浅析我国个人信息保护法律制度

2020-06-30

在全国人大常委会委员长栗战书向十三届全国人大三次会议所作的工作报告中，将制定个人信息保护法、数据安全法纳入人大常委会下一步主要工作。我国个人信息保护的立法工作已经进入实质性阶段。

个人信息保护之所以引起广泛关注，正是由于近几年个人信息被盗用、滥用的情况比比皆是。各种贩卖公民个人信息、各类App非法获取个人信息，以及非法获取公民个人信息进行电信欺诈或推销骚扰的事例屡见不鲜。新冠肺炎疫情期间，超过7000名武汉返乡者的个人信息被泄露而遭到短信骚扰谩骂的事件，让立法对个人信息进行保护显得更加迫切。

在此背景下，笔者试就我国个人信息保护法律现状、缺陷以及立法建议进行初步探讨。

一、我国现行对于个人信息保护的法律框架

我国目前尚未就个人信息保护进行单独立法。个人信息保护的规定散见于各部法律、司法解释、部门规章之中。《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《网络安全法》在宏观层面提供了个人信息保护的法律依据。于此同时，《刑法修正案（七）》与《刑法修正案（九）》增设了侵害个人信息构成犯罪的规定，《消费者权益保护法》和《侵权责任法》则在民事层面涉及到个人信息的保护。已经通过的《民法典》人格权编中明确了自然人的个人信息受法律保护，并将自然人的“电子邮箱地址”和“行踪信息”纳入个人信息的范围。

有关个人信息保护的司法解释主要包括：《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》和《最高人民法院 最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，两个司法解释分别在民事与刑事领域细化了侵犯个人信息的认定标准和法律责任。

在部门规章层面，《电信和互联网用户个人信息保护规定》侧重于规定电信业务经营者和互联网信息服务提供者在个人信息保护方面的职责；《互联网个人信息安全保护指南》引导个人信息持有者采取有效的信息安全保护措施；《儿童个人信息网络保护规定》主要聚焦于十四周岁以下未成年人的网络个人信息保护。另外，《信息安全技术信息安全规范（GB/T35273-2020）》则在具体操作规范上提供了指导与参考意见。

有鉴于上述规范出台的部门不一，部分规范效力等级较低，已经无法满足社会公众对个人信息保护的需求，制定统一的《个人信息保护法》以及配套规定已提上日程。可以预见在不久的将来将会陆续出台、生效一批包括《个人信息保护法》在内的与个人信息保护相关的法律、法规、规章及其他规范性文件。尚在起草阶段的《个人信息保护法》也有望明确“个人信息”的内涵和外延，理顺相关主体之间的关系，并覆盖对个人信息的收集、存储、使用、共享、跨境传输等多个方面。在规章层面，目前处于公开征求意见的《数据安全管理办法》涉及我国境内利用网络开展数据收集、存储、传输、处理、使用等活动，而《个人信息出境安全评估办法》则规制网络运营者向境外提供我国公民个人信息的行为。在行业规范层面，目前处于公开征求意见的《信息安全技术个人信息告知同意指南》以及《移动互联网App个人信息安全防范指引》探索尝试为信息设备端口收集个人信息提供规范指引。

二、我国当前对个人信息保护的局限性

我国目前虽然存在个人信息保护的相关规定，但实际效果并不理想，这主要体现在以下两方面：

1.立法分散导致当前相关规定难以形成系统性

虽然我国目前已经制定了多部涉及个人信息保护的法律、司法解释、部门规章以及其他规范性文件，从民事、行政以及刑事角度保护个人信息，但由于立法分散导致了定义、概念的模糊与缺漏。最为显著的体现就是关于“个人信息”的内涵与外延界限不明确。

《网络安全法》第七十六条、《电信和互联网用户个人信息保护规定》第四条、《侵害消费者权益行为处罚办法》第十一条、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条、《征信业管理条例》第十四条都对“个人信息”进行了定义或列举，但彼此并不统一，给司法实践与行政监管造成一定阻碍。更有甚者，由于“个人信息”定义和范围不清晰，影响到对侵害个人信息犯罪的定罪和量刑。

2.现行规定的威慑力不足

震慑违法犯罪行为，关键是要赋予法律对于违法犯罪行为的惩处。我国现阶段的针对个人信息侵权的违法犯罪行为高发的重要原因就是惩处力度有限。

根据我国目前的法律规定，对于大多数的侵犯个人信息的行为，以行政处罚为主，但处罚偏轻。例如，《网络安全法》将罚款数额设定在违法所得的一倍以上十倍以下，没有违法所得的，罚款上限为一百万元，相较于互联网企业利用个人信息所获利益来说不值一提，无法有效阻吓违法行为。一个典型案例是，2018年，某知名互联网平台曾被行政机关通报在个人信息保护方面存在违法行为，管理部门根据《消费者权益保护法》，对该平台予以警告，并处罚款5万元。与之形成鲜明对比的是，2019年，Facebook因个人信息保护问题被美国联邦贸易委员会（FTC）处以50亿美元的巨额罚款。

我国当前针对侵犯个人信息的行政处罚的另一个问题，在于当前的行政执法能力还比较薄弱，行政执法机关对新类型的侵权行为欠缺执法经验，对个人信息侵权所致损害的严重性认识不足，日常的执法中对接触、利用个人信息的主体缺乏常态化监管。另外，执法权分散在多个部门，缺乏协调统一，也阻碍了行政执法的开展。

从刑事处罚的角度来说，还存在量刑标准模糊、追诉方式及刑罚设置单一等弊端。根据《刑法》二百五十三条之一的规定，“情节严重”是衡量侵犯个人信息的行为是否入罪的要件；“情节特别严重”则是是否加重处罚的量刑情节。然而，相关的司法解释未能根据不同类型、不同性质的侵权行为制定不同的标准，仅仅根据侵犯个人信息的数量、获利金额等因素定罪量刑，失之于宽，失之于疏。此外，作为较为新型的犯罪，刑法条文的规制也远未跟上现实需要。《刑法修正案七》、《刑法修正案九》以及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》仅仅规制了非法出售、提供、窃取以及非法获取公民个人信息的行为，但现实中对于个人信息的侵犯早已超出上述的范围，诸如非法利用个人信息、擅自披露个人信息等行为亦严重危及公民个人信息安全，但目前却缺乏相应的刑法规制。

三、针对个人信息保护立法的他国经验

我国在个人信息保护领域的立法落后于社会的发展，其他国家在个人信息保护领域的立法经验具有借鉴意义。为此，笔者对欧盟、日本及美国在个人信息保护领域的立法经验进行简要介绍。

1.欧盟

欧盟各国普遍重视人格权的保护，并将个人信息纳入人格保护体系，体现在其立法上对互联网公司获取、利用个人信息进行严格限制。最能体现欧盟对个人信息保护司法态度的一个案例，是2011年发生在西班牙关于“被遗忘权”的案件。原告通过使用谷歌搜索发现，自己早年因财务窘迫被法院强制出售财产的新闻仍然在网络传播，遂将新闻原发网站的主办者《先锋报》和谷歌告上了法庭，案由是《先锋报》和搜索引擎侵害了原告的隐私权。法院最终以新闻自由认定《先锋报》不承担责任，而谷歌作为搜索引擎不能以新闻自由而豁免，为了保障公民的被遗忘权，谷歌应该承担删除责任。

欧盟目前针对个人信息保护的基础性法律为《保护自动化处理个人数据公约》，该公约确立了对个人信息保护的八个原则：第一，必须公平合法地取得供个人数据存储用的信息；第二，只有为特定的、合法的目的，才能持有个人数据；第三，使用或透露个人数据的方式不能与持有数据的目的相冲突；第四，持有个人数据的目的必须正当；第五，个人数据必须准确；第六，如果持有某些个人数据要达到的目的是有期限的，则持有时间不得超过该期限；第七，任何个人均有权在支付了合理费用后，向数据持有人了解有关自己的信息是否被当作个人数据存储；第八，必须采取安全措施，以防止个人数据未经许可而扩散、更改、透露或销毁。

此外，欧盟于2018年5月25日生效的《通用数据保护条例》也构成了欧盟对个人信息保护的基石。该条例是在秉承1995年《个人数据保护指令》的基础上意图消除各成员国之间的数据保护法律制度差异，包括将适用范围从属地原则进一步向属人原则扩展、废除了目前各成员国关于数据处理及境外转移的许可或者备案程序、要求企业在内部建立完善的问责机制、对于数据控制者及数据处理者在大数情况下提出了相同的要求、增强了监管机构的执法权等。同时，该条例在个人信息保护领域原有的知情权、访问权和反对权外，增添了“个人数据可携权”与“被遗忘权”等全新权利类型。

2.日本

日本现行对个人信息保护的法律框架是以《个人信息保护法》为基础的。日本的《个人信息保护法》在第一至第三章中规定了个人信息保护的基本理念、国家以及地方公共团体的职责义务以及个人信息保护的措施政策等总体内容。在第四至第七章中则规定了经营者的义务、法律责任等内容。此外，作为《个人信息保护法》的补充立法，政府还制定了不同领域个人信息保护的法律规范。《个人信息保护基本方针》规定了推进个人信息保护措施政策的基本方向，国家、地方公共团体、独立行政法人、地方独立行政法人应采取措施的基本事项，以及信访投诉等重要事项。《行政机关个人信息保护法》、《独立行政法人个人信息保护法》以及针对地方公共团体等的《个人信息保护条例》则主要针对公权力机构的个人信息保护进行了单独规定。此外，涉及金融、医疗、通信等相关领域的个人信息保护也有专门的参考指南。

2020年2月12日，日本个人信息保护委员会公布了《个人信息保护法3年修正制度改订大纲》，拟对《个人信息保护法》进行修订。主要的修订事项有：（1）加强个人权利保护：相关举措包括进一步充实个人信息保护法咨询热线制度；放宽个人提出停止使用、删除、停止向第三方提供的条件；落实个人信息的应请求查询制度；强化“Opt-Out”制度（指对于经营者从第三人间接收集的个人信息，在按照法定要件向个人信息保护委员会备案后，可以不经本人同意向第三人提供，但个人可以要求停止提供）；（2）强化经营者责任：相关措施包括泄露报告制度的法定义务化以及适当使用义务的明确化；（3）促进经营者自发性的举措：具体措施包括强化认定个人信息保护团体制度以及推进民间的自发性举措。除了上述特定修订事项以外，此次大纲还提出数据活用相关举措、加强处罚力度以及扩大域外适用的范围、强化个人信息跨境传输的限制，并提议就民间经营者、行政机关、独立行政法人等不同主体个人信息保护法律法规的统一以及主管部门（个人信息保护委员会）统一进行尝试。

3.美国

美国对个人信息保护的立法采取了分散立法模式，共分为联邦立法、行业自律以及州立法三个方面。美国个人信息保护立法体系主要由1974年通过的《隐私法》以及一些特殊领域一系列的特别法所构成的。《隐私法》是美国个人隐私权利保障的基本法，主要针对美国联邦政府接触公民个人信息规定了法定流程与准则。《隐私法》主要对信息收集、处理、利用的过程进行统一细致的规定。除此之外，美国针对某些特殊的领域制定了专门的法律，如关于儿童信息的《儿童网上隐私法》、电子通讯领域的《电子通讯隐私法》等。

对于那些没有制定专门立法的权利领域的个人信息，美国采取行业自律机制，通过民间组织为主导来制定行业组织内部规范来自我约束。另外，各州根据本州情况颁布个人信息保护的法令。例如，2020年1月1日正式生效的《加利福利亚消费者隐私法案》被誉为美国“最严厉、最全面的个人隐私保护法案”从全面性来说，这是美国目前最具有典型意义的州隐私立法。该法案规定了新的消费者权利，涉及企业收集的个人信息的访问、删除和共享，旨在加强消费者隐私权和数据安全保护。根据该法案规定，企业负有保护个人信息的责任，消费者控制并拥有其个人信息，企业若不遵守法案或导致数据泄露将被处以罚款。

四、结语

个人信息保护立法具有深远意义。一方面，个人信息在网络与信息时代面临着前所未有的被侵害的风险。另一方面，数据——包括个人信息，又是信息科学、人工智能等前沿领域发展的关键要素。相信在借鉴其他国家经验的基础上，我国个人信息保护的法律体系将日臻完善。

本文作者：

声明：