试论个人信息安全的法律保护

　　[论文摘要]我国于2013年2月1日实施的个人信息保护国家标准——《信息安全技术公共及商用服务信息系统个人信息保护指南》，表明个人信息保护工作将“有标可依”。但是从个人信息保护的有效性讲，该指南仅具有指导性。个人信息保护仍然应上升到法律层面，实现法治化。

　　[论文关键词]个人信息 立法模式 行业自律
　　一、个人信息内涵
　　个人信息作为一个法律概念，是随着信息社会的发展而出现的，一方面作为识别个人的资料被广泛需求，另一方面又遭到严重滥用。个人信息是指个人姓名、住址、出生年月、身份证号码、医疗记录、人身记录、照片、工作单位等，单独或与其他信息对照可以识别特定个人的信息数据资料。从法律角度，个人信息具有以下基本属性。
　　（一）个人信息代表主体的特定性
　　个人信息是现实生活中和个人有关的一切信息，包括范围广泛：个人身份认定资料、个人背景及其他资料等。这些信息能反映个人的很多方面，通过多种社交方式以不同形式记载在多种媒介上。通过考察记载于各种媒介上的个人资料，及结合其他相关信息，便可以描绘出一个人的某一方面特征或某一社会状态。这些个人信息具有在众多群体中识别特定主体的功能。
　　（二）个人信息内容具有多样性
　　个人信息既包括个人隐私，又包括可公开或已公开的个人信息。隐私的特点是具有一定的秘密性，权利主体主动采取措施进行保护，他人只要不进行主动侵犯，个人隐私就能得到保证。隐私权是个人对其私生活安宁、私生活秘密等享有的权利。而个人信息是指能够识别个人的一切信息，包括未公开的和已公开的。在信息社会中，有些个人信息通过多种社交方式必然是公开流通于社会中的，比如，个人身份证号、家庭住址、手机号码等。所以，个人信息中既包括未公开的隐私部分，也包括已公开的其他信息。
　　（三）个人信息具有人身性和财产性
　　个人信息的人身性，主要体现在人格利益。个人信息表面上记载着公民个人识别性和个人背景材料，但这些信息实际上承载着人格利益。体现为公民个人希望对个人信息的独占，享有未经主体同意就不能被他人知晓和利用的权力。在生活中，泄露的个人信息一旦被滥用及非法使用，往往会给当事人造成一定的心理恐慌和精神困惑，这将严重妨碍日常生活。同时，个人信息作为一种被商业需求的信息，可以通过允许他人使用信息获得一定的利益，因而具有一定财产属性。
　　二、我国个人信息保护的法律现状
　　我国现有的一些法律虽然涉及对个人信息的保护，但比较零散，尚未形成完整的法律体系。现有法律法规中涉及个人信息保护的内容有200多个条文，分散在37部法律、15部司法解释、124部行政法规和部门规章中。现行法律未将个人信息作为直接的保护对象，对个人信息的保护散落在各部门法及行业规范中。首先，在隐私权保护方面中，仅提供了有限和间接的保护名誉权的规定中，《宪法》和《民法通则》都有对隐私权的间接保护。其次，在通信领域、居民身份证个人信息保护方面、储户个人信息保护方面、公民医疗信息保护方面、个人档案保护方面，主要通过在《邮政法》、《居民身份证法》、《传染病防治法》、《执业医师法》、《护照法》、《档案法》等单行法中设置专门条款对公民的个人信息加以保护。在个人信息的保护手段上，主要依靠行业内部规范或信息持有人、控制人的单方承诺，如《中国工商银行员工行为守则》、《医务人员医德规范及实施办法》、《医疗机构病例管理规定》等，但由于目前金融、电信、房地产等行业目前还没有稳定的、具有约束力的个人信息管理规范，所以，个人信息管理和保护仍很不到位。除了上述对不同领域的个人信息的规制外，法律也加大了对侵犯个人信息的处罚力度。尤其《刑法修正案（七）》新增加了“出售或非法提供公民个人信息罪”和“非法获取公民个人信息罪”，加大了个人信息犯罪的刑法打击力度。
　　2013年，2月1日起，国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下简称《指南》）正式实施。该《指南》属国家标准“指导性技术文件”类，对利用信息系统处理个人信息的活动起指导和规范作用，目的是提高企业个人信息保护技术水平，促进个人信息的合理利用。《指南》的出台将对后续个人信息保护的相关工作起到指导性的作用，相关监管部门可以依据国家标准的技术支撑，规范企业对个人信息的使用。
　　从目前我国的立法来看，虽然《指南》出台，标志着我国针对个人信息处理行为将“有标可依”，使公民对个人信息保护的诉求得到有效解决。但是这个标准仅具有指导性，没有强制执行力。而目前我国的个人信息保护主要是个人隐私信息，但在隐私保护方面，也仅仅只是提供了有限的、间接的隐私保护。与国外相比，远未达到提供有效保护的程度。
　　三、国外个人信息保护的立法借鉴
　　目前，国外有关个人信息保护的立法模式有两种：一种为欧盟模式，即制定一个统一的个人信息保护法来规范个人信息的收集、处理和利用，并设置一个综合监管部门集中监管。另一种为美国模式，即分散立法和行业自律相结合的模式。分散立法和行业自律分别体现在公领域和私领域，监管部门也是根据个人信息的具体不同内容来分别设置。
　　（一）欧盟模式——统一立法
　　欧盟在个人信息保护方面采取了以国家立法为主导的模式，主要通过综合立法来实现对个人信息的保护。其特征体现在：1.通过综合立法对个人信息进行保护。其对个人信息的法律保护要经过两个层面：首先，由欧盟发布“指令”，为各成员国制定数据保护的法律框架提供依据。《数据保护指令》、《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》、《关于在信息高速公路上收集和传递个人数据的保护指令》、《隐私与电子通讯指令》等一系列条约或指令，对欧盟各成员国制定个人信息保护法起到了宏观指导作用。其次，欧盟成员国在统一指令框架下，根据指令的内容和本国实际情况制定了个人信息保护法。如德国的《通信法案》、《多媒体法》以及《联邦数据保护法》等。2.欧盟模式在内容上更关注对私人领域的个人信息保护。欧洲国家认为个人信息权利是公民的一项基本权利，公民有权自主决定其个人信息是否公开。欧盟成员国对于政府权力的限制较少，主要通过国家综合立法来确立个人信息保护的原则、具体制度和措施。

　　欧盟的这种统一立法模式使得对个人信息的保护更加具体全面，但这种保护模式也有缺点，如欧盟委员会等机构缺乏执行能力，欧盟本身对于相关违法行为无力处罚，需要依赖成员国的数据保护机构来进行制裁，而欧盟成员国内部对此类行为的监督又受到很多因素的制约。此外，全面细致的规定可能会阻碍个人信息的正常流通，限制企业的自由发展。
　　（二）美国模式——分散立法和行业自律相结合
　　美国的行业自律模式是普通法系国家个人信息法律保护模式的代表，其核心内容是：1.立法方式上表现为行业自律和单行法规相结合。因为基于政府权力应受到限制和保护公民个人自由的思想，美国对于隐私权的保护更关注个人自由免受公权力的侵犯。一部统一的个人信息保护立法很难被各个公共组织一致接受。其对个人隐私权的保护实际上是由个体消费者通过个人行为来实现的，政府对个人隐私的保护只是起到一种协助和指导作用，并不直接介入干涉。尽管美国制定了普遍适用于整个联邦的《隐私权法》、《电话消费者保护法》等一系列法律，但其中多数是针对某些特定情形、某些特定商业部门有可能滥用公民隐私权等的立法。2.保护内容的二分性。保护领域从内容上看，对个人隐私权的法律保护主要划分为公、私两个领域，并采用不同的保护方式：在公领域，美国政府制定了大量的单行法规来规范政府行为，保护公民隐私权；在私领域，主要通过从业者的自我约束和相关协会的监督管理来保护公民的个人隐私安全。
　　这种针对不同领域采取不同分散立法的方式，有效避免了国家立法对个人信息正常流动的干预，有利于在有限保护个人信息的前提下充分促进信息的自由流通。但该模式的最大弊端是缺乏合理的争端解决机制，行业自律在实践中的效果不佳。同时企业自律模式也可能会导致部分企业采取规避个人信息保护的政策，侵害个人信息隐私权。

　　四、完善我国个人信息保护的建议

　　（一）加快立法
　　目前我国一些法律虽然涉及了对个人信息保护的内容，但比较零散，也缺乏法律位阶较高的法律，没有形成严密的个人信息保护法律网。要实现对个人信息的最佳保护，必须通过立法。对于具体立法模式，欧盟模式更适合我国的国情，即由国家制定专门的个人信息保护法，统一规范个人信息的收集、处理和利用。在具体法律内容上，构建保护个人信息安全的完整法律体系，应建立保护个人信息安全的基本法律制度。包括个人信息处理活动应当遵循的原则、信息主体在个人信息活动中享有的权利、相关组织机构在处理个人信息过程中需承担的义务、非法手段获取个人信息的行为的惩治措施、个人信息保护的监管体制等。只有把个人信息保护纳入到法治化的轨道，才能实现对个人信息的最佳保护。
　　（二）加强行业自律
　　鉴于各行业情况千差万别，在完善法律制度的同时，必须同时由行业组织根据行业自身特点，结合个人信息保护的通行原则，制定个人信息保护的标准规范，通过行业自律的方式，开展个人信息保护工作。行业自律是一种事前的预防机制，需要行业内部规范现行发挥作用。我国《指南》的实施，对于各行业建立行业内部约束标准具有很好的指导作用。同时，我们应借鉴国外的经验和教训，权衡保护个人信息同保护其他权利自由之间的关系，在不妨害个人信息自由流通的前提下，尊重和保护个人信息。
　　（三）个人提高自我保护意识
　　个人信息保护对公民个人来说，维护自身的信息安全有着特殊的意义。在日常生活中，个人应提高自我信息保护的意识，不轻易向他人提供个人信息，提高自我判断和警觉意识，尤其是对于提供如身份证号码、手机号码、银行账户等重要信息要格外慎重。在未经个人确认前，除有特殊需要或法律规定，不允许任何组织或机构利用自己所提供的个人资料。公民自身增强信息安全意识，对于保护个人信息也是一种有效方式。