刘秀清，姜 会，韩春玲

(河北科技师范学院文法学院，河北秦皇岛066004)

信息技术和互联网的飞速发展使人们在享受生活便利、交易迅捷、资源共享的同时也遭遇到个人信息泄露的困扰。面对这一难题，国外通过不同模式做了有效的规制，但我国至今在个人信息的保护上仍然处于初期阶段，立法不完善，司法操作困难，行业自律缺乏，面对个人信息泄露的案件，更多的是尴尬与无奈。所以，构建我国的个人信息法律保护机制，已经刻不容缓。

一、个人信息的基本认识

(一)个人信息的概念

个人信息，虽然有境外立法对其做出过明确规定，如《德国联邦个人资料保护法》第2条的“个人资料是指凡涉及特定或可得特定的自然人的所有属人或属事的资料”，中国台湾地区《电脑处理个人资料保护法》第3条第1款的“个人信息指自然人之姓名、出生年月日、身份证统一编码、特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动等足资识别该个人之资料”［1］，但是在我国大陆至今尚未形成统一认识，存在着“隐私型定义”❶认为只有与个人隐私有关的信息才能构成个人信息。、“关联型定义”❷认为与个体相关联的所有信息均为个人信息。例如，我国台湾地区的学者就认为，“所谓个人信息，包括人之内心、身体、身份、地位及其他关于个人之一切事项之事实、判断、评价等所有信息在内。换言之，有关个人信息并不仅限于与个人之人格或私生活有关者，个人之社会活动、为团体组织中成员之活动，及其他与个人有关联之信息，全部包括在内。”、“识别型定义”❸该定义以“识别”为要素，认为能单独或与其他信息对照可以识别特定个人的信息才是个人信息。例如，2011年我国台湾颁布的《台湾个人信息保护法》就将个人信息界定为可以直接或间接方式识别该个人之数据。刘昕的《网络视野下个人信息安全的法律保护》，公安教育，2012年第5期，第30页。的不同阐释，笔者认为，第一种定义与隐私相混淆，且范围过窄，而第二种定义范围又过于宽泛，会导致权利的过分扩大，从而影响行为自由，唯有“识别型定义”宽窄适当，并代表了主流的观点。所以，个人信息是指所有可以直接或者间接识别特定个人信息的总和。它既包括个人生理特征，如性别、年龄、肖像、身高、体重、体型、声频等，也包括与特定个人密切相关的识别符号，如姓名、家庭住址、电话号码、工作单位、社会关系等;既包括与个人特定经历相关的信息，如教育背景、成长经历、个人遭遇、婚姻状况、医疗病历、犯罪记录等，也包括个人的心理特征(如宗教信仰、个人喜好等)以及个人的各种活动信息等，涵盖非常广泛［2］。

(二)个人信息的属性

对于个人信息的属性，目前一致认可其人格属性，个人信息是能够识别特定个人的信息，与特定个人紧密结合，具有与特定自然人相互对应的关系，因而具有人身依赖性与人身专属性，其人格属性关乎每个人的人格利益与尊严，具体来说包括隐私、名誉、自由、安宁、安全等利益。但对于个人信息是否具有财产属性，尚无定论，笔者认为完全有承认其财产属性的必要与实际意义。从法律角度而言，个人信息具备了财产权客体的基本特征——外在性、稀缺性、效用性和可支配性［3］，个人信息主体可以直接控制、支配其个人信息并排除他人非法侵害，在市场经济背景下，个人信息完全能够作为个人信息主体与市场商业主体以及市场商业主体之间交易的客体，从而实现财产利益。从实践角度而言，一件件个人信息泄露的案例触目惊心，其背后隐藏的财产利益因素是最终根源。因此，确认其财产属性不仅是理论所需，更是现实所要求的。

(三)个人信息的特征

个人信息概念的诞生以来便与个人隐私有着千丝万缕的联系，但不能因此就将个人信息完全等同于个人隐私，对比而言，个人信息具有如下特征:一是可识别性。这是个人信息最主要的特征。不同于隐私强调私密性，个人信息强调的是可识别性，即特定性，凭借信息能够直接或间接将特定个人与其他人区分开来。二是广泛性。个人信息的内涵十分丰富，凡是与个人相关、能够对个人进行识别的信息都包括在内，既包括生理特征，也包括与特定个人密切相关的识别符号，既包括与个人特定经历相关的信息，也包括个人的心理特征以及个人的各种活动信息等，既包括个人不愿或不便公开的信息，也包括在一定范围内为正常生活工作必须公开的信息。三是时效性。大部分个人信息一直处于不断变化、更新之中，明确这一点对个人信息的保护十分重要，过时的信息不仅不能反映出信息主体的现在特征，反而会起误导作用。四是可共享性。同一内容的个人信息可以在同一时间被两个以上的信息处理主体获得、使用，同时个人信息主体不会因为将信息传递而失去信息。

二、我国个人信息法律保护的现状及不足

个人信息滥用是当今世界各国所面临的共同问题，所以各国均对个人信息保护给予了较高的重视，尤其在发达国家，个人信息的保护起步较早，法律法规较为全面，保护的手段也较为健全。从法律运作的效果来看，欧盟和美国走在了世界各国的前面。欧盟采取统一立法模式保护个人信息，同时适用于公共部门与非公共部门，通过一系列严格完善的法律体系来构建保护个人信息的严密网络;美国则是制定仅适用于公共部门的《隐私权法案》，对于非公共部门则根据需要在某些领域制定相关的法律或者强调行业自律。不管是欧盟模式还是美国模式，在现实中都取得了很好的成效。

反观我国，由于种种原因，很长一段时间以来都没有认识到保护个人信息的重要性，直至前几年个人信息泄露事件频频发生，才唤醒了人们对个人信息的保护意识，认识到了个人信息的法律保护刻不容缓。但是，当启动法律程序寻求保护时却发现很难找到法律依据来保护自己，惩戒他人。

(一)民法的“隐藏”保护

到目前为止，我国民法中尚未明确规定个人信息，更谈不上将个人信息权利化而上升为个人信息权了。因此，面对个人信息被泄露的遭遇，即便可以依据《中华人民共和国刑法修正案(七)》的规定追究行为人的刑事责任，但对于被害人而言，却因民法中无个人信息及个人信息权的直接规定，而难以主张对自己的民事救济。迫不得已，只能在民法现有的规定之中去存求“隐藏而间接”的保护，那就是或者依据《民法通则》的第55条、第99～102条，最高人民法院关于贯彻执行《中华人民共和国民法通则》若干问题的意见的第139～141条，《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》的第1条等规定把对个人信息侵害的救济纳入到“姓名权”、“肖像权”、“名誉权”、“隐私利益”中去，或者依据《侵权责任法》第2条:“本法所称民事权益，包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。”把个人信息包含在“等人身、财产权益”中。但这样处理毕竟是在民事立法漏洞之下的一种权宜之计，一方面，个人信息与名誉、隐私不同，涵盖的内容要更宽泛一些，所以依据名誉、隐私侵权并不能保护所有的个人信息，难以给予个人信息充分的保护，加上个人信息商品化趋势，名誉、隐私的相关规定也难以救济侵犯个人信息的民事责任问题;另一方面，民法是权利法，是对民事主体的人身和财产权益进行确认和保护的最基本、最主要的法律，也理应是个人信息法律保护的基础。固然，《刑法修正案(七)》中规定了相关的个人信息犯罪，作为个人信息保护的最后一道防线，能够给予不法行为最严厉的打击，但其适用范围狭窄，只有对最严重的行为，才用《刑法》来解决，这就导致因为过失泄露个人信息的行为难以被法律追究。而且，刑法对个人信息犯罪的规定是粗线条的，仅限于非法获取、出售和非法提供，而实践中，侵害个人信息还有可能是合法获取但非法利用个人信息的情形，它们均处于刑法救济之外。面对刑法保护的上述欠缺，用民法确认个人信息权，并提供相应的保护措施，由侵害人承担民事责任，在受害人保护方面才更加圆满［4］。

(二)相关法律、行政法规、规章的“概括”保护

不可否认，我国还有很多的法律、行政法规、规章等或多或少地关连到了个人信息问题，如《民事诉讼法》、《刑事诉讼法》、《统计法》、《律师法》、《身份证法》、《护照法》、《执业医师法》、《传染病防治法》、《邮政法》、《档案法》、《商业银行法》、《医疗机构病历管理规定》、《互联网电子公告服务管理规定》、《个人信用信息基础数据库管理暂行办法》……但是这些法律规范的大部分规定均采用了十分原则的表述，基本无法作为直接定案的依据，可操作性差。第一，有些法律适用范围相对狭窄，法律条款数量较少，如《档案法》、《执业医师法》、《邮政法》、《律师法》，仅仅规范着档案管理、医师执业、邮政服务、律师执业等特定领域内与个人信息保护相关的内容，且涉及条款数量极少，基本上只有一两个条款。第二，在调整手段上重行政管理、刑事处罚，轻民事保护，公民的个人信息遭受侵害后，结果往往是仅仅追究了侵害行为人的行政责任甚或刑事责任，虽对违法行为起到了惩罚与遏制的效果，但是对个人信息被侵害的受害人而言，却很难得到有效的财产甚至精神损害赔偿。如《身份证法》第19条规定人民警察泄露因制作、发放、查验、扣押居民身份证而知悉的公民个人信息，侵害公民合法权益的，根据情节轻重，依法给予行政处分，构成犯罪的，依法追究刑事责任，至于因其泄露个人信息导致公民财产损失甚至生命健康权益受损的，却并没有规定民事责任的承担方式。第三，在法律体系上，对个人信息的保护散见在众多规范性法律文件中，内容缺乏统一性，相互之间也缺乏衔接，不利于法律的适用，尤其是上述法律、法规均没有规定个人信息保护的立法目的，个人信息保护的基本原则，个人信息主体的权利内容，个人信息收集、处理、利用的规则、监管机构等。第四，在法律效力上，大多数是一些位阶比较低的行政法规、地方性法规、部门规章等，缺乏权威性，不利于此类问题的处理。

(三)刑法的“限制”保护

2009年2月28日第十一届全国人民代表大会常务委员会第七次会议通过《中华人民共和国刑法修正案(七)》，增加了个人信息犯罪的规定，这是个人信息立法的标志性事件之一。根据该修正案规定，在刑法第253条后增加一条，其内容为:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息出售或者非法提供给他人，情节严重的，处3年以下有期徒刑或者拘役，并处或者单处罚金。窃取、收买或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。”然而，由于多种原因，在涉及“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”的司法实践中却又遭遇了一些具体的问题与困难。一是在犯罪主体上，依上述规定，“出售、非法提供公民个人信息罪”的犯罪主体是特殊主体，即“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，不可否认，这些机关或单位的工作人员由于工作职责很容易接触到大量的公民个人信息，一旦泄露或不当使用，便会造成严重的损失，但是在现实生活中，除了刑法所规定的主体之外，房地产公司、物业公司、中介机构、教育辅导机构、酒店、物流公司等机构甚至个人，将公民个人信息出售、非法提供给他人并造成严重后果的现象屡见不鲜，但是这些主体却没有被纳入刑法规定的范围之内。二是在犯罪对象上，刑法修正案规定的较为简单，即“公民个人信息”，但是，刑法规范的“个人信息”与民法规范的“个人信息”的范围是否一致呢?对此，观点不一。杨帆认为，公民个人信息作为法律保护的对象，无论是民法、行政法、刑法保护的范围都应当是一致的，只是因为公民个人信息所遭受侵害的严重程度不同而采取轻重不同的法律保护手段，即只有到了刑法所规定的“情节严重的”程度，才给予刑法保护而已［5］。但何荣功认为，刑法与民法目的不同，法律责任的后果存在巨大差别，因此，不能将民法保护的所有个人信息都认定为本罪中的“个人信息”［6］。如何确定“个人信息”的范围，对认定两罪至关重要，应予以明确。三是在犯罪客观方面，刑法修正案规定只有实施出售、非法提供、非法获取个人信息情节严重的才能构成犯罪，然而，何为情节严重呢?本规定却没有提供可供操作的标准。

(四)行业自律的“弱效”约束

在个人信息保护缺少专门法律规范时，企业自律就应该成为保护个人信息的另外一个重要手段。中国互联网协会于2002年3月26日公布了《中国互联网行业自律公约》，倡议互联网全行业从业者加入本公约，并要求会员“自觉维护消费者的合法权益，保守用户信息秘密;不利用用户提供的信息从事任何与向用户做出的承诺无关的活动，不利用技术或者其他优势侵犯消费者或用户的合法权益”。2006年11月1日，中国互联网协会、违法和不良信息举报中心、奇虎公司共同正式宣布，首个互联网公益品牌“净蓝丝带”正式启动［7］。净蓝丝带作为杜绝互联网恶意行为的一个标识，用于宣传“净化互联网空间人人有责，打击互联网犯罪人人出力”的信息，并呼吁“拯救网络弱势群体，杜绝网络恶意行为”。另外，保护网上个人信息的行业规范《信息安全技术公共及商用服务信息系统个人信息保护指南》已于2013年2月实施，该指南对个人信息的处理包括收集、加工、转移和删除四个主要环节，还提出了个人信息保护的“目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确”等八项原则。然而，也应该注意到，这些自律手段太过空洞化、标语化，威慑力差，加上各商业网站的个人信息保护水平差异很大，尤其是一些小型网站在个人信息保护方面是令人担忧的，它们不仅没有公开相应的个人信息保护政策，甚至不惜牺牲商业信誉，只要能给网站的经营者带来利益，就会不适当地收集、利用乃至出售访问者的个人信息。另外，除了商业网站及为数不多的其他主体之外，大多数非公共部门并没有单方面向相对人提供个人信息保护政策。因此，目前的行业自律机制还不能形成对企业在个人信息使用上的有效激励与约束机制，难以取得预期的效果。

三、我国个人信息法律保护机制的重构

为了遏制个人信息滥用的势头，保护个人信息主体的合法权益，规范个人信息的处理行为，构建公平、和谐的市场经济环境，必须克服现行法律体系中个人信息保护机制的不足，对个人信息进行全方面、多角度的调整，构建完备的法律保护机制。

(一)在民法中确认个人信息及个人信息权

在目前的民法领域中，虽然不能说没有任何可供保护个人信息的法律依据，但是这些规定给予的都是“隐藏”保护，只能委身于其他具体权利，或者用条款最后的“等”加以扩大解释，即便距今颁行时间最近的《侵权责任法》的第2条也没有把个人信息明确列举进去。这种保护方式，无疑会在什么是个人信息，个人信息是不是民事权利，是否应当给予法律保护，如何给予民事救济等方面产生解释上的分歧以及司法操作上的不统一，从而使个人信息主体的合法权益保护大打折扣。所以，应在《侵权责任法》或其他民事法律中明确加入个人信息，使个人信息保护权利化，并确立个人信息权是一种独立的民事权利。一是明确个人信息的概念与范畴——个人信息指自然人的姓名、出生年月日、身份证号码、户籍、遗传特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动等可以直接或间接识别特定个人的信息;二是确定个人信息权的内容——信息决定权、信息保密权、信息查询权、信息更正权、信息封存权、信息删除权、信息报酬请求权;三是规定个人信息权的民事救济方式——在人格权的救济方面，可以包括停止侵害、赔礼道歉、消除影响、恢复名誉、赔偿损失等方式，并且根据侵害行为的情节及其后果，可以考虑适用精神损害赔偿(严重损害人身权益的场合)甚至惩罚性赔偿(主观恶性大、损害后果严重、行为人获利巨大的场合);在财产权的救济方面，可以适用《侵权责任法》第20条规定确立的规则来确定赔偿范围，即:“侵害他人人身权益造成财产损失的，按照被侵权人因此受到的损失赔偿;被侵权人的损失难以确定，侵权人因此获得利益的，按照其获得的利益赔偿;侵权人因此获得的利益难以确定，被侵权人和侵权人就赔偿数额协商不一致，向人民法院提起诉讼的，由人民法院根据实际情况确定赔偿数额。”

(二)制定专门的《个人信息保护法》

民法虽然是权利法，可以赋予民事主体享有个人信息权，但它同时又是基本法，无法就个人信息保护中的一系列问题做出专门且足以细致的规定，如个人信息保护与个人信息流通的衡量问题，个人信息保护的基本原则，个人信息的收集、处理、利用以及法律责任等等。同时，虽然我国目前已经有近40部法律、30部法规和近200项部门规章涉及个人信息保护，但规定零散，内容缺乏统一性与衔接性，最大的弊端还在于规定过于原则，操作性差，无法作为直接定案的依据。所以，在民法之外，必须制定一部专门的、具有完整意义的《中国人民共和国个人信息保护法》。其主要内容基本上包括:一是明确立法目的，即规范个人信息的处理，保护自然人的个人信息安全，保障个人信息的合法利用;二是确定个人信息保护法的适用范围，既规范国家机关对个人信息的收集、处理和利用，也规范非国家机关对个人信息的收集、处理和利用;三是明确个人信息的概念，即个人信息指自然人的姓名、出生年月日、身份证号码、户籍、遗传特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动等可以直接或间接识别特定个人的信息;四是规定个人信息保护法的基本原则，即知情同意原则、目的明确原则、限制利用原则、完整正确原则、本人参与原则、安全原则;五是确定个人信息主体的权利与信息处理主体的义务，如:信息决定权、信息保密权、信息查询权、信息更正权、信息封存权、信息删除权、信息报酬请求权，从信息处理主体角度而言，他们则负有保障信息主体所享权利的义务;六是规定对个人信息保护进行限制的情形——为保护公共利益的;为免除信息权利人人身或财产上的紧迫危险的;防止他人权益的重大危害而有必要的;信息权利人书面同意的;履行法定义务的;七是规定信息处理者违法行为的法律责任，主要是民事与行政责任。这样就可以强化个人信息处理者的责任，加强对个人信息的监控和保护，确保公民的个人信息安全，同时也可以终止以前立法零散、原则化、抽象化、不统一的局面。

(三)完善刑法中个人信息犯罪的犯罪构成

2009年《刑法修正案(七)》中确立了“出售、非法提供公民个人信息罪”、“非法获取公民个人信息罪”两个罪名，标志着我国公民个人信息的保护步入了刑法保护的高规格时代，但是在随后的司法实践中却又遭遇了一些犯罪认定上的难题，已在上面论述。所以完善两罪的犯罪构成，又成为了理论界与司法界的紧急呼声。一方面，应该扩大犯罪主体的范围。现实生活中，除了国家机关、金融、电信、交通、教育、医疗等单位外，招聘网站、猎头公司、房地产公司、物业公司、中介机构、教育辅导机构、酒店、物流公司等机构甚至个人都是泄露个人信息的罪魁祸首，所以，在犯罪主体的规定上应该强调行为人的目的和动机，或强调获取信息是由其工作或职务性质所决定的，不应对行为人所处的岗位或领域做出限制。另一方面，明确犯罪对象“个人信息”的范围。虽然上已述及在民法及个人信息保护法中规定个人信息，但是还应强调民法和刑法的目的不同，一个重在补偿，一个重在惩罚，后果存在巨大差别。因此，不宜将民法及个人信息保护法保护的所有个人信息都认为是本罪的犯罪对象，而是应该从立法本意和法益保护的初衷来确定由刑法保护的对象。刑法保护的应该是那些能为他人谋取正当或不正当的利益提供便利且泄漏后给公民本人合法利益带来严重侵害的个人信息，大概包括以下三个方面:一是与公民个人身份密切相关的信息，如公民身份证上的信息，这些信息的泄露往往会给不法分子实施诈骗等犯罪带来便利，从而危及公民的人身就财产安全;二是与公民个人财产状况相关的信息，如公民在购买房屋、汽车等财产时所留下的基本信息，一旦被泄露将导致公民的生活受到严重的干扰甚至重大的财产损失;三是涉及公民个人隐私方面的信息，这些个人信息一旦泄露将严重侵犯公民的隐私利益。三是应对“情节严重”做出更为明确的解释。个人信息犯罪是情节犯，何为“情节严重”，关乎着罪与非罪的认定，必须加以明确，建议应该考虑以下几个方面的因素:非法获利的多少、个人信息的数量多少、实施次数的多少、是否造成严重后果、是否用于违法犯罪活动等［8］。

(四)建立、健全行业自律机制

由于立法总是缓慢而滞后的，不管是在立法保护缺失的情况下，还是在立法已经制定的情况下，行业自律都不失为一种有效的保护个人信息的模式。虽然前面述及我国也有相应行业自律的做法，但是在行业自律的效果上却差强人意。在这方面，可以借鉴美国的行业自律形式:一是建议性的行业指引，作用在于为网络隐私的保护提供一个广为接受的范本，如在线隐私联盟的指引，成员公司同意采纳和执行张贴在线隐私联盟的隐私政策，该政策规定应全面告知消费者网站的资料收集行为，包括:所收集信息的种类及其用途，是否向第三方披露该信息等;二是网络隐私认证，不同于适用于同一行业内部的建议性行业指引，它适用于跨行业的联盟，通过授权那些达到其提出的隐私规则的网站张贴其隐私认证标志，以便于用户识别那些遵守了特定的信息收集行为规则的网站，同时也便于网络服务商显示自身遵守规则的情况。这意味着网络隐私认证计划的认证标志具有商业信誉的意义，是一种特殊的认证标志;三是技术保护模式，为更好地鼓励甚至是强制推行隐私权保护提供了基本的技术支撑。技术保护模式是将保护消费者隐私的希望寄托于消费者自己手中，通过某些隐私保护的软件，在消费者进入某个收集个人信息的网站之时，该软件会提醒消费者什么样的个人信息正在被收集，由消费者决定是否继续浏览该网站，或者由消费者在软件中预先设定只允许收集特定的信息，除此以外的信息不许收集等等［9］。如此，便能形成对个人信息保护的有效的激励与约束机制，完成对立法保护个人信息的有效补充。

［1］井慧宝，常秀娇.个人信息概念的厘定［J］.法律适用，2011(3):90－93.

［2］廉霄.从民法视角看隐私与个人信息保护的制度安排［J］.黑龙江省政法管理干部学院学报，2010(8):58－60.

［3］蓝蓝.确立个人信息财产权的必要性与正当性研究［J］.中国科技法学年刊，2008(1):211－219.

［4］王利明.论个人信息权在人格权法中的地位［EB/OL］.［2013－05－21］.http://www.aisixiang.com/data/61443.html?page=1.

［5］杨帆.刑法新增侵犯个人信息两罪之评析［J］.铁道警官高等专科学校学报，2010(3):60－63.

［6］何荣功.刑法亮剑个人信息保护［J］.中国审判新闻月刊，2009(5):16－19.

［7］刘帅，谢笑，谢阳群，等.欧美网络个人信息保护的启示［J］.淮北师范大学学报，2012(6):63－67.

［8］李群.侵犯公民个人信息罪认定中的若干问题研究［D］.武汉:中南民族大学法学院，2012.

［9］谢守分.网络个人隐私保护的行业自律模式［EB/OL］.［2013－05－09］.http://www.148cn.org/html/69/n－12169.html.