人类社会已经迈入信息化时代，个人信息处理和流动已经成为普遍的现象。个人信息的合理利用在便利人们生活、推动经济社会发展的同时，个人信息滥用也到了无以复加的地步，并衍生为严重的社会问题。在我国，近年来滥用个人信息、非法提供、出售公民个人信息的案件日益多发，比较典型的有：2008年深圳孕产妇个人信息泄露案，2010年中国移动、中国联通员工涉嫌非法提供、出售公民个人信息案等[1]。个人信息滥用的严峻现实不得不引起我们对我国个人信息保护现状的深刻反思和检讨。他山之石，可以攻玉。德国在个人信息保护方面已经积累了较为成熟的经验，通过对德国个人信息保护立法模式的介绍和研究，可以为我国个人信息保护立法提供有益借鉴。

一、我国滥用个人信息的表现形式及立法保护现状

在我国，滥用从合法或非法途径获得的个人信息的表现形式多样，危害严重。（1）个人信息买卖交易。将手头掌握的个人信息拿来买卖交易而牟取非法利益，由此形成买卖个人信息的“地下产业”。（2）对采集到的个人数据进行未经许可的二次开发利用，为细分市场、制定营销战略提供依据，进而实施对重点人群或重点客户的定向强制推销，严重侵犯个人安宁生活的权利。（3）擅自公开、传播、散布个人信息，实施造谣中伤、添加不实的损害性评论等侵权行为以及诽谤、侮辱他人人格的犯罪行为。（4）盗用他人个人信息实施诈骗等违法犯罪活动，造成个人信息主体财产损失，危及个人信息主体生命安全。（5）境外势力通过对特定人群个人信息的非法采集，以此刺探科技情报和经济情报，严重威胁我国国防安全和经济安全。

我国目前没有专门的个人信息保护法，涉及隐私的个人信息主要以人格权、隐私权等形式来加以保护。相关规定散见于宪法、民事法律及司法解释、刑事法律、诉讼法律、行政法律法规或规章之中。具体包括：宪法、民法通则和侵权责任法对公民一般人格权和隐私权保护的规定；刑法对诬告陷害、侮辱诽谤他人犯罪，非法搜查和非法侵入犯罪，侵犯公民通信自由权利犯罪，出售、非法提供、非法获取公民个人信息犯罪的规定；民事诉讼法、刑事诉讼法、行政诉讼法和预防未成年人犯罪法就涉及个人隐私案件的不公开审理作出了规定；律师法和公证法就保守当事人个人隐私作出了规定；未成年人保护法、妇女权益保障法和消费者权益保护法分别就未成年人个人隐私、妇女人格权和消费者人格权保护作出了规定；居民身份证法、护照法、统计法、社会保险法、商业银行法、反洗钱法、劳动争议调解仲裁法、传染病防治法、执业医师法、邮政法等法律就个人信息保密和个人隐私保护分别作出了规定；中华人民共和国电信条例、全国人民代表大会常务委员会关于维护互联网安全的决定、计算机信息网络国际联网管理暂行规定实施办法、互联网信息服务管理办法、互联网安全保护技术措施规定、计算机信息网络国际联网安全保护管理办法、互联网电子公告服务管理规定、互联网电子邮件服务管理办法、个人信用信息基础数据库管理暂行办法等法规、规章对个人信息保护事项作出了规定。

综观我国个人信息保护立法现状，不足之处在于：（1）我国涉及个人信息保护的法律法规数量庞杂，相互之间缺乏系统性和协调性，相关制度不够健全、监督和救济机制不尽完善，个人信息主体的权利难以得到全面有效的保护。（2）缺乏一部专门的规范个人信息保护的龙头法律——个人信息保护法，个人信息的定义、个人信息的范围、个人信息保护原则、个人信息保护执法主体、个人信息主体和个人信息采集管理主体的权利义务、法律责任及救济等不甚明确或不够完善，不利于对滥用个人信息违法犯罪行为的打击制裁和对个人信息主体合法权益的保护。（3）我国宪法和法律中关于个人信息的保护规定，主要是从保护一般人格权和隐私权的角度进行规范，并未涵括一般人格权和隐私权之外的大量个人信息。刑法修正案（七）虽然新增了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”，但是两罪规定的犯罪主体范围过窄，不能涵盖所有出售或者非法提供公民个人信息的主体。另外，构成该罪必须达到“情节严重”的标准不具有可操作性。（4）我国民法、刑法和侵权责任法等法律关于涉及个人信息保护的规定大部分属于事后救济规范，无法实现对个人信息采集、保管和利用等环节的全流程监管；有关涉及个人信息保护的行政法律和行政法规多数也是原则性规定，缺乏操作性；我国业已出台的与利用互联网有关的个人信息保护行政法规和规章效力层级较低，执行起来难度很大，难以有效遏制利用网络滥用个人信息的违法行为。

二、德国个人信息保护立法概况及特点

德国黑森州于1970年颁布了世界第一部个人信息保护立法——资料保护法。德国国会于1970 年起着手制定联邦资料保护法草案，经过长达6 年的反复讨论与修改，联邦个人资料保护法最后于1976 年全文通过，1977 年生效。该法的正式名称是防止个人资料处理滥用法（人们习惯称其为联邦资料保护法），共有6章47个条文，分为总则、公务机关的资料处理、非公务机关为自己目的的资料处理、非公务机关为他人目的的营业性资料处理、罚则、过渡与例外条款[2]。该法生效后，历经1980年、1990年和2001年三次修正。在此期间，在德国发生了著名的“人口普查法案”宪法诉讼[3]，该案的判决由于确立了公民的“信息自决权”而成为德国个人信息保护发展史上具有里程碑意义的事件，宪法判决关于信息自决权的规定，奠定了个人资料保护的宪法基础。受联邦宪法法院1983 年判决的影响，德国对个人资料保护法进行了再一次修订并于1990年12月完成修正并公布，修正后条文减为5章44条，内容更为充实，理念得到了很大程度的更新。这次修正将国家安全机关对个人资料的收集与处理纳入了个人资料保护法[4]。根据欧盟资料保护指令的要求，德国议会对1990 年联邦资料保护法进行了修订并于2001 年5 月23 日通过了修改后的联邦资料保护法。相较于1990 年联邦资料保护法，2001年联邦资料保护法扩大了个人信息保护法的适用范围，首次将非公有领域的、非商业性的信息行为纳入调整范围。适用范围的扩大还表现在加强规范力度方面，具体而言是指将禁止收集原则、直接收集原则、目的特定原则的适用范围从国家机关扩大到了非国家机关。州层面的地方立法和针对具体行业个人信息保护问题进行的专门立法也是德国个人信息保护法律的组成部分。美国“9·11 事件”之后，德国以反恐为名扩大了国家机关收集或处理个人信息的权限，相关规定主要体现在打击恐怖主义法（2002 年）、打击恐怖主义补充法（2007年）、电信监视法（2007 年）等法律之中[5] 。

德国联邦个人资料保护法是大陆法系国家最有代表性的一部个人资料保护专法，它采取统一立法模式，以信息自决权为宪法基础、一般人格权为民法基础，对个人信息给予保护[6]。在立法体例上，德国联邦资料保护法采取的是“总分总”的格局，对公、私领域的信息行为均加以规范。但从立法进程来看，德国对公、私领域信息行为的态度，经过了“差别巨大——差异缩小——差距重新扩大”的过程，德国个人信息保护法的发展，是典型的“螺旋式上升，波浪式前进”，在否定之否定中不断完善，以适应现实需要的过程[7]。综观世界各国（地区）对个人信息保护立法的现状，主要有统一立法、分散立法和统分结合立法三种立法模式。统一立法模式是指通过一部统一的法律来规范公共机构或私营部门对个人信息的处理行为。德国是对个人信息保护采取统一立法模式的典型国家，从全球来看，统一立法模式是发展趋势，世界上多数国家都采用了统一立法模式。统一立法模式对公共部门和非公共部门采取同一标准，有利于保证法律适用的统一性。

三、德国个人信息保护立法对我国的启示

我国当前正处于社会转型加速和信息化深入发展的历史阶段，社会矛盾凸显、恐怖主义时有威胁，治安管理、社会管理和社会建设任务繁重，公共部门采集个人信息已是常态化的日常工作，非公共部门和个人处理个人信息的现象也非常普遍。我国目前分散的以保护隐私权等一般人格权的法律规定难以有效预防和打击滥用个人信息的违法犯罪行为，滥用个人信息已经成为严重的社会问题。因此，我国应当立足自己国情与法律传统，充分吸收、借鉴德国的立法经验，采取对公共部门和非公共部门的个人信息处理行为进行统一立法的模式。在此基础上，对涉及个人信息保护的其他法律法规作出适当修改完善，实现个人信息保护基本法律与其他法律法规的有机协调。

（一）借鉴统一立法模式出台个人信息保护法

为了规范各种个人信息处理行为、强化对个人信息的全面保护，我国迫切需要出台一部保护个人信息的基本法律——个人信息保护法。在立法模式和和立法体例上，可以借鉴德国的立法经验，采取公共部门和非公共部门统一立法的模式。在立法体例上，采用“总分总”的篇章结构： 即首先界定适用范围、术语含义和基本原则，该部分内容对公、私领域同样适用。继而分章规定国家机关和非国家机关在个人信息收集、存储、处理和利用方面的要求，最后再统一规定法律责任机制[8]。主要内容包括：（1）个人信息的定义与范围。对个人信息可作如下定义：个人信息是指可识别的与自然人有关的任何信息，包括但不限于姓名、出生年月以及其他内容而可以识别出特定个人的部分，包括自动或者非自动方式处理的各种个人信息。这种概括列举式的规定具有一定的开放性，好处在于可以将随着科技发展而增加的个人信息类型纳入全面保护的范围。个人信息主体应当包括生存着的和已死亡的自然人。之所以将已死亡的自然人的个人信息也纳入保护范围，原因在于如果承认个人信息之上存在人格利益，就应当对已死亡的自然人的个人信息实行一体保护，尤其是涉及已死亡的自然人的隐私等个人信息时更应如此，对此我国司法解释已对死者的隐私等人格利益保护作出了明确规定。（2）关于个人资料保护的原则。可以参照经济合作与发展组织（OECD）、欧盟和德国的做法，确立我国个人信息保护的原则，这些原则包括：①直接原则。应该直接向个人信息主体本人收集个人信息。②目的明确和限制利用原则。收集个人信息的目的应该在收集之前列明，并且随后的使用应限于实现这些目的。③信息品质原则。个人信息处理应做到公正、合法的收集和处理；基于特定、明确、合法的目的收集、处理信息；个人信息的收集和处理必须充分，不能过度、不能超越目的范围；必须完整、准确，并保持信息最新状态；以可识别的信息主体允许的形式保存。④禁止收集原则及其例外。除非法律另有规定，否则禁止收集、处理个人信息。但以下情形除外：国家机关为履行公共职责需要可以不经个人信息主体同意直接收集处理个人信息；非国家机关在征得个人信息主体同意并声明使用目的的前提下可以收集处理个人信息。因对国家机关公职人员履职情况监督需要，新闻媒体和公民个人无须征得个人信息主体的同意可以收集处理个人信息，但必须遵守法律法规的规定。禁止收集处理涉及种族、政治、宗教信仰、健康状况、性生活和性取向等个人信息。⑤查询和更正原则。个人信息主体有权查询本人信息，有权更正不正确的个人信息。第三方查询公共记录中的个人信息必须严格遵循程序和目的限制的规定。⑥安全保护原则。个人信息应该受到合理的安全保护，以免发生诸如丢失或未经授权的获取、破坏、使用、修改或披露。（3）权利和义务。依据个人信息保护的基本原则，国家机关为履行公共职责需要有权收集处理公民个人信息。公共部门和非公共部门对收集处理的个人信息负有保密义务、更正义务等。个人信息主体享有“个人信息自决权”，包括决定权、保密权、知情权、更正权、禁止权、报酬请求权和救济权。（4）个人信息保护机构。国家应当设置统一的个人信息保护委员会，负责个人信息保护法律执行情况的监督，受理与个人资料保护有关的申诉，为个人信息主体提供救济，对个人信息保护行业自律进行指导监督。（5）法律责任。对侵害他人信息的行为，根据情节轻重分别规定民事责任、行政责任或刑事责任。

（二）个人信息保护法与其他相关法律的有机协调

我国将来出台个人信息保护法还要注意和已有的关于保护个人信息的法律规定保持协调，完善和构建个人信息的事前预防、事中规范、事后救济的保护体系。在个人信息保护法对滥用个人信息行为规定民事责任、行政责任和刑事责任的基础上，必须适时修订已有民事法律、行政法律和刑事法律中关于个人信息保护的规定，实现法律之间的有机衔接。（1）与民法、合同法、侵权法等民事法律的协调。例如，对于非公共部门在商务活动中滥用个人信息的行为，个人信息主体可以依据合同法上的附随义务追究违约责任，或者根据侵权法追究侵权责任。故意或过失泄露个人信息的管理者和具体实施侵权行为的侵权人应当承担连带责任。对于滥用个人信息的侵权行为，个人信息主体有权请求侵权人承担侵权责任，造成严重精神损害的，有权请求精神损害赔偿。（2）与行政法律的协调。对于公共部门在履行职责过程中处理个人信息的不当或违法行为，造成严重后果的，应当依法对直接负责的主管人员和其他直接责任人员给予行政处分。侵犯他人个人信息自主权并且情节严重的，可以采取罚款等行政处罚措施予以制裁。（3）与刑事法律的协调。修订刑法修正案（七）关于“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”的规定，将两罪犯罪主体的范围拓宽至任何处理个人信息的人员；对刑法修正案（七）关于“情节严重”的规定作进一步细化，使之更具操作性；增设“非法披露公民个人信息罪”，未经个人信息主体同意，非法披露或非法公开个人信息，造成严重后果的，应当追究刑事责任。

注释：

[1]参见网易新闻中心：《深圳10万孕产妇信息遭泄密，泄密光盘1.2万张》， http：//gd.news.163.com/08/0610/09/4E2KJFRO0036008A.html；中国质量新闻网：《首例电信企业员工泄露公民个人信息案近日宣判》，http：//www.cqn.com.cn/news/wqpd/wqxw/369820.html，2012年9月25日访问。

[2][4]齐爱民主编：《个人资料保护法原理及其跨国流通法律问题研究》，武汉大学出版社2004年版，第68、69～70页。

[3]参见罗明通等：《电脑法》（下），台湾群彦图书股份有限公司1994年版，第506页。

[5][7][8]蒋舸：《个人信息保护法立法模式的选择——以德国经验为视角》，载《法律科学》2011年第2期。

[6]齐爱民：《拯救信息社会中的人格——个人信息保护法总论》，北京大学出版社2009年版，第48页。

（作者系复旦大学法学院博士研究生、甘肃省社会科学院副研究员）