王翔 沈挺 趙海洋

摘 要：隨著現(xiàn)代信息技術(shù)的飛速發(fā)展，公民個人信息的安全問題日趨凸顯。目前全球已有多個國家和地區(qū)對其進(jìn)行了專門的立法保護(hù)，他們成功的立法模式也給我們當(dāng)前公民個人信息安全的保護(hù)提供了方向，尤以美國與歐盟的立法模式最具參考性。因此，本文通過對比分析美國與歐盟兩種立法模式來綜合評判這兩種模式對我國公民個人信息法律保護(hù)的借鑒意義，然后就我國個人信息安全保護(hù)的立法模式選擇與相關(guān)制度構(gòu)建提出具體的立法建議，并確立《公民個人信息保護(hù)法》的綱領(lǐng)性地位，以構(gòu)建一個體系完整的公民個人信息安全法律保護(hù)模式。

關(guān)鍵詞：公民；個人信息；立法模式；法律保護(hù)

在信息大爆炸時代的今天，個人信息早已成為信息社會的一種重要社會資源，誰掌握了信息，誰就在商業(yè)活動中取得了制勝之匙。因此，大量的商業(yè)機(jī)構(gòu)開始利用計算機(jī)等現(xiàn)代科技手段對個人信息進(jìn)行大規(guī)模地自動化收集與加工處理。正如杰弗里·羅森所說，新經(jīng)濟(jì)完全是基于對個人信息的積累和交換，這是一場史無前例的運(yùn)動。網(wǎng)絡(luò)媒體的發(fā)展，科學(xué)技術(shù)的提高使得別有用心的人對公民信息資料的獲取易如反掌，公民信息時常遭到商家的不正當(dāng)利用，販賣、倒賣，以致公民信息被侵行為為公民的人身、財產(chǎn)安全、社會的安定有序埋下巨大的隱患。近來，隨著2000萬條酒店開房信息被泄露，阿里巴巴旗下支付寶前技術(shù)員工將支付寶客戶20G資料內(nèi)容出售、販賣與電商公司和數(shù)據(jù)公司也即支付寶“內(nèi)鬼”事件的東窗事發(fā)，人們才恍然發(fā)現(xiàn)公民個人信息早已不自覺的暴露于“光天化日”之下，個人信息安全被侵犯的嚴(yán)重程度可見一斑。

然而這種威脅不僅僅來自于網(wǎng)絡(luò)、媒體、商家等平等主體，也來自于政府部門等公權(quán)力。后者因其負(fù)載的權(quán)威性、支配力和國家強(qiáng)制力，使其對個人信息的安全有更大的威脅，而且因其手段的多樣性，與信息主體地位的不平等性，范圍的廣泛性使得信息主體對其防御更是難上加難。在此情形下，只有讓公權(quán)力在法律的監(jiān)管之下，個人信息才能得到有效的法律保護(hù)，也才能從根本上遏制公權(quán)力對于個人信息的侵犯。本文擬對美國、歐盟兩種個人信息立法模式進(jìn)行簡要評析，分析兩種立法模式的優(yōu)缺點，在批判吸收兩種立法模式的基礎(chǔ)上創(chuàng)設(shè)性地提出我國個人信息安全立法保護(hù)模式，并對我國個人信息安全法律保護(hù)模式的相關(guān)制度進(jìn)行理論探討。

一、個人信息基本理論簡介

要探討公民個人信息安全法律保護(hù)問題，首先就應(yīng)明確公民個人信息的概念。在筆者看來，公民個人信息是指那些能夠直接或間接識別出特定自然人身份的信息，其具有人格屬性。我國學(xué)者對公民個人信息所包含的內(nèi)容基本已達(dá)成共識：公民個人信息包括信息主體生理的、心理的、智力的、個體的、社會的、經(jīng)濟(jì)的、文化的、家庭的等方方面面的信息總和。正如周漢華2006年在其專家建議稿中所定義的，個人信息是指“個人姓名、住址、出生日期、身份證號碼、醫(yī)療記錄、人事記錄、照片等單獨(dú)或與其他信息對照可以識別特定的個人的信息”。具體地說，它涵蓋了公民個人的基本信息、家庭背景、求職履歷、人事檔案等任何單獨(dú)或與其他信息比對可以識別特定個人的信息。隨著人類進(jìn)入信息時代，計算機(jī)技術(shù)與云計算飛速發(fā)展，全球經(jīng)濟(jì)一體化趨勢加強(qiáng)，以及法治進(jìn)程持續(xù)推進(jìn)，我國對公民個人信息安全保護(hù)的需求比以往任何時候都更加迫切。

二、當(dāng)前我國公民個人信息安全法律保護(hù)中存在的不足

由于當(dāng)前我國還沒有頒布一部專門保護(hù)公民個人信息安全的法律，因而我國尚未形成一個統(tǒng)一的關(guān)于個人信息保護(hù)方面的法律體系。我國當(dāng)前對公民個人信息的保護(hù)主要通過制定單行法，在單行法中設(shè)置專門條款加以規(guī)制約束，以致相關(guān)規(guī)定缺乏系統(tǒng)性與完整性，難以在具體的司法實踐中操作并發(fā)揮作用。而對公民個人信息的保護(hù)過度依賴行業(yè)自律，當(dāng)行業(yè)自身的監(jiān)管已經(jīng)形同虛設(shè)時，公民信息買賣已悄然形成產(chǎn)業(yè)鏈。因此，我國急需在相關(guān)行業(yè)建立起具有法律約束力的個人信息管理規(guī)范。隨著2009年《刑法修正案（七）》將侵犯公民個人信息的行為入刑，由于缺乏相關(guān)配套的司法解釋，沒有明確的定罪量刑的處罰追責(zé)標(biāo)準(zhǔn)，因而近年來受到刑事處罰的侵犯公民個人信息罪的犯罪分子卻也寥寥無幾，沒有起到真正的懲治與預(yù)防犯罪的的作用，目前公民個人信息安全被侵犯的形勢仍然不容樂觀。^[1]

現(xiàn)有的法律制度在保護(hù)個人信息安全方面主要存在以下幾個方面的問題：一、對個人信息的認(rèn)定沒有一個明確的標(biāo)準(zhǔn)，這就造成調(diào)取證據(jù)艱難，認(rèn)定責(zé)任困難，導(dǎo)致具體司法實踐操作性差。二、沒有一個完善的、可操作的刑事和行政處罰體系。當(dāng)前我國還未推出這兩個層次的追責(zé)標(biāo)準(zhǔn)，行政處罰的標(biāo)準(zhǔn)也沒量化，難以判斷一個“信侵犯”行為是否應(yīng)當(dāng)追究刑事或行政責(zé)任。三、現(xiàn)有法律效力層次低、系統(tǒng)性差，缺乏一部綱領(lǐng)性地位的個人信息安全保護(hù)法，當(dāng)前涉及個人信息安全方面的法律多為行政性法律，且零星分散，不成體系，難以起到懲治與打擊“信侵犯”行為的作用。

三、美國、歐盟個人信息立法模式對我國立法的借鑒

在個人信息立法模式的發(fā)展歷史上，對全球個人信息立法模式的構(gòu)建影響最大的無疑是美國模式與歐盟模式。因為美國與歐盟的立法理念與法制傳統(tǒng)不同，故而兩大法律實體在對個人信息的保護(hù)上所采取的保護(hù)手段與方法大相徑庭。面對著個人信息被肆意侵犯的嚴(yán)峻形勢，兩大立法模式我國個人信息安全保護(hù)立法又有何借鑒意義，將是一個令每個法律人深思的問題。

（一）美國個人信息法律保護(hù)模式簡評

由于歷來美國都奉行規(guī)制政府公權(quán)力，而保護(hù)公民個人主義思潮，公民個人自由已成為美國法律文化中最重要的一部分，因而隱私權(quán)一直都是美國公民權(quán)利保護(hù)的重點。因為在美國許多涉及公民個人信息的行業(yè)已經(jīng)建立起了穩(wěn)定的、具有約束力的個人信息管理規(guī)范，而且在美國已經(jīng)形成了個人信息管理與保護(hù)的具體格局和模式，因而美國的法律文化一直排斥著政府公權(quán)力的干涉。因此，美國對公民個人信息采取行業(yè)自律和分散立法相結(jié)合的保護(hù)模式。因而美國的個人信息法律保護(hù)模式的核心內(nèi)容是：通過行業(yè)自律和單行立法相結(jié)合的方式來保護(hù)公民的隱私權(quán)。

美國的個人信息法律保護(hù)模式的特征如下：第一，相比于對個人隱私權(quán)的保護(hù)，更加重視政府公權(quán)力對個人自由的干涉。第二，美國對公民隱私權(quán)的保護(hù)在公、私領(lǐng)域采取了不同的保護(hù)手段：在公共領(lǐng)域，制定單行法規(guī)規(guī)制公權(quán)力，規(guī)范國家機(jī)關(guān)的行為，制定懲戒措施來保護(hù)公民個人隱私安全；而在私人領(lǐng)域，美國則主要通過制定行業(yè)規(guī)范來加強(qiáng)行業(yè)自律以維護(hù)公民隱私權(quán)，并設(shè)立相關(guān)協(xié)會加強(qiáng)監(jiān)督管理來保護(hù)公民個人的隱私權(quán)。通過分析，不難發(fā)現(xiàn)美國的這種行業(yè)自律個人信息保護(hù)模式的最大特別之處就是針對公私兩個領(lǐng)域的隱私權(quán)的保護(hù)采取了分散立法、區(qū)別保護(hù)的方式，這就在一定程度上避免了國家立法對個人信息保護(hù)的干預(yù)。然而，該模式也有其自身缺陷：比如它沒有一個合理的爭端解決機(jī)制，行業(yè)規(guī)范約束力不強(qiáng)，行業(yè)自律功效一般，難以應(yīng)對現(xiàn)實問題。^[2]例如，有的商家竭力規(guī)避行業(yè)規(guī)范，為了實現(xiàn)自己的商業(yè)利益，買賣、利用、透露公民個人信息時有發(fā)生，進(jìn)而導(dǎo)致公民個人信息權(quán)被侵犯。

（二）歐盟個人信息法律保護(hù)模式簡評

與美國不同，歐盟大多數(shù)成員國一直奉行成文法的法制傳統(tǒng)，主張國家權(quán)力對社會生活的全方位的積極干預(yù)，因而歐盟采取了以國家統(tǒng)一立法為主、行業(yè)自律為輔的形式來加強(qiáng)國家對公民個人信息的保護(hù)的個人信息法律保護(hù)模式。它主要通過雙層次、綜合立法對個人信息進(jìn)行保護(hù)，且格外關(guān)注對私人領(lǐng)域的個人信息保護(hù)。

盡管歐盟的雙層次、綜合立法個人信息保護(hù)模式優(yōu)勢明顯：以國家立法的形式加強(qiáng)對公民信息的保護(hù)，使得對個人信息的保護(hù)更加全面、規(guī)范、具體，有法可依，并以國家強(qiáng)制力作為后盾，在打擊“信侵犯”上效果顯著，然而，該模式也有其本身缺陷：它在歐盟范圍內(nèi)沒有設(shè)立一個統(tǒng)一的實施機(jī)構(gòu)以實現(xiàn)個人信息的保護(hù)，對于“信侵犯”的行為，歐盟本身沒有執(zhí)行能力，無力加以處罰，這在一定程度上給予了犯罪分子可乘之機(jī)。由于“信侵犯”行為需要依賴成員國的個人信息保護(hù)機(jī)構(gòu)來進(jìn)行制裁、懲治，而歐盟成員國內(nèi)部機(jī)構(gòu)對此類行為的監(jiān)督又受到多方面因素的制約。^[3]而且這種模式還有其他不足，比如國家對社會生活的過度干預(yù)有可能會阻礙個人信息的正常、合理流通，從而束縛企業(yè)的自由發(fā)展。

（三）我國個人信息法律保護(hù)模式的選擇

通過分析，不難發(fā)現(xiàn)美國個人信息法律保護(hù)模式與歐盟個人信息法律保護(hù)模式都有其自身優(yōu)缺點。正如有的學(xué)者所說，美國個人信息法律保護(hù)模式注重行業(yè)自律，并施以大量的單行法法規(guī)，立法較為松散，而歐盟個人信息法律保護(hù)模式則注重統(tǒng)一立法，但是法規(guī)大都較為嚴(yán)苛、死板，且沒有一個具體的可操作機(jī)構(gòu)，執(zhí)行力較差。故而有學(xué)者建議在我國實施綜合保護(hù)模式，即在美國個人信息法律保護(hù)模式中注入歐盟的一些關(guān)于個人信息安全的法律保護(hù)制度，或在歐盟個人信息法律保護(hù)模式的基礎(chǔ)上，適當(dāng)加入些行業(yè)自律的管理規(guī)范或添加一些美國立法保護(hù)模式的制度。^[4]當(dāng)前國內(nèi)大多數(shù)學(xué)者都主張后一種綜合保護(hù)模式。在筆者看來，從我國目前國內(nèi)立法情況來看，由于我國也是大陸法系國家，因而我國應(yīng)當(dāng)采取在歐盟個人信息法律保護(hù)模式的基礎(chǔ)上，適當(dāng)加入一些美國個人信息保護(hù)制度的立法模式，優(yōu)劣互補(bǔ)，博采眾長，也即以國家統(tǒng)一立法為主，行業(yè)自律為輔的法律保護(hù)模式。其主要原因是中國尚未出臺公民個人信息安全保護(hù)法，相關(guān)行業(yè)規(guī)范尚不健全，且中國信息產(chǎn)業(yè)的行業(yè)力量尚不夠強(qiáng)大，行業(yè)組織的控制力不強(qiáng)，僅僅依靠企業(yè)自律尚難實現(xiàn)，因此需要以國家立法為主導(dǎo)，并加強(qiáng)政府的調(diào)控和保護(hù)角色。

（四）我國個人信息安全法律保護(hù)模式的相關(guān)制度探討

據(jù)相關(guān)數(shù)據(jù)資料顯示，由于當(dāng)前國內(nèi)個人信息保護(hù)立法不足，相關(guān)行業(yè)規(guī)范形同虛設(shè)，加之公民個人防護(hù)意識欠缺，我國公民個人信息保護(hù)狀況十分令人堪憂，社會公眾對個人信息安全遭受侵犯的事實反響強(qiáng)烈卻也無可奈何。在筆者看來，要妥善解決好侵害個人信息的社會問題，需要在理論和實踐統(tǒng)一的層面做到以下幾點：第一，國家立法機(jī)關(guān)應(yīng)統(tǒng)一立法，盡早推出《公民個人信息保護(hù)法》，以發(fā)揮該法在保護(hù)公民個人信息法安全中的基礎(chǔ)性作用，并使之作為個人信息保護(hù)基本法，讓公民個人信息的保護(hù)做到有法可依。第二，完善涉及保護(hù)公民信息安全的單行法法規(guī)與相關(guān)行業(yè)規(guī)范，完善信息持有人與管理人的責(zé)任追究機(jī)制，針對“信侵犯”行為制定相關(guān)懲戒措施，提倡行業(yè)自律。第三，構(gòu)建一個完善的、可操作性強(qiáng)的刑事和行政處罰體系，明確相關(guān)處罰追責(zé)標(biāo)準(zhǔn)，并建立相應(yīng)的民事補(bǔ)償制度，協(xié)調(diào)處理好“信侵犯”行為人的民事責(zé)任、行政責(zé)任、刑事責(zé)任的法律關(guān)系，讓這三個層次的法律責(zé)任有機(jī)結(jié)合，共同實現(xiàn)對侵犯公民個人信息行為的規(guī)制，確保公民個人信息的安全。

四、結(jié)語

從國內(nèi)外司法實踐來看，有效保護(hù)公民個人信息是一項系統(tǒng)工程，需要立法機(jī)關(guān)、司法機(jī)關(guān)、行政機(jī)關(guān)、企業(yè)、協(xié)會、公民、媒體等協(xié)同作戰(zhàn)。這就要求我們不僅需要充分分析、借鑒其他國家的立法模式、內(nèi)容等的合理之處，進(jìn)行專門立法規(guī)制，統(tǒng)一立法，出臺公民個人信息保護(hù)法，還需要充分發(fā)揮行業(yè)自律管理規(guī)范、道德約束機(jī)制、公民防衛(wèi)意識等相關(guān)非強(qiáng)制性手段的作用，唯有多種保護(hù)手段并用，才能建立一個體系統(tǒng)一、結(jié)構(gòu)完整的公民個人信息法律保護(hù)模式。（作者單位：西南民族大學(xué)）

參考文獻(xiàn)

[1] 李晉等.公民個人信息刑法保護(hù)情況的調(diào)研報告──上海公交專用道運(yùn)行現(xiàn)狀調(diào)查報告.上海法治報[J].2014年1月13日第A07版.

[2] 胡雁云.我國個人信息法律保護(hù)的模式選擇與制度建構(gòu).中州學(xué)刊[J].2011（04）.

[3] 樊愛麗.淺談個人信息安全的法律保護(hù).法制與經(jīng)濟(jì)[J].2013（04）.

[4] 張新寶.中國個人數(shù)據(jù)保護(hù)立法的現(xiàn)狀與展望.中國法律[J].2007（04）.