个人信息保护立法研究

导语：个人信息保护立法研究一文来源于网友上传，不代表本站观点，若需要原创文章可咨询客服老师，欢迎参考。

摘要：信息技术的快速发展已不知不觉把人类推到大数据时代，在享受数据资源带来便捷性与精准服务高效性的同时，风险也将时刻伴随个人信息的收集、使用与转移，尤其近几年来各种类型的网络诈骗等违法与犯罪行为报道较多，立法机关、司法机关和相关部门等分别对网络安全、个人信息问题进行了立法研究，出台了司法解释和各种法律法规。通过学习美国、德国相对成熟的个人信息保护立法模式，结合当前立法形态和国情，我国有必要建立一套系统的个人信息保护立法模式。

关键词：大数据时代；网络犯罪；个人信息

一、“徐玉玉案”引发的个人信息保护立法的思考

2016年8月，山东女孩徐玉玉因被诈骗电话骗走筹措的9000多元学费，悲愤和重压之下不幸猝死，当时引发了社会各界和媒体的广泛关注，虽然被告人已被法律制裁，但类似“徐玉玉案“的受害者在现实生活中不计其数，如何避免此类事件的频频发生。目前，网络诈骗案已经引起我国立法机关、司法机关、公安部等的高度重视。2018年全国两会“徐玉玉“名字出现在最高人民法院工作报告上，五年来审结徐玉玉被诈骗等案件1．1万件，出台办理侵犯公民个人信息案件司法解释，严惩泄露个人信息，非法买卖信息等犯罪行为。随着信息技术的飞速发展和大数据时代的到来，“徐玉玉案”的发酵、热议，越来越多的传统犯罪模式逐渐转变为新型网络犯罪模式，即利用信息数据进行违法和犯罪活动？目前，除了利用个人信息进行电信网络诈骗案外，还存在通过网络精准营销等网络服务形式进行数据盗取和贩卖现象，甚至引发跨境网络诈骗活动。大数据时代数据的流通和使用在为经济增长贡献力量的同时，也为犯罪分子进行新型犯罪活动提供了方便。如何控制？防范？笔者认为有必要进行个人信息保护立法，从源头进行根治，进而从实质上控制犯罪的数量。

二、我国个人信息保护立法现状

当前，我国关于个人信息保护立法工作有待改进。从法律规定内容看，具有较强的原则性但可操作性不足；从立法体系看，相关法律规定散见于各层级的立法文件中，缺乏统领性的专门立法。这为个人信息保护工作带来一定的困境。为此，笔者从国家层面、行业层面分析我国个人信息保护立法现状。（一）国家层面。我国相继出台了一系列与个人信息保护有关的规范性文件，例如：我国《消费者权益保护法》《网络安全法》等。《网络安全法》增加了个人信息保护制度，并作了全面系统的规定。不仅完善了收集，使用个人信息的规则，还强化了个人信息收集，使用主体的保护责任。该法的实施为网络安全和个人信息保护工作作了进一步的强化。此外，我国《刑法》第253条对“侵犯公民个人信息罪”①规定了不同的处罚和加重情节。2017年5月最高人民法院和最高人民检察院联合了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》②列举了个人信息的具体范围，这是两高首次就侵犯公民个人信息犯罪的具体定罪量刑标准出台的司法解释。（二）行业层面。由于法律规范及监管政策存在原则性，模糊化及碎片化，很多政策缺乏落地的细则，这给绝大多数企业个人信息合规工作带来极大的困惑。2017年12月中国国家标准化管理委员会正式《信息安全技术个人信息安全规范》（简称“《规范》”），《规范》一方面明确了企业收集、使用、分享个人信息的合规要求，为企业制定隐私政策及个人信息管理规范指明了方向；另一方面及时地填补了现阶段个人信息保护中诸多技术细节与实操领域的规范空白。

三、现有立法存在的困境

（一）规范缺乏系统化。近年，随着大数据技术与大数据战略发展，与个人信息保护相关规范层出不穷，但是“由于立法部门众多，法律法规系统性较差”［1］，规范间不但难以协同，甚至“杂乱无章”，例如：不同规范使用“网络信息安全”“信息与网络安全”等不同基础概念。2015年实施的《国家安全法》第二十五条将网络与信息概念并列使用，但是同年国务院的《关于积极推进“互联网＋”行动的指导意见》，分别使用“信息安全”“网络安全”与“数据安全”等概念，但是并没有对此作出说明、区别。（二）规范操作性不强部分规范。“规定过于原则，往往只是一个概念或者一个具体要求，通常是禁止性要求”［2］14，一方面过于抽象、笼统的规定，欠缺具体的权利义务分配模式；另一方面，仅仅禁止性要求缺乏相应法律责任的设定，而难以对管理对象形成有效处置。例如：《网络安全法》第四十条规定了用户信息保密义务，但是在规范下文并未有直接对应的法律责任设定。缺乏“法律后果“的规范，大幅度降低义务人违法成本，这不但难以形成对公众有效引导，而且容易使规范变得不具可行性。（三）规范处置手段单一。相关个人信息法律规范，往往“重‘刑事处罚’和‘行政管理’，而轻‘民事确权’与‘民事归责’”［3］，换言之，相关规范所设定的“法律责任”在一定程度上存在“两极分化”表现，即部分规范仅规定义务，却没有设定违反义务需要承担的法律后果；部分规范虽有设定法律责任，但多数规范以“重责追究”，尤其以刑事责任追究。例如：《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定十种“情节严重”定罪类型，“几乎所有侵犯公民个人信息行为都可能直接触发刑事责任。”［2］

三、域外经验与方法论启示

大数据时代前后，探析全球个人信息保护的立法概况具有现实意义。包括美国、德国在内，当下超过50多个国家和地区都制定了个人信息保护的法律规范。笔者选取美国、德国的立法模式进行分析，一则这两个国家对个人信息保护的关注和立法较早，形成了各具特色的立法模式，在个人信息安全领域对其他国家产生了较大的立法影响；一则可以借鉴两国立法经验指导我国未来个人信息保护的立法工作。（一）美国立法保护模式。美国是互联网兴起的发源地，其关于网络数据安全问题研究和个人信息保护方面也具有一定的实战经验，多年来已探索出比较稳定的保护模式，即行业自律模式。这种模式的行为规则及行业标准主要由行业内部所制定，目的是实现行业内部个人信息安全的自我约束和规范。该模式是建立在美国宪法的立法原则基础上，美国公民普遍比较容易接受。其作为美国在个人信息保护方面的主要模式及重要机制，地位显著。（二）德国立法保护模式。德国在个人信息保护的立法可以称得上是世界上最为严格的规定。其在1997年出台的《联邦信息与电信服务架构性条件建构规制法》中规定：任何公司及个人都不能擅对网民个人进行搜集和整理。德国以统一立法模式著称，其最大特点在于对本国的个人信息保护的立法原则，监督机构，损害赔偿等机制一一进行了系统严格的规定。另外，此类模式还采取了分类比较细致的权利救济制度，即将侵害行为区分为民事侵权与行政侵权，并采取了不同的损害赔偿机制。充分体现了德国公民的信息自决权，可谓是个人信息保护立法的范本模式。

四、个人信息保护立法模式研究

2018年全国两会期间互联网行业为首的全国人大代表们积极建言献策，提出个人信息保护立法必须提上日程。美国、德国的立法模式具有自身特色，其立足于本国的实际情况。但由于国内与西方国家存在法律制度和法律文化的差异，应结合目前我国个人信息保护立法的实际需求，借鉴但需谨慎地尽快制定一套符合我国国情的个人信息保护立法模式。为此，笔者从如下方面分析研究我国相关立法模式。（一）完善个人信息保护法律保障体系。个人信息保护相关规范应进一步系统化。具体而言，法规规范以相关概念为基础，因此，完善基础概念的统一是体系建立的前提，例如：现有规范需迫切确定“网络信息”“信息安全”等概念的内涵，并且同步明确概念之间的联系，切忌概念混同，随意适用，以致规范措辞含糊不清。此外，个人信息保障体系应以“信息安全”为核心，从社会、企业等层面，全面设定相关“信息保护”规范，结合基础概念一致，进而使不同层面规范在各不同领域得以延伸，形成体系化。（二）完善执法规范，增强规范操作性。规范创设不但需设定义务性要求与法律责任，还应创设单行法、配套法等相关执法规范，以促进个人信息保护立法落于实处。换言之，意图增强规范操作性，必须在有力证明规范可行性与必要性基础上，结合相关司法实践经历，充分考虑时间、地点、手段、责任等各个因素，形成具事实、行为、后果、价值一体化的规范逻辑，以增强规范操作性。例如：《电信和互联网用户个人信息保护规定》第十五条规定了电信业务经营者，互联网信息服务提供者应当对其工作人员进行用户个人信息保护相关知识、技能和安全责任培训，但是，此条款还需增加对于培训机构资质、师资等相关内容的配套规定，否则，培训义务可能仅是纸面应付型的规定。（三）构建阶梯式处置措施，以行政处置为核心。基于现有个人信息保护方式单一，笔者建议构建阶梯式处置措施。一方面，现阶段涉个人信息保护相关立法，忽视民事规制方式的作用，虽说根据域外经验，美国立法模式将行政处罚作为惩治侵犯公民个人信息行为的最重要法律制裁手段，［5］但是，这并不意味着民事规制方式在个人信息保护领域毫无用武之地。民事规制方式同样可以轻微惩戒手段，以指引部分相关主体对个人信息的保护；另一方面，综合我国法律传统与域外经验，不能轻易以刑事规范打击相关违法行为，刑法规范具有谦抑性，唯有违法行为达到一定利益损害程度，才可入罪。以行政规范处置为主要措施，辅以民事、刑事责任，从而构建阶梯式处置体系。五、结语目前，互联网已是全球最基础的公共基础服务设施。公众通过互联网进行互动交流的同时，伴随着数据的使用与流转，其范围涉及到教育，文化，经贸，医疗和通信等不同领域，并带来了网络安全与数据保密相关的法律问题，这关乎到国家安全、经济社会发展和全球公众的切身利益。因此，完善个人信息保护立法具有重要意义，立法不是一蹴而就，应该理性考量，结合我国现实需求以及立法方向，在拿来主义的基础上，进行创新，建立一套符合我国实际情况的立法模式，来应对个人信息保护以及网络诈骗等新型犯罪模式。

作者:杨芳 李勃 董凤阳 单位:1.黑龙江大学 2.温州大学