王 穎

（中國(guó)人民銀行寧縣支行，甘肅 慶陽(yáng) 745000）

一、我國(guó)個(gè)人商用信息保護(hù)和監(jiān)管工作存在的不足

一是我國(guó)針對(duì)個(gè)人的信息保護(hù)的立法空白。目前，我國(guó)并未出臺(tái)保護(hù)個(gè)人信息的專門法律。我國(guó)的《國(guó)侵權(quán)責(zé)任法》和《民法通則》中的關(guān)于個(gè)人信息保護(hù)與侵權(quán)救濟(jì)條款，奠定了個(gè)人信息保護(hù)的民事制度基礎(chǔ)，但相關(guān)條款內(nèi)容過(guò)于寬泛，缺乏針對(duì)性和具體執(zhí)行力。我國(guó)的個(gè)人信息保護(hù)法立法建議從2003年被提上日程，缺一直未能進(jìn)入正式的立法程序。我國(guó)個(gè)人商用信息保護(hù)的基本法空白，降低了個(gè)人信息保護(hù)的司法執(zhí)行力。二是我國(guó)對(duì)個(gè)人商用信息保護(hù)范疇的界定過(guò)于狹窄。目前，我國(guó)關(guān)于個(gè)人商用信息的規(guī)定散見于多部法律法規(guī)中，側(cè)重于保護(hù)個(gè)人信貸信息、通信信息等，對(duì)個(gè)人信息保護(hù)主體的界定主要局限于各行業(yè)內(nèi)部，未能涵蓋與行業(yè)信息有關(guān)聯(lián)的其他主體。致使如醫(yī)療、房產(chǎn)中介、機(jī)動(dòng)車銷售、電信運(yùn)營(yíng)、網(wǎng)絡(luò)服務(wù)等行業(yè)及其相關(guān)業(yè)務(wù)人員有許多機(jī)會(huì)掌握大量公民個(gè)人信息。因此這些行業(yè)也往往成為個(gè)人信息泄露的“重災(zāi)區(qū)”。三是信息保護(hù)監(jiān)管機(jī)制不完善?，F(xiàn)階段，我國(guó)對(duì)個(gè)人商用信息監(jiān)管不具備違規(guī)行為發(fā)生后的問責(zé)到底的機(jī)制，同時(shí)面臨重大群體信息違規(guī)違法事件的處理機(jī)制不健全，監(jiān)管主體責(zé)任不明確，行業(yè)監(jiān)管乏力存在漏洞。如，日前支付寶惡意隱藏信息采集授權(quán)條款，導(dǎo)致客戶在不知情的情況下“被同意”了《芝麻服務(wù)協(xié)議》的事件中，支付寶僅僅通過(guò)官方微博發(fā)布了道歉說(shuō)明，但截至目前相關(guān)監(jiān)管機(jī)構(gòu)針對(duì)整個(gè)事件并未對(duì)支付寶進(jìn)行處罰和開展后續(xù)事件調(diào)查。四是缺乏具體有效的救濟(jì)方式。現(xiàn)行對(duì)個(gè)人金融信息保護(hù)的相關(guān)規(guī)定側(cè)重于規(guī)范金融機(jī)構(gòu)的行為，而缺乏對(duì)數(shù)據(jù)主體權(quán)利、救濟(jì)方式和途徑的規(guī)定。這一現(xiàn)狀導(dǎo)致在個(gè)人金融保護(hù)的實(shí)踐中，數(shù)據(jù)主體的權(quán)利容易被輕視，同時(shí)侵權(quán)者違規(guī)違法成本低，使得數(shù)據(jù)主體在遭受侵權(quán)行為時(shí)往往難以得到民事救濟(jì)。

二、國(guó)外個(gè)人商用信息保護(hù)和監(jiān)管的主要做法

（一）明確界定個(gè)人信息，增強(qiáng)市場(chǎng)保護(hù)和監(jiān)管的針對(duì)性

美國(guó)側(cè)重對(duì)政府權(quán)利的限制，出臺(tái)的各項(xiàng)法規(guī)旨在保護(hù)公民的隱私權(quán)、財(cái)務(wù)信息、健康信息保密性和安全性，在美國(guó)《隱私法》中，采用“記錄”代指“個(gè)人信息”，指一個(gè)機(jī)構(gòu)所持有的與一個(gè)人相關(guān)的單項(xiàng)信息活信息集合。歐盟雖然比較注重保護(hù)社會(huì)公眾個(gè)人商用信息的隱私權(quán)，但同時(shí)出臺(tái)了一系列制度確保成員國(guó)不會(huì)因?yàn)閷?duì)個(gè)人信息的過(guò)度保護(hù)而阻礙個(gè)人數(shù)據(jù)在成員國(guó)之間的正常交流。歐盟將社會(huì)公眾的商用信息界定為和自然人相關(guān)的所有信息，因此歐盟對(duì)個(gè)人信息的保護(hù)內(nèi)容相對(duì)廣泛。日本對(duì)個(gè)人權(quán)利和利益的保護(hù)顯著增強(qiáng)，日本將個(gè)人信息定義為與一個(gè)自然人相關(guān)的，包含姓名、駕照、身份證號(hào)、出生日期、軍官證和其他所有可以識(shí)別出特定對(duì)象的任何信息。

（二）借助行政手段，統(tǒng)一市場(chǎng)管理

美國(guó)通過(guò)借助政府統(tǒng)一管理，部門分散立法的模式，實(shí)現(xiàn)相關(guān)機(jī)構(gòu)行為的自我約束、自我規(guī)范，從而保護(hù)個(gè)人信息的安全，并在個(gè)人信息保護(hù)和個(gè)人信息產(chǎn)業(yè)發(fā)展之間找到平衡。歐盟明確了個(gè)人信息保護(hù)的基本原則，歐洲議會(huì)出臺(tái)統(tǒng)一管理框架，各成員國(guó)根據(jù)聯(lián)盟統(tǒng)一要求，分別建立自己的個(gè)人信息保護(hù)法。日本通過(guò)行政干預(yù)統(tǒng)一了全國(guó)個(gè)人信息標(biāo)識(shí)，加強(qiáng)個(gè)人商用信息的規(guī)范化管理手段。

表1 國(guó)外主要國(guó)家個(gè)人商用信息行政管理規(guī)定

（三）進(jìn)行專門立法，加強(qiáng)司法監(jiān)督

美國(guó)早在上世紀(jì)80年代就出臺(tái)了《美利堅(jiān)合眾國(guó)隱私法》，規(guī)定了在商業(yè)領(lǐng)域的個(gè)人信息保護(hù)辦法，是美國(guó)保障公民信息安全的重要法律，該法案提出了公民隱私權(quán)為國(guó)家憲法必須保障的基本人權(quán)。在1997年，美國(guó)又出臺(tái)了《美國(guó)互聯(lián)網(wǎng)商務(wù)機(jī)構(gòu)政策框架》，明確了私營(yíng)企業(yè)在互聯(lián)網(wǎng)領(lǐng)域保護(hù)個(gè)人信息的主要義務(wù)，并鼓勵(lì)私營(yíng)企業(yè)為此建立內(nèi)部管理制度，同時(shí)提出建立獨(dú)立的、公正的第三方機(jī)構(gòu)的監(jiān)督機(jī)制。歐盟在個(gè)人信息保護(hù)方面的工作成績(jī)突出，這與其出臺(tái)嚴(yán)格個(gè)人信息立法環(huán)境關(guān)系密切。總體上看,歐盟個(gè)人信息保護(hù)的法律從強(qiáng)調(diào)對(duì)國(guó)家權(quán)力的有效控制以及對(duì)私權(quán)領(lǐng)域的嚴(yán)格限制，執(zhí)行了集公權(quán)領(lǐng)域與私權(quán)領(lǐng)域于一體的統(tǒng)一立法標(biāo)準(zhǔn)。歐盟于2016年5月24日通過(guò)了《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR），并將于2018年5月25日實(shí)施。GDPR的通過(guò)意味著歐盟對(duì)個(gè)人信息保護(hù)及其監(jiān)管達(dá)到了前所未有的新高度。此外，各歐盟國(guó)家也分別制定國(guó)內(nèi)的相關(guān)法律，以加強(qiáng)個(gè)人信息在本國(guó)的保護(hù)和監(jiān)管。如瑞典于1973年出臺(tái)了《數(shù)據(jù)法》，明確了有關(guān)個(gè)人數(shù)據(jù)在采集、加工、保管以及公開等方面的具體措施。德國(guó)的《個(gè)人數(shù)據(jù)保護(hù)法》采用了統(tǒng)一立法的標(biāo)準(zhǔn)，對(duì)公民的個(gè)人信息采取了統(tǒng)一、規(guī)范的立法保護(hù)。法國(guó)的《自由信息法》，是一部專門約束公權(quán)力，保護(hù)個(gè)人信息的法律。英國(guó)的《英格蘭個(gè)人信息保護(hù)法》分別從信息的采集路徑、信息用途、保存期限、信息保管平臺(tái)職責(zé)等方面做出了明確的規(guī)定，降低了個(gè)人信息受非法侵害的風(fēng)險(xiǎn)。而亞洲的韓國(guó)、日本、新加坡等國(guó)也制定了自己的個(gè)人數(shù)據(jù)保護(hù)法。其中日本《公民數(shù)據(jù)保護(hù)法》規(guī)定了國(guó)家機(jī)關(guān)、地方及政府以及社會(huì)團(tuán)體在個(gè)人信息保護(hù)方面的具體職責(zé)，為個(gè)人信息保護(hù)中遇到的法律糾紛提供解決依據(jù)。韓國(guó)出臺(tái)的《互聯(lián)網(wǎng)商務(wù)基本法》確保了個(gè)人信息在互聯(lián)網(wǎng)環(huán)境下安全傳輸。新加坡出臺(tái)的《公民個(gè)人信息保護(hù)法》對(duì)個(gè)人信息保護(hù)相關(guān)問題做了體系化、規(guī)范化的梳理與規(guī)定，將個(gè)人信息保護(hù)納入了正式法律治理范疇。

表2 國(guó)外主要國(guó)家個(gè)人商用信息管理立法

（四）加強(qiáng)行業(yè)自律，輔助對(duì)個(gè)人信息的保護(hù)和監(jiān)管

日本許多民間組織制定了涉及個(gè)人信息安全的規(guī)范文件，截至2010年年末，日本共有2000多個(gè)地方公共團(tuán)體制定了相關(guān)個(gè)人信息保護(hù)條例。到2017年，日本各級(jí)政府均已制定了《個(gè)人信息保護(hù)辦法》。日本民間團(tuán)體無(wú)權(quán)立法，主要通過(guò)行政指導(dǎo)、行業(yè)自律或個(gè)別法律的某些具體管理?xiàng)l例實(shí)現(xiàn)自我約束、自我管理，如日本個(gè)人數(shù)據(jù)保護(hù)辦公室制定的《社會(huì)團(tuán)體自然人信息保護(hù)辦法》等。

（五）建立了健全的個(gè)人信息主體救濟(jì)措施

歐盟通過(guò)的《一般數(shù)據(jù)保護(hù)條例》明確了監(jiān)督機(jī)關(guān)救濟(jì)、司法救濟(jì)、公益組織救濟(jì)和損害補(bǔ)償?shù)染唧w救濟(jì)和補(bǔ)救措施，如果數(shù)據(jù)主體認(rèn)為與其有關(guān)的個(gè)人數(shù)據(jù)處理違反了本條例，有權(quán)向常住地、工作所在地、侵權(quán)發(fā)生地成員國(guó)的監(jiān)督機(jī)關(guān)、對(duì)數(shù)據(jù)控制者或處理者、非營(yíng)利性機(jī)構(gòu)、組織或協(xié)會(huì)及向數(shù)據(jù)控制者、處理者提起訴訟或索償。

三、相關(guān)建議

（一）加快個(gè)人信息保護(hù)和監(jiān)管立法

一是出臺(tái)個(gè)人信息保護(hù)法。提升法律保護(hù)的效力，需要盡快出臺(tái)一部統(tǒng)一的個(gè)人信息保護(hù)法律。二是完善個(gè)人信息保護(hù)制度建設(shè)。個(gè)人信息保護(hù)監(jiān)管機(jī)構(gòu)、金融機(jī)構(gòu)、征信機(jī)構(gòu)等要把內(nèi)部制度的完善、嚴(yán)格遵守放到重要位置。

（二）加強(qiáng)個(gè)人信息監(jiān)管體制建設(shè)

首先應(yīng)明確我國(guó)個(gè)人信息監(jiān)管的主要機(jī)構(gòu)，對(duì)我國(guó)個(gè)人信息監(jiān)管、立法、執(zhí)行進(jìn)行統(tǒng)一領(lǐng)導(dǎo)，再由各行業(yè)具體監(jiān)管單位建立行業(yè)內(nèi)個(gè)人數(shù)據(jù)保護(hù)的規(guī)則和執(zhí)行標(biāo)準(zhǔn)，督促相關(guān)單位加強(qiáng)對(duì)個(gè)人信息數(shù)據(jù)庫(kù)的監(jiān)管，嚴(yán)格按照制度要求處理個(gè)人信息。鑒于中國(guó)人民銀行征信中心在個(gè)人信息監(jiān)管方面的成功經(jīng)驗(yàn)，建議由中國(guó)人民銀行牽頭開展個(gè)人信息保護(hù)的監(jiān)管試點(diǎn)工作，提升監(jiān)管效力。

（三）加強(qiáng)個(gè)人信息保護(hù)行業(yè)自律

一是鼓勵(lì)相關(guān)社會(huì)團(tuán)體積極健全完善個(gè)人信息保護(hù)的內(nèi)控機(jī)制。個(gè)人信息的商用機(jī)構(gòu)要完善客戶信息保護(hù)的規(guī)章制度，細(xì)化執(zhí)行流程，定期對(duì)信息安全狀況進(jìn)行科學(xué)評(píng)估。二是個(gè)人信息處理平臺(tái)要不斷完善系統(tǒng)安全建設(shè)，提升互聯(lián)網(wǎng)環(huán)境下的個(gè)人數(shù)據(jù)平臺(tái)的風(fēng)險(xiǎn)防防范能力。三是加強(qiáng)業(yè)務(wù)人員教育和管理。把保密教育納入員工培訓(xùn)必學(xué)內(nèi)容,不斷增強(qiáng)員工保密和法律意識(shí)以及對(duì)信息的管理能力。

（四）充分發(fā)揮司法審判的作用

我國(guó)的法院、檢查和公安等部門應(yīng)切實(shí)提升個(gè)人商用信息糾紛案件的審理水平，并對(duì)性質(zhì)嚴(yán)重、情節(jié)復(fù)雜的信息侵權(quán)案件發(fā)布指導(dǎo)性案例，為我國(guó)個(gè)人信息糾紛的案件審判提供明確的指引，有效協(xié)助司法機(jī)關(guān)科學(xué)、合理使用自有裁量權(quán)。