摘 要 本文从我国网络个人信息立法的最新动态入手，对网络个人信息立法必要性作了分析，结合网络个人信息的界定、我国网络个人信息立法保护的现状，对我国如何完善网络个人信息立法提出了细化现有法律法规、加快构建专项法律体系和发挥行业自律的重要作用的建议。

关键词 网络个人信息 立法保护 法律法规

作者简介：万莉莉，常州开放大学讲师，南京大学法律硕士，研究方向：民法、经济法。

中图分类号：D920.4 文献标识码：A 文章编号：1009-0592（2014）12-238-02

随着计算机应用普及和网络技术发展，我国网民数量截至2012年6月底已达5.38亿，网络购物用户规模达到2.1亿 。与此相伴，網络个人信息安全事件也屡屡发生。网络个人信息的安全性，牵涉到庞大的网民群体的正当权益，事关互联网的健康发展和现实社会的和谐秩序，理应受到法律保护。而对于网络个人信息的保护，我国的立法相对滞后。直到2012年底，《关于加强网络信息保护的决定》（下文简称《决定》）经十一届全国人大常委会第三十次会议表决通过，才使得网络个人信息保护问题终于有了上位法的支撑。该《决定》的出台，只是迈出了补齐网络信息立法保护“短板”的第一步 。如何细化现有法律法规，构建专项法律体系，并激发行业自律的辅助作用，是我国网络个人信息立法保护过程中仍需求索的现实课题。

一、我国网络个人信息立法保护现状及欠缺

（一）我国网络个人信息立法保护现状

我国网络个人信息立法保护相对滞后，一度只能借助于《宪法》、《刑法》和《民法》等法律中的个别法条作为依据。20世纪90年代中后期开始，随着《中华人民共和国计算机信息系统安全保护条例》（1994年2月18日起施行）、《中华人民共和国计算机信息网络国际联网管理暂行规定》（1996年2月1日施行）、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》（1998年3月6日起施行）、《互联网电子公告服务管理规定》（2000年11月6日起实施）、《全国人民代表大会常务委员会关于维护互联网安全的决定》（2000年12月28日通过）、《互联网电子邮件服务管理办法》（2006年3月30日起施行）、《中华人民共和国侵权责任法》（2010年7月1日起施行）等一批法律法规密集出台，以及《中国互联网行业自律公约》的公布和《信息安全技术个人信息保护指南》面向社会公开征求意见，网络个人信息的保护依据才逐渐增多。2012年12月28日，《关于加强网络信息保护的决定》经全国人大常委会表决通过，填补了我国网络个人信息立法保护的空白，但该《决定》总共千余字，有待细化和完善。

（二）我国网络个人信息立法保护存在的问题

1.现有法律规定过于笼统。作为我国网络个人信息保护的上位法，《关于加强网络信息保护的决定》内容过于笼统。《决定》第四条和第十条，分别规定“网络服务提供者和其他企业事业单位应当采取技术措施和其他必要措施，确保信息安全”、“有关主管部门应当在各自职权范围内依法履行职责，采取技术措施和其他必要措施，防范、制止和查处窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为”。这两条中，对于“技术措施”、“其他必要措施”，“有关主管部门”的表述过于笼统，并未做出精确界定或是列举表述。对于此类的概念、规定，在实际参照应用过程中应当予以细化。

2.专项程序性法律体系不完善。《决定》第十一条规定“对有违反本决定行为的，依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚，记入社会信用档案并予以公布；构成违反治安管理行为的，依法给予治安管理处罚。构成犯罪的，依法追究刑事责任。侵害他人民事权益的，依法承担民事责任” 。由此可见，对于网络个人信息的保护，尤其是侵权责任的承担目前仍主要参照《行政法》、《刑法》和《民法》等法律法规。而对于网络个人信息的收集、使用规范以及网络个人信息侵害案件的诉讼程序、管辖原则和证据效力等程序性规定则是明显欠缺，需要以专项法律体系予以明确和完善。目前的法律法规中，并没有专门就网络个人信息侵权的相关程序性问题做出规定。因此，在实际操作过程中要做到有法可依、准确把握，存在一定的难度。

3.行业自律规范相对乏力。即便是完备的立法，与社会、经济的快速发展相比，通常都有相对滞后性，必须要借助于道德建设、行业规范等措施予以配套。就我国目前情况而言，虽有中国互联网协会和山东省、北京市等地网络行业制定并发布行业规范，但总体仍相对欠缺。据《南方日报》报道，在IT行业，部分网站技术管理人员泄露、售卖网络个人信息的不良情况确实存在。这些网站技术管理人员，工作期间可以接触到包括网络个人信息在内的大量数据库资料。在没有具体细致的职业规范指引和约束的前提下，他们只能凭借职业操守来权衡能否散布、交易网络个人信息。而这种职业操守，本身并不具备强制约束力，往往经不起诸如网络调查公司、网络广告公司等网络个人信息买主高价的诱惑。

二、我国网络个人信息立法保护的建议

（一）细化和完善现有法律法规

作为网络个人信息保护的上位法，《关于加强网络信息保护的决定》内容只有12条，后续仍需要细化。对《决定》及相关法律、法规进行细化和清理过程中，以下几点问题应当予以明确：第一、明确网络个人信息主体的权利义务。首先应以法条形式对网络个人信息的概念进行设置，可以采取定义性规定加列举性规定的综合立法方式，在对网络个人信息进行高度概括、抽象定义的基础上，列举典型性的网络个人信息内容。其次，明确网络个人信息主体享有网络个人信息被利用的知情权、安全请求权、控制权、自决权和维护权。第二、明确网络个人信息的侵权行为与侵权责任。明确规定对网络个人信息进行收集的合法主体，只能是政府有关机构、政府授权的公共服务组织以及具备相关证照、资格的专业网络调查公司等。这些组织在收集前应当履行告知义务、收集后应当履行保密义务。否则，其它不具备合法主体资格，或是合法主体收集、传播网民个人信息时，没有履行应有义务，如未告知或未经授权而收集网络个人信息，或是非法散布、交易网络个人喜好信息等行为即为侵权行为。一旦侵权行为发生、造成损害后果，且两者之间存在因果关系，侵害人就应当承担侵权责任，具体形式为停止侵害、删除或屏蔽信息、消除影响、赔礼道歉以及赔偿等责任。

（二）加速构建专项法律体系

着眼于长远，对于网络个人信息的保护仍需加速构建专项法律体系。这套专项法律体系，应当对网络个人信息保护的程序性问题做出规定：第一，规范网络个人信息的收集、使用程序。对可以收集、使用网络个人信息的合法主体做出限定。此外，还须对收集、使用网络个人信息的具体程序予以明确，包括提前多长时间告知、以何种形式告知、是否要签署书面授权文件以及收集、使用过程中的安全保密要求等内容。非经法律特殊规定，不得擅自披露他人的网络个人信息。第二，网络个人信息侵权的诉讼程序规范。该规范须对网络个人侵权受害者的诉讼时效、案件管辖和举证责任原则等内容做出明确规定，比如网络个人信息侵权诉讼的证物种类和效力问题，可以考虑将网页截图、计算机登录日志和电子银行交易记录等电子证据列为证物范畴，使其具有法定证明效力。第三，明确对网络个人信息的保护和监管措施。《决定》中类似“技术措施”、“其他必要措施”等笼统表述均应以精确定义或列举表述的方式予以明确，以便为行业运作、行政监管和依法问责提供依据和参照。

（三）发挥行业自律的重要作用

与正式立法相比，行业自律规范更易激发从业者自我管理和行业内部监督的热情，且因修订过程相对灵活，能够伴随行业的发展适时完善和补充。充分利用行业自律调动各方面的力量，能减少政府的负担，在一定程度上也保护了公民的网络个人信息的安全性。我国在细化现有法律法规、构建专项法律体系的同时，在目前已有中国互联網协会的基础上，成立由政府部门牵头、引导互联网相关行业成立更多的行业自律组织，强化行业内部管理和净化全行业职业操守。同时，可以倡导省级和较大地级市网络行业组织制定并发布行业规范、自律盟约，建立以立法为主导、自律为补充的格局，共同保护网络个人信息，促进行业健康发展和社会和谐稳定。

总而言之，随着互联网在人们日常工作、学习和生活中的应用不断深化，以及各类网络个人信息侵权事件发生，我国对于网络个人信息的立法保护工作不能止步于现状，而应与时俱进、不断完善，加速构建细致化专项性法律体系，以便更好地保护广大网民的正当隐私权和财产权。

注释：

姜晨怡.如何让个人网络信息更安全.科技日报.2013年1月9日.总第9453期，第6版.

王素洁.立法保护网络信息 补齐“短板”第一步.中国青年报.2013年1月8日，第1版.

参考文献：

[1]任小兴.论我国网络空间个人信息保护的不足与完善.安康学院学报.2011（2）.[2]李宏霞.论网络环境下的人格权保护.商品与质量.2011年5月刊.

[3]刘淼.中美网络监管比较研究.赤峰学院学报（自然科学版）.2012（5）.

[4]王军.网络个人信息保护问题研究.管理观察.2012（469）.

[5]刘帅，谢笑，谢阳群，李晶.欧美网络个人信息保护的启示.淮北师范大学学报（哲学社会科学版）.2012（3）.

[6]刘红霞.浅析对网络隐私权的立法保护.中国商界.2012（6）.