第20章 个人信息法律制度(9)

3、居民身份证个人信息保护

由于居民身份证记录了公民的姓名、性别、年龄及常住地址等私人信息，而有权查看公民身份证的又往往是警察。但如果任由警察随时随地检查某人的身份证而不履行相应程序的话，就很可能会侵犯公民的个人信息。为了保护公民身份证上的个人信息，2003年6月的《居民身份证法》第6条第3款专门规定，“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息，应当予以保密。”此外，该法还对非法购买、出售、变造、扣押居民身份证的行为规定了详细的处罚措施，尤其是第19条规定的“人民警察有下列行为之一的，根据情节轻重，依法给予行政处分；构成犯罪的，依法追究刑事责任：…（五）泄露因制作、发放、查验、扣押居民身份证而知悉的公民个人信息，侵害公民合法权益的。”这些措施是对居民身份证个人信息的有力保护。

4、储户个人信息保护

现在信用卡诈骗越来越多，几乎每个人的手机都曾收到过信用卡诈骗的短消息。这往往是由于储户个人信息泄漏造成的。因为公民在银行办理信用卡业务或购房贷款时，往往需要填写一些个人信息，如身份证号、家庭住址、个人电话号码等。这些信息如果银行工作人员把握不严，往往会给储户带来无尽的麻烦。针对此种情况，许多银行内部守则对保护客户个人信息作了相应规定，如1999年3月23日工行颁发的《中国工商银行员工行为守则》第15条规定，“严守客户秘密。对于客户提供的信息资料，员工有保密的义务，以维护客户的合法权益。除依法可以提供或客户同意提供的信息外，员工无权擅自披露客户信息。”《中华人民共和国商业银行法》第29条规定：“商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。对个人储蓄存款，商业银行有权拒绝任何单位或者个人查询、冻结、扣划，但法律另有规定的除外。”

5、公民医疗信息保护

由于病历档案不仅记载了患者的健康状况及治疗过程，还包含了一些患者不愿透露的个人隐私等信息，所以对病人的病历档案进行保护是患者和社会都十分关注的问题。早在1988年12月15日卫生部颁布的《医务人员医德规范及实施办法》中就有“为病人保守医密，实行保护性医疗，不泄露病人隐私与秘密”之规定（第3条）。随后在1998年6月26日颁布的《职业医师法》第22条“关心、爱护、尊重患者，保护患者的隐私”之规定，2002年9月1日实施的《医疗机构病例管理规定》第6条“除涉及对患者实施医疗活动的医务人员及医疗服务质量监控人员外，其他任何机构和个人不得擅自查阅该患者的病历。因科研、教学需要查阅病历的，需经患者就诊的医疗机构有关部门同意后查阅。阅后应当立即归还。不得泄露患者隐私。”之规定，以及2004年8月28日修订通过的《传染病防治法》第12条“…疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料”之规定等。这些都是对公民医疗过程中的个人信息的保护。

6、公民其它个人信息的保护

除了以上信息外，公民还有许多其它个人信息，如档案、统计方面的个人信息。个人档案记录了公民一生中发生的重大事件，这些重大事件是公民十分重要的个人信息，因此个人档案信息的保护非常重要。《档案法》对档案机构的设置、职责以及档案的管理作了许多规定，在一定程度上起到了对个人信息的保护作用。另外，统计也是一项很容易受侵犯的个人信息，为此《统计法》第9条规定：“统计机构和统计人员对在统计工作中知悉的国家秘密、商业秘密和个人信息，应当予以保密。”；第25条规定，“统计调查中获得的能够识别或者推断单个统计调查对象身份的资料，任何单位和个人不得对外提供、泄露，不得用于统计以外的目的。”；第39条规定了处罚措施，即有“违法公布统计资料的”或“泄露统计调查对象的商业秘密、个人信息或者提供、泄露在统计调查中获得的能够识别或者推断单个统计调查对象身份的资料的”由任免机关或者监察机关依法给予处分。

除了以上对不同领域的个人信息的规制外，法律也加大了对侵犯个人信息的处罚力度。尤其值得一提的是，2009年2月28日第十一届全国人民代表大会常务委员会第七次会议通过的《中华人民共和国刑法修正案（七）》。该修正案新增加了“出售或非法提供公民个人信息罪”和“非法获取公民个人信息罪”。即在《刑法》第二百五十三条后增加一条，作为第二百五十三条之一：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”；“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。”；“单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”该条中的第一款被称为“出售或非法提供公民个人信息罪”，第二款则被称为“非法获取公民个人信息罪”。并且，在司法实践中，2010年1月3日国内首次出现了非法获取公民个人信息罪的判例，引起了社会的极大关注。

十、我国个人信息法律保护的不足及完善

1、我国个人信息法律保护的不足

由于我国目前还没有一部统一的《个人信息保护法》，现有法律涉及个人信息保护的部分，总体上看，法律规定比较零散、无体系，保护范围狭窄，并且缺乏统一的执行机制和机构。现行立法主要具有以下不足：

（1）体系散乱、法规之间相互冲突。虽然目前我国有不少法规对个人信息的保护多少有些涉及，但从整体上看，各相关法律规定十分凌乱，呈“一盘散沙”的状态。各部门法之间的不协调、甚至冲突的现象时有发生。这其中最根本的问题就是缺乏一部统一的、专门规范个人信息保护的法律制度。对于哪些信息属于个人信息、哪些信息可以合法使用、对于不正当使用个人信息该如何追究等根本性问题，都急需一部专门的个人信息法来解决。这样还可以解决各部门法律之间的冲突和协调问题。

（2）保护范围狭窄。从前文现行法规的个人信息保护状况来看，我国目前的个人信息保护范围十分狭窄，最多的也就是对个人隐私的保护。而个人隐私权在《民法通则》中却只是作为名誉权的一部分来加以保护，即便在《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》中将侵犯公民隐私的行为从名誉权独立出来，对个人隐私的保护仍然未得到重视。同时，现行立法仅从个人隐私方面来保护个人信息，显然已不符合时代发展的要求。比如你把个人简历交给应聘的公司，对方就有义务给你保管个人信息，如果对方让其他人知了你的信息，不管是故意还是过失，对方就是违法，即使传统认为这些不属于隐私。况且，我们知道，个人信息的范围要远远大于个人隐私，因此要解决这个问题也需制定一部专门的个人信息保护法。

（3）相关制度不健全。虽然目前我国的个人信息保护主要是个人隐私信息，但在隐私保护方面，也仅仅只是提供了有限的、间接的隐私保护，与国外相比，远未达到提供有效保护的程度，且主要表现为当个人隐私信息受到违法行为侵害时的一种事后救济机制。而在个人信息的获得、收集、持有、使用、营销等环节，都还没有建立相应的保护机制。相关制度尤其是民事补偿机制还没有建立起来。根据现行法律的规定，个人信息受到侵害后，责任主体的担责范围仅限于行政责任和刑事责任。在目前通过信息网络收集大量个人信息并非法用于商业用途的案件逐步增多的情况下，建立一套完善的民事补偿机制，非常有利于个人信息的保护。

（4）监督和救济机制缺乏。由于我国目前缺乏一部统一的个人信息保护法，现有法规对个人信息的保护十分凌乱、甚至冲突，而对公民个人信息保护的监督和救济机制更是一片空白。公民个人信息受到侵害往往“有苦无处诉”，若是遇到公权力的侵害就更“投诉无门”，这些都需要建立起一整套的监督和救济机制，这也需要在将来的个人信息保护法中来解决。

2、我国个人信息法律保护的完善

为了更好地保护我国公民的个人信息，必须尽快制定一部统一的《个人信息保护法》。下面将对我国个人信息立法的相关问题进行探讨。

（1）法律名称

由于不同的国家具有不同的历史传统和人文习惯，因而对个人信息保护的概念上采取了不同的名称，如个人隐私、个人数据、个人信息等。前面笔者已对这些相关概念进行过论述，在此不再重复。而对于我国《个人信息保护法》，笔者赞成采用“个人信息”的名称，原因主要是：首先，我国的《民法通则》并没有明确“隐私或隐私权”的概念，对它的讨论仅仅停留在学术层面。其次，《民法》中也仅仅将“隐私”当作“名誉权”的一部分来保护，这样的理解范围太窄，根本无法涵盖个人信息权利的全部内容，并且容易产生一词多义，造成理解上的混乱。再次，在我国“数据”这一概念主要适用于像数据库、数据交换等技术领域，其在我国法律中比较生僻，如果用它作为法律名称，普通公众不容易理解，也更不利于法律的实施和普及。最后，采用“个人信息”作为法律名称符合我国人们的生活习惯。因为数千年来，“信息”这一概念已深入老百姓的心里，“个人信息”也因其概念清晰、直观而易于理解，符合百姓的生活习惯。

（2）适用主体

个人信息保护法的适用主体只能是自然人，这个比较好理解的。顾名思义，个人信息保护法的主体当然不能包括法人和其他组织，否则就不叫个人信息了。所谓“自然人”是指基于“出生”的法律事实而取得民事主体资格的人。随着社会物质、精神文明的高度发达，人们越来越认识到个人信息保护的极端重要性，也感受到了个人信息遭到侵害所带来的极大精神痛苦。而精神痛苦或愉悦的心情等只有自然人才具备，法人和其他社会组织无论如何也不可能有这种感受。因此法人和其它组织不能作为个人信息的主体也是于情于理的。那么，家庭能不能包括在这个主体之内呢？有观点认为，个人信息的主体“个人”既包括自然人，也包括自然人组成的家庭。笔者认为，虽然家庭的成员都是个人，但家庭是不能作为个人信息保护法的主体的，因为家庭也属于其它组织，其理由与法人一样。

（3）立法模式

前文已经提到，由于各国的国情和价值倾向不同，因此采取的立法模式也各不相同。目前世界范围内个人信息保护的立法模式主要有德国模式、美国模式和日本模式等三种模式。中国的个人信息保护立法模式，既要分析、借鉴国外的经验，又要充分考虑本国的具体国情。

目前国内法学界大多数学者主张采用国家立法主导模式（即德国模式）的同时鼓励业界建立相应的自律机制。张新宝教授接受记者采访时曾说“就我国而言，国家立法主导模式更符合我国的国情，但同时也要鼓励产业界建立相应的自律机制。”齐爱民教授主持的《中华人民共和国个人信息保护法示范法草案学者建议稿》和周汉华教授主持的我国《个人信息保护法专家建议稿》都主张我国个人信息保护立法采取法德模式进行统一立法，而且，后者还在坚持统一立法的同时注重了发挥行业自律机制的作用，比前者无疑有所进步。本书赞成这种观点，原因如下：（1）我国是成文法国家，现行的立法和司法解释构成了我国的法律体系，采用这种立法模式不仅顺应了我国的国情背景，而且具有法律上的强制执行力，能够有效地制止侵害个人信息的行为，进而保护个人权利。（2）从各国立法后的实施情况来看，统一立法模式更适合于一个主管机关对个人信息进行保护和监管，有利于执法标准的统一，更好地规范信息主管机关的执法行为。（3）当前我国个人信息保护的法律意识比较薄弱，普遍缺乏尊重和保护他人权利的意识，如果单纯采取自律的方式无异于缘木求鱼，缺乏相应的人文基础。（4）尽管个人信息保护可以分为公共领域和私人领域，但两者在价值取向和直接目标上是一致的，均为对个人信息权利保护的追求。

因此，我国的个人信息保护立法应效仿德国等欧洲国家，采用国家立法主导的模式，尽快制定一部较为完善的个人信息保护法。同时，在此基础之上鼓励业界建立相应的自律机制，辅助个人信息保护法的实施。

思考题：

1、什么是公民信息自由权？它包括哪些内容？

2、我国法律是如何对公民信息自由权进行保护的？

3、公民知情权涵义是什么？它包括哪些内容？

4、我国法律是如何对公民信息知情权进行保护的？

5、什么是个人信息？它有哪些法律特征？

6、个人信息与个人资料、个人数据和个人隐私的区别是什么？

7、国外是如何对个人信息进行立法保护的？

8、个人信息保护的基本原则有哪些？

9、个人信息保护的模式有哪些？各有什么特色？

10、谈谈我国现有法律对个人信息的保护状况？

11、我国个人信息法律保护目前有哪些不足？

12、如何完善我国个人信息法律保护？