蘭州大學研究生學位論文 論個人信息的法律保護 第一章 緒論 題背景及意義 隨著信息技術的發展與進步，信息在公民社會中的地位也變得越來越重要。個人信息不僅具有人格屬性，還具有一定的經濟價值，這就使得各類經營者大量收集、利用 個人信息。與之相伴發生的是，對 個人信息侵犯的現象大量出現，從 2008 年的網絡暴力第一案到 2009 年的謝新沖出售公民個人信息案再到 2010年三大電信運營商非法泄漏公民個人信息案再到 2011 年的互聯網泄密風波 ， 這些案件都說明 公民 的 個人信息 正在被嚴重侵犯。 個人信息的 大量泄漏， 必然使得公民 平靜的生活得不到保證， 而在現代這個高速發展的社 會，人們都渴望擁有一份自由，擁有 一份免受他人干涉與打擾的 獨立空間。這種狀況的不對稱就要求我們將 個人信息納入 法律保護的范疇。 相比較目前的狀況，我國對 個人信息 的 法律 保護還比較 滯后。雖然我國于2009 年 2 月 28 日通過的中華人民共和國刑法修正案（七）（ 以 下簡稱刑法修正案（七） ） 增加了 “ 出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪” 兩條關于 個人信息保護方面的法律條文 ，但是我國對于 個人信息 的 保護還存在很多不足。首先，在觀念上，我國目前對于 個人信息保護還沒有給予足夠的重視，這使得學界上還沒 有形成成熟 的法律保護的理論基礎。其次，在立法上，我國目前對于 個人信息保護還沒有形成系 統的法律體系，對其保護只是一些零散的規范，這就使得在現實中當 個人信息受到侵害時，沒有確切的法律保護依據。再次，在司法上， 法律規定的模糊或不全面也為 個人信息的保護帶來了很多不便。 所以， 本文 通過對我國 個人信息的相關概念研究，對目前 我國對于 個人信息的保護現狀 進行分析，同時借鑒國內外相關經驗理論，探索適合我國國情的個人信息保護體系，就具有十分重要的現實意義。 究目的及內容 本文在綜合研究國內外相關文獻的基礎上，從憲法、民法、刑法、 行政法等多個法律角度進行分析，以期達到以下幾個目的： （一）在對個人信息概念和特征進行分析的基礎上，進一步分析個人信息與相似概念的區別，確定個人信息的法律屬性 ，找出對個人信息進行保護的必 蘭州大學研究生學位論文 論個人信息的法律保護 要性。 （二）在概括個人信息侵權表現形式的基礎上，分析個人信息遭受侵權的原因， 在概括列舉我國現階段對個人信息進行立法保護的前提下，找出 目前 我國 立法中存在的問題。 （三）在對歐盟、美國、日本等國家的保護模式分析的基礎上，找出適合我國國情的個人信息的保護模式。在分析域外對個人信息 進行 保護的基本原則上，找出適合我國的個人信息保護基 本原則。保護模式的確立，可以為我國立法確立基本框架，而基本原則的確定則可以使在沒有具體的法律規則下，依然有效的保護公民的個人信息。 （四）在對個人信息的現狀進行分析的基礎上，提出相應的法律對策。首先我國應該確立個人信息保護的法律依據，其次，應該設立個人信息法律保護的執法監督機構，再次，完善對個人信息的法律救濟制度，再次，加強對網絡服務商的監督和管理，最后，公民應該加強對個人信息的保護意識。 內外研究現狀 世界對于 個人信息的立法從 20 世紀 70 年代就已經展開。世界上第一部 對個人信息進行 保護的 法律 是德 國黑森州于 1970 年通過的資料保 護法，隨后美國也在同年公布了公平信用報告法，拉開了美國 個人 信息 法律 保護的序幕。此后，世界上的其他國家和地區，也都起草公布了 個人信息保護法。據不完全統計，到現在為止，世界上已經有 60 多個國家和地區制定了 個人信息保護法。 國外對于 個人信息的保護主要有三種模式 ，一種是歐盟的統一立法模式，涉及這方面的主要著作有歐盟于 1995 年頒布的歐盟個人數據保護指令，這個指令涉及到了個人信息保護的方方面面，同時也建立了歐盟進行 個人信息保護的基本框架。其它的有， 2002 年頒布的隱私與電 子通信指令和 2006 年頒布的數據留存指令，這三個指令構成了歐盟進行 個人信息保護的法律主體。第二種模式 是以美國為代表的將分散式立法模式、行業自律模式和安全港模式結合起來使用的保護模式。關于這方面的研究主要有美國于 1970 年公布的公平信用報告法， 1974 年公布的隱私法， 1973 年公布的犯罪控制法， 1980年公布 的隱私保護法 ， 1970 年公布的聯邦公平信用報告， 1978 年公布 的金融隱私法， 1999 年 公布 的金融服務現代法， 1974 年的 公布 家庭教育權和隱私法 ， 1988 年 公布 的錄像 帶隱私保護法 ， 1988 年通過的兒童在線隱私保護法， 1996 年 通過 的電訊法 以及 2001 年制定的健康保險轉移與責任法 等。這些法律形成了一個完整的法律體系對公民的 個人信息進行保護。 蘭州大學研究生學位論文 論個人信息的法律保護 第三種模式 是以日本為代表的統分結合的立法模式。關于這方面的立法主要有日本在 1988 年制定的有關行政機關電子計算機自動化處理個人信息保護法，2003 年制定的個人信息保護法。此外，國外關于 個人信息的主要立法還有英國 1984 年的資料保護法和 1995 年的 據保護指令， 1999 年韓國制定的韓國公共機關個人信息保 護法， 1999 年澳大利亞的隱私法信息隱私原則和 2000 年加拿大的個人數據保護法。 相比較而言，我國對于 個人信息的保護研究顯得 比較滯后。我國目前對于個人信息進行保護的 有 關規定，在憲法、刑法、民法通則、侵權責任法等多部法律中都有體現，但這些都是間接的、零散的、不成體系的保護。而對于個人信息的專項立法，從 2003 年就開始起草， 經過專家和學者的努力，2005 年個人信息保護法 專家建議稿 終于出爐，但遺憾的是，這部法律至今也沒有正式實施。但值得肯定的是， 2009 年 2 月 28 日通過的刑法修正 案（七）規定了 “ 出售、 非法提供公民個人信息罪”和“非法獲取公民個人信息罪”，首次將 個人信息納入了法律直接進行保護的范圍。雖然，對于這兩條罪 名的規定仍然存在很多不足，但仍然是 個人信息保護的一大進步。 雖然，我國對 個人信息保護的立法層面上有很多不足，但學術方面的研究卻一直沒有停止。 目前我國關于 個人信息的學術 專著 主要有：齊愛民教授在 2004年出版的個人資料保護法原理及其跨國流通法律問題研究及 2009 年出版的拯救信息社會中的人格，周漢華教授在 2006 年出版的個人信息保護前沿問題研究， 蔣坡在 2008 年出 版的個人數據信息的法律保護，孔令杰在 2009年出版的個人資料隱私的法律保護以及郭瑜在 2012 年出版的個人數據保護法研究。此外，除了這些專著，還有很多相關的論文，如楊勇的我國公民個人信息安全法律保護研究，羅麗紅的論個人信息的法律保護，周蕾的論我國公民個人信息法律保護，蔣鳳誠的論個人信息的法律保護，李雪寧的論個人信息的法律保護，馮靜的個人信息立法保護問題研究，胡海夢 的我國個人信息的刑法保護，雷譯的論個人信息的民法保護， 杜卉卉的論個人信息的民法保護 ，呂艷濱的論完善 個人信息保護法制的幾個問題，祝蓓蓓的論個人信息的保護以及葉秀敏的淺析我國個人信息保護模式的選擇。 蘭州大學研究生學位論文 論個人信息的法律保護 第二章 個人信息 的相關 基本理論 人信息的概念與特征 人信息的概念 關于個人信息的概念，學術上有幾種不同的觀點。有的學者認為應該采用概括型定義，即用概況的方法對個人信息的定義進行描述，如德國法律對個人信息的定義為“凡涉及 特定或可得特定的自然人的所有屬人或屬事的個人資料 ” ， 這種定義方法可以很好的概況出個人信息的內涵，但它會使得個人信息的范圍變得寬泛。還有的學者認為應該采用概括 列舉型定義，這種定義方式是一種混合型的定義，兼有概括和列舉的特點，目前英國和我國臺灣地區采用的就是這種定義方法。還有一種定義方法是識別型定義，就是以識別為核心來對個人信息的概念進行界定。 從 目前 來看， 我國國內采用 較多的是識別型 定義方式。 筆者也認為采用此種定義較為合適，即個人信息是指個人的姓名、性別、年齡、民族、家庭住址、職業、學位等可以直接或者間接識別個人身份的信息。 值得 一提的是，這些信息大多都是靜態的信息，而有些動態的信息也可能屬于 個人信息。如謝新沖出售公民個人信息案中，謝新沖作為北京京馳無限通信技術有限 公司運維部的經理，于 2009 年 3 月至 12 月，利用中國移動授予其所在公司進行手機定位業務的權限，先后為他人提供的手機號碼進行定位，非法獲利人民幣 9 萬元。在這個案件中 ，謝新沖 就構成了 出售公民個人信息罪。手機定位是指通過特定的技術來獲取移動手機或終端用戶的位置信息，在電子地圖上標出被定位對象的位置的技術或服務。通過對手機進行定位，可以知道被定位人的位置。因為公 民一般不希望他人隨時知道自己所處的位置，所以手機定位信息屬于 個人隱私的范圍，應該屬于被保護的個人信息，是動態的個人信息。 人信息的特征 (一 )主體是自然人 從個人信息的定義可以看出，個人信息的內容具有人身屬性，是自然人的個人信息， 這既是對個人信息進行保護的前提條件，同時也是個人信息的主要特征。 法人是不具有個人信息的 ，因為法人 本身并不能產生個人信息，同時對于個人信息也不能進行直接支配，再有，我國目前有著完備的商法、經濟法等相關法律制度對其進行針對性的保護，如果將法人也納入個人信息的主體范疇，會使得個人信息的保護變得紛亂復雜。所以，目前學術上一般認定個人信息的 蘭州大學研究生學位論文 論個人信息的法律保護 主體只限定于自然人，法人是不能成為個人信息的主體的。 (二 )可識別性 這是個人信息的核心特征 。從定義可以看出，只有能夠識別個人身份的信息才能稱之為個人信息， 這個識別 既包括直接識別，也包括間接 識別。 直接識別就是不需要借助其它的輔助資料而可以直接將信息主體識別出來，比如個人的身份證、檔案資料 、基因 等。間接識別就是需要借助其它的輔助資料才可以將信息主體識別出來 ，比如個人的興趣、住址、職業等 ，這些信息一般不能直接識別信息主體，需要和其它信息結合起來使用才可以進行準確有效的識別。可識別性 構成了個人信息的實質要素。 （三）客觀性 一般而言，個人信息是對個人生活現狀的一種客觀反映。首先，它是根據個人的實際情況產 生，而不是由人主觀臆造的，只有真實的個人信息才具有相應的價值，才能成為法律的保護范疇。其次，一旦個人信息生成就變成了一種客觀存在，可以通過一定的途徑進行保存。正是個人信息的這種特征，才使得它可以 被 處理利用。 (四 )可處理性 即個人信息可以通過一定的方式進行查閱、復制、檢索和其它方式的處理。可處理性是個人信息的形式要素，它是從個人信息的保護角度進行規定的，因為只有具備可處理性的個人信息，才能在社會中進行流轉，從而才有可能被侵害，才需要法律進行保護。 （ 五 ）時效性 個人信息從產生之日起，就一直處于不斷變化之 中 ，比如年齡的增加、家庭住址的變換、 手機號碼的更換等。所以，個人信息不應該是固定不變的，它具有時效性，在一定時期內有效，當超過它的有效期，對于那些過時的、不準確的信息，就應該及時更新，以免給自己帶來不必要的麻煩。 (六 )人格屬性與財產屬性 的并存 個人信息包含著個人不愿為他人所知的隱私， 它與信息主體緊密不可分割，是一種在信息化時代的新型的人格權。 同時， 經過處理后的個人信息， 具有使用價值，可以用于交易， 隨著它的流轉，可以產生 相應的 經濟效益， 所以，個人信息同時也具有一定的財產屬性。個人信息的人格 屬性 與財產 屬性 是并存 的，但從兩者的產生時間上來看，是先具有人格 屬性 的， 隨著個人信息的不斷流轉，才進一步產生了財產屬性。所以， 人格 屬性 是財產 屬性 存在的基礎， 先有人格屬性，其次才產生財產屬性的。 蘭州大學研究生學位論文 論個人信息的法律保護 人信息 與相關概念 的區別 人信息與個人數據的區別 個人數據 來源于歐盟各國的立法，主要指可以識別出信息主體的一切相關數據，它是隨著計算機等現代化技術而出現的一種新的稱謂。個人數據是可以通過人工或機器，以個人信息為內容，進行存儲、處理、傳播的個人信息的物化形式。 個人數據一般分為三種：個人的自然狀況， 姓名、性別、基因、身 份證等；個人的家庭 狀況，父母、子女、配偶等相關情況；個人的社會狀況， 宗教信仰、教育狀況、工作經歷等。 個人數據是以個人信息為內容，對個人信息的一種物化形式。 個人數據只是對客觀事物反映的一種狀態，當它經過加工處理后，就會變成個人信息。 個人信息就通過數據的形式進行傳播。 “并不是所有的個人數據都能夠成為保護的對象，只有具有價值的能夠為人所用的數據，也就是信息，才能成為被保護的客體。” 所以，個人數據是個人信息的表現形式，個人信息是個人數據的內容，沒有個人信息就沒有個人數據，沒有個人數據個人信息就沒有存在的載體，從而無所依存。 人信息與隱私 的 區別 隱私即為個人 的 私生活秘密，是指個人私生活安寧不受他人非法干涉，個人信息保密不受他人非法搜集、刺探或公開，包括私生活安寧和私生活秘密兩個方面。 簡言之，隱私就是指私密的、不愿被他人知曉的個人信息。個人信息與隱私主要有以下兩個方面的區別： （一）內容不同 隱私是指那些個人不愿為他人所知的信息，而個人信息除了不愿為他人所知的信息外，還包含那些可以公開的信息。所以， 從內容上來說，隱私與個人信息既有重合之處，又有不同之處， 隱私 包含于個人信息之中。 （二）特征不同 隱私 是指個人不愿為他人所知道的信息，它重點強調的是個人的秘密空間。它可以不具有一定的識別性，但一定涉及的是個人的私生活秘密，秘密性是它明顯的特征。而個人信息是指能夠直接或間接識別個人的信息，它 不僅包括個人的私生活秘密，還包括 那 些已經公開，為社會所知的信息。 它的側重點則在與識別。 張素華 J】 2005： 36. 張新寶 M】 群眾出版社， 2004： 85. 蘭州大學研究生學位論文 論個人信息的法律保護 （三）法律保護不同 法律對于隱私的保護，主要是 禁止個人隱私的流通，從而達到 保護 公民人格尊嚴 的目的。而 在 不侵犯公民的人格尊嚴的前提下，法律是允許個人信息的自由流通的，即達到保護公民人格尊嚴與信息自由流通的雙重目的。另外，對于隱私的保護，主 要強調的是侵害隱私權的成立要件以及如何進行救濟的問題，而對于個人信息保護，強調的主要是如何進行合理利用的問題。 人信息 的法律 屬性 目前，關于個人信息的法律屬性，學術界依然眾說紛紜，尚未達成一致，主要觀點有以下 三 種： 有權客體說 所有權客體說認為，個人信息能夠被處理、利用，從而產生一定的經濟價值，這種特性近似于民法對“物”的有關規定，因而個人信息是所有權的客體。隨著市場經濟的發展，個人信息發揮的作用也越來越大，擁有足夠的個人信息就意味著擁有著大量客戶，這對一個公司或企業來說，都是至關重 要的。對于資料的采集者來說，獲得個人資料不是目的，而是一種手段，是建立和擴展財源的一種途徑。因此，根據所有權原理，只要不與法律和公共利益相抵觸，所有權人均享有對個人資料的占有、使用、收益、處分權 。 同時，所有權客體說認為，個人信息的所有者應該是生成個人信息的人，無論他以何種方式獲得個人信息，無論他對個人信息的了解程度如何，都沒有辦法改變他對個人信息的所有權歸屬。 私權客體說 隱私權客體說的主要理論來源是美國的隱私權法，該學說認為個人信息是一種隱私，因此在對個人信息進行保護時，應該采取保護隱 私權的方法。對于這個學說，值得注意的是，英美法系和大陸法系對于隱私權的概念規定并不相同。英國學者將隱私權定義為不受他人干涉的權利或不得將他人生活秘密非法公開的權利，美國學者則認為隱私權是私生活不受他人干涉的權利或個人私事不經允許不得公開的權利。與之相對的是大陸法系學者的規定，隱私權是保護免受他人侵犯的私生活和私事秘密的權利。從以上對于隱私權的定義可以得出，英美法系對于隱私權的規定范圍要大于大陸法系的規定 。 在現實中 ， 大陸 湯擎 J】 2000:41. 蘭州大學研究生學位論文 論個人信息的法律保護 法系通常也把個人隱私 納入了 個人信息 的范圍，將其作為個人信息的一部分來對待。 格權客體說 人格權客體說認為，個人信息直接關系到信息主體的人格尊嚴，是一種人格利益的體現，因而對其保護應該采取人格權的保護方式。這種學說以德國法為主要代表，并且主要在 1990 年修改的個人資料保護法中體現出來，個人資料保護法第 1 章一般條款第 1 條規定：“該法的目的是為了保護個人人格權在個人資料處理時免受侵害。” 、 一個人存在于社會上，必然伴隨著大量的個人信息。一旦有人侵犯到信息主體的一些敏感信息如個人隱私，都會擾亂其平靜的生活，對信息主體的人格權造成相應的侵害。 通過分析以上三種學說，筆者認為，人格權 客體說更適合我國的法律現狀。首先，“所有權客體說”對于個人信息的保護并不是很恰當。雖然它關注到了個人信息的財產利益， 但不能就此斷定個人信息就屬于所有權客體。因為，個人信息是依附于個人而存在的，如果沒有個人，個人信息的財產利益、經濟價值就無從實現。所以，“所有權客體說”沒有準確抓住個人信息的特征，忽略了對個人 信息 的人格性因素的考慮。其次，“隱私權客體說”主要是英美法系的理論，之所以不適合我國國情是因為不同文化的差異，使得我國與英美法系國家關于隱私權的范圍規定并不相同，在這種情況下，對于外國的先進立法經驗，我們只能參考，吸取其中有益的部分，而不能生搬硬套，不顧國情一味引進。因此，“隱私權客體說”也是不適合我國法律現狀的。最后，“人格權客體說”對于保護我國個人信息是比較合理的。 在現實中，對于個人信息的處理、利用經常會涉及到個人尊嚴，而個人尊嚴正好是人格權的一種。人格權作為人的一種基本權利，其目的就是為了維護主體的基本存在，為主體從事其它社會活動提供充分的保障。將個人信息歸納為人格權，可以更好的維護個人的基本權利，為個人信息提供更充分的保護。目前，該學 說已經得到了我國法學學者的普遍認可，很多國家和地區的個人信息法律 保 護也都采用了“人格權客體說”。 個人信息進行保護的必要性 （一）保護個人信息是發展經濟的要求 現階段我國個人信息被侵犯的狀況越來越嚴重，從上文中的謝新沖非法出售公民個人信息案，到 2010 年的北京最大非法出售、提供、獲取個人信息案，再到 2011 年的年底我國互聯網遭遇史上最大規模的用戶信息泄露事件。這些不斷發生的事件，使得公民對相關部門的信任逐步降低。在 2012 年 3 月 15 日舉行的 蘭州大學研究生學位論文 論個人信息的法律保護 個人信息保護大會上，一份個人信息保護政策測評報告，可以說明公民的滿意度、信任感正逐步降低。這份報告中的“ 2011 年個人信息 保護政策網站分類平均得分排名”顯示， 銀行網站得分僅 31 98 分 (滿分 100 分 )，成為電子商務、招聘網站、婚戀網站和游戲網站等 7 個測評分類中得分最低的網站類型。 而銀行對于國家經濟的發展有著舉足輕重的作用，加大力度保護公民的個人信息，提高公民對相關部門的滿意度、信任度，才能更好的發展經濟。 （二）保護個人信息是維護社會安定的要求 個人信息的泄漏，使得公民的生活受到了嚴重的影響，公民不僅要承受無休止的垃圾短信，甚至還可能因此帶來經濟或身體上的傷害。一些詐騙集團會利用泄漏的個人信息進行詐騙，有的甚至在知道個人的家 庭住址后，會去偷竊搶劫，這些都嚴重影響到了社會安定。在 2012年 3月 15日舉行的個人信息保護大會上，同時還發布了一項關于個人信息的調查報告。在被調查的 2500 多名公眾中，有60的被調查對象遇到過個人信息被盜用等問題， 66以上的人認為應該加大力度打擊非法獲取個人信息的行為。 而 2009 年的一項關于公眾對個人信息濫用危害的認識中，有 人認為個人信息的濫用已經影響到生活安寧， 人認為會因為自己個人信息被濫用而感到壓力或心情不快， 人認為個人信息的濫用對生命財產安全已經帶來了嚴重的 威脅。 這些數據都說明，只有加大對個人信息的保護，才能更好的維護社會安定，實現社會的和諧。 （三）保護個人信息是維護公民基本權利的要求 信息化 的高速發展 ，一方面給人們的生活帶來了極大的便利，同時它也給人們的生活帶來了不必要的麻煩。個人信息對于經濟發展的重要性，使得它被大量收集、利用、處理。而同時個人信息具有強烈的人身依附性，屬于一種人格權。對個人信息的不恰當使用， 勢必 會侵犯到公民的人格尊嚴、自由和獨立。任何違背信息主體意志而對其個人信息進行濫用的行為都是對人格權的一種侵害。個人信息關乎人的自由和獨立，只有對 其加強保護才能更好地促進個人的全面發展，維護公民的基本權利。 （四）保護個人信息是發展我國電子商務和電子政務的要求 隨著信息化技術的發展，電子商務在經濟發展中正發揮著越來越重要的作用。在進行網上交易的過程中，商家會在消費者知情或不知情的情況下收集公民的個人 信息，然后對收集到的這些信息進行不合理利用，給一些消費者帶來很多 鄒慧穎 J】 2012（ 13） :26. 鄒慧穎 J】 2012（ 13） :26. 呂艷濱 R】 京：社會科學文獻出版社， 2009（ 02） :363 蘭州大學研究生學位論文 論個人信息的法律保護 的麻煩 ，所以很多消費者會放棄網上交易以保護自己的個人信息，這樣就制約了電子商務的發展。同樣，沒有完善的個人信息保護體系，就難以發展電子政務，不利于建設高效、透明的政府。高效、透明的政府要求政 務信息的公開，但有些政務信息 又 會涉及 到 公民的個人信息，這 就 必然涉及到個人信息的保護問題。如果不解決個人信息的保護問題，可能會導致政府以保護公民的個人信息為名而拒絕公開政府信息，又或是在公開信息的過程中侵害到公民的個人信息。所以，電子商務和電子政務的發展都要求盡快建立完善的個人信息保護體系。 （五）保護個人信息是促進國際交往和合作的要求 隨著我國加 入 內市場和相關行業的陸續開放，使得我國加快同其他國家的經濟合作和交流已成為必然。然而，如果我國不能有效的保護個人信息，則勢必會成為我國與他國經濟交往中的一 個新的貿易壁壘。由于個人信息的重要性，各國都致力于加大力度對其進行保護。當前進行國際貿易的一條基本原則就是“沒有隱私就沒有貿易”，歐盟的立法就規定，只有第三國在個人信息方面達到了足夠的保護水平，才能許可信息向該國傳輸。可見，一個個人信息保護法制不健全的國家，在國際經濟交往中必然處于劣勢地位，這也使得我國一些大型企業在國外開拓市場時，被禁止收集當地客戶的個人信 息，使得在當地的市場競爭中完全處于不利地位。所以，為了在國際 交往中占有一席之地，為了使得我國在國際市場競爭中處于有利地位，為了加大國際交往和合作，我國必 須加大對個人信息的保護，建立完善的個人信息保護體系。 蘭州大學研究生學位論文 論個人信息的法律保護 第三章 個人信息現狀及存在 的 問題 人信息的現狀分析 人信息 遭受 侵權的表現形式 在商業化的今天，個人信息因為其自身的特征，發揮著越來越重要的作用，對于公司和企業來說，掌握個人信息就意味著掌握了客戶，所以，擁有足夠多的個人信息是每個公司和企業的目標。在這種利益的驅使下，個人信息被侵犯的現象越來越嚴重。在 2009 年 2 月版的中國法治發展報告 2009）中就收錄了一篇題名為個人信 息保護現狀調研報告的文章。在 這篇文章中，列舉了目前個人信息受到 侵害的八種表現形式： （一）過度收集個人信息 現在 很多公司或商家為了更好的掌握客戶資料，都會要求客戶填寫很多與辦理業務無關的個人信息。如一些客戶在辦理會員卡時，會要求填寫婚姻狀況、身份證號碼、工作單位等。 （二）擅自提供個人信息 即未經信息主體的同意，而 將信息主體的個人信息提供給他人使用。如保險公司、銀行等機構之間 在未經客戶同意的情況下共享客戶信息。 （三）擅自披露個人信息 即未經信息主體同意，而擅自將其個人信息公布于眾。如學校擅自披露學生的一些私密信息，交警部門擅自將違 反交通規則的行人的個人信息如姓名、住址、工作單位等公布于眾。 （四）超目的使用個人信息 即有關部門超出掌握個人信息的目的而加以利用。如電信公司在掌握客戶手機號的情況下，不斷向客戶進行套餐推銷。 （五）個人信息被冒用 即在信息主體不知情的情 況下，個人信息被他人冒用并辦理有關業務。如冒用他人身份辦理手機號碼 ，再如 2009 年羅彩霞被她人冒名頂替上大學。 （六）掌握的信息不準確 即有關部門對于掌握的個人信息沒有及時更新，從而帶來很多不必要的麻煩。如民政局對于公民的婚姻狀況掌握不準確，導致有人多次辦理結婚登記， 呂艷濱 R】 . 中國法治發展報告 社會科學文獻出版社， 2009（ 02） :356蘭州大學研究生學位論文 論個人信息的法律保護 給當事 人帶來很大痛苦。公安機關對于公民的身份證號掌握不準確，導致出現重號現象，給公民的生活帶來很多不便。 （七）個人信息保管不善 即有關部門對于掌握的個人信息保管不善，從而導致個人信息泄露，給當事人帶來很多 的 不便。如 某網站由于技術方面的漏洞， 從而 導致大量個人信息泄露。 （八）非法買賣個人信息 即有關機構對于已經掌握的個人信息，在未經信息主體同意的情況下，非法出售給他人，嚴重侵犯公民個人信息的行為。如前文中提到的謝新沖非法出售公民個人信息案，再如 2012 年的 12 5 打擊侵犯個人信息專案。目前，非法買賣個人信息的行為 ，已經形成了一個完整的市場鏈條，正在不斷侵蝕著公民的權利，社會的穩定。 當然，這八種方式并不能完全包含我國個人信息的侵權形式，隨著互聯網技術的發展，網絡中的 侵權現象也愈演愈烈。例如，近幾年出現的“人肉搜索”，雖然 可以在最短的時間內找出事情的真相，但同時它也成為了侵犯個人信息的一個手段。通過“人肉 搜索 ”，可以在很短的時間內找到 被 “人肉”者的姓名、電話甚至住址、工作單位，嚴重破壞了公民個人生活的安寧。 人信息遭受侵權的原因 （ 一 ）現有的法律制度和理論不完善 目前，我國對于個人信息的保護沒有形成良好 的外部環境，現有的外部環境遠遠不能滿足信息社會的發展要求。首先，從立法規模上看，我國沒有完整的個人信息保護體系，現有的相關立法大都分布比較分散，內容也相對較為獨立，在廣度和深度上都 不 能對個人信息起到良好的保護作用。大多立法 也 都 是只重概括而沒有對個人信息保護進行細化規定，這就導致這些法律法規在實際中缺乏操作性，無法提供有力的保護。其次，從執法方面看，政府為了日常的行政管理工作，掌握一定的個人信息是必要的。 但是，由于缺乏法律規定 ，使得政府在執法過程中，會出現侵犯個人信息的情況，給公民帶來了很大麻煩。最后，從司法 方面看，我國現 有的間接保護模式沒有辦法為個人信息提供充分的保護。當個人信息受到 侵害時，司法機關也大多是按照隱私權、名譽權等情況來處理， 而這種保護力度 是遠遠不夠的。 （ 二 ）對網絡服務商的監督管理力度不夠 網絡媒體的發展，在帶給人們生活 便利的同時，也使得大量的個人信息被泄漏和非法利用，對個人的安全、 社會的安定帶來了一定程度的威脅。而目前 蘭州大學研究生學位論文 論個人信息的法律保護 我國對于網絡的規定多是從泄漏國家秘密、知識產權等方面進行的，對于個人信息的保護則很少。立法方面的不足，使得很多網絡服務商有機可乘，侵害公民的個人信息。同時，我國的互聯網行業自 律不成體系，不能從內部對互聯網起到一種很好的約 束作用。這些都使得互聯網侵害公民個人信息的行為愈演愈烈。 所以，加強對網絡服務商的監督管理就勢在必行。 （ 三 ）公民個人保護意識的薄弱。 由于我國關于個人信息立法的滯后，公民對于個人信息的保護意識并不強，在現實中，經常會不自覺地泄漏自己的個人信息。如，上網申請賬號、辦理各種會員卡及銀行卡、網上購物等，這些情況下商家會要求公民填寫個人信息，如果商家管理不善，這些信息很有可能遭到泄漏或被非法利用。再有，在現實中，公民經常會接到一些騷擾短信或電話，在這種情況下，大部分的人 都會選擇置之不理，從來沒有想過自己的信息已經遭到泄漏，應該采取一些措施進行補救。所以，我國公民應該加強自我個人信息保護的意識。 人信息的 立法 保護現狀 人信息 保護的相關 法律 條文 我國目前還沒有針對個人信息保護的專門立法， 雖然對于 個人信息 進行直接保護的法律條文很少 ， 但是 我國還是 存在很多對個人信息進行間接 保護 的法律條文 。 憲法是我國的基本大法，在憲法中對于個人信息給予了保護。如憲法第 38 條中規定公民的人格尊嚴不受侵犯； 第 39 條規定公民的住宅不受 侵犯；第 40 條則將公民的通信自由和通信秘 密納入了保護的范疇。 民法對個人信息同樣做出 了間接性的保護。 民法 通則 的第 100 條，第101條以及第 102條分別對 公民的肖像權、名譽權和榮譽權進行了有關規定 。 侵權責任法 的第 2 條對公民的姓名權、名譽權、榮譽權、 肖像權和隱私權進行保護，規定侵害這些權利，要承擔相應的侵權責任； 第 36 條對網絡用戶、網絡服務提供者利用網絡的行為做出了一定的限制，對于個人信息的保護有一定的作用； 第 62 條規定了患者的隱私權，醫療機構及工作人員應該為患者進行保密。 我國的三大 訴訟法 同樣也 存在 相關法律 條文 來對 公民的個人信息 進行保護 。訴 訟法的保護主要體現在對于涉及 個人 隱私的案件實行不公開審理 制度。如， 民事訴訟法第 66 條規定了證據的出 示制度，其中規定對于涉及個人隱私的證據應該保密。 刑事訴訟法第 152 條也規 定了對于涉及個人隱私的案件實行 不公開審理的制度。而 行政訴訟法在第 45 條同樣規定了 人民法院在審 蘭州大學研究生學位論文 論個人信息的法律保護 理 涉及 個人 隱私的行政案件 時 ，不 予 公開審理。 2009 年 2 月 28 日公布實施的刑法修正案（七），其中增加了對公民個人信息的保護條款 ，在 刑法 第 253 條后增加了一條，作為第 253 條之一。新條文的內容如下：“國家機關或者金融、電信、交通、教 育、醫療等單位的工作人員， 違 國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處 3 年以下有期徒刑或者拘役，并處或者單處罰金。”“竊取或者以其他方法非法獲取上述信息，情節嚴重的，依照前款的規定處罰。”“單位犯前兩款罪的，對單位判處罰金，并對其直接負責 的主管人員和其他直接責任人員，依照各該款的規定處罰。”這就是本文在第一章所提到的“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”。該條文對個人信息給予了明確的保護，對于個人信息的保護來說是一個很大的進 步。 除了直接保護外， 刑法 還有許多法律條文 對個人信息 給予了間接保護， 如刑法第 245 條就對公民的身體、住宅進行了保護，當侵害公民的這些權利時，應該受到相應的刑罰制裁；第 252 條則對公民的通信自由權利就行了規定。刑法作為保障人權罪嚴厲的手段，在保護個人信息的過程中，發揮了重要作用。 除此之外，我國的一些單行法律對于個人信息的保護也做出了一些規定。如居民身份證法 第 6 條就規定了公安機關及人民警察在職務工作中對獲得的公民個人信息，應當保密。護照法第 12 條也規定，護照簽發機關及工作人員 對 在工作中獲得的公民個人 信息，應當保密。 未成年保護法第 30 條規定，任何組織和個人不得披露未成年人的個人隱私。婦女權益保障法第 39條也規定了婦女的名譽權和人格尊嚴受法律保護。另外，商業銀行法規定了商業銀行應當為存款人保守秘密的原則。郵政法規定郵政企業和郵政工作人員應當為用戶保密，不得向他人提供用戶的郵政業務使用情況。 律師執業行為規范規定了律師必須為委托人保守個人隱私。執業醫師法規定醫生不得披露患者的健康信息。 除 了相關的法律規定外， 還有相關司法解釋的規定，也對保護個人信息起到 了一定的作用。最高人民法院在關于 貫徹執行中華人民共和國民法通則若干問題的意見（試行）中，就對個人信息的保護進行了規定：第 139 條規定了公民的肖像權受到法律保護，第 140 條規定了個人的名譽權受到法律保護，第 141 條則對公民的姓名權、名稱權進行了法律保護 。 人信息 法律 保護 存在的問題 （ 一 ）個人信息法律保護范圍狹窄 蘭州大學研究生學位論文 論個人信息的法律保護 通過對上訴相關立法的分析可以看出，我國對于個人信息的保護主要是通過對隱私權的保護來間接實現的，對于個人信息的直接保護則很少，而隱私的范圍相較于個人信息 而言 小很多， 隱私只是個人信息的一個部分，這就使得對個人信息的保 護范圍縮小了很多 ，在侵權發生后，不利于權利主體進行法律救濟，不能完整的保護信息主體的合法權益。 （ 二 ）缺少統一的 法律 保護體系 從目前我國的立法狀況來看，對于個人信息進行保護的法律分布比較分散，內容也相對較為獨立，大部分都只涉及到了一個部分，立法內容在廣度和深度上都不夠，不能 形成完整的保護體系。立法的缺失，導致不能在社會上形成一個良好的保護氛圍 。 這同時也導致了個人信息遭受侵害后，尋求法律保護的困難。 所以，現行立法不能滿足對公民個人信息的保護。 （ 三 ）法律法規缺乏操作性 我國現在對于個人信息 保護 的 法律雖然有很多 ，但缺乏綱領性的立法文件，現有的立法文件，也大都 只 重概括而 沒有 對個人信息 的 保護進行細化規定，導致這些法律缺乏具體的操作規范。而對個人信息進 行直接保護的刑法修正案（七），雖然制定了兩個罪名打擊侵犯 個人信息的行為， 但 仍然存在很多不足。首先，它沒有對個人信息的概念進行規定，導致保護對象的不明確。其次， 對于“非法提供”“非法獲取”的行為方式規定不明確，這里的“法”應該指個人信息保護的法律，但我國目前尚沒有統一的立法保護 。 再有第二條里的“竊取”很容易理解，但“其他方法”則規定不明確， 這都會給 法律執行時會帶來很多不 便。最后 ， 對于法條中提到的“情節嚴重”沒有做出具體的說明，這又導致了在適用法律時的不 明確。 （ 四 ）補償救濟機制不夠完善 我國目前的法律規定大多缺乏靈活性，只規定了個人信息 需要受到保護，但對于被侵害后的救濟機制規定不甚明確。這就導致對個人信息的保護大都停留在法條上，而不利于實踐中的操作和執行。從保護手段來看， 雖然 刑法對于制裁 侵犯 公民 個人信息的行為 尚有很多不足，但是它做出了具體的救濟措施。在現實中，政府機關掌握了大量的公民個人信息，當政府侵害了公民的個人信息時，被害人也可以通過行政救濟的手段來進行救濟。但是，在 民法方面，卻沒有建立相應的民事責任和補償機制，這導致公民的財產及非財產 在 受到損害時得不到實質性的補償。 （ 五 ） 缺乏個人信息跨境流通的規定 隨著國際經濟交流與合作的加強，我國為了發展經濟，必須加入到國際經濟交流中去。而跨境流通的個人信息對于跨境公司的發展有著重要作用，很多 蘭州大學研究生學位論文 論個人信息的法律保護 國家特別是一些發達的歐美國家都對個人信息的跨境流通做出了許多法律規定。由于我國法律目前沒有關于個人信息跨境流通的規定，就使得我國在國際貿易中受到了很多限制。我國企業既無法接受歐洲數據處理外包，也無法進口歐洲客戶的數據，這嚴重制約了我國對外經 濟的發展。所以，為了我國對外貿易的發展，制定相關個人信息跨境流通的規定就勢在必行。 蘭州大學研究生學位論文 論個人信息的法律保護 第四 章 域外個人信息 保護 現狀 外個人信息保護模式 盟個人信息保護 模式 （一） 歐盟個人信息保護模式 簡介 歐盟是個人信息保護立法的模范和先驅，為世界個人信息安全保護做出了重要的貢獻。相比較于經濟發展來說，他 們 更加注重的是民眾的權利。所以，在個人信息保護問題上，他們的基本立場就是保障人權。 因此， 他們是通過立法的方式 來對個人信息進行保護的。歐盟個人信息保護 模式的基 本特征就是由政府制定統一的法律，并且通過法律來明確規定公民的 各項基本權利以及侵犯公民的個人權利后的補償救濟手段。除了歐盟統一的立法外，他還要求各成員國應該制定各國的國內法，建立統一規范的個人信息保護法律體系。 歐盟的個人信息保護模式也被稱為統一立法模式。 歐盟在 1995 年 頒布 的 歐盟個人數據保護指令就是個人信息保護立法方面的典型代表。 這個指令 幾乎涉及到了個人數據保護的方方面面，它對個人數據進行合法性處理的一般原則、司法救濟、向第三國轉移個人數據、監管機構和執行措施等都進行了規定。 該指令主要想達到以下兩個目的： 1、歐盟內部各國之間，實行最低限度的個人數據保護標準； 2、在歐盟內部，鼓勵個人數據在各國之間的自由流通，禁止歐盟成員國打著保護個人數據安全的旗號，阻止個人數據在歐盟各國之間的自由流通。 同時， 這個指令 還要求各成員國根據此來制定或修訂符合本國國情的個人信息保護法，但都必須達到 其 所要求的最低保護限度。 這 個指令 建立了歐盟進行個人信息保護的基本框架 ，同時對歐盟以外的國家也產生了重大影響，成為世界上眾多國家制定個人信息保護法的一個重要參照。 2002 年歐盟又發布了隱私與電子通信指令， 主要針對的是電子通訊業務。規定電子服務提供商必須采取適當技術和措施來保證系統和服務的安全。 2006 年歐盟又發布了數據留存指令，其目的是協調各國關于數據處理的沖突，實現在尊重當事人權利的同時，還可以兼顧國家及社會的安全，保證數據可以用于對嚴重刑事犯罪活動的調查、偵查和起訴。 以上這三個指令，構成了目前歐盟進行個人信息保護的立法主體，對世界 郭瑜 M】 北京大學出版社 46. 周漢華 M】 法律出版社 232. 蘭州大學研究生學位論文 論個人信息的法律保護 上的其他國家也產生了重要影響。 （二） 歐盟個人信息保護模式評析 歐盟的這種統一立法與各成員國國內立法相結合的 統一立法 模式呈現出以下幾個特點 : （ 1）統一立法。歐盟對于個 人信息的保護都制定了統一的法律，并將個人信息上升為公民的基本人權，這使得個人信息的保護可以明確化、具體化，有利于人權的實現。 （ 2）設立了獨立的個人信息保護機構。該機構在行使保護職權時完全獨立，為公民的基本權利的實現提供了充分的法律保障，當權利受到侵害時，可以得到充分的救濟。 （ 3）個人信息保護呈現出 國際化、統一化的趨勢。歐盟的立法規定，只有第三國在個人信息方面達到了足夠的保護水平，才能許可信息向該國傳輸。這就使得期望于歐盟進行經濟合作的國家，必須制定足夠的法律保護，這在客觀上會促進全球個人信息保護的發展。 歐盟的立法模式對于保護公民個人信息有著重大的作用，但是 它對信息的自由流通造成了一定的阻礙，在一定程度上不利于經濟的發展。實施成本較大，負擔較重。 國個人信息保護 模式 （一） 美國個人信息保護模式簡介 個人信息保護，體現的是 保護 個人權利及促進經濟發展等多元化的價值，歐盟在兩方面的選擇上，傾向于個人權利，而美國更側重的是經濟的發展，其對于個人信息保護的基本立場是反對濫用。所以美國采取了一種較為靈活的保護模式，即將分散式立法模式、行業自律模式和安全港模式結合起來使用的保護模式。