问题。

个人信息危机的存在严重威胁着人们的个人利益、社会利益乃至国家安全，主要表现在：

第一，自然人的人格利益受到侵害。自然人的人格利益包括与自然人的生命、身体、健康、自由、尊严、名誉等相关利益，并与其相应的权利，构成了人格权。这种人格权是以权利人的人格利益为客体的权利。包括生命权、身体权、健康权、自由权、姓名权、名誉权、肖像权、隐私权等等。与人格权相关的还有人格尊严。人格尊严“是指作为一个‘人’所应有的最起码的社会地位，及应受到社会和他人最起码的尊重。换言之，所谓人格尊严，即把人真正当作‘人’”[4]。信息社会中，因个人信息获取方便，致使生活于其中的人被置于“透明人”或“半透明人”境地；同时因个人信息所具有的价值，人被当成信息社会利益链上的商品，因此人已没有完全意义上的隐私可言，不仅人格利益受到侵害，而且与人格利益相对应的人格尊严也处于危机状态。

第二，财产利益受到侵害。信息社会中，个人信息不但具有人格权属性，还因其具有的经济利益而具有财产权属性。这因为，现代社会中经济活动作为人类社会的重要组成部分，随着科技的进步，经济活动范围逐步扩大，传统意义上的经济模式被打破，最突出的表现就是网络及电子商务的发展，使得“有一部分人格权所保护的客体也因而已经成为经济活动的客体”[5]，于是，传统的以保护人格利益为目的的人格权在信息社会具有了新内涵，并超出精神利益范畴，具有一定的经济利益。这使得传统的以客体不同而划分的人格权与财产权区分度降低，那些能够参与到经济活动中，具有经济利益，能够为商业利用的人格权被我国台湾学者黄立称为“财产人格权”[6]。而只有能够为法律允许和社会伦理接受的“财产人格权”才具有正当性。但现实中，有些利用人格权的经济利益进行的违法行为已超出法律和伦理允许的限度，如未经允许而将他人的姓名和肖像用于商业活动，非法收集个人信息进行诈骗等等。这些违法行为不但造成名誉损伤，甚至还侵害人身财产利益。

第三，易造成信息失控局面。信息社会中，信息已成为主要财产。正如美国社会学家A.托夫勒所言：“在第三次浪潮中，我们仍需土地、机器这些有形财产，但主要财产已变成了信息。如果说股票是象征的符号，那么信息财产则是象征的象征，这样一来，财产的概念面目全非。”①转引自陈英：《信息产权与知识产权外延和内涵的冲突》，载《中国知识产权报》，2003年10月16日。因而对于个人信息的价值与使用价值，必将会被最大限度地开发和利用。尤其是在大数据时代，随着互联网的广泛应用，人们通过网络留下的上网痕迹、数据网络运行中进行的安全监测、系统漏洞存在的安全隐患以及黑客的存在，使人们的个人信息不知不觉间被非法访问、使用甚至篡改等。如笔者经常光顾某网站购买图书，网站会根据购买信息，推送你可能感兴趣或者喜欢的书籍。又如去年轰动世界的马航MH370失联事件，在无任何线索情况下，航行专家根据美国波音公司传来的数据分析，最终确定了MH370的航线范围。这是因为尽管失事飞机的各种通信设备均停止工作，但有一个无法人为关闭的信号会自动向其传送数据，这些数据是飞机例行维护和监控程序的一部分。再如之前被用户广为诟病的苹果公司的后台定位系统，使手机持有人的行踪尽在掌控之中。现实生活中，未经本人允许而非法收集、存储、使用、买卖个人信息的行为大量存在，因此信息自决权成为一纸空文。个人对其信息无掌控能力，这种信息获取与保护的不对称状态，易导致信息失控。

第四，正常的经济生活和商业秩序受到破坏。由于信息具有商业价值，从前仅限于公共行政部门的信息采集如今已扩大到社会各个行业，尤其是商业机构掌握的个人信息甚至比政府部门掌握的还要详实。精明的商家会根据消费者的年龄、性别、职业、学历、收入、爱好等等进行有针对性的商品投放。但有些商家为牟取暴利，利用非法渠道获取个人信息，由此催生了专门从事个人信息买卖的非法经营活动网站。这已经不是单纯的个人信息侵权行为，而是严重违反商业秩序的违法行为，扰乱了正常经济生活。

第五，易引发国家安全和公共安全危机。强大的网络传播能力拉近了不同地区间人的距离，但也拉近了危机。如今利用网络进行诈骗的行为已具有跨地区性和跨国性特征，这种危机不仅威胁个人安全，更容易危及国际安全和公共安全，使得国家利益受到损害。最为典型的如斯诺登事件牵出的“棱镜计划（PRISM）”。此计划是美国国家安全局自2007年开始实施的绝密电子监听计划。该计划能对即时通信和既存资料进行深度监听。受其监听的内容包括个人聊天日志、存储的数据、语音通信、文件传输、个人社交网络数据。而监听的对象包括任何在美国以外地区使用参与该计划公司服务的客户，或是任何与国外人士通信的美国公民。按照斯诺登的披露，中国是美国监听的主要对象之一。美国针对中国进行了大规模的网络进攻，把中国领导人和华为公司作为目标，还包括中国的商务部、外交部、银行和电信公司等掌握大量重要国家信息以及个人信息的部门。如此庞大的监听范围和内容，不但置个人信息安全于无法保护之地，而且使得国家安全和公共安全受到严重威胁。

（二）个人信息受侵害原因

我国个人信息滥用以及频受侵害的原因是多方面的，主要有：

第一，信息技术的快速发展使个人信息被泄露的风险加大。随着信息技术的快速发展，互联网普及，网络电商崛起，云存储器应用，使得个人信息的收集和处理成本更为低廉。小到注册邮箱，尽管不需真实信息，但如果需要更高级别的网络保护，就需提供个人真实信息，如身份证号码、手机号码等。目前推出的邮箱绑定手机业务，便是例证。而微博、微信公众号等同样被要求网络实名制。网购、网上银行等更需层层信息设置才能完成，这一方面是出于网络安全考虑，但另一方面如果网络管理一旦出现问题，就容易使个人信息泄露，个人信息受到侵害的风险加大。

第二，个人信息的经济价值被商业化。信息社会，个人信息已成为主要财产形式。由于个人信息具有经济价值，使得各商家纷纷抢占个人信息，可以说，谁掌握的客户信息越多，谁就拥有更多的消费者。于是，各商家想尽一切办法收集个人信息，使一些不法分子看到“商机”，非法收集、出售个人信息，从中渔利，个人信息成为“商品”并被不当利用的行为已极为普遍。

第三，公民个人信息保护意识不强。笔者曾经就目前的网络安全以及个人信息安全进行过随机调查，结果显示，在被调查者中，对个人信息的重要性都能认同，但保护个人信息或者个人信息防范意识并不高。如填写各种注册信息时，常使用同一用户名和密码，或使用过于简单易攻的密码。利用第三方软件进行交易等，由于不了解网络安全而使个人信息陷入不安全状态。又如微信朋友圈常出现的帮忙投票帖子，都是为了获取个人信息，被访者大都认为无所谓，帮朋友投票只是举手之劳。再如手机短信的网址链接有可能就是钓鱼网站，之前手机短信发送的同学聚会照片，就是病毒木马程序，一旦点开网址，便会自动向通讯录群发，不但手机持有人个人信息，连同通讯录里的信息都会泄露。如此众多利用个人信息进行的各种侵权行为确实需要人们提高防范意识。

第四，我国现有法律对个人信息保护滞后。尽管目前我国立法基本涵盖社会生活的各方面，但随着经济快速发展，在经济生活和经济交往过程中出现的大量新情况，亟需立法进行规范和调整。立法的滞后，使得一些投机者得以钻营。就个人信息保护而言，尽管学者早在十年前便提出了立法建议稿②如齐爱民教授2005年提出《中华人民共和国个人信息保护法示范法草案学者建议稿》；以周汉华教授为代表的研究小组在2006年对个人信息保护提出《个人信息保护法》专家意见稿等。，且关于个人信息保护立法的呼声不断高涨，但我国目前仍没有制定专门的个人信息保护法。对个人信息的保护散见于宪法、法律、法规以及各级行政规范中，这种状态不利于个人信息保护。

二、我国现有立法对个人信息保护的相关规定

如前所述，我国对个人信息保护的相关规定散见宪法、法律、法规和规范当中，保护的位阶较低。个人信息保护立法相对于迅速发展的信息社会而言，严重滞后。从立法上来说，我国直接对个人信息进行保护的法律法规等数量极为有限。“1980—1999年出台的法规以及各类规范中涉及个人信息保护的规定相对较少。从1999年开始，新制定的法规等规范中涉及个人信息保护的规定明显增加。如部门规章类的数量从1999年一年出台约10件到2006年一年出台约40件，每年新制定的规范件数都达到了两位数。”[3]近年来，尽管我国并未制定出高位阶的法律，但有关个人信息保护的法律规定也出台一些，用以规范个人信息安全。

（一）宪法中的相关规定

宪法作为我国的根本法，是制定其他部门法的依据。宪法规定公民人格尊严不受侵犯、公民的通讯自由和通信秘密受法律保护等，为个人信息在其他部门法中获得保护提供了依据。

（二）其他法律中的相关规定

由于我国没有一部系统的个人信息保护法，因此有关个人信息保护的规定散见在具体的法律条文中。如《居民身份证法》作为对个人信息保护规定较有针对性的法律，既规定了有关个人信息的保密义务、相应的违法责任条款，又对公民获得司法救济进行了明确规定。《刑法》第177条的“窃取、收买、非法提供信用卡信息罪”、第252条的“侵犯通信自由罪”、253条的“私自开拆、隐匿、毁弃邮件、电报罪；出售、非法提供公民个人信息罪；非法获取公民个人信息罪”等，都是对个人信息犯罪行为应承担刑事责任的规定。《民法通则》第100条规定公民享有肖像权、第101条规定的名誉权，公民的人格尊严受法律保护等。《侵权责任法》第2条、36条、61条、62条有关规定，为个人信息侵权的法律救济提供了依据。《消费者权益保护法》第14条、29条的规定对经营者收集、使用消费者信息遵循的原则、经营者的责任等进行了规制。此外，针对特殊群体，如《未成年人保护法》针对未成年人的个人隐私、《妇女权益保障法》在保护妇女的隐私信息等方面进行了规定。针对特殊行业，《统计法》第15条规定了“属于私人、家庭的单项调查资料，非经本人同意，不得泄露”，尽管范围仅限于统计事务，但却是我国在法律上明确规定保护个人信息（个人资料）的内容。

（三）法规中的相关规定

对个人信息进行法律规范的主要有《中华人民共和国计算机信息安全保护条例》《中华人民共和国电信条例》《中华人民共和国政府信息公开条例》《医疗机构病例管理规定》《银行管理暂行条例》《最高人民法院关于审理旅游纠纷案件适用法律若干问题的规定》《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》《关于加强网络信息保护的决定》《互联网信息服务管理办法》《互联网电子邮件服务管理办法》《电信和互联网用户个人信息保护规定》等。这些法规多数属于行业规范，可操作性不强，效力位阶相对较低，与我国信息社会的快速发展不相适应。

（四）地方性法规

以地方性法规形式对个人信息进行立法，虽然不及法律和行政法规效力位阶高，但因其立法程序相对简单，立法周期相对较短，实践中能够与现实紧密结合而易被接受。在个人信息保护方面，广州市于2002年发布的《政府信息公开规定》是我国首个与个人信息相关的地方性法规。上海市2003年通过《上海市个人信用征信管理试行办法》，对个人信用信息的采集、处理、提供等作了较为详细的规定。2004年通过的《上海市政府信息公开规定》对于涉及个人隐私的政府信息免于公开。而2008年通过的《上海市促进电子商务发展规定》则对企业在从事电子商务的过程中采集、管理和利用个人信息进行了规定。

我国个人信息保护法规的这种散布状态，一方面，使得个人信息法律保护问题较多，另一方面，可操作性不强。由于没有统一的个人信息保护法，使得个人信息权属无法确认，有关个人信息的性质、权利的主体、信息收集处分利用过程中应遵循的原则、侵权责任的认定、举证责任的分配以及法律监督机制等无法确认，使个人信息侵权行为有机可乘。

三、完善个人信息保护立法迫在眉睫

通过上述分析，我国完善个人信息立法迫在眉睫。目前世界上有多个国家和地区制定了专门的个人信息保护法律法规，如瑞典的《数据法》（1973），美国的《隐私法》（1974）、《电子通信隐私法》（1986）、《互联网保护个人隐私的政策》（1999），英国的《数据保护法》（1984），日本的《个人信息保护法》（1988），欧盟的《关于保护自动化处理过程中个人数据的条例》（1980）、《个人数据保护指令》（1995）、《电子通讯数据保护指令》（1996）、《Internet个人隐私保护的一般原则》（1999）等。而世界经济合作发展组织（OECD）颁布的《隐私保护和个人数据跨国流通指导原则》（1980）规定了个人信息保护的八项原则③八项原则为：收集限制原则、信息质量原则、目的明确化原则、利用限制原则、安全保护原则、公开原则、个人参加原则和责任原则。参见郎庆斌、孙毅、杨莉：《个人信息保护概论》，北京：人民出版社，2008年，第6页。，这八项原则后来成为各国一致遵循的原则，各国在此基础上制定本国的个人信息保护法规范。就我国而言，国际上的成熟做法为尽快完善个人信息保护立法提供了蓝本，我国应在遵循个人信息保护的八项原则基础上，制定《个人信息保护法》，规范个人信息的权利属性、立法模式、保护原则、法律责任，完善我国个人信息保护制度。

［1］郎庆斌,孙毅,杨莉.个人信息保护概论[M].北京:人民出版社,2008.

［2］齐爱民.拯救信息社会中的人格:个人信息保护法总论[M].北京:北京大学出版社,2009.

［3］“中国个人信息保护的现状与意识”课题组.个人信息保护现状调研报告[C]//中国社会科学院法学所编.中国法治发展报告NO.7（2009）.北京:社会科学文献出版社,2009.

［4］梁慧星.民法总论[M].北京:法律出版社,1996.

［5］程合红.商事人格权论:人格权的经济利益内涵及其实现与保护[M].北京:中国人民大学出版社,2002.

［6］黄立.民法债编总论[M].北京:中国政法大学出版社,2002.