尹佳星

（100088 中國政法大學(xué)民商法學(xué)院 北京）

一、個人信息的界定

目前，學(xué)界主流觀點(diǎn)認(rèn)為對個人信息的判別主要以該信息是否能夠識別個人的身份為標(biāo)準(zhǔn)，只要信息能夠直接識別或間接識別個人身份，即可構(gòu)成受法律保護(hù)的個人信息。按照這種觀點(diǎn)，個人信息是指個人的姓名、性別、年齡、血型、健康狀況、身高、人種、地址、頭銜、職業(yè)、學(xué)位、生日、特征等可以直接或間接識別該個人的信息。[1]

有學(xué)者將個人信息的概念等同于個人隱私，筆者不贊同這種觀點(diǎn)。筆者認(rèn)為，個人隱私主要是指公民個人不愿公開、如果公開可能會影響公民私人生活安寧的信息，而個人信息則是指一切可以識別個人身份的信息，既包括公民愿意公開和不愿公開的信息，也包括會對公民私人生活產(chǎn)生影響和不會對公民私人生活產(chǎn)生影響的信息，其概念范圍比個人隱私大了許多。

二、我國法律對個人信息保護(hù)的現(xiàn)狀

2017年10月1日起施行的最新《民法總則》第111條明確將個人信息納入法律保護(hù)范疇，是我國法律在保護(hù)個人信息方面取得的重大進(jìn)步和重要里程碑。2017年6月1日起施行的《網(wǎng)絡(luò)安全法》第40條至45條的規(guī)定對網(wǎng)絡(luò)經(jīng)營者、網(wǎng)絡(luò)安全監(jiān)管部門及其人員收集、使用、保管個人信息的行為進(jìn)行了限制，對于從網(wǎng)絡(luò)安全角度保護(hù)個人信息具有積極意義。此外，全國人大常委會《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《憲法》《刑法》《侵權(quán)責(zé)任法》《消費(fèi)者權(quán)益保護(hù)法》《電子簽名法》《居民身份證法》等法律法規(guī)中也有保護(hù)個人信息的相關(guān)規(guī)定。2017年3月兩會期間有全國人大代表提交《關(guān)于制定〈中華人民共和國個人信息保護(hù)法〉的議案》，同時將《中華人民共和國個人信息保護(hù)法(草案)》作為附件提交，對于我國《個人信息保護(hù)法》的制定和法學(xué)界研究個人信息保護(hù)，具有相當(dāng)大的參考價值和借鑒意義。

三、我國法律在個人信息保護(hù)方面存在的不足及完善建議

受立法的不完善、信息收集者的“逐利”思想、信息侵權(quán)者的法律觀念淡薄、信息主體對個人信息的重視程度不夠以及監(jiān)管的缺乏等因素綜合作用，我國個人信息面臨著來自收集、使用、管理等各個層面的侵害，信息泄露、被非法獲取、被過度使用、被交易等事件時有發(fā)生，極大的損害了信息主體的權(quán)益。針對個人信息屢遭侵害的現(xiàn)實，筆者建議加快制定出臺《個人信息保護(hù)法》的步伐，對公民個人信息進(jìn)行全面保護(hù)。

第一，在《個人信息保護(hù)法》中，明確信息主體為自然人，其擁有個人信息權(quán)。采取列舉與概括性規(guī)定相結(jié)合的方式來界定個人信息的范圍。信息主體享有對個人合法信息自由支配、使用并排除他人侵害的權(quán)利；信息主體享有對個人信息的知情權(quán)、修改權(quán)和刪除權(quán)。

第二，加強(qiáng)信息收集者責(zé)任。明確信息收集者可以收集的信息范圍或不能收集的信息范圍；在收集信息時應(yīng)當(dāng)經(jīng)過信息主體同意，應(yīng)當(dāng)在具有告知性質(zhì)的告知書或聲明中以顯眼的方式告知涉及信息主體權(quán)益、加重信息主體責(zé)任及減輕信息收集者責(zé)任的重要條款，可以采用標(biāo)注亮眼顏色、字體加粗等形式；收集信息后，應(yīng)當(dāng)采取設(shè)立專門信息庫或加密等方式妥善保管，如收集的信息遭遇遺失、非法獲取、非法使用、非法轉(zhuǎn)讓、篡改、非法公開等情形時應(yīng)當(dāng)及時通知信息主體；對信息收集者收集的信息設(shè)定使用期限，當(dāng)其收集信息的合法目的達(dá)到或經(jīng)過設(shè)定的期限后，應(yīng)當(dāng)刪除信息或再次征得信息主體同意可以保留；限制信息的二次使用，除無法識別個人身份的信息外，信息收集者對所收集的信息進(jìn)行二次開發(fā)利用、轉(zhuǎn)售或提供給第三方時，應(yīng)當(dāng)經(jīng)過信息主體同意。

第三，確立侵犯個人信息權(quán)的歸責(zé)原則、責(zé)任承擔(dān)及救濟(jì)方式。鑒于信息主體相對于信息收集者往往處于弱勢地位，可以采用過錯推定的歸責(zé)原則；在責(zé)任承擔(dān)方面，明確懲罰的主體、懲罰方式及情形；在救濟(jì)方面，可以采用民法、刑法、行政法并行的方式，對信息主體進(jìn)行全方位保護(hù)。

第四，鼓勵行業(yè)自律?？紤]到我國目前社會及網(wǎng)絡(luò)安全狀況，建議以立法保護(hù)為主，同時鼓勵涉及個人信息收集和使用的行業(yè)建立自律性規(guī)范，并由國家專門的機(jī)構(gòu)對行業(yè)的自律規(guī)范進(jìn)行審查，經(jīng)審查通過的自律性規(guī)范可以在全行業(yè)施行。

第五，加強(qiáng)監(jiān)管。目前，我國個人信息保護(hù)處于多部門監(jiān)管狀態(tài)，公安部、工信部、全國工商局、商務(wù)部、中國人民銀行、銀監(jiān)會、保監(jiān)會、證監(jiān)會等都負(fù)有個人信息監(jiān)管職責(zé)，[2]如此多機(jī)構(gòu)的監(jiān)管，彼此之間溝通不暢，信息共享不及時，不利于對個人信息進(jìn)行保護(hù)。建議設(shè)立一個機(jī)構(gòu)或在上述部門中選取一個或少數(shù)幾個部門專門負(fù)責(zé)個人信息監(jiān)管事宜。

第六，作為信息主體的個人應(yīng)當(dāng)提高自我保護(hù)意識，主動學(xué)習(xí)了解與個人信息相關(guān)的法律知識；加強(qiáng)對個人信息的保護(hù)，不隨意注冊軟件，不輕易進(jìn)入不安全鏈接，注冊賬號時要仔細(xì)查看告知書或聲明；要隨時、主動了解個人信息被使用的情況，在個人信息權(quán)被侵犯后，要及時尋求法律救濟(jì)途徑；等等。