王 穎

（中國人民銀行寧縣支行，甘肅 慶陽 745000）

一、我國個人商用信息保護和監(jiān)管工作存在的不足

一是我國針對個人的信息保護的立法空白。目前，我國并未出臺保護個人信息的專門法律。我國的《國侵權(quán)責(zé)任法》和《民法通則》中的關(guān)于個人信息保護與侵權(quán)救濟條款，奠定了個人信息保護的民事制度基礎(chǔ)，但相關(guān)條款內(nèi)容過于寬泛，缺乏針對性和具體執(zhí)行力。我國的個人信息保護法立法建議從2003年被提上日程，缺一直未能進入正式的立法程序。我國個人商用信息保護的基本法空白，降低了個人信息保護的司法執(zhí)行力。二是我國對個人商用信息保護范疇的界定過于狹窄。目前，我國關(guān)于個人商用信息的規(guī)定散見于多部法律法規(guī)中，側(cè)重于保護個人信貸信息、通信信息等，對個人信息保護主體的界定主要局限于各行業(yè)內(nèi)部，未能涵蓋與行業(yè)信息有關(guān)聯(lián)的其他主體。致使如醫(yī)療、房產(chǎn)中介、機動車銷售、電信運營、網(wǎng)絡(luò)服務(wù)等行業(yè)及其相關(guān)業(yè)務(wù)人員有許多機會掌握大量公民個人信息。因此這些行業(yè)也往往成為個人信息泄露的“重災(zāi)區(qū)”。三是信息保護監(jiān)管機制不完善?，F(xiàn)階段，我國對個人商用信息監(jiān)管不具備違規(guī)行為發(fā)生后的問責(zé)到底的機制，同時面臨重大群體信息違規(guī)違法事件的處理機制不健全，監(jiān)管主體責(zé)任不明確，行業(yè)監(jiān)管乏力存在漏洞。如，日前支付寶惡意隱藏信息采集授權(quán)條款，導(dǎo)致客戶在不知情的情況下“被同意”了《芝麻服務(wù)協(xié)議》的事件中，支付寶僅僅通過官方微博發(fā)布了道歉說明，但截至目前相關(guān)監(jiān)管機構(gòu)針對整個事件并未對支付寶進行處罰和開展后續(xù)事件調(diào)查。四是缺乏具體有效的救濟方式?，F(xiàn)行對個人金融信息保護的相關(guān)規(guī)定側(cè)重于規(guī)范金融機構(gòu)的行為，而缺乏對數(shù)據(jù)主體權(quán)利、救濟方式和途徑的規(guī)定。這一現(xiàn)狀導(dǎo)致在個人金融保護的實踐中，數(shù)據(jù)主體的權(quán)利容易被輕視，同時侵權(quán)者違規(guī)違法成本低，使得數(shù)據(jù)主體在遭受侵權(quán)行為時往往難以得到民事救濟。

二、國外個人商用信息保護和監(jiān)管的主要做法

（一）明確界定個人信息，增強市場保護和監(jiān)管的針對性

美國側(cè)重對政府權(quán)利的限制，出臺的各項法規(guī)旨在保護公民的隱私權(quán)、財務(wù)信息、健康信息保密性和安全性，在美國《隱私法》中，采用“記錄”代指“個人信息”，指一個機構(gòu)所持有的與一個人相關(guān)的單項信息活信息集合。歐盟雖然比較注重保護社會公眾個人商用信息的隱私權(quán)，但同時出臺了一系列制度確保成員國不會因為對個人信息的過度保護而阻礙個人數(shù)據(jù)在成員國之間的正常交流。歐盟將社會公眾的商用信息界定為和自然人相關(guān)的所有信息，因此歐盟對個人信息的保護內(nèi)容相對廣泛。日本對個人權(quán)利和利益的保護顯著增強，日本將個人信息定義為與一個自然人相關(guān)的，包含姓名、駕照、身份證號、出生日期、軍官證和其他所有可以識別出特定對象的任何信息。

（二）借助行政手段，統(tǒng)一市場管理

美國通過借助政府統(tǒng)一管理，部門分散立法的模式，實現(xiàn)相關(guān)機構(gòu)行為的自我約束、自我規(guī)范，從而保護個人信息的安全，并在個人信息保護和個人信息產(chǎn)業(yè)發(fā)展之間找到平衡。歐盟明確了個人信息保護的基本原則，歐洲議會出臺統(tǒng)一管理框架，各成員國根據(jù)聯(lián)盟統(tǒng)一要求，分別建立自己的個人信息保護法。日本通過行政干預(yù)統(tǒng)一了全國個人信息標(biāo)識，加強個人商用信息的規(guī)范化管理手段。

表1 國外主要國家個人商用信息行政管理規(guī)定

（三）進行專門立法，加強司法監(jiān)督

美國早在上世紀80年代就出臺了《美利堅合眾國隱私法》，規(guī)定了在商業(yè)領(lǐng)域的個人信息保護辦法，是美國保障公民信息安全的重要法律，該法案提出了公民隱私權(quán)為國家憲法必須保障的基本人權(quán)。在1997年，美國又出臺了《美國互聯(lián)網(wǎng)商務(wù)機構(gòu)政策框架》，明確了私營企業(yè)在互聯(lián)網(wǎng)領(lǐng)域保護個人信息的主要義務(wù)，并鼓勵私營企業(yè)為此建立內(nèi)部管理制度，同時提出建立獨立的、公正的第三方機構(gòu)的監(jiān)督機制。歐盟在個人信息保護方面的工作成績突出，這與其出臺嚴格個人信息立法環(huán)境關(guān)系密切?？傮w上看,歐盟個人信息保護的法律從強調(diào)對國家權(quán)力的有效控制以及對私權(quán)領(lǐng)域的嚴格限制，執(zhí)行了集公權(quán)領(lǐng)域與私權(quán)領(lǐng)域于一體的統(tǒng)一立法標(biāo)準(zhǔn)。歐盟于2016年5月24日通過了《一般數(shù)據(jù)保護條例》（General Data Protection Regulation，GDPR），并將于2018年5月25日實施。GDPR的通過意味著歐盟對個人信息保護及其監(jiān)管達到了前所未有的新高度。此外，各歐盟國家也分別制定國內(nèi)的相關(guān)法律，以加強個人信息在本國的保護和監(jiān)管。如瑞典于1973年出臺了《數(shù)據(jù)法》，明確了有關(guān)個人數(shù)據(jù)在采集、加工、保管以及公開等方面的具體措施。德國的《個人數(shù)據(jù)保護法》采用了統(tǒng)一立法的標(biāo)準(zhǔn)，對公民的個人信息采取了統(tǒng)一、規(guī)范的立法保護。法國的《自由信息法》，是一部專門約束公權(quán)力，保護個人信息的法律。英國的《英格蘭個人信息保護法》分別從信息的采集路徑、信息用途、保存期限、信息保管平臺職責(zé)等方面做出了明確的規(guī)定，降低了個人信息受非法侵害的風(fēng)險。而亞洲的韓國、日本、新加坡等國也制定了自己的個人數(shù)據(jù)保護法。其中日本《公民數(shù)據(jù)保護法》規(guī)定了國家機關(guān)、地方及政府以及社會團體在個人信息保護方面的具體職責(zé)，為個人信息保護中遇到的法律糾紛提供解決依據(jù)。韓國出臺的《互聯(lián)網(wǎng)商務(wù)基本法》確保了個人信息在互聯(lián)網(wǎng)環(huán)境下安全傳輸。新加坡出臺的《公民個人信息保護法》對個人信息保護相關(guān)問題做了體系化、規(guī)范化的梳理與規(guī)定，將個人信息保護納入了正式法律治理范疇。

表2 國外主要國家個人商用信息管理立法

（四）加強行業(yè)自律，輔助對個人信息的保護和監(jiān)管

日本許多民間組織制定了涉及個人信息安全的規(guī)范文件，截至2010年年末，日本共有2000多個地方公共團體制定了相關(guān)個人信息保護條例。到2017年，日本各級政府均已制定了《個人信息保護辦法》。日本民間團體無權(quán)立法，主要通過行政指導(dǎo)、行業(yè)自律或個別法律的某些具體管理條例實現(xiàn)自我約束、自我管理，如日本個人數(shù)據(jù)保護辦公室制定的《社會團體自然人信息保護辦法》等。

（五）建立了健全的個人信息主體救濟措施

歐盟通過的《一般數(shù)據(jù)保護條例》明確了監(jiān)督機關(guān)救濟、司法救濟、公益組織救濟和損害補償?shù)染唧w救濟和補救措施，如果數(shù)據(jù)主體認為與其有關(guān)的個人數(shù)據(jù)處理違反了本條例，有權(quán)向常住地、工作所在地、侵權(quán)發(fā)生地成員國的監(jiān)督機關(guān)、對數(shù)據(jù)控制者或處理者、非營利性機構(gòu)、組織或協(xié)會及向數(shù)據(jù)控制者、處理者提起訴訟或索償。

三、相關(guān)建議

（一）加快個人信息保護和監(jiān)管立法

一是出臺個人信息保護法。提升法律保護的效力，需要盡快出臺一部統(tǒng)一的個人信息保護法律。二是完善個人信息保護制度建設(shè)。個人信息保護監(jiān)管機構(gòu)、金融機構(gòu)、征信機構(gòu)等要把內(nèi)部制度的完善、嚴格遵守放到重要位置。

（二）加強個人信息監(jiān)管體制建設(shè)

首先應(yīng)明確我國個人信息監(jiān)管的主要機構(gòu)，對我國個人信息監(jiān)管、立法、執(zhí)行進行統(tǒng)一領(lǐng)導(dǎo)，再由各行業(yè)具體監(jiān)管單位建立行業(yè)內(nèi)個人數(shù)據(jù)保護的規(guī)則和執(zhí)行標(biāo)準(zhǔn)，督促相關(guān)單位加強對個人信息數(shù)據(jù)庫的監(jiān)管，嚴格按照制度要求處理個人信息。鑒于中國人民銀行征信中心在個人信息監(jiān)管方面的成功經(jīng)驗，建議由中國人民銀行牽頭開展個人信息保護的監(jiān)管試點工作，提升監(jiān)管效力。

（三）加強個人信息保護行業(yè)自律

一是鼓勵相關(guān)社會團體積極健全完善個人信息保護的內(nèi)控機制。個人信息的商用機構(gòu)要完善客戶信息保護的規(guī)章制度，細化執(zhí)行流程，定期對信息安全狀況進行科學(xué)評估。二是個人信息處理平臺要不斷完善系統(tǒng)安全建設(shè)，提升互聯(lián)網(wǎng)環(huán)境下的個人數(shù)據(jù)平臺的風(fēng)險防防范能力。三是加強業(yè)務(wù)人員教育和管理。把保密教育納入員工培訓(xùn)必學(xué)內(nèi)容,不斷增強員工保密和法律意識以及對信息的管理能力。

（四）充分發(fā)揮司法審判的作用

我國的法院、檢查和公安等部門應(yīng)切實提升個人商用信息糾紛案件的審理水平，并對性質(zhì)嚴重、情節(jié)復(fù)雜的信息侵權(quán)案件發(fā)布指導(dǎo)性案例，為我國個人信息糾紛的案件審判提供明確的指引，有效協(xié)助司法機關(guān)科學(xué)、合理使用自有裁量權(quán)。