我国个人信息保保护现状与不足分析

随着信息技术的飞速发展，我国立法部门对个人信息收集、处理、利用行为作了如下规定：

宪法层面，《宪法》第38条规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”该条款虽然未曾使用“隐私保护”或“个人信息保护”的字眼，但上述权利的规定同样是保护公民个人隐私间接不受侵犯的权利依据。^[32]同理，《宪法》第39条对公民住宅不受侵犯的保护以及《宪法》第40条对公民通信自由、通信秘密的保护，也可看作公民享有个人信息权利的宪法依据。

法律规范层面，2000年12月28日，《全国人大常委会关于维护互联网安全的决定》正式实施。该决定第4条将以电子手段为载体，侵犯公民通信自由与通信秘密，非法截获、篡改、删除他人电子邮件或者其他数据资料的行为，纳入到刑法的调整范畴。这是以刑事制裁的方式维护信息主体权利的做法。2012年12月28日，全国人大常委会正式发布了《关于加强网络信息保护的决定》，该决定第1条将具有识别性、隐私性的电子信息纳入到网络信息的保护范围，并在第2条、第3条、第4条规定了多项国际通行的个人信息保护与利用的基本原则。

部门法层面，《刑法》第252条，《邮政法》第3条是对通信自由和通信秘密的法律保护。2005年2月28日起施行的《刑法修正案（五）》，规定了“窃取、收买、非法提供信用卡信息罪”；2009年2月28日起施行的《刑法修正案（七）》，规定了“非法获取公民个人信息罪”与“出售、非法提供公民个人信息罪”；2010年7月1日起实施的《侵权责任法》，第2条、第36条分别将隐私的保护与网络用户与网络服务提供者的网络侵权责任纳入规制范围，第61条规定了医疗机构对患者的隐私保密义务；2011年10月29日修订通过的《居民身份证法》第6、13条规定，公安机关及其人民警察和有关单位及其工作人员因履行职责或提供服务而知悉的公民个人信息，应予以保密；2012年10月26日修订通过的《未成年人保护法》第39条明确规定，任何组织或个人不得披露未成年人的隐私，对未成年人的信件、日记、电邮不得隐匿、毁弃；2013年6月29日修订通过的《传染病防治法》第12、69条规定了疾病预防机构与医疗机构对传染病病人、疑似传染病病人、病原携带者及密切接触者隐私信息的保密义务；2013年10月25日修订通过的《消费者权益保护法》第14、29、50、56条也对消费者个人信息的保护给予重视；2015年6月，第十二届全国人大常委会第十五次会议初次审议了《网络安全法（草案）》，该草案在第四章专章对网络运营者收集、储存、利用个人信息中应承担的保护个人信息的义务进行了规定。2015年8月29日修订通过的《商业银行法》第29条规定商业银行在办理个人储蓄存款业务时，应当对存款人信息予以保密。

行政法规与部门规章方面，2013年2月1日起施行的《信息安全技术公共及商用服务信息系统个人信息保护指南》，设定了我国首个有关个人信息保护的国家标准。这部指南主要涉及个人信息保护模式、个人信息使用原则，并对信息的收集、加工、转移和删除提出了基本要求。2013年3月15日起施行的《征信业管理条例》对个人信息的采集进行了详细规定。而2013年9月1日起实施的《电信和互联网用户个人信息保护规定》则为电信业务经营者以及互联网信息服务提供者在个人信息收集、使用规范和安全保障措施等方面设定了明确的准则和要求。

司法解释方面，2013年9月5日，最高人民法院、最高人民检察院发布《关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》，该解释第1条将在网络上散布损害他人名誉的事实的行为认定为“捏造事实诽谤他人”。2014年8月21日，《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条对行为人利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等信息行为的侵权责任加以规定。

行业自律规范方面，中国广告协会互动网络分会在2014年3月15日公布了《中国互联网定向广告用户信息保护行业框架标准》。该框架标准适用于所有互联网定向广告的相关行为。^[33]该框架标准一方面希望推动各单位加强自身合规和商誉建设，提升行业透明度，另一方面，它也力图实现互联网用户对自身信息的控制权。^[34]这是我国首个规范互联网定向广告的专门性行业标准。(www.xing528.com)

综上，在个人信息保护方面，我国的现行法律并非没有作为。因此，宣称我国个人信息保护无法可依的观点未免言过其实。然而，想要实现个人信息的全面、充分保护，现有法律也确实并不充分，个人信息保护法律的现状不容乐观。总体来看存在以下特点：

第一，立法碎片化、法律位阶低且缺乏顶层设计。

近年来，我国个人信息保护立法主要采用分散式模式。法律规定零散，位阶低，大量规定分散在部门及地方各种规范性文件中，且特别规则多，普遍规则少。^[35]个人信息保护立法的碎片化使规则的适用产生不确定性。部门规章太多，行业主体不知道自己应该遵守什么样的规则，执法部门不知道自己的职责，规则适用缺乏必要弹性。不仅没有体系性且立法部分与信息化部门之间相互隔离，使得法律治理远远落后于信息技术的发展。^[36]这不仅会产生大量个人信息保护的真空地带，还会导致已有的规定难以真正发挥保护个人信息的效用。

第二，保护范围狭窄有限，缺乏统一的执行机制与机构，仅有的保护条款执行效果差，规定与现实严重脱节。

现有的保护个人信息的规定，只针对部分个人信息，如侵权法保护具有私密性的隐私信息，金融、保险行业保护特定类型的个人信息，而未被囊括在特别规定中的个人信息该如何保护并无法律依据。^[37]同时，与个人信息保护相关的规定，大多内容比较简单，这些规定往往泛泛地规定信息收集单位的保密义务，对信息采集、处理、利用过程中当事人享有的具体权利少有涉及。另外，随着网络业务形态的快速更新与信息技术的发展，不同的行业规则之间容易出现相互重叠或缺漏，加之法律对侵害个人信息的行为惩处力度不够，难以起到威慑作用，缺乏专门的数据保护机构，这些因素都影响了法律的可执行性，减损了互联网立法的权威与管理的有效性。

中国需要借鉴欧盟的经验，制定一部全面的个人信息保护法。2003年，原“国务院信息化工作办公室”曾受命起草《个人信息保护法》草案。2005年，《个人信息保护法（专家建议稿）及立法研究报告》完成。2008年，《个人信息保护法（草案）》呈交国务院。尽管开端良好，但自此之后，个人信息保护法的起草工作就此停摆^[38]，迄今未被纳入立法计划。在2015年的全国“两会”上，有全国人大代表提议尽快启动《个人信息保护法》立法。就其给出的原因来看，不失为当下关于推进个人信息保护立法的普遍认识，即个人信息保护构成了信息社会发展的基础，而个人信息只有在法律的保护下收集与流通，才会有助于信息产业化的进程。^[39]