我国个人信息安全保护的立法思考.docx

1、我国个人信息安全保护的立法思考我国个人信息安全保护的立法思考论文摘要：个人信息的安全问题随着现代信息技术的不断发展日趋凸显，目前全球已有多个国家和地区对其进行专门的立法保护，其中美、德、日三国的立法模式最具代表性。出于种种原因我国尚无一部完整的个人信息安全保护法，立法的欠缺是导致现今我国个人信息滥用的重要原因之一。因此，本文通过对比分析美、德、日关于个人信息法律保护的优缺点，就我国个人信息安全保护的立法模式、基本原则与目的、权利义务规定等方面提出具体的立法建议。论文关键词 个人信息 立法模式 法律保护伴随着信息技术的不断提高，各种新型利益不断出现，个人信息作为一项无形资产已成为现代信息社会的一

2、种重要资源。然而最近几年我国个人信息泄露情况严重，尚无一部完整的关于个人信息安全保护的法律且目前相关法律不完善，难以对个人信息起到有效的保护作用，因此完善个人信息安全保护的法律制度显得尤为迫切。一、国外个人信息安全的立法评析现今国际大约存在以美国、德国、日本为代表的三种立法模式。美国模式大体可以总结为分散立法与行业自律相结合，在公领域制定单行法进行分类保护，如1998年的儿童网上隐私保护法；在私领域则采取行业自律模式，在政府主导下制定行业准则，通过自我约束保护公民的个人隐私。德国模式则是在公私领域对个人资料采取统一立法模式进行保护，其于1977年制定联邦数据保护法对公私领域进行统一规范，同时又

3、制定了适用于所有洲个人资料保护的法律即洲数据保护法，并设立独立的监督机构。日本关于个人信息的法律保护模式是建立在美、德模式之上，兼具统一立法规制与行业自律特点，即采用综合性的保护模式。日本于2005年实施个人信息安全保护法并将其作为个人信息安全保护的基本法律对公私领域进行统一保护。除此以外，还分别针对不同部门、特殊行业制定个法，形成以个人信息安全保护法为基本法，各部门单行法为补充的法律体系。同时，在行业规范方面，日本吸收美国的行业自律模式，如采用PMARK认证机制，替代争端解决机制。以上三种模式侧重点不同，但都有其合理性。美国模式相对来说较为灵活，在保护个人隐私的同时又能够促进信息的流通。分散

4、立法与行业自律均为针对特定行业制定具体规则，因此更具体和可操作。德国模式则将个人信息安全置于国家的统一保护下，具有规范性与强制性，有利于对个人信息安全的全面保护。但是，强调保护的单一性则相应的会引起弊端。美国模式将个人隐私保护的主导权交予企业促进市场发展的同时，企业也可能为追求利益最大化而采取规避政策的手段侵犯个人信息安全且分散立法易造成司法的不统一。而德国的统一立法模式难以避免僵化的问题，在一定程度上导致个人资料无法充分流动从而影响企业和社会的发展。同时由于各国的保护原则不同，个人资料进行跨国转移时易引起国与国之间的分歧。日本的综合保护模式同时兼具美、德特色，但又与之有所区别。没有一味迎合德

5、国的对个人信息的全面保护又注意到行业自律的不足，客观的说是两者的折中，具有宽泛性和适用性特点。但是，日本对于个人信息的保护也有一定局限性，个人信息保护法对于保护对象和规制对象定义不够严谨使很大一部分日本民众对于个人信息的保护问题过于敏感，反而影响了正常的信息交流活动。如在这部基础性法律中对个人信息的处理者的定义规定不够充分，其规制对象为5000件以上的个人信息的持有者，即对数量做出限制而不是规定对个人信息的持有必须合法，以数量为规定易将个人信息的保护范围扩大化使得有益的个人信息采集变得困难。二、我国个人信息安全法律保护的现状由于历史等诸多原因，我国目前没有出台一部专门的关于个人信息安全保护的法

6、律，直接保护个人信息安全的法律数量很少，现有法律对其的保护主要为间接方式，即在个人信息相关的范畴给予局部立法。主要见于以下几个方面：在民事法律方面：民法通则规定：公民享有姓名权，有权决定、使用和依照规定改变自己的姓名，禁止他人干涉、盗用、假冒等；在刑事法律方面，刑法修正案规定：国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；在行政法律方面行政诉讼法规定人民法院审判涉及个人隐私的案件可以不公开审理等；宪法方面，宪法规定：公民的人格尊严不

7、受侵犯、公民住宅不受侵犯、公民享有通信自由和通信秘密的权利等。现有法律制度并不能很好的保护个人信息的安全。主要存在以下几个方面的问题。首先，相关概念界定不清。如对于“个人信息”范围未加明确规定从而易造成信息泄露案件取证及责任认定困难，司法实践时可操作性差等。其次，惩罚力度过小，难以起到警示作用。如我国刑法修正案处以非法获取公民罪三年以下有期徒刑或者拘役，并处或者单处罚金，同犯罪分子丰厚的经济收益和巨大的社会危害相比，处以三年以下有期徒刑显得惩罚力度过小，难以对犯罪分子起到有利打击与警示世人的作用。再次，没有建立相应的民事补偿制度。对于滥用个人信息的责任仅仅停留在刑事责任和行政责任上，忽视个人信

8、息泄露后对权力主体可能造成的经济损失，没有建立一套完整的民事补偿机制。最后，现有法律还存在效力层次低、系统性差的缺陷。现行法律多为地方性、行政性法律，层次效用较低且往往是针对特定的部门、地方以及个人信息的某一方面，缺乏系统性。三、结合国外立法经验对我国个人信息安全保护立法所做的思考立法模式鉴于我国具体国情和历史背景，笔者认为我国应当借鉴德国的统一立法模式，在公私领域制定一部基础法律对个人信息安全进行统一立法保护。首先，从我国法律自身特点来看，我国法律文化深受大陆法系的影响，对大陆法系的接受相对容易。其次，从我国现实国情来看，现阶段个人信息安全受到威胁的来源主要在两个方面，即政府机关内部及其他个

9、人信息处理者，因此出台一部既适用于政府内部，又适用于其他个人信息处理者的法律显得尤为迫切。美国的行业组织经过长期发展已相当发达，为了保护市场的发展不受政府约束的限制而对行业组织不进行特别立法转而采取行业自律的方式符合美国国情，而我国市场经济不够完善，行业自我约束的意识等尚存在很大不足，单靠行业自律很难保护个人信息的安全，因此需国家统一立法做出规范。最后，从国际相关发展趋势来看，虽然美国排斥统一立法而更在意市场的自我调节，但其于2000年与欧盟签署的“安全港”协议可视为以美国为代表的行业自律与分散立法模式向以德国为代表的统一立法模式做出的一次让步，因此从整个国际发展趋势来看采用德国的统一立法模式

10、将对我国同欧美国家关于个人信息的交流提供便利，从而有利于促进我国同国际社会的交流与合作。 立法目的美、德、日三种模式的一个共同点就在于其个人信息安全法律的立法目的兼顾了保证公民基本权利和促进个人信息流通与有效利用。因此除了显而易见的保障公民的基本权利的同时，我们也必须注意到个人信息的流动对于社会经济、政治等发展的重要意义。尤其是加入WTO后，中国与国际接轨，更加需要信息的安全、充分的流动。因此，个人信息的立法目的应当兼具以上两个方面。立法原则对于我国个人信息保护的立法原则问题，一些学者认为可以参考OECD所规定的8条原则作为基本标准，即：限制收集原则、资料品质原则、目的明确原则、限制利用原则、

11、安全保护原则、公开原则、个人参与原则、责任原则，笔者表示赞同。因其经过长期的司法实践检验，具有科学性并被许多国家广泛采纳，使用范围广。以其为基本原则有利于与国际统一个人信息保护标准，有利于促进个人信息在国际上的充分流动从而便于国际交流。个人信息安全法律保护中的权力与义务个人信息权是指个人信息本人依法对其个人信息所享有的支配、控制并排除他人侵害的权利，从性质上讲是人格权的一种派生权利，其权利主体为个人信息指向的、可由个人信息被识别的自然人，其权利客体为个人信息权利义务共同指向的对象，即个人信息。1.个人信息主体的权力个人信息主体即可由个人信息直接或间接被识别的自然人。作为个人信息主体的自然人应当

12、享有以下权力：信息决定权，即个人信息主体有权决定个人信息能否、如何、何时、何目的被利用与处理等所有直接或者间接可以控制信息的权力。信息更正权，是指个人信息主体有权对个人信息进行更正的权力，以维护个人信息的完整、真实。信息查询权，即个人信息主体有权查询个人信息以及要求个人信息使用者告知信息的使用等的权力。报酬请求权，个人信息主体有权向个人信息使用者请求因商业使用其个人信息而相应应当获得报酬的权力。损害赔偿请求权，即由于个人信息使用者的不当利用导致个人信息主体的利益遭到侵害并遭到损失时，个人信息主体有权索求经济、精神赔偿的权力。2.个人信息使用者的义务个人信息使用者即为了达到一定的目的而使用个人信

13、息的组织或个人。按性质划分可分为国家机关与非国家机关，其应当承担的义务包括：资格限定，非国家机关出于特定目的需要收集个人信息的，需向主管部门申请以获取处理个人信息的资格。告知义务，个人信息使用者在使用个人信息前应当告知个人信息主体使用的目的、时间等，并接受其监督。安全保护义务，个人信息使用者有义务采取必要的技术手段等来保证个人信息的安全。变更义务，个人信息使用者应当接受个人信息主体对其错误信息的更正与信息变化时的更新等。赔偿义务，对因不当使用个人信息而造成个人信息主体的信息安全遭到侵害时承担相应的法律责任。四、结语个人信息的安全保护问题是我国在社会信息化转型过程中必须面对的，而仅仅通过行业规范、公民个人防护意识等非强制性手段并不能对个人信息的安全起到全面保护作用，只有进行专门立法规制，才能确保个人信息的安全。改革开放几十年来，我国对西方以及周边国家的立法模式、内容等已具有一定的了解，充分分析、借鉴其他国家的立法模式、内容等的合理之处对于制定我国个人信息安全保护法律具有深远的指导意义。