杨 异， 王 续 琨

( 大连理工大学 公共管理与法学学院， 辽宁 大连 116024 )

随着计算机网络技术的发展，网络带来的海量信息使得人们的生活发生了翻天覆地的变化。然而，由于网络的一些特性，如开放性、共享性、便利性等，也为非法利用他人的个人信息提供了可乘之机。近年来，严重的如人肉搜索、诈骗信息，较轻的如简历信息泄露、骚扰短信、促销电子邮件等各种侵犯个人信息权利的事件屡见不鲜。相对于司法实践中层出不穷的各类纠纷，网络环境下个人信息立法呈现出停滞不前的状态，突出的困境如尚未制定基本立法、现有立法分散于各种法律法规，实践中经常引用的法律法规层次较低等，因此对网络个人信息保护进行研究，提出具有针对性、可操作性的建议，具有突出的理论意义和迫切的实践意义。

一、网络环境下个人信息保护概述

1.网络环境下个人信息释义

由于目前没有立法对个人信息予以明确规定，学理上对于个人信息概念的探讨非常热烈。个人信息的界定有各种角度，从称谓来看，对于个人信息的称谓主要有“个人数据”、“个人资料”以及“个人隐私”；从下定义的方式来看，主要有“关联型定义”、“隐私权型定义”和“识别型定义”。齐爱民教授认为，个人信息包括实质要件和形式要件，实质要件主要是识别本人的个人信息，形式要件是指构成个人信息的特定形式要素[1]。王利明教授认为，个人信息是指与特定个人相关联的、反映个体特征的、具有可识别性的符号系统，包括个人身份、工作、财产、健康等各方面信息[2]。石佳友认为，个人信息是指与具体自然人相关，能够单独或与其他信息结合识别该具体自然人的任何信息[3]。

个人信息是网络个人信息的上位概念，网络个人信息的概念主要来自个人信息，只不过侧重在与网络联系的方面。网络个人信息是指在网络上与个人相关、用于区别本人与其他自然人的一切信息。网络个人信息包括两个方面，一是个人基本信息，如：姓名、性别、年龄、证件号码、联系方式等，此类信息会因网络活动的需要而将其披露在网络上；二是因从事网络活动而产生的相关信息和资料，如电子邮箱、各种注册账号、上网浏览记录等。网络环境下个人信息与个人信息从实质来看具有一致性。不同的是，由于网络本身的特点，如开放性、虚拟性等，使得网络背景下非法搜集、利用个人信息等侵权行为更加容易、隐蔽，因而网络个人信息被侵权的现象更加严重，造成的影响更加恶劣。

2.网络环境下个人信息独立保护的必要性

根据目前的司法实践来看，网络环境下的个人信息在遭遇侵权时通常是以侵犯网络隐私权来进行保护的。网络隐私权是否能够涵盖网络个人信息，从而有效地为网络个人信息进行法律保护，或者网络个人信息是否有必要独立成为一项权利来进行保护，这就需要了解网络个人信息与网络隐私权是否一致，网络隐私权是否能够完全涵盖网络个人信息。应该看到，网络隐私权与网络个人信息既有联系又有区别，其中区别是明显的，以网络隐私权来保护网络个人信息是存在较大局限性的。

网络个人信息与隐私权存在着十分明显的区别。首先，从内容来看，隐私是指权利主体对自己不愿或不便让他人知晓的私人信息，网络个人信息是指一切可以直接或间接识别个人的信息；网络隐私权中涉及到的私人信息是由权利主体确定为不公开的信息，而网络个人信息中的信息有许多是已经公开的，换句话说，隐私权最重要的在于隐秘性，即未经权利人同意擅自公开就构成侵权，而个人信息的保护不在于信息的公开，而在于信息未经许可情况下被他人使用；其次，从权利性质来看，隐私权通常是指人格尊严、私人生活安宁等，不直接体现物质性或财产性，体现的是非财产性的精神利益；而网络背景下的个人信息则体现出非常明显的财产性。再次，从保护范围和方式来看，一般情况下,个人信息的保护范围与隐私权的保护范围是一种交叉关系。从认定标准来看，司法实践中对隐私的认定，通常采用的是主观标准，也就是由当事人自己来进行判断：当事人认为案涉事实属于隐私，就会认定为隐私；如果当事人认为案涉事实不属于个人隐私，法院就不认定为隐私。而个人信息的认定则是采用客观标准，根据客观标准在认定时，只要是能够单独、或者与其他信息结合，可以识别出特定自然人的相关信息，就认定为个人信息，与当事人的主观判断无关。

二、网络个人信息保护现状分析

1.网络环境下个人信息侵权现象严重

网络环境下，对于个人信息的侵犯表现十分突出。最典型的就是网上注册个人信息被滥用，具体的侵权行为表现为未经许可的个人信息收集和出售。随着网络的普及，足不出户地购买产品和服务的消费者越来越多，商家往往会利用网络技术记录消费者的购买历史，收集消费者的消费习惯和消费喜好信息。我们常常遇到下列情形：在网上购买产品或服务之后，网页便会自动弹出“您可能会感兴趣的商品”这一内容，或者常常收到各种促销广告邮件甚至收到商家投放的自己可能感兴趣产品的优惠券等。2011年末，国内最大的程序员网站CSDN被爆出遭遇黑客攻击，600万用户的邮箱账号、登录密码等信息被窃取并公开，随后又有人人网、开心网等多家网站相继出现同样问题，中国互联网历史上最大的泄密事件由此爆发。个人信息安全出现巨大危机，暴露了我国在个人信息保护立法方面的巨大漏洞，严重威胁到社会秩序和公众利益。这些情况说明了公民个人信息正处于极大的危险之中，若不及时建立、完善相关法律和制度予以规制，公民的人身和财产安全乃至公共利益和社会秩序必将遭受更大的侵害。

2.网络环境下个人信息保护的立法现状分析

目前，我国现有法律法规以直接和间接两种方式对网络个人信息权给予一定的保护。从直接保护来看，目前尚未出台网络个人信息的单行立法，只是在一些相关的法律法规中涉及到网络个人信息时进行了相应的规定。比较主要的几个法律法规如：2000年信息产业部颁布的《互联网电子公告服务管理规定》，是对网络个人信息规定较早的条例；2009年刑法修正案(七)首次设立了侵犯个人信息安全犯罪；2010年颁布的《网络商品交易及有关服务行为管理暂行办法》中的第16条、第25条、第41条对网络个人信息的保护做出了较为详尽、明确的规定。从间接保护来看，我国《宪法》第38条规定了对公民人格尊严的保护；《中华人民共和国民法通则》中主要是通过参照人身权的相关规定，包括名誉权、姓名权、荣誉权等；《消费者权益保护法》第14条对消费者的人格尊严保护做出了规定。此外，2010年《中华人民共和国侵权责任法》中第36条，对网络服务提供者侵害他人民事权益的行为明确规定了相应侵权责任。

应该看到，随着网络在社会生活的普遍运用，人们对网络个人信息也越来越重视，涉及到网络个人信息侵权的民事责任、刑事责任和行政责任规定的大量增加，相应的立法也在随之强化，这在一定程度上对网络个人信息的保护也提出了更高的要求。但这些法规并没有提供有效的规制依据，以应对越来越突出的网络个人信息侵权事件。现有立法中存在下列主要问题：一是主要立法缺失。如前所述，目前我国没有一部专门保护个人信息的法律，对个人信息保护的专门立法仍停留在立法建议和立法草案阶段，与国外相比远远没有达到有效保护的程度。世界上许多国家都已经确立了针对个人信息的专门立法，实践证明其立法取得了很好的效果。如澳大利亚早在1988年就颁布了《1988年隐私法》，专门用于调整澳大利亚公共机关所持有的个人信息。二是现有立法分散、层级较低。目前我国对网络个人信息的保护的立法散见于各类法律法规当中，大多属于条例和规章，法律层面的立法非常少。在网络个人信息商业价值凸现的今天，现行立法在体系化方面不足、层级较低、效力低下，缺乏一定的可操作性，导致实践中出现了大量个人信息被非法搜集、利用的情形。三是相关法律制度不能提供有效保护。现行立法当中，对于网络个人信息保护主要通过隐私权的相关法律规定，对于网络个人信息从法律上进行界定并提供相应的保护，加上隐私权与网络个人信息的差异，使得网络个人信息被侵害后，信息权利人难以得到救济，在具体司法实践中很难有效地对网络个人信息予以有力的保障。

3.我国网络环境下个人信息保护的其他制约因素

张新宝教授指出，“法律问题，在现有的法律体系下仍然不能得到通盘的解决，以为指望法律制度的完善规范和调节网络行为，网络将会永远无法发展。”[4]应该看到，网络的发展迅速带来的个人信息保护问题是一个关系到社会大众的社会问题，绝非个别人的个别问题。网络背景所具有的技术性特点，表明要充分保护网络环境下个人信息，不仅需要健全的法律制度，还需要发挥行政监管及行业规范等的作用。目前来看，我国的行政监管和行业自律没有发挥相应的作用，许多企业无论是防护措施还是管理制度，对信息安全管理都不够重视；由于利益的驱动，有的商家、网站等利用相应法律法规的缺失、采取通过格式条款等免除责任等。

三、网络环境下个人信息保护完善建议

1．立法模式的选择

我国是大陆法系国家，理论上应当借鉴欧盟的立法规制模式，以立法的方式对网络个人信息予以明确的规定并提供应有的保护。然而，相较于网络技术的迅猛发展，法律的制定总是滞后于技术，这就必然导致问题出现在先，却找不到有效的法律落脚点，显然单纯依靠立法并不能获得有效的规制；如若单纯地采取行业自律模式，也有无法克制的弊端，大多数网络经营者和个人信息利用者对公民个人信息的保护观念淡漠，因此单纯的行业自律模式在我国也是行不通的。本文认为，我国可以将两种模式配合使用，制定个人信息的专门法，同时合理引导、有限承认行业规范的效力，促进立法模式和行业规制相辅相成，以便有效发挥行业自律模式的灵活性和立法规制的系统性，既保护了公民个人信息的合法权益，又维护了网络经营者的利益，促进了网络行业的良性发展。

2．具体法律制度的完善

(1)单行立法建议。世界上第一部涉及到个人信息保护的单行立法是1970年的德国黑森州《个人资料保护法》，该法出台后，大多数国家也陆续出台了相关的个人信息的单行法，至今世界上已有近90个国家制定了个人信息保护的单行法[5]。当前，应推进制定符合我国国情的《个人信息保护法》，有效地规范个人信息、保障个人信息的合理运用与规制。建立以单行法为主、其他法律法规为辅，同时推进技术规范等完备立法体系，推进个人信息保护。

首先，明确提出个人信息权应列为一项单独的民事权利。对个人信息权给予完整、细化的规定，主要是对个人信息的范围和构成要件予以明确的界定，如个人信息权的内容与属性，适用行业、责任主体等。其次， 明确信息的获得、使用、限制等的具体途径，要保障公民个人信息知情、自决和控制的权利，兼顾社会秩序与公共利益，有利于实现公民个人信息进行有效保护。再次，规定个人信息保护的侵权责任与救济措施。从民事责任来看，对网络个人信息的人身权和财产权造成侵害的，主要应当承担赔偿责任等。行政救济方面，网络个人信息的人身权和财产权受到侵害的，影响到公共秩序和公共利益的，可以请求行政主管部门对侵害者予以惩处，诸如责令限期改正，根据情节轻重予以警告、没收违法所得、罚款等。

(2)民法角度提供支持。由于网络个人信息知情权以及其中所包含的人格权、财产权都属于私权的范畴，没有私权的保护而只有行政干预不利于对个人信息的保护，仅凭加强政府的管理显然是不可行的，应在民法中对个人信息的提供兜底性保护。由于个人信息权因其特有的双重属性，应在民法中明确界定为一项新型的民事权利，以区别于一般意义上的人格权和财产权[6]。这一做法也是许多国家所采用的，即先在民法典中对于个人信息确定基本规定，然后另行制定专门的个人信息保护法。

(3)完善刑法相关规定。刑法修正案(七)增设了侵犯个人信息安全犯罪，对于个人信息的保护提供了刑法上的支持。刑法虽然设立了非法获取或出售个人信息的犯罪，但是刑法对于个人信息的合法获取、非法利用等问题并未详细规定，从而导致大部分的个人信息滥用的行为不能纳入刑法保护的范畴。因此，有必要在以后的修改中对此予以考虑。

(4)信息安全的技术规范与制度规范。这类规范主要是两种：一种是涉及到电子政务中的处理个人信息密切的相关部门，为了确保个人信息安全，必须采用相应的技术规范；另一种是针对企业组成的行业自律规范，这类规范是由该行业中的专业人士制定，具有相当的业务和法律知识，有很好的针对性和可操作性。这两类涉及到信息安全的技术规范与制度规范，需要在立法的合理指引下，并在一定程度、一定范围承认其具有一定的法律效力[7]。

3．相关制度的完善

(1)加强行政监管制度。建议建立和健全网络个人信息的政府监管机构。完善的政府监管机构在个人信息安全保护中起着越来越重要的作用，通过规章制度的建立和加强，为个人信息的保护营造良好的环境。目前，许多国家和地区都设立了专门机构保护网络个人信息，实践证明，完善的政府监管机构对于网络个人信息的保护作用是无可替代的。因此，我国也可以借鉴这种做法，加强对信息的集中规范化管理，成立网络个人信息监管机构。

(2)完善行业自律体系，提高网络服务提供者的行业自律性。行业自律具备一定的灵活性，能最大限度满足个人信息处理与信息主体的合法权利。行业自律主要通过行业规范来实现，因此应尽快出台并落实个人信息保护的行业准则，以便发挥自律规范对立法的补充效力；建立我国个人信息保护的认证制度，成立一个专门的、独立的、非营利性组织来对个人信息进行认证[8]。

个人信息作为一种重要的社会资源，在信息时代、网络背景下，其对经济发展的意义发挥着不可估量的作用。对于网络环境下个人信息的保护，应当在充分保护的同时实现有效的利用，而如何实现一个保护与合理利用之间的动态平衡是我们所需要深度思考的问题。

参考文献：

[1] 齐爱民. 个人信息保护法研究[J]. 河北法学，2008，26(4)：15-33.

[2] 王利明. 论个人信息权在人格权法中的地位[J]. 苏州大学学报(哲学社会科学版)，2012，33(6)：68-73.

[3] 石佳友. 网络环境下的个人信息保护立法 [J]. 苏州大学学报(哲学社会科学版)，2012，33(6)：85-96.

[4] 张新宝. 互联网上的侵权问题研究[M]. 北京:中国人民大学出版社，2003.217.

[5] GREENLEAF G. Global data privacy laws：89 countries，and accelerating[R].London:Queen Mary University of London, School of Law，2012.

[6] 王利明. 论个人信息权的法律保护[J]. 现代法学，2013，35(4)：62-72.

[7] 易斌，潘亚南. 网络个人信息隐私认证机制探讨[J]. 情报理论与实践，2012，35(5)：41-43.

[8] 杨文华. 网络论坛的“有限公共性”对主流意识形态话语权的冲击[J]. 大连理工大学学报(社会科学版)，2012，33(4)：75-79.