我国个人信息安全立法现状分析与立法建议

我国个人信息安全立法现状分析与立法建议作者：刘玲

来源：《科教导刊》2010年第14期

摘要当前我国个人信息安全保护的现状令人堪忧,现有法律法规效力等级低、内容零散,缺乏具体、可操作的规定。缺乏统一的专门性法律已经成为危害个人信息安全的最根本原因。在此背景下,出台《个人信息安全保护法》,建立完善的个人信息安全法律保护体系已经迫在眉睫。本文针对我国个人信息安全保护的立法模式、基本原则、权利义务的规定、个人信息侵权行为的法律责任、个人信息安全监管机构和监管职责等问题提出了自己具体的立法建议。

关键词个人信息安全立法现状分析立法建议

中图分类号:D920.4文献标识码:A

1 国内个人信息安全立法现状

从立法来看,目前我国尚未形成完整的个人信息安全的法律保护体系,个人信息安全内容散见于宪法、刑法和一些民事立法中,部门法中并没有直接承认个人信息权,对个人信息安全的保护范围仅限于个人隐私信息这类敏感个人信息,而且并没有为隐私权提供独立的保护,而是纳入名誉权,在对公民名誉权保护的同时,间接地保护公民隐私权。执行手段也很少,且没有规范数据出口。

2 我国现有立法在个人信息安全保护方面存在的不足

2.1 缺少统一的专门的立法

我国虽然对个人信息安全有了一些间接的或局部的立法规定,但从个人信息保护的要求来看,还是缺乏一部统一的、效力层次高的、专门规范个人信息安全的法律制度。对于哪些信息属于个人信息、哪些信息可以合法使用、对于不正当使用如何追究等根本性问题缺少相应的规范。要用法律规范上述基本性问题,必须要制定专门性法律文件。

2.2 效力层次普遍较低,系统性差,法律法规之间缺乏协调配合

现有涉及个人信息安全的立法规范,最多的是行政法规和地方性法规,效力层次普遍较低,往往是对本部门、本地方涉及个人信息安全的某一方面问题作出规范,缺乏系统性。宪法、民法、刑法等基本法中只有个别法条有关于个人信息的零散的规定,更多的是以司法解释等非正规的形式,并且缺乏配套法律的完备,致使法律规定流于形式。

2.3 个人信息保护范围狭窄

这体现在两个方面:一是需要保护的个人信息范围狭窄。现行立法对个人信息安全的保护范围仅停留在隐私保护的层面,而且对哪些个人信息属于隐私也没有界定。对于个人隐私信息以外的其他个人信息安全,仅关注身份证信息、通信、储蓄账户等敏感的个人信息安全,除此之外的其他大量个人信息的安全保护,尤其反映个人物质生活状态的信息(如个人消费记录等)基本没有规定,这无疑是当前法律保护的空白。二是个人信息保护的责任主体范围狭窄。以《中华人民共和国居民身份证法》为例,该法是目前我国对个人信息安全最直接的立法,但其第六条第三款规定的责任主体只限于公安机关及其人民警察。实际生活中,很多行业需要使用身份证进行实名登记。该法对于工商、银行、电信、宾馆、航空等行业在使用身份证过程中知悉的公民个人信息,却没有规定保密义务。该法第十九条仅把人民警察列为泄露个人信息的责任主体,对其他众多可能泄露个人信息的主体却完全没有规定。

2.4 现有立法保护内容片面

我国现有法律法规对公民个人信息的保护还处于最初级的阶段。除了《广东省电子交易条例》和《上海市个人信用征信管理试行办法》在电子商务和个人信用征信领域立法较为完善以外,其他法律法规对个人信息的保护都是片面的、支离破碎的或者仅仅涉及个人信息流动的某一环节,保护内容无论在深度上还是广度上都远远不能满足人们的实际需要。

从立法保护的权利范围看,立法者对个人信息权的保护仅提出防御性的权利,即防止个人信息或隐私被非法披露和公开;对于积极性质的个人信息权,即个人信息主体的权利,尤其是报酬请求权等财产权,现有的法律法规中几乎没有涉及。

2.5 没有建立民事补偿机制

根据中国现行法律的规定,个人信息受到侵害后,责任主体承担法律责任的范围仅限于行政责任和刑事责任,存在着重“刑事处罚”和“行政管理”,轻“民事确权”和“民事归责”的状况。在目前通过信息网络收集大量个人信息并且非法用于商业用途的案例日益增多的情形下,应该建立一套完善的民事补偿机制,使个人信息遭受侵害后,信息主体的财产及非财产损失能得到实质性的补偿。

3 立法建议

我国在制定个人信息安全的法律法规时,应当兼顾个人信息的“权利保护”与个人信息的“自由流动”,以达到二者之间的和谐与平衡。

3.1 立法模式

笔者认为,我国应该统一交叉立法规范个人信息保护,走他律统—立法模式。同时并不排斥自律。张新宝教授也曾说“就我国而言,国家立法主导模式更符合我国的国情,但同时也要鼓励产业界建立相应的自律机制。”

统一交叉立法模式要求:首先中央层面应尽快出台统一适用的个人信息安全保护的基本法,确立个人信息安全保护的基本框架;在此框架之下,各部门应以此为依据,结合自己部门的特殊性来确立和完善个人信息保护方面的规定。两方面相配合,才能建立比较完善的个人信息安全保护法律体系。

3.2 效力层次

目前已有的个人信息安全法律法规中以部门规章和地方性法规为多数,这些部门规章和地方法规的效力层次较低,直接导致其适用范围和力度的不足。并且由于缺乏级别更高的法律的指引,关于个人信息安全的法律法规系统性差,还没有形成统一、稳定的法律原则,规定之间缺乏必要的呼应和协调,甚至存在着一些冲突和不一致的地方。因此,我国《个人信息安全法》应该是一部统一适用的专门性法律,以宪法为依据,其效力层次应该是高于行政法规、地方性法规和部门规章。

3.3 立法目的

为保证个人信息安全,保障公民的人格利益和财产利益,同时促进个人信息的自由流动应该成为《个人信息安全法》的立法目的。个人信息保护法一方面需要保护个人权利;另一方面,又不能阻碍正常的信息流动,阻碍社会的进步。

3.4 立法原则

我国个人信息保护的基本原则建议以OECD8条原则为蓝本,因为该8项原则科学合理,已成为世界各国进行个人信息保护国内立法所依循、遵守的重要准则。我国遵循8条原则,在此基础上根据我国情况加以修正,有助于同国际通行规则保持一致性。

3.5 立法保护范围

个人信息都是立法保护的范围,但立法保护的程度和方式应根据信息主体的身份不同和信息内容的不同而有所区别。首先,特殊群体的个人信息应作特别规定。通常是指未成年人、名人、公务员的个人信息。由于这些人或属于弱势群体,或属于公众人物,或属于公共利益的直接掌控人,对他们的个人信息的法律保护应不同于一般的社会群体。其次,立法应明确区分绝对禁止收集的个人信息和相对禁止收集的个人信息。绝对禁止收集的个人信息包括裸照、性生活信息、不为人知的重大疾病缺陷等与人格尊严有直接关系的个人隐私信息,一经披露或为他人知悉,就会对主体的尊严、社会评价或精神造成消极影响,因此才需要保密,未经允许不得擅自收