王秀哲

隨著社會(huì)發(fā)展和信息技術(shù)的不斷進(jìn)步，專門立法保護(hù)個(gè)人信息的呼聲日益高漲，早在2008年第十一屆全國人民代表大會(huì)開會(huì)期間就有代表提出制定個(gè)人信息保護(hù)法的提案。〔1 〕專家和學(xué)者建議稿草案也早就出臺(tái)。〔2 〕但我國個(gè)人信息保護(hù)統(tǒng)一立法卻一直難產(chǎn)。在個(gè)人信息保護(hù)法遲遲不能出臺(tái)的背景下，社會(huì)發(fā)展的客觀需要催生了不同法律層次的分散立法和專門領(lǐng)域立法，個(gè)人信息保護(hù)不斷出現(xiàn)在各種法律、法規(guī)、規(guī)章和司法解釋中。有研究認(rèn)為，中國大陸目前有24個(gè)法律或者規(guī)范性文件各自從某方面涉及對(duì)公民個(gè)人信息的保護(hù)，且均具有行政法律法規(guī)的性質(zhì)，〔3 〕也有資料顯示，我國目前有近40部法律、30余部法規(guī)以及近200部規(guī)章涉及個(gè)人信息保護(hù)?！? 〕實(shí)際上，近年來，涉及個(gè)人信息的立法不斷增加，鑒于分散立法保護(hù)已經(jīng)形成為一種氣候，且實(shí)際上推動(dòng)或阻礙著個(gè)人信息法律保護(hù)的發(fā)展，筆者認(rèn)為，有必要對(duì)已有的個(gè)人信息保護(hù)立法進(jìn)行全面梳理、總結(jié)，從立法經(jīng)驗(yàn)總結(jié)和法律規(guī)范性文件統(tǒng)一兩個(gè)方面更好地推進(jìn)個(gè)人信息立法保護(hù)的完善。

筆者以中國人大網(wǎng)的“中國法律法規(guī)信息系統(tǒng)” 〔5 〕為檢索數(shù)據(jù)庫，并結(jié)合北大法寶 〔6 〕和匯法網(wǎng)，〔7 〕全文檢索現(xiàn)行有效的法律、行政法規(guī)、地方性法規(guī)和司法解釋中有關(guān)個(gè)人信息保護(hù)的內(nèi)容，對(duì)我國個(gè)人信息的立法保護(hù)進(jìn)行梳理和總結(jié)。通過檢索發(fā)現(xiàn)，目前主要有普遍分散在各種規(guī)范性文件中的個(gè)人信息保護(hù)以及專門領(lǐng)域、行業(yè)的個(gè)人信息立法保護(hù)兩種類型，筆者分別結(jié)合不同的立法層次對(duì)上述兩種類型的法律法規(guī)進(jìn)行考察。

一、法律、行政法規(guī)對(duì)個(gè)人信息的分散立法保護(hù)

（一）法律中的“個(gè)人信息”保護(hù)

登錄中國人大網(wǎng)“中國法律法規(guī)信息庫”，檢索規(guī)定有“個(gè)人信息”現(xiàn)行有效的憲法法律，共命中記錄95條，之所以檢索記錄很多，是因?yàn)橄到y(tǒng)默認(rèn)同時(shí)檢索“個(gè)人”、“信息”、“個(gè)人信息”三個(gè)關(guān)鍵詞，經(jīng)排查，規(guī)定有"個(gè)人信息"及相關(guān)保護(hù)內(nèi)容的記錄僅有23條。通過閱讀法條，上述法律中規(guī)定個(gè)人信息的基本情況見下表：

通過上述統(tǒng)計(jì)可知，目前我國法律對(duì)個(gè)人信息的分散保護(hù)還相當(dāng)粗糙。主要表現(xiàn)為：1.以個(gè)人信息保密并承擔(dān)法律責(zé)任的原則規(guī)定為主。除《職業(yè)病防治法》規(guī)定了檔案信息查閱權(quán)、《反間諜法》和《反洗錢法》規(guī)定了特定目的使用個(gè)人信息外，2013年最新修訂的《消費(fèi)者權(quán)益保護(hù)法》從消費(fèi)者個(gè)人信息權(quán)利、收集使用個(gè)人信息原則以及侵害個(gè)人信息權(quán)利承擔(dān)民事、行政責(zé)任等方面做了比較全面的規(guī)定。其他法律主要針對(duì)個(gè)人信息保密做了規(guī)定，并簡(jiǎn)單表述為相關(guān)主體有對(duì)知悉的個(gè)人信息保密、不公開或不泄露的義務(wù)，同時(shí)規(guī)定了法律責(zé)任。而部分法律僅規(guī)定了個(gè)人信息公開和保密義務(wù)，并沒有配套的法律責(zé)任規(guī)定。2.個(gè)人信息具體內(nèi)容不明確。上述涉及個(gè)人信息的具體內(nèi)容以居民身份證法列舉的最多，為姓名、性別、民族、出生日期、常住戶口所在地住址、公民身份號(hào)碼、本人相片、指紋信息，《護(hù)照法》中還出現(xiàn)了出生地，《刑事訴訟法》列舉有工作單位。個(gè)人信息的列舉集中在《身份證法》、《護(hù)照法》等規(guī)范證照辦理的法律中，其他法律基本上只是規(guī)定保護(hù)個(gè)人信息但是并沒有規(guī)定個(gè)人信息的內(nèi)容。3. 法律責(zé)任規(guī)定比較簡(jiǎn)單。民事、行政和刑事法律責(zé)任雖都有規(guī)定，刑法入罪規(guī)定也有明確量刑，但是刑法中構(gòu)成該罪必須達(dá)到“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)不具有可操作性，〔8 〕其他犯罪構(gòu)成的實(shí)踐操作也有很多問題；〔9 〕除刑法外的其他法律中均為宣示性的“應(yīng)當(dāng)給予處分”、“依法給予賠償”等法律責(zé)任規(guī)定，具體操作性非常弱。4.個(gè)人信息法律保護(hù)規(guī)范的主體以公權(quán)力機(jī)關(guān)和公共服務(wù)單位為主。主要包括公安機(jī)關(guān)、監(jiān)管機(jī)關(guān)、統(tǒng)計(jì)機(jī)關(guān)、社會(huì)保險(xiǎn)行政機(jī)關(guān)、人民法院和檢察院等，其他主體包括經(jīng)營者以及社會(huì)保險(xiǎn)經(jīng)辦機(jī)構(gòu)、社會(huì)保險(xiǎn)費(fèi)征收機(jī)構(gòu)和其他公共服務(wù)機(jī)構(gòu)?！缎谭ㄐ拚福ㄆ撸妨信e了金融、電信、交通、教育、醫(yī)療等公共服務(wù)單位，修改后的居民身份證法也同樣列入。但是這里的單位主體到底是一般主體還是特殊主體，“等”字應(yīng)作何解釋，在理論上還存在爭(zhēng)議?！?0 〕值得關(guān)注的是，2015年最新通過的《刑法修正案（九）》把侵犯公民個(gè)人信息的主體擴(kuò)大為對(duì)世權(quán)的一般主體，不僅對(duì)履職和服務(wù)主體不再具體列舉，而且在履職和服務(wù)以外的所有“違反國家有關(guān)規(guī)定”侵犯公民個(gè)人信息的主體都受刑法規(guī)制，這無疑是對(duì)個(gè)人信息刑法保護(hù)責(zé)任主體范圍的擴(kuò)大。

（二）行政法規(guī)中的個(gè)人信息保護(hù)

通過檢索，在中國人大網(wǎng)“法律法規(guī)信息庫”中檢索規(guī)定“個(gè)人信息”，現(xiàn)行有效的行政法規(guī)及文件，共有記錄170條，同樣因?yàn)橄到y(tǒng)默認(rèn)同時(shí)檢索“個(gè)人”、“信息”、“個(gè)人信息”，經(jīng)排查，明確規(guī)定或保護(hù)個(gè)人信息內(nèi)容的記錄僅有12條。另參照北大法寶法律信息數(shù)據(jù)庫和匯法網(wǎng)進(jìn)行行政法規(guī)全文搜索關(guān)鍵詞“個(gè)人信息”，還檢索出了專門規(guī)定個(gè)人信息的行政法規(guī)《征信業(yè)管理?xiàng)l例》，該條例在中國人大網(wǎng)“中國法律法規(guī)信息系統(tǒng)”中被列入了部委規(guī)章，但在國務(wù)院網(wǎng)站中被列入了行政法規(guī)?！?1 〕《征信業(yè)管理?xiàng)l例》屬于個(gè)人信息行業(yè)領(lǐng)域的專門保護(hù)規(guī)定，本文后面專門討論。

檢索出的行政法規(guī)多從保密義務(wù)和法律責(zé)任兩方面規(guī)定了對(duì)個(gè)人信息的保護(hù)，但列舉出的個(gè)人信息并不多。

行政法規(guī)對(duì)個(gè)人信息保護(hù)的規(guī)定，主要集中在公權(quán)力行使的幾個(gè)領(lǐng)域以及公權(quán)力特許的彩票經(jīng)營、互聯(lián)網(wǎng)地圖服務(wù)、銀行、鐵路運(yùn)輸企業(yè)等領(lǐng)域。保護(hù)的模式采用的是保密加法律責(zé)任，但是顯然對(duì)泄露個(gè)人信息法律責(zé)任的規(guī)定非常簡(jiǎn)化，只規(guī)定高度概括的依法處分、處罰或追究刑事責(zé)任。涉及身份證、居住證、社會(huì)救助、保安登記、不動(dòng)產(chǎn)登記等登記信息結(jié)合有個(gè)人信息的具體內(nèi)容規(guī)定外，其他的幾乎都是概括規(guī)定個(gè)人信息。流動(dòng)人口登記中規(guī)定保護(hù)涉及公民隱私的流動(dòng)人口信息，但是并沒有明確具體是哪些信息。除了《現(xiàn)役軍人和人民武裝警察居民身份證申領(lǐng)發(fā)放辦法》與《居民身份證法》有銜接外，其他行政法規(guī)與規(guī)定有個(gè)人信息保護(hù)的法律均沒有上下承接關(guān)系。由此可見，在法律對(duì)個(gè)人信息分散保護(hù)比較粗糙的前提下，行政法規(guī)并沒有多大作為，只是擴(kuò)大了幾個(gè)保護(hù)個(gè)人信息的行政管理領(lǐng)域。

二、部委規(guī)章和地方性法規(guī)、規(guī)章對(duì)個(gè)人信息的分散立法保護(hù)

（一）部委規(guī)章對(duì)個(gè)人信息的保護(hù)

在“部委規(guī)章及文件”子庫中檢索正文關(guān)鍵詞“個(gè)人信息”，現(xiàn)行有效的記錄共36篇，〔12 〕通過閱讀發(fā)現(xiàn)，有8篇規(guī)章中的“個(gè)人信息”的規(guī)定不涉及保護(hù)內(nèi)容，《征信業(yè)管理?xiàng)l例》屬于行政法規(guī)。排除以上9篇內(nèi)容，筆者首先對(duì)27篇現(xiàn)行有效的規(guī)定有個(gè)人信息保護(hù)的部委規(guī)章的相關(guān)內(nèi)容進(jìn)行了梳理，發(fā)現(xiàn)工業(yè)和信息化部《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》（20130716）是專門針對(duì)個(gè)人信息進(jìn)行保護(hù)的部委規(guī)章，下文專門討論。另有7部規(guī)章是直接落實(shí)上位法中的個(gè)人信息保護(hù)內(nèi)容，對(duì)其直接落實(shí)上位法內(nèi)容部分不再統(tǒng)計(jì)，而《侵害消費(fèi)者權(quán)益行為處罰辦法》和《旅行社條例實(shí)施細(xì)則》雖然也是落實(shí)上位法的相關(guān)規(guī)定，但是，保護(hù)個(gè)人信息的內(nèi)容有所增加。因此作者對(duì)26部部委規(guī)章中個(gè)人信息保護(hù)的內(nèi)容進(jìn)行了梳理。

通過閱讀規(guī)章內(nèi)容發(fā)現(xiàn)：首先，部委規(guī)章在上述法律、行政法規(guī)之外的更大范圍內(nèi)規(guī)定有個(gè)人信息保護(hù)的內(nèi)容。包括舊電器電子產(chǎn)品流通、家電維修、房地產(chǎn)經(jīng)紀(jì)、水路運(yùn)輸、家用汽車產(chǎn)品、家庭服務(wù)等經(jīng)營性活動(dòng)管理領(lǐng)域；網(wǎng)絡(luò)游戲運(yùn)營、互聯(lián)網(wǎng)信息服務(wù)、網(wǎng)絡(luò)零售等網(wǎng)絡(luò)經(jīng)營管理領(lǐng)域；外航企業(yè)使用外國計(jì)算機(jī)訂座系統(tǒng)許可；消費(fèi)金融公司運(yùn)營、有限廣播電視運(yùn)營等許可管理領(lǐng)域；結(jié)核病防制、養(yǎng)老、高校招生等社會(huì)性管理活動(dòng)領(lǐng)域；以及財(cái)政信訪、工商行政管理行政處罰等公權(quán)力運(yùn)行活動(dòng)。其次，規(guī)制的主體多樣、模式單一。規(guī)制的主體包括私經(jīng)營主體、公共服務(wù)組織和政府機(jī)構(gòu)；主要規(guī)定模式依然為個(gè)人信息保密，不得泄露，一半以上并沒有配套規(guī)定法律責(zé)任，規(guī)定法律責(zé)任的規(guī)章也多數(shù)限于行政處罰。第三，基本上沒有界定個(gè)人信息具體內(nèi)容?！肚趾οM(fèi)者權(quán)益行為處罰辦法》、《工商行政管理行政處罰信息公示暫行規(guī)定》對(duì)受保護(hù)的個(gè)人信息作了列舉并作了“識(shí)別”性的界定；《旅行社條例實(shí)施細(xì)則》有關(guān)于個(gè)人信息超保存期限應(yīng)妥善銷毀的規(guī)定；《網(wǎng)絡(luò)零售第三方平臺(tái)交易規(guī)則制定程序規(guī)定》中有“制定、修改、實(shí)施保護(hù)個(gè)人信息的規(guī)則公示并備案”的規(guī)定?？傮w上看，部委規(guī)章涉及規(guī)定個(gè)人信息保護(hù)的領(lǐng)域比較寬泛，但是對(duì)個(gè)人信息的保護(hù)依然是泛泛規(guī)定，多為碎片化內(nèi)容，法律操作性不強(qiáng)。值得注意的是，對(duì)個(gè)人信息明確列舉內(nèi)容并使用“識(shí)別”性作為界定，對(duì)于個(gè)人信息內(nèi)容的明定有示范作用。

（二）地方性法規(guī)、規(guī)章對(duì)個(gè)人信息的分散立法保護(hù)

在中國人大網(wǎng)法律法規(guī)信息系統(tǒng)選擇地方性法規(guī)規(guī)章子庫，在現(xiàn)行有效選項(xiàng)下，正文搜索關(guān)鍵詞“個(gè)人信息”，共檢索出6360條記錄，通過閱讀發(fā)現(xiàn)，在地方性法規(guī)規(guī)章層面，涉及個(gè)人信息保護(hù)有200多篇。在法律、行政法規(guī)、部委規(guī)章涉及的領(lǐng)域之外，還包括：志愿者、獻(xiàn)血、慈善事業(yè)、公共圖書館、檔案館等公益服務(wù)管理；勞動(dòng)用工、人力資源市場(chǎng)、職業(yè)技能鑒定、農(nóng)民工工資保障等勞動(dòng)管理；未成年人保護(hù)、殘疾人保障等弱勢(shì)群體保護(hù)；服務(wù)租賃中介、郵政、按摩服務(wù)業(yè)、廢舊金屬收購、出租車、機(jī)動(dòng)車維修、特種行業(yè)治安管理等特種行業(yè)管理；養(yǎng)犬、物業(yè)、城鎮(zhèn)住房保障、公租房保障、公共安全視頻監(jiān)控、流動(dòng)人口、居民卡制作、道路交通安全等公共管理；信息化、計(jì)算機(jī)信息系統(tǒng)安全、電子商務(wù)、網(wǎng)絡(luò)商品交易、信息化促進(jìn)等網(wǎng)絡(luò)信息管理；精神衛(wèi)生、農(nóng)村合作醫(yī)療、醫(yī)患糾紛、遺體捐獻(xiàn)、胎兒性別鑒定、艾滋病防治等醫(yī)療管理；舉報(bào)監(jiān)督、違紀(jì)處分、人大代表政協(xié)委員提案、法律援助、審計(jì)等監(jiān)督管理。雖然領(lǐng)域比較寬泛，但是對(duì)于個(gè)人信息保護(hù)的規(guī)定依然限于保密、不泄露，法律責(zé)任比較概括。

部委規(guī)章和地方性法規(guī)保護(hù)個(gè)人信息領(lǐng)域的擴(kuò)大，表明保護(hù)個(gè)人信息的社會(huì)需求的普遍性，但是從立法規(guī)制的角度看，由于基本沒有對(duì)個(gè)人信息內(nèi)容的明確界定和列舉，沒有規(guī)定個(gè)人信息的收集、使用的具體原則和辦法，也沒有上位法可以參照，所以實(shí)際上上述眾多的規(guī)定并不能發(fā)揮有效的作用。

三、征信業(yè)規(guī)制與互聯(lián)網(wǎng)中的個(gè)人信息立法保護(hù)

與上述分散在不同的規(guī)范性文件中的非專門個(gè)人信息保護(hù)不同，我國目前在征信業(yè)和網(wǎng)絡(luò)個(gè)人信息保護(hù)方面有專門規(guī)范保護(hù)。國務(wù)院出臺(tái)的《征信業(yè)管理?xiàng)l例》（20130121）（以下簡(jiǎn)稱《條例》）是從征信行業(yè)規(guī)制方面對(duì)個(gè)人信息進(jìn)行的專門保護(hù)規(guī)定，《廈門市軟件和信息服務(wù)業(yè)個(gè)人信息保護(hù)管理辦法》（20121203）（簡(jiǎn)稱《辦法》）雖然出臺(tái)在前，針對(duì)的是“信息服務(wù)企業(yè)”，實(shí)際上屬于對(duì)征信服務(wù)企業(yè)的規(guī)制；《全國人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》（20121228）（簡(jiǎn)稱《決定》）；工業(yè)和信息化部《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》（20130716）（簡(jiǎn)稱《規(guī)定》）；以及《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》（20140821）（簡(jiǎn)稱《解釋》）是對(duì)網(wǎng)絡(luò)個(gè)人信息的專門保護(hù)。

（一）征信業(yè)規(guī)制中的個(gè)人信息保護(hù)

隨著大數(shù)據(jù)處理技術(shù)的發(fā)展，個(gè)人信息成為最有價(jià)值的社會(huì)資源。個(gè)人信息產(chǎn)業(yè)化需求已經(jīng)形成，2012年的羅維鄧白氏買賣信息案 〔13 〕集中暴露了這一社會(huì)問題，也正是基于個(gè)人信息買賣的產(chǎn)業(yè)化需求和無序化社會(huì)現(xiàn)實(shí)，2013年國務(wù)院出臺(tái)了《征信業(yè)管理?xiàng)l例》。

《條例》適用于在我國境內(nèi)從事個(gè)人或企業(yè)信用信息的采集、整理、保存、加工，并向信息使用者提供的征信業(yè)務(wù)及相關(guān)活動(dòng)。規(guī)范的對(duì)象主要是征信機(jī)構(gòu)的業(yè)務(wù)活動(dòng)及對(duì)征信機(jī)構(gòu)的監(jiān)督管理。通過對(duì)征信機(jī)構(gòu)的特許經(jīng)營管理，對(duì)個(gè)人信息收集、加工的嚴(yán)格限制，在個(gè)人信息行政法規(guī)保護(hù)領(lǐng)域邁出了重要一步?！稐l例》在對(duì)征信機(jī)構(gòu)的資質(zhì)和成立進(jìn)行規(guī)制中，針對(duì)設(shè)立從事個(gè)人征信業(yè)務(wù)的征信機(jī)構(gòu)設(shè)定了相對(duì)嚴(yán)格的管理，規(guī)定取得個(gè)人征信業(yè)務(wù)經(jīng)營許可證后方可辦理登記；并設(shè)征信業(yè)務(wù)規(guī)則專章對(duì)個(gè)人信息的收集使用進(jìn)行了詳細(xì)規(guī)定?！稐l例》中個(gè)人信息保護(hù)的主要內(nèi)容見下表：

從上表內(nèi)容可見，《條例》從征信業(yè)收集使用的個(gè)人信息范圍、原則、個(gè)人信息主體權(quán)利、企業(yè)義務(wù)及法律責(zé)任等全方位進(jìn)行了規(guī)制。其對(duì)禁止采集的個(gè)人信息的規(guī)定，是我國規(guī)范性文件中首次出現(xiàn)的有關(guān)敏感個(gè)人信息保護(hù)的規(guī)定，主要從宗教信仰、生理和疾病信息以及法律、行政法規(guī)規(guī)定四個(gè)方面作了規(guī)定?！稐l例》對(duì)于信息主體的知情同意、查詢、變更以及尋求救濟(jì)等權(quán)利規(guī)定的也比較完整。但是，《條例》的局限性也非常明顯：其一，尚缺少對(duì)于個(gè)人信息的明確界定，其對(duì)于禁止和限制采集的個(gè)人信息的列舉也值得商榷。其二，《條例》的規(guī)范范圍非常狹窄。征信管理基本上集中在金融信息的信用管理領(lǐng)域，國家機(jī)關(guān)以及法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織依照法律、行政法規(guī)和國務(wù)院的規(guī)定，為履行職責(zé)而進(jìn)行個(gè)人信息的采集、整理、保存、加工和公布，不屬于該《條例》規(guī)范的范圍，而這一部分恰是目前個(gè)人信息收集和使用的重頭領(lǐng)域?！?4 〕其三，《條例》規(guī)制對(duì)象分類不明確。當(dāng)前，我國征信業(yè)實(shí)行的是雙軌制，即以政府主導(dǎo)的國家征信機(jī)構(gòu)為核心，以市場(chǎng)主導(dǎo)的民營機(jī)構(gòu)為補(bǔ)充輔助的運(yùn)行模式，兩者的職責(zé)應(yīng)有所不同，但是《條例》沒有明確界分。其四，《條例》操作性不強(qiáng)。網(wǎng)絡(luò)信息社會(huì)的個(gè)人信息需求已經(jīng)到了非常具體和細(xì)化的程度，收集和使用個(gè)人信息的經(jīng)營業(yè)務(wù)遠(yuǎn)比《條例》規(guī)定的復(fù)雜，雖然《條例》對(duì)于收集個(gè)人信息的征信機(jī)構(gòu)作了特許經(jīng)營管理，但實(shí)際上，大量的信息收集和使用在普遍意義的企業(yè)經(jīng)營中就完成了。其五，程序規(guī)定缺失?！稐l例》中，信息主體同意、變更、約定等權(quán)利都是概括規(guī)定，沒有配套程序規(guī)定，使得實(shí)際上權(quán)利保護(hù)不可執(zhí)行。最后，如果細(xì)致推敲，《條例》對(duì)于信息數(shù)據(jù)庫運(yùn)行機(jī)制的規(guī)定、邏輯關(guān)系以及與上位法協(xié)調(diào)方面 〔15 〕也存在問題。

《廈門市軟件和信息服務(wù)業(yè)個(gè)人信息保護(hù)管理辦法》是早于《條例》規(guī)制征信企業(yè)的政府規(guī)章，其對(duì)個(gè)人信息和個(gè)人信息處理做了明確定義，其中個(gè)人信息的定義采用了列舉加可識(shí)別性概括規(guī)定的方式。但在《條例》出臺(tái)之后，《辦法》存在著如何與上位的《條例》協(xié)調(diào)的問題，比如，信息服務(wù)企業(yè)是否等同于征信企業(yè)，市信息化主管部門的監(jiān)管與中國人民銀行的統(tǒng)一監(jiān)管關(guān)系如何協(xié)調(diào)等。由于規(guī)范性文件本身操作性欠缺，導(dǎo)致了實(shí)踐中相互矛盾的問題還不明顯。

（二）網(wǎng)絡(luò)個(gè)人信息保護(hù)

網(wǎng)絡(luò)交流成為生活常態(tài)的當(dāng)下，互聯(lián)網(wǎng)也成了侵害個(gè)人信息的重災(zāi)區(qū)，網(wǎng)絡(luò)個(gè)人信息保護(hù)的社會(huì)需求非常迫切?！稕Q定》是具有法律效力的專門針對(duì)網(wǎng)絡(luò)信息保護(hù)的規(guī)范性文件，《規(guī)定》是從電信與互聯(lián)網(wǎng)行業(yè)規(guī)制的角度對(duì)網(wǎng)絡(luò)個(gè)人信息做出保護(hù)規(guī)定的部委規(guī)章；司法解釋則是從侵權(quán)責(zé)任承擔(dān)角度對(duì)網(wǎng)絡(luò)個(gè)人信息做作出的救濟(jì)規(guī)定。

1.《決定》、《規(guī)定》對(duì)網(wǎng)絡(luò)個(gè)人信息的積極保護(hù)

《決定》是上位法，制定在先，《規(guī)定》是下位規(guī)章，制定在后，對(duì)于決定的內(nèi)容有所落實(shí)，但兩部規(guī)范性文件的內(nèi)容都很原則和概括，具有操作上的行政色彩。主要內(nèi)容為：

第一，網(wǎng)絡(luò)個(gè)人信息的明確界定?！稕Q定》界定的是公民電子信息，《規(guī)定》界定的是電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過程中收集的用戶個(gè)人信息。前者是從網(wǎng)絡(luò)個(gè)人信息保護(hù)出發(fā)進(jìn)行的界定，而后者是從規(guī)制網(wǎng)絡(luò)服務(wù)提供者的角度進(jìn)行的保護(hù)，這和《決定》是從普遍對(duì)世范圍保護(hù)網(wǎng)絡(luò)個(gè)人信息以及《規(guī)定》是行業(yè)規(guī)制性規(guī)范性文件的性質(zhì)一致?！稕Q定》對(duì)公民電子信息的界定采用的是概括的方法，有兩類判斷標(biāo)準(zhǔn)，即“能夠識(shí)別公民個(gè)人身份和涉及公民個(gè)人隱私”；《規(guī)定》采用的是概括加列舉的方式，即，用戶基本身份信息加上“可識(shí)別性”判斷標(biāo)準(zhǔn)。顯然，《決定》中的個(gè)人電子信息的判斷標(biāo)準(zhǔn)更為寬泛，但是，“身份識(shí)別性”與“涉及個(gè)人隱私”是否是一種并列關(guān)系，在個(gè)人隱私也并無法律明確規(guī)定的情況下，實(shí)踐中如果操作還是個(gè)難題。

第二，網(wǎng)絡(luò)個(gè)人信息處理的原則。《決定》第2條是關(guān)于網(wǎng)絡(luò)收集使用個(gè)人電子信息的原則規(guī)定，包括，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則；明示收集、使用目的、方式和范圍；經(jīng)被收集者同意；依法依約定收集使用個(gè)人信息；公開收集、使用規(guī)則?！兑?guī)定》中并沒有集中規(guī)定以上原則，但是在全文中貫徹了《決定》中的所有原則。

第三，網(wǎng)絡(luò)個(gè)人信息保護(hù)中的權(quán)利義務(wù)關(guān)系。由于《決定》對(duì)于公民網(wǎng)絡(luò)電子信息的普遍保護(hù)，其規(guī)范的義務(wù)主體范圍非常廣，主要包括三類：任何組織和個(gè)人不得非法獲取、出售、提供公民個(gè)人電子信息，不得向用戶固定電話、移動(dòng)電話或電子郵箱發(fā)送商業(yè)性電子信息；網(wǎng)絡(luò)服務(wù)提供者和其他企事業(yè)單位負(fù)有對(duì)于掌握的個(gè)人信息保密并采取安全技術(shù)措施的義務(wù)；國家機(jī)關(guān)及其工作人員對(duì)于履職中獲得的個(gè)人電子信息必須保密、不得出售、非法提供?！兑?guī)定》僅對(duì)電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者的安全保障責(zé)任作出了規(guī)定?！稕Q定》和《規(guī)定》都沒有明確規(guī)定用戶的個(gè)人信息權(quán)利，只是在規(guī)制網(wǎng)絡(luò)信息使用中出現(xiàn)了知情、同意、舉報(bào)、控告等個(gè)人信息的權(quán)利內(nèi)容。

第四，行政監(jiān)管之下的法律責(zé)任承擔(dān)。兩個(gè)規(guī)范性文件都有行政監(jiān)管責(zé)任的設(shè)定，《決定》中的有關(guān)主管機(jī)關(guān)監(jiān)管需要和各行業(yè)的具體監(jiān)管結(jié)合，《規(guī)定》中明確規(guī)定電信管理機(jī)構(gòu)負(fù)責(zé)監(jiān)督檢查。在法律責(zé)任設(shè)定上，主要規(guī)定了行政處罰和刑事責(zé)任，并都有記入社會(huì)誠信檔案的規(guī)定。《決定》還規(guī)定了治安管理處罰責(zé)任以及民事責(zé)任，但是法律責(zé)任都很原則，并不與具體違法情節(jié)裁量相銜接?！兑?guī)定》中的行政法律責(zé)任比較具體，但僅限于警告和3萬元以下罰款。

在個(gè)人信息保護(hù)統(tǒng)一立法缺位的情況下，《決定》具有法律效力，但其僅限于保護(hù)個(gè)人電子信息，且只有12條原則規(guī)定，在個(gè)人電子信息界定、個(gè)人信息權(quán)利以及法律責(zé)任方面雖超越了本文前述分析的個(gè)人信息分散法律保護(hù)規(guī)定，然其規(guī)定非常模糊，無法在實(shí)踐中直接落實(shí)，還是需要制定配套的專門個(gè)人信息保護(hù)法律。

2.《解釋》對(duì)于網(wǎng)絡(luò)個(gè)人信息的消極不侵犯規(guī)定

由于網(wǎng)絡(luò)個(gè)人信息侵權(quán)事件頻發(fā)，民事糾紛不斷，在沒有專門的法律依據(jù)的前提下，從實(shí)踐需要出發(fā)，最高人民法院針對(duì)利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律做出了司法解釋。《解釋》第12條是專門針對(duì)網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)不當(dāng)公開個(gè)人信息作出的規(guī)定。主要內(nèi)容包括：第一，列舉了利用網(wǎng)絡(luò)公開的個(gè)人信息的范圍，即“自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動(dòng)等個(gè)人隱私和其他個(gè)人信息”，公開上述個(gè)人信息造成他人損害的，可以向法院提起侵權(quán)責(zé)任之訴。與筆者上文討論的各種列舉不同，《解釋》列舉的個(gè)人信息主要集中在基因、醫(yī)療、犯罪記錄、住址和私人活動(dòng)幾個(gè)方面，并用個(gè)人隱私和其他個(gè)人信息作了兜底，這意味著《解釋》中列舉的是屬于個(gè)人隱私的個(gè)人信息和其他個(gè)人信息。另外，《解釋》雖然在界定個(gè)人信息的范圍時(shí)，沒有使用識(shí)別性，但是在公開例外的列舉第三項(xiàng)中出現(xiàn)了“且公開的方式不足以識(shí)別特定自然人”的規(guī)定。這可以看成是對(duì)《決定》內(nèi)容的落實(shí)。第二，規(guī)定例外情況公開個(gè)人信息不侵權(quán)，主要列舉了自然人同意或約定范圍公開、社會(huì)公益需要、科學(xué)研究需要、自然人自己公開或已經(jīng)合法公開等幾種情形。這體現(xiàn)對(duì)個(gè)人信息保護(hù)與信息流通自由的平衡。第三，例外公開的例外規(guī)定。自然人自行在網(wǎng)絡(luò)上公開或合法渠道公開的個(gè)人信息，如果網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者以違反社會(huì)公共利益、社會(huì)公德的方式公開的，或者侵害了權(quán)利人值得保護(hù)的重大利益的，權(quán)利人有權(quán)提起侵權(quán)保護(hù)之訴。這個(gè)例外的例外實(shí)際上是對(duì)個(gè)人自行公開個(gè)人信息的限制，賦予了權(quán)利人道德檢視的權(quán)利。在公共利益、社會(huì)公德并沒有法律明定范圍的情況下，公開的例外、例外的例外如何操作，依然存在實(shí)際的困難。第四，《解釋》的適用范圍非常狹窄?！督忉尅肥莾H就民事侵權(quán)爭(zhēng)議的規(guī)定，“國家機(jī)關(guān)行使職權(quán)公開個(gè)人信息的，不適用本條規(guī)定”。第五，侵權(quán)責(zé)任承擔(dān)設(shè)上限。除了貫徹民法的實(shí)際損害賠償原則外，《解釋》第18條第2款規(guī)定：“被侵權(quán)人因人身權(quán)益受侵害造成的財(cái)產(chǎn)損失或者侵權(quán)人因此獲得的利益無法確定的，人民法院可以根據(jù)具體案情在50萬元以下的范圍內(nèi)確定賠償數(shù)額?！边@實(shí)際上是針對(duì)個(gè)人信息侵權(quán)無法計(jì)算損害標(biāo)準(zhǔn)的權(quán)宜規(guī)定。

四、個(gè)人信息立法保護(hù)需明確的基本問題

通過上述梳理可知，我國目前主要在各層級(jí)法律規(guī)范文件中對(duì)個(gè)人信息進(jìn)行了分散保護(hù)，并在征信業(yè)和網(wǎng)絡(luò)個(gè)人信息保護(hù)方面進(jìn)行了專門規(guī)定，但由于特定領(lǐng)域保護(hù)個(gè)人信息范圍很狹窄，所以，總體上，我國的個(gè)人信息保護(hù)還是分散立法保護(hù)的狀態(tài)。在個(gè)人信息分散立法與有限專門立法保護(hù)的努力中，暴露出了非常明顯的弊端，主要體現(xiàn)為保護(hù)對(duì)象不明確、信息主體權(quán)利缺失、權(quán)利義務(wù)不完善和法律責(zé)任不到位等，導(dǎo)致了雖然個(gè)人信息保護(hù)的規(guī)范性文件很多，但是實(shí)際上根本無法發(fā)揮個(gè)人信息法律保護(hù)的作用，由此決定了必須總結(jié)分散立法和專門立法保護(hù)內(nèi)容，探討個(gè)人信息立法保護(hù)的新思路。結(jié)合上文分析的既有的個(gè)人信息立法中存在的問題，個(gè)人信息立法保護(hù)必須明確下述幾個(gè)基本問題：

（一）明確保護(hù)對(duì)象

個(gè)人信息作為法律保護(hù)的客體，應(yīng)該明定范圍。在我國目前個(gè)人信息的分散立法保護(hù)中，基本上個(gè)人信息保護(hù)并不是上述統(tǒng)計(jì)的規(guī)范性文件的主要立法目的，只是鑒于個(gè)人信息現(xiàn)實(shí)保護(hù)的需要而加以附帶規(guī)定。所以多數(shù)規(guī)范性文件中沒有明定何為個(gè)人信息，只是簡(jiǎn)單作了應(yīng)當(dāng)保護(hù)個(gè)人信息的原則規(guī)定。這個(gè)問題有必要專門統(tǒng)一解決，但結(jié)合已有的立法經(jīng)驗(yàn)，如何界定個(gè)人信息需要考慮如下問題：

其一，個(gè)人信息的基本內(nèi)容列舉。在上述統(tǒng)計(jì)的分散保護(hù)個(gè)人信息的規(guī)范性文件中，列舉的個(gè)人信息有姓名、住址、身份證號(hào)碼、職業(yè)、消費(fèi)情況、聯(lián)系方式等個(gè)人社會(huì)交往信息；出生日期、性別、指紋等生物特征信息；收入和財(cái)產(chǎn)狀況、銀行賬號(hào)等財(cái)產(chǎn)信息；健康狀況、就醫(yī)等醫(yī)療信息。而在專門保護(hù)個(gè)人信息的規(guī)范性文件中，增加了基因、血型等生物特征信息；疾病、病史等醫(yī)療信息；存款、有價(jià)證券、商業(yè)保險(xiǎn)、不動(dòng)產(chǎn)、納稅數(shù)額等細(xì)化的財(cái)產(chǎn)信息；婚姻狀況、職業(yè)經(jīng)歷等社會(huì)信息；犯罪記錄、不良信用記錄等負(fù)面信息；宗教信仰、私人活動(dòng)等其他信息。綜合起來看，幾乎包含了從生物特征、社會(huì)交往、財(cái)產(chǎn)、醫(yī)療、私人信仰、私人活動(dòng)等較為全面的個(gè)人信息，但總體上，列舉的內(nèi)容以泛泛的社會(huì)交往信息最為常見。在未來的個(gè)人信息立法中，上述出現(xiàn)的具體個(gè)人信息都值得關(guān)注，但需要從明確分類的角度總結(jié)已列舉的內(nèi)容，決定是否列舉以及如何選擇列舉的具體內(nèi)容。

第二，可識(shí)別個(gè)人性的概括界定。《統(tǒng)計(jì)法》、《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場(chǎng)秩序若干規(guī)定》、《侵害消費(fèi)者權(quán)益行為處罰辦法》中出現(xiàn)了“能夠單獨(dú)或與其他信息結(jié)合識(shí)別用戶的信息”的概括規(guī)定，這與專門立法保護(hù)中的概括規(guī)定一致?？梢哉f，“可識(shí)別個(gè)人性”是信息與個(gè)人相連，并能夠最終與侵犯?jìng)€(gè)人權(quán)益相結(jié)合的最基本特征。但值得注意的是，《決定》及《解釋》中出現(xiàn)的涉及個(gè)人隱私也是個(gè)人信息概括規(guī)定的一個(gè)標(biāo)準(zhǔn)，其如何與個(gè)人識(shí)別性相結(jié)合判斷個(gè)人信息還是一個(gè)需要認(rèn)真研究和論證的問題。

第三，敏感個(gè)人信息的保護(hù)問題。不同的個(gè)人信息其公開對(duì)個(gè)人權(quán)益的影響不同，《征信業(yè)管理?xiàng)l例》做出“個(gè)人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個(gè)人信息”的規(guī)定，就是關(guān)于敏感個(gè)人信息分類保護(hù)的努力。敏感個(gè)人信息和個(gè)人隱私保護(hù)緊密相連，直接關(guān)涉?zhèn)€人人格尊嚴(yán)的維護(hù)，張新寶教授就提出了“我國未來個(gè)人信息保護(hù)法應(yīng)當(dāng)以‘個(gè)人敏感隱私信息概念對(duì)個(gè)人信息進(jìn)行類型化區(qū)分”的主張?！?6 〕何為敏感個(gè)人信息？如何明確保護(hù)范圍？除了上述列舉的種類外，其他國家立法中的犯罪記錄、政黨派別以及社會(huì)團(tuán)體成員身份等敏感個(gè)人信息能否為我國借鑒？這些問題都需要結(jié)合我國的文化傳統(tǒng)和社會(huì)實(shí)際專門進(jìn)行研究。

（二）具體化個(gè)人信息處理原則

本文統(tǒng)計(jì)的法律中出現(xiàn)了收集、使用個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，明示收集、使用個(gè)人信息的目的、方式和范圍，知情同意，合法、合約，個(gè)人信息規(guī)則公開、行政監(jiān)管等具體原則。在法律之下的規(guī)范性文件中還出現(xiàn)了不良信息告知、不良信息限期保存原則；約定（特定）用途使用原則；個(gè)人信息保密原則等規(guī)定，其中，保密原則最為普遍。個(gè)人信息保護(hù)原則是個(gè)人信息立法的核心內(nèi)容，1995年歐盟數(shù)據(jù)保護(hù)一般指令就確立了合法、終極、透明、合適、保密和安全及監(jiān)控原則，〔17 〕這六大原則目的是在提供數(shù)據(jù)保護(hù)最低限度制度基礎(chǔ)上促成數(shù)據(jù)的自由流通?！?8 〕這六大原則也成為世界范圍內(nèi)各國個(gè)人信息立法保護(hù)的基本原則。與之相比較，六大原則已經(jīng)存在于我國的規(guī)范性文件中，只是具體內(nèi)容并不詳實(shí)。最主要的問題是各規(guī)范性文件中原則規(guī)定不統(tǒng)一、具體制度設(shè)計(jì)并沒有發(fā)揮原則的指導(dǎo)作用，從而導(dǎo)致個(gè)人信息保護(hù)的分散與隨意性。

（三）準(zhǔn)確定性個(gè)人信息主體的權(quán)利

在上文統(tǒng)計(jì)的規(guī)范性文件中，只有《消費(fèi)者權(quán)益保護(hù)法》中明確規(guī)定了保護(hù)“消費(fèi)者個(gè)人信息權(quán)”，其他規(guī)范性文件中都沒有出現(xiàn)個(gè)人信息權(quán)利的用語，也沒有專門規(guī)定信息主體的權(quán)利，信息主體的知情同意、查詢、變更、控告、訴訟等具體權(quán)利的規(guī)定都是在規(guī)定信息收集使用者的義務(wù)、信息收集使用規(guī)則和法律責(zé)任等內(nèi)容中附帶出現(xiàn)的。個(gè)人信息主體權(quán)利作為個(gè)人信息法律保護(hù)的核心內(nèi)容直接對(duì)應(yīng)個(gè)人信息處理主體的義務(wù)并與個(gè)人信息法律保護(hù)責(zé)任相匹配。所以必須從法律保護(hù)的權(quán)益目的出發(fā)明定個(gè)人信息主體權(quán)利。

個(gè)人信息主體權(quán)利并不是簡(jiǎn)單列舉能夠完成，其與對(duì)個(gè)人信息主體權(quán)利性質(zhì)的界定密切相關(guān)。早期的歐盟1995年《數(shù)據(jù)保護(hù)指令》第1條明確將立法目的表述為保護(hù)公民隱私權(quán)，個(gè)人信息權(quán)利的隱私權(quán)屬性一直有市場(chǎng)。〔19 〕而隨著網(wǎng)絡(luò)個(gè)人信息買賣的發(fā)展，個(gè)人信息財(cái)產(chǎn)權(quán)保護(hù)的主張浮出水面?！?0 〕目前，更多學(xué)者認(rèn)為，個(gè)人信息保護(hù)的是人格權(quán)，兼具隱私、財(cái)產(chǎn)雙重權(quán)益屬性?！?1 〕個(gè)人信息主體的權(quán)利作為個(gè)人信息立法保護(hù)的核心問題，其輻射影響信息業(yè)者和國家利用及監(jiān)管個(gè)人信息的權(quán)益和義務(wù)。各國立法中，通常直接確立個(gè)人信息自決權(quán)，這是個(gè)人信息隱私權(quán)屬性的具體體現(xiàn)，有學(xué)者論證認(rèn)為，從權(quán)益損害的角度看，個(gè)人信息買賣能夠獲利是個(gè)人信息泄露、濫用的驅(qū)動(dòng)力，而對(duì)獲利性的法律懲處并不等同于對(duì)個(gè)人信息財(cái)產(chǎn)權(quán)的保護(hù)，因?yàn)?，大?shù)據(jù)時(shí)代，往往大量的個(gè)人信息聚集才會(huì)產(chǎn)生財(cái)產(chǎn)利益，個(gè)人信息僅是這種社會(huì)財(cái)產(chǎn)權(quán)的微小組成部分，個(gè)人無法通過個(gè)人信息財(cái)產(chǎn)權(quán)主張完成對(duì)自身權(quán)益保護(hù)的主張?！?2 〕總之，個(gè)人信息權(quán)利屬性是與個(gè)人隱私權(quán)保護(hù)密切相關(guān)又有區(qū)別的，但顯然，由于目前我國個(gè)人隱私也沒有明確的法律保護(hù)，在立法實(shí)踐中，兩者的關(guān)系如何理清、個(gè)人信息權(quán)利如何定性及如何進(jìn)行利益平衡等還需認(rèn)真研究論證。

（四）落實(shí)個(gè)人信息保護(hù)法律責(zé)任

法律責(zé)任承擔(dān)是法律權(quán)益保護(hù)的直接實(shí)現(xiàn)，目前我國規(guī)范性文件中個(gè)人信息保護(hù)法律責(zé)任規(guī)定雖然類型全面，但是普遍存在無法落實(shí)的困境。原因主要在于沒有明確規(guī)定個(gè)人信息與個(gè)人信息權(quán)利內(nèi)容，致使法律責(zé)任缺失具體侵權(quán)依據(jù)，無法進(jìn)行危害程度和危害結(jié)果的量化規(guī)范。于是，在法律責(zé)任規(guī)定上，多數(shù)采取“泄露用人單位和個(gè)人信息的，依法給予處分或行政處罰”的簡(jiǎn)單宣示規(guī)定，或者泛泛規(guī)定“造成損失”、“侵犯合法權(quán)益”的，承擔(dān)民事賠償責(zé)任，構(gòu)成犯罪的承擔(dān)刑事責(zé)任等。具體在刑法修正案中，由于保護(hù)的個(gè)人信息內(nèi)容不詳、證據(jù)認(rèn)定和量刑標(biāo)準(zhǔn)模糊，使得刑事責(zé)任的規(guī)定并沒有發(fā)揮打擊個(gè)人信息濫用、個(gè)人信息買賣的功效；具體數(shù)額行政罰款的規(guī)定一般存在于規(guī)章中，但受規(guī)章設(shè)定行政處罰的限制，罰款數(shù)額過低且并不具有與損害事實(shí)及危害結(jié)果的一致性；前述司法解釋規(guī)定了當(dāng)事人可以提起侵權(quán)責(zé)任之訴，但“造成他人損害”和“侵害了權(quán)利人值得保護(hù)的重大利益”同樣不具有裁量性，《解釋》僅規(guī)定了50萬上限賠償數(shù)額的法官自由裁量的限度，但在中國目前的司法環(huán)境下，法官是否有能力利用好自由裁量權(quán)還很難說。法律責(zé)任是個(gè)人信息保護(hù)的最后關(guān)卡，無法實(shí)際落實(shí)正暴露了個(gè)人信息保護(hù)的無力和不足，這一最后防線需要在個(gè)人信息立法內(nèi)容明確的基礎(chǔ)上進(jìn)行精心設(shè)計(jì)。

五、個(gè)人信息技術(shù)標(biāo)準(zhǔn)立法替代與專門立法保護(hù)

上述分析指出了個(gè)人信息立法保護(hù)需要明確的基本問題，這些問題似乎可以通過制定統(tǒng)一的個(gè)人信息保護(hù)法來解決。目前全世界已有90多個(gè)國家制定了個(gè)人信息保護(hù)法，選擇統(tǒng)一立法模式也一直是我國多數(shù)學(xué)者的主張。但是，已有的立法實(shí)踐并不能完全被忽略不計(jì)，雖然總體上效果不佳，成績(jī)還是不能抹殺的，至少相關(guān)部門在專門行業(yè)和領(lǐng)域的保護(hù)規(guī)定中作出了與實(shí)踐結(jié)合的努力。另外，信息時(shí)代，個(gè)人信息的資源性地位早以無法撼動(dòng)，在個(gè)人信息保護(hù)領(lǐng)域，我國的立法努力是比其他方面都落后于社會(huì)需求的，這可以從立法之外的個(gè)人信息保護(hù)技術(shù)標(biāo)準(zhǔn)的出臺(tái)得以管窺。如果能夠借助于技術(shù)標(biāo)準(zhǔn)統(tǒng)一個(gè)人信息立法保護(hù)的術(shù)語、范圍、基本權(quán)利和原則等基本問題，給已有的普遍分散立法以操作的指引，然后再結(jié)合特定領(lǐng)域的保護(hù)需求進(jìn)行專門立法，應(yīng)該不失為節(jié)約立法成本的務(wù)實(shí)選擇。

（一）個(gè)人信息保護(hù)技術(shù)標(biāo)準(zhǔn)的最低標(biāo)準(zhǔn)立法替代

在信息化發(fā)展的推動(dòng)下，為了彌補(bǔ)立法的不足，我國已經(jīng)設(shè)計(jì)通過了個(gè)人信息保護(hù)技術(shù)標(biāo)準(zhǔn)。由工業(yè)和信息化部起草2013年2月1日起實(shí)施的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（簡(jiǎn)稱《指南》）是我國關(guān)于個(gè)人信息保護(hù)的第一個(gè)國家標(biāo)準(zhǔn)。〔23 〕2014年3月15日中國科學(xué)技術(shù)法學(xué)會(huì)、北京大學(xué)互聯(lián)網(wǎng)法律中心聯(lián)合發(fā)布了《互聯(lián)網(wǎng)企業(yè)個(gè)人信息保護(hù)測(cè)評(píng)標(biāo)準(zhǔn)》（簡(jiǎn)稱《標(biāo)準(zhǔn)》），這是我國首部互聯(lián)網(wǎng)領(lǐng)域由獨(dú)立第三方學(xué)術(shù)機(jī)構(gòu)倡議的個(gè)人信息保護(hù)測(cè)評(píng)行業(yè)標(biāo)準(zhǔn)。〔24 〕

《指南》最顯著的特點(diǎn)是將個(gè)人信息分為個(gè)人一般信息和個(gè)人敏感信息，并提出默許同意和明示同意的概念，還提出了處理個(gè)人信息應(yīng)當(dāng)遵循的八項(xiàng)基本原則?！?5 〕對(duì)個(gè)人信息、個(gè)人信息主體、個(gè)人信息管理者、個(gè)人信息獲得者、個(gè)人敏感信息、個(gè)人一般信息等基本術(shù)語進(jìn)行了界定，確立了包括第三方測(cè)評(píng)機(jī)構(gòu)在內(nèi)的各方主體的權(quán)利義務(wù)，從收集、加工、轉(zhuǎn)移、刪除四個(gè)環(huán)節(jié)進(jìn)了個(gè)人信息保護(hù)規(guī)定?！稑?biāo)準(zhǔn)》是針對(duì)目前個(gè)人信息立法保護(hù)缺乏可操作性的現(xiàn)狀，遵從《指南》的規(guī)定，從初使方、關(guān)聯(lián)方、第三方界定互聯(lián)網(wǎng)企業(yè)，并對(duì)用戶、個(gè)人信息、個(gè)人信息處理等術(shù)語進(jìn)行了界定，制定了包括知情同意、收集、加工、使用、轉(zhuǎn)移、個(gè)人參與、政策修改、安全責(zé)任、特殊領(lǐng)域的個(gè)人信息在內(nèi)的測(cè)評(píng)互聯(lián)網(wǎng)企業(yè)的指標(biāo)體系?！稑?biāo)準(zhǔn)》的發(fā)布機(jī)構(gòu)將組建測(cè)評(píng)機(jī)構(gòu)，從行業(yè)自律的角度主動(dòng)推進(jìn)互聯(lián)網(wǎng)企業(yè)的個(gè)人信息保護(hù)水平。

在有世界各國個(gè)人信息立法規(guī)定可以借鑒，我國個(gè)人信息立法規(guī)定弊端明顯的前提下，《指南》和《標(biāo)準(zhǔn)》對(duì)個(gè)人信息保護(hù)基本術(shù)語、個(gè)人信息主體權(quán)利、個(gè)人信息處理責(zé)任、個(gè)人信息保護(hù)原則等標(biāo)準(zhǔn)的明確對(duì)于個(gè)人信息立法保護(hù)的缺漏彌補(bǔ)十分明顯，個(gè)人信息保護(hù)國家標(biāo)準(zhǔn)的出臺(tái)實(shí)際上是以技術(shù)標(biāo)準(zhǔn)的方式對(duì)個(gè)人信息保護(hù)的確認(rèn)，基本上涵蓋了上述除法律責(zé)任以外的個(gè)人信息立法保護(hù)的基本問題。基于對(duì)我國個(gè)人信息立法的整體判斷，張新寶教授提出以“兩頭強(qiáng)化，三方平衡”作為我國個(gè)人信息立法保護(hù)的理論基礎(chǔ)，建議制定一部最低標(biāo)準(zhǔn)的全面保護(hù)個(gè)人信息的法律?！?6 〕這一統(tǒng)一立法所涉及的最低標(biāo)準(zhǔn)實(shí)際上已經(jīng)規(guī)定在上述兩個(gè)技術(shù)標(biāo)準(zhǔn)中。隨著大數(shù)據(jù)處理個(gè)人信息的普及化與技術(shù)化，個(gè)人信息利益主體多元、法律責(zé)任多樣，制定統(tǒng)一的個(gè)人信息保護(hù)法不僅涉及界定清楚權(quán)利、義務(wù)、原則等基本問題，還需要進(jìn)行利益衡量設(shè)計(jì)不同的程序和法律責(zé)任，這難度顯然高于僅從技術(shù)角度做出的基本標(biāo)準(zhǔn)界定。那么，務(wù)實(shí)的立法選擇應(yīng)該是承認(rèn)技術(shù)標(biāo)準(zhǔn)在解決立法基本問題中的作用，關(guān)于個(gè)人信息基本術(shù)語、主體權(quán)利、處理原則等遵循技術(shù)標(biāo)準(zhǔn)的規(guī)定，不再制定統(tǒng)一的個(gè)人信息保護(hù)法，集中立法資源解決問題突出的特定行業(yè)和領(lǐng)域中的個(gè)人信息立法保護(hù)。這不僅是節(jié)約立法成本的務(wù)實(shí)做法，也可以與實(shí)踐結(jié)合推進(jìn)我國的個(gè)人信息立法保護(hù)的實(shí)效發(fā)揮。為了實(shí)現(xiàn)這一立法替代功能，《指南》與《標(biāo)準(zhǔn)》中的具體標(biāo)準(zhǔn)化規(guī)定還需進(jìn)一步明確細(xì)化，排除個(gè)人信息處理主體范圍限定等需利益衡量規(guī)范的問題，僅從最一般意義上規(guī)定個(gè)人信息保護(hù)的基本技術(shù)標(biāo)準(zhǔn)，并成立專門的第三方測(cè)評(píng)機(jī)構(gòu)，使技術(shù)標(biāo)準(zhǔn)能在立法和行業(yè)自律中提供標(biāo)準(zhǔn)化的基本作用。

（二）規(guī)制與限制雙重面向的專門立法

和法律規(guī)范性文件相比，《指南》與《標(biāo)準(zhǔn)》缺少法律救濟(jì)和責(zé)任規(guī)定，且不具有強(qiáng)制約束力，顯然技術(shù)標(biāo)準(zhǔn)無法發(fā)揮法律的效用，但是如果有了個(gè)人信息保護(hù)的基本技術(shù)標(biāo)準(zhǔn)，那么個(gè)人信息立法保護(hù)就可以在保護(hù)需求迫切的專門領(lǐng)域展開。

目前在我國個(gè)人信息分散立法保護(hù)的總體情況下，為了回應(yīng)信息產(chǎn)業(yè)化以及網(wǎng)絡(luò)信息發(fā)展的現(xiàn)實(shí)需要，有關(guān)部門已經(jīng)在征信業(yè)和互聯(lián)網(wǎng)信息保護(hù)方面進(jìn)行了專門立法努力。征信業(yè)和互聯(lián)網(wǎng)正是個(gè)人信息保護(hù)矛盾最集中的兩個(gè)領(lǐng)域，需要立法積極規(guī)制。由于全國人大常委會(huì)的《決定》僅具有指導(dǎo)意義，所以上述專門立法實(shí)際上并沒有在法律層面具體展開，而僅以行政法規(guī)、規(guī)章和司法解釋為基礎(chǔ)展開了個(gè)人信息立法保護(hù)。因?yàn)閷ｉT立法沒有在法律層面展開，行業(yè)規(guī)制和領(lǐng)域管理的行政色彩濃厚，對(duì)個(gè)人信息保護(hù)涉及的多元利益主體之間的關(guān)系衡量不到位，存在著不完整、不系統(tǒng)、無執(zhí)行力等弊端。所以，在現(xiàn)有規(guī)范的前提下，征信業(yè)和網(wǎng)絡(luò)個(gè)人信息保護(hù)必須進(jìn)行立法層次和立法內(nèi)容的提升，讓其真正在特定領(lǐng)域保護(hù)個(gè)人信息中發(fā)揮作用。

上述征信業(yè)和網(wǎng)絡(luò)個(gè)人信息保護(hù)專門立法是政府進(jìn)行監(jiān)管的規(guī)制法。這是政府積極保護(hù)公民權(quán)利在個(gè)人信息領(lǐng)域的體現(xiàn)，但是，在信息社會(huì)，政府已經(jīng)成為個(gè)人信息利用的大戶，有學(xué)者研究指出，我們有全世界最龐大的人口，我們的政府面對(duì)的是最復(fù)雜的社會(huì)治理，于是，電子政務(wù)方興未艾，專業(yè)化的政府巨型數(shù)據(jù)庫急速發(fā)展?！?7 〕“政府一直是最大的個(gè)人信息收集、處理、儲(chǔ)存和利用者，可以說，政府公權(quán)力所及之處必然涉及上述個(gè)人信息的收集、處理和利用?！薄皞€(gè)人信息法律保護(hù)制度的發(fā)展始終伴隨著對(duì)政府權(quán)力的限制，這是因?yàn)閭€(gè)人信息法律保護(hù)制度的構(gòu)建不僅是對(duì)公民提供保護(hù)，而且是為維護(hù)政府自身政權(quán)合法性所必須。” 〔28 〕正如上文數(shù)據(jù)統(tǒng)計(jì)所揭示的，我國目前缺失且急需進(jìn)行立法保護(hù)的正是政府個(gè)人信息處理領(lǐng)域。上文的法律、行政法規(guī)統(tǒng)計(jì)中，涉及公權(quán)力機(jī)關(guān)個(gè)人信息保密責(zé)任的規(guī)定最多，這表明了個(gè)人信息立法保護(hù)要求限制政府公權(quán)力的實(shí)際需求。權(quán)力的擴(kuò)張和正當(dāng)使用必須通過法律來限制，結(jié)合依法控權(quán)的法治國家建設(shè)要求，專門針對(duì)國家機(jī)關(guān)處理收集個(gè)人信息進(jìn)行立法非常重要。由于政府行政權(quán)力行使必須符合實(shí)體法和程序法的規(guī)定，針對(duì)政府機(jī)關(guān)處理個(gè)人信息的權(quán)限、程序進(jìn)行統(tǒng)一立法是可行的，也符合我國目前正在進(jìn)行的以清單方式規(guī)制政府權(quán)力的法制建設(shè)實(shí)際。所以有必要從限權(quán)角度制定規(guī)范政府公權(quán)力處理個(gè)人信息的專門立法，但具體立法要結(jié)合已有的《政府信息公開條例》、《檔案法》等規(guī)范性文件進(jìn)行研究設(shè)計(jì)。

保護(hù)個(gè)人信息基本權(quán)利、規(guī)制信息利用者行為、國家作為管理者和利用者的雙重身份等多元利益需求決定了必須綜合平衡各方利益進(jìn)行個(gè)人信息立法保護(hù)制度建構(gòu)?？傮w上，我國個(gè)人信息的分散和專門立法保護(hù)強(qiáng)調(diào)的是政府監(jiān)管，尚缺失限制政府機(jī)關(guān)處理個(gè)人信息權(quán)力的立法，急需針對(duì)政府機(jī)關(guān)進(jìn)行限權(quán)性專門立法，由此，在限制政府權(quán)力的同時(shí)發(fā)揮政府的監(jiān)管職能。

綜上，基于個(gè)人信息保護(hù)的現(xiàn)實(shí)需求，我國目前在分散立法中出現(xiàn)了大量的個(gè)人信息保護(hù)規(guī)定，這些規(guī)定雖然零散、幾乎沒有發(fā)揮法律效力，但是卻能反映出個(gè)人信息保護(hù)中需要調(diào)整的基本問題；征信業(yè)規(guī)制和網(wǎng)絡(luò)個(gè)人信息保護(hù)的專門立法雖然法律層級(jí)效力低、內(nèi)容不完整，但卻是應(yīng)對(duì)信息化發(fā)展的必然產(chǎn)物；個(gè)人信息保護(hù)技術(shù)標(biāo)準(zhǔn)包含了最低標(biāo)準(zhǔn)的個(gè)人信息立法保護(hù)內(nèi)容；從個(gè)人信息權(quán)利保護(hù)的雙重國家職責(zé)出發(fā)，我國尚缺失對(duì)國家機(jī)關(guān)處理個(gè)人信息的限制。我國個(gè)人信息立法需要立足于已有的立法和相關(guān)實(shí)踐，在個(gè)人信息技術(shù)標(biāo)準(zhǔn)替代發(fā)揮最低標(biāo)準(zhǔn)立法作用的基礎(chǔ)上，從政府規(guī)制社會(huì)主體和限制政府權(quán)力行使兩個(gè)方面完善個(gè)人信息專門立法保護(hù)?？傊?，個(gè)人信息專門立法保護(hù)不能無視目前的立法保護(hù)實(shí)際，且需要在立法過程中以及立法之后作好與已有的分散規(guī)定的整合與協(xié)調(diào)。誠如中國社會(huì)科學(xué)院法學(xué)研究所、社會(huì)科學(xué)文獻(xiàn)出版社聯(lián)合發(fā)布的2015年《法治藍(lán)皮書》所指出的：“防止‘拍腦袋立法，仍是立法機(jī)關(guān)的重要課題。” 〔29 〕