个人信息泄露的事前防范研究

个人信息泄露的事前防范研究

作者：陈丽慧高妍刘演强崔宇华邰凤珍

来源：《法制与社会》2018年第16期

摘要随着大数据和“互联网+”时代的到来，我们的个人信息更大范围地暴露在公众视野内，与此相伴的是个人信息泄露的危险。频频发生的诈骗事件，归根结底是个人信息泄露的问题。本文从监管和行业自律角度入手，对个人信息泄露加以源头管控，在厘清个人信息的概念和内容的基础上，阐述个人信息保护的重要性，进一步从监管和行业自律两方面提出相应的保护措施和防范方法。

关键词个人信息保护监管行业自律

作者简介：陈丽慧，天津师范大学，本科生，研究方向：法学；高妍、刘演强、崔宇华、邰凤珍，天津师范大学。

中图分类号：D920.4 文献标识码：A DOI：10.19387/ki.1009-0592.2018.06.076

一、个人信息的概述

（一）个人信息的概念

个人信息的概念在不同国家和地区有很多不同的表述，而这一概念最早是在联合国“国家人权会议”的“个人数据”的话题中被提出的。对于个人信息的概念，各国对其在语言上的翻译和理解千差万别，因此个人信息的概念也一直没有确定的表述。例如，英语中个人信息翻译为“Personal information”，“信息”翻译为“Information”，但日常又可将其表述为“Record”或“Data”。而将这三个词翻译为中文又可相互替换使用，即将个人信息翻译为个人资料或个人数据意思是相同的。

关于个人信息的概念，目前主要有三种观点：

第一种是个人隐私说，即认为：“个人资讯是指除了关系较为亲密的朋友和亲属外不希望让他人知晓的信息，或是对个人十分敏感又不希望被他人知晓的信息”。此种观点说明了个人信息与个人隐私之间的关系，但并不准确，二者的内涵并不完全相同，且隐私权在各国的具体法律规范中大相径庭。

第二种是识别说，认为：“个人信息是能够用来识别特定人的所有的信息，包括可直接识别的号码或者间接识别的特定人的生理、心理特征等社会身份”。从这里可以看出个人信息的本质特征，即识别性。

第三种观点是关联说，认为：“个人信息时包括一个人全部情况特征的信息，如人的身份、地位、内心等与个人有关的事实”。此观点涉及范围太广，与一个信息主体有关的信息数量庞大，并且有许多信息并不会对主体产生实质影响，则法律对其进行保护的意义也不大。

从“识别说”观点中可以得出个人信息的本质特征是识别性，也是其概念的核心。个人信息保护法所保护的个人信息的法律要件是该信息具有识别性，而不是具有隐私利益。可识别性指整合某个或某些信息即可确定信息主体。若这些个人信息被他人获得和适用，信息主体的人身和财产安全就可能受到侵害，这也正是法律对个人信息进行保护的必要性。“可识别性”对于明确个人信息这一概念提供了标准。

（二）个人信息的内容

可将个人信息的内容分为以下几类：

一是有关人自然情况的信息，包括姓名、性别、年龄、民族、身高、体重等。

二是有关个人社会情况的信息，包括职业、住址、籍贯、身份证号码、电话号码、婚姻家庭情况、学历、宗教信仰等。

三是有关个人财产情况的信息，包括收入、资产、负债等。

四是有关上网情况的个人信息，包括上网活动记录、电子邮箱、聊天记录等。故可将个人信息分为自然信息和社会信息。

二、国内外的比较法研究

（一）外国个人信息安全保护研究现状

1890年，美国学者Samuel Warren和louis Brandeis在《哈佛法学评论》发表论文首次提出了隐私权的概念。此外，美国学者Prosser教授还认为，隐私权是一个发展的概念，是否还有其他利益的侵害可以归入“隐私权”这一属概念，是未来将要考虑的问题。然而并非所有个人信息的公开与控制都是隐私权保护的对象。

德国著名民商法学家迪特尔·梅迪库斯认为德国《联邦资料法》（即德国的个人信息保护法）对信息保护的规定也有发展成为特别（具体）人格权的趋势。

另外，德国学者沃尔夫等人认为个人信息保护法是有关确认和保护纵向处理信息关系中个人权益的法律规范，因此个人信息保护法属于主观行政法，是公权力法。

作为个人信息保护的前置措施，《个人信息保护法》已在欧盟、日本等多个国家制定并有效运行，而作为我们研究重点的行业自律和部门监管方面也均有相应研究成果。

部门监管方面各国普遍对公民个人信息权利和政府部门的监管职能进行研究，如欧盟1995年通过的《个人信息保护指令》则严格划定出监督机关应予以确认的监督四项原则和个人数据主体权利，数据质量原则、合理化处理原则、告知原则及特殊类型数据处理原则；主体权利则涉及查询、不符合指令规则的个人信息处理以及数据主体拒绝的个人权利；美国则于1997年发布“全球电子商务政策框架”明确保护个人信息的两项基本原则，即告知原则和选择权原则。针对行业自律，美国政府积极引导行业自律的发展，制定了建议性行业指引及网络隐私认证计划来督促各行业主动保障个人信息安全；日本政府则研究人格利益为基础的行业自律机制，采用P-MARK认证机制与《个人信息保护法》共同完成完善个人信息安全链条，同时“日本信息处理开发协会”出台的《关于民间部门个人信息保护指导方针》则启动了相应的公司评估认证，认证合格将会获得相应等级的证书；加拿大政府研究私人自治、市场主导的行业自律模式，通过制定“自律性规范指南的发展和应用”建立个人信息保护规则。

（二）我国个人信息安全保护研究现状和立法现状

反观国内，较多学术著作与论文虽涉及到个人信息保护的论述，但多以宏观的角度入手，对我国个人信息保护历程及现状阐述全面深刻，限于在宪法和立法上给予指导意见，提出理论性建议：

一方面，通过制宪、修宪或者违宪审查，确定个人信息的基本权利的地位。又如我国网络与电子商务法学、信息法学的开创者之一的齐爱民教授曾对个人信息的定义进行分析并提出《个人信息保护法》的立法建议。许多学者也发出同样的声援——建议以立法途径来保护信息安全，建立完善个人信息保护法体系以协调个人信息保护和行为自由平衡。

另一方面，确立“人性尊严”的宪法规范的理念，以“隐私消极不受侵扰”和“积极自我支配信息”为保护核心。

以上研究对今后开拓思路、创新完善立法固然具有重要意义，但理论终服务于实践，学者们对司法实践对个人信息保护问题的关注度略显不足，只有明确立法与司法实践之间的关系，本着实践的基础建立起来的法律才能发挥其应有的价值和意义。

另一种方式则是以刑事惩治的手段进而规制；再者，还有一部分学者将研究重点放在行政机关上，认为其收集个人信息时应当采取原则以公共利益优先，兼顾个人利益。诚然，上述的各种研究无疑能为个人信息泄露问题的解决提供理论和实践层面上的参考与借鉴。

立法层面，我国对于个人信息保护没有统一的法律规定，而是散布在部门法中。如《侵权责任法》第2条、36条、61条、62条有关规定，为个人信息侵权的法律救济提供了依据。