淺談個人信息安全的法律保護

1、<p>　　淺談個人信息安全的法律保護</p><p>　　[摘 要]我國于2013年2月1日實施的個人信息保護國家標準――《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》，表明個人信息保護工作將“有標可依”。但是從個人信息保護的有效性講，該指南僅具有指導性。個人信息保護仍然應上升到法律層面，實現(xiàn)法治化。 </p><p>　　[關鍵詞]個人信息；立法模式；行業(yè)自律 <

2、;/p><p><b>　　一、個人信息內(nèi)涵 </b></p><p>　　個人信息作為一個法律概念，是隨著信息社會的發(fā)展而出現(xiàn)的，一方面作為識別個人的資料被廣泛需求，另一方面又遭到嚴重濫用。個人信息是指個人姓名、住址、出生年月、身份證號碼、醫(yī)療記錄、人身記錄、照片、工作單位等，單獨或與其他信息對照可以識別特定個人的信息數(shù)據(jù)資料。①從法律角度，個人信息具有以下基本屬性。

3、</p><p>　　（一）個人信息代表主體的特定性 </p><p>　　個人信息是現(xiàn)實生活中和個人有關的一切信息，包括范圍廣泛：個人身份認定資料、個人背景及其他資料等。這些信息能反映個人的很多方面，通過多種社交方式以不同形式記載在多種媒介上。通過考察記載于各種媒介上的個人資料，及結合其他相關信息，便可以描繪出一個人的某一方面特征或某一社會狀態(tài)。這些個人信息具有在眾多群體中識別特定主體的

4、功能。 </p><p>　?。ǘ﹤€人信息內(nèi)容具有多樣性 </p><p>　　個人信息既包括個人隱私，又包括可公開或已公開的個人信息。隱私的特點是具有一定的秘密性，權利主體主動采取措施進行保護，他人只要不進行主動侵犯，個人隱私就能得到保證。隱私權是個人對其私生活安寧、私生活秘密等享有的權利。而個人信息是指能夠識別個人的一切信息，包括未公開的和已公開的。在信息社會中，有些個人信息通過多種

5、社交方式必然是公開流通于社會中的，比如，個人身份證號、家庭住址、手機號碼等。所以，個人信息中既包括未公開的隱私部分，也包括已公開的其他信息。 </p><p>　　（三）個人信息具有人身性和財產(chǎn)性 </p><p>　　個人信息的人身性，主要體現(xiàn)在人格利益。個人信息表面上記載著公民個人識別性和個人背景材料，但這些信息實際上承載著人格利益。體現(xiàn)為公民個人希望對個人信息的獨占，享有未經(jīng)主體同意

6、就不能被他人知曉和利用的權力。在生活中，泄露的個人信息一旦被濫用及非法使用，往往會給當事人造成一定的心理恐慌和精神困惑，這將嚴重妨礙日常生活。同時，個人信息作為一種被商業(yè)需求的信息，可以通過允許他人使用信息獲得一定的利益，因而具有一定財產(chǎn)屬性。 </p><p>　　二、我國個人信息保護的法律現(xiàn)狀 </p><p>　　我國現(xiàn)有的一些法律雖然涉及對個人信息的保護，但比較零散，尚未形成完整的

7、法律體系?，F(xiàn)有法律法規(guī)中涉及個人信息保護的內(nèi)容有200多個條文，分散在37部法律、15部司法解釋、124部行政法規(guī)和部門規(guī)章中。②現(xiàn)行法律未將個人信息作為直接的保護對象，對個人信息的保護散落在各部門法及行業(yè)規(guī)范中。首先，在隱私權保護方面中，僅提供了有限和間接的保護名譽權的規(guī)定中，《憲法》和《民法通則》都有對隱私權的間接保護。其次，在通信領域、居民身份證個人信息保護方面、儲戶個人信息保護方面、公民醫(yī)療信息保護方面、個人檔案保護方面，主要通

8、過在《郵政法》、《居民身份證法》、《傳染病防治法》、《執(zhí)業(yè)醫(yī)師法》、《護照法》、《檔案法》等單行法中設置專門條款對公民的個人信息加以保護。在個人信息的保護手段上，主要依靠行業(yè)內(nèi)部規(guī)范或信息持有人、控制人的單方承諾，如《中國工商銀行員工行為守則》、《醫(yī)務人員醫(yī)德規(guī)范及實施辦法》、《醫(yī)療機構病例管理規(guī)定》等，但由于目前金融、電信、房地產(chǎn)等行業(yè)目前還沒有穩(wěn)定的、具有約束力的個人信息管理規(guī)范，所以，個人信息管理和保護仍很不到位。除了上述對不同領

9、域的個人信息的規(guī)制外，法律也加大了對侵犯個人信息的</p><p>　　2013年，2月1日起，國家標準《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》（以下簡稱《指南》）正式實施。該《指南》屬國家標準“指導性技術文件”類，對利用信息系統(tǒng)處理個人信息的活動起指導和規(guī)范作用，目的是提高企業(yè)個人信息保護技術水平，促進個人信息的合理利用?！吨改稀返某雠_將對后續(xù)個人信息保護的相關工作起到指導性的作用，相關監(jiān)管部門可

10、以依據(jù)國家標準的技術支撐，規(guī)范企業(yè)對個人信息的使用。 </p><p>　　從目前我國的立法來看，雖然《指南》出臺，標志著我國針對個人信息處理行為將“有標可依”，使公民對個人信息保護的訴求得到有效解決。但是這個標準僅具有指導性，沒有強制執(zhí)行力。而目前我國的個人信息保護主要是個人隱私信息，但在隱私保護方面，也僅僅只是提供了有限的、間接的隱私保護。與國外相比，遠未達到提供有效保護的程度。 </p>&l

11、t;p>　　三、國外個人信息保護的立法借鑒 </p><p>　　目前，國外有關個人信息保護的立法模式有兩種：一種為歐盟模式，即制定一個統(tǒng)一的個人信息保護法來規(guī)范個人信息的收集、處理和利用，并設置一個綜合監(jiān)管部門集中監(jiān)管。另一種為美國模式，即分散立法和行業(yè)自律相結合的模式。分散立法和行業(yè)自律分別體現(xiàn)在公領域和私領域，監(jiān)管部門也是根據(jù)個人信息的具體不同內(nèi)容來分別設置。 </p><p>

12、;　　（一）歐盟模式――統(tǒng)一立法 </p><p>　　歐盟在個人信息保護方面采取了以國家立法為主導的模式，主要通過綜合立法來實現(xiàn)對個人信息的保護。其特征體現(xiàn)在：1.通過綜合立法對個人信息進行保護。其對個人信息的法律保護要經(jīng)過兩個層面：首先，由歐盟發(fā)布“指令”，為各成員國制定數(shù)據(jù)保護的法律框架提供依據(jù)。《數(shù)據(jù)保護指令》、《關于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的指令》、《關于在信息高速公路上收集和傳遞

13、個人數(shù)據(jù)的保護指令》、《隱私與電子通訊指令》等一系列條約或指令，對歐盟各成員國制定個人信息保護法起到了宏觀指導作用。其次，歐盟成員國在統(tǒng)一指令框架下，根據(jù)指令的內(nèi)容和本國實際情況制定了個人信息保護法。如德國的《通信法案》、《多媒體法》以及《聯(lián)邦數(shù)據(jù)保護法》等。2.歐盟模式在內(nèi)容上更關注對私人領域的個人信息保護。歐洲國家認為個人信息權利是公民的一項基本權利，公民有權自主決定其個人信息是否公開。歐盟成員國對于政府權力的限制較少，主要通過國家

14、綜合立法來確立個人信息保護的原則、具體制度和措施。 　　歐盟的這種統(tǒng)一立法模式使得對個人信息的保護更加具體全面，但這種保護模式也有缺點，如歐盟委員會等機構缺乏執(zhí)行能力，歐盟本身對于相關違法行為無力處</p><p>　?。ǘ┟绹Ｊ建D―分散立法和行業(yè)自律相結合 </p><p>　　美國的行業(yè)自律模式是普通法系國家個人信息法律保護模式的代表，其核心內(nèi)容是：1.立法方式上表現(xiàn)為行業(yè)自律和

15、單行法規(guī)相結合。因為基于政府權力應受到限制和保護公民個人自由的思想，美國對于隱私權的保護更關注個人自由免受公權力的侵犯。一部統(tǒng)一的個人信息保護立法很難被各個公共組織一致接受。其對個人隱私權的保護實際上是由個體消費者通過個人行為來實現(xiàn)的，政府對個人隱私的保護只是起到一種協(xié)助和指導作用，并不直接介入干涉。盡管美國制定了普遍適用于整個聯(lián)邦的《隱私權法》、《電話消費者保護法》等一系列法律，但其中多數(shù)是針對某些特定情形、某些特定商業(yè)部門有可能濫用

16、公民隱私權等的立法。2.保護內(nèi)容的二分性。保護領域從內(nèi)容上看，對個人隱私權的法律保護主要劃分為公、私兩個領域，并采用不同的保護方式：在公領域，美國政府制定了大量的單行法規(guī)來規(guī)范政府行為，保護公民隱私權；在私領域，主要通過從業(yè)者的自我約束和相關協(xié)會的監(jiān)督管理來保護公民的個人隱私安全。 </p><p>　　這種針對不同領域采取不同分散立法的方式，有效避免了國家立法對個人信息正常流動的干預，有利于在有限保護個人信息的

17、前提下充分促進信息的自由流通。但該模式的最大弊端是缺乏合理的爭端解決機制，行業(yè)自律在實踐中的效果不佳。同時企業(yè)自律模式也可能會導致部分企業(yè)采取規(guī)避個人信息保護的政策，侵害個人信息隱私權。 </p><p>　　四、完善我國個人信息保護的建議 </p><p><b>　　（一）加快立法 </b></p><p>　　目前我國一些法律雖然涉及了對

18、個人信息保護的內(nèi)容，但比較零散，也缺乏法律位階較高的法律，沒有形成嚴密的個人信息保護法律網(wǎng)。要實現(xiàn)對個人信息的最佳保護，必須通過立法。對于具體立法模式，歐盟模式更適合我國的國情，即由國家制定專門的個人信息保護法，統(tǒng)一規(guī)范個人信息的收集、處理和利用。在具體法律內(nèi)容上，構建保護個人信息安全的完整法律體系，應建立保護個人信息安全的基本法律制度。包括個人信息處理活動應當遵循的原則、信息主體在個人信息活動中享有的權利、相關組織機構在處理個人信息過

19、程中需承擔的義務、非法手段獲取個人信息的行為的懲治措施、個人信息保護的監(jiān)管體制等。只有把個人信息保護納入到法治化的軌道，才能實現(xiàn)對個人信息的最佳保護。 </p><p>　?。ǘ┘訌娦袠I(yè)自律 </p><p>　　鑒于各行業(yè)情況千差萬別，在完善法律制度的同時，必須同時由行業(yè)組織根據(jù)行業(yè)自身特點，結合個人信息保護的通行原則，制定個人信息保護的標準規(guī)范，通過行業(yè)自律的方式，開展個人信息保護工

20、作。行業(yè)自律是一種事前的預防機制，需要行業(yè)內(nèi)部規(guī)范現(xiàn)行發(fā)揮作用。我國《指南》的實施，對于各行業(yè)建立行業(yè)內(nèi)部約束標準具有很好的指導作用。同時，我們應借鑒國外的經(jīng)驗和教訓，權衡保護個人信息同保護其他權利自由之間的關系，在不妨害個人信息自由流通的前提下，尊重和保護個人信息。 </p><p>　　（三）個人提高自我保護意識 </p><p>　　個人信息保護對公民個人來說，維護自身的信息安全有著

21、特殊的意義。在日常生活中，個人應提高自我信息保護的意識，不輕易向他人提供個人信息，提高自我判斷和警覺意識，尤其是對于提供如身份證號碼、手機號碼、銀行賬戶等重要信息要格外慎重。在未經(jīng)個人確認前，除有特殊需要或法律規(guī)定，不允許任何組織或機構利用自己所提供的個人資料。公民自身增強信息安全意識，對于保護個人信息也是一種有效方式。 </p><p><b>　　[注釋] </b></p>

22、<p>　?、贄钯?論個人信息的法律保護.吉首大學學報.2009（1）. </p><p>　?、诤阍?我國個人信息法律保護的模式選擇與制度建構.中州學刊.2011（4）. </p><p><b>　　[參考文獻] </b></p><p>　　[1]王利明.民法總論[M].北京：中國人民大學出版社.2009年. </p&

23、gt;<p>　　[2]楊佶.論個人信息的法律保護[J].吉首大學學報.2009（1）. </p><p>　　[3]胡雁云.我國個人信息法律保護的模式選擇與制度建構[J].中州學刊.2011（4）. </p><p>　　[4]呂艷濱.論完善個人信息保護法制的幾個問題[J].當代法學.2006（1）. </p><p>　　[5]涂慧.試論中國個人信