【毕业学位论文】（Word原稿）论个人信息的法律保护

兰州大学研究生学位论文 论个人信息的法律保护 第一章 绪论 题背景及意义 随着信息技术的发展与进步，信息在公民社会中的地位也变得越来越重要。个人信息不仅具有人格属性，还具有一定的经济价值，这就使得各类经营者大量收集、利用 个人信息。与之相伴发生的是，对 个人信息侵犯的现象大量出现，从 2008 年的网络暴力第一案到 2009 年的谢新冲出售公民个人信息案再到 2010年三大电信运营商非法泄漏公民个人信息案再到 2011 年的互联网泄密风波 ， 这些案件都说明 公民 的 个人信息 正在被严重侵犯。 个人信息的 大量泄漏， 必然使得公民 平静的生活得不到保证， 而在现代这个高速发展的社 会，人们都渴望拥有一份自由，拥有 一份免受他人干涉与打扰的 独立空间。这种状况的不对称就要求我们将 个人信息纳入 法律保护的范畴。 相比较目前的状况，我国对 个人信息 的 法律 保护还比较 滞后。虽然我国于2009 年 2 月 28 日通过的中华人民共和国刑法修正案（七）（ 以 下简称刑法修正案（七） ） 增加了 “ 出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪” 两条关于 个人信息保护方面的法律条文 ，但是我国对于 个人信息 的 保护还存在很多不足。首先，在观念上，我国目前对于 个人信息保护还没有给予足够的重视，这使得学界上还没 有形成成熟 的法律保护的理论基础。其次，在立法上，我国目前对于 个人信息保护还没有形成系 统的法律体系，对其保护只是一些零散的规范，这就使得在现实中当 个人信息受到侵害时，没有确切的法律保护依据。再次，在司法上， 法律规定的模糊或不全面也为 个人信息的保护带来了很多不便。 所以， 本文 通过对我国 个人信息的相关概念研究，对目前 我国对于 个人信息的保护现状 进行分析，同时借鉴国内外相关经验理论，探索适合我国国情的个人信息保护体系，就具有十分重要的现实意义。 究目的及内容 本文在综合研究国内外相关文献的基础上，从宪法、民法、刑法、 行政法等多个法律角度进行分析，以期达到以下几个目的： （一）在对个人信息概念和特征进行分析的基础上，进一步分析个人信息与相似概念的区别，确定个人信息的法律属性 ，找出对个人信息进行保护的必 兰州大学研究生学位论文 论个人信息的法律保护 要性。 （二）在概括个人信息侵权表现形式的基础上，分析个人信息遭受侵权的原因， 在概括列举我国现阶段对个人信息进行立法保护的前提下，找出 目前 我国 立法中存在的问题。 （三）在对欧盟、美国、日本等国家的保护模式分析的基础上，找出适合我国国情的个人信息的保护模式。在分析域外对个人信息 进行 保护的基本原则上，找出适合我国的个人信息保护基 本原则。保护模式的确立，可以为我国立法确立基本框架，而基本原则的确定则可以使在没有具体的法律规则下，依然有效的保护公民的个人信息。 （四）在对个人信息的现状进行分析的基础上，提出相应的法律对策。首先我国应该确立个人信息保护的法律依据，其次，应该设立个人信息法律保护的执法监督机构，再次，完善对个人信息的法律救济制度，再次，加强对网络服务商的监督和管理，最后，公民应该加强对个人信息的保护意识。 内外研究现状 世界对于 个人信息的立法从 20 世纪 70 年代就已经展开。世界上第一部 对个人信息进行 保护的 法律 是德 国黑森州于 1970 年通过的资料保 护法，随后美国也在同年公布了公平信用报告法，拉开了美国 个人 信息 法律 保护的序幕。此后，世界上的其他国家和地区，也都起草公布了 个人信息保护法。据不完全统计，到现在为止，世界上已经有 60 多个国家和地区制定了 个人信息保护法。 国外对于 个人信息的保护主要有三种模式 ，一种是欧盟的统一立法模式，涉及这方面的主要著作有欧盟于 1995 年颁布的欧盟个人数据保护指令，这个指令涉及到了个人信息保护的方方面面，同时也建立了欧盟进行 个人信息保护的基本框架。其它的有， 2002 年颁布的隐私与电 子通信指令和 2006 年颁布的数据留存指令，这三个指令构成了欧盟进行 个人信息保护的法律主体。第二种模式 是以美国为代表的将分散式立法模式、行业自律模式和安全港模式结合起来使用的保护模式。关于这方面的研究主要有美国于 1970 年公布的公平信用报告法， 1974 年公布的隐私法， 1973 年公布的犯罪控制法， 1980年公布 的隐私保护法 ， 1970 年公布的联邦公平信用报告， 1978 年公布 的金融隐私法， 1999 年 公布 的金融服务现代法， 1974 年的 公布 家庭教育权和隐私法 ， 1988 年 公布 的录像 带隐私保护法 ， 1988 年通过的儿童在线隐私保护法， 1996 年 通过 的电讯法 以及 2001 年制定的健康保险转移与责任法 等。这些法律形成了一个完整的法律体系对公民的 个人信息进行保护。 兰州大学研究生学位论文 论个人信息的法律保护 第三种模式 是以日本为代表的统分结合的立法模式。关于这方面的立法主要有日本在 1988 年制定的有关行政机关电子计算机自动化处理个人信息保护法，2003 年制定的个人信息保护法。此外，国外关于 个人信息的主要立法还有英国 1984 年的资料保护法和 1995 年的 据保护指令， 1999 年韩国制定的韩国公共机关个人信息保 护法， 1999 年澳大利亚的隐私法信息隐私原则和 2000 年加拿大的个人数据保护法。 相比较而言，我国对于 个人信息的保护研究显得 比较滞后。我国目前对于个人信息进行保护的 有 关规定，在宪法、刑法、民法通则、侵权责任法等多部法律中都有体现，但这些都是间接的、零散的、不成体系的保护。而对于个人信息的专项立法，从 2003 年就开始起草， 经过专家和学者的努力，2005 年个人信息保护法 专家建议稿 终于出炉，但遗憾的是，这部法律至今也没有正式实施。但值得肯定的是， 2009 年 2 月 28 日通过的刑法修正 案（七）规定了 “ 出售、 非法提供公民个人信息罪”和“非法获取公民个人信息罪”，首次将 个人信息纳入了法律直接进行保护的范围。虽然，对于这两条罪 名的规定仍然存在很多不足，但仍然是 个人信息保护的一大进步。 虽然，我国对 个人信息保护的立法层面上有很多不足，但学术方面的研究却一直没有停止。 目前我国关于 个人信息的学术 专著 主要有：齐爱民教授在 2004年出版的个人资料保护法原理及其跨国流通法律问题研究及 2009 年出版的拯救信息社会中的人格，周汉华教授在 2006 年出版的个人信息保护前沿问题研究， 蒋坡在 2008 年出 版的个人数据信息的法律保护，孔令杰在 2009年出版的个人资料隐私的法律保护以及郭瑜在 2012 年出版的个人数据保护法研究。此外，除了这些专著，还有很多相关的论文，如杨勇的我国公民个人信息安全法律保护研究，罗丽红的论个人信息的法律保护，周蕾的论我国公民个人信息法律保护，蒋凤诚的论个人信息的法律保护，李雪宁的论个人信息的法律保护，冯静的个人信息立法保护问题研究，胡海梦 的我国个人信息的刑法保护，雷译的论个人信息的民法保护， 杜卉卉的论个人信息的民法保护 ，吕艳滨的论完善 个人信息保护法制的几个问题，祝蓓蓓的论个人信息的保护以及叶秀敏的浅析我国个人信息保护模式的选择。 兰州大学研究生学位论文 论个人信息的法律保护 第二章 个人信息 的相关 基本理论 人信息的概念与特征 人信息的概念 关于个人信息的概念，学术上有几种不同的观点。有的学者认为应该采用概括型定义，即用概况的方法对个人信息的定义进行描述，如德国法律对个人信息的定义为“凡涉及 特定或可得特定的自然人的所有属人或属事的个人资料 ” ， 这种定义方法可以很好的概况出个人信息的内涵，但它会使得个人信息的范围变得宽泛。还有的学者认为应该采用概括 列举型定义，这种定义方式是一种混合型的定义，兼有概括和列举的特点，目前英国和我国台湾地区采用的就是这种定义方法。还有一种定义方法是识别型定义，就是以识别为核心来对个人信息的概念进行界定。 从 目前 来看， 我国国内采用 较多的是识别型 定义方式。 笔者也认为采用此种定义较为合适，即个人信息是指个人的姓名、性别、年龄、民族、家庭住址、职业、学位等可以直接或者间接识别个人身份的信息。 值得 一提的是，这些信息大多都是静态的信息，而有些动态的信息也可能属于 个人信息。如谢新冲出售公民个人信息案中，谢新冲作为北京京驰无限通信技术有限 公司运维部的经理，于 2009 年 3 月至 12 月，利用中国移动授予其所在公司进行手机定位业务的权限，先后为他人提供的手机号码进行定位，非法获利人民币 9 万元。在这个案件中 ，谢新冲 就构成了 出售公民个人信息罪。手机定位是指通过特定的技术来获取移动手机或终端用户的位置信息，在电子地图上标出被定位对象的位置的技术或服务。通过对手机进行定位，可以知道被定位人的位置。因为公 民一般不希望他人随时知道自己所处的位置，所以手机定位信息属于 个人隐私的范围，应该属于被保护的个人信息，是动态的个人信息。 人信息的特征 (一 )主体是自然人 从个人信息的定义可以看出，个人信息的内容具有人身属性，是自然人的个人信息， 这既是对个人信息进行保护的前提条件，同时也是个人信息的主要特征。 法人是不具有个人信息的 ，因为法人 本身并不能产生个人信息，同时对于个人信息也不能进行直接支配，再有，我国目前有着完备的商法、经济法等相关法律制度对其进行针对性的保护，如果将法人也纳入个人信息的主体范畴，会使得个人信息的保护变得纷乱复杂。所以，目前学术上一般认定个人信息的 兰州大学研究生学位论文 论个人信息的法律保护 主体只限定于自然人，法人是不能成为个人信息的主体的。 (二 )可识别性 这是个人信息的核心特征 。从定义可以看出，只有能够识别个人身份的信息才能称之为个人信息， 这个识别 既包括直接识别，也包括间接 识别。 直接识别就是不需要借助其它的辅助资料而可以直接将信息主体识别出来，比如个人的身份证、档案资料 、基因 等。间接识别就是需要借助其它的辅助资料才可以将信息主体识别出来 ，比如个人的兴趣、住址、职业等 ，这些信息一般不能直接识别信息主体，需要和其它信息结合起来使用才可以进行准确有效的识别。可识别性 构成了个人信息的实质要素。 （三）客观性 一般而言，个人信息是对个人生活现状的一种客观反映。首先，它是根据个人的实际情况产 生，而不是由人主观臆造的，只有真实的个人信息才具有相应的价值，才能成为法律的保护范畴。其次，一旦个人信息生成就变成了一种客观存在，可以通过一定的途径进行保存。正是个人信息的这种特征，才使得它可以 被 处理利用。 (四 )可处理性 即个人信息可以通过一定的方式进行查阅、复制、检索和其它方式的处理。可处理性是个人信息的形式要素，它是从个人信息的保护角度进行规定的，因为只有具备可处理性的个人信息，才能在社会中进行流转，从而才有可能被侵害，才需要法律进行保护。 （ 五 ）时效性 个人信息从产生之日起，就一直处于不断变化之 中 ，比如年龄的增加、家庭住址的变换、 手机号码的更换等。所以，个人信息不应该是固定不变的，它具有时效性，在一定时期内有效，当超过它的有效期，对于那些过时的、不准确的信息，就应该及时更新，以免给自己带来不必要的麻烦。 (六 )人格属性与财产属性 的并存 个人信息包含着个人不愿为他人所知的隐私， 它与信息主体紧密不可分割，是一种在信息化时代的新型的人格权。 同时， 经过处理后的个人信息， 具有使用价值，可以用于交易， 随着它的流转，可以产生 相应的 经济效益， 所以，个人信息同时也具有一定的财产属性。个人信息的人格 属性 与财产 属性 是并存 的，但从两者的产生时间上来看，是先具有人格 属性 的， 随着个人信息的不断流转，才进一步产生了财产属性。所以， 人格 属性 是财产 属性 存在的基础， 先有人格属性，其次才产生财产属性的。 兰州大学研究生学位论文 论个人信息的法律保护 人信息 与相关概念 的区别 人信息与个人数据的区别 个人数据 来源于欧盟各国的立法，主要指可以识别出信息主体的一切相关数据，它是随着计算机等现代化技术而出现的一种新的称谓。个人数据是可以通过人工或机器，以个人信息为内容，进行存储、处理、传播的个人信息的物化形式。 个人数据一般分为三种：个人的自然状况， 姓名、性别、基因、身 份证等；个人的家庭 状况，父母、子女、配偶等相关情况；个人的社会状况， 宗教信仰、教育状况、工作经历等。 个人数据是以个人信息为内容，对个人信息的一种物化形式。 个人数据只是对客观事物反映的一种状态，当它经过加工处理后，就会变成个人信息。 个人信息就通过数据的形式进行传播。 “并不是所有的个人数据都能够成为保护的对象，只有具有价值的能够为人所用的数据，也就是信息，才能成为被保护的客体。” 所以，个人数据是个人信息的表现形式，个人信息是个人数据的内容，没有个人信息就没有个人数据，没有个人数据个人信息就没有存在的载体，从而无所依存。 人信息与隐私 的 区别 隐私即为个人 的 私生活秘密，是指个人私生活安宁不受他人非法干涉，个人信息保密不受他人非法搜集、刺探或公开，包括私生活安宁和私生活秘密两个方面。 简言之，隐私就是指私密的、不愿被他人知晓的个人信息。个人信息与隐私主要有以下两个方面的区别： （一）内容不同 隐私是指那些个人不愿为他人所知的信息，而个人信息除了不愿为他人所知的信息外，还包含那些可以公开的信息。所以， 从内容上来说，隐私与个人信息既有重合之处，又有不同之处， 隐私 包含于个人信息之中。 （二）特征不同 隐私 是指个人不愿为他人所知道的信息，它重点强调的是个人的秘密空间。它可以不具有一定的识别性，但一定涉及的是个人的私生活秘密，秘密性是它明显的特征。而个人信息是指能够直接或间接识别个人的信息，它 不仅包括个人的私生活秘密，还包括 那 些已经公开，为社会所知的信息。 它的侧重点则在与识别。 张素华 J】 2005： 36. 张新宝 M】 群众出版社， 2004： 85. 兰州大学研究生学位论文 论个人信息的法律保护 （三）法律保护不同 法律对于隐私的保护，主要是 禁止个人隐私的流通，从而达到 保护 公民人格尊严 的目的。而 在 不侵犯公民的人格尊严的前提下，法律是允许个人信息的自由流通的，即达到保护公民人格尊严与信息自由流通的双重目的。另外，对于隐私的保护，主 要强调的是侵害隐私权的成立要件以及如何进行救济的问题，而对于个人信息保护，强调的主要是如何进行合理利用的问题。 人信息 的法律 属性 目前，关于个人信息的法律属性，学术界依然众说纷纭，尚未达成一致，主要观点有以下 三 种： 有权客体说 所有权客体说认为，个人信息能够被处理、利用，从而产生一定的经济价值，这种特性近似于民法对“物”的有关规定，因而个人信息是所有权的客体。随着市场经济的发展，个人信息发挥的作用也越来越大，拥有足够的个人信息就意味着拥有着大量客户，这对一个公司或企业来说，都是至关重 要的。对于资料的采集者来说，获得个人资料不是目的，而是一种手段，是建立和扩展财源的一种途径。因此，根据所有权原理，只要不与法律和公共利益相抵触，所有权人均享有对个人资料的占有、使用、收益、处分权 。 同时，所有权客体说认为，个人信息的所有者应该是生成个人信息的人，无论他以何种方式获得个人信息，无论他对个人信息的了解程度如何，都没有办法改变他对个人信息的所有权归属。 私权客体说 隐私权客体说的主要理论来源是美国的隐私权法，该学说认为个人信息是一种隐私，因此在对个人信息进行保护时，应该采取保护隐 私权的方法。对于这个学说，值得注意的是，英美法系和大陆法系对于隐私权的概念规定并不相同。英国学者将隐私权定义为不受他人干涉的权利或不得将他人生活秘密非法公开的权利，美国学者则认为隐私权是私生活不受他人干涉的权利或个人私事不经允许不得公开的权利。与之相对的是大陆法系学者的规定，隐私权是保护免受他人侵犯的私生活和私事秘密的权利。从以上对于隐私权的定义可以得出，英美法系对于隐私权的规定范围要大于大陆法系的规定 。 在现实中 ， 大陆 汤擎 J】 2000:41. 兰州大学研究生学位论文 论个人信息的法律保护 法系通常也把个人隐私 纳入了 个人信息 的范围，将其作为个人信息的一部分来对待。 格权客体说 人格权客体说认为，个人信息直接关系到信息主体的人格尊严，是一种人格利益的体现，因而对其保护应该采取人格权的保护方式。这种学说以德国法为主要代表，并且主要在 1990 年修改的个人资料保护法中体现出来，个人资料保护法第 1 章一般条款第 1 条规定：“该法的目的是为了保护个人人格权在个人资料处理时免受侵害。” 、 一个人存在于社会上，必然伴随着大量的个人信息。一旦有人侵犯到信息主体的一些敏感信息如个人隐私，都会扰乱其平静的生活，对信息主体的人格权造成相应的侵害。 通过分析以上三种学说，笔者认为，人格权 客体说更适合我国的法律现状。首先，“所有权客体说”对于个人信息的保护并不是很恰当。虽然它关注到了个人信息的财产利益， 但不能就此断定个人信息就属于所有权客体。因为，个人信息是依附于个人而存在的，如果没有个人，个人信息的财产利益、经济价值就无从实现。所以，“所有权客体说”没有准确抓住个人信息的特征，忽略了对个人 信息 的人格性因素的考虑。其次，“隐私权客体说”主要是英美法系的理论，之所以不适合我国国情是因为不同文化的差异，使得我国与英美法系国家关于隐私权的范围规定并不相同，在这种情况下，对于外国的先进立法经验，我们只能参考，吸取其中有益的部分，而不能生搬硬套，不顾国情一味引进。因此，“隐私权客体说”也是不适合我国法律现状的。最后，“人格权客体说”对于保护我国个人信息是比较合理的。 在现实中，对于个人信息的处理、利用经常会涉及到个人尊严，而个人尊严正好是人格权的一种。人格权作为人的一种基本权利，其目的就是为了维护主体的基本存在，为主体从事其它社会活动提供充分的保障。将个人信息归纳为人格权，可以更好的维护个人的基本权利，为个人信息提供更充分的保护。目前，该学 说已经得到了我国法学学者的普遍认可，很多国家和地区的个人信息法律 保 护也都采用了“人格权客体说”。 个人信息进行保护的必要性 （一）保护个人信息是发展经济的要求 现阶段我国个人信息被侵犯的状况越来越严重，从上文中的谢新冲非法出售公民个人信息案，到 2010 年的北京最大非法出售、提供、获取个人信息案，再到 2011 年的年底我国互联网遭遇史上最大规模的用户信息泄露事件。这些不断发生的事件，使得公民对相关部门的信任逐步降低。在 2012 年 3 月 15 日举行的 兰州大学研究生学位论文 论个人信息的法律保护 个人信息保护大会上，一份个人信息保护政策测评报告，可以说明公民的满意度、信任感正逐步降低。这份报告中的“ 2011 年个人信息 保护政策网站分类平均得分排名”显示， 银行网站得分仅 31 98 分 (满分 100 分 )，成为电子商务、招聘网站、婚恋网站和游戏网站等 7 个测评分类中得分最低的网站类型。 而银行对于国家经济的发展有着举足轻重的作用，加大力度保护公民的个人信息，提高公民对相关部门的满意度、信任度，才能更好的发展经济。 （二）保护个人信息是维护社会安定的要求 个人信息的泄漏，使得公民的生活受到了严重的影响，公民不仅要承受无休止的垃圾短信，甚至还可能因此带来经济或身体上的伤害。一些诈骗集团会利用泄漏的个人信息进行诈骗，有的甚至在知道个人的家 庭住址后，会去偷窃抢劫，这些都严重影响到了社会安定。在 2012年 3月 15日举行的个人信息保护大会上，同时还发布了一项关于个人信息的调查报告。在被调查的 2500 多名公众中，有60的被调查对象遇到过个人信息被盗用等问题， 66以上的人认为应该加大力度打击非法获取个人信息的行为。 而 2009 年的一项关于公众对个人信息滥用危害的认识中，有 人认为个人信息的滥用已经影响到生活安宁， 人认为会因为自己个人信息被滥用而感到压力或心情不快， 人认为个人信息的滥用对生命财产安全已经带来了严重的 威胁。 这些数据都说明，只有加大对个人信息的保护，才能更好的维护社会安定，实现社会的和谐。 （三）保护个人信息是维护公民基本权利的要求 信息化 的高速发展 ，一方面给人们的生活带来了极大的便利，同时它也给人们的生活带来了不必要的麻烦。个人信息对于经济发展的重要性，使得它被大量收集、利用、处理。而同时个人信息具有强烈的人身依附性，属于一种人格权。对个人信息的不恰当使用， 势必 会侵犯到公民的人格尊严、自由和独立。任何违背信息主体意志而对其个人信息进行滥用的行为都是对人格权的一种侵害。个人信息关乎人的自由和独立，只有对 其加强保护才能更好地促进个人的全面发展，维护公民的基本权利。 （四）保护个人信息是发展我国电子商务和电子政务的要求 随着信息化技术的发展，电子商务在经济发展中正发挥着越来越重要的作用。在进行网上交易的过程中，商家会在消费者知情或不知情的情况下收集公民的个人 信息，然后对收集到的这些信息进行不合理利用，给一些消费者带来很多 邹慧颖 J】 2012（ 13） :26. 邹慧颖 J】 2012（ 13） :26. 吕艳滨 R】 京：社会科学文献出版社， 2009（ 02） :363 兰州大学研究生学位论文 论个人信息的法律保护 的麻烦 ，所以很多消费者会放弃网上交易以保护自己的个人信息，这样就制约了电子商务的发展。同样，没有完善的个人信息保护体系，就难以发展电子政务，不利于建设高效、透明的政府。高效、透明的政府要求政 务信息的公开，但有些政务信息 又 会涉及 到 公民的个人信息，这 就 必然涉及到个人信息的保护问题。如果不解决个人信息的保护问题，可能会导致政府以保护公民的个人信息为名而拒绝公开政府信息，又或是在公开信息的过程中侵害到公民的个人信息。所以，电子商务和电子政务的发展都要求尽快建立完善的个人信息保护体系。 （五）保护个人信息是促进国际交往和合作的要求 随着我国加 入 内市场和相关行业的陆续开放，使得我国加快同其他国家的经济合作和交流已成为必然。然而，如果我国不能有效的保护个人信息，则势必会成为我国与他国经济交往中的一 个新的贸易壁垒。由于个人信息的重要性，各国都致力于加大力度对其进行保护。当前进行国际贸易的一条基本原则就是“没有隐私就没有贸易”，欧盟的立法就规定，只有第三国在个人信息方面达到了足够的保护水平，才能许可信息向该国传输。可见，一个个人信息保护法制不健全的国家，在国际经济交往中必然处于劣势地位，这也使得我国一些大型企业在国外开拓市场时，被禁止收集当地客户的个人信 息，使得在当地的市场竞争中完全处于不利地位。所以，为了在国际 交往中占有一席之地，为了使得我国在国际市场竞争中处于有利地位，为了加大国际交往和合作，我国必 须加大对个人信息的保护，建立完善的个人信息保护体系。 兰州大学研究生学位论文 论个人信息的法律保护 第三章 个人信息现状及存在 的 问题 人信息的现状分析 人信息 遭受 侵权的表现形式 在商业化的今天，个人信息因为其自身的特征，发挥着越来越重要的作用，对于公司和企业来说，掌握个人信息就意味着掌握了客户，所以，拥有足够多的个人信息是每个公司和企业的目标。在这种利益的驱使下，个人信息被侵犯的现象越来越严重。在 2009 年 2 月版的中国法治发展报告 2009）中就收录了一篇题名为个人信 息保护现状调研报告的文章。在 这篇文章中，列举了目前个人信息受到 侵害的八种表现形式： （一）过度收集个人信息 现在 很多公司或商家为了更好的掌握客户资料，都会要求客户填写很多与办理业务无关的个人信息。如一些客户在办理会员卡时，会要求填写婚姻状况、身份证号码、工作单位等。 （二）擅自提供个人信息 即未经信息主体的同意，而 将信息主体的个人信息提供给他人使用。如保险公司、银行等机构之间 在未经客户同意的情况下共享客户信息。 （三）擅自披露个人信息 即未经信息主体同意，而擅自将其个人信息公布于众。如学校擅自披露学生的一些私密信息，交警部门擅自将违 反交通规则的行人的个人信息如姓名、住址、工作单位等公布于众。 （四）超目的使用个人信息 即有关部门超出掌握个人信息的目的而加以利用。如电信公司在掌握客户手机号的情况下，不断向客户进行套餐推销。 （五）个人信息被冒用 即在信息主体不知情的情 况下，个人信息被他人冒用并办理有关业务。如冒用他人身份办理手机号码 ，再如 2009 年罗彩霞被她人冒名顶替上大学。 （六）掌握的信息不准确 即有关部门对于掌握的个人信息没有及时更新，从而带来很多不必要的麻烦。如民政局对于公民的婚姻状况掌握不准确，导致有人多次办理结婚登记， 吕艳滨 R】 . 中国法治发展报告 社会科学文献出版社， 2009（ 02） :356兰州大学研究生学位论文 论个人信息的法律保护 给当事 人带来很大痛苦。公安机关对于公民的身份证号掌握不准确，导致出现重号现象，给公民的生活带来很多不便。 （七）个人信息保管不善 即有关部门对于掌握的个人信息保管不善，从而导致个人信息泄露，给当事人带来很多 的 不便。如 某网站由于技术方面的漏洞， 从而 导致大量个人信息泄露。 （八）非法买卖个人信息 即有关机构对于已经掌握的个人信息，在未经信息主体同意的情况下，非法出售给他人，严重侵犯公民个人信息的行为。如前文中提到的谢新冲非法出售公民个人信息案，再如 2012 年的 12 5 打击侵犯个人信息专案。目前，非法买卖个人信息的行为 ，已经形成了一个完整的市场链条，正在不断侵蚀着公民的权利，社会的稳定。 当然，这八种方式并不能完全包含我国个人信息的侵权形式，随着互联网技术的发展，网络中的 侵权现象也愈演愈烈。例如，近几年出现的“人肉搜索”，虽然 可以在最短的时间内找出事情的真相，但同时它也成为了侵犯个人信息的一个手段。通过“人肉 搜索 ”，可以在很短的时间内找到 被 “人肉”者的姓名、电话甚至住址、工作单位，严重破坏了公民个人生活的安宁。 人信息遭受侵权的原因 （ 一 ）现有的法律制度和理论不完善 目前，我国对于个人信息的保护没有形成良好 的外部环境，现有的外部环境远远不能满足信息社会的发展要求。首先，从立法规模上看，我国没有完整的个人信息保护体系，现有的相关立法大都分布比较分散，内容也相对较为独立，在广度和深度上都 不 能对个人信息起到良好的保护作用。大多立法 也 都 是只重概括而没有对个人信息保护进行细化规定，这就导致这些法律法规在实际中缺乏操作性，无法提供有力的保护。其次，从执法方面看，政府为了日常的行政管理工作，掌握一定的个人信息是必要的。 但是，由于缺乏法律规定 ，使得政府在执法过程中，会出现侵犯个人信息的情况，给公民带来了很大麻烦。最后，从司法 方面看，我国现 有的间接保护模式没有办法为个人信息提供充分的保护。当个人信息受到 侵害时，司法机关也大多是按照隐私权、名誉权等情况来处理， 而这种保护力度 是远远不够的。 （ 二 ）对网络服务商的监督管理力度不够 网络媒体的发展，在带给人们生活 便利的同时，也使得大量的个人信息被泄漏和非法利用，对个人的安全、 社会的安定带来了一定程度的威胁。而目前 兰州大学研究生学位论文 论个人信息的法律保护 我国对于网络的规定多是从泄漏国家秘密、知识产权等方面进行的，对于个人信息的保护则很少。立法方面的不足，使得很多网络服务商有机可乘，侵害公民的个人信息。同时，我国的互联网行业自 律不成体系，不能从内部对互联网起到一种很好的约 束作用。这些都使得互联网侵害公民个人信息的行为愈演愈烈。 所以，加强对网络服务商的监督管理就势在必行。 （ 三 ）公民个人保护意识的薄弱。 由于我国关于个人信息立法的滞后，公民对于个人信息的保护意识并不强，在现实中，经常会不自觉地泄漏自己的个人信息。如，上网申请账号、办理各种会员卡及银行卡、网上购物等，这些情况下商家会要求公民填写个人信息，如果商家管理不善，这些信息很有可能遭到泄漏或被非法利用。再有，在现实中，公民经常会接到一些骚扰短信或电话，在这种情况下，大部分的人 都会选择置之不理，从来没有想过自己的信息已经遭到泄漏，应该采取一些措施进行补救。所以，我国公民应该加强自我个人信息保护的意识。 人信息的 立法 保护现状 人信息 保护的相关 法律 条文 我国目前还没有针对个人信息保护的专门立法， 虽然对于 个人信息 进行直接保护的法律条文很少 ， 但是 我国还是 存在很多对个人信息进行间接 保护 的法律条文 。 宪法是我国的基本大法，在宪法中对于个人信息给予了保护。如宪法第 38 条中规定公民的人格尊严不受侵犯； 第 39 条规定公民的住宅不受 侵犯；第 40 条则将公民的通信自由和通信秘 密纳入了保护的范畴。 民法对个人信息同样做出 了间接性的保护。 民法 通则 的第 100 条，第101条以及第 102条分别对 公民的肖像权、名誉权和荣誉权进行了有关规定 。 侵权责任法 的第 2 条对公民的姓名权、名誉权、荣誉权、 肖像权和隐私权进行保护，规定侵害这些权利，要承担相应的侵权责任； 第 36 条对网络用户、网络服务提供者利用网络的行为做出了一定的限制，对于个人信息的保护有一定的作用； 第 62 条规定了患者的隐私权，医疗机构及工作人员应该为患者进行保密。 我国的三大 诉讼法 同样也 存在 相关法律 条文 来对 公民的个人信息 进行保护 。诉 讼法的保护主要体现在对于涉及 个人 隐私的案件实行不公开审理 制度。如， 民事诉讼法第 66 条规定了证据的出 示制度，其中规定对于涉及个人隐私的证据应该保密。 刑事诉讼法第 152 条也规 定了对于涉及个人隐私的案件实行 不公开审理的制度。而 行政诉讼法在第 45 条同样规定了 人民法院在审 兰州大学研究生学位论文 论个人信息的法律保护 理 涉及 个人 隐私的行政案件 时 ，不 予 公开审理。 2009 年 2 月 28 日公布实施的刑法修正案（七），其中增加了对公民个人信息的保护条款 ，在 刑法 第 253 条后增加了一条，作为第 253 条之一。新条文的内容如下：“国家机关或者金融、电信、交通、教 育、医疗等单位的工作人员， 违 国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处 3 年以下有期徒刑或者拘役，并处或者单处罚金。”“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。”“单位犯前两款罪的，对单位判处罚金，并对其直接负责 的主管人员和其他直接责任人员，依照各该款的规定处罚。”这就是本文在第一章所提到的“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。该条文对个人信息给予了明确的保护，对于个人信息的保护来说是一个很大的进 步。 除了直接保护外， 刑法 还有许多法律条文 对个人信息 给予了间接保护， 如刑法第 245 条就对公民的身体、住宅进行了保护，当侵害公民的这些权利时，应该受到相应的刑罚制裁；第 252 条则对公民的通信自由权利就行了规定。刑法作为保障人权罪严厉的手段，在保护个人信息的过程中，发挥了重要作用。 除此之外，我国的一些单行法律对于个人信息的保护也做出了一些规定。如居民身份证法 第 6 条就规定了公安机关及人民警察在职务工作中对获得的公民个人信息，应当保密。护照法第 12 条也规定，护照签发机关及工作人员 对 在工作中获得的公民个人 信息，应当保密。 未成年保护法第 30 条规定，任何组织和个人不得披露未成年人的个人隐私。妇女权益保障法第 39条也规定了妇女的名誉权和人格尊严受法律保护。另外，商业银行法规定了商业银行应当为存款人保守秘密的原则。邮政法规定邮政企业和邮政工作人员应当为用户保密，不得向他人提供用户的邮政业务使用情况。 律师执业行为规范规定了律师必须为委托人保守个人隐私。执业医师法规定医生不得披露患者的健康信息。 除 了相关的法律规定外， 还有相关司法解释的规定，也对保护个人信息起到 了一定的作用。最高人民法院在关于 贯彻执行中华人民共和国民法通则若干问题的意见（试行）中，就对个人信息的保护进行了规定：第 139 条规定了公民的肖像权受到法律保护，第 140 条规定了个人的名誉权受到法律保护，第 141 条则对公民的姓名权、名称权进行了法律保护 。 人信息 法律 保护 存在的问题 （ 一 ）个人信息法律保护范围狭窄 兰州大学研究生学位论文 论个人信息的法律保护 通过对上诉相关立法的分析可以看出，我国对于个人信息的保护主要是通过对隐私权的保护来间接实现的，对于个人信息的直接保护则很少，而隐私的范围相较于个人信息 而言 小很多， 隐私只是个人信息的一个部分，这就使得对个人信息的保 护范围缩小了很多 ，在侵权发生后，不利于权利主体进行法律救济，不能完整的保护信息主体的合法权益。 （ 二 ）缺少统一的 法律 保护体系 从目前我国的立法状况来看，对于个人信息进行保护的法律分布比较分散，内容也相对较为独立，大部分都只涉及到了一个部分，立法内容在广度和深度上都不够，不能 形成完整的保护体系。立法的缺失，导致不能在社会上形成一个良好的保护氛围 。 这同时也导致了个人信息遭受侵害后，寻求法律保护的困难。 所以，现行立法不能满足对公民个人信息的保护。 （ 三 ）法律法规缺乏操作性 我国现在对于个人信息 保护 的 法律虽然有很多 ，但缺乏纲领性的立法文件，现有的立法文件，也大都 只 重概括而 没有 对个人信息 的 保护进行细化规定，导致这些法律缺乏具体的操作规范。而对个人信息进 行直接保护的刑法修正案（七），虽然制定了两个罪名打击侵犯 个人信息的行为， 但 仍然存在很多不足。首先，它没有对个人信息的概念进行规定，导致保护对象的不明确。其次， 对于“非法提供”“非法获取”的行为方式规定不明确，这里的“法”应该指个人信息保护的法律，但我国目前尚没有统一的立法保护 。 再有第二条里的“窃取”很容易理解，但“其他方法”则规定不明确， 这都会给 法律执行时会带来很多不 便。最后 ， 对于法条中提到的“情节严重”没有做出具体的说明，这又导致了在适用法律时的不 明确。 （ 四 ）补偿救济机制不够完善 我国目前的法律规定大多缺乏灵活性，只规定了个人信息 需要受到保护，但对于被侵害后的救济机制规定不甚明确。这就导致对个人信息的保护大都停留在法条上，而不利于实践中的操作和执行。从保护手段来看， 虽然 刑法对于制裁 侵犯 公民 个人信息的行为 尚有很多不足，但是它做出了具体的救济措施。在现实中，政府机关掌握了大量的公民个人信息，当政府侵害了公民的个人信息时，被害人也可以通过行政救济的手段来进行救济。但是，在 民法方面，却没有建立相应的民事责任和补偿机制，这导致公民的财产及非财产 在 受到损害时得不到实质性的补偿。 （ 五 ） 缺乏个人信息跨境流通的规定 随着国际经济交流与合作的加强，我国为了发展经济，必须加入到国际经济交流中去。而跨境流通的个人信息对于跨境公司的发展有着重要作用，很多 兰州大学研究生学位论文 论个人信息的法律保护 国家特别是一些发达的欧美国家都对个人信息的跨境流通做出了许多法律规定。由于我国法律目前没有关于个人信息跨境流通的规定，就使得我国在国际贸易中受到了很多限制。我国企业既无法接受欧洲数据处理外包，也无法进口欧洲客户的数据，这严重制约了我国对外经 济的发展。所以，为了我国对外贸易的发展，制定相关个人信息跨境流通的规定就势在必行。 兰州大学研究生学位论文 论个人信息的法律保护 第四 章 域外个人信息 保护 现状 外个人信息保护模式 盟个人信息保护 模式 （一） 欧盟个人信息保护模式 简介 欧盟是个人信息保护立法的模范和先驱，为世界个人信息安全保护做出了重要的贡献。相比较于经济发展来说，他 们 更加注重的是民众的权利。所以，在个人信息保护问题上，他们的基本立场就是保障人权。 因此， 他们是通过立法的方式 来对个人信息进行保护的。欧盟个人信息保护 模式的基 本特征就是由政府制定统一的法律，并且通过法律来明确规定公民的 各项基本权利以及侵犯公民的个人权利后的补偿救济手段。除了欧盟统一的立法外，他还要求各成员国应该制定各国的国内法，建立统一规范的个人信息保护法律体系。 欧盟的个人信息保护模式也被称为统一立法模式。 欧盟在 1995 年 颁布 的 欧盟个人数据保护指令就是个人信息保护立法方面的典型代表。 这个指令 几乎涉及到了个人数据保护的方方面面，它对个人数据进行合法性处理的一般原则、司法救济、向第三国转移个人数据、监管机构和执行措施等都进行了规定。 该指令主要想达到以下两个目的： 1、欧盟内部各国之间，实行最低限度的个人数据保护标准； 2、在欧盟内部，鼓励个人数据在各国之间的自由流通，禁止欧盟成员国打着保护个人数据安全的旗号，阻止个人数据在欧盟各国之间的自由流通。 同时， 这个指令 还要求各成员国根据此来制定或修订符合本国国情的个人信息保护法，但都必须达到 其 所要求的最低保护限度。 这 个指令 建立了欧盟进行个人信息保护的基本框架 ，同时对欧盟以外的国家也产生了重大影响，成为世界上众多国家制定个人信息保护法的一个重要参照。 2002 年欧盟又发布了隐私与电子通信指令， 主要针对的是电子通讯业务。规定电子服务提供商必须采取适当技术和措施来保证系统和服务的安全。 2006 年欧盟又发布了数据留存指令，其目的是协调各国关于数据处理的冲突，实现在尊重当事人权利的同时，还可以兼顾国家及社会的安全，保证数据可以用于对严重刑事犯罪活动的调查、侦查和起诉。 以上这三个指令，构成了目前欧盟进行个人信息保护的立法主体，对世界 郭瑜 M】 北京大学出版社 46. 周汉华 M】 法律出版社 232. 兰州大学研究生学位论文 论个人信息的法律保护 上的其他国家也产生了重要影响。 （二） 欧盟个人信息保护模式评析 欧盟的这种统一立法与各成员国国内立法相结合的 统一立法 模式呈现出以下几个特点 : （ 1）统一立法。欧盟对于个 人信息的保护都制定了统一的法律，并将个人信息上升为公民的基本人权，这使得个人信息的保护可以明确化、具体化，有利于人权的实现。 （ 2）设立了独立的个人信息保护机构。该机构在行使保护职权时完全独立，为公民的基本权利的实现提供了充分的法律保障，当权利受到侵害时，可以得到充分的救济。 （ 3）个人信息保护呈现出 国际化、统一化的趋势。欧盟的立法规定，只有第三国在个人信息方面达到了足够的保护水平，才能许可信息向该国传输。这就使得期望于欧盟进行经济合作的国家，必须制定足够的法律保护，这在客观上会促进全球个人信息保护的发展。 欧盟的立法模式对于保护公民个人信息有着重大的作用，但是 它对信息的自由流通造成了一定的阻碍，在一定程度上不利于经济的发展。实施成本较大，负担较重。 国个人信息保护 模式 （一） 美国个人信息保护模式简介 个人信息保护，体现的是 保护 个人权利及促进经济发展等多元化的价值，欧盟在两方面的选择上，倾向于个人权利，而美国更侧重的是经济的发展，其对于个人信息保护的基本立场是反对滥用。所以美国采取了一种较为灵活的保护模式，即将分散式立法模式、行业自律模式和安全港模式结合起来使用的保护模式。