试论我国个人信息保护立法

试论我国个人信息保护立法

摘要：我国现行立法体系中对个人信息保护可以分为直接保护和间接保护两种。目

前我国尚未有专门的个人信息保护法律，同时，也未形成一个成系统的关于个人信息保护

的法律体系。我国现行的个人信息保护立法呈现出非专门化以及分散化的特点，这给我国

的个人信息保护带来极大的障碍。

关键词：个人信息；信息自决权；人格尊严；宪法基础

在宪政视野下看待个人信息保护立法，必须着眼于宪法以及立法法所规范的整个法律

体系。目前我国尚未有专门的个人信息保护法律，同时，也未形成一个成系统的关于个人

信息保护的法律体系。我国现行的个人信息保护立法呈现出非专门化以及分散化的特点，

这给我国的个人信息保护带来极大的障碍。

一、我国现行的个人信息保护立法体系

所谓个人信息，是指自然人的姓名、性别、出生日期、民族、婚姻家庭状况、教育背

景、工作履历、健康状况、财务状况等任何可以单独识别或与其他信息对比可以识别特定

的个人的客观信息。其中，可识别性体现了个人信息的核心功能，也是法律对个人信息进

行保护的着眼点。而无论这些信息的分类如何，即是直接个人信息该是间接个人信息，敏

感信息还是琐细信息，电脑处理还是非电脑处理的信息，公开还是隐秘的信息，属人还是

属事的信息，关涉还是无关人格尊严的信息，都具备个人信息的特点，尤其是可识别性，

都应当受到法律保护。笔者通过对我国当前的法律数据库进行检索，可以发现我国现行立

法体系中对个人信息保护可以分为直接保护和间接保护两种。

（一）直接保护

所谓直接保护，即是在法律法规中设置“个人信息”保护的条款的保护方式。在法律

图书馆的软件“新法规速递（2012年版）”中，以“个人信息”为关键词在“法规全文”

中进行检索，得到结果如下：1.法律：5件，分别为《居民身份证法》（第6、13、19、

20条）、《护照法》（第12条第3款、第20条）、《刑法》（修正案七）（第253条之

一）、《统计法》（第9、39条）、《社会保险法》（第92条）。2.行政法规及国务院

颁布的其他规范性文件：7件，其中能够真正算得上是行政法规的仅两部，即《管理

条例》（第27、40条）和《戒毒条例》（第7、10、43条）。3.司法解释及其他“两高”

文件：5件。4.地方性法规：58件。5.部委规章：43件。6.地方政府规章：137件。

（二）间接保护

所谓间接保护，即是法律法规并未直接提出对“个人信息”的保护，而通过对与此相

关的其他要素如人格尊严、个人隐私等进行保护。在同一软件的“法律”栏目中检索，得

到结果如下：1.包含“隐私”的法律：23件。2.包含“人格”的法律：21件。

从条文内容上看，上述法律法规对个人信息、个人隐私或者人格尊严的保护，可以归

纳为以下几种形式：1.设立“宣示式的条款”对个人信息进行保护。最典型的莫如，

“……受法律保护”，或者“……应当尊重……”。由于此类规定并没有什么可操作性的

条款，因此其作用多相当于宣示性质。2.设立禁止性条款对个人信息进行保护。最典型的

是，“禁止……”或者“不得……”。3.设立例外性的条款对个人信息进行保护。例如，

“……，除涉及……的外，应当公开。”4.在制裁条款上，民事侵权、行政处罚和刑事制

裁相结合。

二、我国现行个人信息保护立法的缺失

2013年2月1日，我国首个个人信息保护国家标准——《信息安全技术公共及商用服

务信息系统个人信息保护指南》开始实施。这一个人信息保护指南的出台和实施，虽然对

于我国个人信息权保护来说已经是划时代的一步，但早在2003年，国务院信息办就委托

中国社科院法学所个人数据保护法研究课题组承担《个人数据保护法》比较研究课题及草

拟一份专家建议稿。经过近两年的工作，最终形成了近8万字的《中华人民共和国个人信

息保护法（专家建议稿）及立法研究报告》。但即便如此，我国的《中华人民共和国个人

信息保护法》依旧尚未出台。纵观我国现行个人信息保护立法，其缺失是十分明显的，这

可以体现在几下几个方面。

第一、立法无法形成系统，呈现分散化的特点。由于我国缺乏专门性的个人信息保护

法律，且宪法仅仅有所涉及地规定“中国人民共和国公民的人格尊严不受侵犯。”这种缺

乏明确的宪法保护和明确的专门性法律的情况，使立法无法形成系统，所有相关的条款分

散在各种层级不一的规范性文件中，难以形成相互关联且有效的个人信息保护法律体系。

第二、立法数量少，且简单重复性强。这既体现在直接包含“个人信息”的法律及其

条款极少，更体现在那些条款的形式大多数简单重复，而且缺乏个人信息保护的司法案件。

第三、保护性弱，很多条款过于抽象，缺乏可操作性。很多条款都是宣示性条款，至

于怎么操作，有什么样的程序，则基本没有相关的规定。这使当前的个人信息保护立法显

得意义不大。

第四、效力层级低，更没有专门的个人信息保护法。从直接保护的角度讲，当前立法

的效力层级低，大多数都是地方性法规、部委规章和地方政府规章，而间接保护的亦是如

此。没有专门的个人信息保护法，使得整个立法的层次无法提升。

第五、对行政权力的约束太弱。早期的立法大多着眼于对人格权的民事保护，而后来

的诉讼法和行政法立法均开始涉及对司法权和行政权行使中的个人信息保护问题，直至

2009年《刑法》（修正案七）确立了个人信息的刑法保护。但是，由于行政权的总量庞大，

对民众的日常生活有巨大的影响，而我国目前的立法过于简陋，尤其是在涉及行政权的行

使上约束和救济性措施过少，不利于保护个人信息免受来自于行政权的侵犯。

三、我国个人信息保护的必要性

十二届全国人大五次会议3月15日表决通过的《中华人民共和国民法总则》中虽然

明确规定了个人信息受到法律保护，但是个人信息保护不仅只是民法的问题，是建立在个

人信息權这一基本权利的基础上，问题的破解在于以宪政的眼光去看待个人信息保护立法。

个人信息保护具有坚实的宪法基础，信息自决权成为宪法保护的根基，对个人信息进行宪

法保护有其必要性。仅有《民法通则》中个人信息保护进行宣示是远远不够的，我国缺乏

专门的个人信息保护立法，且呈现出分散性和效力层次低的特点，应当采用统分结合的立

法模式，通过宪法和专门的个人信息保护法等对个人信息进行立法保护。

在当前的信息社会，个人信息的不当收集、利用和披露已经成为影响公民基本权利和

基本生活状况的行为。如果不对这些行为进行法律规范，公民的人格尊严、隐私和财产利

益等都会受到影响。个人信息保护建立在个人信息权这一基本权利的基础上，有其宪法基

础，并且有必要对其进行宪法保护。我们必须站在宪政的视野下，才能处理好信息社会中

的个人信息保护问题，也只有以宪政的眼光，才能处理好此种的政府与公民之间的复杂关

系。

参考文献：

[1]齐爱民.论个人信息的法律保护[J].苏州大学学报，2005（08）.

[2]王利明.论个人信息权在人格权法中的地位[J].苏州大学学报（哲学社会科学版），

2012（03）.

[3]张新宝.从隐私到个人信息：利益再衡量的理论与制度安排[J].中国法学，2015

（07）.

[4]谢远扬.信息论视角下个人信息的价值——兼对隐私权保护模式的检讨[J].清华

法学，2015（02）.

*本文系湖南省教育厅课题“我国个人信息保护原理及其前沿问题研究”资助项目

（项目号：15C1126）。

（作者单位：中共湘西州委党校法学教研部）

感谢您的阅读，祝您生活愉快。