王翔 沈挺 赵海洋

摘 要：随着现代信息技术的飞速发展，公民个人信息的安全问题日趋凸显。目前全球已有多个国家和地区对其进行了专门的立法保护，他们成功的立法模式也给我们当前公民个人信息安全的保护提供了方向，尤以美国与欧盟的立法模式最具参考性。因此，本文通过对比分析美国与欧盟两种立法模式来综合评判这两种模式对我国公民个人信息法律保护的借鉴意义，然后就我国个人信息安全保护的立法模式选择与相关制度构建提出具体的立法建议，并确立《公民个人信息保护法》的纲领性地位，以构建一个体系完整的公民个人信息安全法律保护模式。

关键词：公民；个人信息；立法模式；法律保护

在信息大爆炸时代的今天，个人信息早已成为信息社会的一种重要社会资源，谁掌握了信息，谁就在商业活动中取得了制胜之匙。因此，大量的商业机构开始利用计算机等现代科技手段对个人信息进行大规模地自动化收集与加工处理。正如杰弗里·罗森所说，新经济完全是基于对个人信息的积累和交换，这是一场史无前例的运动。网络媒体的发展，科学技术的提高使得别有用心的人对公民信息资料的获取易如反掌，公民信息时常遭到商家的不正当利用，贩卖、倒卖，以致公民信息被侵行为为公民的人身、财产安全、社会的安定有序埋下巨大的隐患。近来，随着2000万条酒店开房信息被泄露，阿里巴巴旗下支付宝前技术员工将支付宝客户20G资料内容出售、贩卖与电商公司和数据公司也即支付宝“内鬼”事件的东窗事发，人们才恍然发现公民个人信息早已不自觉的暴露于“光天化日”之下，个人信息安全被侵犯的严重程度可见一斑。

然而这种威胁不仅仅来自于网络、媒体、商家等平等主体，也来自于政府部门等公权力。后者因其负载的权威性、支配力和国家强制力，使其对个人信息的安全有更大的威胁，而且因其手段的多样性，与信息主体地位的不平等性，范围的广泛性使得信息主体对其防御更是难上加难。在此情形下，只有让公权力在法律的监管之下，个人信息才能得到有效的法律保护，也才能从根本上遏制公权力对于个人信息的侵犯。本文拟对美国、欧盟两种个人信息立法模式进行简要评析，分析两种立法模式的优缺点，在批判吸收两种立法模式的基础上创设性地提出我国个人信息安全立法保护模式，并对我国个人信息安全法律保护模式的相关制度进行理论探讨。

一、个人信息基本理论简介

要探讨公民个人信息安全法律保护问题，首先就应明确公民个人信息的概念。在笔者看来，公民个人信息是指那些能够直接或间接识别出特定自然人身份的信息，其具有人格属性。我国学者对公民个人信息所包含的内容基本已达成共识：公民个人信息包括信息主体生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等方方面面的信息总和。正如周汉华2006年在其专家建议稿中所定义的，个人信息是指“个人姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息对照可以识别特定的个人的信息”。具体地说，它涵盖了公民个人的基本信息、家庭背景、求职履历、人事档案等任何单独或与其他信息比对可以识别特定个人的信息。随着人类进入信息时代，计算机技术与云计算飞速发展，全球经济一体化趋势加强，以及法治进程持续推进，我国对公民个人信息安全保护的需求比以往任何时候都更加迫切。

二、当前我国公民个人信息安全法律保护中存在的不足

由于当前我国还没有颁布一部专门保护公民个人信息安全的法律，因而我国尚未形成一个统一的关于个人信息保护方面的法律体系。我国当前对公民个人信息的保护主要通过制定单行法，在单行法中设置专门条款加以规制约束，以致相关规定缺乏系统性与完整性，难以在具体的司法实践中操作并发挥作用。而对公民个人信息的保护过度依赖行业自律，当行业自身的监管已经形同虚设时，公民信息买卖已悄然形成产业链。因此，我国急需在相关行业建立起具有法律约束力的个人信息管理规范。随着2009年《刑法修正案（七）》将侵犯公民个人信息的行为入刑，由于缺乏相关配套的司法解释，没有明确的定罪量刑的处罚追责标准，因而近年来受到刑事处罚的侵犯公民个人信息罪的犯罪分子却也寥寥无几，没有起到真正的惩治与预防犯罪的的作用，目前公民个人信息安全被侵犯的形势仍然不容乐观。^[1]

现有的法律制度在保护个人信息安全方面主要存在以下几个方面的问题：一、对个人信息的认定没有一个明确的标准，这就造成调取证据艰难，认定责任困难，导致具体司法实践操作性差。二、没有一个完善的、可操作的刑事和行政处罚体系。当前我国还未推出这两个层次的追责标准，行政处罚的标准也没量化，难以判断一个“信侵犯”行为是否应当追究刑事或行政责任。三、现有法律效力层次低、系统性差，缺乏一部纲领性地位的个人信息安全保护法，当前涉及个人信息安全方面的法律多为行政性法律，且零星分散，不成体系，难以起到惩治与打击“信侵犯”行为的作用。

三、美国、欧盟个人信息立法模式对我国立法的借鉴

在个人信息立法模式的发展历史上，对全球个人信息立法模式的构建影响最大的无疑是美国模式与欧盟模式。因为美国与欧盟的立法理念与法制传统不同，故而两大法律实体在对个人信息的保护上所采取的保护手段与方法大相径庭。面对着个人信息被肆意侵犯的严峻形势，两大立法模式我国个人信息安全保护立法又有何借鉴意义，将是一个令每个法律人深思的问题。

（一）美国个人信息法律保护模式简评

由于历来美国都奉行规制政府公权力，而保护公民个人主义思潮，公民个人自由已成为美国法律文化中最重要的一部分，因而隐私权一直都是美国公民权利保护的重点。因为在美国许多涉及公民个人信息的行业已经建立起了稳定的、具有约束力的个人信息管理规范，而且在美国已经形成了个人信息管理与保护的具体格局和模式，因而美国的法律文化一直排斥着政府公权力的干涉。因此，美国对公民个人信息采取行业自律和分散立法相结合的保护模式。因而美国的个人信息法律保护模式的核心内容是：通过行业自律和单行立法相结合的方式来保护公民的隐私权。

美国的个人信息法律保护模式的特征如下：第一，相比于对个人隐私权的保护，更加重视政府公权力对个人自由的干涉。第二，美国对公民隐私权的保护在公、私领域采取了不同的保护手段：在公共领域，制定单行法规规制公权力，规范国家机关的行为，制定惩戒措施来保护公民个人隐私安全；而在私人领域，美国则主要通过制定行业规范来加强行业自律以维护公民隐私权，并设立相关协会加强监督管理来保护公民个人的隐私权。通过分析，不难发现美国的这种行业自律个人信息保护模式的最大特别之处就是针对公私两个领域的隐私权的保护采取了分散立法、区别保护的方式，这就在一定程度上避免了国家立法对个人信息保护的干预。然而，该模式也有其自身缺陷：比如它没有一个合理的争端解决机制，行业规范约束力不强，行业自律功效一般，难以应对现实问题。^[2]例如，有的商家竭力规避行业规范，为了实现自己的商业利益，买卖、利用、透露公民个人信息时有发生，进而导致公民个人信息权被侵犯。

（二）欧盟个人信息法律保护模式简评

与美国不同，欧盟大多数成员国一直奉行成文法的法制传统，主张国家权力对社会生活的全方位的积极干预，因而欧盟采取了以国家统一立法为主、行业自律为辅的形式来加强国家对公民个人信息的保护的个人信息法律保护模式。它主要通过双层次、综合立法对个人信息进行保护，且格外关注对私人领域的个人信息保护。

尽管欧盟的双层次、综合立法个人信息保护模式优势明显：以国家立法的形式加强对公民信息的保护，使得对个人信息的保护更加全面、规范、具体，有法可依，并以国家强制力作为后盾，在打击“信侵犯”上效果显著，然而，该模式也有其本身缺陷：它在欧盟范围内没有设立一个统一的实施机构以实现个人信息的保护，对于“信侵犯”的行为，欧盟本身没有执行能力，无力加以处罚，这在一定程度上给予了犯罪分子可乘之机。由于“信侵犯”行为需要依赖成员国的个人信息保护机构来进行制裁、惩治，而欧盟成员国内部机构对此类行为的监督又受到多方面因素的制约。^[3]而且这种模式还有其他不足，比如国家对社会生活的过度干预有可能会阻碍个人信息的正常、合理流通，从而束缚企业的自由发展。

（三）我国个人信息法律保护模式的选择

通过分析，不难发现美国个人信息法律保护模式与欧盟个人信息法律保护模式都有其自身优缺点。正如有的学者所说，美国个人信息法律保护模式注重行业自律，并施以大量的单行法法规，立法较为松散，而欧盟个人信息法律保护模式则注重统一立法，但是法规大都较为严苛、死板，且没有一个具体的可操作机构，执行力较差。故而有学者建议在我国实施综合保护模式，即在美国个人信息法律保护模式中注入欧盟的一些关于个人信息安全的法律保护制度，或在欧盟个人信息法律保护模式的基础上，适当加入些行业自律的管理规范或添加一些美国立法保护模式的制度。^[4]当前国内大多数学者都主张后一种综合保护模式。在笔者看来，从我国目前国内立法情况来看，由于我国也是大陆法系国家，因而我国应当采取在欧盟个人信息法律保护模式的基础上，适当加入一些美国个人信息保护制度的立法模式，优劣互补，博采众长，也即以国家统一立法为主，行业自律为辅的法律保护模式。其主要原因是中国尚未出台公民个人信息安全保护法，相关行业规范尚不健全，且中国信息产业的行业力量尚不够强大，行业组织的控制力不强，仅仅依靠企业自律尚难实现，因此需要以国家立法为主导，并加强政府的调控和保护角色。

（四）我国个人信息安全法律保护模式的相关制度探讨

据相关数据资料显示，由于当前国内个人信息保护立法不足，相关行业规范形同虚设，加之公民个人防护意识欠缺，我国公民个人信息保护状况十分令人堪忧，社会公众对个人信息安全遭受侵犯的事实反响强烈却也无可奈何。在笔者看来，要妥善解决好侵害个人信息的社会问题，需要在理论和实践统一的层面做到以下几点：第一，国家立法机关应统一立法，尽早推出《公民个人信息保护法》，以发挥该法在保护公民个人信息法安全中的基础性作用，并使之作为个人信息保护基本法，让公民个人信息的保护做到有法可依。第二，完善涉及保护公民信息安全的单行法法规与相关行业规范，完善信息持有人与管理人的责任追究机制，针对“信侵犯”行为制定相关惩戒措施，提倡行业自律。第三，构建一个完善的、可操作性强的刑事和行政处罚体系，明确相关处罚追责标准，并建立相应的民事补偿制度，协调处理好“信侵犯”行为人的民事责任、行政责任、刑事责任的法律关系，让这三个层次的法律责任有机结合，共同实现对侵犯公民个人信息行为的规制，确保公民个人信息的安全。

四、结语

从国内外司法实践来看，有效保护公民个人信息是一项系统工程，需要立法机关、司法机关、行政机关、企业、协会、公民、媒体等协同作战。这就要求我们不仅需要充分分析、借鉴其他国家的立法模式、内容等的合理之处，进行专门立法规制，统一立法，出台公民个人信息保护法，还需要充分发挥行业自律管理规范、道德约束机制、公民防卫意识等相关非强制性手段的作用，唯有多种保护手段并用，才能建立一个体系统一、结构完整的公民个人信息法律保护模式。（作者单位：西南民族大学）

参考文献

[1] 李晋等.公民个人信息刑法保护情况的调研报告──上海公交专用道运行现状调查报告.上海法治报[J].2014年1月13日第A07版.

[2] 胡雁云.我国个人信息法律保护的模式选择与制度建构.中州学刊[J].2011（04）.

[3] 樊爱丽.浅谈个人信息安全的法律保护.法制与经济[J].2013（04）.

[4] 张新宝.中国个人数据保护立法的现状与展望.中国法律[J].2007（04）.