史越洋

信息时代的来临给我们带来了许多便捷，但是同时带来的还有我们对公民个人信息泄露和侵害的担忧。民法上多从以隐私权的保护来保障个人信息不受侵犯，然而，这不足以完全给予公民充分的救济。在行政管理方面，由于行政机关拥有公权力，它们出于职责的需要对个人信息进行收集保管，然而，权力是容易膨胀的，一旦被行政机关工作人员滥用，对公民个人信息的侵犯更是不容忽视。

一、个人信息的特征

目前对于个人信息并没有明确的定义，但一般具有以下几种基本特征：

第一，个人信息具有识别性。目前世界上许多国家均承认和接受个人信息的识别说，按照识别说对个人信息作出的界定，其首要的特征就在于识别性，识别性不仅是个人信息的基本特征，同时还是个人信息最为核心的特征。以目前世界上的发展趋势来看， 世界上许多国家在立法对个人信息进行保护的时候，均按照识别性的要求进行立法。所谓识别性，也就是人们能够按照该信息反映的内容对个人的特点作出判断、推测，从而确定该信息与具体的某个人有关，也就是说对某个人的身份进行确认。而识别可以分为直接识别、间接识别，通

过相关信息能够间接识别某个人的身份，同样属于个人信息的范畴。

第二，个人信息具有宽泛性。所谓个人信息的宽泛性，也就是个人信息的范畴较为宽泛，和当事人有关的全部资料均被包含在个人信息的范围之内。按照个人信息的概念界定，记载个人基本情况的生日、相貌、姓名、兴趣等均属于个人行为。同时，和个人相关的社会关系、工作单位、婚姻状况等工作和生活相关信息，也构成个人信息。最后，个人的收入、债权债务关系、开支、个人信用等经济状况方面的信息，这些信息也构成个人信息的范围。在网络时代，个人网购信息、聊天信息、个人的 QQ 账号、个人浏览网络的信息和喜好尤其是相关网络的密码等均属于个人信息的范围。

第三，个人信息具有价值性。在当前信息化日趋发达的背景下，个人信息成为经济社会生活的重要内容，甚至许多企业能否兴旺发达的关键点在于能否掌握和准确分析个人信息资料。许多商家在对个人的单一信息进行综合分析评判之后，及时调整企业的生产经营策略，个人信息具有极大的商业利用价值。个人信息的利用价值并不局限于商业运行方面，在政治、文化等诸多方面均具有十分重要的价值。

二、我国对于信息保护立法上的不足

1、数量不足、且过于分散。我国目前还未出台一部专门的《个人信息保护法》 ，专门立法程序从 2003年开始启动，2005 年完成专家建议稿和立法研究报告，2008 年《个人信息保护法》（草案 ）成交国务院，但是目前仍在难产中。 虽然关于互联网中的个人信息保护近几年陆续制定了很多规章，但是级别较低，其他领域的则散见于各法律法规中，过于零散。

2、对行政主体的信息收集、存储、利用等行为缺少程序规范在现实情况下，行政机关实施的采集个人信息行为往往缺乏相应的法律依

据，更多的只是由其所属的业务职能部门根据自身工作的需要提出相应的要求，并被用作行政机关行为的依据。 由于收集、储存等行为缺少规范，导致公民个人信息权受到侵害的现象时有发生。近几年陆续都有相应的地方性行业性立法出台，与时俱进得保护各种新呈现的新领域的个人信息保护的规制问题。对于拥有个人信息资料最多最全的行政机关的信息收集、存储、利用等行为缺少限制，立法数量也较少，即使有部分相关规定，也规定得较为粗疏。

3、对个人信息主体的权利规定不充分。《政府信息公开条例》规定，公民有权申请向政府申请相关的信息公开，当登记的个人真实信息错误时可以请求修改，这是法律上对个人权利保护上的一大进步。但是，除此之外对公民个人信息权的相关规定就甚少，在公民自身信息被行政机关收集时是否有明确知道用途的權利？是否有决定个人信息是否被收集的权利？以及要求相关信息收集者对自己的某些信息予以保密的权力？

4、个人信息跨国流通领域的立法空白。在国内领域个人信息的保护的立法虽然存在不足但是还算有法可依，然而行政领域个 人信息跨国流通领域的立法几近空白。在经济全球化的时代背景下，互联网的发展使得信息也全球化，如果对个人信息跨国传输不加以限制，不特定信息主体的权益会遭受到跨国的侵害，我国主权有被干涉的危险，进行适度的立法规制是需要的。

三、完善我国个人信息的行政立法保护

1.立法模式选择。国外的立法模式主要有欧盟是国家主导的立法模式和美国采取分散立法和政府引导下的行业自律，日本则是参考了欧盟的立法模式和美国的立法模式基础上的政府立法和行业自律的有机结合，外形上类似欧盟立法模式，实际上采纳了许多美国的做法。每个国家的立法模式都有各自合理的地方，都有适合自己国家的国情。我国目前关于个人信息法的草案有三部：周汉华教授主持；齐爱民教授

拟定；黄进和齐爱民教授共同主持。这些草案也都是充分吸收、借鉴欧盟和美国的做法，将两者的长处结合，和日本的做法比较类似，赞成这种政府立法和行业自律的有机结合的模式。

2.明确信息管理者的义务。行政主体在收集个人信息时，应该做到告知信息主体收集个人信息用途的义务，以及明确收集信息的范围，在保管过程中应该做到保密和安全的义务，对个人信息不随意泄露并且采用技术手段予以安全保护，防止黑客的入侵盗取或者修改公民个人信息，在处理个人信息时，做到经信息主体申请向信息主体公开的义

务，处理程序要公开透明。非行政主体的信息管理者主要是商业及企业机构等，他们的主体多而杂，在收集公民个人信息时首先应该明确是否具有收集资格，只有经过批准的或者是有关机关登记的企业才能进行信息收集工作。在收集过程中遵守相关原则，如目的明确，过程公开等。其次，对于收集来的个人信息只能合理利用不得非法买卖，并且要设置技术型手段对收集而来的个人信息予以严加保密，避免因疏忽的泄露导致公民的损失。最后，在向第三人转送信息时，应该告知信息主体其用途并且要经过信息主体的同意。

3.明确个人信息主体的权利。个人信息主体所具有的权利被称为个人信息权，保护个人信息的目的是保护个人权益，因此，明确个人信息主体所具有的权利至关重要。借鉴齐爱民教授的观点，个人信息权应该包括：信息查询权，即信息主体得以就其被收集、处理与利用的个人信息进行查询的权利。信息更正权，是指作为信息主体的自然人发现个人信息错误、过时或者不完整时，有权请求信息管理者更正、更新或者补充。除此之外还有信息决定权，信息删除权，信息封锁权和信息保密权。

4.个人信息跨国流通的立法设想。不同国家对待个人信息的跨国传输的态度并不同，以美国为代表的国家主张自由流通原则，强调个人信息在国与国之间自由流通，而信息技术欠发达的国家则主张对信息实行限制，这两种方式都有些欠妥，太自由则不利于个人信息的保护，太限制又不利于经济的发展，造成国家孤立，我国作为一个发展中国家，信息流通太自由或者太限制都是不可取的，因此，选择《OECD 个人资料保护建议》确立的自由流通和合理限制原则是比较合适的。在确立原则后对具体对从事信息跨国传输的非国家机关进行事先的登记和审核，经批准才可以从事。对其传输的内容设立相应的监管机关进行审查，经过许可方可进行跨国传输。对于从事跨国传输的登记记录通过网络的方式进行公告，对于涉及个人信息主体的信息，提供给可供查询的途径。最后是设定惩罚和救济制度，对违法经营者，予以撤销许可并在互联网上公告。个人信息受到侵害的当事人可向监督机构进行投诉，并作出相应的处理。