尹佳星

（100088 中國政法大學民商法學院 北京）

一、個人信息的界定

目前，學界主流觀點認為對個人信息的判別主要以該信息是否能夠識別個人的身份為標準，只要信息能夠直接識別或間接識別個人身份，即可構成受法律保護的個人信息。按照這種觀點，個人信息是指個人的姓名、性別、年齡、血型、健康狀況、身高、人種、地址、頭銜、職業(yè)、學位、生日、特征等可以直接或間接識別該個人的信息。[1]

有學者將個人信息的概念等同于個人隱私，筆者不贊同這種觀點。筆者認為，個人隱私主要是指公民個人不愿公開、如果公開可能會影響公民私人生活安寧的信息，而個人信息則是指一切可以識別個人身份的信息，既包括公民愿意公開和不愿公開的信息，也包括會對公民私人生活產(chǎn)生影響和不會對公民私人生活產(chǎn)生影響的信息，其概念范圍比個人隱私大了許多。

二、我國法律對個人信息保護的現(xiàn)狀

2017年10月1日起施行的最新《民法總則》第111條明確將個人信息納入法律保護范疇，是我國法律在保護個人信息方面取得的重大進步和重要里程碑。2017年6月1日起施行的《網(wǎng)絡安全法》第40條至45條的規(guī)定對網(wǎng)絡經(jīng)營者、網(wǎng)絡安全監(jiān)管部門及其人員收集、使用、保管個人信息的行為進行了限制，對于從網(wǎng)絡安全角度保護個人信息具有積極意義。此外，全國人大常委會《關于加強網(wǎng)絡信息保護的決定》《憲法》《刑法》《侵權責任法》《消費者權益保護法》《電子簽名法》《居民身份證法》等法律法規(guī)中也有保護個人信息的相關規(guī)定。2017年3月兩會期間有全國人大代表提交《關于制定〈中華人民共和國個人信息保護法〉的議案》，同時將《中華人民共和國個人信息保護法(草案)》作為附件提交，對于我國《個人信息保護法》的制定和法學界研究個人信息保護，具有相當大的參考價值和借鑒意義。

三、我國法律在個人信息保護方面存在的不足及完善建議

受立法的不完善、信息收集者的“逐利”思想、信息侵權者的法律觀念淡薄、信息主體對個人信息的重視程度不夠以及監(jiān)管的缺乏等因素綜合作用，我國個人信息面臨著來自收集、使用、管理等各個層面的侵害，信息泄露、被非法獲取、被過度使用、被交易等事件時有發(fā)生，極大的損害了信息主體的權益。針對個人信息屢遭侵害的現(xiàn)實，筆者建議加快制定出臺《個人信息保護法》的步伐，對公民個人信息進行全面保護。

第一，在《個人信息保護法》中，明確信息主體為自然人，其擁有個人信息權。采取列舉與概括性規(guī)定相結合的方式來界定個人信息的范圍。信息主體享有對個人合法信息自由支配、使用并排除他人侵害的權利；信息主體享有對個人信息的知情權、修改權和刪除權。

第二，加強信息收集者責任。明確信息收集者可以收集的信息范圍或不能收集的信息范圍；在收集信息時應當經(jīng)過信息主體同意，應當在具有告知性質的告知書或聲明中以顯眼的方式告知涉及信息主體權益、加重信息主體責任及減輕信息收集者責任的重要條款，可以采用標注亮眼顏色、字體加粗等形式；收集信息后，應當采取設立專門信息庫或加密等方式妥善保管，如收集的信息遭遇遺失、非法獲取、非法使用、非法轉讓、篡改、非法公開等情形時應當及時通知信息主體；對信息收集者收集的信息設定使用期限，當其收集信息的合法目的達到或經(jīng)過設定的期限后，應當刪除信息或再次征得信息主體同意可以保留；限制信息的二次使用，除無法識別個人身份的信息外，信息收集者對所收集的信息進行二次開發(fā)利用、轉售或提供給第三方時，應當經(jīng)過信息主體同意。

第三，確立侵犯個人信息權的歸責原則、責任承擔及救濟方式。鑒于信息主體相對于信息收集者往往處于弱勢地位，可以采用過錯推定的歸責原則；在責任承擔方面，明確懲罰的主體、懲罰方式及情形；在救濟方面，可以采用民法、刑法、行政法并行的方式，對信息主體進行全方位保護。

第四，鼓勵行業(yè)自律?？紤]到我國目前社會及網(wǎng)絡安全狀況，建議以立法保護為主，同時鼓勵涉及個人信息收集和使用的行業(yè)建立自律性規(guī)范，并由國家專門的機構對行業(yè)的自律規(guī)范進行審查，經(jīng)審查通過的自律性規(guī)范可以在全行業(yè)施行。

第五，加強監(jiān)管。目前，我國個人信息保護處于多部門監(jiān)管狀態(tài)，公安部、工信部、全國工商局、商務部、中國人民銀行、銀監(jiān)會、保監(jiān)會、證監(jiān)會等都負有個人信息監(jiān)管職責，[2]如此多機構的監(jiān)管，彼此之間溝通不暢，信息共享不及時，不利于對個人信息進行保護。建議設立一個機構或在上述部門中選取一個或少數(shù)幾個部門專門負責個人信息監(jiān)管事宜。

第六，作為信息主體的個人應當提高自我保護意識，主動學習了解與個人信息相關的法律知識；加強對個人信息的保護，不隨意注冊軟件，不輕易進入不安全鏈接，注冊賬號時要仔細查看告知書或聲明；要隨時、主動了解個人信息被使用的情況，在個人信息權被侵犯后，要及時尋求法律救濟途徑；等等。