劉秀清，姜 會，韓春玲

(河北科技師范學(xué)院文法學(xué)院，河北秦皇島066004)

信息技術(shù)和互聯(lián)網(wǎng)的飛速發(fā)展使人們在享受生活便利、交易迅捷、資源共享的同時(shí)也遭遇到個人信息泄露的困擾。面對這一難題，國外通過不同模式做了有效的規(guī)制，但我國至今在個人信息的保護(hù)上仍然處于初期階段，立法不完善，司法操作困難，行業(yè)自律缺乏，面對個人信息泄露的案件，更多的是尷尬與無奈。所以，構(gòu)建我國的個人信息法律保護(hù)機(jī)制，已經(jīng)刻不容緩。

一、個人信息的基本認(rèn)識

(一)個人信息的概念

個人信息，雖然有境外立法對其做出過明確規(guī)定，如《德國聯(lián)邦個人資料保護(hù)法》第2條的“個人資料是指凡涉及特定或可得特定的自然人的所有屬人或?qū)偈碌馁Y料”，中國臺灣地區(qū)《電腦處理個人資料保護(hù)法》第3條第1款的“個人信息指自然人之姓名、出生年月日、身份證統(tǒng)一編碼、特征、指紋、婚姻、家庭、教育、職業(yè)、健康、病歷、財(cái)務(wù)情況、社會活動等足資識別該個人之資料”［1］，但是在我國大陸至今尚未形成統(tǒng)一認(rèn)識，存在著“隱私型定義”?認(rèn)為只有與個人隱私有關(guān)的信息才能構(gòu)成個人信息。、“關(guān)聯(lián)型定義”?認(rèn)為與個體相關(guān)聯(lián)的所有信息均為個人信息。例如，我國臺灣地區(qū)的學(xué)者就認(rèn)為，“所謂個人信息，包括人之內(nèi)心、身體、身份、地位及其他關(guān)于個人之一切事項(xiàng)之事實(shí)、判斷、評價(jià)等所有信息在內(nèi)。換言之，有關(guān)個人信息并不僅限于與個人之人格或私生活有關(guān)者，個人之社會活動、為團(tuán)體組織中成員之活動，及其他與個人有關(guān)聯(lián)之信息，全部包括在內(nèi)?！薄ⅰ白R別型定義”?該定義以“識別”為要素，認(rèn)為能單獨(dú)或與其他信息對照可以識別特定個人的信息才是個人信息。例如，2011年我國臺灣頒布的《臺灣個人信息保護(hù)法》就將個人信息界定為可以直接或間接方式識別該個人之?dāng)?shù)據(jù)。劉昕的《網(wǎng)絡(luò)視野下個人信息安全的法律保護(hù)》，公安教育，2012年第5期，第30頁。的不同闡釋，筆者認(rèn)為，第一種定義與隱私相混淆，且范圍過窄，而第二種定義范圍又過于寬泛，會導(dǎo)致權(quán)利的過分?jǐn)U大，從而影響行為自由，唯有“識別型定義”寬窄適當(dāng)，并代表了主流的觀點(diǎn)。所以，個人信息是指所有可以直接或者間接識別特定個人信息的總和。它既包括個人生理特征，如性別、年齡、肖像、身高、體重、體型、聲頻等，也包括與特定個人密切相關(guān)的識別符號，如姓名、家庭住址、電話號碼、工作單位、社會關(guān)系等;既包括與個人特定經(jīng)歷相關(guān)的信息，如教育背景、成長經(jīng)歷、個人遭遇、婚姻狀況、醫(yī)療病歷、犯罪記錄等，也包括個人的心理特征(如宗教信仰、個人喜好等)以及個人的各種活動信息等，涵蓋非常廣泛［2］。

(二)個人信息的屬性

對于個人信息的屬性，目前一致認(rèn)可其人格屬性，個人信息是能夠識別特定個人的信息，與特定個人緊密結(jié)合，具有與特定自然人相互對應(yīng)的關(guān)系，因而具有人身依賴性與人身專屬性，其人格屬性關(guān)乎每個人的人格利益與尊嚴(yán)，具體來說包括隱私、名譽(yù)、自由、安寧、安全等利益。但對于個人信息是否具有財(cái)產(chǎn)屬性，尚無定論，筆者認(rèn)為完全有承認(rèn)其財(cái)產(chǎn)屬性的必要與實(shí)際意義。從法律角度而言，個人信息具備了財(cái)產(chǎn)權(quán)客體的基本特征——外在性、稀缺性、效用性和可支配性［3］，個人信息主體可以直接控制、支配其個人信息并排除他人非法侵害，在市場經(jīng)濟(jì)背景下，個人信息完全能夠作為個人信息主體與市場商業(yè)主體以及市場商業(yè)主體之間交易的客體，從而實(shí)現(xiàn)財(cái)產(chǎn)利益。從實(shí)踐角度而言，一件件個人信息泄露的案例觸目驚心，其背后隱藏的財(cái)產(chǎn)利益因素是最終根源。因此，確認(rèn)其財(cái)產(chǎn)屬性不僅是理論所需，更是現(xiàn)實(shí)所要求的。

(三)個人信息的特征

個人信息概念的誕生以來便與個人隱私有著千絲萬縷的聯(lián)系，但不能因此就將個人信息完全等同于個人隱私，對比而言，個人信息具有如下特征:一是可識別性。這是個人信息最主要的特征。不同于隱私強(qiáng)調(diào)私密性，個人信息強(qiáng)調(diào)的是可識別性，即特定性，憑借信息能夠直接或間接將特定個人與其他人區(qū)分開來。二是廣泛性。個人信息的內(nèi)涵十分豐富，凡是與個人相關(guān)、能夠?qū)€人進(jìn)行識別的信息都包括在內(nèi)，既包括生理特征，也包括與特定個人密切相關(guān)的識別符號，既包括與個人特定經(jīng)歷相關(guān)的信息，也包括個人的心理特征以及個人的各種活動信息等，既包括個人不愿或不便公開的信息，也包括在一定范圍內(nèi)為正常生活工作必須公開的信息。三是時(shí)效性。大部分個人信息一直處于不斷變化、更新之中，明確這一點(diǎn)對個人信息的保護(hù)十分重要，過時(shí)的信息不僅不能反映出信息主體的現(xiàn)在特征，反而會起誤導(dǎo)作用。四是可共享性。同一內(nèi)容的個人信息可以在同一時(shí)間被兩個以上的信息處理主體獲得、使用，同時(shí)個人信息主體不會因?yàn)閷⑿畔鬟f而失去信息。

二、我國個人信息法律保護(hù)的現(xiàn)狀及不足

個人信息濫用是當(dāng)今世界各國所面臨的共同問題，所以各國均對個人信息保護(hù)給予了較高的重視，尤其在發(fā)達(dá)國家，個人信息的保護(hù)起步較早，法律法規(guī)較為全面，保護(hù)的手段也較為健全。從法律運(yùn)作的效果來看，歐盟和美國走在了世界各國的前面。歐盟采取統(tǒng)一立法模式保護(hù)個人信息，同時(shí)適用于公共部門與非公共部門，通過一系列嚴(yán)格完善的法律體系來構(gòu)建保護(hù)個人信息的嚴(yán)密網(wǎng)絡(luò);美國則是制定僅適用于公共部門的《隱私權(quán)法案》，對于非公共部門則根據(jù)需要在某些領(lǐng)域制定相關(guān)的法律或者強(qiáng)調(diào)行業(yè)自律。不管是歐盟模式還是美國模式，在現(xiàn)實(shí)中都取得了很好的成效。

反觀我國，由于種種原因，很長一段時(shí)間以來都沒有認(rèn)識到保護(hù)個人信息的重要性，直至前幾年個人信息泄露事件頻頻發(fā)生，才喚醒了人們對個人信息的保護(hù)意識，認(rèn)識到了個人信息的法律保護(hù)刻不容緩。但是，當(dāng)啟動法律程序?qū)で蟊Ｗo(hù)時(shí)卻發(fā)現(xiàn)很難找到法律依據(jù)來保護(hù)自己，懲戒他人。

(一)民法的“隱藏”保護(hù)

到目前為止，我國民法中尚未明確規(guī)定個人信息，更談不上將個人信息權(quán)利化而上升為個人信息權(quán)了。因此，面對個人信息被泄露的遭遇，即便可以依據(jù)《中華人民共和國刑法修正案(七)》的規(guī)定追究行為人的刑事責(zé)任，但對于被害人而言，卻因民法中無個人信息及個人信息權(quán)的直接規(guī)定，而難以主張對自己的民事救濟(jì)。迫不得已，只能在民法現(xiàn)有的規(guī)定之中去存求“隱藏而間接”的保護(hù)，那就是或者依據(jù)《民法通則》的第55條、第99～102條，最高人民法院關(guān)于貫徹執(zhí)行《中華人民共和國民法通則》若干問題的意見的第139～141條，《最高人民法院關(guān)于確定民事侵權(quán)精神損害賠償責(zé)任若干問題的解釋》的第1條等規(guī)定把對個人信息侵害的救濟(jì)納入到“姓名權(quán)”、“肖像權(quán)”、“名譽(yù)權(quán)”、“隱私利益”中去，或者依據(jù)《侵權(quán)責(zé)任法》第2條:“本法所稱民事權(quán)益，包括生命權(quán)、健康權(quán)、姓名權(quán)、名譽(yù)權(quán)、榮譽(yù)權(quán)、肖像權(quán)、隱私權(quán)、婚姻自主權(quán)、監(jiān)護(hù)權(quán)、所有權(quán)、用益物權(quán)、擔(dān)保物權(quán)、著作權(quán)、專利權(quán)、商標(biāo)專用權(quán)、發(fā)現(xiàn)權(quán)、股權(quán)、繼承權(quán)等人身、財(cái)產(chǎn)權(quán)益?！卑褌€人信息包含在“等人身、財(cái)產(chǎn)權(quán)益”中。但這樣處理畢竟是在民事立法漏洞之下的一種權(quán)宜之計(jì)，一方面，個人信息與名譽(yù)、隱私不同，涵蓋的內(nèi)容要更寬泛一些，所以依據(jù)名譽(yù)、隱私侵權(quán)并不能保護(hù)所有的個人信息，難以給予個人信息充分的保護(hù)，加上個人信息商品化趨勢，名譽(yù)、隱私的相關(guān)規(guī)定也難以救濟(jì)侵犯個人信息的民事責(zé)任問題;另一方面，民法是權(quán)利法，是對民事主體的人身和財(cái)產(chǎn)權(quán)益進(jìn)行確認(rèn)和保護(hù)的最基本、最主要的法律，也理應(yīng)是個人信息法律保護(hù)的基礎(chǔ)。固然，《刑法修正案(七)》中規(guī)定了相關(guān)的個人信息犯罪，作為個人信息保護(hù)的最后一道防線，能夠給予不法行為最嚴(yán)厲的打擊，但其適用范圍狹窄，只有對最嚴(yán)重的行為，才用《刑法》來解決，這就導(dǎo)致因?yàn)檫^失泄露個人信息的行為難以被法律追究。而且，刑法對個人信息犯罪的規(guī)定是粗線條的，僅限于非法獲取、出售和非法提供，而實(shí)踐中，侵害個人信息還有可能是合法獲取但非法利用個人信息的情形，它們均處于刑法救濟(jì)之外。面對刑法保護(hù)的上述欠缺，用民法確認(rèn)個人信息權(quán)，并提供相應(yīng)的保護(hù)措施，由侵害人承擔(dān)民事責(zé)任，在受害人保護(hù)方面才更加圓滿［4］。

(二)相關(guān)法律、行政法規(guī)、規(guī)章的“概括”保護(hù)

不可否認(rèn)，我國還有很多的法律、行政法規(guī)、規(guī)章等或多或少地關(guān)連到了個人信息問題，如《民事訴訟法》、《刑事訴訟法》、《統(tǒng)計(jì)法》、《律師法》、《身份證法》、《護(hù)照法》、《執(zhí)業(yè)醫(yī)師法》、《傳染病防治法》、《郵政法》、《檔案法》、《商業(yè)銀行法》、《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》、《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》、《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》……但是這些法律規(guī)范的大部分規(guī)定均采用了十分原則的表述，基本無法作為直接定案的依據(jù)，可操作性差。第一，有些法律適用范圍相對狹窄，法律條款數(shù)量較少，如《檔案法》、《執(zhí)業(yè)醫(yī)師法》、《郵政法》、《律師法》，僅僅規(guī)范著檔案管理、醫(yī)師執(zhí)業(yè)、郵政服務(wù)、律師執(zhí)業(yè)等特定領(lǐng)域內(nèi)與個人信息保護(hù)相關(guān)的內(nèi)容，且涉及條款數(shù)量極少，基本上只有一兩個條款。第二，在調(diào)整手段上重行政管理、刑事處罰，輕民事保護(hù)，公民的個人信息遭受侵害后，結(jié)果往往是僅僅追究了侵害行為人的行政責(zé)任甚或刑事責(zé)任，雖對違法行為起到了懲罰與遏制的效果，但是對個人信息被侵害的受害人而言，卻很難得到有效的財(cái)產(chǎn)甚至精神損害賠償。如《身份證法》第19條規(guī)定人民警察泄露因制作、發(fā)放、查驗(yàn)、扣押居民身份證而知悉的公民個人信息，侵害公民合法權(quán)益的，根據(jù)情節(jié)輕重，依法給予行政處分，構(gòu)成犯罪的，依法追究刑事責(zé)任，至于因其泄露個人信息導(dǎo)致公民財(cái)產(chǎn)損失甚至生命健康權(quán)益受損的，卻并沒有規(guī)定民事責(zé)任的承擔(dān)方式。第三，在法律體系上，對個人信息的保護(hù)散見在眾多規(guī)范性法律文件中，內(nèi)容缺乏統(tǒng)一性，相互之間也缺乏銜接，不利于法律的適用，尤其是上述法律、法規(guī)均沒有規(guī)定個人信息保護(hù)的立法目的，個人信息保護(hù)的基本原則，個人信息主體的權(quán)利內(nèi)容，個人信息收集、處理、利用的規(guī)則、監(jiān)管機(jī)構(gòu)等。第四，在法律效力上，大多數(shù)是一些位階比較低的行政法規(guī)、地方性法規(guī)、部門規(guī)章等，缺乏權(quán)威性，不利于此類問題的處理。

(三)刑法的“限制”保護(hù)

2009年2月28日第十一屆全國人民代表大會常務(wù)委員會第七次會議通過《中華人民共和國刑法修正案(七)》，增加了個人信息犯罪的規(guī)定，這是個人信息立法的標(biāo)志性事件之一。根據(jù)該修正案規(guī)定，在刑法第253條后增加一條，其內(nèi)容為:“國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息出售或者非法提供給他人，情節(jié)嚴(yán)重的，處3年以下有期徒刑或者拘役，并處或者單處罰金。竊取、收買或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。”然而，由于多種原因，在涉及“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”的司法實(shí)踐中卻又遭遇了一些具體的問題與困難。一是在犯罪主體上，依上述規(guī)定，“出售、非法提供公民個人信息罪”的犯罪主體是特殊主體，即“國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員”，不可否認(rèn)，這些機(jī)關(guān)或單位的工作人員由于工作職責(zé)很容易接觸到大量的公民個人信息，一旦泄露或不當(dāng)使用，便會造成嚴(yán)重的損失，但是在現(xiàn)實(shí)生活中，除了刑法所規(guī)定的主體之外，房地產(chǎn)公司、物業(yè)公司、中介機(jī)構(gòu)、教育輔導(dǎo)機(jī)構(gòu)、酒店、物流公司等機(jī)構(gòu)甚至個人，將公民個人信息出售、非法提供給他人并造成嚴(yán)重后果的現(xiàn)象屢見不鮮，但是這些主體卻沒有被納入刑法規(guī)定的范圍之內(nèi)。二是在犯罪對象上，刑法修正案規(guī)定的較為簡單，即“公民個人信息”，但是，刑法規(guī)范的“個人信息”與民法規(guī)范的“個人信息”的范圍是否一致呢?對此，觀點(diǎn)不一。楊帆認(rèn)為，公民個人信息作為法律保護(hù)的對象，無論是民法、行政法、刑法保護(hù)的范圍都應(yīng)當(dāng)是一致的，只是因?yàn)楣駛€人信息所遭受侵害的嚴(yán)重程度不同而采取輕重不同的法律保護(hù)手段，即只有到了刑法所規(guī)定的“情節(jié)嚴(yán)重的”程度，才給予刑法保護(hù)而已［5］。但何榮功認(rèn)為，刑法與民法目的不同，法律責(zé)任的后果存在巨大差別，因此，不能將民法保護(hù)的所有個人信息都認(rèn)定為本罪中的“個人信息”［6］。如何確定“個人信息”的范圍，對認(rèn)定兩罪至關(guān)重要，應(yīng)予以明確。三是在犯罪客觀方面，刑法修正案規(guī)定只有實(shí)施出售、非法提供、非法獲取個人信息情節(jié)嚴(yán)重的才能構(gòu)成犯罪，然而，何為情節(jié)嚴(yán)重呢?本規(guī)定卻沒有提供可供操作的標(biāo)準(zhǔn)。

(四)行業(yè)自律的“弱效”約束

在個人信息保護(hù)缺少專門法律規(guī)范時(shí)，企業(yè)自律就應(yīng)該成為保護(hù)個人信息的另外一個重要手段。中國互聯(lián)網(wǎng)協(xié)會于2002年3月26日公布了《中國互聯(lián)網(wǎng)行業(yè)自律公約》，倡議互聯(lián)網(wǎng)全行業(yè)從業(yè)者加入本公約，并要求會員“自覺維護(hù)消費(fèi)者的合法權(quán)益，保守用戶信息秘密;不利用用戶提供的信息從事任何與向用戶做出的承諾無關(guān)的活動，不利用技術(shù)或者其他優(yōu)勢侵犯消費(fèi)者或用戶的合法權(quán)益”。2006年11月1日，中國互聯(lián)網(wǎng)協(xié)會、違法和不良信息舉報(bào)中心、奇虎公司共同正式宣布，首個互聯(lián)網(wǎng)公益品牌“凈藍(lán)絲帶”正式啟動［7］。凈藍(lán)絲帶作為杜絕互聯(lián)網(wǎng)惡意行為的一個標(biāo)識，用于宣傳“凈化互聯(lián)網(wǎng)空間人人有責(zé)，打擊互聯(lián)網(wǎng)犯罪人人出力”的信息，并呼吁“拯救網(wǎng)絡(luò)弱勢群體，杜絕網(wǎng)絡(luò)惡意行為”。另外，保護(hù)網(wǎng)上個人信息的行業(yè)規(guī)范《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》已于2013年2月實(shí)施，該指南對個人信息的處理包括收集、加工、轉(zhuǎn)移和刪除四個主要環(huán)節(jié)，還提出了個人信息保護(hù)的“目的明確、最少使用、公開告知、個人同意、質(zhì)量保證、安全保障、誠信履行和責(zé)任明確”等八項(xiàng)原則。然而，也應(yīng)該注意到，這些自律手段太過空洞化、標(biāo)語化，威懾力差，加上各商業(yè)網(wǎng)站的個人信息保護(hù)水平差異很大，尤其是一些小型網(wǎng)站在個人信息保護(hù)方面是令人擔(dān)憂的，它們不僅沒有公開相應(yīng)的個人信息保護(hù)政策，甚至不惜犧牲商業(yè)信譽(yù)，只要能給網(wǎng)站的經(jīng)營者帶來利益，就會不適當(dāng)?shù)厥占?、利用乃至出售訪問者的個人信息。另外，除了商業(yè)網(wǎng)站及為數(shù)不多的其他主體之外，大多數(shù)非公共部門并沒有單方面向相對人提供個人信息保護(hù)政策。因此，目前的行業(yè)自律機(jī)制還不能形成對企業(yè)在個人信息使用上的有效激勵與約束機(jī)制，難以取得預(yù)期的效果。

三、我國個人信息法律保護(hù)機(jī)制的重構(gòu)

為了遏制個人信息濫用的勢頭，保護(hù)個人信息主體的合法權(quán)益，規(guī)范個人信息的處理行為，構(gòu)建公平、和諧的市場經(jīng)濟(jì)環(huán)境，必須克服現(xiàn)行法律體系中個人信息保護(hù)機(jī)制的不足，對個人信息進(jìn)行全方面、多角度的調(diào)整，構(gòu)建完備的法律保護(hù)機(jī)制。

(一)在民法中確認(rèn)個人信息及個人信息權(quán)

在目前的民法領(lǐng)域中，雖然不能說沒有任何可供保護(hù)個人信息的法律依據(jù)，但是這些規(guī)定給予的都是“隱藏”保護(hù)，只能委身于其他具體權(quán)利，或者用條款最后的“等”加以擴(kuò)大解釋，即便距今頒行時(shí)間最近的《侵權(quán)責(zé)任法》的第2條也沒有把個人信息明確列舉進(jìn)去。這種保護(hù)方式，無疑會在什么是個人信息，個人信息是不是民事權(quán)利，是否應(yīng)當(dāng)給予法律保護(hù)，如何給予民事救濟(jì)等方面產(chǎn)生解釋上的分歧以及司法操作上的不統(tǒng)一，從而使個人信息主體的合法權(quán)益保護(hù)大打折扣。所以，應(yīng)在《侵權(quán)責(zé)任法》或其他民事法律中明確加入個人信息，使個人信息保護(hù)權(quán)利化，并確立個人信息權(quán)是一種獨(dú)立的民事權(quán)利。一是明確個人信息的概念與范疇——個人信息指自然人的姓名、出生年月日、身份證號碼、戶籍、遺傳特征、指紋、婚姻、家庭、教育、職業(yè)、健康、病歷、財(cái)務(wù)情況、社會活動等可以直接或間接識別特定個人的信息;二是確定個人信息權(quán)的內(nèi)容——信息決定權(quán)、信息保密權(quán)、信息查詢權(quán)、信息更正權(quán)、信息封存權(quán)、信息刪除權(quán)、信息報(bào)酬請求權(quán);三是規(guī)定個人信息權(quán)的民事救濟(jì)方式——在人格權(quán)的救濟(jì)方面，可以包括停止侵害、賠禮道歉、消除影響、恢復(fù)名譽(yù)、賠償損失等方式，并且根據(jù)侵害行為的情節(jié)及其后果，可以考慮適用精神損害賠償(嚴(yán)重?fù)p害人身權(quán)益的場合)甚至懲罰性賠償(主觀惡性大、損害后果嚴(yán)重、行為人獲利巨大的場合);在財(cái)產(chǎn)權(quán)的救濟(jì)方面，可以適用《侵權(quán)責(zé)任法》第20條規(guī)定確立的規(guī)則來確定賠償范圍，即:“侵害他人人身權(quán)益造成財(cái)產(chǎn)損失的，按照被侵權(quán)人因此受到的損失賠償;被侵權(quán)人的損失難以確定，侵權(quán)人因此獲得利益的，按照其獲得的利益賠償;侵權(quán)人因此獲得的利益難以確定，被侵權(quán)人和侵權(quán)人就賠償數(shù)額協(xié)商不一致，向人民法院提起訴訟的，由人民法院根據(jù)實(shí)際情況確定賠償數(shù)額?！?/p>

(二)制定專門的《個人信息保護(hù)法》

民法雖然是權(quán)利法，可以賦予民事主體享有個人信息權(quán)，但它同時(shí)又是基本法，無法就個人信息保護(hù)中的一系列問題做出專門且足以細(xì)致的規(guī)定，如個人信息保護(hù)與個人信息流通的衡量問題，個人信息保護(hù)的基本原則，個人信息的收集、處理、利用以及法律責(zé)任等等。同時(shí)，雖然我國目前已經(jīng)有近40部法律、30部法規(guī)和近200項(xiàng)部門規(guī)章涉及個人信息保護(hù)，但規(guī)定零散，內(nèi)容缺乏統(tǒng)一性與銜接性，最大的弊端還在于規(guī)定過于原則，操作性差，無法作為直接定案的依據(jù)。所以，在民法之外，必須制定一部專門的、具有完整意義的《中國人民共和國個人信息保護(hù)法》。其主要內(nèi)容基本上包括:一是明確立法目的，即規(guī)范個人信息的處理，保護(hù)自然人的個人信息安全，保障個人信息的合法利用;二是確定個人信息保護(hù)法的適用范圍，既規(guī)范國家機(jī)關(guān)對個人信息的收集、處理和利用，也規(guī)范非國家機(jī)關(guān)對個人信息的收集、處理和利用;三是明確個人信息的概念，即個人信息指自然人的姓名、出生年月日、身份證號碼、戶籍、遺傳特征、指紋、婚姻、家庭、教育、職業(yè)、健康、病歷、財(cái)務(wù)情況、社會活動等可以直接或間接識別特定個人的信息;四是規(guī)定個人信息保護(hù)法的基本原則，即知情同意原則、目的明確原則、限制利用原則、完整正確原則、本人參與原則、安全原則;五是確定個人信息主體的權(quán)利與信息處理主體的義務(wù)，如:信息決定權(quán)、信息保密權(quán)、信息查詢權(quán)、信息更正權(quán)、信息封存權(quán)、信息刪除權(quán)、信息報(bào)酬請求權(quán)，從信息處理主體角度而言，他們則負(fù)有保障信息主體所享權(quán)利的義務(wù);六是規(guī)定對個人信息保護(hù)進(jìn)行限制的情形——為保護(hù)公共利益的;為免除信息權(quán)利人人身或財(cái)產(chǎn)上的緊迫危險(xiǎn)的;防止他人權(quán)益的重大危害而有必要的;信息權(quán)利人書面同意的;履行法定義務(wù)的;七是規(guī)定信息處理者違法行為的法律責(zé)任，主要是民事與行政責(zé)任。這樣就可以強(qiáng)化個人信息處理者的責(zé)任，加強(qiáng)對個人信息的監(jiān)控和保護(hù)，確保公民的個人信息安全，同時(shí)也可以終止以前立法零散、原則化、抽象化、不統(tǒng)一的局面。

(三)完善刑法中個人信息犯罪的犯罪構(gòu)成

2009年《刑法修正案(七)》中確立了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”兩個罪名，標(biāo)志著我國公民個人信息的保護(hù)步入了刑法保護(hù)的高規(guī)格時(shí)代，但是在隨后的司法實(shí)踐中卻又遭遇了一些犯罪認(rèn)定上的難題，已在上面論述。所以完善兩罪的犯罪構(gòu)成，又成為了理論界與司法界的緊急呼聲。一方面，應(yīng)該擴(kuò)大犯罪主體的范圍。現(xiàn)實(shí)生活中，除了國家機(jī)關(guān)、金融、電信、交通、教育、醫(yī)療等單位外，招聘網(wǎng)站、獵頭公司、房地產(chǎn)公司、物業(yè)公司、中介機(jī)構(gòu)、教育輔導(dǎo)機(jī)構(gòu)、酒店、物流公司等機(jī)構(gòu)甚至個人都是泄露個人信息的罪魁禍?zhǔn)?，所以，在犯罪主體的規(guī)定上應(yīng)該強(qiáng)調(diào)行為人的目的和動機(jī)，或強(qiáng)調(diào)獲取信息是由其工作或職務(wù)性質(zhì)所決定的，不應(yīng)對行為人所處的崗位或領(lǐng)域做出限制。另一方面，明確犯罪對象“個人信息”的范圍。雖然上已述及在民法及個人信息保護(hù)法中規(guī)定個人信息，但是還應(yīng)強(qiáng)調(diào)民法和刑法的目的不同，一個重在補(bǔ)償，一個重在懲罰，后果存在巨大差別。因此，不宜將民法及個人信息保護(hù)法保護(hù)的所有個人信息都認(rèn)為是本罪的犯罪對象，而是應(yīng)該從立法本意和法益保護(hù)的初衷來確定由刑法保護(hù)的對象。刑法保護(hù)的應(yīng)該是那些能為他人謀取正當(dāng)或不正當(dāng)?shù)睦嫣峁┍憷倚孤┖蠼o公民本人合法利益帶來嚴(yán)重侵害的個人信息，大概包括以下三個方面:一是與公民個人身份密切相關(guān)的信息，如公民身份證上的信息，這些信息的泄露往往會給不法分子實(shí)施詐騙等犯罪帶來便利，從而危及公民的人身就財(cái)產(chǎn)安全;二是與公民個人財(cái)產(chǎn)狀況相關(guān)的信息，如公民在購買房屋、汽車等財(cái)產(chǎn)時(shí)所留下的基本信息，一旦被泄露將導(dǎo)致公民的生活受到嚴(yán)重的干擾甚至重大的財(cái)產(chǎn)損失;三是涉及公民個人隱私方面的信息，這些個人信息一旦泄露將嚴(yán)重侵犯公民的隱私利益。三是應(yīng)對“情節(jié)嚴(yán)重”做出更為明確的解釋。個人信息犯罪是情節(jié)犯，何為“情節(jié)嚴(yán)重”，關(guān)乎著罪與非罪的認(rèn)定，必須加以明確，建議應(yīng)該考慮以下幾個方面的因素:非法獲利的多少、個人信息的數(shù)量多少、實(shí)施次數(shù)的多少、是否造成嚴(yán)重后果、是否用于違法犯罪活動等［8］。

(四)建立、健全行業(yè)自律機(jī)制

由于立法總是緩慢而滯后的，不管是在立法保護(hù)缺失的情況下，還是在立法已經(jīng)制定的情況下，行業(yè)自律都不失為一種有效的保護(hù)個人信息的模式。雖然前面述及我國也有相應(yīng)行業(yè)自律的做法，但是在行業(yè)自律的效果上卻差強(qiáng)人意。在這方面，可以借鑒美國的行業(yè)自律形式:一是建議性的行業(yè)指引，作用在于為網(wǎng)絡(luò)隱私的保護(hù)提供一個廣為接受的范本，如在線隱私聯(lián)盟的指引，成員公司同意采納和執(zhí)行張貼在線隱私聯(lián)盟的隱私政策，該政策規(guī)定應(yīng)全面告知消費(fèi)者網(wǎng)站的資料收集行為，包括:所收集信息的種類及其用途，是否向第三方披露該信息等;二是網(wǎng)絡(luò)隱私認(rèn)證，不同于適用于同一行業(yè)內(nèi)部的建議性行業(yè)指引，它適用于跨行業(yè)的聯(lián)盟，通過授權(quán)那些達(dá)到其提出的隱私規(guī)則的網(wǎng)站張貼其隱私認(rèn)證標(biāo)志，以便于用戶識別那些遵守了特定的信息收集行為規(guī)則的網(wǎng)站，同時(shí)也便于網(wǎng)絡(luò)服務(wù)商顯示自身遵守規(guī)則的情況。這意味著網(wǎng)絡(luò)隱私認(rèn)證計(jì)劃的認(rèn)證標(biāo)志具有商業(yè)信譽(yù)的意義，是一種特殊的認(rèn)證標(biāo)志;三是技術(shù)保護(hù)模式，為更好地鼓勵甚至是強(qiáng)制推行隱私權(quán)保護(hù)提供了基本的技術(shù)支撐。技術(shù)保護(hù)模式是將保護(hù)消費(fèi)者隱私的希望寄托于消費(fèi)者自己手中，通過某些隱私保護(hù)的軟件，在消費(fèi)者進(jìn)入某個收集個人信息的網(wǎng)站之時(shí)，該軟件會提醒消費(fèi)者什么樣的個人信息正在被收集，由消費(fèi)者決定是否繼續(xù)瀏覽該網(wǎng)站，或者由消費(fèi)者在軟件中預(yù)先設(shè)定只允許收集特定的信息，除此以外的信息不許收集等等［9］。如此，便能形成對個人信息保護(hù)的有效的激勵與約束機(jī)制，完成對立法保護(hù)個人信息的有效補(bǔ)充。

［1］井慧寶，常秀嬌.個人信息概念的厘定［J］.法律適用，2011(3):90－93.

［2］廉霄.從民法視角看隱私與個人信息保護(hù)的制度安排［J］.黑龍江省政法管理干部學(xué)院學(xué)報(bào)，2010(8):58－60.

［3］藍(lán)藍(lán).確立個人信息財(cái)產(chǎn)權(quán)的必要性與正當(dāng)性研究［J］.中國科技法學(xué)年刊，2008(1):211－219.

［4］王利明.論個人信息權(quán)在人格權(quán)法中的地位［EB/OL］.［2013－05－21］.http://www.aisixiang.com/data/61443.html?page=1.

［5］楊帆.刑法新增侵犯個人信息兩罪之評析［J］.鐵道警官高等?？茖W(xué)校學(xué)報(bào)，2010(3):60－63.

［6］何榮功.刑法亮劍個人信息保護(hù)［J］.中國審判新聞月刊，2009(5):16－19.

［7］劉帥，謝笑，謝陽群，等.歐美網(wǎng)絡(luò)個人信息保護(hù)的啟示［J］.淮北師范大學(xué)學(xué)報(bào)，2012(6):63－67.

［8］李群.侵犯公民個人信息罪認(rèn)定中的若干問題研究［D］.武漢:中南民族大學(xué)法學(xué)院，2012.

［9］謝守分.網(wǎng)絡(luò)個人隱私保護(hù)的行業(yè)自律模式［EB/OL］.［2013－05－09］.http://www.148cn.org/html/69/n－12169.html.