我国个人信息保护的立法分析

邹赛男 佟晓媛 冉瑶瑶 鲍润楠 陈婷婷

辽宁大学法学院，辽宁 沈阳 110136

研究背景：

2016年国务院颁布《“十三五”国家信息化规划》中的数据显示：截止至2015年底，我国网民数达到6.88亿，互联网普及率达到50.3%，互联网用户、宽带接入用户规模位居全球第一。

伴随着信息技术的发展，我国已经迈入了“大数据”时代，数据已然成为信息时代发展的核心要素之一。个人信息在政府的行政行为、企业的经营发展等方面具有极大的利用价值。然而，在对个人信息进行充分利用的同时，大量有关个人信息的侵权行为甚至犯罪行为也日益增加。2011年涉及个人信息的案件仅有12件，六年后这个数量已然突破了1100件。在面对现实中日益增多的案件数量，我国的个人信息保护立法现状却存在着诸多的问题。目前，我国并无一部统一的个人信息保护法，且现有的相关规定大多见于效力位阶较低的部门规章当中。在大约478个相关法律法规当中，部门规章和地方性法规占到了约440部，占比超过92%。通过何种立法模式将繁杂的现行法律法规进行统一，并加强对个人信息的保护，是目前亟待解决的问题。

一、个人信息的概念分析

(一)域外个人信息概念考察

准确把握个人信息的概念是个人信息领域立法研究的逻辑基础和前提。纵观各国对个人信息的定义模式，各国均对进行了不同界定，如英国《数据保护法》(The Data Protection Act of 1998)将个人信息定义为个人数据，是指与在世人相关的且可以通过这些数据或其他数据控制者占有的能够识别其个人的数据；日本《个人信息保护法》认为个人信息是指可以识别出特定个人的信息，包括名字，出生日期，其他包含在个人信息中的描述(包括了可以参照其他个人信息识别出的个人的信息)。新的修正法第2条中还增加了包含个人识别代码的信息；韩国《个人信息保护法》(Personal Information Protection Act)第2条(定义)规定，个人信息，是指属于一活人的信息，包括姓名、居民登记号码(即居民身份证号码)、肖像等：且通过该信息能够实现对特定个人的识别(也包括虽通过该信息特定个入未能得以识别，但将该信息与其他信息进行简单结合后特定个人即可得以识别的信息)；澳大利亚《隐私法》(Privacy Act 1988)中个人信息指的是可识别的个人或理论上可识别身份的个人信息及观点，无论信息或观点是否真实，以及信息或观点是否以物质形式记录。总结各国立法可以发现，在两大法系之中，以欧盟和美国为代表的模式最为典型。欧盟将个人信息视为人的一项基本权利，将个人信息界定为“个人数据”，即一个数据主体相关的任何信息。而美国通过在不同领域对个人信息分别制定单行法，如《隐私法》(The Privacy Act of 1974)将个人信息定义为“个人记录”，是指行政机关根据公民的姓名或其他标识而记载的一项或一组信息。“其他标识”包括别名、照片、指纹、音纹、社会保障号码、护照号码、汽车执照号码以及其他一切能够用于识别某一特定个人的标识。

(二)我国个人信息概念界定

在我国，“个人信息”第一次作为法律概念出现，是在2009年通过的《刑法修正案(七)》增加的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”，但这里并未对“个人信息”进行定义。2012年11月工业和信息化部出台了指导性文件《信息安全技术公共及商用服务信息系统个人信息保护指南》，该文件首次规定了我国个人信息保护的国家标准，将个人信息确定为“信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据”。同年，全国人大常委会发布的《关于加强网络保护的决定》中明确提出“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。此后在《网络安全法》第七十六条第五款①以及《电信和互联网用户个人信息保护规定》②中对于个人信息的界定均沿用了这一观点，并在识别的基础上通过列举的形式对个人信息的概念进行了定义。

首先，个人信息一词在日常生活中被理解为“音信、消息”，并没有明确的内涵与外延。并且，我国现有的法律法规散见于网络安全、电子商务等各个不同领域，对个人信息的界定也受制于所属行业的影响，呈现出单一、狭隘的特点。为进一步进行立法保护，就需要将个人信息的概念从生活用语层面提升至法律概念，对其进行规范化的说明。其次，信息本身并不存在巨大的价值，是信息的流动性赋予其存在的意义，对个人信息进行保护的意义并非完全静态的限制利用，而是在不致侵犯公民的个人权益的同时，以一种谨慎的方式发挥个人信息的潜在市场价值。目前，综合我国个人信息发展与利用的现状，《民法总则》民事权利一章第111条的规定为个人信息保护奠定了基础。该条的内容规定了个人信息受到法律保护，任何组织和个人有义务保障个人信息的安全且不得非法利用。实际上《民法总则》这一规定与欧盟将个人信息作为基本权利的立法保护模式较为吻合。故而，本文更倾向于欧盟的定义方式，选择将个人信息定义为一种“数据”。除了在概念界定中明确个人信息的核心特征、要素，还应当对抽象概念的典型类型进行概括列举。因此，笔者在我国现有个人信息立法的基础上，采取概括加列举的模式将“个人信息”定义为可以直接或间接识别该个人的各种数据资料，具体包括但不限于自然人的姓名、性别、出生日期、身份证号码、IP地址、婚姻家庭情况、教育背景、职业、喜好、收入情况、社交范围、犯罪记录等。

二、个人信息的价值分析

个人信息在现实生活交往表现出各种价值。但主要有人格尊严价值和自由价值、商业价值、公共管理价值。

(一)个人信息的人格尊严和自由价值③

公民是个人信息的来源，同时也是其承载者。个人信息自始至终都与公民的人格尊严和自由之间有着密不可分的联系。在很多情况下，人们更是以一些个人信息形象“指代”真实的个人。因而在现实生活中，部分的个人信息已经成为信息主体人格的外在标志。与此同时，个人信息的利用在为信息产业的兴起和发展带来很多的机遇的同时，也在很多时候威胁着公民的个人信息权利。个人信息上依附的人格权益，在商业环境下能否得到妥善的保管和适用成为人们日益关注的话题。随着近年来关于个人信息侵权诉讼的迅速上升，个人对其个人信息的保护诉求也越发强烈。在个人信息的利用中只有保证公民依附在个人信息上的人格尊严与自由不被控制和侵犯的情况下才能实现个人信息与公民自身人格的一致性从而最大的保证信息的真实性与可利用性。因此，个人信息主体的人格尊严和自由价值是在个人信息的首要价值，也是必须保护的价值。

(二)个人信息的商业价值

个人信息的商业价值起源于营销模式的改革。从传统的大规模不定向营销到定向营销再到数据库营销模式④。在营销模式的改革当中，个人信息发挥了重要的作用，不仅省去了大量的营销成本，而且通过准确把握消费者需求创造了前所未有的商业价值。在此过程当中，个人信息的商业价值崭露头角。如今，信息技术的进一步发展给经营者提供了先进的商务智能分析对产品和服务的升级与更新，企业决策的科学和理性起着重大的指导性作用。其次，个人信息对于整个市场经济的运行也至关重要。市场经济信用体系的建立、完善与企业之间的信息资源共享也成为促进商业合作的基础，这些都离不开个人信息的收集、处理与利用。而伴随着大数据时代，信息资源本身就促使很多新型行业的兴起，成为了我国市场经济重要的组成部分。

我国作为经济大国又是信息化的新兴国家。无论是为了在新型信息产业领域占据一席之地，还是从传统产业的改造和转型角度而言，促进个人信息的开发利用都是非常必要的。

(三)个人信息的公共管理价值

个人信息的公共管理价值很久以前便得到了政府部门的重视，并对其进行了广泛地应用。人口普查制度，便是最典型的且历史最悠久的政府对个人信息的利用的体现。在步入信息社会以后，借助更加先进的信息技术，政府可以更加充分的发掘个人信息的公共管理价值进行利用。

笔者认为公共管理价值可分为两个方面。一方面是指通过公共事务的管理来保障公共社会秩序。从理论上讲，保障秩序的最终目的是为了更好的服务于公民群众。因而，公共价值的另一方面是服务公众的价值。公权力机关通过现代信息技术低成本的收集和存储更多的个人信息，保障以此为基础所采集到的社情民意的广泛性，引导政府的行政行为，以此提高政府的公共管理水平。其次，通过对个人信息的处理与利用公权力机关也可以实现科学与理性的分析决策，更好地服务公民群众。

个人信息的三种主要价值都有其保护的必要性，但事实证明，实践中这些价值又是很难兼顾的。不同的价值导向势必将会影响了立法的目的，从而选择不同的个人信息保护模式。但是，无论是何种模式都只是对于价值取向上的一种倾斜并不能否定个人信息的其他价值更不表示只能保护一种价值其他价值不值得保护。因而在个人信息的保护有一定的价值导向是必定的且合理的，但是在具体的何种情况下该有怎样的价值导向、如何实现价值平衡才重中之重。

三、国外立法模式的比较分析

(一)域外立法考察

互联网时代，个人信息安全问题日益凸显。国外许多国家已经相继制定了保护个人信息的法律，保护个人信息已成为一种趋势。迄今为止，全世界已有50多个国家和地区制定了个人信息保护的法律规范，其中美国、欧盟对于个人信息保护的立法较早，相关个人信息保护的法律发展比较成熟，逐渐形成了比较有代表性的立法模式，在个人信息安全领域对其他国家都产生深远影响，探讨比较此类国家、地区的立法情况给我们的启示，具有极其重要的现实意义。

1.欧盟

欧盟采取了“综合立法”模式，即欧盟及其成员国以国家公权力为主导，制定统一的法律规范，统一规范国家、企业、个人等如何收集、处理、利用个人信息，并设立国家数据保护机构，负责对企业或其他组织的数据处理进行监督，对违法收集数据行为进行调查和处罚。欧盟在立法时偏重于将个人信息视为一项基本人权，注重保护个人信息的人权特性和社会价值，更强调对个人信息的充分保护和尊重，因此其从政府层面制定高水平的保护标准，力求对个人信息进行全面一体的保护，严格抑制其它国家利用个人信息获取利益。

2.美国

美国则采用“分散立法”与“行业自律”相结合的模式，即区分不同的领域和事项对个人数据分别制定单行法，针对不同性质的个人数据及侵权行为采用不同的制度加以规制，从而对个人数据进行较为详尽的保护。与此同时，还由公司或者行业内部制定行业行为规章或行为指引，为行业隐私保护提供示范。⑤整体上尽量减少政府的干预，只有在必要时，政府才会适当的介入。在价值追求上，美国将个人信息视为隐私利益中的内容，因此，更注重强调对个人信息的控制与利用，偏重于考虑个人信息的经济价值。美国是信息技术最为发达的国家，其在信息收集和处理上具有很大优势，在数据跨国流通中获益最大，因此，为了保护其产业利益，其采取较为宽松的立法模式。

(二)欧盟模式与美国模式的比较

根据上文可知，欧盟在个人信息保护方面主要采取了国家立法主导模式，政府制定了高水平的保护标准，对个人信息的保护是自上而下全面统一的，由此带来的问题则是不利于信息的自由流动，不利于相关产业发展、从中获益；与此不同的是，美国更奉行行业自治与个人自力救济相结合的原则，突出个人自治和行业自觉，而不是国家公权力的强力介入，相关企业能够较为自由的利用个人信息，但代价则是由于缺乏统一立法，部分企业会规避法律，对他人的个人信息权利造成侵害。

四、我国的立法选择

在侧重个人信息人权特性的欧盟统一立法模式和强调经济价值的美国分散立法模式之间，我国在立法选择上应当综合借鉴。如何更好地将个人信息保护置于我国法律体系中并与我国政治、经济相契合是我们首先需要考虑的问题。

目前我国属于分散立法模式，有近40部法律、30多部法规，及近200部规章涉及个人信息保护，但是法出多门，个人信息保护体系错综复杂，相关保护条款内容不集中、适用范围模糊，给实践操作带来了难题。同时，企业在市场上占据的优势地位为其搜集、利用个人信息提供了便利，而行业自律在主体特性上决定了其无法有效规制企业行为，这也是近年来我国非法采集、贩卖和利用用户个人信息案件频发的原因之一。

我国的立法现状已不足以彰显个人信息保护在人格特性与市场价值方面的意义。统一立法模式才能更好地完成个人信息保护的顶层设计，打破不同部门的分割现状。通过统一立法确立个人信息保护基本原则，在基本原则之下，各部门再做规章制度层面的技术性规制。本文建议在对个人信息进行界定时强调个人信息的“可识别性”，在立法目的上侧重保护人格利益，同时通过规定“排除事由”来平衡个人、企业与国家三者的利益，以兼顾个人信息的人格尊严和自由价值、商业价值以及公共管理价值。

五、结语

大数据时代个人既是信息的生产者也是信息的消费者，每个人的生活都与信息密切相关。个人信息本身所带有的复杂属性，决定了其所具有人格自由和人格尊严价值、商业价值和公共管理等多重价值。并且，由于不同信息主体追求的价值不同，在个人信息的利用中必然会产生各种利益之争。在此过程，公民的个人信息往往容易遭到侵害。与此同时，在这种矛盾中冲突的任何一方都是难以割舍的。因此，需要识别个人信息保护和利用中多方主体的利益需求，承认与确保其核心利益的实现，让渡自身非核心利益而使他方的核心利益得以实现。这样才是符合时代发展且科学的个人信息保护方式。

[ 注 释 ]

①《中华人民共和国网络安全法》第七十六条第三款：个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等.

②《电信和互联网用户个人信息保护规定》第四条：本规定所称用户个人信息，是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息.

③张新宝.从隐私到个人信息：利益再衡量的理论与制度安排[J].中国法学，2015(3).

④张新宝.从隐私到个人信息：利益再衡量的理论与制度安排[J].中国法学，2015(3).

⑤李春华，冯中威.欧盟与美国个人数据保护模式之比较及其启示[J].社科纵横，2017(8).