如何构建公民个人信息保护法律体系

    信息化时代，与公民人格相关的个人信息在识别、交往等功能之外，也被赋予了经济价值。一些不法分子在利益驱动下，采取种种手段非法获取、买卖个人信息，甚至形成了黑色产业链，对公民权益造成严重侵害。如何解决这一全新而复杂的社会问题，值得认真思考。从法律角度而言，建立一个以宪法为统领，以民法为基础，以专门法为核心，以刑法为最后保障的分层次、立体化、全方位的公民个人信息保护法律体系，是解决该问题的应然选择。

    在宪法中将个人信息权规定为一种人格权。个人信息并不只是以物质形态存在的个人资料，它更是一种与人格相关联的权益。我们不否认个人信息具有一定的财产属性，但其财产属性是以主体的人格为内核的，泄露与非法使用个人信息应当被认为是一种侵犯信息主体人格权的行为。因此，在法律属性上，与个人信息有关的权利应被视为一种人格权而受到宪法保护，并为其他法律进行保护提供前提和依据。

    在民法中将个人信息权作为公民的一项独立的民事权益。我国现有的民法规范对于个人信息保护并没有进行直接而明确的规定，只存在一些间接的、隐性的法规可供参照。例如，相关司法解释只是把对个人信息的侵害纳入对姓名权、名誉权、隐私权等的侵害中，即使是最新颁布的侵权责任法也未明确对个人信息的保护。未来的民法典应将个人信息权作为一项独立的民事权益予以明确，与名誉权、隐私权等精神性人格权以及生命权、健康权等物质性人格权并列为与人身权益，进而与所有权、物权、继承权等财产权益共同构成自然人的基本民事权益。

    制定专门的个人信息保护法。相对于民法关于个人信息保护作出的一般性规定，专门的个人信息保护法将更具针对性和可操作性。未来的个人信息保护法应重点解决立法理念与立法模式、适用范围、基本原则、罚则等方面的内容。

    关于立法理念与立法模式。对个人信息采取保护主要基于两个方面的考虑，一是维护公民个人信息权利与安全，二是促进信息交流与共享。从域外立法来看，欧盟各国更倾向于个人权利的保障，其采用统一立法模式，对以政府为主的公共领域和以商业为主的私法领域中的信息处理行为一并加以规范；而英美法系国家则更注重信息之于经济发展的功能，其对个人信息的保护以不被滥用为限度，其立法模式是在私法领域以行业自律为主，辅之以特定公共领域的分散立法。基于我国一直以来的大陆法系立法传统以及保障公民人格权的需要，立法应以保护个人权益为本位，但同时也应在立法技术上借鉴美国的行业自律规范，努力在保障公民信息权与促进经济发展之间寻求平衡。

    关于适用范围。基于上述统一立法模式，我国的个人信息保护法既适用于以政府部门为主的公共领域，也适用于政府之外的非公共领域。公共领域的电子政务与非公共领域的电子商务行为虽目的不同，但在技术支持上具有共通性，对个人信息的侵害具有客观相似性。

    关于基本原则。在参考国际组织和其他国家相关规定，并结合人格权法基本立场的基础上，个人信息保护法的基本原则应当包括：目的确定原则，即在收集利用信息之前必须明确活动的目的，此后的一切信息处理活动受该目的限制并不得与其相抵触；信息准确原则，即要保证信息的完整、准确与及时更新；知情同意与个人参与原则，即信息管理者事前应将信息被收集利用的情况充分告知信息主体并得到其明示同意，且在处理过程中保证信息主体的各项权利；公开原则，即信息管理者收集利用信息的相关政策、目的等程序性内容的公开；安全保护原则，即应以合理有效的措施保证个人信息的安全。

    关于罚则。在民事责任方面，除规定停止侵害、消除影响、赔礼道歉、赔偿物质损失等方式以外，还应规定精神损害赔偿；在行政责任方面，应规定警告、罚款、撤职等方式；对于非政府部门的法人或者其他组织，除罚款、没收违法所得、责令停产停业、吊销执照之外，还可增加责令停业整顿、禁止或者限制从事特定行业等。

    完善刑法相关规定，为公民个人信息保护提供最后保障。当前，我国刑法中规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪两个罪名，但面对我国公民个人信息被滥用、被侵害的严峻现实，仍显不足，需从多方面进行完善。构成出售、非法提供公民个人信息罪的前提是违反国家相关法规，但如前述，我国关于个人信息保护的法律规定几乎空白，这就导致该罪名因缺乏前置性规范而无法认定，成为“空置罪名”。因此，应尽快制定专门的个人信息保护法，并完善其他法律，补足犯罪认定的前提。从目前的规定看，出售、非法提供公民个人信息罪的犯罪主体为只能是国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，但现实中实施这一类行为的并非仅限于这些特殊主体，保险、旅游、房地产、会员制商业组织等其他单位以及个人都有机会获得公民个人信息，所以，本罪的主体应当拓展至一般主体。前述两个罪名涉及了个人信息的获取、出售、提供等环节，但在现实中，非法利用个人信息进行犯罪的情况非常普遍，比如冒用他人信息实施的诈骗、洗钱、走私、恐怖活动等，除了诈骗行为可以依照刑法相关罪名认定之外，更多的身份欺诈行为无法定罪处罚。可以考虑在刑法增加一个非法利用他人信息罪，以惩罚和震慑该类犯罪。此外，建议最高司法机关尽快出台关于上述罪名的司法解释，从侵害信息的数量、非法所得的多少、对被害人的人身及财产损害等角度综合考虑，确定情节严重的标准，提高法律的可操作性。

    （作者单位：山东财经大学法学院）