付晓琼 石恩林 王炜

0 引言

随着互联网的普及和人们对互联网的依赖，加上各种恶意程序和黑客攻击，公民个人信息不断泄露，财产损失不断增加，社会和谐稳定遭到破坏。因此研究个人信息安全具有极大的社会和经济意义。如何预防和保障个人信息安全已成为行业的重要研究领域，除了个人要提高保护意识以外，国家也正在积极推进保护个人信息安全的立法进程。

1 个人信息安全危机

1.1 个人信息概念的界定

对个人信息的立法保护，最重要的就是有关个人信息概念的界定。关于公民个人信息的含义，不同的学者有不同的认识与理解，有学者认为其主要是私人信息、私人活动和私人空间领域下的隐私权的保护，2016年《全国人民代表大会常务委员会关于加强网络信息保护的决定》（以下简称《决定》）中规定：“任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。”2016年《电信和互联网用户个人信息保护规定》进一步明确：“电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密，不得泄露、篡改或者毁损，不得出售或者非法向他人提供。”毫无疑问，以上两部法律文件从一定程度上对个人信息的界定提供了一些参考，但还是存在一定的瑕疵，比如，并没有对个人信息的界定有一个明确的标准等。而是否为个人信息，这是法律适用的基本前提，若不是，就不可能是对个人信息权造成侵害，也无需法律的规范了。

伴随着 20世纪70年代计算机技术应用的诞生，个人信息的法律保护制度也产生了。从当时的背景来看，个人信息保护法对个人信息的相关含义进行了限定，可是通讯技术近几十年的飞速成长，互联网技术的大量普及，已经将个人信息保护法的适用土壤彻底改变，信息的获取和数据传输的能力大大增强，同时，数据的控制和处理方式越来越多变，这一切彻底改变了个人信息保护法诞生时的本来面貌，而这些技术的进步带来的最大冲击就是个人信息的边界变得模糊不清，使得界定侵犯个人信息的违法行为变得越来越难。

1.2 个人信息安全的现实背景

互联网作为20世纪最伟大的发明之一，它已经渗透到了人类生活的各个方面。这几年，物联网、云计算以及移动互联网等新技术的发展以及大数据技术的普及，在一定程度上是对传统互联网的一次大变革。同时，这些技术的发展也对每个用户的信息安全带来威胁，这些威胁是在传统互联网环境中所无法比拟的，信息技术场景中的个人信息安全风险远远超出了人们的想象。

据介绍，面对大数据时代的海量信息，我国尚未对其进行立法监管，而大数据并不在“大”，而在于“有用”，它的价值堪比石油和黄金，这就驱使一些掌握和知晓大量个人信息的机构或个人，通过泄密、交易转卖的方式转让公民个人及其他信息。据调查报告显示，目前中国公民个人身份信息 78.2%被泄露，极大地损害了信息主体的权益，导致其身心财物受到很大的损失。2016年以前，我国手机上网人数规模高达6.2亿，在整体网民中，90.1%网民是通过手机上网。截至2015年12月，95.9%的手机网民在过去的一年中遇到过手机信息安全事件。由于手机安全问题花费时间和精力，为此解决的用户占比分别为26.4%和26.1%。造成用户话费、流量丢失或者账户资金丢失等直接经济损失的比例为 8.9%。由此可以看出，大数据时代信息的共享消除了信息鸿沟，但是同样也带来了个人信息安全的相关问题。

1.3 个人信息泄露的危害

根据最新数据，仅2016年，我国公民中使用手机时，有近6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等遭受经济损失约915多亿元；还有更加严重的危害，比如徐玉玉死亡案件、李文星死亡案件等，社会影响重大且恶劣。个人信息泄露的危害毋庸置疑，主要表现在以下几个方面。

1.3.1 对公民隐私权的威胁时代在发展，我们对于各种侵犯隐私权的行为不能还停留在人格尊严损害的层面，更应该关注因为隐私权泄露而造成的各种财产性的损失。虽然它的外在表现形式并没有财产权那样直观，但是在一定程度上，也可以把它称之为“虚拟的财产”，因为它的危害是实实在在的经济损失。比如说，通过非法收集公民个人隐私，进而敲诈勒索当事人或者把隐私信息转手卖给非法组织，直接获取隐私的经济利益。

1.3.2 对公民个人信息权的威胁个人信息权作为一种积极的权利，它既有人格权与隐私权的一面，又包含财产权的内涵，但并不同于所有权，是一种新型的、独立的民事权利。在大数据时代，人们看到的不仅是个人信息权表面的价值，更希望能够充分利用其进行二次加工，挖掘更为庞大的数据链价值。

现阶段，个人信息泄露呈现出一种常态化和多发性的特征，这不仅威胁到网络社会的持续健康发展，同时，由信息泄露滋生的电信诈骗、敲诈勒索等犯罪也肆意侵犯公民个人的隐私权、财产权等人格权益，给公民个人造成了巨大的心理负担，给社会稳定带来了巨大的风险。另外，不法分子利用所掌握的个人信息可以更加有针对性地实施违法犯罪行为，公民个人因为承受的各种安全威胁不断增大而造成恐慌，进而影响整个社会的稳定。

2 我国现行个人信息安全保护立法及其缺陷

2.1 《刑法》对于个人信息安全的规定

个人信息权利是公民在大数据时代享有的一项重要权利，保护个人信息安全，刑法先行。因此，从2009年开始，在刑法修正案中陆续增设关于公民个人信息安全保护的相关条款。其中，2015年11月1日起施行的《刑法修正案（九）》对刑法第 253条之一作出修改完善，修改后，“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”，进而在实体法中明确了侵犯公民个人信息的行为是否属于犯罪。《刑法修正案（九）》施行以来，各级相关机关依据修改后的刑法规定，对于侵犯个人信息的违法行为进行有效监督和管理，加大惩罚力度，进一步加强对个人信息的保护。在上述规定中，虽然规定的内容不是很全面，但对于互联网时代的个人信息保护无疑具有重要意义，不仅是个人信息保护的关键一步，也是社会进步的一个标志。

2.1.1 犯罪主体按照《决定》、《刑法修正案（九）》的规定，侵犯公民个人信息安全行为的主体是：第一，网络服务提供者。信息提供者以技术手段对他人在网络媒介上传播的，以及公民自己发布的个人信息进行收集，随后以交易的方式卖给不法分子而从中获取利益。第二，其他企事业单位。根据国内的情况，企事业单位一般有获取其公司职员个人信息的权限，也有部分企事业单位以不法的方式，秘密获取公民个人信息。第三，国家机关工作人员和其他组织或者个人，其主要是指国家机关、其他组织的工作人员在履行职责中知悉公民的个人信息，应当对其加以保护而没有尽到该义务，泄露、损坏以及出售或非法向他人提供的行为。

2.1.2 犯罪客体侵犯公民个人信息安全的侵犯客体主要是指能够识别公民个人身份和涉及公民个人隐私的电子信息。能够识别公民个人信息是基于自然人的人身属性、人格要素发生的个人信息，涉及公民个人隐私的信息是基于其他电子信息出现，其包含个人生活情报保密权。

2.1.3 犯罪主观方面《决定》、《刑法修正案（九）》规定了侵害公民个人信息的违法行为，从而可以看出，犯罪主体在其主观方面是故意，以牟利为目的运用一定技术手段进行公民个人信息的收集、买卖等。

2.1.4 犯罪客观方面《根据刑法修正案（七）》规定了出售、非法提供公民个人信息罪，犯罪客观方面主要表现为违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售、交易或者非法提供给他人，情节严重的行为。主要有：（1）违反国家关于公民个人信息保护的法律规定；（2）实施了出售、交易或非法提供的行为；（3）情节严重：一般是指出售、交易或者非法提供个人信息的数量大、次数多，获利丰厚，造成一定的社会影响，给公民个人生活或生命财产造成严重损害；或者所出售、非法提供信息被他人用于违法犯罪活动等等。

2.2 两高的最新解释

2017年6月1日起实施的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，《解释》总共十三条，对公民个人信息的相关内涵做了认定标准，对侵犯公民个人信息罪的定罪量刑标准等的明确。然而，新技术、新业务的广泛运用，导致个人信息的收集以及使用方式发生了全新的变化，法律法规以及相关法律解释条文及政策还是受到了技术发展的极大冲击，总觉得有些地方鞭长莫及。

2.3 网络安全方面的立法保护

《网络安全法》的出台在一定程度上弥补了我国个人信息保护法的缺失，但是仍然难以改变我国关于个人信息保护法缺位的现状。只有明确了个人信息保护法的基本内容，并对侵权责任在法律上进行明确的阐释，才能实现前置法律和刑法对公民个人信息的全面保护。2016年11月7日，十二届全国人大常委会第二十四次会议经表决，通过了《中华人民共和国网络安全法》。其中，最值得关注的就是关于个人信息的内容，《网络安全法》中提到“网络信息安全”，对网络经营者对个人信息的保护义务提出了更严格的要求。相应地，对于网络信息安全侵权责任以及法律责任也进行了明确，其行政处罚措施由警告变成罚款一百万元以下不等，填补了对网络运营者的行政处罚的空白。从一定角度来说，“个人信息保护法”还处于成长的初级阶段，但它的出台从最大程度上弥补了个人信息保护在立法方面的缺憾，并为侵犯公民个人信息罪中相关条款的认定奠定了一定基础。

2.4 民法方面的立法保护

如今，我国法律对于个人信息的保护，只有2017 年3月制定的《民法总则》第111条：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人 信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。” 该规定，从立法的层面第一次建立了信息保护的相关事宜，对以后 的立法工作产生了极大的影响。然而，该条文旨在从禁止侵害的层面对个人信息进行保护，并不涉及个人信息的收集、利用，以及个人信息损害赔偿额和程序机制，也没有对个人信息的法律内涵边界予以明确。据此，在对个人信息保护立法过程中出现“个人信息”“个人数据”等多个不同的提法，这不仅给立法者带来困惑，也给司法实践中关于如何界定个人信息的内涵和外延带来了巨大的挑战。《民法总则》初步实施以后，很多现实问题就会像雨后春笋般涌现，希望相关部门及时出台配套解释或实施细则对有关内容加以明确，确保个人信息安全得到很好的保障。

3 域外有关个人信息安全的立法状况

3.1 美国关于公民个人信息保护的立法情况

美国于1974年制定《隐私法》，是保护个人信息最重要的法律，该法主要针对联邦行政机构的行政执法行为而制定，规定了联邦政府搜集与利用个人信息方面应当遵循的程序与规则，防止行政机关滥用行政权力侵犯公民个人隐私。其主要内容对个人信息的收集、持有、储存以及传输的相关原则与具体程序做出的详细规定。还有《公平信用报告法》《电子通讯隐私法》以及《全球电子商务政策框架》等相关法律规定，以隐私权为中心实现对个人信息的民法保护。2015年2月，美国发布了《消费者隐私权利案（草案）》（以下简称《法案》），主要是规范商业环境下的个人信息处理行为，为个人信息保护提供纲领性的基本保障。

3.2 欧盟关于公民个人信息保护的立法情况

1955年10月24日，欧盟议会和欧盟理事会发布了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》，简称《个人数据保护指令》，确立了个人信息保护的基本权利。2001年欧洲理事会通过了《反信息犯罪法》，其主要目的在于惩罚“黑客”的信息犯罪行为，确保信息安全，对于信息犯罪行为、以电子手段进行诈骗以及攻击公共机构、企事业单位或者国防和国家安全的，应当加重处罚。2016年 4月，欧盟委员会发布《数据保护通用条例（草案）》（以下简称条例），该《条例》草案于 2018年 5月生效，由 11章 99条构成，对个人数据泄露通知、设置数据保护官等10个方面进行严格的规范和创新。

3.3 日本关于公民个人信息保护的立法情况

日本的信息化技术发展程度居于世界前列，同时引发的个人信息保护问题也是层出不穷，这也促使日本政府积极推进个人信息保护立法工作的进程。从1975年开始日本政府陆续颁布了一系列和个人信息保护相关的法律，1988年颁布了《行政机关保有的电子计算机处理的个人信息保护法》，它是日本国内最早的一部有关个人信息保护的法律法规。其主要规范对象仅限于国家行政机关，适用范围限于计算机方式的信息处理。2001年，在日本《行政机关电脑处理个人情报保护法》的基础上制定的《个人信息保护法》，在 2005年 4月颁布实施，主要内容包括：个人信息的范围界定、民间企业的个人信息保护义务、个人信息争议的纠纷处理、侵害个人信息的法律责任和民间个人信息保护的自律机制等。2017年5月30日《个人信息保护法》（Personal Information Protection Act，“PIPA”）（修订稿）全面实施，这在个人信息法律保护方面迈出了重要一步。

4 司法实践中对个人信息安全的启示

目前，国内外上已经有很多国家和地区制定了个人信息保护相关法律，其中，欧盟的《通用数据保护条例》和日本的《个人信息保护法》最为典型。目前，我国有关个人信息安全保护的法律依旧存在较大的不足和滞后性，有必要借鉴域外的经验，针对我国现阶段存在的个人信息安全问题作出相应的改进。

4.1 建立个人信息保护的专门法律法规

2017年10月18日，习近平同志在十九大报告中指出，成立中央全面依法治国领导小组，加强对法治中国建设的统一领导。鉴于我国目前缺少在个人信息保护方面的相关规定，为此，强烈呼吁国家研究制定《个人信息保护法》的专门性法律，明确个人信息的相关含义以及救济方式等，有效防止因可操作性差等法律缺陷带来的一系列问题，进而实现对个人信息的有效保护。

4.2 严格法律责任

个人信息的保护和我们每个人息息相关，因此，应该建立和完善对个人信息的保护制度。在刑事责任方面，司法机关不只打击信息泄露者和利用者，还要对信息收集、信息保管部门加大监管，制定相应的信息泄露的追究责任。如果只是打击已经泄露的信息，而不对未泄露还处于保管中的信息加以强有力的监管和保护，那么信息泄露问题就不能根治。在民法方面，我国现行的个人信息保护立法未对侵害个人信息的损害赔偿额以明确。因此，当公民个人信息遭到侵犯后只能按照《侵权责任法》第20条和第2条的规定来确定损害赔偿额。在实践中，侵害个人信息侵害的后果一般比较轻微，遵照《侵权责任法》第22条的规定，权利人无法获得损害赔偿。

4.3 完善个人信息保护的司法救济

就眼下来讲，我国公民的个人信息权在受到侵害后，主要的法律途径就是通过法院提起相应的民事诉讼，由于其信息不对称，被侵害的对象要求谁主张谁举证，从而使得主体举证难上加难。所以，在实际生活中，面对信息泄露和滥用的不法侵害，运用法律的武器维护自身权利的公民少之又少。因此，现有的法律救济方式很有必要进行一些调整和优化，有利于受害人维权。

积极建立事前预防机制措施，对事后救济保护制度也不容忽视。事前预防层面，主要依照宪法规定和民法原则，确立公民个人信息，有效地对公民个人信息进行事前保障；事后救济层面，要更加明确个人信息的责任归属等相关问题，进而为权利人实现司法救济提供有力保障。

4.4 提升公众个人信息安全意识

我国相关部门在个人信息保护方面，尤其在法律宣传和教育方面的工作信息相对薄弱，公民在个人信息保护方面的法律观念和意识比较淡薄。相关部门应借助“全国网络安全宣传周”等时间，合理利用各种传统媒体和多样化的新型网络媒体，广泛开展网络安全宣传活动。另外，还要健全和完善网络安全宣传机制，把网络个人信息立法保护的宣传工作落实到位，让公民意识到法律在个人信息保护中的重要作用。

5 结语

在当前大数据时代，信息在不断地推动国民经济发展，再加上互联网新技术和新应用层出不穷，信息的流动和使用频率不断加快，提高了信息的利用效率的同时也削弱了公民个人信息安全的控制能力。大量个人信息被窃取、贩卖和恶意使用，信息泄露已经成为阻碍互联网健康发展的重要因素。在新时代，大数据是一把双刃剑，一方面给我们的生活带来便利，另一方面因为信息泄露也让我们处于极度恐慌之中。因此，我们要全力以赴，保护好我们的个人信息。■