□劉長秋 史曉芳

當(dāng)今時代是一個個人信息極易被泄露和濫用的時代，個人信息泄露已經(jīng)給當(dāng)代人帶來了越來越多的負(fù)面影響，極大地影響了人們的正常生活，垃圾短信、騷擾電話、無聊郵件、詐騙飛信……很多人幾乎每天都在受類似這些問題的困擾，不勝其煩。如何保障公民個人信息安全，防范個人信息泄露，已成為人們普遍關(guān)注的一個焦點問題。本文擬從分析當(dāng)前我國公民信息保護(hù)面臨的法律挑戰(zhàn)入手，對我國公民個人信息保護(hù)法的完善作一分析。

一、我國公民信息保護(hù)面臨的挑戰(zhàn)分析

當(dāng)前，隨著我國公民在日常生活中使用個人信息的次數(shù)越來越多，個人信息遭受泄露的可能性也越來越大。公民信息的泄露，不僅嚴(yán)重侵犯和干擾了公民的個人隱私及公民個人正常生活，更為不法分子提供了作案工具和土壤，危及到公民的人身和財產(chǎn)安全……據(jù)2013年8月14日《新聞晨報》報道：上海發(fā)生的冒充老師或醫(yī)生詐騙案件中，共涉及上海16萬條學(xué)生及家長信息泄露，其他各省市個人信息500余萬條遭泄露。在查獲的犯罪嫌疑人電腦內(nèi)，個人信息包含學(xué)生姓名、家長電話、老師姓名和學(xué)生所在學(xué)校及班級信息等。如此準(zhǔn)確詳細(xì)的信息給犯罪分子可乘之機(jī)，僅上海市在2013年3、4兩個月份就發(fā)生此類詐騙案件40余起，涉案金額60余萬元。①王亦菲、趙雪芬：《滬16萬條學(xué)生及家長信息泄露》，《新聞晨報》2013年8月14日。上海各中、小學(xué)校還因此集中大規(guī)模發(fā)放《防止電話詐騙告知書》給家長過目并確認(rèn)知悉。個人信息的頻繁泄露以及由此而招致的違法犯罪現(xiàn)象，已經(jīng)成為我國公民個人信息保護(hù)工作面臨的突出挑戰(zhàn)。

就公民個人信息泄露的原因而言，在目前信息網(wǎng)絡(luò)技術(shù)發(fā)展已經(jīng)使網(wǎng)絡(luò)成為當(dāng)代人，尤其是當(dāng)代都市人生活無法割舍之一部分的情況下，網(wǎng)絡(luò)黑客盜取個人信息成為造成公民個人信息泄露的一個重要原因。2011年底，中國互聯(lián)網(wǎng)史上由“黑客”導(dǎo)演的規(guī)模最大的“泄密門”事件，就將個人信息保護(hù)推向了風(fēng)口浪尖。除此之外，公民在與一些特定行業(yè)打交道過程中都可能會面臨個人信息遭到泄露的情況，如房產(chǎn)中介、工商、醫(yī)療、民政、銀行、民航、電信等都是個人信息泄露的“源頭”和“重災(zāi)區(qū)”。而隨著網(wǎng)絡(luò)快遞業(yè)的發(fā)展，一些網(wǎng)購商家開始利用快遞公司出售的會員信息進(jìn)行“刷鉆”（即刷信譽(yù)）欺騙消費者；被泄露的個人信息甚至被用于制造“假包裹”進(jìn)行詐騙等違法行為。②參見張波、孫玉春、劉元媛：《多家快遞公司單號遭販賣》，《現(xiàn)代快報》2012年11月8日。這些事件使快遞行業(yè)馬上成為公民個人信息泄露的另一“重災(zāi)區(qū)”，引起了人們的高度關(guān)注。伴隨公民個人信息泄漏危害的不斷升級，維護(hù)公民個人信息安全問題已經(jīng)成為我國不可回避、亟待解決的大事，而如何從法律層面上加強(qiáng)保護(hù)我國公民信息安全，是保障公民個人生活安寧以及社會安全的一項重要課題。

二、當(dāng)前我國法律對公民個人信息保護(hù)的缺陷分析

在我國，公民個人信息頻繁遭遇泄露的原因是多方面的，其中，既有公民個人自我保護(hù)意識不強(qiáng)方面的因素，也有個別機(jī)構(gòu)與個人非法采集公民個人信息方面的因素；既有行業(yè)道德建設(shè)方面的原因，也有國家政策法規(guī)方面的原因。而在依法治國已經(jīng)成為當(dāng)代社會主旋律的宏觀背景下，法律方面的原因則是其中最不容忽視的一個原因。

（一）我國公民個人信息的法律保護(hù)模式

對于我國公民個人信息保護(hù)，我國立法一直缺乏系統(tǒng)的規(guī)定，而且立法保護(hù)的層次較低。具體而言，主要有三種保護(hù)方式：1.憲法與行政法保護(hù)。如《憲法》第38條、第40條以保障公民人格尊嚴(yán)與通信自由和通信秘密的方式，間接承認(rèn)和規(guī)定了對公民個人信息的保護(hù)。①我國憲法第38條規(guī)定：“中華人民共和國公民的人格尊嚴(yán)不受侵犯。禁止用任何方法對公民進(jìn)行侮辱、誹謗和誣告陷害?！钡?0條規(guī)定：“中華人民共和國公民的通信自由和通信秘密受法律的保護(hù)。除因國家安全或者追查刑事犯罪的需要，由公安機(jī)關(guān)或者檢察機(jī)關(guān)依照法律規(guī)定的程序?qū)νㄐ胚M(jìn)行檢查外，任何組織或者個人不得以任何理由侵犯公民的通信自由和通信秘密?！倍吨腥A人民共和國居民身份證法》第19條和第20條則規(guī)定了國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位或其工作人員泄露在履行職責(zé)或者提供服務(wù)過程中獲得的居民身份證記載的信息、警察非法更改或泄露公民個人信息的情況，根據(jù)情節(jié)輕重，依法承擔(dān)民事責(zé)任或追究刑事責(zé)任，也在防范公民個人信息泄露和保護(hù)公民個人信息安全方面發(fā)揮了重要作用。據(jù)統(tǒng)計，我國目前有近40部法律、30余部法規(guī)，以及近200部規(guī)章涉及個人信息保護(hù)，其中包括規(guī)范互聯(lián)網(wǎng)信息規(guī)定，醫(yī)療信息規(guī)定，個人信用管理辦法等。這些保護(hù)絕大多數(shù)都?xì)w屬于憲法、行政法保護(hù)。2.民法保護(hù)?！肚謾?quán)責(zé)任法》中明確將公民隱私權(quán)作為法律保護(hù)的一項基本權(quán)利，這實際上為公民個人信息的民法保護(hù)提供了明確法律依據(jù)。而2013年新修改的《消費者權(quán)益保護(hù)法》也對消費者個人信息保護(hù)問題作出了明文規(guī)定。3.刑法保護(hù)。我國2009年通過的《刑法修正案（七）》確定了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”罪名，首次將公民個人信息納入刑法保護(hù)范疇，規(guī)定要追究泄露、竊取和售賣公民個人信息行為的刑事責(zé)任。

（二）現(xiàn)行法律對公民個人信息保護(hù)的缺陷

總體而言，我國有關(guān)公民個人信息保護(hù)的立法規(guī)定都比較籠統(tǒng)、零散，而且立法層級偏低，基本上以行政法規(guī)和部委規(guī)章為主，難以形成嚴(yán)密的保護(hù)個人信息的法律網(wǎng)。而且，目前我國還沒有旨在保護(hù)公民個人信息的專項法律，現(xiàn)行公民個人信息保護(hù)的相關(guān)法律制度，基本上都只是“間接”保護(hù)，缺乏明確的法律依據(jù)。由于我國迄今還沒有制定任何一部專門針對公民隱私權(quán)保護(hù)或個人信息安全維護(hù)的法律，我國在個人信息處理上應(yīng)遵循哪些原則、信息主體在個人信息處理活動中享有哪些權(quán)利與義務(wù)、對濫用個人信息者如何制裁以及由什么機(jī)構(gòu)給予制裁等方面都還處于無法可依的狀態(tài)。這不僅難以給維護(hù)和保障公民個人信息安全的工作提供應(yīng)有的指導(dǎo)，也使公民個人的隱私權(quán)難以得到真正的實現(xiàn)。

不僅如此，目前我國防范個人信息買賣的法律制度中，無論是最具強(qiáng)制力的刑法，還是一般相關(guān)的行政法規(guī)或規(guī)章，其防范和懲治的重點都是出售和提供個人信息的行為，亦即刑法第253條規(guī)定的“出售或者非法提供給他人”的行為，而相對比較忽視對購買公民個人信息行為的法律應(yīng)對。實際上，按照市場交易的基本規(guī)律，需求是產(chǎn)生和導(dǎo)致交易的本源，沒有基于需求而產(chǎn)生的購買，就不可能出現(xiàn)為了金錢而進(jìn)行的出賣。就此而言，基于需求而產(chǎn)生的購買才是導(dǎo)致個人信息被買賣和濫用的根源，才是危害公民個人信息安全的罪魁禍?zhǔn)?。以此為基點，購買公民個人信息的行為，更應(yīng)當(dāng)受到法律的懲治，否則，個人信息買賣現(xiàn)象就不可能在我國得到根治?，F(xiàn)行立法在這一點的處理上顯然有失妥當(dāng)，成為誘發(fā)個人信息買賣的一個制度根源。②參見劉長秋：《法律該如何應(yīng)對個人信息買賣》，《東方早報》2012年12月16日。

值得指出的是，我國在2012年4月編制完成了《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》 （以下簡稱《指南》）。作為我國個人信息保護(hù)領(lǐng)域的首個國家標(biāo)準(zhǔn)，該《指南》將個人信息分為個人一般信息和個人敏感信息，并提出了默許同意和明示同意的概念。對于個人敏感信息，需要建立在明示同意的基礎(chǔ)上，在收集和利用之前，必須獲得個人信息主體明確的授權(quán)。這實際上是國家給我國公民提供的一層旨在保障其個人信息安全的“防護(hù)甲”。《指南》的出臺，可以進(jìn)一步促進(jìn)公民對個人信息保護(hù)的自覺，增進(jìn)共識，為個人信息保護(hù)立法積累經(jīng)驗，可以在一定程度上規(guī)范個人信息的處理行為，構(gòu)建政府引導(dǎo)下的行業(yè)自律機(jī)制和模式。其實施可以進(jìn)一步促進(jìn)公民對個人信息保護(hù)的自覺，增進(jìn)共識，為個人信息保護(hù)立法積累經(jīng)驗，可以在一定程度上規(guī)范個人信息的處理行為，構(gòu)建政府引導(dǎo)下的行業(yè)自律機(jī)制和模式。

然而，另一方面，對于《指南》所能夠?qū)嶋H發(fā)揮的作用，我們也需要保持足夠清醒的認(rèn)識，不能對《指南》寄予過高期望。因為《指南》作為一項由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口組織，且由中國軟件測評中心等30多家單位參與編制的國家標(biāo)準(zhǔn)，只是一種“軟法”，充其量只能充當(dāng)防護(hù)個人信息安全的一件“防護(hù)甲”。如果我們把侵犯個人信息安全的行為比喻為一件利器，則作為個人信息保護(hù)國家標(biāo)準(zhǔn)的《指南》就是國家為公民提供的一件“防護(hù)甲”。從技術(shù)上來說，“防護(hù)甲”的確有防范利器之攻擊以保護(hù)人的作用，但個人能否真正得到“防護(hù)甲”的保護(hù)卻不是“防護(hù)甲”僅依靠自身就能左右和控制的。因為“防護(hù)甲”是否能真正起到防護(hù)作用，還要看利器攻擊的時機(jī)、個人的自我防范意識、“防護(hù)甲”的大小與堅固程度以及個人除了穿“防護(hù)甲”之外是否還拿著“盾”等在內(nèi)的各種因素。

基于此，我們必須理性地看待《指南》的發(fā)布與實施，客觀而全面地評價其在維護(hù)個人信息安全方面所能夠起到的實際作用，在依《指南》做好個人信息保護(hù)工作的同時，盡早出臺真正具有法律效力的個人信息保護(hù)法，使《指南》這一軟法能夠在國家法的配合之下更有效地發(fā)揮作用。

三、國外公民個人信息保護(hù)的法律經(jīng)驗

個人信息安全問題并非當(dāng)代中國所獨有的一個問題，實際上，在各個國家，這一問題都是一個相對棘手的現(xiàn)實問題，而各國也幾乎都在謀求從法律層面上來防范和解決這一問題。早在上個世紀(jì)60年代，很多國家就因為現(xiàn)代信息技術(shù)的無限擴(kuò)張，開始根據(jù)本國國情和具體需求開展了對公民隱私的研究調(diào)查和立法保護(hù)工作，并已經(jīng)形成了較為系統(tǒng)化的公民信息安全保護(hù)體系。目前，已有50多個國家和地區(qū)制定了個人信息保護(hù)的相關(guān)法律、法規(guī)標(biāo)準(zhǔn)。

歐盟對個人信息保護(hù)采取統(tǒng)一立法模式，專門出臺了《個人數(shù)據(jù)保護(hù)指令》 （以下簡稱《指令》）。該《指令》確定了處理個人信息的“全流程保護(hù)”規(guī)范，即從個人信息的采集，到信息的使用和交流，一直到信息的銷毀，整個信息的全流程、全周期都有很明確的行為規(guī)范要求?！吨噶睢芬笤O(shè)立獨立的權(quán)威的信息專員；明確了一系列個人信息保護(hù)的原則；建立了信息處理的許可或登記制度；建立了一套發(fā)揮行政執(zhí)法長處的監(jiān)督和檢查制度；個人信息主體的參與；以及相應(yīng)的法律責(zé)任的追究制度。在事前、事中、事后都有相應(yīng)的法律法規(guī)的監(jiān)督、檢查、追究和救濟(jì)渠道。

美國是互聯(lián)網(wǎng)技術(shù)和電子商務(wù)最發(fā)達(dá)的國家之一，其對公民個人信息的保護(hù)也因此而極為關(guān)注和重視。美國國會在1973年就通過了《隱私法》，這是美國對于公民信息保護(hù)最為重要的一部法案。之后，美國又相繼推出了《信息保護(hù)和安全法》、《防止身份盜用法》、《網(wǎng)上隱私保護(hù)法》、《消費者隱私保護(hù)法》等法律。1997年以后，美國出臺了《全球電子商務(wù)框架報告》和《兒童網(wǎng)上隱私保護(hù)法》，開始著重強(qiáng)調(diào)對網(wǎng)民隱私保護(hù)、要求網(wǎng)絡(luò)服務(wù)業(yè)者必須要告知其隱私權(quán)政策，并且規(guī)定收集13歲以下兒童的信息前，必須首先獲得家長的同意。

加拿大在1983相繼實施了《信息獲取法》、《隱私權(quán)法》與《信息獲取法》，明確對加拿大150個聯(lián)邦政府部門以及中介機(jī)構(gòu)收集、利用、公布個人信息的行為作出限制。這些法律規(guī)定：非屬當(dāng)前任務(wù)所必需，政府機(jī)構(gòu)不得采集個人信息；除個別情況外，應(yīng)向信息關(guān)系人直接采集，并同時向其通報采集信息的目的；個人信息只可用于既定目的并只許在限定條件下披露；政府機(jī)構(gòu)必須為含有個人信息的數(shù)據(jù)庫編制索引并至少每年修訂一次。該索引介紹有哪些政府機(jī)構(gòu)控制著哪些個人信息以及個人信息的使用目的，供公眾查詢。①杜玉芳：《加拿大政府信息公開與公民隱私權(quán)的保護(hù)》，《中央社會主義學(xué)院學(xué)報》，2011年第6期。

英國在1984年制定了《數(shù)據(jù)保護(hù)法》，不允許以欺騙手段從數(shù)據(jù)主體那里取得信息，搜集取得個人信息必須征得有關(guān)個人的同意。瑞典于1973年制定了《資料法》，該法規(guī)定建立瑞典資料監(jiān)督局，未經(jīng)該局批準(zhǔn)，任何人不得非法持有他人的個人資料，并對有關(guān)資料的收集、利用和管理等方面進(jìn)行了規(guī)范。而日本也制定了《個人信息保護(hù)法》，確立了基本保護(hù)方針、政策、責(zé)任和處罰。

除了制定專門保護(hù)公民個人信息的法律之外，很多國家也都動用了刑罰的力量，在刑法中對侵犯公民個人隱私或非法收集（包括購買）、傳播公民個人信息的行為進(jìn)行了刑罰規(guī)制。如《法國刑法典》就專門在“侵犯人格罪”中設(shè)置了包括“侵犯秘密罪”、“侵害信息處理或信息縮片產(chǎn)生的人之權(quán)利罪”以及“采用遺傳基因進(jìn)行人之特征或鑒別研究產(chǎn)生的人身侵害罪”①參見《法國新刑法典》，羅結(jié)珍譯，北京：中國法制出版社，2003年版，第90-97頁。等在內(nèi)的多種旨在保護(hù)公民個人信息安全的犯罪。這對于全面保護(hù)公民個人信息安全無疑起到了重要作用。

四、完善我國公民個人信息保護(hù)法的對策建議

公民個人信息的受保護(hù)程度，直接影響和制約著一個國家法治的健全和社會文明發(fā)展的程度。為此，全國人大常委會委員長吳邦國在2013年年初“兩會”上作全國人大常委會工作報告時指出，要“以法律形式保護(hù)公民個人及法人電子信息安全，確立網(wǎng)絡(luò)身份管理制度，明確網(wǎng)絡(luò)服務(wù)提供者的義務(wù)和責(zé)任，并賦予政府主管部門必要的監(jiān)管手段”。這實際上為我國公民個人信息保護(hù)指明了立法的方向?；诖?，筆者認(rèn)為，保護(hù)公民個人信息除了依靠行業(yè)自律、增強(qiáng)公民自我保護(hù)意識和建構(gòu)網(wǎng)絡(luò)倫理等方式外，更需要從立法角度上考慮加強(qiáng)和完善公民個人信息保護(hù)方面的法制建設(shè)。

（一）盡快出臺 《公民個人信息保護(hù)法》

有無專門的個人信息保護(hù)法，不僅直接體現(xiàn)著國家對于公民個人信息保護(hù)的重視程度，而且直接關(guān)涉著個人信息保護(hù)工作的成效。綜觀世界各國，凡是在那些公民個人信息保護(hù)工作做得較好的國家和地區(qū)，幾乎都出臺了專門的個人信息保護(hù)法，我國也應(yīng)當(dāng)借鑒其他國家和地區(qū)的先進(jìn)立法經(jīng)驗，盡快出臺一部《公民個人信息保護(hù)法》，對個人信息處理應(yīng)遵循的原則、信息主體在個人信息處理活動中享有的權(quán)利、對濫用個人信息者的制裁等作出明確的規(guī)定，使公民個人信息安全的保障納入法治化軌道。②參見劉長秋：《盡快出臺個人信息保護(hù)法》，《社會科學(xué)報》2009年4月9日。

在公民個人信息保護(hù)的模式上，《公民個人信息保護(hù)法》可以考慮參照歐盟的個人信息保護(hù)立法模式，由國家專門機(jī)構(gòu)統(tǒng)一規(guī)范個人信息的收集、處理、發(fā)布和利用。根據(jù)個人信息的泄漏環(huán)節(jié)情況，尤其是要著重加強(qiáng)規(guī)范公民個人信息泄露的主要“源頭”（工商、醫(yī)療、民政、銀行、民航、電信等一些部門和服務(wù)機(jī)構(gòu)）。對這些部門和機(jī)構(gòu)收集、加工、轉(zhuǎn)移、使用、管理公民個人信息的行為均予以嚴(yán)格規(guī)范，落實工作責(zé)任，加強(qiáng)監(jiān)管保護(hù)。對于非法泄露公民個人信息的，不僅要懲治個人，有關(guān)單位主管人員或者直接責(zé)任人員有過錯的，也應(yīng)要求其承擔(dān)法律責(zé)任，特別是公務(wù)員參與信息倒賣從中牟利尤需嚴(yán)懲并細(xì)化相關(guān)條款定罪。③參見袁國禮：《公務(wù)員參與信息倒賣從中牟利》，《京華時報》2012年4月26日在依法治國的時代背景下，這顯然是防范公民個人信息濫用所首先要做的一項基本工作。

（二）在相關(guān)立法中增加懲處 “購買個人信息”行為的法律條款

針對目前我國現(xiàn)有相關(guān)法律過于重視防范出賣而忽視購買個人信息之立法缺陷，應(yīng)逐漸重視對購買和非法收集公民個人信息行為的懲處問題。在相關(guān)法律中明確規(guī)定非法購買公民個人信息所應(yīng)承擔(dān)的法律責(zé)任，使購買而不單是出賣公民個人信息的行為受到法律的處罰。為此，可考慮修改刑法的有關(guān)規(guī)定，將“購買或非法獲取公民個人信息，情節(jié)嚴(yán)重”的行為也作為犯罪來處理，以借助刑法的威懾，從根源上打擊非法買賣公民個人信息的行為。在其他相關(guān)法律、法規(guī)或規(guī)章（如《居民身份證法》等）中，也應(yīng)相應(yīng)地增加對購買公民個人信息行為的處罰及其力度，使出賣和購買個人信息的行為都受到法律的規(guī)制。這些都是切斷公民個人信息買賣供需之源，防范并減少個人信息買賣的必要立法舉措。④參見劉長秋：《法律該如何應(yīng)對個人信息買賣》，《東方早報》2012年12月16日。

（三）充分利用好現(xiàn)有的立法資源

在當(dāng)前我國公民個人信息保護(hù)領(lǐng)域尚未出臺專門的法律，而出臺這樣一部法律尚需時日的宏觀背景下，應(yīng)當(dāng)高度重視現(xiàn)有立法資源在保護(hù)公民個人信息安全方面的作用，即“應(yīng)該有效地利用我國行政法和民法現(xiàn)有的救濟(jì)機(jī)制，解決法律的執(zhí)行問題”⑤周漢華：《中華人民共和國個人信息保護(hù)法（專家建議稿）及立法研究報告》，北京：法律出版社，2006年版，第53頁。。為此，需要加強(qiáng)相關(guān)的司法解釋，使現(xiàn)有相關(guān)的法律、法規(guī)或規(guī)章中的相關(guān)規(guī)定不會虛置而能夠有效發(fā)揮其作用。此外，還應(yīng)特別關(guān)注和重視“軟法”在公民個人信息保護(hù)方面的地位和作用。在我國已經(jīng)出臺了《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》的情況下，發(fā)揮其在強(qiáng)化職業(yè)倫理建設(shè)和行業(yè)監(jiān)管方面的獨特作用，使各個相關(guān)行業(yè)充分認(rèn)識到濫用公民個人信息的危害，自覺抵制買賣公民個人信息的行為。這些顯然也都是保護(hù)我國公民個人信息安全的客觀需要。