摘 要 后信息时代全民信息不可避免的扩散带来的被无边际使用、处分，从而导致信息诈骗等危害性乃至于更为广泛的社会和国家层面的危险性，对立法、司法均提出了更高的新的要求。文章分析了个人信息保护法律法规不断完善、处罚力处度不断加大、监管水平不断提升等现状。

关键词 数据库 个人信息 行政监管 民事救济 刑法规制

作者简介：树宏玲，北京市惠诚（深圳）律师事务所律师、合伙人，十届深圳市律师协会民事法律专业委员会副主任，研究方向：民商事诉讼、刑事辩护。

中图分类号：D922.7 文献标识码：A DOI：10.19387/j.cnki.1009-0592.2017.10.111

随着计算机及智能手机的普及、传统互联网及移动互联网的全面覆盖，社会管理、商业经营、无纸化办公、网络购物、电子支付等等应运而生，人们的工作生活无处不存在着各类信息的搜集，其中个人信息搜集占比最大。这样的信息时代，虽然缩短了人与人之间的距离、方便了人们的工作生活，但是也带来了信息数据特别是个人信息数据的安全问题。

近年来，个人信息的泄露引发的社会问题、法律问题层出不穷，2016年8月21日徐玉玉遭遇电信诈骗伤心欲绝、郁结于心导致心脏骤停离世，引发了全社会及法律界对个人信息保护的深度思考。本文信息数据库中的信息数据特指个人信息数据，文章从信息数据库的形成、归属及所有权，数据库的运营及数据传播方式，行政监管，民事救济，刑法规制等角度来分析解决个人信息保护问题。

一、 信息数据库的形成

信息数据库是以计算机或手机终端为载体，通过机构、网站、网购支付平台等媒介对信息进行搜集、保存。常见的有银行客户信息、微信实名信息、各类招考网站考生信息、各类网购平台实名及绑定银行信息等等。这些机构、网站或网购支付平台在运营过程中搜集的信息通过机械式地集合、分项统计归类等方式就形成了各种数据库，如：储户信息、报考信息、各类交易支付信息等，这些信息无不包含着或多或少的个人信息，因此可以统称为个人信息数据库。

二、数据库的归属及所有者权利

信息本身不是财产，且来源于各个个体，因此不能对信息本身确定归属问题。但是，有物质载体的数据库就不同了，一般来说，机构、网站、网购支付平台等基于自身业务经营需要，将经公民同意搜集的信息进行集合、整理、分项统计归类而形成并保存于计算机或手机终端的数据库，则可依据其计算机或手机终端的归属来确定归属。那么数据库的所有者是否如物权法所规定的享有占有、使用、收益、处分的权利呢？笔者认为数据库的所有权是一种不完全的、受限的权利，其中占有、使用两项权利的行使没有争议，但收益权和处分权因涉及第三人个人隐私或利益则应当被限制甚至禁止。

三、数据库的运营及数据传播方式

大数据时代之所以称其大，是因为数据集合的海量、巨量。面对海量、巨量的信息，数据库的所有者往往不满足于自身业务所需，而通过大数据分析对数据库进行筛选、包装、进行商业化运作。有的实行资源共享收取使用费，有的根据不同需求分类打包直接售卖，前者直接通过互联网进行了信息的传播，后者既可以互联网传播也可以线下实物交易，他们的共同之处在于都非因社会公共利益需要而传播个人信息。

四、数据库运行的行政监管

我国在计算机等网络科技领域发展很快，除数据库所有者外、近年来各类以盈利为目的数据分析公司也是遍地开花，层次参差不齐。而相应的监管往往鲜有法律依据。2013年的《信息安全技术公共及商用服务信息系统个人信息保护指南》对个人信息处理规定了基本原则。2016年11月7日《中华人民币共和国网络安全法》（2017年6月1日施行）的发布，才对网络运营监督管理、个人信息的收集使用、法律责任等进行了更详细的规定。

一是《网络安全法》进一步明确了政府各部门的职责权限，完善了网络安全监管体制。该法第八条规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作，国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作。这种“统筹安排、分工负责、一核心多部门联动”的监管模式，符合当前互联网社会碎片化、多元化、交互性的特点和我国监管需要，提高监管效率和覆盖面。

二是《网络安全法》第三章着重对网络运行安全作了详细规定，对关键信息基础设施的运营者在采购、保密、个人信息和重要数据的储存及境外使用等方面作出了详细的严格规定，这些制度或措施进一步预防了数据泄露，也确认了责任主体，避免了数据泄露造成侵权，责任主体不清晰的情况发生。笔者认为，将来若有该法的实施细则，则可以在细则中对相关责任主体进行细化和列明。而第四章网络信息安全，几乎整章对用户信息保护制度，个人信息的收集使用原则、规则、目的、方式和范围，禁止任何个人和组织窃取或者以其他非法方式获取个人信息，禁止非法出售或者非法向他人提供个人信息等作了详细的规定，赋予公民“举报、投诉网络运营者”、“要求网络运营者删除违法或违约使用的个人信息及更正错误的个人信息”等权利使得公民获得了加强个人信息保护的有力武器。

三是《網络安全法》在法律责任中规定了侵害个人信息的一些具体处罚措施，如警告、没收违法所得、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等等，提高了处罚标准，加强了处罚力度，增加了违法成本，进一步威慑违法的个人或机构，有利于保障《网络安全法》的实施，从而保护个人信息的安全。

五、个人信息侵权的民事救济

2017年3月15日发布的《民法总则》（2017年10月1日起施行）第111条规定，“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”第一次将个人信息作为民事权利写入法律，为权利保护筑起高墙。endprint

一是确定了自然人的个人信息（指与特定个人相关联的、反映个体特征的、具有可识别性的特殊系统，包括个人身份、工作、家庭、财产、健康等各方面的信息）受法律保护。值得一提的是本条只规定了个人信息应当受法律保护，并没有使用“个人信息权”这一表述，表明《民法总则》并没有将个人信息作为一项具体的人格权利，但为个人信息保护提供了法律依据。

二是保护的内容。

第一，要求信息依法取得，包括：

1.收集信息的主体合法，收集机构主要是有法律授权的主体（如国家机关）及获得信息主体同意的信息收集机构。

2.信息收集手段必须合法，遵循合法、自愿和必要原则、目的合法。

第二，要求确保信息安全，包括了储存安全、传递安全、使用安全等。

第三，禁止非法利用，规定了必须再法律规定的范围内喝信息主体同意的范围内利用（包括使用、加工、传输、买卖、提供和公开等）。

三是保护的方式。当权利人个人信息被侵害时，可以要求停止侵害、排除妨碍、更新更正、提出精神损害赔偿或者财产损害赔偿加以救济。当受害人难以证明自己损失数额时，可以将侵权者所获利益视为受害人损失来确定损害赔偿的数额。

六、侵犯公民个人信息犯罪的刑法规制

刑法是权利保障的最后手段，当其他的制裁方式不足以抑止某种行为，不足以保护合法权益时，就将这种危害社会的行为纳入刑法适用范围。也就是说，当前述的行政处罚、民事救济都不足以保护个人信息不受侵犯时，就用刑法对侵犯个人信息的严重行为作出制裁。

《刑法修正案七》出台之前，针对个人信息泄露致使受害人合法权益遭受严重损害的行为，我国《刑法》通常将其作为实施其他犯罪的手段或犯罪的预备阶段处理，以相应的罪名定罪量刑。《刑法修正案七》第七条填补了公民个人信息保护的刑法空白。《刑法修正案九》第十七条在《刑法修正案七》的基础上在犯罪主体、犯罪行为、量刑处罚方面作了更详细的规定，罪名确定为侵犯公民个人信息罪，该罪的犯罪主体为一般主体（任何年满16周岁的人），也包括特殊主体（国家机关或者金融、电信、交通、教育、医疗等单位本身以及单位的工作人员）。客观方面根据主体不同表现为违反国家有关规定，向他人出售或非法提供公民个人信息的行为、将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人，情节严重的行为、窃取或者以其他方法非法获取公民个人信息的行为。客体是公民的个人信息权。主观方面是故意。该罪最高可以处七年以下有期徒刑，并处罚金。

2017年2月28日，廣东警方集中开展“飓风1号”专案收网行动，成功摧毁侵犯公民个人信息犯罪团伙6个，加强了打击此类犯罪的力度。各级部门都认识到个人信息保护的重要性及侵犯个人信息的危害性。

2017年5月9日两高发布《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》及相关典型案例。对“公民个人信息”的范围、“非法提供、获取公民个人信息”的认定标准、“侵犯公民个人信息罪的定罪量刑标准”等九项标准进行了规定。《解释》将公民个人信息根据涉及内容不同作了相应分级，包括敏感信息、重要信息和普通信息，并对侵犯公民个人信息按照信息类型的不同规定了“50条、500条、5000条”，明确了侵犯公民个人信息罪的入罪标准，对于“内部人”犯罪则规定“减半计算”，从源头上从重打击。

综上，个人信息泄露的主要源头来源于各类信息数据库的不良运营管理，以及直接掌控信息数据库的不善之人，我们应当行政、民事及刑事手段相结合，多元化、多层次、全方面治理、打击侵害公民个人信息的违法行为或犯罪，还网络和社会一个清静和安宁。endprint