个人信息保护论文范文

个人信息保护论文范文第1篇

关键词：个人信息；个人信息权；立法

一、个人信息的界定

目前全球已经有50个国家或地区制定和颁布了个人信息保护法。各国或是地区在法律中对个人信息的称谓有所不同，如“个人数据”、“个人资料”、“个人隐私”、“个人信息”。采用“个人数据”称谓的。如Directive95／46／ECoftheEuropeanParliamentandoftheCouncilof24October1995ontheProtectionofIndividualswithRegardtotheProcessingofPersonalDataandontheFreeMovementofsuchData。简称欧盟95指令。采用“个人资料”称谓的，如1977年德国的《联邦资料保护法》。采用“个人隐私”称谓的，如1974年美国的《隐私权法》。采用“个人信息”称谓的，如2003年日本的《个人信息保护法》。

“个人数据”和“个人资料”的英文均为“PersonData”，两个称谓只是中文的翻译不同而已。“个人数据”指与已识别或可识别的与个人(自然人，又称数据主体)相关的任何资料。“个人信息”指自然人的姓名、出生年月日、身份证号码、户籍、遗传特征、指纹、婚姻、家庭、教育、职业、健康、病历、财务情况、社会活动及其他可以识别该个人的信息。

个人数据(资料)与个人信息的区别如下：首先。个人数据(资料)侧重于客观形式，而个人信息偏重于数据或是资料所反映的内容。从资料和信息的内在关系看，资料是信息的载体，信息是资料表现的内容。从这个角度理解，数据(资料)是信息的表现形式，信息是数据(资料)所体现的内容。其次，个人信息的表现形式是多种多样，并不一定表现为个人数据(资料)形式，不以个人数据(资料)的物化形式存在的个人信息是大量的。最后，数据是一个偏技术性的概念，一般认为个人数据是指与个人相关的任何资料，也包括家庭的一些相关情况等。信息则是指经过处理后得到的数据。其与数据最大的区别在于它经过了处理过程。

随着个人信息保护法的发展，人们越来越多地开始使用“个人信息”这一概念。这是因为立法的目的在于保护个人数据或是个人资料所反映出来的个人信息，而不是简单保护个人数据或个人资料本身。而保护个人信息的目的是为了保护个人信息所能识别的自然人。简而言之，保护个人数据或是资料的目的就在于保护个人信息所指向的个人。因此，“个人信息”一词更能体现个人信息保护法的立法本意。

“个人隐私”的称谓主要出现在英美法系之中。1890年两位著名的美国法学家萨缪尔·D·沃伦和路易斯·D·布兰戴斯在《哈佛法律评论》上发表了著名的《隐私权》(TheRighttoPrivacy)一文，随后隐私权的内容在法学研究、立法和司法领域得到了认可和逐步扩展。关于隐私的定义。学界也是众说纷纭。有学者认为，隐私是指公民的私人生活安宁不受他人非法干扰。私人信息不受他人非法搜集、刺探和公开等。隐私权，是指公民享有的私人生活安宁和私人信息受到法律保护，不被他人非法侵扰、知悉、搜集、利用和公开等的一种人格权。还有的学者认为，隐私不仅包括私人生活安宁不受他人非法干扰，私人信息保密不受他人非法搜集、刺探和公开，还包括对个人私事的决定。由此可见，隐私主要是指那些私密的，不愿公开的个人信息。如果我们选择个人隐私这一概念，就相当于将不涉及隐私利益的个人信息都排除了在了法律保护的大门之外，显然是不足取。

二、个人信息权利的属性

立法中所体现出来的个人信息权利的属性是不尽相同的，大致有三种：

(一)隐私权

典型代表是美国法，认为对个人信息享有的权利是一种隐私利益。对其保护应当采取保护隐私权的权利形式。1974年美国参众两院通过了《隐私权法》，主要规制政府机构理个人信息的行为。1980年经济合作与发展组织(OrganizationforEconomicCooperationandDevelopment，简称OECD)通过了《OECD关于隐私保护与个人数据跨疆界流动的指导原则的建议书》(GuidelinesontheProtectionofPrivacyandTransborderFlowsofPersonalData，OECD)，该法律文件除了跟美国《隐私权法》一样在标题中就清楚标示为隐私，文件中也多处提到，如第二条，“这些指导原则适用于个人数据，不管其是属于公共领域还是私人领域。因为处理方式或者因为他们的性质或被使用的语境。他们对隐私和个人自由构成危险。”我国香港个人资料(隐私)条例也采隐私权说，其绪言指出：“本条例旨在个人资料方面保障个人的隐私。并就附带事宜及相关事宜订定条文。”

(二)人格权

典型代表是德国法。认为个人信息体现的是一种人格利益，对其保护应采用人格权的保护形式。德国1977年《联邦个人资料保护法》规定，个人信息保护的目的是保护个人隐私。但是由于隐私权说与德国整个法律文化不相协调，在1983年被德国联邦《人口普查案判决》。该判决认为资料何种情况下是敏感的不能只依其是否触及隐私而论。德国1990年修改后的《联邦资料保护法》第一章“一般条款”第一条规定：“本法旨在保护个人的人格权，使其不因个人资料的处置而遭受侵害。该法的目的是为了保护个人人格权在个人信息处理时免受侵害。”我国台湾地区《计算机处理个人数据保护法》在总则部分第一条规定：“为规范计算机处理个人数据，以避免人格权受侵害，并促进个人资料之合理利用，特制定‘本法’。”

(三)基本人权

国际组织多采此说。认为个人信息体现的是一种基本人权，即关于个人基本权利和自由的综合权利。欧洲议会公约在绪言中指出：“考虑到在自动化处理条件下个人资料跨国流通的不断发展，需要扩大对个人权利和基本自由。特别是隐私权的保护。”欧盟95指令绪言规定，“各成员国对于个人权利和自由特别是隐私权，在个人数据处理过程中不同的保护措施可能会阻止这些数据在成员国之间的传送。”联合国指南第一条规定：“不得用非法或者不合理的方法收集、处理个人信息，也不得以与联合国的目的和原则相违背的目的利用个人信息。”联合国的目的和原则体现的是对人的权利和自由的保障。

我国将来制定个人信息保护法时，应如何定位个人信息权利的法律属性呢?笔者认为：首先不宜定性为隐私权，这是因为采取该种界定不能全面地保护我国的个人信息。其次，人格权属性也应排除。一般人格权是指公民和法人享有的，概括人格独立、人格自由、人格尊严全部内容的一般人格利益。并由此产生和规定具体人格权的人的基本权利。个人对其本人信息的权利其实是一种个人信息控制权，即个人对自己的何种信息被何种组织以何种方式收集、储存、使用等的一种决定权。显然人格权的外延囊括不了个人信息控制权。最后，为了与我国现有法律体系相协调，也为了更全面的保护个人信息权利，我国宜采用基本人权说。

三、个人信息保护的基本原则

不管是英美法系还是大陆法系国家均在其个人信息保护法中对个人信息保护原则做了明确规定。借鉴国外经验，我国个人信息保护法应规定以下基本原则：

(一)信息质量

信息处理者应该在拥有合法权限的前提下，依照法定的程序获取和传播(包括)信息。收集信息是基于特定的目的，在取得信息之前目的已经明确化。之后的储存和使用行为必须受到先前收集时特定目的的约束，行为应该与特定目的具有充分而不多余的关系。数据管理者有义务保证储存的信息是准确的，并且随着时间的推移应当保持信息的适时更新。信息应以信息主体可以进行访问的方式进行储存，且信息的储存时间不应超过储存信息所必须的期限。

(二)信息处理的合法性

信息处理者在保证信息质量的前提下，需经信息主体同意，才可以对个人信息进行处理，法律另有规定的除外。除外情况有处理数据是履行法定义务的要求；为了保护信息主体的重大利益所必须；履行与信息主体之间合同所必要的；进行信息处理不损害法律所保护的权利且管理者对信息处理具有法律上的利益等。不管依哪种前提对个人信息进行处理。在处理之前管理者应该告知信息主体相关事项，包括处理个人信息的目的与方法；提供信息是否是强制义务，拒绝提供的法律后果；信息的使用范围，信息接收者的身份类别；信息主体享有确认、更改、删除、获得信息和拒绝处理信息的权利；个人信息控制着的身份和住所或营业场所所在地等。

(三)信息公开

信息处理者要使得信息主体能够了解和掌握以下内容：自己的哪些信息当前被管理者所控制、正在或将被采取何种方式的处理行为、处理的主要目的是什么、信息控制人的身份及其住所地或是营业场所。具体到政府部门而言，信息公开原则的内容为：上级行政部门接到下级行政部门呈报的个人信息档案以后，将其分类目录在政府公报上公布；保管个人信息档案部门的负责人有义务将个人信息目录制作成个人信息簿供一般人阅览：任何人都拥有请求阅览关于自己个人信息的权利，有关不供阅览的理由应予以记载；管理部门在接受阅览请求后合理期限内必须做出答复；对行政部门做出不能公开，即不可阅览决定有异议时，可以提出意见，并根据行政复议法提出异议申请，或根据行政诉讼法提讼；信息主体可以要求管理部门对保管信息的内容做出订正。

(四)信息安全

为了保证个人信息的安全。信息处理者应当采取适当的技术上和组织上的安全措施。保证个人信息免受意外的、未经授权的访问、修改、丢失、破坏或损害，以及其他未经授权的个人信息处理的需要。在要求信息处理者采取技术或是组织上的安全措施时要考虑其现有的技术水平以及采取措施的成本，同时结合其所控制信息的性质和潜在的危险，采取的措施既可以保证信息的安全又不会给管理者造成很大的负担。任何能够访问信息的管理者及其授权的人员必须在有管理者的明确指示下才能对数据进行处理，法律法规要求履行的强制性义务除外。此外信息处理者的工作人员在工作期间及工作结束后的一定时期内应该负有保密义务，不得非法泄露其工作时所接触到的个人信息。

四、特殊行业的特别立法和行业自律

(一)特殊行业的特别立法

将个人信息的保护纳入法治的轨道，是社会和经济发展的需要，但是不同的行业和领域对个人信息的使用情况是各不相同的，因此对所有行业适用整齐划一的措施是不现实的，这样就需要针对特定的行业和领域制定特别的法律规范。这些领域包括医疗、电信、网络、征信、金融、统计等。例如，个人医疗信息除了用于患者个人的康复外，还被用于医学教育及医学研究等，可以促进医疗水平的提高和医学界的发展，具有很强的公益性，鉴于其特殊性对其进行特殊规定是必不可少的。我国个人信息的网络立法保护很零散，有《全国人民代表大会常务委员会关于维护互联网安全的决定》、《中华人民共和国电信条例》、《互联网信息服务管理办法》、《互联网电子邮件管理办法》。缺少专门立法；仅规制个人信息的不当泄露和通信自由及通信秘密受到侵害，对于个人信息的收集、持有、使用等环节没有相应的管理保护机制除了《侵权责任法》外，我国还应进行专门的网络立法，规定网络个人信息保护。我国的个人信用服务业正在逐步发展，但是目前尚没有一部直接规范个人信用服务机构及业务的专门法律。个人信用服务行业缺乏统一的法律规范。我们需要通过特别立法将信用信息的采集、加工、生产、销售、使用的全过程加以规范。

个人信息保护论文范文第2篇

法律明确规定，国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。

(一)公民个人隐私的电子信息

民法学界对于隐私权的性质界定和范围划分在立法上没有明确，以《侵权责任法》为例，未详细规定隐私权的概念和范围，但第2条第2款规定:“本法所称民事权益，包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自……”第62条第1款规定:“医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意公开其病历资料，造成患者损害的，应当承担侵权责任。”目前，民法学界通行的观点认为，隐私权作为一项具体人格权，是指自然人享有的私人生活安宁与私人信息秘密依法受到保护，不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。这就意味着在电子信息保护的角度，仍需要具体界定个人隐私的内涵和外延。一般认为，隐私权仍应以生活安宁和私人秘密作为基本内容，当然可以进一步类型化为独处的权利、个人生活秘密的权利、通信自由、私人生活安宁、住宅隐私，等等。就私人生活秘密而言，又可进一步分类为身体隐私、家庭隐私、个人信息隐私、健康隐私、基因隐私等;甚至根据不同的场所，又可以分为公共场所隐私和非公共场所隐私等。这些隐私权的内容与网络手段相连接，如电子邮件、健康电子记录、电子病历，甚至一旦被摄像机偷录偷拍的住宅隐私等，如何依据《决定》保护电子个人隐私，在现阶段仍需考虑司法适用的恰当性，同时可以预期未来《人格权法》的具体界定。在现阶段至少可以认定，何为公民个人隐私的电子信息，一方面需要与民法相关规定相结合，从法理理论理解或者阐述隐私权和网络隐私权的具体人格权性质;另一方面，司法解释或者司法实务可以把无争议的隐私权事项固定下来，一般认为传统隐私事项包括教育、财务、医疗、电话号码、职业、犯罪状况或与家庭生活有关的信息以及与性有关的信息，等等。既然在传统隐私权角度视为隐私，在电子信息领域作为个人隐私保护当无可置疑。

(二)可识别公民个人身份的电子信息

关于能够识别公民个人身份的电子信息“可识别性(identified)”是其本质特征。中国对于“可识别性”缺少具体的界定，域外法则有相对明确的规定。例如，欧盟1995年《EU数据保护指令》第2条:“身份可识别的人是指其身份可以直接或者间接确定其身份，特别是通过身份证号码或者一个或多个与其身体、生理、精神、经济、文化或社会身份有关的。”根据中国的社会文化解读法律，能够识别公民个人身份的电子信息是指能够直接或者间接识别公民个人身份的一切电子信息，一般包括公民个人基本信息(身份证号、姓名、性别、年龄、民族等)，家庭基本状况(户籍所在地、出生地、父母子女配偶情况等)，社会生活经历(教育程度、升学就业状况、工作经历)以及政治背景和宗教(政治倾向、参加政治党派、等)方面。能够识别公民个人身份的电子信息，需要明确以下几个问题:第一，法律仅仅保护能够识别公民身份的个人电子信息，排除外国人、无国籍人不具有公民身份的自然人和法人的电子信息。在这个问题上，《决定》仅是从对中国公民权利的保护角度来立法的，首先在立法上忽略了在中国生活和工作的外国人群体。其次，在立法理念上忽略了个人电子信息作为一种战略资源的重要地位。现今国际社会对于个人信息的立法不仅在于保护，更在于加强信息的流动性。如《EU数据保护指令》第1条明确规定，不得以保护自然人的基本权利及自由为由，限制、禁止个人数据在成员国之间自由流通。也就是说，个人信息保护制度作为基本准则被确立之后，必须注意到促进经济活动自由才是目的。同时，欧盟各国在与EU指令相衔接立法中都明确规定，对于个人信息保护不力的国家，禁止向其传输和流通个人信息。中国立法如果仅保护本国公民信息安全，在整个国际信息化建设和资源流通上将陷于被动境地。因此，在可识别个人身份的电子信息方面，公民范畴狭窄，应从自然人角度调整立法，以适应国际立法的一贯模式。第二，直接识别或间接识别，即可识别性的判断标准。现行法律仅规定了可识别这个法律术语，如何在司法适用中确认哪些为可识别的信息，哪些不能明确识别公民身份，一般可以采取列举的方式。但个人信息在网络传播时代很难由法律机械规定全部可识别的信息。综观欧盟各国立法，几乎都采纳了“可识别性”作为基本定义。所谓识别，在电子信息领域是指在个人电子信息与电子信息的公民主体之间存在必然的客观性联系，通过一般人的甄别、鉴别，能够把电子信息与公民主体连接起来或者鉴别公民主体的信息界定、传播等行为。那么，在司法适用过程中需要界定哪些电子信息可以识别公民身份，一般可以把信息分为直接识别信息和间接识别信息两类，当然在一定环境下，这两种信息可能发生转换。一般而言，直接识别信息是指可以单独或者直接识别公民个人身份的电子信息，比如身份证号码、基因信息等;间接识别信息一般需要数个信息相互印证才能识别公民个人身份，比如姓名、性别、年龄、民族、职业等。当然这种划分标准只是相对的，比如姓名，在一定范围内(一个班级内QQ群或者论坛)可以直接区分，但在一个行政区域或者全国领域内就不能作为直接识别信息。又比如，生活经历，绝大多数公民单纯凭借生活经历很难具有可识别性，但在特定历史时期，经历有特殊性并且为大众所熟知，一般人可以很直接地断定身份，可视为直接识别信息。其次，无论是直接识别信息还是间接识别信息，识别遵循如下顺序，非法获取、出售或提供电子信息———识别———反馈或信息再流动。所以，进入法律视野的可识别的公民个人信息在手段上有非法性、信息本身具有可识别性、结果具有流通性。若手段合法，则不存在法律介入;如果信息不能识别公民身份，就不会造成侵权;若仅有识别而没有反馈(如跟帖内容中表明公民身份、人肉搜索等行为)和信息再流动，很难确认该信息是否有识别性。最后，在第二阶段识别具体的判断标准是遵循客观标准还是主观标准，是一般人标准还是专业标准。采纳客观标准意味着判断是否属于“可识别性”，需要具备直接识别信息或者几个间接识别信息，能够形成一个标准的、可操作的规范。选择主观标准则更灵活，只要经过主体判断能够达到内心确信的识别该公民则符合要求。一般而言，网络公民电子信息的侵权绝大多数发生在民事领域，判断标准要求不需要太严格，同时为了加大对非法获取、出售、提供电子信息的打击，以一般人标准和主观标准鉴别即可。

二、个人电子信息收集、使用原则

为了有效地保护公民个人信息，许多国家和地区立法时在保障信息流动的前提下，设置了信息收集、使用、传播的基本原则，贯彻整个法律。在网络个人电子信息领域中国规定了以下基本原则:

(一)目的明确原则

收集个人电子信息的目的应先予明确说明，并且使用或处理应当符合上述目的。《决定》第二项规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。”具体而言，公民个人电子信息可以收集、使用，但是应当遵循制定的一个或者多个合法的目的，并且收集和使用规则应事先公开，保障公民的知情权，这对相关信息收集、使用企业和其他组织提出了具体的要求。

(二)合法、公正原则

对个人电子信息应通过合法公正的方式获取、处理、使用，必要时应当通知个人信息主体或征得同意。“网络服务提供者和其他事业单位在收集、使用公民个人电子信息时应当合乎法律、法规或者双方的约定。”这一原则是立法和司法的基础，具体在司法适用中，如何认定是否符合收集目的、方式和范围，哪些必须征得信息主体同意，哪些只要通知信息主体即可，目前未作明确规定。在中国，网络公民个人电子信息侵权的表现是最复杂和高发的，一方面与网络本身的特点有关，另一方面也与公民个人对信息保密不重视有关。例如，消费者购买产品，为了所谓VIP客户或者折扣返现等优惠政策，有些电子商务网站不仅要求消费者留下姓名、地址、电话，甚至有的要求提供身份证号码，而消费者一旦拒绝则不能享受相应的优惠待遇，消费者只能屈从于这些信息收集者，使之获得大量非必要信息。再如，很多网站或者软件程序在申请使用其服务时，要求消费者同意一些知情条款，这些格式条款貌似向公民个人履行了征得同意或者通知的义务，但是一旦消费者拒绝该条款则不能享受相关服务，实际上剥夺了其同意权。因此，在收集使用方式上，其行为和手段均要合法，必要时应通知信息主体或者征得其同意，一般应以书面的形式。在收集信息时，应出示收集的法律依据、目的或者相关文件;为避免对信息主体造成不利影响，必须尽量向信息主体本人收集。如果个人电子信息涉及能够识别公民个人身份的信息和公民个人隐私信息，不同的信息要求条件也应有差异，对个人隐私等敏感信息要求更严格。

(三)安全保障原则

在安全保障原则统领下，要求网络服务提供者和企业、事业单位在业务活动中保障公民个人电子信息安全，采取必要的措施，如电子加密、加强监督管理、电子信息授权访问制度等，在业务领域杜绝泄露丢失等现象。同时，网络服务者须加强日常监管，对于网络禁止或传输的信息，如人肉搜索或者侵犯名誉权的信息，一旦查实，应采取相应安全保障措施，维护整个网络环境安全。

(四)权利保护原则

该原则赋予个人申请权利保护的权利，虽然中国尚未明确规定个人参与原则，但是可以作为公民个人信息控制权的雏形，在一定程度上获得权利保护。主要包个人的拒绝权、信息删除申请权以及举报、控告、权。拒绝权针对的是消费者反映强烈的垃圾短信息的问题，明确任何组织和个人未经电子信息接收者同意或者请求，以及电子信息接收者明确表示拒绝的，不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。这一规定从源头解决了个人信息贩卖问题。信息删除申请权是在公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息，或者受到商业性电子信息侵扰时，有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。该权利也是信息控制权的内容之一，个人信息保护或者隐私权的保护在信息时代不再仅仅是对侵权行为的惩处，而更多的是个人参与控制自身信息的权利。申诉、控告及权是任何组织和个人对窃取或者以其他非法方式获取、出售或者非法向他人提供公民个人电子信息的违法犯罪行为以及其他网络信息违法犯罪行为，有权向主管部门举报、控告;接到举报、控告的部门应当依法及时处理。被侵权人可以依法提讼。

(五)责任原则

对有违反本决定行为的，依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务等处罚，记入社会信用档案并予以公布;构成违反治安管理行为的，依法给予治安管理处罚;构成犯罪的，依法追究刑事责任;侵害他人民事权益的，依法承担民事责任。

三、监管机构与行业自律机制互动

个人信息保护论文范文第3篇

关键词隐私权法个人信息信息公开信息安全政府

1974年12月31日，美国参众两院通过了《隐私权法》（ThePrivacyAct）［1］，1979

年，美国第96届国会修订《联邦行政程序法》时将其编入《美国法典》第五编"政府组织与雇员"，形成第552a节。该法又称《私生活秘密法》，是美国行政法中保护公民隐私权和了解权的一项重要法律。就政府机构对个人信息的采集、使用、公开和保密问题作出了详细规定，以此规范联邦政府处理个人信息的行为，平衡公共利益与个人隐私权之间的矛盾。

1立法原则

《隐私权法》立法的基本原则是：

①行政机关不应该保有秘密的个人信息记录；

②个人有权知道自己被行政机关记录的个人信息及其使用情况；

③为某一目的而采集的公民个人信息，未经本人许可，不得用于其他目的；

④个人有权查询和请求修改关于自己的个人信息记录；

⑤任何采集、保有、使用或传播个人信息的机构，必须保证该信息可靠地用于既定目的，合理地预防该信息的滥用。

2适用范围

《隐私权法》对该法出现的"机关"、"人"和"记录"等概念的适用范围做出限定。

2.1机关(agency)

该法中的"机关"，包括联邦政府的行政各部、军事部门、政府公司、政府控制的公司，以及行政部门的其他机构，包括总统执行机构在内。该法也适用于不受总统控制的独立行政机关，但国会、隶属于国会的机关和法院、州和地方政府的行政机关不适用该法。

2.2人(individual)

该法中的"人"，是指"美国公民或在美国依法享有永久居留权的外国人"。

2.3记录(record)

该法中的"记录"，是指包含在某一记录系统中的个人记录。记录系统是指"在行政机关控制之下的任何记录的集合体，其中信息的检索是以个人的姓名或某些可识别的数字、符号或其他个人标识为依据"。个人记录是指"行政机关根据公民的姓名或其他标识而记载的一项或一组信息"。其中，"其他标识"包括别名、相片、指纹、音纹、社会保障号码、护照号码、汽车执照号码，以及其他一切能够用于识别某一特定个人的标识。个人记录涉及教育、经济活动、医疗史、工作履历以及其他一切关于个人情况的记载。

3记录公开的限制和登记

3.1禁止公开的原则

行政机关在尚未取得公民的书面许可以前，不得公开关于此人的记录。

3.2例外

《隐私权法》规定了行政机关可以公开个人记录，无需本人同意的12种例外情况。

⑴为执行公务在机关内部使用个人记录；

⑵根据《信息自由法》（theFreedomofInformationAct）公开个人记录；

⑶记录的使用目的与其制作目的相容、没有冲突，即所谓"常规使用"；

⑷向人口普查局提供个人记录；

⑸以不能识别出特定个人的形式，向其他机关提供作为统计研究之用的个人记录；

⑹向国家档案局提供具有历史价值或其他特别意义值得长期保存的个人记录；

⑺为了执法目的向其他机关提供个人记录；

⑻在紧急情况下，为了某人的健康或安全而使用个人记录；

⑼向国会及其委员会提供个人记录；

⑽向总审计长及其代表提供执行公务所需的个人记录；

⑾根据法院的命令提供个人记录；

⑿向消费者资信能力报道机构提供作为其他行政机关收取债务参考之用的个人记录。

3.3记录公开的登记

行政机关根据上述例外公开个人记录时，除机关内部使用和依《信息自由法》公开的情况外，其他各项公开必须将公开的时间、性质、目的、获取记录者的姓名和地址登记在案，并至少保存5年。除非是向执法机关公开，被记录者有权取得行政机关制作的关于本人记录公开情况的登记。

4公民查询与修改记录的权利

《隐私权法》规定，个人有权知道行政机关是否保本人记录以及记录的内容，并要求得到复制品。除非此项记录符合该法规定的免除适用情况，或者系行政机关为某人而编制，行政机关不得拒绝个人的请求。个人认为关于自己的记录不准确、不完整或已过时，可以请求行政机关修改或删除。个人请求修改的信息限于记录中的事实，不包括意见在内。

5对行政机关的限制和要求

5.1采集信息的限制

⑴行政机关必须用正当合法的手段和程序制作、保有、使用和公开个人记录。

⑵行政机关搜集个人信息，如果可能导致对被记录者作出不利的决定时，必须尽可能地由其本人提供。

⑶行政机关要求提供个人信息时，必须对提供信息者说明下列事项：

①行政机构要求提供信息的法律依据，以及个人是否必须公开这项信息；

②该项信息主要用于什么目的；

③该项信息的常规使用；

④个人全部或部分地拒绝提供行政机关所需信息的法律后果。

5.2保有和使用记录的限制和要求

⑴行政机关建立或修改个人记录系统时，必须在《联邦登记》上公布下列事项：

①系统的名称与地点；

②系统中包括哪一类人的记录；

③该系统收集了哪一类信息；

④这些记录的常规使用是什么，包括使用目的和使用者类型；

⑤行政机关对这些记录的保存、获取和控制政策以及保存的方式；

⑥该记录系统的负责人；

⑦个人查询记录系统中是否包括自己的记录时，行政机关答复的程序；

⑧个人查询如何获取自己的记录，如何质疑该记录时，行政机关答复的程序；

⑨系统中记录来源的类别。

⑵行政机关只能在执行职务相关和必要的范围内，保有个人记录。

⑶保有个人记录的行政机关必须保证记录的准确性、适时性和完整性。

⑷美国宪法修正案第1条规定公民享有宗教自由、言论自由、集会自由等基本权利。个人的、政治信仰和行政机关执行公务无关，禁止行政机关保有这些方面的个人记录。

⑸行政机关所保有的个人记录，在诉讼程序中，由于法院的命令而对其他人强制公开时，行政机关有义务通知被记录人。

⑹行政机关必须建立行政的、技术的和物质的安全保障措施，以保障个人记录的安全、完整和不被泄漏，并防止其它可能对被记录者产生损害的危险。

⑺为了确保《隐私权法》的执行，行政机关必须规定个人行使权利的程序。

6免除适用的规定

个人隐私权只在符合公共利益的范围以内受到保护。为了在公共利益与个人利益之间寻

求平衡，除了前面提到的12种"例外"情况，《隐私权法》还作出了"免除"的规定。

所谓免除，是指行政机关在一定的情况下，可以不适用《隐私权法》的某些要求和限制。即在一定的条件下，保有个人记录的行政机关，对被记录的个人可以免除公开的义务，可以不提供他所查询的记录，不进行他所要求的修改，或者免除法律为行政机关规定的某些义务和要求。法律在免除行政机关适用某些保护个人权利的条款的同时，给予行政机构一定的自由裁量权，不限制行政机关适用这些条款。免除分为两种，即普遍免除（generalexemptions）

和特定免除（specificexemptions）。

6.1普遍免除

"普遍免除"是指《隐私权法》中的全部规定，除了法律所排除的几项基本规定以外，其余各项规定，行政机关均可免受限制。

6.1.1免除范围

能够适用普遍免除的行政机关对其保有的个人记录系统，除下列必须履行的基本义务和要求外，可以免除《隐私权法》对行政机关规定的绝大部分限制和要求：

①被记录人的同意权；

②登记公开的数目和保存登记的义务；

③在《联邦登记》上公布的义务；

④保持记录正确性的要求；

⑤对保有涉及宪法修正案第1条公民基本权利的个人记录的限制；

⑥建立保护个人记录安全的行政与技术措施的要求；

⑦改变常规使用时进行公告的义务；

⑧违反法律的刑事责任。

6.1.2适用机关

普遍免除只适用于中央情报局和以执行刑法为主要职能的机关所保有的个人记录。

6.2特定免除

"特定免除"是指行政机关只能免除法律特别规定的几项限制。

6.2.1免除范围

特定免除只能免除适用《隐私权法》中的少数条款。行政机关对本机关中可以适用特定免除的个人记录系统，免除适用《隐私权法》中规定的下列限制或要求：

①个人查询和获取本人记录的权利；

②个人查询和获取本人记录公开情况记载的权利；

③行政机关只能保有与执行公务相关和必需的信息；

④行政机关在《联邦登记》上公布个人查询该机关记录系统中是否含有、如何取得关于本人信息的办法，以及该系统中的各类信息来源；

④行政机关规定个人取得、要求修改本人记录的办法。

上述5项免除的共同特点是免除行政机关对被记录的个人公开关于他的记录。

6.2.2适用记录

特定免除不限制适用的机关，但只能适用于行政机关记录系统中以下7种关于个人的记录。

①涉及到根据总统的行政命令明确划定为国防或外交秘密的个人记录；

②以执法为目的而编制的个人记录；

③以保卫总统、副总统、其他重要官员、外国来访元首为主要任务的安全机关所保有的个人记录；

④人口普查记录和其他纯粹以统计为目的而编制和使用的个人记录；

⑤以决定个人是否宜于任用、签订合同、接触保密资料为目的而编制的调查材料；

⑥文职官员在使用和晋升过程中的考核材料；

⑦可能暴露信息来源的军官晋升考核时所用的资料。

7与《信息自由法》的关系

《信息自由法》是规定美国联邦政府各机构公开政府信息的法律。该法于1967年6月5日由美国总统批准，同年7月6日（美国独立纪念日）施行，是美国当代行政法中有关公民了解权的一项重要法律制度。根据这一法律，政府信息公开是原则，不公开是例外。公民享有从政府的档案馆、手稿馆、图书馆、报刊、杂志、电台、电视台、情报所、科研所获得信息，并利用信息的权利［2］。

《隐私权法》规范行政机关处理个人记录的行为，规定个人记录必须对本人公开和对第三者限制公开的原则，与《信息自由法》同属于行政公开法的范畴。和《信息自由法》的不同之处在于：《隐私权法》只适用于个人记录，而《信息自由法》适用于全部政府记录；《隐

私权法》着重保护公民的个人隐私权，而《信息自由法》着重保护公众的了解权；《隐私权法》企图限制某些政府文件的公开，而《信息自由法》则寻求政府文件最大限度的公开。

这两个法律互为补充，关系密切，但在适用上互相独立。行政机关对个人记录系统的公开，同时受这两个法律的支配。一个法律中免除公开的规定，不适用于另一个法律。行政机关不能依据《信息自由法》中免除公开的规定，拒绝向个人提供他在《隐私权法》中可以得到的文件。《信息自由法》规定不能对公众提供的文件，不一定是《隐私权法》规定不能对个人提供的文件；行政机关也不得根据《隐私权法》的规定，拒绝提供《信息自由法》中公众可以得到的文件。《信息自由法》兼容除《隐私权法》外的其他法律对某一文件不得公开的规定。公众根据《信息自由法》或《隐私权法》要求行政机关提供文件，而行政机关要拒绝提供时，只能依据该法本身免除公开的条款。

8思考与启示

政府信息的公开是民主社会的特征之一。一方面，公众有权根据自己的意愿从政府那里获取信息；另一方面，政府有义务提供各种条件，保证公众平等利用政府机构控制的信息。在保证国家安全和利益、公民隐私不受侵犯的前提下，保障公民的了解权，即知情权，是对公民人权的一种尊重，也是民主社会健康发展的必要条件。

随着信息化社会的到来，特别是网络化的计算机系统和大型数据库的建立，大量涉及金融、医疗、保险、财产、家庭等方面的个人信息集中掌握在政府部门手中，随时都有可能发生个人信息失控的情况。公民的个人信息一旦被他人非法获取，或者信息持有者未经公民本人授权擅自将这些数据用于职责以外的其他目的，就很容易对公民的隐私权甚至人身安全造成侵害。

对公民的个人信息进行法律保护，其实质是在确保国家和公共利益的原则下，赋予公民对个人信息传播的控制权［3］。然而，对于政府机构所掌握的个人信息，我国目前尚没有专门的法律予以保护。因此，笔者认为，研究和借鉴发达国家、地区和国际组织关于个人信息保护的有关法规，对于改进和完善我国政府信息公开的法律环境，推进民主与法制建设，保护公民的切身利益，都具有重要的现实意义。

参考文献

1ThePrivacyActof1974，5U.S.C.§552a，1974.12

个人信息保护论文范文第4篇

（一）个人信息主体的权利

1.信息决定权：在我国，自然人对自己的个人信息享有支配的权力，此权利具有排他性。

2.信息更正权：若信息所有权者发现自己的个人信息存在错登记或遗漏时，其有权要求相关机构对其个人信息进行及时更正或补充。

3.信息告知权：信息告知权指的是当信息所有者的个人信息被收集后，信息所有者有权知道其个人信息被何种机构或个人所使用、保存，并有权知悉其被收集信息的用途。

4.信息删除权：当信息所有者脱离该信息管理机构的法律范围，其有权要求使用主体或管理机构删除其个人信息。

二、我国个人信息行政法保护中出现的问题

（一）基本原则模糊

目前我国的个人信息行政立法还不够完善，只有在部分机构的规章制度中体现出保护个人信息的条款，因此，我们要借鉴欧美发达国家的立法观念，加强对个人信息保护方面的立法力度。

（二）立法模式和法律规范不健全

目前我国在个人信息保护立法模式上，有以下观念：（1）建议采取综合性立法模式；（2）建议采取统一的立法模式。在制定个人信息保护法律时，需要依据我国宪法实施，而个人信息却处于公法与私法间，没有固定模式对其定位。

我国在个人信息保护方面没有一个健全的法律体系，部分与其相关的法律条款，一般源于对个人隐私的保护法规，分散性强。因此，我国应加强对个人信息保护的行政立法，不断完善个人信息保护的法律体系。

三、完善我国个人信息行政法保护制度的措施

（一）确立个人信息行政法保护的基本原则

1.尊重人权原则：我国宪法规定需尊重和保障公民的基本权利，国家机关及其工作人员在工作中需秉承尊重人权的原则，尊重人权在个人信息保护的行政立法中起到的指引作用，同时也保障公民的知悉权，体现出国家在践行“以人为本”上的力度。

2.保障人权：我国在个人信息行政立法中，主要以维护信息所有者的人格尊严为基础，并切实保障信息主体的各项基本权利，因此，在制定个人信息的保护法律条款时，不得损坏公民的其他权益。

3.比例原则：在个人信息的收集和使用过程中，当个人利益与公众利益发生冲突时，应按照适度的比例来进行处理，既不过分侧重于公众利益，也不过多偏向于个人利益。

（二）健全相关法律制度

1.完善监督管理制度

建立健全的监督管理制度，充分利用行政机关的权利，保障公民的个人信息权利，维护其个人信息安全，方法有：⑴建立公开透明的监督管理体制，公众参与个人信息保护的监督，设立热线电话和和联网监督渠道；由专门的国家行政机关对相关的信息使用者进行监督，促使其依法办事、履行相应的义务。

2.完善政府信息公开制度

在个人信息保护上应不断完善信息公开制度，增加信息的透明度，扩大公众知悉权，并制定相应的标准，以确保信息在公开透明的情况下也不损害相关人员的个人信息受保护的权利，以便于更好地落实信息公开制度。

3.完善个人信息处罚制度

完善个人信息处罚制度，加强对信息使用主体的监管力度，若信息使用主体在信息操作过程中有违规违法行为，应严格按照处罚制度予以处罚，确保个人信息的保护权不被侵害。

四、结语

个人信息保护论文范文第5篇

内容提要：行政主体收集、处理和利用个人信息是一种行政事实行为。我国应尽快制定个人信息保护法，明确信息主体有权要求行政机关不能随意处理个人信息，公开对其个人信息的收集和利用，规定个人信息保护的范围、原则、监督和救济制度。利益衡量是目前协调个人信息保护与行政信息公开的适当方法。

随着行政权的扩张和行政活动的日益复杂，行政机关通过各种行政活动收集、处理和利用着大量的个人信息，同时也对个人信息构成了极大的威胁。传统行政信息公开制度的建构只是通过信息公开法中的例外规定来实现对个人信息的保护，忽视了行政机关对个人信息的侵犯。依据联合国指南规定的“不得用非法或者不合理的方法收集、处理个人信息，也不得以与联合国的目的和原则相违背的目的利用个人信息”，我国对个人信息的保护制度应当顺应历史潮流作适当调整。

一、行政主体收集、处理和利用个人信息的要件

个人信息是可以识别本人的一切信息的总和。作为管理的基础、决策的依据，个人信息是政府活动不可或缺的重要资源。行政机关收集、处理和利用个人信息在行政活动中是非常必要的。行政主体对个人信息的收集、处理和利用是行政事实行为。它是行政主体基于职权而实施的，是运用行政权力的结果。由于对个人信息的收集、处理和利用不能产生、变更和消灭行政法律关系，因此它不是行政行为。但是行政主体收集、处理和利用个人信息时仍然要遵循一定的规则，符合特定的条件。

（一）有法律依据行政主体收集、处理和利用个人信息是行政事实行为，从较抽象的角度来讲，任何公权力都应以追求公共利益为其目的，如果一个公权力行为不以公共利益为目的，则该行为就失去了正当性基础。公益是行政作用所无法免于考虑的，国家机关之作为倘若背离公益，将失去其正当性。[1]而判断行政机关的行为是否符合公共利益，就在于行政机关的行为是否符合宪法和法律。例如，《城市居民最低生活保障条例》第7条第2款规定，县级人民政府民政部门以及街道办事处和镇人民政府，为审批城市居民最低生活保障待遇的需要，可以通过入户调查、邻里访问以及信函索证等各种方式对申请人的家庭经济状况和实际生活水平进行调查核实。申请人及有关单位、组织或者个人都应当接受调查，如实提供有关情况。在此，行政法规授权县级人民政府民政部门、街道办事处和镇人民政府，对城市低保申请人有关经济状况和生活水平的个人信息进行收集，以保证履行好行政给付职责，保障城市居民基本生活。

（二）特定的职责事务或特定的社会公共事务管理的目的

《突发公共卫生事件应急条例》第39条第1款规定，医疗卫生机构应当对因突发事件致病的人员提供医疗救护和现场救援，对就诊病人必须接诊治疗，并书写详细、完整的病历记录，对需要转送的病人，应当按照规定将病人及其病历记录的复印件转送至接诊的或者指定的医疗机构。此时，行政法授权医疗卫生机构收集患者和疑似病人的健康状况的个人信息，从而能及时地救治病人，有效地控制和消除突发公共事件的危害，保障公众身体健康和生命安全，履行好维护正常社会秩序的行政职责。特定目的要件蕴含着比例原则的要求。比例原则是大陆法系限制自由裁量权的重要理论。按照一般的理解，比例原则要求手段和目的的协调，严格禁止一切为达成目的不择手段的国家行为。[2]比例原则要求行政机关实施行政行为时，在实现某一目的的各种不同方法中应运用其中最适当的方法；在不违背或减弱所追求目的的效果的前提下，应尽可能地选择对相对人造成损害最小的方法；行政机关对公民个人利益的干预不得超过实现行政目的所追求的公共利益，两者之间必须符合比例或者相称。尽管行政主体收集、处理和利用个人信息有法律的授权，但是法律对行政主体收集、处理和利用个人信息的范围、条件、程序等方面的规定往往不明确、具体，行政主体在遵守行政法规范的同时也就具有了一定的选择、裁量的余地。根据比例原则，行政主体为履行特定行政职责而依法收集、处理和利用个人信息时，只能收集履行行政职责的特定目的范围内的个人信息，不能收集其他不相关的个人信息，不能对收集的个人信息进行特定目的之外的处理和利用。

（三）告知或经个人信息主体的同意

美国隐私权法规定了禁止公开的原则，规定行政机关在公开个人的记录以前必须首先通知被记录的人，征求他的意见，在没有取得个人的书面同意以前不能公开关于他的记录。有学者认为国家机关的管理性收集行为必须通知个人信息主体，国家机关的服务性收集行为则必须经过资料本人的同意。[3]该观点认为管理性的收集行为是国家机关履行职责的需要，相对人只有配合的义务而无拒绝的权利，国家行政机关只须履行告知程序即可，包括事前告知和事后告知。行政机关的服务性收集更多地是为私人主体的利益，与公共利益关系不大，应遵循意思自治原则，要有信息主体的同意才能进行。由于收集、处理和利用个人信息对信息主体个人权益关系重大，信息主体的同意原则上应以书面形式作出，以满足保存和举证的需要。同时，也应允许特殊情况下非书面的形式。如紧急情况下进行个人信息收集时，可以是口头同意，事后再补做书面同意。

（四）保证个人信息的正确、完整、最新、安全和隐秘

个人信息反映信息主体的人格形象，不正确、不完整和不时新的个人信息将影响行政决定的正确性和合理性。因此，行政机关在对任何人作决定时，其所运用的档案的记录，均应保持正确、完整及最新，以使其在作出决定之时，能合理保证对该个人具有相当的公正性。此外，行政机关应当采取适当的行政性、技术性及物理性保障措施，保障记录的安全与保密，防止可能对记录的安全与完整造成的任何潜在的威胁与损害，因为，这些威胁或损害可能会对记录所涉及的个人造成实质性危害、妨碍、不便或不公正影响。

二、建立我国个人信息的行政法保护制度

（一）制定个人信息保护法是当务之急

行政信息公开法、个人信息保护法和行政程序法是构成行政信息公开制度的主要法律。[4]行政信息公开法适用于全部政府信息，而个人信息保护法只适用于个人信息。信息公开是对社会公众的公开，而个人信息保护法中的个人信息仅对信息主体公开，对社会公众则是限制公开。所以，从行政机关将所持有的个人信息对信息主体公开这个角度来说，个人信息保护法属于行政公开法律范畴。同时，行政机关收集、处理和利用个人信息的整个程序不仅向信息主体而且也向社会公众公开。传统的行政信息公开制度在建构上，对个人信息权的保护是作为行政信息公开的例外存在的，侧重于从保护个人信息权不被行政机关以外的主体侵犯的角度来规定个人信息不予以公开。随着行政权的扩张和行政活动的日趋复杂，行政机关对个人活动的控制范围和对个人提供服务的范围都达到了前所未有的程度。行政机关通过各种行政活动收集了大量的个人信息，特别是随着信息技术的发展，行政机关收集、处理和利用个人信息的能力更是空前提高，行政活动对个人信息权已构成极大的威胁。传统的行政信息公开制度由于忽视行政机关对个人信息的侵犯而需要调整。信息主体有权要求行政机关不能随意处理个人信息，并要求公开对其个人信息的收集和利用。行政机关处理个人信息的整个程序应该向社会公开。信息技术的发展提高了行政机关行政信息处理的效率，同时也对行政机关的行政信息公开提出了更高的要求。对个人信息的保护也由信息公开法中的例外规定发展为个人信息保护的专项立法。可见，制定个人信息保护法是解决行政信息公开与个人信息权之间的矛盾、完善行政信息公开制度的重要途径。

（二）个人信息保护与行政信息公开的协调

尽管行政信息公开法和个人信息保护法都属于行政信息公开法律的范畴。但是，知情权与个人信息权的对立是不可避免的，两者构成一对矛盾。如何处理它们之间的关系成为必须解决的实际问题。

利益衡量的方法不失为解决个人信息权与知情权的冲突的明智之举。协调两种权利的冲突就必须解决好不同利益之间的关系，即在公众的了解利益和个人信息的人格利益之间进行取舍。适用利益衡量方法的前提是两种利益互为矛盾，其中一方面利益的实现可能导致另一方面利益的减损。利益衡量的方法通过对两种利益的估量和平衡，选择价值更高的利益。如果公众的了解利益比个人信息之上的人格利益明显重要，则行政机关就应该公开其掌握的个人信息，反之则不予公开。根据个别比较衡量论，当个人信息权与知情权两种价值发生冲突时，依据具体个案，分析公民了解的利益和个人信息之上的人格利益所受到的损害，将二者衡量比较，当保护前者利益较大时承认公民的知情权；当保护后者所获利益较大时尊重个人信息权。个别比较平衡论中标准的随意性过大而显不足。界限确定衡量论认为，知情权是绝对价值，保障公民对国家政治信息的知情权占首要地位；而其他人权是相对价值，其自由可以在一定程度上予以限制。[5]该理论是基于对权利本质的分析。从权利本质上看，个人信息权是一项民事权利，它通过赋予信息主体支配与控制其个人信息的权利来保护信息主体存之于个人信息上的人格利益。知情权主要是一种政治权利和社会权利，与行政信息公开制度相关的知情权更表现出政治权利的属性。在现代社会，随着民主政治的发展，公民对政治的参与度日益提高，知情权所体现的是公益性，它要求整个社会更加透明和开放，要求人们能有更多的机会了解和参与政治，而个人信息权具有个人性，与公共利益无关。因此，在知情权与个人信息权的对抗中，由于前者代表了社会公共利益、体现了更高的利益价值而占据上风。当某项个人信息涉及到公共利益时，对个人信息权进行限制、将个人信息予以公开则成为必然。当然，对公民知情权的优先考虑并不意味着漠视个人信息权。当个人信息的公开纯属满足个人的需要而与公共利益无关时，应该适当保护个人信息权而牺牲知情权。

三）通过立法完善我国的个人信息保护制度

美国将个人信息划分为公共领域和非公共领域分别进行保护，公共领域的立法主要是规制政府收集、处理和利用个人信息的行为，防止政府对个人信息隐私权的侵犯；在非公共领域，各行业和领域中的个人信息分别由不同的联邦法规通过普通法和侵权行为法予以保护，同时以建议性的行业指引、网络隐私认证计划、技术保护等行业自律形式增强个人信息保护的针对性。[6]这种模式尽管有其优点，但存在不足：分散立法易导致欠缺整体规划，法治不统一，司法不协调；行业规范缺乏国家强制力的保障，实施效果不理想；普遍性不足，很多企业游离于行业规范之外；投诉和争端解决机制不完善。同时，美国的行业自律是建立在行业组织高度发达且与政府互动明显的基础上。我国显无这一基础，故行业自律模式不符我国国情。多数欧洲国家则认为尽管政府机关收集、处理和利用个人信息时与非政府机关存在一些不同的行为规则，但是仍存在许多共性，而且公私领域在保护个人信息权的价值目标上是一致的，也都遵循同样的基本原则，因此通过制定专门的个人信息保护的单行法，对公、私领域中的个人信息保护进行统一规范。结合我国的法律体制和法律传统，我国的个人信息保护应借鉴欧洲国家的立法模式，进行统一规范、统一立法，主要内容应包括个人信息的一般规定，个人信息保护的基本原则，国家机关、非国家机关对个人信息的收集、处理和利用，以及监督和救济等方面。尤其应该注意以下问题：

1.个人信息保护的范围

法律保护的范围应及于一切个人信息。在过去手工收集和处理个人信息的技术条件下，个人信息受到的威胁并不突出。随着计算机技术的发展和互联网技术的应用，这种威胁已变得十分现实和严重。因此，不少有关个人信息保护的立法仅对电脑处理的个人信息进行规范，如美国、英国、日本、我国台湾地区等。而一些国家的立法则对自动化处理与人工处理的个人信息进行同时规范，如德国、荷兰等。笔者认为，尽管电脑处理的个人信息更容易受到侵害，但不能因此而忽视人工处理和半自动系统处理的个人信息。个人信息立法应给以个人信息全面保护。

2.个人信息保护的基本原则

我国的个人信息保护法也应明确规定个人信息保护的基本原则，作为个人信息保护法的指导思想，同时也用来弥补具体规则的不足。借鉴国际立法经验，个人信息保护法总体上应体现合法兼正当的原则，具体应规定以下原则：

（1）合法原则。行政主体行为的目的、方式、程序、内容均不能违反法律的规定。

（2）直接收集原则。个人信息的收集，原则上应该直接向信息主体收集。现代信息技术使得对个人信息的收集具有隐蔽性，该原则有利于实现信息主体对其个人信息的直接支配和控制。这是个人信息决定权的要求，同时也有利于信息主体获得知悉权。

（3）目的明确原则。个人信息在收集时必须有明确的目的，禁止超出目的范围而收集、处理和利用个人信息。对于行政机关来说，必须在行使行政职权、履行行政职责所需的目的范围内收集、处理和利用个人信息。行政机关应告知信息主体信息收集的目的。

（4）公开原则。一般应对个人信息的收集、处理和利用保持公开，使信息主体了解其个人信息被收集、处理和利用的情况。当然，“公开”并非指将个人信息的内容向公众公开，而是指将个人信息的收集、处理和利用的情况向信息主体公开，否则将违背个人信息保护的目的。

（5）完整正确原则。信息处理主体应保持所持有的个人信息的完整、准确和时新，信息主体对错误、有瑕疵的个人信息有要求更正的权利。当然，信息主体的更正权仅在于维护其个人信息的正确、完整与时新，其行使更正权的程序与内容应当受到适当的限制。

（6）安全原则。行政主体应采取安全保护措施，防止个人信息泄露、灭失和不正当使用。

3.个人信息保护的监督机关

个人信息保护监督机关的设置有独立的监督机关和原行政机关自行监督两种情形。法律授权的独立监督机构固然有利于个人信息保护监督职责的履行，但设置新的机构涉及机构和人员的编制，需要必须的工作条件和经费，这显然不符合机构精简的原则，与我国行政管理体制改革的方向不符。而由原行政机关自行监督，属于行为主体自己行为自己监督，其不足亦是显而易见的。为解决这一问题，可以立足于我国现有的行政复议制度，把行政复议机关作为个人信息保护监督机关，赋予其相应的职权。行政复议本身具有监督行政的属性，行政复议机关一般是作为被申请人的行政机关的上一级机关或所属的一级政府，行政复议机关与作为被申请人的行政机关是一种领导与被领导的关系，或者是业务指导、主管的关系。因此，由信息处理主体的行政复议机关进行个人信息保护的监督，比信息处理主体的自行监督会有更好的效果。依《行政复议法》的规定，由行政复议机关的内部机构履行复议职责。而实践中，一级政府和政府工作部门分别由其法制部门和内部的法制机构具体履行复议职责。复议机构工作人员的相对专业性和专职性也有利于其胜任个人信息保护的监督工作。结合各国个人信息保护法的规定，我国个人信息保护监督机关的职责应包括以下内容：对个人信息保护法的执行进行一般性监督；进行个人信息保护的研究和咨询；并定期提交工作报告。

4.对信息主体的救济

“无救济则无权利”。要使信息主体的合法权利切实得到维护，则个人信息保护法中应明确对信息主体的救济。例如，应当明确规定，信息主体公开、修改其个人信息的请求遭到行政主体的拒绝时，可以申请行政复议。行政复议机关未予以处理或者对行政复议的结果不服时，信息主体还可以提起行政诉讼。《行政复议法》和《行政诉讼法》都将受理案件的范围限定于行政主体的具体行政行为。《行政复议法》第6条列举了可以申请行政复议的案件。其中第9项和第10项规定，相对人申请行政机关履行保护人身权利、财产权利、受教育权利的法定职责，行政机关没有依法履行的以及相对人认为行政机关的其他具体行政行为侵犯其它合法权益的。《行政诉讼法》第11条也对受案范围进行了规定。其中第1款第5项和第8项规定，相对人申请行政机关履行保护人身权、财产权的法定职责，行政机关拒绝履行或者不予答复的以及认为行政机关侵犯其他人身权、财产权的。第2款规定，除前款规定外，人民法院受理法律、法规规定可以提讼的其他行政案件。行政主体对信息主体的公开申请、修改申请拒绝或不予答复时，信息主体的个人信息权将受到影响，行政主体的拒绝决定属于具体行政行为，不予答复属于行政不作为。因此，依据我国现有的行政复议制度和行政诉讼制度，信息主体可以获得救济。个人信息保护法应规定信息主体因行政主体违法收集、处理和利用个人信息的行为遭受损害的，给予行政赔偿。

注释：

[1]城仲模：《行政法之一般法律原则》（二），三民书局1999年版，第167页。

[2]肖金明：《原则与制度———比较行政法的角度》，山东大学出版社2004年版，第185页。时，可以是口头同意，事后再补做书面同意。

[3]齐爱民：《个人资料保护法原理及其跨国流通法律问题研究》，武汉大学出版社2004年版，第80页。

[4]张明杰：《开放的政府———政府信息公开法律制度研究》，中国政法大学出版社2003年版，第17页。

个人信息保护论文范文第6篇

随着人类迈入信息时代，社会信息化程度不断加深。信息与知识一样成为了社会生产力、国家竞争力和经济发展的关键。个人信息成为新科技时代的重要社会资源。社会生活物质条件的变革为新的权利生成创造了必要的社会基础和前提条件。纵观美国和德国个人信息法律保护的发展历程，与调整个人信息相关的信息隐私权和信息自决权的出现与现实社会的需要都有着密不可分的联系，这并不是历史的巧合。如今，个人信息的法律保护也成为了一个我国亟待解决的社会问题。

康德认为，由于同一个人在不同的视角下存在的方式和性质拥有差异，所以应当以是否为人的感官所能达到为标准，对人的存在及其性质做出经验与超验双重视觉观察的区分。人在双重的性质中看待自己，首先，作为感官存在者在信息社会里，人的存在已经超脱了传统中可被感知肉体、生物体形式的呈现方式。人们自身会产生许多具有识别意义的信息，在各个方面被与自身关联的信息所描述。因此，人逐渐的成为各种信息的集合体。这种信息集合体形式的存在也极大的丰富了经验领域中人的存在内容，使得原本依附于人身之存在的精神利益有了更加丰富的直接现实意义。在信息社会，随着人们改造客观世界活动广度和深度的增加，各个社会生活实践领域的活动几乎都有信息形式的记录，人因此具有了一个丰满的信息化外观。这个信息化外观不仅囊括了人的生物信息，还包括在社会、文化等方面的信息。有学者指出，有关个人的信息在一段时间内积累到一定的程度，就能构成与实际人格相似的信息人格或者数据人格，即以在社会生活中体现出来的信息或数据为基础的个人公共形象被用来作为该个人的代号。

任何事物都具有两面性，信息技术在给我们带来便捷，成为社会发展强大助力的同时，也犹如一把双刃剑。个人信息的屡屡泄漏也已经对社会稳定造成了极大的危害，对人们的社会生活带来重大困扰。近期，中国青年报社会调查中心通过民意中国网和新浪网，对1958人进行的在线调查显示，86.5%的受访者表示自己的个人信息曾遭泄露，49.8%的人抱怨信息遭泄露已严重影响自己的生活。

个人信息权的界定

个人信息保护问题的核心在于，信息主体同信息流转机构在信息流转关系上的力量悬殊，又缺少恰当的法律制度来平衡这种利益关系，使得信息主体个人无法有效的控制个人信息，无法适当的参与信息流转。个人信息保护要着力理顺个人同其他个人信息流转机构之间的利益关系，这样不仅能够维护信息主体的个人利益，更有利于社会主义和谐社会的构建与民主政治制度的运行，而这一切的前提条件是赋予信息主体一个强有力的个人权利个人信息权。通过赋予个人信息权，使信息主体获得个人信息利益，不仅仅是法律制度对一般社会利益的衡量选择的结果，更加重要的意义在于为构建一个平衡个人利益之间、个人利益与社会利益之间的法律框架奠定了基础。

个人信息权的法律属性

个人信息是自然人人格要素的一种，由此决定了个人信息权的人格权属性。虽然个人信息可以被用来进行社会交换，表现出一定的财产利益，但个人信息权在民法权利框架内属于人格权范畴。探讨个人信息权的人格权属性问题，我们需要从个人信息所承载的利益入手。

个人信息保护论文范文第7篇

[关键词] 隐私；隐私权；信息隐私

【中图分类号】 D923 【文献标识码】 A 【文章编号】 1007-4244（2013）12-046-1

一、隐私权的发展和自身的价值

从人类历史的纵深审视，隐私的意识和观念是从人类的羞耻心萌发而来的。比如原始人用树叶遮挡身体的私密部位等。从原始社会进入奴隶社会和封建社会后，社会关系变得复杂，隐私已经作为“一种非公共”的性质，但奴隶、农奴具有很高的人身依附性，所以他们的人格是不完整的，基本没什么隐私可言，从这一点可以看出隐私与其自身的人格是紧密相连的。如，在奴隶社会时期，法律有的规定，不得刺探王公贵族，有其是国王的私生活，否则就对窥宫者加以制裁。

通说认为，隐私权是路易斯・D・布兰代斯和塞缪尔・D・沃伦在《哈佛法律评论》上发表《隐私权》之后而确立的。这是大多数学者公认的。关于隐私的认识和隐私权观念，都是最早在美国被提起发展的。隐私权本身所具有的基本价值在于：权利意识特别是个人权利意识的发展，人们渴望在复杂的社会关系下个人的私生活不被打扰。恰如有的学者指出，是经济发展中碰撞的产物。隐私权在美国得到确认之后，在其他世界各国的立法和私法实践中都得到了确认。

学界对隐私权的概念不尽一致、众说纷纭，本文尝试给出一个定义，可以将隐私分为“信息隐私”和“物理隐私”，对于前者，是个人不想将其外泄传达给第三人；对于后者，是不能个人生活空间的封闭，不被破坏。隐私所具有的基本价值：自由价值即个人意志的自由价值；实现人的尊严，隐私的实现是个人领域与公共领域平衡的结果。

二、隐私权的保护探讨

现有法律能否提供保护是一种权利能否实现的关键，在民法领域对隐私权的保护方式主要是侵权责任法。前文所说，隐私由信息隐私和物理隐私构成，那么隐私权也分为两大部分即信息隐私权和物理隐私权，信息隐私权是隐私权的主要组成部分。而保护个人信息隐私的原因在于在信息爆炸的现代社会，我们时时刻刻在由信息编织的网之中，我们无法逃避个人得信息被收集。

所谓责任规则和财产规则最先由美国学者提出的关于保护权利的模式，只要是指，当一种权利被责任规则保护时，权利的转移不需要权利人同意就可以发生，对权利人也只需要事后补偿。而当一种权利被财产规则保护时，这种权利能否发生移转须以权利人的同意为前提并自主控制该权利的价格。可以说，侵权责任法是一种责任规则。此处重点讨论信息环境下财产规则对于信息隐私权的保护。

在六、七十年代有学者就提出把隐私信息视为一种财产加以保护，虽然反对者将其视为一种对人格权的贬损，但将人格权商业化还是有重要意义的。将隐私信息财产化以实现权利主体的自，最大限度的实现权利主体的意思自治，那么将信息隐私财产化后，就可以将其纳入财产规划中加以保护了。在任何人取得你的财产之前，都必须与你进行谈判协商，实现个人的自主。信息隐私权的财产责任模式所追求的是赋予权利人对个人信息拥有某种财产权，个人资料、个人空间等属于自己的，只有在本人自由选择时，才会出卖个人信息。

无论是责任规则还是财产规则对于隐私权的保护都是不全面的。所以对于信息隐私权的保护需要公权力的介入。欧盟的数据指令就是此类法律文件。通过政府介入的方式对个人信息进行保护，能在一定程度上保护个人得隐私权。另外，行业自律的模式也可以填补隐私权保护的不足。行业自律从性质上讲仍然没有超出私法自治的领域，是整个行业对自身行为的限制。这种限制以不违背善良风俗为限。现在各国的自律模式有以下几种：建议性的行业指引（suggestive industry guidelines）；网络隐私认证计划（online privacy seal program）；安全港提议（safe harbor proposal）。安全港提议是美国儿童网上隐私权保护条例中创设的制度，该制度目前仅适用于儿童网上个人隐私的保护，不适用于一般的消费者网上隐私保护，是一种行业自律和立法规制相结合的新型模式。

参考文献：

[1]张新宝.隐私权研究[J].法学研究，1990，（3）

[2]张革新.隐私权的法律保护及其价值基础[J].甘肃理论学刊，2004，（2）.

[3]王利明.民商法研究（第七辑）[M].北京：中国人民大学出版社，2009.

个人信息保护论文范文第8篇

【关键词】隐私；隐私权；个人信息；网络安全法

纵观各国法律制度，无论是美国还是欧洲大陆，对个人信息利益的保护都起源于隐私制度。隐私制度都经历了一个扩张和发展的过程，而随着网络社会的到来，隐私权的法律制度以及学术研究都不约而同地转向个人信息的法律保护。我国法律也走过了从隐私、隐私权到个人信息法律保护的道路，尤其是2016年11月7日通过的《中华人民共和国网络安全法》（以下简称《网络安全法》）明确了个人信息的概念、保护原则、法律责任等，使我国个人信息保护进入了一个新的领域。

一、域外国家“隐私权”向“个人信息”的发展历程

“隐私权”是法律移植的产物，它的概念和理论发源于美国。1890年，美国两位法学家路易斯・布兰蒂斯和萨莫尔・华伦在哈佛大学的法学杂志《哈佛大学法学评论》上发表的论文――《论隐私权》一文中指出“保o个人的著作以及其他智慧或情感的产物之原则，是为隐私权”，指责新闻媒体偶尔会侵犯“个人私生活的神圣界限”。[1]文章认为隐私权应当是宪法规定的人所共享的自由权利的重要组成部分。这篇论文开了“隐私权”理论的先河。“隐私权”的概念和理论刚提出时，内容和边界不十分清晰，经过上百年的发展，隐私权理论和制度已经形成了较为完善的理论体系，成为各国普遍接受的法律概念和法律制度。各国都通过不同的方式，直接或间接地予以法律的保护。在隐私权逐步发展完善的同时，随着网络技术的发展催生信息社会的到来，在隐私权的基础上又逐步产生“个人信息”这一法律概念和制度，而且越来越受到高度的重视。

（一）美国

美国是“隐私权”理论的发源地，美国宪法没有明确规定隐私权，加之美国属于判例法的国家，因此在法律层面上确立隐私权地位的是“帕维斯奇诉新英格兰人寿保险公司案”，该案第一次在法律层面上认可了隐私权。[2]由于美国没有像欧洲那样一套较为完整的人格权体系，隐私权发挥了一般人格权的功能，是一个开放的制度体系。随着科技的进步，加之个人权利保护的彰显，20世纪60年代开始，美国法律界越来越重视隐私权中个人信息的保护。其中以1973年制定、1974年颁布的《隐私权法》较为典型，这是美国法律首度对个人信息权利予以明确确认。

（二）德国

德国隐私权的产生和发展与美国有相似之处。19世纪末期，首先由法学家提出将隐私作为一项一般性的民事权利，后续法院通过一系列的判决加以确认。20世纪70年代以后，德国法律也越来越关注个人信息的保护。德国联邦议会自1970年起开始着手制定《联邦个人资料保护法草案》，最后于1976年通过并于1977年生效，该法的正式名称是《联邦数据保护法》，该法第一次系统地、集中地保护个人资料（个人信息）。

二、我国法律上隐私权的法律地位

我国法律上的隐私权经历了从隐私到隐私权的演变过程，保护手段经历了从不保护、间接保护到直接保护的过程，立法上经历了从司法解释的规定上升到法律规定的过程。

1986年的《民法通则》第五章“民事权利”第四节“人身权利”中没有明确规定“隐私权”是自然人的基本人身权利，因此严格意义上说“隐私权”在当时没有受到法律的保护。在1988年《关于贯彻执行〈民法通则〉若干问题的意见》中使用了“隐私”概念，该意见第140条规定：“以书面、口头形式宣扬他人的隐私，或者捏造事实公然丑化他人人格，以及用侮辱、诽谤等方式损害他人名誉，造成一定影响的，应当认定为侵害公民名誉权的行为。”这是我国法律民法体系中第一次明确规定“隐私”，虽然仅仅是在司法解释中把“隐私”放在“名誉权”保护的范畴中，但无疑将“隐私”的保护纳入了民法的视野中。这种对“隐私权”间接的、非全面保护的方式一直沿用了十多年。

2001年《最高人民法院关于精神损害赔偿的司法解释》第一条第二款中再次规定了“隐私”的保护：“违公共利益、社会公德侵害他人隐私或者其他人格利益，受害人以侵权为由向人民法院请求赔偿精神损害的，人民法院应当依法予以受理。”该司法解释的规定显然没有通过名誉权的非全面保护的方式加以规定，而是直接明确“隐私”作为“人格利益”的地位，虽然还不是“人格权利”，但是其法律地位显然已经比《最高人民法院关于审理名誉权案件若干问题的解答》的间接保护高得多了。2010年实施的《侵权责任法》第二条第二款规定：“本法所称民事权益，包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权……”明确“隐私权”作为一种具体人格权利的地位，首次在法律层面上对其加以规定，至此“隐私权”的法律地位才真正确立。

综上，从现行法律来看，隐私权的法律地位已经非常明确，属于自然人法定的具体人格权利，如果侵犯应当承担民事侵权责任。

三、我国法律上个人信息的法律地位

隐私权内容的界定还存在疑问的同时，法律又必须面临的另一个问题是如何界定“个人信息”。网络时代的到来，每时每刻都有大量的个人信息在网络环境中被收集、处理、加工甚至流通。网络信息安全对网民来说其核心问题就是个人信息安全，而个人信息遭到不当收集、恶意使用、篡改以至侵害个人信息权益、扰乱公民个人生活安宁的现象随之出现，甚至有危及个人生命、财产安全的案例发生。单纯的隐私权已经无法全面保护个人权利，尤其是一些公开化的个人信息很难纳入个人信息的保护，我国个人信息的立法保护进入了快速发展时期。

《宪法》第40条规定“中华人民共和国公民的通信自由和通信秘密受法律的保护”，此条为其他法律就个人信息权进行法律规定的效力来源，是将来个人信息权保护专门立法的最强有力的支持。2012年全国人大常务委员会出台《关于加强网络信息保护的决定》第一条明确规定保护公民“个人身份和涉及公民个人隐私的电子信息”。

我国刑法在近年来的修改过程中，逐步增加了一些个人信息犯罪的相应罪名。例如，《刑法修正案（七）》新增了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两种罪名。[3]《刑法修正案（九）》在此基础上将“出售、非法提供公民个人信息罪”的犯罪主体的范围进一步扩大，而且规定对于履行职责或者提供服务过程中获得公民个人信息并构成相应犯罪者从重处罚。

民法作为人格权保护的主要法律，对个人信息保护尤为重要。我国现行民事法律对个人信息立法体现并不太多，如《民法通则》通过人格权的概括性规定，对姓名权、肖像权、名誉权、人格尊严保护等实现对个人信息的间接保护。《侵权责任法》第36条提出对网络侵权进行规制，但是该法没有明确规定个人信息的保护制度。虽然《侵权责任法》第二条对法律保护的民事权益所做的开放式的表述完全可以将个人信息作为法律权益加以保护，但个人信息依然不属于民事权利。2014年新修订的《消费者权益保护法》第14条、第29条针对经营者对消费者的个人信息保护义务进行了全面的规定。

此外，国家各机关部门在自己的立法权限内也积极出台法规、规章加强对个人信息的保护。2013年2月，国家质检总局、国家标准化管委会联合《信息安全技术公用及商用服务信息系统个人信息保护指南》，规定了个人信息的权利义务主体、个人信息的保护原则方法等个人信息保护的基本问题，这是我国首个个人信息保护的部门规范。2016年11月7日，第十二届全国人民代表大会常务委员会第二十四次会议通过《网络安全法》，该法第四章“网络信息安全”从第40条到第50条用了11个条文对网络信息安全尤其是个人信息的保护进行了全面的规定。

综上，由于在宪法和民法中对个人信息法律地位没有明确规定，个人信息尚未成为和隐私权一样的具体人格权利。但综观我国现行法律以及近期的立法规划，我国个人信息的法律保护已经逐步脱离“隐私权”的范畴，越来越体现出其独立性：

（1）个人信息的概念和范围不能完全由隐私权涵盖。隐私权强调个人信息的自决、保密和个人生活的安宁，强调信息的秘密性，而现代社会很多个人信息具有一定范围的公开性。网络社会的到来，纯粹的隐私秘密越来越少，个人信息的保护突出体现在个人信息的收集、利用等方面，更符合网络环境下个人信息利益保护的需求。就利益范围来说，相对于个人隐私这样的纯粹个人利益，个人信息涉及的利益范围更为复杂，往往涉及社会公共利益、国家安全等。2010年《侵权责任法》确立隐私权之后，我国近几年的相关立法中在规定隐私权的保护的同时一般都规定了个人信息的保护，典型代表是2012年的《关于加强网络信息保护的决定》以及2014年最高人民法院C布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》；而涉及个人信息保护的法律规定中并未全都规定隐私权的保护。由于网络安全、网络交易更多的涉及个人信息而非隐私权，个人信息保护的独立性越发明显。网络环境下法律保护呈现出以个人信息保护为主、隐私权保护为辅，二者相互配合、全面保护的趋势。

（2）个人信息在我国尚未成为一种独立的人格权利，但是成为一种具体人格权的趋势明显。从比较法来看，承认个人信息权为一种人格权实际上已经成为一种立法趋势。[4]迄今为止，由于我国宪法和民法没有明确规定个人信息的保护，所以我国法律上尚未存在“个人信息权”这样的人格权。对个人信息的保护，虽然刑法修正案等法律已经进行了规定，民法上也可以作为一种特殊的人格利益加以救济，但是立法上尤其是民法上的权利规定不得不说是一个空白。学术界很多学者都认为应当规定个人信息权。[5]2016年10月31日，提请全国人大常委会审议的民法总则（草案）第二次审议时，增加了对个人信息保护的规定。虽然《民法总则》还属于法律草案，但是在《民法典》中规定个人信息的保护无疑具有重大的宣示意义，那就是个人信息将被法律界定为一项重要的民事权利加以规定，个人信息权将和隐私权一样属于独立的具体人格权。

（3）个人信息保护涉及多个层级法律、多个部门法规范和调整。个人信息保护表面看起来是对自然人利益的保护，但涉及政府的社会管理职责、公民的言论自由、社会公共利益保护等关系的平衡。在网络环境下，还涉及网络技术的发展、推进信息交流与个人利益平衡的关系。对个人信息的保护已经远远超越了隐私权设立和发展初期保护个人权利、对抗公权力的历史背景和制度设计初衷，涉及的主体更众多、需要解决的利益平衡问题更复杂，因此我国这些年对个人信息保护进行了全方位的规定，初步形成基本法律、一般法律、行政法规和部门规章全面保护的态势。但要从根本上强化个人信息的保护，必须在民事权利的构建中加以规定，同时制定个人信息保护的特别法律即《个人信息保护法》。

四、我国“隐私权”和“个人信息”的发展和完善

（一）隐私权

由于最终确立隐私权法律地位的《侵权责任法》属于救济法，隐私权的具体内容和外延也没有在该法中有所体现，因此我国隐私权的概念已经法定化但是隐私权的内容尚未法定化。《侵权责任法》颁布之后，法学理论和实务界顺应科技发展的趋势，将网络环境下信息利益的保护更多地放在个人信息制度的研究和规定上，立法上尚未对隐私权的内容进一步规定和完善。因此，在隐私权保护的制度发展和完善上，应当充分利用《民法典》编撰这一历史机遇，在民事权利部分规定隐私权的内容。

（二）个人信息

个人信息法律保护的独立性日益增强，迄今为止，已经有近100个国家制定了个人信息保护法，足以体现各国对个人信息保护的重视[6]。我国2016年11月7日《网络安全法》的出台，是第一次在法律层面上全面规定了个人信息的范围、利用原则以及法律责任，在一定程度上弥补了个人信息保护的法律短板，将我国个人信息保护法律制度推向了一个新的高度。

1.《网络安全法》对个人信息法律保护的新发展

第一，明确界定了个人信息的概念和保护范围。《网络安全法》在第七章“附则”76条规定：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”通过对个人信息概念的界定明确了其使用范围，也直接将个人信息和隐私权的范围进行了边界划分。网络环境下相关权利保护进入了一个以个人信息保护为主、隐私权保护为辅的新时代。

第二，明确个人信息收集、利用的基本原则。《网络安全法》第41条规定：“网络运营者规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”该条款确立了个人信息保护各国普遍认可的原则――同意原则、明示原则，将网络运营者的个人信息收集利用行为规范化，网络运营者承担的个人信息保护义务更加明确化。

第三，确立了个人信息作为人格权的属性。《网络安全法》充分借鉴各国立法经验和立法趋势，同时回应了我国学界呼吁个人信息上升为具体人格权的呼声，在该法第43条中规定用户对涉及自己信息数据有控制权，既包括对网站依法和依约使用用户数据的约束，也包括用户对涉及自己“错误信息”的“删除或更正权”。这样的规定就是将个人信息的决定权掌控在个人手中，这是作为具体人格权的明确表现，非常符合互联网时代用户权益保护的发展方向。

2.《网络安全法》个人信息保护的不足与完善

第一，个人信息的权利地位尚未明确。《网络安全法》虽然确立的个人信息自决权等制度在一定程度上体现了个人信息具备具体人格权的属性，但是真正确立个人信息具体人格权的地位需要在《民法总则》中加以规定。

第二，法律责任尤其是民事责任需要M一步细化完善。《网络安全法》在第六章“法律责任”部分规定了违法行为的民事责任、行政责任、刑事责任。在民事责任的规定中仅仅规定了“违反本法规定，给他人造成损害的，依法承担民事责任”这样的简单规定。对侵犯个人信息的民事责任的具体归责原则、构成要件、责任抗辩等具体适用没有明确规定；由于网络环境下对个人信息保护的亟待加强，可以考虑在制度设计上采用过错推定的归责原则，强化侵权人的责任；另外对侵犯个人信息赔偿的范围、损失如何计算以及能否适用精神损害的问题也没有规定，通常来说，网络侵权的损害赔偿数额要大于现实生活中的侵权损害赔偿。[7]上述问题都需要《民法典》《个人信息保护法》或者司法解释进一步加以完善。

（本文为作者主持的2013年河南省哲学社会规划项目“网络环境下人格权保护立法问题研究”项目编号：2013cfx014）

参考文献：

[1]吕光.大众传播和法律[M].台北：商务印书馆，1981：40.

[2]高圣平.比较法视野下人格权的发展――以美国隐私权为例[J].法商研究，2012（1）.

[3]秦殿启.整合与大数据理念下的个人知识组织[J].情报理论与实践，2014（2）.

[4]王利明.论个人信息权的法律保护――以个人信息权与隐私权的界分为中心[J].现代法学，2013（7）.

[5]王利明.论个人信息权在人格权法中的地位[J].情报理论与实践，2012（6）.

[6]张新宝.从隐私到个人信息：利益再衡量的理论与制度安排[J].中国法学，2015（3）.

[7]王利明.编纂一部网络时代的民法典[J].暨南学报：社会科学版，2016（7）.

个人信息保护论文范文第9篇

【关键词】宪法；信息自决权；基本权利

   

基本权利作为法律论证中的一个重要命题应如何证成，是很多学者关注的问题，如哈贝马斯通过对“权利天赋论”与“权利国赋论”的批判，以其沟通行动理论为支点重构了“权利互赋论”的基本权利体系。[1]而阿列克西在一般性的法律论证基础上，塑造了基本权利的证成路径，即规则构造和原则构造。规则是对某事物提出明确要求的规范，而原则是最优化命令，需要运用独特的权衡方式。[2]童之伟教授曾指出，当今世界各国的现行宪法对公民权利的确认，不外乎采用三种方式：一是明确限制国家机构行使权力的范围和程序；二是人民权利的概括式保留；三是基本权利的逐项列举。[3]我国台湾地区学者李震山教授则认为一项权利是否值得宪法保障，至少应具备三个特质：一是，从权利本质上，需与国民主权、人性尊严或一般人格权之保障息息相关；二是，从权利的保障需求言，除专为少数保障所设者外，应具有普遍性；三是，从立宪主义角度言，若不予保障，将有违自由民主宪政秩序与价值观者。[4]汪进元认为，在基本权利体系中，生命权是基本前提，财产权是生存基础，人身自由则是逻辑起点。[5]上述涉及基本权利的证成方法有着极大的启发意义，从不同切面着手，借由研究者构筑的论证体系论证其所需证明的结论。但是，无论哪一种论证方法都不可能做到绝对正确与科学。在法学论证的研究路径中，有规范式研究的极致，如凯尔森；有经验式研究的典型，如霍姆斯；有程序式研究的榜样，如哈贝马斯。很多时候，围绕着事实构成与法律结果之间的因果关系，当一层一层的设计了原因，回答了结果，但最终发现循环论证似乎已不可避免，[6]所以，“作出结论本身……（不需要）我们费太大的力气，主要的困难在于寻找前提”。[7]循环式论证陷入了阿尔伯特所说的法律论证中的“明希豪森困境”。阿列克西是带着走出“明希豪森困境”强烈愿意展开他关于法律论证乃至基本权利论证研究的。[8]我国也有学者大呼“中国宪法学如何超越‘明希豪森困境’”。[9]但是，我们会发现任何一种方式走入极端后可能导致的是“深刻的偏面”，若融合各种研究方法，一不小心则有可能陷入“肤浅的全面”。能超越“为什么”式无穷追问的困境吗？在笔者看来，这是一个不可能顺利走出的困境。“深刻的偏面”与“肤浅的全面”，你要选择哪一种？或者还有一种选择，那就是基于自己的知识范围与研究能力，在自己可以控制的前提下，围绕命题进行自圆其说式的论证。

作为一项权利的信息自决权是指信息主体对自身信息的控制权与选择，即由公民决定自身信息何时、何地、以何种方式被收集、储存、处理以及利用的权利。在我国，信息自决权是我国宪法未明确列举的基本权利，这是不争的事实，但宪法未明文列举的权利是否肯定不具有宪法上的基本权利属性？答案应该是否定的。因为，没有一个国家的宪法能够在制定的时候全面预见到将来人民所需的权利，基本权利内容总是与一个国家的政治、社会、经济以及文化发展相适应而无法超越。因此，在未被列举的情形下，还可以从国家权力的限制范围与程序以及人民权利的保留条款中确认宪法中的公民基本权利。在宪法未修改之前，为保障公民权利，合理推定宪法未列举的基本权利是所有立宪国家的应有之义。就信息自决权言，其是否为不需要形式的、共识性的、天然具有宪法价值的权利？这不能贸然断定，因此，首先必须假设为其不是共识性的权利。那么若欲证明其也包含于宪法文本内，首先必须从宪法既有权利条款或概括性条款中找到合理的逻辑内容。从本质言，“新的权利或权力能否出现，归根结底取决于生产活动能否增殖物质财富从而提供新的利益实体和实现利益要求的可能性”。[10]因此，信息自决权能否真正成为我国公民的一项基本权利，还得仰赖于我国政治、经济、文化等一系列实践活动的推动以及相应的社会物质财富的创造以及重新配置。据于此，本文侧重于宪法文本意义上的诠释，以应然的视角，证成信息自决权理应成为我国公民享有的一项基本权利。

一、从既有权利条款中证明既受制于客观的现实条件，又受制于立宪者的主观性知识能力，应该说没有一项宪法条款在制定时就可以将其外延全部涵括在内。人们所津津乐道的美国宪法，经历二百多年不倒，究其原因绝对少不了美国联邦最高法院通过宪法解释扩展宪法条款的外延所发挥出的保障宪法实施的社会和政治作用。从既有权利条款中解释宪法未明示的权利是美国联邦最高法院的惯用方式。1965年griswold案，由道格拉斯主笔的判决书中，通过晕影理论（penumbra）来推定宪法上隐私权的成立，即宪法修正案中除了明确列举的明示权利外，尚有边缘性的权利，这些边缘性的权利包含于宪法修正案中所确立的具体基本权利条款中，如第1修正案信仰自由、言论和出版自由中包含结社自由、选择公立或私立或教会学校的自由等；又如第3修正案禁止士兵在和平时期未经房主同意驻扎在其住宅，这包含了隐私权的内容；还有如第4修正案禁止不合理的搜查和逮捕中包含的隐私权内容。

我国现行宪法基本权利条款集中列举于第2章“公民的基本权利和义务”，涉及权利条款为第33条至第50条，其中宪法第38条可视为与信息自决权最直接相关的既有权利条款。现行宪法第38条规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”此权利条款为现行宪法制定时的新增加内容，为以往三部宪法都不具备的权利内容。之所以会新增加这一权利内容，一般认为是吸取我国十年文革浩劫惨痛教训的直接体现。“在修改宪法的过程中，许多同志都指出，文革十年，在‘左’的错误路线下，广大干部群众遭受残酷迫害，公民的人格尊严得不到起码的保护，批评会、斗争会、戴高帽和挂牌游街比比皆是，大小字报铺天盖地。对于这一段历史我们不应该忘记。”[11]“因此，为了吸取历史上的经验教训，防止公民人格尊严被侵犯，宪法中增加这个新内容，以国家根本大法给予保障，是完全必要的，非常正确的。”[12]现行宪法第38条的“人格尊严”条款是一项具体的基本权利还是一项宪法原则性的权利保护条款？为了解决此难题，林来梵教授将此条文进行了“人格尊严条款双重规范意义”的解读。将条款内容分解为二部分：前一部分为“中华人民共和国公民的人格尊严不受侵犯”，类似于表达了德国“人的尊严”那样的基础性宪法价值的内容。后一部分为“禁止用任何方法对公民进行侮辱、诽谤和诬告陷害”，表达了一项个别性权利的保障内容，大抵相当于宪法上的人格权。[13]林教授对宪法第38条作双重规范意义上解读后，又撰文倡导将宪法第38条前段和后段合为人格权条款，然后认为就大陆法系的人格权理论，我国宪法学便有诸多值得仿效之处。将该条款视为可以进行扩张解释的宪法条款，应该囊括我国宪法中未明文规定的生命、健康、姓名、隐私、名誉、肖像和语言等等权益，甚至可以包括新兴的环境权、婚姻或性方面的自决权。[14]类似的观点还有，“从逻辑上看，《宪法》第38条实质上是一个概括性条款与具体列举相混合的基本权利规范”。[15]也有与此相反的观点，如谢立斌博士认为我国宪法第38条的“人格尊严”只是我国宪法上的一项重要的基本权利，尚不能构成一项宪法原则。[16]但也有学者认为宪法第38条仅是原则而已，认为“在人性尊严的权利属性上，人性尊严更适合作为宪法权利的权利根源和基础，而不宜作为一项具体的宪法权利”。[17]另外还有学者的主张更为复杂，将宪法第38条的“人格尊严”从本质、性质以及功能等三方面论述了人格尊严的宪法意义。[18]上述诸多围绕现行宪法第38条的研讨，若就条款本身的解读言，是一件有意义的事，但如果从该条款对于其他基本权利所可能起到的价值与作用言，则条款本身是否为一项基本权利还是一项宪法原则不会成为问题的关键。如果认定其为我国宪法基本权利的一项基本原则，视其为具有德国基本法第1条的“人的尊严”那样的宪法价值，那么此条款具有概括性条款的功能。“从德、日诸国精致丰富的人格权理论观之，人格权内涵中最具特征的当是其‘概括性’，它以保护人格的自主发展为主轴，特别保护隐私权、名誉权和自我决定权等。”[19]仿效德、日、美等国对基本权利概括条款的解读，为信息自决权这一新式基本权利的产生可以提供足够的空间。如果认定其为我国宪法的一项具体基本权利。那么此条款在我国宪法中具有人格利益的基本权利条款。借鉴类似美国griswold案中道格拉斯的晕影理论，人格利益的保护外延有足够的解释空间，而且随着政治、社会、经济、文化等现实条件的变化，与人格利益所涉的边缘权利也必然有在宪法上存在的空间。如果认定其为既具概括性权利属性，又具有具体基本权利的功能，那丝毫不会降低其为其他与人格利益相关的新型基本权利提供解释余地的张力。已有学者以著名的“卖淫女示众事件”为例，尝试着以宪法第38条为框架设计新型人格权的产生模式。首先将“人格尊严”认定为一般人格权，这意味着，一个涵盖一般人格法益的框架性的人格权应运而生了，它统率着已类型化或将要类型化的各项具体人格权，为社会变迁中需要保护的新型人格法益上升为正式权利形态提供空间，而新型人格法益的产生模式即为：“人格尊严（一般人格权）﹢某些具体人格权应成为宪法对人格权进行调整的模式。”[20]在美国法律语境中讨论个人信息侧重于隐私权视角。1974年《隐私法》虽然冠以隐私的名义，但其内容却围绕个人信息保护而展开，被视为行政公权力领域内如何保护公民个人信息的经典法律。联邦最高法院的诸多判决虽都冠以隐私权的名义而赋予宪法保护，但实际上，隐私权保护的权利形态与范围则在不断地累积并发生变化。如有学者总结：隐私权的概念，从沃伦和布兰代斯式消极的“不受干扰的权利”逐渐演进至当前具有积极性的“资讯隐私权”，即“免予资料不当公开之自由”或“对自己资料之收集、输入、编辑、流通、使用，有完全决定及控制之权利”。[21]德国个人信息保护的里程碑判决，即联邦宪法法院的1983年人口普查案判决，正是以基本法第1条与第2条的人的尊严与人格权为宪法依据，通过对一般人格权至自决权再到信息自决权的逻辑演绎确立了信息自决权为本案的权利核心。基本法秩序的中心是人的价值及其尊严，人身为自由的社会成员必须于自由的自决权下活动。基本法第2条第1款与第1条第1款所保障的一般人格权，除了特别的自由保障之外，还提供了对公民自决权的保护。公民必须基于自决的想法得出个人权限，即基本上由个人自己决定，何时和于何种界限内公开个人生活的事实。此项权利正也是基于现代化的发展及伴随而来对人格权新的危险而赢得其重要性，此项权利须特别加以保护。[22]因此，无论现行宪法第38条的“人格尊严”是概括性权利还是具体基本权利，其都不失为其他与人格所涉的新型基本权利提供解释空间的可能性。人格尊严与宪法未列举的基本权利之间，一方面人格尊严可视为为人民保留自己权利提供了价值基础，另一方面人格尊严又可视为是全部宪法上基本权利的出发点与归属点。正如有学者认为，我国“人格尊严”条款从本质言，它是国家的目的，不能被当作国家及社会作用的手段，人对其基本权利的正当行使有自治和自决的权利。[23]信息自决权的全部核心在于信息主体对其自身信息有选择权与决定权，涉及的是人的价值与人的尊严。唯有在自由的选择权与自决权前提下，人才得以成为自由的社会成员。正是如此，公民必须基于自决的想法决定自己的信息何时、何地、以何种方式被收集、储存、处理以及利用。因此，我国现行宪法第38条的“人格尊严”条款有足够的空间来解释信息自决权作为一项基本权利而存在。

二、从概括性权利条款中证明在立法技术上，为适应未来不可预期的社会发展变化，同时也避免遗漏需要保护的权利，宪法中除了明文列举具体基本权利内容外，大多还会设置一些概括性条款。概括性条款的鼻祖当属于美国宪法的第9修正案。该条款规定：“本宪法对某些权利的列举，不得被解释为否定或忽视人民保留的其他权利。”从概括性条款中证明新型基本权利的存在是当前诸多国家与地区所采用的最为常见的宪法解释与论证技术。

（一）概括式权利条款设置的本意就在于避免权利的遗漏麦迪逊在《费吉尼亚权利法案》基础上起草了共包含12条内容的权利法案，但在制宪会议中，最坚定的要求将人民权利写入宪法的是乔治·梅森，而麦迪逊最初则持反对入宪的意见。1787年9月15日制宪会议上，对于宪法草案中不列入权利内容，乔治·梅森发表了强烈的反对意见。[24]当列入宪法的提议被会议否决后，乔治·梅森采取了三项行动：一是拒绝在宪法上签名；二是将反对意见公诸于社会；三是在费吉尼亚州的制宪会议据理力争。最终，费吉尼亚州的制宪会议将要求补充公民权利法案作为批准联邦宪法的前提条件。此后，其他一些州制宪会议也提出了类似的条件。[25]华盛顿于1787年9月17日制宪会议上发表了致联邦议会的信中亦指出：“古今往来，要在应该交出的权利和应该保留的权利之间，画出一条精确的界线，从来不容易。”[26]在第1条至第8条权利清单列举基础上增加第9条，是基于一种担忧，即列举了8项权利是不是意味着否认其他权利的存在。同时，第9条宣示了有限政府的理念，即政府不能任意剥夺公民的权利。但是有意思的是，还有第10修正案，该条内容规定：“本宪法未授予合众国，也未禁止各州行使的权力，保留给各州行使，或保留给人民行使。”依理，有限政府的理念有第10条足够。因此，伊利教授认为“第九条修正案背后的思想之一，就是该条文用语中表达出来的思想”，[27]也就是对未列举权利的一种保留性保障。也有学者认为美国宪法第9修正案有“限制权力派”与“未列举权利派”的争议，并认为前者接近制宪者的原意，而后者体现当前对第9修正案的理解。[28]美国宪法第9修正案规定：“本宪法对于某些权利的列举，不得解释为否定或忽视由人民保留的其他权利。”美国主流观点上，将该权利保留的条款视为未列举基本权利证成的宪法依据。正如有美国学者认为：“第九修正案的语言和历史表明，宪法的制定者们相信存在另外一些重要权利，且不受政府的侵犯。这些权利与前八条修正案中专门提到的重要权利一起共存。”[29]但也有学者对第9修正案与第14修正案的开放性持谨慎反对的态度：“如果我们对于宪法中开放性条文的司法实施，不能发展出一种讲原则的，有望与我们国家对代议制民主的承诺保护一致的行为，那么，负责任的论者就必须认真地考虑下述可能性：法院完全应该不去触碰开放性条文。”[30]这样的规定，从文本意义上理解则具充足的开放性，几乎可以用来支持人民主张的任何权利，而“这样的想法会引起巨大的恐慌”。[31]但事实并没有那样发展，相反，美国联邦最高法院一直以来更象是一个以触碰第9修正案与第14修正案为乐趣的司法实施机构。griswold案中，戈德伯格大法官发表协同意见，强调宪法第9修正案的重要性，认为一直以来，宪法第9修正案是美国所宣示要捍卫的宪法的基本组成部分，并认为用第9修正案去论证正当程序条款中的“自由”概念并不限于明示权利，而且包含诸如隐私权这样的未列举权利。第9修正案在联邦最高法院受到重视也从此拉开序幕。不过，历史中，通过宪法第14修正案的正当程序条款来推定未列举基本权利比更具名正言顺的第9修正案的宪法实践要早的得多。[32]事实上，这两个美国宪法上的概括性条款的使用是灵活而不是死板的。1965年griswold案中第9修正案有了一席之地，但主笔法官道格拉斯既没有采用第9修正案，也没有采用传统的第14条修正案，而是从既有的基本权利条款中以“晕影”理论演绎了婚姻性关系中隐私的自主选择权，并将其视为宪法上的基本权利内容。

就德国言，其基本法第1条与第2条为德国宪法的概括性条款。其核心内容在于“人的尊严不可侵犯。尊重和保护人的尊严是全部国家权力的义务”。“人人都有自由发展其人格的权利”。信息自决权正是由基本法第1条第1款与第2条第1款延伸，经由宪法法院的认可而成为德国基本法上的基本权利。德国基本法第2条第1款规定人格权，即每个人都有权自由发展人格。围绕着“人格”及“发展”这两个不确定的概念，在德国宪法理论的诸多不同角度的讨论下，此条款也被冠以德国基本法上最复杂的条款。但也正是该条款直接构成了德国宪法上一般人格权的基础规范，即它是宪法上有名具体人格权之外的一般人格权。如德国基本法第2条的人身自由不可侵犯、第4条的信仰和思想自由、第10条的通讯秘密受法律保护、第13条的住宅不受侵犯是宪法明确规定的有名人格权。另外，基本法第5条的出版及科学艺术自由、第6条的家庭保障、第8条的集会自由、第9条的结社自由等可视为与人格权密切相连的有名基本权利。

就日本言，日本《宪法》第13条规定：“一切国民，均有做为个人而受尊重。国民对于生命、自由及追求幸福之权利，以违反公共福祉为限，于立法及其他国政上，须受最大之尊重。”此条款通常被冠以“个人的尊严”，并被认为是日本宪法中概括基本权之一。另一概括性基本权是第14条的平等权。如芦部信喜所言，日本宪法自第14条以下详细列举了宪法上的人权，“不过，这些人权规定只是列举了在历史上遭受国家权力侵害较多的重要的自由权利，并不意味着已然网罗和揭示了所有的人权”。而伴随着社会的变革，宪法第13条的“生命、自由及追求幸福之国民权利”才是那些“新的人权”作为宪法保障的权利之一的根据。[34]佐藤幸治教授在其1970年隐私权代表论文中，提出“隐私权就是控制自己相关信息的权利”，“受日本宪法第13条的保护”。[35]阿部照哉等亦同样认为“在此，将隐私权解为个人系在道德上自律的存在，追求经判断对自己系属良善的目的，与他人交流，且对自己有关的资讯之公开，有选择范围与性质的权利”。[36]将美国的“独处”或“私事不受干预”式的隐私权逐步解读为“个人就一定私的事情，被解为不受公权力干涉，得自我决定的权利”。37随着信息化社会的进展，进而将偏消极性的隐私权解读为“控制关于自己信息的权利”。[38]（二）我国宪法中的概括性权利条款：人权条款2004年宪法修正案增加“国家尊重和保障人权”作为现行宪法第33条第3款内容，成为当年宪法修改时继“财产权入宪”外的最大亮点。这标志着我国现行宪法首次用一个概括性条款确认了人权保障的宪法原则，规范意义上涵盖了“非完全列举主义精神”。[39]韩大元教授曾从规范的角度深度解析了中国宪法文本中的人权条款，内容为：一是作为宪法原则意义上的人权；二是国家价值意义上的人权；三是转化为基本权利内容的人权。并认为“从价值理念上，人权条款与未列举权利的保护价值是相同的。”[40]类似的观点还有，人权条款是“宪法未列举权利的‘安身之所’”；[41]“人权条款”可以通过宪法解释而成为我国宪法文本中的未列举权利条款。[42]与宪法第38条“人格尊严”不同，“人权条款”的解读上几乎出现一面倒的情形，即将该条款理解为我国宪法未列举基本权利的概括性条款。

之所以对“人权条款”会有如此一致的评价，原因不外乎，一是基于我们对人权保护的热情，另一是该条款在宪法中所处的位置。现行宪法第四次修正时，围绕着人权条款在宪法文本中的结构位置问题，有三种设计方案：一是写入宪法序言；二是写入宪法总纲；三是写入宪法第33条。[43]现在我们所看到的位置是置于宪法第33条，此条位列我国宪法第2章“公民基本权利与义务”中首条的位置。宪法条文的前后顺序的设计绝对不是偶然而是刻意而为。正如德国基本法第1条的“人的尊严”之所以具有如此高的价值地位，与其第1条的身份密不可分。现行宪法第33条中原先规定的核心内容则是“公民在法律面前一律平等”。平等是原则还是权利，在我国也是个众说纷纭的话题，但笔者倾向于是一项原则而不是具体权利。理由很简单，当在描述任何“平等权”时，我们会发现其实“平等”所起的作用是作为定语的修饰词，即强调“平等权”的话语方式都为“平等地保护什么权”或“平等的享有什么权”等。因此，保障平等权的实现，本质上都是在于用平等的精神与原则去保障每一项具体的权利。

就现行宪法第33条“人权条款”，笔者持同样观点，即将其视为我国宪法上的概括性权利条款。同时，另一项概括性权利为平等权。我国已有学者从隐私权的角度论证个人信息控制权，如周汉华教授认为个人信息保护是一项宪法权利而非普通的民事权利。[44]但从我国言，首先隐私权是否为宪法权利尚处于学术上论证的时期，虽然也取得了一些较显著的成果。[45]借用一个尚未在宪法上正式承认的基本权利来证明另一个基本权利，不但缺乏证明的可信度，并且是一种不科学的论证方法。隐私权在美国的发展确实经历了从隐私权到信息隐私再到信息的自我控制权，这是因为隐私权的宪法性在美国已由联邦最高法院通过宪法解释的方式加以认可，而我国不具有美国这样的情况。在我国要从规范上证明信息自决权的存在，必须以现行宪法涉及公民权利的条款为基础，在这些既有条款内容中，通过学理式的解释方法进行合理的解读以及合乎逻辑的方法才能得以证成。

综上所述，信息自决权能在我国宪法中证成的形式要件主要是宪法第38条与第33条，并且，这两条宪法条文在信息自决权的证成中缺一不可。同时还可参考宪法第37条的人身自由不受侵犯、第39条的住宅不受侵犯、第40条的通信自由与通信秘密受法律保护以及第41条的批评、建议、申诉、控告以及检举的权利。这些具体的权利条款与信息自决权有着直接或间接的影响，这些具体基本权利的实现是信息自决权得以实现的有力保障。因此，这些既有的基本权利条款对于信息自决权作为一项基本权利的证成有着辅助证明的作用。值得注意的是，信息自决权虽然未被宪法文本明文列举，但从未超越宪法文本。[46]从形式上言，未列举的宪法权利皆可依赖于宪法文本本身的内容进行法理解释或逻辑推演而成，从来都是处于宪法文本之内的。

三、域外经验的佐证从权利的形式规范上看，我国宪法第38条与第33条为信息自决权在我国的证成提供了较为充足的规范解释空间。2008年实施的《政府信息公开条例》第25条规定，公民有权向行政机关申请提供与其自身相关的税费缴纳、社会保障、医疗卫生等政府所掌握的信息，并且在有证据证明其信息记录不准确情形下，有权要求行政机关予以更正。这是我国信息公开制度中的个人信息保护条款，即信息主体对其自身信息的获取权与更正权。在个人信息保护法未制定之前，这是个人信息保护的一种“搭车”之举。[47]但由于我国的宪法解释机制未能有效的实施，也没有一个强有力的机构对我国宪法上的基本权利进行扩充性解释与保护，如果依赖于当前我国习惯使用的宪法修改方式来创设一项新型基本权利，成本代价显然太高，而且也不算是一种好的策略。因此，事实上得承认，信息自决权作为一项基本权利的宪法保护在我国没有多少经验可言。但我国处于一个开放的世界社会之中，并且我国自改革开放后，不断充分汲取着其他国家的先进理念与制度，包括宪法理论与制度在内。如果能从国外的宪政实践与宪法文本中找到信息自决权作为基本权利而存在，那也可以从另一角度佐证它在我国同样可以成为基本权利体系的一部分。

（一）域外宪政实践中的佐证信息自决权作为一项基本权利，在美国、德国与日本的宪政实践中，通过宪法解释机构的诠释已成为一项既成的事实，对此上文已有论及，在此不再重复。除美、德、日三个具有典型性又有各自特色的国家外，另有不少的国家与地区同样将信息自决权作为一项基本权利加以保护，虽然不同国家在设计具体保护的法律制度时，有不同的视角及采用不同的概念，但个人信息保护制度的基本精神内容都围绕着保障公民信息自决权的实现。

在英国，涉及隐私的判例很少，而且至今尚未对隐私权加以确认。因为，他们认为，个人隐私只能是一种法律以外的东西，或者最多它只不过是一种附属的价值。[48]而且英国也没有一部统一的成文宪法典，所以也无法从具体的宪法条款中解读信息自决权是否存在。但有意思的是，英国1984年《数据保护法》论证的初期就是以保护隐私权的视角作为立法的目的。英国政府从20世纪60年代开始讨论隐私权的立法，其中，1967年里昂的《隐私权法案》、1969年沃顿的《隐私权法案》以及1970年杨格的隐私权研究报告为立法奠定了基础。1975年，英国工党政府发表了《计算机与隐私白皮书》和《计算机：隐私保障报告》。这二份报告重点考察了公共领域内的个人数据使用现状，采用了“数据保护”概念，并就制定数据保护法的可行性进行了论证。1984年《数据保护法》颁布。[49]漫长的隐私权保护立法过程，其最终的成果是以确保信息自决权实现的一系列个人信息保护原则与措施为内容的《数据保护法》。

在法国，美国式的隐私权与德国式的信息自决权被称为个人资料保护权，经由宪法委员会的解释，以宪法第66条为依据发展出个人资料保护权。法国宪法第66条规定：“司法机关作为个人自由的保护人，保证依照法律规定的条件使此项原则获得遵守。”由此，宪法第66条的“人身自由”为法国宪法保护公民基本权利的一项宪法原则。在成文法制上，法国于1978年通过《电脑、资料库与人身自由法》，并建立了一个具有监管性质的全国电脑与人身自由委员会。1987年的《国民身份证制作暨电脑管理系统办法》对个人资料的查询与调阅设置了严格的限制性条件。法国宪法未明文规定个人资料保护权，但通过宪法委员会的宪法解释，从隐私权的角度确立个人资料保护权的基本权利地位，其中以1993年8月13日与1995年1月16日的两个决议最为重要。1993年决议扩展了宪法第66人身自由的保障范围，将隐私权纳入宪法层面保护的权利，而1995年有关社会安全与计划法的违宪审查决议中，再一次确认隐私权为宪法所保障的基本权利。确认隐私权为基本权利的前提下，这两个决议都明确了禁止个人资料的永久保存。[50]法国宪法委员会通过一系列决议“提升了私生活保护原则的地位，并且具有宪法价值。宪法委员会在行使监督法律的合宪法职权的同时，也给个人权利的保障提供了又一重要保护”。[51]在菲律宾，1998年7月，最高法院在blasf.ople案中宣告菲律宾总统所推行的“国民识别资料电脑化系统”违宪。该电脑化系统的核心内容是以每位菲律宾公民的“人口资料号码”为通用资料码，应用生物特征技术与电脑技术，通过连结全国各机关而成为一个个人信息系统。最高法院判决的陈述理由有二个：一个理由是侵害立法权，违反权力分立原则，另一理由则是认为该计划侵害到人民的隐私权。在电脑系统的协助下，政府将得以建立一个庞大的个人信息库。此信息库的存在对于任何执政者言，都是难以抗拒的滥用权力的诱惑。谁控制资料？谁能接近资料？何种条件下、何种理由下收集？这些问题都没有明确的规定。因此，最高法院以隐私权为依据，适用严格审查标准，认为总统的政命令以模糊、过于宽泛而可能导致明显而即刻的危险，所以违宪。[52]在匈牙利，宪法法院于1991年4月13日的no.15-ab案中判决认为，涉及以国家普查方式建立国民资料库的宪法争议违反了宪法第59条所保障的个人资料保护权，因此违宪。判决主文中，宪法法院宣告了两项违宪内容，即为未来任意使用，无特定目标而收集及处理个人资料属于违宪；为无限制的使用而建立一般性、统一的个人识别码属于违宪。[53]上述国家中，虽然不同国家，基于不同的宪法制度，法律术语上习惯用词各不相同，但是，无论是英国式数据保护还是法国的个人资料保护，无论是菲律宾式隐私权保护还是匈牙利的个人资料保护权，所涉及的保护问题大致上都是共通的，即都可视为与信息自决权相关。特别就匈牙利而言，信息自决权内容在宪法第59条的“个人资料保护权”中完全可以视为已被宪法明文规定。

另外，我国台湾地区在信息自决权的确立与保护方面也有若干实践。信息自决权在我国台湾地区率先也是以美国式隐私权的名称确立的。1992年，就银行客户的存款、放款或汇款等有关信息的保护上，“司法院大法官会议”作出“释字第293号解释”，第一次提出隐私权概念。2000年，就“刑法”第301条第1款及第2款的诽谤罪规定是否与“宪法”第11条保护的言论自由案件，“司法院大法官会议”作出“释字第509号解释”，第一次从“宪法”第22条这一概括性权利条款中认定个人隐私的保护受“宪法”保护的基本权利。2004年，就“三一九枪击事件真相调查特别委员会条例”赋予调查委员会调查陈水扁与吕秀莲在选举前夕遭受枪击真相的这一组织及其职权是否符合“宪法”问题上，“司法院大法官会议”作出“释字第585号解释”，认为隐私权虽非“宪法”明文列举，但基于人性尊严与个人主体性的维护以及人格发展的完整性，并为保障个人生活秘密空间免受他人侵扰及个人资料之自主控制，隐私权应为不可或缺的基本权利。2005年，捺指纹换取身份证案中，“司法院大法官会议”作出“释字第603号解释”，在“释字第585号”保护隐私权的基础上，进一步认为就个人自主控制个人资料之资讯隐私权而言，乃保障人民决定是否揭露其个人资料、及在何种范围内、于何时、以何种方式、向何揭露之决定权，并保障人民对其个人资料之使用有知悉与控制权及资料记载错误之更正权。将隐私权的范围明确延伸至个人信息保护的范围，并有吸取德国信息自决权保护的精髓，王泽鉴先生将该解释称为我国台湾地区的“资料保护的大宪章”。[54]我国澳门特区政府作为《个人资料保护法》的提案人，其在提案理由陈述中指出，隐私权作为基本权利范畴内的一项权利，如何保障隐私权在不断出现的新科技面前提出了新的挑战，因此，个人资料的保护就成为一个很重要的课题。[55]由此可见，将个人资料保护的权利纳入基本权利范畴是特区政府提案时的立法目的。当《个人资料保护法》出版时，澳门立法会将其纳入《规范基本权利的法律汇编》，题目为《个人资料保护法》。正如立法会在出版该册法律时所指出的，“最初出版《规范基本权利法律汇编》时，本澳尚未制定有关个人资料保护的专门法律，而现在相关法律通过，是时候以该题目出版新的一册并加入到上述汇编中。这表明立法会将继续秉持推广法律和宣传基本权利的精神，以贯彻澳门的基本法律所宣扬的宗旨。”[56]值得一提的是，孙平博士经过初步统计，发现目前世界上明确确立了个人信息保护宪法地位的或者明确建立了个人信息保护法宪法基础的一共有55个国家与地区。这55个国家与地区基本上囊括了现今世界上经济与法治比较发达的国家与地区。根据各个国家与地区在实践中认定方法的不同，区分了确立个人信息保护的宪法地位的两种方式，即直接修宪或间接释宪。将个人信息保护直接写入宪法，将其作为宪法基本权利的一部分的已有32个国家，主要集中于北欧与东欧，包括俄罗斯、瑞典、匈牙利等，另外还有西班牙、葡萄牙与希腊等。间接释宪，即在个人信息保护的相关立法的前言、目的或背景等条款中表明个人信息保护与宪法上基本权利的关系的国家与地区有23个，而且，一般而言，这些国家与地区都是以宪法中的隐私权为个人信息保护的基础性权利，如美国、加拿大、挪威、我国台湾地区与我国香港地区等。[57]（二）域外宪法文本中的佐证有法国学者认为“欧盟数据保护法的根源是人们内心深处那种控制个人数据的渴望，以避免重蹈第二次世界大战的覆辙。数据保护权既见于欧洲人权文献，也见于各国宪法”。[58]从国际组织的文献看，2000年尼斯欧盟高峰会议中，签署并公布《欧盟基本权利宪章》。该宪章第7条规定了私生活及家庭生活受尊重权，第8条明确宣示了对个人信息的保护权，这二条内容被置于宪章的自由篇内容中。随后，该宪章内容全部被吸收于欧盟宪法中，为其第二部分内容。

首先，从上述孙平博士统计结果看，至少有32个国家的宪法文本中明确规定个人信息保护问题。另外，周汉华教授主持《个人信息保护法》立法研究报告，对各国宪法文本中直接规定个人信息保护的部分也进行了较详细的说明，如爱沙尼亚1992年宪法第42条与第44条规定了中央或地方国家机关收集、储存个人信息的限制以及公民有权知悉政府所掌握的与其相关的个人信息的权利。又如希腊宪法2001年修正案时增加一款规定个人有直接保护其个人信息的权利。[59]其次，联合国《世界人权宣言》第12条明确了私生活的保护权，这一权利保护在各国宪法文本中都有不同程度的体现。两位荷兰学者通过计算机处理，对142部成文宪法进行了比较研究。就其对于“私生活的保护权”在各国宪法中的规定进行统计的结果表明：1788年至1948年间，28部宪法中有24部规定；1949年至1957年间，10部宪法有8部规定；1958年至1966年，42部宪法中有30部规定；1967年至1975年间，58部宪法中有52部规定；1949年至1975年，110部宪法中有90部规定，比例达81.8%。比“私生活的保护”这一个人权利宪法保护比例高的个人权利只有5个权利，从高到低分别为：不受任意逮捕（包括受到公正审判，无罪推定等）（90.9%）、良心自由与宗教自由（88.2%）表达自由（87.3%）、结社与集会自由（86.4%）、平等保护（83.6%）。[60]最后，孔令杰博士在其专著《个人资料隐私的法律保护》的附录四中，对域外资料隐私立法情况以列表方式进行了统计。根据其统计资料，欧盟成员中有21个国家有个人资料保护的法律，其中有明确宪法依据的有17个国家，主要集中于东欧国家。另列举了欧盟外的20个制定个人资料保护法的国家，其中有明确宪法依据的有10个国家。61而根据美国电子隐私信息中心研究的《隐私与人格———全球隐私权法律及发展调查报告》（2004）的统计，现今几乎所有国家均在宪法层次上承认隐私权，从早先的“居住自由”、“秘密通讯”，至晚近一些新成文宪法承认的取得与控制个人信息的权利。

四、结语信息自决权的精髓在于信息主体对其自身信息的选择与控制，即自我决定的权利。由信息主体自由地决定其个人信息何时、何地、何种方式被收集、储存、处理以及利用。虽然不同国家的宪法实践与宪法文本中，围绕信息自决权的确立与保护会以不同的法律术语表示，但不论是隐私权、个人资料或个人数据等等，从上述数据中应该可以得出最直接的判断，即信息自决权作为一项基本权利在诸多国家，特别是经济发达、法治完善国家的宪法实践与宪法文本都已以直接或间接的方式加以保护。在我国，目前仅能证明的方法是通过现行宪法文本上的逻辑论证与文字演绎。由于没有切实有效运作的宪法解释机制，信息自决权在我国当前，只处于一种理论研讨的阶段。但相信随着理论研究上的不断深入，若能有围绕信息自决权特别是政府数据库所涉的现实冲突问题的不断涌现，当质与量的演变达到一定程度的时候，通过宪法修改或宪法解释的方法将信息自决权列为基本权利并不是梦想。

 

【注释】

[1]马剑银：《哈贝马斯的基本权利观—商谈论视角的基本权利体系重构》，载《北大法律评论》2010 年第 1 辑。

[2][德]罗伯特•阿列克西：《论宪法权利的构造》，张龑译，《法学家》2009 年第 5 期。

[3][10]童之伟：《法权与宪政》，山东人民出版社 2001 年版，第 651-652 页，第 297 页。

[4]李震山：《多元、宽容与人权保障———以宪法未列举权之保障为中心》，台北元照出版有限公司 2007 年版，第66 页。

[5]汪进元、高新平：《财产权的构成、限制及其合宪性》，《上海财经大学学报（哲学社会科学版）》2011 年第 5 期。

[6]参见[德]卡尔•恩吉施：《法律思维导论》，郑永流译，法律出版社 2004 年版，第二章。

[7][德]卡尔•恩吉施：《法律适用的逻辑研究》，第 13 页，转引自[德]罗伯特•阿列克西：《法律论证理论》，舒国滢译，中国法制出版社 2002 年版，第 283 页。

[8]可参阅舒国滢教授翻译阿列克西的《法律论证理论》一书的代译序内容，另外从阿列克西教授的《论宪法权利的构造》一文中也可以感受其欲走出困境的强烈意愿。

[9]周刚志：《中国宪法学如何超越“明希豪森困境”》，《江苏行政学院学报》2008 年第 4 期。

[11]全国人大常委会办公厅研究室政治组编：《中国宪法精释》，中国民主法制出版社 1996 年版，第 163 页。

[12]孔令望：《新宪法保障公民的人格尊严不受侵犯》，《法学》1982 年第 12 期。

[13]林来梵：《人的尊严与人格尊严—兼论我国宪法第 38 条的解释方案》，《浙江社会科学》2008 年第 3 期。

[14][19]林来梵、骆正言：《宪法上的人格权》，《法学家》2008 年第 5 期。

[15][20]石毕凡：《作为基本权利的人格尊严及其规范意涵———以“卖淫女示众事件”为例》，《现代法学》2008 年第 5期。

[16]谢立斌：《中德比较宪法视野下的人格尊严———兼与林来梵教授商榷》，《政法论坛》2010 年第 4 期。

[17]韩德强：《论人的尊严—法学视角下人的尊严理论的诠释》，法律出版社 2009 年版，第 237 页。

[18][23]刘志刚：《人格尊严的宪法意义》，《中国法学》2007 年第 1 期。

[21]参见翁岳生：《资讯立法之研究》，台北三民书局 1987 年版，第 39 页。

[22]参见萧文生译：《关于〈一九八三年人口普查法〉之判决》，载《西德联邦宪法法院裁判选辑》（一），“司法院”司法周刊杂志社 1990 年印行，第 324-325 页。

[24][25][26][美]麦迪逊：《辩论—美国制宪会议记录》（下），尹宣译，辽宁教育出版社 2003 年版，第 771-773 页，第 866页，第 847 页。

[27][30][31][美]约翰•哈特•伊利：《民主与不信任———司法审查的一个理论》，张卓明译，法律出版社 2011 年版，第 35页，第 41 页，第 34 页。

[28]郭春镇：《从“限制权力”至“未列举权利”———时代变迁中的〈美国联邦法第九修正案〉》，《环球法律评论》2010年第 2 期。

[29][美]阿丽塔•l•艾伦、理查德•c•托克音顿：《美国隐私法：学说、判例与立法》，冯建妹等译，中国民主法制出版社 2004 年版，第 30 页。

[32]如通过 1905 年洛克纳诉纽约州案推定了“契约自由”为第 14 条修正案中自由的一部分。此案的判例在 1937年的西岸宾馆诉帕里什案中被推翻，认为“缔结契约双方地位不平等，或为公共卫生而需要保障双方之一方时，政府应有权加以干涉”。

[33]张源泉：《德国之信息自决权》，载《第四届全国公法学博士生论坛论文集（2009 年）》，第 39 页。

[34][38][日]芦部信喜：《宪法》（第三版），林来梵等译，北京大学出版社 2006 年版，第 103-104 页，第 107 页。

[35][日]佐藤幸治：《隐私权（公法层面）的宪法论之考察》，转引自葛虹：《政府巨型数据库与隐私权保护—日本“住基网络诉讼”的启示》，《法学》2010 年第 10 期。

[36][37][日]阿部照哉等：《宪法》（下册），周宗宪译，中国政法大学出版社 2006 年版，第 101 页，第 103 页。

[39]林来梵、季彥敏：《人权保障：作为原则的意义》，《法商研究》2005 年第 4 期。

[40][43]韩大元：《宪法文本中“人权条款”的规范分析》，《法学家》2004 年第 4 期。

[41]张薇薇：《“人权条款”：宪法未列举权利的“安身之所”》，《法学评论》2011 年第 1 期。

[42]秦强：《我国宪法人权条款研究》，中国人民大学 2009 年博士学位论文，第 55-61 页。

[44]周汉华：《个人信息保护：公民的一项基本权利》，《人民法院报》2005 年 3 月 21 日。

[45]如张军：《宪法隐私权研究》，中国社会科学出版社 2007 年；王秀哲：《隐私权的宪法保护》，社会科学文献出版社 2007 年版；屠振宇：《宪法隐私权研究》，法律出版社 2008 年版。

[46]有学者论证住宅权为宪法基本权利时提出“超越宪法文本的未列举权”这一观点。参见孙凌：《论住宅权在我国宪法规范上的证立—以未列举宪法权利证立的论据、规范与方法为思路》，《法制与社会发展》2009 年第 5期。

[47]李广宇：《政府信息公开诉讼：理念、方法与案例》，法律出版社 2009 年版，第 171 页。

[48]参见徐亮：《论隐私权》，武汉大学 2005 年博士学位论文，第 19 页。

[49][61]参见孔令杰：《个人资料隐私的法律保护》，武汉大学出版社 2009 年版，第 118-123 页，附录四之第 333-344页。

[50]参见徐正戎：《“户籍法第八条捺指纹规定”释宪鉴定意见》，《台湾本土法学》2005 年总第 75 期。

[51]朱国斌：《法国关于私生活受尊重权利的法律与司法实践》，《法学评论》1999 年第 3 期。

[52][53]参见黄昭元：《无指纹则无身份？》，载《民主•人权•正义》（苏俊雄教授七秩序华诞祝寿论文集），台北元照出版有限公司 2005 年版，第 497-498 页，第 499-500 页。

[54]王泽鉴：《人格权保护的课题与展望（三）》之隐私权（中），《台湾本土法学》2007 年总第 97 期。

[55]《理由陈述》，al.gov.mo/lei/leis/2005/08-2005/cn.htm，2011 年 8 月 9 日访问。

[56]gcs.gov.mo/showcnnews.php?dataucn=25502&pagelang=c，2011 年 8 月 9 日访问。

[57]孙平：《政府巨型数据库时代的公民隐私权保护》，《法学》2007 年第 7 期。

[58]christopher kuner：《欧盟的隐私和数据保护》，温珍奎译，载周汉华主编：《个人信息保护前沿问题研究》，法律出版社 2006 年版，第 28 页。

个人信息保护论文范文第10篇

【关键词】个人信息；人格权；行政法

网络时代的飞速发展似乎使得生活其中的个人无从遁形。当我们浏览网页时，浏览记录会被记录跟踪；当我们下载社交应用时，联系人信息也时常会不得已“被获取”；当我们网上购物时，会暴露自己的购买习惯从而为有心的商家提供无限商机。人们发现，现在“个人信息”几乎无处不在，个人信息的大量收集和综合分析利用固然可能产生巨大的商业利益，但是同样也对公民个人生活造成了大量直接的或潜在的威胁。因此，欧美发达国家相继制定了一系列保护个人信息（或称个人数据）的法律法规，以保证公民权益，同时也为以个人信息为基础的电子商务和跨国贸易保驾护航。

但是“个人信息”的概念作为舶来品，目前国内对其概念的辨别尚不够清晰。“个人数据”“个人信息”“个人隐私”“个人资料”等都是在研究相关问题时常用的概念。

一、“个人信息”基本概念辨析

1、“个人隐私”“个人数据”与“个人信息”

一般认为，隐私是指与公共利益无关的个人私生活秘密，涉及个人数据资料，如电话号码，医疗记录，财务状况和人事资料等等；个人活动，尤其指与公共利益无关的活动；以及个人空间等三个方面。当然，在目前信息科技不断发展的情况下，人们的生活空间从现实到网络得到了极大的拓展。相对于人们日渐频繁且愈加重要的网络生活，国内亦有学者提出了“网络隐私权”的概念。持这种观点的学者认为“网络隐私权是传统隐私权在网络空间中的延伸，表现形式多为个人信息的收集、使用、利用。”基于此，这种观点认为“在网络空间中，个人信息是个人隐私的数字化形式。因此，网络隐私权的核心是个人信息的保护。”

根据《欧盟数据保护指令》第2条a项的定义，“个人数据”是指与一个身份已被识别或者身份可被识别的自然人（数据主体）相关的任何信息；身份可被识别的人是指其身份可以直接或者间接，特别是通过身份证号码或者一个或多个与其身体、生理、精神、经济、文化或社会身份有关的特殊因素来确定的人。比如一般情况下个人的身高、体重、性别、出生年月等，也包括诸如、政治主张等“敏感数据”。《欧盟数据保护指令》指令中第8条对“泄露种族血统、政治观点、宗教或哲学信仰、公会成员资格的个人数据，以及处理的与健康或性生活相关的数据”给出了特殊保护。对比上文所讲的“个人隐私”，不难看两者之间的交集，即体现在“敏感数据”上。

王利明教授认为“个人信息是指与特定个人相关联的、反映个体特征的、具有可识别性的符号系统，包括个人身份、工作、家庭、财产、健康等各方面信息。”国内也有其他学者认为“网络时代的个人信息主要涵盖个人数据以及经过数据加工处理后得到的数据和网上活动、网络上空间等方面的信息资料。”并尤其指出此处不论是个人数据还是网上活动，不论其记录形式和存储空间，都体现出一种对“个人”的指向性。在《欧盟数据指令》对“个人数据”的定义中，也清晰的表明“个人数据”的一个特性就是对自然人的可识别性。因此，我们在有理由认为，“个人信息”和“个人数据”有着相同的内涵。

但是个人信息明显不同于个人隐私。从法律保护的客体来讲，“法律对个人信息的保护，是对满足一定条件的全部个人信息进行全面保护，并不仅限于保护隐私利益。”“个人信息保护法就客体的法律要件为识别性而不是隐私。”而隐私法保护的对象一般情况下应该为公民不希望被公众知晓的且与公共利益无关的个人活动，个人信息以及个人领域。由此可见，个人隐私的概念较之个人信息而言显然范围过窄。

综上所述，在国内学者的理解中，“个人信息”与“个人数据”的涵盖范围大致相同；而“个人隐私”与“个人数据”是互有交集但不可互相替代的两个概念。加之国内已经于2013年2月1日启动了我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》并明确使用了“个人信息”的提法，因此，笔者在本文中采用“个人信息”来统一指代国内出现的有个人信息意义指向的“个人数据”“个人隐私”等其他说法。

2、“个人信息”的特征

按照前文所说，“个人信息”的概念更加接近《欧洲数据保护法》对“个人数据”所作的定义。从中我们不难看出这一概念所具有的几个特点。

首先，个人信息的主体限于自然人。“个人信息涉及人格尊严与人格发展，其主体限于自然人。”我们所说的“个人信息”由于在很多方面都不能脱离与个人隐私的关系。有台湾学者指出：“在资讯社会里，大部分的人有保护个人资料或资讯隐私的需求……该项权利主体系每个人，甚至已经跨越国界。”

其次，个人信息具有“可识别性”。是指“个人信息本身存在着某一个客观之确定可能性，或任何人可以从知悉资料本身进而确定某关系人或事之意义。”具体而言又可分为直接识别性和间接识别性。直接识别性是指通过简单、直接的信息就可获得该信息所指向的主体，比如个人的姓名、联系方式、外貌以及家庭住址都会指向一个具体个人。而与之相对的，比如掌握某个人大量的网页浏览记录或者消费记录，那么通过现代科技手段我们就能获取属于特定人的兴趣爱好、社交范围和消费习惯等。正如大陆和台湾部分学者所言，“通过信息社会中自动化处理设备的帮助，可以将特定或者可以特定的属人或者属事的个人信息进行处理、整合、分析、比对，完成个人的形塑。”这样的信息就具有间接的“可识别性”。

二、个人信息保护的民法视角――“个人信息是一种新型的具体人格权”

有学者认为，个人信息是一项独立的民事权利。民事权利的核心就是保护公民的私益。但是由于个人信息并非有形物体，人们无法对其进行物理上的占有，只能通过法律规定的排他性来体现，即“对他人非法收集、处理和利用的禁止和排除。”这种对公民个人信息的控制所体现出的“私益”的特征，与民事权利的核心含义相契合，也成为将个人信息权视为一项民事权利的根本原因。

由于个人信息本身所包含内容的丰富性，很多已经成为具体人格权的保护对象，使其也不宜再被其他权利所涵盖。比如公民个人的姓名、肖像已经成为单独的人格权保护对象。此外，个人信息中的其他内容比如家庭住址、联系电话、身份证号码乃至上网记录，都具有直接或间接的指向性，因此也比较适宜将其列为一项单独的人格权进行保护。

在实践中将个人信息作为一项单独的人格权，从民法角度给予保护也具有重大的意义。

首先承认个人信息权是一项民事权利，就是确定了其体现的是一种私益，可以与公共利益进行区分，包括国家机关在内的全体社会成员都应该对其保持应有的尊重。在此基础上，当公民的个人信息被泄露或未经许可进行利用时，“不仅权利主体自身可以采用合法措施保护该项利益，公权力机构也应当采取积极措施保障该项权利的实现。”

而国内学者也认为，虽然目前国内有许多法律和行政法规涉及个人信息保护，但由于刑法本身的特质导致其保护的范围过窄――“只有侵害个人信息的行为构成犯罪时，刑法才予以介入，”这就导致因为过失泄露个人信息的行为难以被法律追究。并且“刑法对侵害个人信息构成犯罪的规定是粗线条的，仅限于非法获取、出售和非法提供，未涉及非法利用等”，而对可能出现的“合法获取非法利用”等情况缺乏有效的保护。此外，由于追究刑事责任的过程比较复杂，如果公民正在经受由于个人信息泄露而造成的一系列侵害时，刑罚难以提供及时的保护。“而通过停止侵害等民事责任方式，能及时制止侵害行为，防止损害的扩大。”

三、个人信息保护的行政法学视角

现代社会在国家履行管理职责的过程中，通过公权力大量收集公民个人信息以便管理是不可避免的趋势。然而政府在利用自身优势获取个人信息的过程中和过程后，怎样保护公民个人信息的安全，是一个不容小觑的问题。据2012年破获的一起网络倒卖公民个人信息案透露的数据，超过四分之三的个人信息是由政府部门工作人员提供的。因此行政权力必须受到法律的控制。“行政法的宗旨在于通过控制行政权力以保障行政相对人的权利。”而通过行政法手段来保护公民个人信息的基础就是通过限制行政权利来保护行政相对人的个人信息权。

另一方面，在构建阳光政府的过程中，信息公开成为一种不可避免的行政行为。“仅就政府机关而言，个人信息保护与政府信息公开在许多情况下可以说实际上是同一个问题的两个方面。”因此，这也是有学者认为应该从行政法角度对公民个人信息加以保护的原因。

在怎样处理政府收集和公开公民个人信息与个人信息保护的关系方面，有学者梳理了国外比较普遍的两种模式，并进而提出了对处理国内该方面问题的设想。一种是世界上大多数国家采取的方式，即通过分别立法加以保护。典型的如美国的《信息自由法》和《隐私权法》。另一种是采取统一立法的方式，“即在同一部法律中同时规定个人信息保护与行政信息公开制度”，如俄罗斯的《俄罗斯联邦信息、信息化与信息保护法》将对公民个人信息的保护和行政信息公开制度整合进了一部法律中。鉴于我国已经专门制定了《政府信息公开条例》，对规范政府的行为做出了具体的规定，因此实际上可以看作我国在该方面已经做出了分别立法的选择。

参考文献：

[1]郎庆斌，孙毅，杨莉.个人信息保护概论.人民出版社，2008.11

[2]Christopher Kune著.旷野，杨会永译.欧洲数据保护法――公司遵守与管制（第二版）.法律出版社

[3]王利明.论个人信息权在人格权法中的地位.苏州大学学报，2012

[4]梅绍祖.个人信息保护的基础性问题研究.苏州大学学报（哲学社会科学版），2001

[5]齐爱民.论个人信息的法律保护.苏州大学学报（哲学社会科学版），2001

[6]郭明龙.个人信息权利的侵权法保护.中国法制出版社，2012.23

[7]李震山.多元、宽容与人权保障――以宪法未列举权之保障为中心.台湾元照出版公司，2007.198

个人信息保护论文范文第11篇

关键词：大数据：信息安全；个人信息保护

一、引言

当人们欢呼大数据时代降临时，棱镜门事件就如平地惊雷，炸响了人们对个人信息保护的重视。然而，与国外相比，我国的个人信息保护工作仍停滞不前，行政单位缺乏监管，过度收集个人信息：企业自律性不足，任意获取公民信息，满足商业目的：而普通公民则缺乏个人信息保护意识，变成了“透明人”。随着这些问题的日益突出，大数据时代的个人信息保护研究显得愈发重要。

二、大数据时代个人信息保护研究的主要内容

本文以CNKI中的相关文献为基础，从个人信息安全风险、个人信息保护立法、监管以及个人隐私保护四个方面介绍个人信息保护的主要研究成果。

（一）大数据时代个人信息安全的风险研究

大数据技术的快速发展给个人信息安全增加风险，但随着更多研究者的推进，风险也给个人信息安全保护带来了机遇。本文从法律、监管、技术三方面进行风险研究，探寻保护个人信息的有效方法。

法律风险方面，史为民从立法的角度分析了个人信息安全风险，提议出台具有权威性的相关法律。张毅菁则希望政府借鉴他国经验，引入域外立法机制，构建适应我国国情的立法模式。

监管风险方面，我国相关研究者普遍认为我国行政机构职权不够细化，缺乏明确的监管体系。王丽萍等人提出行业自律问题，认为企事业单位缺乏自制力，容易侵犯公民个人权益。

技术风险方面，李睿等人以信息抓取和数据分析技术为着力点分析相关的技术风险。另外，也有学者分析了用户搜索行为，并从网络与现实两方面阐述个人信息安全受到的影响。

现阶段的风险研究虽取得一定成果，但本层面的讨论还需进一步发展，立法方面，我国还需借鉴域外模式，形成一套适应时代的立法体系：监管机制方面还要调到政府、行业、公民一体化：技术方面需重点开发最新防御技术。

（二）大数据时代个人信息保护的立法研究

针对国内外发生的隐私泄漏事件，公民对个人隐私权愈发重视，然而相关法律至今未完善。针对现实情况，众多学者将研究重点投入到立法研究上，分为：法律研究与权利研究。

通过回顾，童园园等人认为应从刑法的角度完善个人信息保护法律条款，为个人信息保护提供制度背景。侯富强则提议将“欧美模式”与我国国情相结合，制定统一立法。

权利研究主要集中在两方面：一是隐私权研究：二是主体权利研究。连志英等人强调了隐私权对我国个人信息保护立法的重要意义。在主体权利方面，侯富强提出个人信息保护法的立法目的在于保护信息主体的权利。

立法研究一直是个人信息保护研究的主要方向，但现有研究明显底气不足。为了本领域的更好发展，未来的的研究方向应集中在立法体系的建立，法律内容的细化，吸收发达国家经验，形成成熟的立法机制。

（三）大数据时代个人信息保护的监管研究

大数据的飞速发展带来经济利益，但随之而来的也有信息安全问题。为解决该项问题，本领域研究者提出了一套政府、企业、公民相结合的个人信息保护监管体系，根据主体不同，分为行政监管、行业自律与公共监督。

从行政监管效果来看，李庆峰等人列举了行政监管体系的不足之处，提议整合相关部门，明确责权。张毅菁则重点分析政府过度监管行为产生的不利影响，呼吁政府加强自我管理，强化法律意识。

在行政监管体系研究后，行业自律受到关注。侯富强一方面肯定行业协会的积极作用，另一方面要求加大企业监管力度。史为民则分析了行业自律的局限性，提出改善措施，促进行业对个人信息的保护。

在公共监督研究方面，刘雅琦等人认为一个完善的监督机制除了行政监管与行业自律，还需公众的监督，只有三者相互配合，才能更好地发挥监管体系的作用，保护好公民的个人信息安全。

虽然监管体系发挥了一定保护作用，但也存在局限性：监管机构职权不定、行业主体自律不足、公民保护意识不强等。为此，政府应加大作为，运用行政手段和法律手段，严厉打击泄漏个人信息行为。

（四）个人隐私保护研究

随着近几年个人隐私侵犯现象加剧，个人隐私保护开始受到高度关注，与个人信息保护研究相比，隐私保护研究在法律、监管、技术层面具有一些新内容。

法律研究的目的是为个人隐私保护提供制度依据，维护公民的隐私与尊严。例如李睿分析了个人隐私泄漏问题，为个人隐私保护提供法律指导。童圆圆呼吁社会加强对个人隐私权的重视，并提出几项保护个人隐私安全的建议。

监管研究将个人隐私保护置于监管体系内，降低高额的社会执法成本。李庆峰认为公民自身可加强对企业的监督，保护网络隐私。王丽萍等人则将目光重点投向行业自律上。

技术研究是隐私保护研究的重点。刘晓霞提议将加密、匿名技术与隐私保护规则相结合保护用户个人隐私。连志英则提出加大安全技术开发与资金投入，依仗安全技术应对高级持续的技术攻击。

个人隐私保护主要从法律、监管、技术三大方向进行研究。法律方向，提出隐私权与被遗忘权：监管方向，强调了对网络隐私的监管：在技术方向，提出开发加密技术与匿名技术，这反映了公民对个人隐私的重视。

三、大数据时代个人信息保护研究展望

大数据时代的个人信息保护研究在理论与应用方面都取得了一定成果，但仍存在较多问题，本文拟从公共监管、域外立法模式、隐私权方面做进一步讨论。

（一）公共监管研究

当审视现行监管机制时，不难发现政府占据主导地位，若政府监管不力，将导致整个监管体系崩盘。为此，政府应发挥公民个人作用，将个人信息保护责任承担给每一位公民，形成公共监管模式。

（二）域外立法模式研究

通过对现有法律的分析，我国个人信息保护立法还在发展阶段。因此，国内相关学者一方面提出完善法律体系，出台专门的个人信息保护法，另一方面大力研究国外个人信息保护立法体系，吸收具有可行性的立法方案。

（三）加大隐私权研究

对于隐私权的探讨，我国一直处于缓慢阶段。例如：缺乏系统性的司法解释、政府内部监管存在漏洞、行业自律性差、数据挖掘技术存在争议等。为此，加大隐私权研究仍是今后的主要任务。

个人信息保护论文范文第12篇

关键词：宪法；个人信息；保护

基金项目：2013年度河南省哲学社会科学规划项目，视域下农村家庭法人代表制度实现机制研究，编号：2013BFX004；2015年度河南省政府决策研究招标课题，河南省农业转移人口农村权益保障问题，编号：2015B145。

个人信息不但是个人隐私权利的重要内容，而且还是社会信息资源的组成部分。世界许多国家及地区的法律对个人信息或个人隐私的定义做了表述，1974年美国颁布的《隐私法》规定：个人信息是指“一个机构所持有的与一个人相关的单项信息、信息集合或一组信息，包括但不限于：他的教育、金融交易、医疗病史、包含姓名的犯罪前科或工作履历、识别号码、代号，以及其它专属于一个人的标记，如指纹、声纹或照片”。日本的《个人信息保护法》规定，所谓个人信息就是指有关个人的信息，根据该信息所含有姓名、出生年月以及其它一些描述，能把该个人从他人中识别出来的与该个人相关的信息（包含能简单的查对其它的信息，根据那些信息来识别个人的东西）。《欧盟个人数据保护指令》规定：“个人数据，是指任何与已确认的或可以确认的自然人有关的信息”。由此可以看出，个人信息具有以下特点：一是内容广泛，包括与个人有关的教育、医疗病史、工作履历等方面。二是具有一定的隐秘性，个人信息与个人隐私息息相关，不便直接对外公开。当前，人类社会的各个领域均对电脑、网络有着较强的依赖性，朋友、同事之间的聊天交流，公司、企业之间的业务往来等大都通过网络进行，电脑、网络在给人们带来便捷的同时，也给个人的信息安全保障带来挑战。加强对个人信息的保护，防止个人信息的泄漏既是维护公民尊严的必然要求，也是人类社会发展的必然趋势，通过立法对个人信息进行保护对公民基本人权的保障具有重要的理论和现实意义。

一、我国进行个人信息公法保护的紧迫性

1、世界各国对个人信息进行公法保护已成为趋势

目前，世界上许多国家对个人信息采取了法律保护，美国自1970年制订了《公平信用报告法》以来，又相继制订了《隐私权法》、《家庭教育权和隐私法》、《财务隐私权利法》、《录像隐私保护法》、《电脑匹配和隐私权保护法》、《儿童网上隐私保护法》等一系列法律对信用报告机构、联邦行政机构、学校、金融机构等收集、保存、披露个人信息的行为进行了规范，以加强对个人信息的保护。德国1977年制订了《联邦个人数据保护法》，该法采取统一立法模式，以信息自决权为宪法基础、一般人格权为民法基础，对全部个人资料给予同等保护，是大陆法系国家最具典型性的保护个人信息的专门法，其规定的基本原则、个人信息权利、监督机制和损害赔偿制度等经过反复修订和长期的适用，已日臻成熟，成为其他组织或国家个人信息保护的立法范本。1980年9月23日，经济合作与发展组织（Organization for Economic Co-operational Development）出台了《关于隐私保护与个人资料跨国流通的指针的建议》。1981年1月28日，欧洲理事会（the Council of Europe）通过了《有关个人资料自动化处理保护公约》。1990年7月18日，欧共体执委会向欧共体部长理事会提出了《理事会制定关于资料处理中个人保护准则的提纲》。同年12月4日，联合国大会通过了《关于自动资料档案中个人资料的指南》。2005年，日本《个人信息保护法》正式实施，意味着日本构筑了一个相对完整的以个人信息保护法为基本法，各部门单行法为补充的法律体系。截至2012年，世界上已有50多个国家和地区制定了关于保护个人信息的法律法规，可见，世界各国对个人信息进行公法保护已成为趋势。

2、我国对个人信息进行公法保护的必要性

在个人信息保护方面，由于对个人信息保护重视不够，尤其是未能明确其积极意义，我国尚未制定一部《个人信息保护法》，并且我国关于个人信息公法保护的法律法规也相对较少，不够全面。将“个人信息”作为关键词，获得的法律法规仅7部，如《刑法》、《统计法》、《居民身份证法》及《社会保险法》等，其中所占比重最大的为刑法。将“隐私”作为关键词，获得的法律法规有23部，如：《刑法》、《民事诉讼法》、《律师法》、《行政处罚法》、《行政许可法》及《物权法》等。我国1991年颁布的《未成年人保护法》首次涉及“隐私”，以后出台的《治安管理处罚法》、《护照法》及《信息公开条例》的部分规定也涉及到了个人信息。但我国尚无完整的关于个人信息的公法保护制度，对个人信息的公法保障研究也存在诸多障碍，具体体现在：一是未能明确个人价值。在我国，受传统的文化理念影响，集体价值始终处于核心地位，而未能重视个人价值，仅将隐私作为伦理道德方面的内容来看待，公民的隐私权未能得到法律法规的保护。二是欠缺相关理论研究。我国关于隐私权的研究仍处于初级阶段，由于研究时间较短，未能形成相应的理论体系，导致诸多关于隐私权的问题未能及时处理。与欧洲国家相比，我国个人信息保护的理论研究明显匮乏，仅从民法角度进行了研究，而欠缺宪法与行政法等角度的研究。三是政府保护责任缺失。在实际工作过程中，行政机关未能依照相关的法律法规进行公民个人信息的收集与处理，如行政机关在采集公民身份证信息过程中，由于缺少有效的管理导致信息主体的信息渗漏，进而造成了一系列恶劣的影响，再如居民身份证号码重号问题，都反映出信息公开和个人信息二者存在严重冲突。虽然从2003年起，我国开始关注个人信息的保护立法问题，但仅在法律法规、规章制度中进行了分散的说明，而在实际管理过程中，由于缺少专门的、适合的个人信息保护法，导致个人信息未能实现全面、及时的保护，同时也未能有效地限制政府权力。随着公民人权保障观念的不断增强，对个人信息权的法律保护需求日渐增强，因此，加强对我国公民个人信息的立法保护具有紧迫性。

二、我国个人信息公法保护的权利基础

1、人权保障是个人信息公法保护的逻辑起点

人权是指人所享有或应享有的基本权利，人权的基本内容随着社会的发展也在不断演进。在个人信息方面，主要涉及的权利有信息隐私权与信息自决权，信息隐私权和信息自决权都属于公民基本人权的范畴。1983年，德国联邦在一份开创性的判决中确认了“信息自决权”，该权利也为欧盟成员国参加的多项人权文件所承认。我国学者齐爱民提出“个人信息之上的权利是一项基本人权，它包括公民的基本权利、自由，特别是人格和隐私利益”，“个人信息保护法是信息社会的人权保障法”。因此，人权保障是个人信息立法保护的逻辑起点，一方面，加强对公民个人信息的公法保护是保障人权的必然要求。而保障人权必然要求通过法律来约束国家公权力，也就是说，人权保障是法治的出发点与落脚点，而法治则是人权的载体及形式，法治应围绕人权开展，并依赖于人权而存在。我国明确了立宪的目标，即保障人权，为了有效保障我国公民的个人信息权利，必须进一步完善相关的法律法规。另一方面，加强对公民个人信息的公法保护是维护民主秩序的重要支撑。在科技快速发展的背景下，人民对互联网等科技的依赖性不断增强，为了维护网络秩序，国家需要对其进行相应的监管，在这一过程中必然会出现国家监管权力与公民个人信息权利的矛盾，如果国家未能依法行使权力就会损害公民个人信息权，在公民信息权利和国家监管权力之间划出一条界线是民主秩序的内在应有之意，同时对个人信息进行公法保护，使国家公权力合理运行也是维护民主秩序的重要内容。

2、信息隐私权和信息自决权是个人信息保护的权利基础

隐私权最早提出于19世纪末，它具有动态性与主观性，受不同文化、传统等因素的影响，所以其并无统一定义。随着电脑、互联网的普遍应用，个人信息的收集、使用及保护得到了广泛的关注，这极大地促进了隐私权的发展。在20世纪60年代，信息隐私权被提出，学界把信息隐私权分为传统隐私权与现代隐私权，前者是指个人私生活及事务不受干扰的权利，后者是指个人可以自由地控制与支配的个人信息，在个人拥有支配权的同时，还具备了个人信息收集、利用的相关权利，如发动权、更正权、停止权等。二者相比，现代隐私权使个人对个人信息的支配、控制具有了一定的积极性与主动性。信息自决权是指信息主体有权自行决定是否将个人资料进行交付与使用，其来源于信息革命，最早出现在德国。德国宪法中明确指出信息自是人性尊严与一般人格权之中所内含或衍生的权利，同时在1983年“人口普查案”中确定了信息自决权，从而为德国个人信息保护提供了更充分的法律依据。信息自决权的关键为信息主体对自身信息的控制与选择，也就是自我进行决定的权利，信息主体可根据自身的实际情况决定自身的信息在何地、何时及以何种方式进行自身信息的处理。

信息隐私权与信息自决权二者所产生的时间、社会背景及法律文化等均存在差异。前者最早出现于19世纪的美国，后者则出现于20世纪的德国，二者确立的宪法背景分别为立法优位的德国宪法与天赋人权的美国宪法，虽然历史背景不同，但二者均为了反对封建及专制统治，并且致力于保护人民的基本人权，强调对人性尊严的维护，同时具有尊重个人主体地位及对抗国家公权力的作用，二者都属于公民基本人权的范畴。信息隐私权和信息自决权在内容方面虽然有所差异，但均体现了个人信息的收集与处理均需要获得信息本人的知情并同意的重要性，只有获得信息本人的知情并同意，方可对个人信息进行处理，此做法既符合我国民法理论的基本要求，也体现了我国宪法关于“国家尊重和保障人权”的规定，因此，个人信息保护立法研究可以信息隐私权与信息自决权作为其权利基础。

三、我国个人信息公法保护的路径选择

1、树立人性尊严的立法理念

在宪法中应融入人性尊严理念，其意义主要体现在：行政机关要根据法定的权力及程序收集、处理个人信息，在行政执法过程中要尊重信息主体，同时宪法要规范行政机关的行为，要求各机关树立人性尊严的理念，这样公民的个人信息自决权及自我支配权才能够得到维护。在对人性尊严进行保护的保障过程中，不能仅仅从宪法条文中进行宣誓，还应当在司法机关的具体实践过程中，树立人性尊严的实践理念，不仅要明确其在宪法中的基本价值和重要地位，成为一般法律乃至宪法的制定与修改的依据，更有必要成为司法实践中可以明确适用的原则。我们不能将实现宪法正当性的希望寄托于设计理想宪法蓝图的学者，而应当是在“真正尊重宪法”的基础上，将现有体制的功能得到完全发挥，这既是建设性的态度，也是负责任的方案。人的尊严远高于权力的尊严，国家法律的制定应严格地在不违背人性尊严的基础上进行操作，如果没有人的尊严、只有权力的尊严，这样的社会必定是非人道的、专制的、黑暗的。例如，在德国纳粹统治时期，其对人性尊严的践踏已经到了登峰造极的地步，最终必然走向灭亡。因此，在进行个人信息保护立法的过程中，必须全面树立人性尊严立法理念，应当全面地强调每个人均应当享受的权利与义务，保证不同地位的人在对个人信息保护方面拥有着完全平等的人格，这样才能实现真正的个人信息保护。

2、以个人信息隐私权和信息自决权为立法基础

个人信息保护应在宪法中给予准确的规定，即明确隐私权是公民基本权利的一种，应将隐私权纳入宪法权利。但我国并未将隐私权纳入到宪法中，仅在相关的条款中有所体现，如我国宪法第40条规定：“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”但本条规定只涉及通信秘密，而其他个人信息并未涉及，难以有效保护公民隐私权。因此，我国应在宪法中明确指出公民信息隐私权的相关内容，这样不仅能够彰显隐私权的价值，改变中国公民对有关隐私的看法，而且相关规定实施后，还能够有效限制公权力，明确国家权力活动范围，为个人信息保护法的完善奠定宪法基础。

此外，为了全面保护个人信息，还应对法律的主体内容及信息处理的基本原则进行明确规定。各国规定的权利内容虽存在差异，但均围绕着保护公民信息权利、促进政府对信息的收集处理等。为有效解决权利和权力二者间的平衡问题，需要设计完整、系统的信息主体权利内容及信息处理原则。就我国个人信息公法保护的内容而言，要采取基础性的标准，注重个人信息保护法的合理性与科学性，同时立法不仅要符合我国实际情况，还要积极借鉴国外的先进立法经验，与国际准则接轨。笔者认为，我国未来的个人信息公法保护应确立如下两个基本原则。一是直接收集的原则。其是指收集个人信息必须征得信息主体同意，直接向信息本人收集，不得采用秘密的方式进行，只有信息本人才有权决定其个人信息是否公开并提供给他人使用。立法规定直接收集原则旨在实现本人对其个人信息的自主决定权，保证本人对其个人信息进行有效控制和支配。现代信息技术进步使得个人信息的收集行为具有隐蔽性，法律要求直接向本人收集信息不仅必要，而且也可以最大限度地减少错误，保证个人信息的准确性。二是目的明确性原则。其是指个人信息的收集、处理或利用必须有明确的目的，否则不得进行信息的收集、处理等行为，以防止个人信息被滥用。对国家机关来说，目的明确原则意味着非为行使职权、履行职责的需要不得收集和利用个人信息。对于非国家机关，目的明确原则同样对其有效适用，在立法中可以要求国家机关以外的信息处理主体在收集他人的个人信息时，应先就其收集目的在主管个人信息保护事务的国家机关进行登记，必须在其登记目的的指导下收集自然人的个人信息，禁止超出特定目的的范围收集、处理和利用个人信息，不得以合法方式掩盖非法目的侵害他人的个人信息权。在个人信息的使用过程中，经信息主体本人同意或法律明确授权，信息处理主体可以在收集目的之外处理、利用个人信息。

3、有效解决政府信息公开与个人信息保护的矛盾

绝大多数的政府部门因其具有公权力，使得其在个人信息的采集过程中频繁出现不必要及不适当收集个人信息，以及在收集与处理大量信息的过程中侵害公民的个人信息自决权及其隐私权的现象。以广州亚运会及亚残运为例，在这一时期广州市的基层政府对购买菜刀等刀具的居民进行登记，详细记录了其个人信息，这显然是不适当地使用了公权力。而这一做法同样出现在上海世博会期间，并被许多举办类似大型活动的城市所借鉴。另外，行政机关对当事人个人信息权利的保护不全面，导致公民个人的查询权及申请变更权等都无法得到法律保护，并且还存在工作人员通过职务之便，将个人信息故意泄露，从而获得一定利益的现象。这都凸显了政府在对公民个人信息收集、保存、公开过程中与个人信息保护之间的矛盾。因此，我国在制度内容建设方面，应该构建完善的个人信息公法保护制度，包括建立行政机关保护个人信息的法律准则及具体制度，以有效解决政府信息公开和个人信息保护二者间的矛盾。

政府信息公开明确了信息自由权，个人信息保护明确了信息自决权，为了有效解决二者间的矛盾，要借鉴其他国家处理二者矛盾的方法，明确信息公开和信息保护的相关内容，如法律保留范围、适用准则等。在具体的实施过程中可以从如下方面入手。首先，应完善《政府信息公开条例》。自《政府信息公开条例》开始实施到现在暴露出较多的问题，例如《条例》第十四条四款中规定，“行政机关不得公开涉及国家秘密、商业秘密、个人隐私的政府信息。但是，经权利人同意公开或者行政机关认为不公开可能对公共利益造成重大影响的涉及商业秘密、个人隐私的政府信息，可以予以公开”。该规定中就存在较大的缺陷，对其中所指的“个人隐私”并没有进行明确的规定，同时也没有相应的法律法规进行参照。因此，应对《政府信息公开条例》进行针对性的完善，建议将上述条例优化为：除非权利人同意公开，否则行政机关不得公开涉及国家秘密、商业秘密、个人隐私的政府信息。对于权利人不同意公开的涉及商业秘密、个人隐私的政府信息，行政机关可以出于对公共利益的考虑依据比例原则公开，且行政机关应当告知权利人公开的理由。其次，设立专门的管理与监督机构。我国目前尚没有一个专门的信息资源主管部门，这无论是对法律的制定还是对将来法律的实施都有影响。笔者建议参考西方国家的成功经验，设立专门的个人信息保护的监督和管理机构。《中华人民共和国个人信息保护法（专家建议稿）》在这一问题上已经做出了一些尝试，其中第35条、第42条和第57条提到了政府信息资源主管部门和信息委员会。

4、确定我国个人信息保护的统一立法模式

对于个人信息保护的立法模式而言，不同国家根据自身的情况采取了不同的模式，国内外存在较大的差异，为了构建完善的个人信息公法保护制度，需有效解决立法模式问题。同时，在《个人信息保护法》制定过程中，为了有效解决个人信息处理的相关问题，要全面考虑立法模式。对于不同的主体而言，由于其个人信息保护的内容不同，导致保障方式存在差异，为了将二者均规定在统一的法律之中，便要针对不同的主体设置合适的个人信息保护法。在世界范围内，关于个人信息保护的立法模式主要有三种，第一种为美国模式，即独立模式，该模式对公权力机关进行了单独的规定，使其保护个人信息的各种行为均得到了规范；第二种为德国模式，即集中模式，该模式统一规制了公权力机关与私营企业的个人信息保护；第三种为日本模式，即分散模式，该模式分别规制了公权力机关与私营企业的个人信息保护。不同模式的优缺点存在差异，分散立法的优点较为明显，这种模式规范了政府机关的行为，使个人信息保护工作更加有序、高效，但其缺点也不容忽视，主要表现在分散立法缺少整体性与统一性，立法中缺少适合的、一致的标准，极易出现混乱的情况。统一立法主要是考虑了公权力机关与私营企业二者收集、处理个人信息时的共性，在公私领域均体现了个人信息保护的价值。目前，关于我国个人信息保护选择哪种立法模式仍存在争议，笔者认为由于我国个人信息保护力度不足，分散体制难以保证执法的公正性，极易出现个人信息滥用的问题，应采用统一立法模式，将公私法保护均置于一部法典中，如制定一部《中华人民共和国个人信息保护法》，以此满足我国立法的实际需求。

参考文献

[1] 蒋坡：个人数据信息的法律保护[M].北京：中国政法大学出版社，2008.

[2] 孔令杰：个人资料隐私的法律保护[M].武汉：武汉大学出版社，2009.

[3] 张新宝：从隐私到个人信息：利益再衡量的理论与制度安排[J].中国法学，2015（3）.

[4] 何培育：电子商务环境下个人信息安全危机与法律保护对策探析[J].河北法学，2014（8）.

[5] 王利明：论个人信息权的法律保护――以个人信息权与隐私权的界分为中心[J].现代法学，2013（4）.

[6] 张新宝、任彦：网络反腐中的隐私权保护[J].法学研究，2013（6）.

[7] 李仪：个人信息保护的价值困境与应对――以调和人格尊严与信息自由冲突为视角[J].河北法学，2013（2）.

[8] 王利明：论个人信息权在人格权法中的地位[J].苏州大学学报（哲学社会科学版），2012（6）.

[9] 姚岳绒：论信息自决权作为一项基本权利在我国的证成[J].政治与法律，2012（4）.

[10] 齐爱民、李仪：论利益平衡视野下的个人信息权制度――在人格利益与信息自由之间[J].法学评论，2011（3）.

[11] 蒋舸：个人信息保护法立法模式的选择――以德国经验为视角[J].法律科学（西北政法大学学报），2011（2）.

[12] 洪海林：个人信息保护立法理念探究――在信息保护与信息流通之间[J].河北法学，2007（1）.

个人信息保护论文范文第13篇

关键词：信息安全；等级保护；等级测评；实践教学；综合实训

DOIDOI：10.11907/rjdk.161717

中图分类号：G434

文献标识码：A文章编号文章编号：16727800（2016）009017303

基金项目基金项目：贵州省科技厅社发攻关项目（黔科合SY字2012-3050号）；贵州大学自然科学青年基金项目（贵大自青合字2010-026号）；贵州大学教育教学改革研究项目（JG2013097）

作者简介作者简介：张文勇（1973-），男，贵州台江人，硕士，贵州大学计算机科学与技术学院讲师，研究方向为网络与信息安全；李维华（1961-），男，贵州贵阳人，贵州大学计算机科学与技术学院高级实验师，研究方向为网络与信息安全；唐作其（1980-），男，贵州兴义人，硕士，贵州大学计算机科学与技术学院副教授，研究方向为信息安全保障体系。

0引言

信息安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法，开展信息安全等级保护工作是保护信息化发展、维护国家信息安全的根本保障，是信息安全保障工作中国家意志的体现。信息安全学科要求学生不仅要具备很强的理论知识，更应具备较强的实践能力。现阶段很多高校在理论教学上有较好的培养方法和模式，学生具备良好的理论基础，但在实践教学中由于各课程的衔接和关联较少，尽管部分学校开设了信息安全实训或信息安全攻防实践等课程，但基本都是做一些单元实验，仅局限于某一方面的技能训练，没有从全局、系统的角度去培养学生综合运用各种信息安全知识解决实际问题的能力[15]。从贵州大学信息安全专业毕业生就业情况调查反馈信息来看，绝大多数毕业生主要从事企事业单位的信息安全管理、信息安全专业服务等工作，少数毕业生从事信息安全产品研发，或继续硕士博士深造，从事信息安全理论研究。用人单位普遍反映学生的基本理论掌握相对较好，但实际操作技能、综合分析能力欠缺。为了解决目前这种状况，笔者根据长期从事信息安全等级保护项目实施工作实践，提出在信息安全专业的实践教学环节中引入信息安全等级保护相关内容。

1信息安全等级保护对学生能力培养的作用

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查5个阶段，信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护的知识体系完善，信息安全等级保护测评人员的技术要求涵盖多个方面，包括物理环境、主机、操作系统、应用安全、安全设备等，因此国家对于信息安全等级保护人员的技术要求十分综合和全面[3]。如参照信息安全等级保护专业人员的技术要求对学生开展信息安全综合实训将满足社会对信息安全专业人员的技能和知识结构要求，主要体现在以下4个方面：①培养学生了解国家关于非信息系统保护的基本方针、政策、标准；②培养学生掌握各种基本信息安全技术操作技能，熟悉各种信息系统构成对象的基本操作，为将来快速融入到信息安全保护实践工作奠定基础；③培养学生具备从综合、全面的角度去规划、设计、构建符合国家信息安全保障体系要求的信息安全防护方案能力；④培养学生建立信息安全等级保护的基本意识，在工作实践中自觉按国家信息安全等级保护要求开展工作，有利于促进国家信息安全等级保护政策实施。

2实训教学知识体系

信息安全等级保护的相关政策和标准是信息安全实训教学体系建立的基本依据，GB/T 22239-2008《信息安全等级保护基本要求》在信息安全等级保护标准体系中起基础性作用。信息安全等级保护基本要求充分体现了“全面防御，纵深防御”的理念，遵循了“技术和管理并重”的基本原则，而不同级别的业务信息系统在控制点要求项上的区别体现了“适度安全”的根本原则[6]。信息安全保护测评是信息安全等级保护的一项重要基础性工作，GB/T 28449-2012《信息安全等级保护测评过程指南》是对等级测评的活动、工作任务以及每项任务的工作内容作出了详细建议，等级测评中的单元测评、整体测评、风险分析、问题处置及建议环节体现了测评工程师对等保项目基本安全保障情况的综合分析能力[610]。信息安全等级保护知识体系庞大，不可能兼顾所有方面，因而在信息安全实训教学知识体系制订中采用兼顾全局、突出重点的基本原则；在实训教学知识体系的构成中重点以《信息安全等级保护基本要求》和《信息安全等级保护测评过程指南》为基础，包括基本理论培训、基本技能实训、安全管理培训、能力提高实训四大模块；在实际操作中将重点放在基本技能实训和能力提高实训上。各实训模块构成及关系如图1所示。

3实训教学实施

教学实施依据实训教学知识体系进行，教学方式采用集中课堂基本理论教学、在信息系统模拟平台实施现场测评数据采集的基本操作实训和以信息安全等级保护测评报告的编写为基础的数据分析、数据整理、安全方案编写实训。

3.1基本理论教学

该环节采用集中课堂教学方式，讲解的主要内容是信息安全等级保护政策和标准。讲解深度上应有所侧重，讲解重点包括：①信息安全等级保护基本要求中层面的划分原则和依据、控制点的构成、控制点中要求项的解读；②信息安全保护过程指南中单元测评、整体测评、风险分析、问题处置和建议等部分的解读。

理论教学在突出重点的同时，兼顾全局，让学生对信息安全等级保护制度和标准有一个完整、清晰的认识。

3.2基本技能实训

基本技能实训环节主要是强化学生各种信息安全技术的基本操作训练。首先，应根据最真实的企业内部环境搭建符合信息安全等级保护要求的模拟信息系统，并编写好对应的信息安全等级保护现场测评指导书；然后，指导学生在模拟系统上进行现场测评实训，实训过程按信息安全等级保护现场测评指导书要求进行，实训内容以获取信息系统安全配置和运行状态等原始数据为基础。基本技能实训模块包括网络安全、主机安全、应用安全、数据备份及恢复、自动化工具扫描这5个层面的训练项目。

（1）网络安全。学生在模拟平台上开展各种主流的网络设备和安全设备的基本操作训练，要求学生理解网络设备和安全设备的安全功能及安全设置，掌握设备的运行状态和信息数据采集方法。

（2）主机安全。学生在模拟平台上开展各种主流系统软件基本操作训练，包括操作系统、数据库系统、中间件等，要求学生理解各种系统软件的安全功能和安全设置。通过本环节的实训，学生应具备系统软件安全配置核查和运行状态信息采集能力。

（3）应用安全。学生在模拟平台上对所安装的主流商用应用软件和自主开发软件进行安全配置核查和安全功能验证训练，要求学生理解应用软件的安全功能设计要求，掌握应用软件的安全配置核查和安全功能验证方法。

（4） 数据备份和回复。通过模拟系统的磁盘冗余阵列进行基本操作训练，让学生了解磁盘冗余阵列的验证方法；通过训练学生在操作系统和数据库管理系统上配置计划备份任务，使其理解系统软件的数据备份安全功能，掌握系统软件的备份操作计划配置和验证方法。

（5）自动化工具扫描。学生利用主流的开源扫描工具和商用的扫描工具对模拟系统上的网络设备、安全设备、服务器主机等进行扫描，获取信息系统主要软硬件的漏洞，并验证系统的脆弱性。本部分获取的原始数据作为（1）、（2）、（3）部分的补充，通过本环节培训学生整理和分析漏洞扫描结果以及初步验证漏洞真实性的能力。

3.3能力提高实训

在学生掌握信息系统安全配置和运行状态数据采集的基本技能后实施能力提高实训，本模块主要培训学生对原始数据的分析、整理，并编写信息安全等级保护测评报告的能力。能力提高实训模块主要包括单元测评、整体测评、风险分析、问题处置和安全建议4个项目，各项目之间的关系流程如图2所示。

（1）通过基本技能实训获取到原始数据后，根据信息安全等级保护测评过程要求整理、分析原始数据，开展单元测评，并给出各单元层面内控制点中检查项的符合性，分析并给出单元测评结果，按信息安全等级保护报告模板编写单元测评报告。

（2）在完成单元测评后，由于单元测评参照的信息相对独立，未考虑原始数据间的关联性，而实际信息系统的最终安全防护效力和面临的风险是信息系统安全控制点间、安全层面间、安全区域间各组成要素共同作用的结果，因此在完成单元测评后还应该进行整体测评。整体测评主要是考虑单元测评中的各控制点间、安全层面间、安全区域间存在某种关联性，这种关联会对信息系统整体的安全防护效力、面临的风险具有降低或增加的作用，应从整体角度对信息系统安全的状态进行修正。

（3）风险分析结果是制订信息安全系统防护措施的重要依据，风险分析能力是体现信息安全工程师水平的一项重要指标。在风险分析实训项目中结合单元测评和整体测评结果利用风险分析计算工具对信息系统面临的风险等级大小进行定性或定量的分析计算，并编写风险分析报告。

（4）确定信息系统存在的风险后，接着应分析引起信息系统风险的因素，对不可接受风险因素或不能满足等级保护要求的安全防护项提出完整的问题处置和整改建议。问题处置和整改建议环节要求信息安全工程技术人员具备扎实理论知识的同时还具备相当丰富的实践经验，工程技术人员必须熟悉信息安全的各种防护技术和目前市场上相关的信息安全软硬件安全产品。因此，本实训项目主要是训练并提高学生综合运用信息安全技术解决实际问题的能力。

4结语

在信息安全专业的实践教学中引入信息安全等级保护内容，实训教学知识体系完全参照信息安全等级保护要求来构建，信息安全等级保护知识体系完善，保证了实训内容的广度和深度。通过信息安全等级保护现场测评环节训练学生的信息安全技术基本操作技能，通过信息安全等级保护测评报告的编制训练学生运用信息安全等级保护基本知识、理论和方法去分析信息系统存在的漏洞、面临的安全风险，并编制符合信息安全等级保护要求的安全防护方案，提高学生综合运用信息安全技术解决实际问题的能力，较好地满足了社会对信息安全人才的需求，深受信息安全等级保护技术服务机构和已开展或拟开展信息系统安全等级保护的企事业及机关单位的欢迎，为学生毕业后尽快适应工作要求奠定了基础。

由于实验环境的限制，所制订的基于信息安全等级保护的实训教学知识体系仍存在以下3点不足：①实训教学体系未涉及虚拟化、云计算、物联网安全实训，而这些是当前发展较快且正被广泛运用的信息技术；②由于渗透测试对测试环境搭建和学生基本技能要求较高，因而实训教学体系中并未涉及渗透测试项目；③信息安全管理在信息安全防护工作中是非常重要但却最容易被忽视的工作内容，可以说一个组织的信息安全管理水平高低直接决定其信息系统的安全防护能力。因为安全管理测评基本上采用的是制度类、证据类、记录类文档性资料的核查和访谈，而在实训中难以模拟一个完整的安全管理体系实际案例，所以在实训中安全管理部分更多地是采用课堂教学讲解，没有操作实训。 这些在后续教学实践工作中都有待改进。

参考文献参考文献：

[1]杨冬晓，严晓浪，于慧敏.信息类特色专业建设的若干实践[J].中国电子教育，2010（1）：3945.

[2]田秀霞.创新实践项目驱动的信息安全专业教学改革[J].计算机教育，2015（23）：3033.

[3]张胜生，吕绪银.基于信息安全场景下的等级保护技术人才培养模式研究[C].第二届全国信息安全等级保护测评体系建设会议论文集，2012：8385.

[4]李琳，陈东方，李涛，等.信息安全专业实践教学体系研究[J].电脑知识与技术.2014，10（35）：85148515.

[5]蒋炜.信息安全等级保护培训探讨[J].现代企业研究，2015（2）：64.

[6]公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程[M].北京：电子工业出版社，2015.

[7]公安部信息安全等级保护评估中心.信息安全等级测评师培训教程（中级） [M].北京：电子工业出版社，2015.

[8]公安部信息安全等级保护评估中心.信息安全等级测评师培训教程（初级） [M].北京：电子工业出版社，2015.

个人信息保护论文范文第14篇

[关键词] 知识产权；商业秘密；Trips协议

[中图分类号] D922.294 [文献标识码] A [文章编号] 1006-5024(2008)01-0187-03

[基金项目] 2006年度江西省高校人文社会科学研究项目“WTO视野下的商业秘密法律保护问题研究”(批准号：Fx0614)

[作者简介] 付慧姝，南昌大学法学院讲师，厦门大学国际法专业2005级博士生，研究方向为商法。(江西 南昌 330031)

一、商业秘密法律保护中的基本理论问题分析

(一)商业秘密的界定

商业秘密(Trade Secrete)是一个已得到广泛承认的术语，在我国台湾法中称为营业秘密，在WTO的Trips协议(Agreement on Trade-related Aspects of Intellectual Property Rights)中被称为未披露的信息(Undisclosed Information)。我国的商业秘密法律保护制度虽然起步较晚，但与西方各国的立法一样，也经历了一个保护范围不断扩大的过程。20世纪80年代，《技术引进合同管理条例》及其实施细则对“专有技术”的概念作了界定，《技术合同法》规定了技术秘密。商业秘密首次作为法律术语使用是在1991年修改的《中华人民共和国民事诉讼法》中。根据《最高人民法院关于适用中华人民共和国民事诉讼法若干问题的意见》第154条，商业秘密“主要是指技术秘密、商业情报及信息等，如生产工艺、配方、贸易联系、购销渠道等当事人不愿意公开的商业秘密。”1993年，《反不正当竞争法》明确规定：“商业秘密是指不为公众所知悉，能为权利人带来经济利益、具有实用性，并经权利人采取保密措施的技术信息和经营信息。”1995年国家工商行政管理局的《关于禁止侵犯商业秘密行为的若干规定》对商业秘密的内涵和外延作出了较明确的界定，“本规定所称商业秘密，是指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息。”可见，从保护范围上看，我国商业秘密在十几年间经历了由专有技术、技术秘密、工商业秘密到商业秘密的发展过程；从构成要件上看，可概括为秘密性、价值性和实用性。

(二)商业秘密的种类

商业秘密从种类上看主要包括技术信息和经营信息，从理论上说均可得到保护，但在实践中，二者的地位存在着不平等，人们对技术信息的认识与了解要远胜于经营信息。表现在法律方面：在立法上无论是措辞，还是术语的使用，都是从技术信息的角度来界定商业秘密的。例如，美国《侵权行为法第一次重述》第757节评论b在说明如何确定商业秘密时提到的6项要素，主要围绕技术信息。《统一商业秘密法》有关评论在说明获得商业秘密的正当手段时，借用的也主要是技术信息的语言，如独立开发、反向工程等，甚至在有些国家经营信息是否受法律保护还是一个存在争议的问题。在司法实践中涉及技术信息的案件一度成为有关商业秘密案件的主流。这主要是因为技术信息与经营信息相比，财产特征更明显，更不容易受到经济理论、市场竞争理论的影响。然而，随着科技与社会的发展，经营信息逐渐进入人们的视野，引起人们的关注。实际上在市场经济条件下保护经营信息，可促进经营创意不断更新，使不同的经营者呈现出较大的差异性，从而更好地满足人民的多样化需求。客户名单就是经营信息中很有代表性的一种。

二、解读Trips协议第39条

尽管国际商会1961年制定了《有关保护know-how的标准条款》，联合国1974年制定了《联合国国际技术转让行动守则草案》，然而，世界贸易组织(WTO)的Trips协议则强调知识产权保护对国际贸易发展的促进作用，创造性地将未披露的信息(即商业秘密)纳入知识产权的范畴中加以保护，反映了当代科技、经济全球化的特点，也说明了知识产权与上升为各国的外贸政策的重要内容，成为经济体制和科技体制的组成部分，其在对外贸易和经济关系中的地位日趋重要。

Trips第39条对未披露信息的明文规定，就是对商业秘密保护的规定，这是国际公约上的第一次，虽然它采用的是“未披露信息”的措辞。其具体规定如下：

1.在确保依巴黎公约1967年文本第10条之2的规定，为反不正当竞争提供有效保护的过程中，成员应该依照以下第2款保护未披露的信息，应该依照以下第3款保护向政府或者政府的机构提交的信息。

2.只要有关信息符合下述条件，则自然人和法人应有可能禁止他人未经允许以违背诚实商业行为的方式，披露、获取或者使用处于其合法控制下的信息：

――其在某种意义上属于秘密，即其整体或者要素的确切体现或组合，未被通常涉及该信息有关范围的人普遍所知或者容易获得；

――由于是秘密而具有商业价值；

――是在特定情势下合法控制该信息之人的合理保密措施的对象。

3.当成员要求提交未披露的实验或其他数据，作为批准使用新化学成分的药品或农用化学产品上市的条件时，如果该数据的原创活动包含了相当努力，则成员应该保护该数据，防止不正当的商业使用。同时，除非有保护公众的必要，或者已经采取措施保证该信息受到保护免于不正当商业使用，否则成员应该保护该数据防止泄露。

Trips关于商业秘密的规定我们可从以下几个方面进行解读：

首先，界定了商业秘密权的知识产权属性。有关商业秘密权的属性问题一直困扰着各国的理论界与实务界，而有关商业秘密权的权属性质往往决定一国的商业秘密保护的基本理论，是明确商业秘密法律保护依据、保护方式和保护程度的关键性问题。中外学者对此进行了深入的研究，提出了各自的观点。其中具有代表性的有财产权说、人格权说、信息权说、企业权说、知识产权说、全新的权利类型说等。上述学说、理论是商业秘密法律保护研究的各个阶段的成果，虽然在权属性质的认定上学者们各持己见，难以达成一致，但各种学说恰好从各个方面、各个角度揭示出商业秘密权的特点，只是各有侧重。但TRIPS协议创造性地将商业秘密权纳入其调整范围，无疑是将商业秘密权界定为知识产权，这一界定是基于充分保护商业秘密权的考虑，不仅符合法理，更体现了一种务实的态度。鉴于世贸组织的成员方已覆盖全球大多数国家，而TRIPS协议又是WTO法律体系的重要组成部分，属于各国必须一揽子接受的内容，这一界定平息了理论界的纷争，为各国的商业秘密保护立法提供了统一的理论基础。

其次，强调了巴黎公约的基础地位。商业秘密的国际保护最早可以追溯到1883年的保护工业产权的《巴黎公约》中，《巴黎公约》1967年文本第10条之2规定：“本联盟各成员国，有义务对国民提供有效保护，反对不正当竞争。”虽然其规定只要求各成员国承担反不正当竞争的一般义务和应特别禁止的三种不正当竞争行为，没有单独提及商业秘密概念，但《巴黎公约》1967年文本却成为以后几个国际公约关于商业秘密保护的基准性法案。Trips协议第39条在第1款中就规定了应确保巴黎公约中有关规定的实施，明确了其基础地位。

第三，归纳了商业秘密的构成要件。第39条第2款规定商业秘密的构成要件，包括“其在某种意义上属于秘密，即其整体或者内容的确切体现或组合，未被通常从事有关信息工作的人所普遍所知或者容易获得”；“由于是秘密而具有商业价值”；“合法控制该信息的人，为保密已经根据有关情况采取了合理措施”。上述内容可概括为三项，即新颖性、商业价值性和保密措施。从这三项要件的关系来看，是彼此紧密联系的。新颖性将商业秘密与一些公知信息区别开来，其商业价值性正来源于新颖性，而保密措施反映的是权利主体对待这种信息的主观态度，有时对于信息新颖性、商业价值性的认定也是有影响的。

第四，第39条第3款专门规定了向政府或政府的机构提交的医用或农用化工产品相关数据的保护。发达国家在技术转让领域的公共管理的作用，是一个长期有争议的问题。Trips协议第39条第3项很好地解决了这一问题。企业不仅在日常商业交往中有泄露其商业秘密的危险，而且，在与政府打交道中间同样有这种危险。在许多情况下，企业要按照法律要求向管理部门或者执法机关提交商业秘密，而此间其商业秘密泄露，就会损害其竞争优势。这种提交包括申请审批时的提交，调查反不正当竞争行为时提供的信息等等。TRIPS协议第39条第3款主要针对的就是这种情形。实际上在技术转让领域的公共管理问题，涉及到商业秘密法律保护的限度和权利冲突问题，相当复杂。TRIPS协议只是作了原则性的规定。

Trips协议第39条的规定为成员保护商业秘密提供了基准。虽然，这些规定都是原则性，其目的是给成员方以自由，让成员方可根据自身的情况作出实施规定。但对于尚未建立起完备的商业秘密法律保护体系尤其是还未对商业秘密实施法律保护的国家而言，Trips协议第39条的规定都是一个很好的起点。我们也注意到，Trips协议第39条没有规定反向工程(Reverse Engineering)。这意味着这种知悉商业秘密的方式可以作为正当的竞争方式。从经济学的角度来看，承认反向工程权无疑是高效率的。对于技术上的后进者而言，是切合实际的。这种权利可以赋予竞争对手发现和使用非专利信息的能力，但条件是，必须通过花费自己的时间和金钱进行工程和设计上的努力。从总体上看，在商业秘密保护制度中允许反向工程，对于发展中国家是极有好处的。

三、入世后中国完善商业秘密保护的法律思考

(一)完善立法，企盼《商业秘密保护法》尽早出台

早在1994年国家经贸委就受委托成立了《商业秘密保护法》起草小组，先后拟出了《商业秘密保护法(征求意见稿)》和《商业秘密保护法(送审稿)》，可是立法何时能完成还不得而知。虽然对商业秘密法律保护问题的研究正在向纵深发展，但在实践中涉及商业秘密的法律纠纷也呈现出案件数量逐年增加，涉案金额不断上升，案件复杂性日益增强的趋势。现有的关于商业秘密的分散立法的模式已无法适应实践的需求。制定一部统一的《商业秘密保护法》是实践和理论的一致需求，也是我国作为WTO成员兑现承诺，履行入世义务的要求。

(二)厘清商业秘密构成要件，明确商业秘密权的权属性质

虽然说，我国现行法律文件中对商业秘密的界定，在内涵和外延上基本上与国际趋势保持了一致，但是，从总体上看，我国法律对商业秘密构成上的要求还是要严于美国等国家相关法律的要求，郑成思先生曾指出：“在商业秘密领域，合格的受保护信息并无‘实用性’要求，是Trips明文规定的。”而我国《反不正当竞争法》明确规定商业秘密应“具有实用性”。实用性的标准要严于价值性的要求，它有可能将尚未完成最终研发，但价值性已确定的信息因为无法具备实用性而被挡在商业秘密法律保护的范围之外。在今后的立法中，我们应作相应修订，使之与Trips和国际通行法律规定趋同。在已经起草的我国《商业秘密保护法(送审稿)》中已经反映了这一点，其中第一条第一款规定：“本法所称商业秘密，是指具备下列条件的技术信息、经营信息：(一)不为该信息应用领域的人所普遍知悉；(二)具有实际或潜在的商业价值；(三)经权利人采取了合理的保密措施。”送审稿的规定将反不正当竞争法所要求的“能为权利人带来经济利益，具有实用性”变更为“具有实际或潜在的商业价值”。

有关商业秘密权的定性问题，之前曾在理论界引发争议，但从周延地保护商业秘密的角度出发，将商业秘密权界定为知识产权的一种是恰当的选择。在诸多国家的立法、众多国际法律文件都将商业秘密权明确界定为商业秘密权的背景下，将商业秘密权认定为知识产权也是现实的选择。

(三)填补立法空白，规范政府或政府机构对商业秘密的法律保护

从向政府或政府的机构提交的商业秘密法律保护上看，必须承认，我国在这一问题上尚存在立法空白，只在国家工商局的《关于禁止侵犯商业秘密行为的若干规定》中提到“国家机关及其公务人员在履行公务时，不得披露或者允许他人使用权利人的商业秘密。”正如上文所述，有关信息转让的公共管理问题相当复杂，问题的实质涉及商业秘密权的权利保护边界问题，触及商业秘密权与其他权利的冲突。对此问题的理论研究，尚待深入。但至少，关于公共管理的内容，应该在将来的立法中有所体现。

商业秘密之所以受到越来越多的国际重视，特别是发达国家对其给予充分强调，是与经济全球化和知识经济的来临直接相关的。在技术发展突飞猛进的今天，革新者从其技术革新中获取充分的收益，这是至关重要的。入世给我国带来的挑战与机遇不仅限于货物贸易领域，对知识产权领域的冲击恐怕更大。为此，我国必须把握各国商业秘密法律保护发展的总体趋势，深刻领会WTO各项法律文件的相关规定，构建起既符合WTO法律文件要求，又能适应我国发展需求的科学的商业秘密法律保护体系，以应对挑战。

参考文献：

[1]张玉瑞.商业秘密・商业贿赂法律风险与对策[M].北京：法律出版社，2005.

[2]孔祥俊. WTO知识产权协定及其国内适用[M].北京：法律出版社，2002.

个人信息保护论文范文第15篇

内容提要: 犯罪圈的设定必须从犯罪的内在规定性和刑罚的特性两个层面予以考量：犯罪的内在规定性决定了犯罪化的实质标准是行为侵犯全体公民的基本人权；刑罚的特性决定了其适用范围必须综合考虑刑罚的“残缺不全”特征及其适用的可行性要求。根据个人信息的法律属性，侵犯公民个人信息就侵犯了公民的基本人权。由于其他制裁措施调控的失效，刑罚“迫不得已”地介入对公民个人信息的调整。从理性的深度进行反思，侵犯个人信息犯罪的立法具有合理性的一面，但在犯罪构成要件的规定上也有亟需澄清和完善之处。

 高级职称

 

    自《刑法修正案（七）》将侵犯个人信息行为入罪以来，有关争论就随之而起，不仅理论界对该罪立法的合理性提出了众多质疑，而且司法实务界对于该罪立法的理解与适用也产生了诸多分歧。本文将以对犯罪化的分析为进路，试图对我国侵犯个人信息犯罪的立法作出理性分析，以及时厘清该罪规定的立法意图与内涵，为准确适用法律及弥补立法上的不足提供新的视角。

一、犯罪化的根据和范围

何种行为应当入罪？中外诸多学者对此提出了自己的解答。如美国著名刑法学家帕克认为，犯罪化应当符合以下6项基本要求：社会大部分人认为行为具有明显的社会危害且不可容忍；科处该行为符合刑罚目的；遏制该行为不会牵制并压制社会欢迎的行为；能够对该行为进行公正的、无差别的处理；通过刑事程序予以取缔该行为不会额外加重诉讼负担；没有刑罚以外的其他适当方法可以替代{1}。我国学者陈兴良教授指出：“我们在确定某一危害行为是否应当规定为犯罪并予以刑罚处罚时，一方面应当确认该行为具有相当程度的社会危害性；另一方面又应当确认，作为该行为的法律反应，刑罚具有无可避免性。”{2}尽管学者们对入罪标准的表述不尽相同，但其核心思想基本一致，即犯罪圈标准的设定必须从犯罪的内在规定性和刑罚的特性两个层面考量。

高级职称

犯罪的内在规定性亦即犯罪的本质，是决定行为是否入罪的基本根据。关于犯罪的本质，不论是在历史上还是在当今，一直存在着长期而又热烈的讨论，主要有权利侵害说、法益侵害说、规范违反说、义务违反说等。上述各种学说虽然都有相对合理性的一面，但是因为过于抽象而有利弊兼备之嫌，很难准确表达犯罪的本质{3}。相比较而言，“权利侵害说”更加深入地接触到事物的本质层面，得到了更多的认同，但笔者仍认为有将其进一步具体化之必要。毫无疑问，犯罪是侵害根据法所赋予的权利的行为，犯罪的本质是对权利的侵害。然而侵犯权利的行为并不一定都应“入罪”，否则那些除刑法之外的其他诸法均无存在之理由和必要。“刑法的首要任务是保护现实社会中重要的并且是最基本的价值与法益（保护法益）。”{4}所以，能够进入刑法评价视阈的必须是那些对保护价值重大而又属于基本的权利予以侵犯的行为。那么，什么样的侵权行为才属于这一行列呢？既然犯罪是对社会成员的生命、人身、财产等最基本权利的侵犯，那么只有公民的基本人权所表现出来的利益才是需要刑法所保护的法益，只有侵犯这种利益的行为才可能称得上“具有严重的社会危害性”。[1]根据这一见解，行为入罪（又称犯罪化）的实质标准就是考察行为是否侵犯了全体公民的基本人权。

犯罪本质的界定只是解决了犯罪化的正当性问题，而行为入罪的范围仍需进一步厘清。如果说“犯罪是危害社会的、依照刑法应当受到刑罚处罚的行为”这一论断正确的话，那么“只有需要运用刑罚才能加以处罚的危害行为才需要认定为犯罪”也是符合逻辑地当然推理。因而，在确定犯罪化的范围时，行为的应受刑罚惩罚性无疑是一个核心指标。那么，什么样的行为才应该受到刑罚惩罚呢？众所周知，在所有的法律制裁措施中，刑罚当属最为严厉的一种。作为抗制犯罪的主要法律手段，刑罚兼具积极与消极的两重性。正如德国著名刑法学家耶林所言：“刑罚如两刃之剑，用之不得其当，则国家与个人两受其害。”{5}正是出于对刑罚特性的忌惮，一直以来人们就对其适用设置了非常严格的限制标准。如德国学者耶赛克曾指出，刑事政策要求立法者为了避免不必要地将某些行为列为犯罪，同时为了在一般人思想上维护刑罚的严肃性，必须将刑法上所必须归罪的行为范围限制在维护公共安全秩序所必需的最低范围之内{6}；功利主义大师边沁则明确指出了限制适用刑罚的案件范围：(1)滥用；(2）无效；(3）过分；(4）太昂贵{7}。那么，适用刑罚的标准到底应该是什么呢？根据笔者的理解，刑罚的适用范围必须综合考虑两个方面：首先，刑罚相对于其他法律规范体系中的制裁措施居于较高层级和位阶，基于一个危害行为所侵害的内容、侵害对象所体现的社会关系及其保护价值的不同，将会由不同严厉程度的制裁手段所调整，刑罚不可能全面介入，这就是所谓的刑罚“残缺不全”特征{8}。刑罚的“残缺不全”特征决定了刑罚是社会制裁体系中的最后一道防线，只有在道德制裁、纪律制裁、民事制裁、行政制裁等调控失效的情况下才可以考虑动用刑罚。其次，刑罚的适用必须是经济的、可操作的和有效果的。经济性意指刑罚资源的投入规模决定着国家设定犯罪的规模和种类，这是刑罚对犯罪界定的反作用体现；刑罚的可操作性意味着在实践中有适用刑罚的社会条件，不会造成有限刑法资源的浪费；刑罚的有效性则要求国家运用刑罚能够实现报应与预防犯罪的预期目的，凡是不利于刑罚目的实现的，应当明确放弃，另觅他法。

高级职称

二、侵犯个人信息行为入罪的法理分析

个人信息是指一切可以识别本人的信息总和，这些信息包括了一个人的生理、心理、智力、个体、社会、经济、文化、家庭等方面{9}。关于个人信息的法律属性，在理论上尚存争议，其中较为典型的主张有所有权说、隐私权说以及人格权说。上述各种见解都有一定的合理性成分，但又均有以偏概全之不足。笔者认为，随着现代信息化社会的深入发展，个人信息不仅体现着个人隐私和人格权利，而且由于“个人信息已经成为现代商业和政府运作的基础动力”{10}，其还越来越明显地表现出经济利益性特征。换言之，个人信息是个人隐私权、人格权乃至财产权的综合载体。由于公民的隐私权、人格权及财产权分别涉及到公民的人身自由、人格尊严、生活安宁以及财产的安全，因而无论从宪法还是从部门法的角度分析，公民的个人信息都承载着公民的基本人权，甚至在一些情况下，当个人信息成为维护公共利益所必须的时候，它还表现出公共秩序利益的属性。[2]因此，侵犯公民个人信息就会侵犯公民的基本人权，个人信息理应成为刑法调整和重点保护的对象，刑法将这类侵犯行为予以犯罪化乃实至名归。

然而，刑法对社会关系的调整并不是最安全的，因为很多现代国家的法律制度中都存在立法者滥用立法权的现象。为了能理性地防止在刑法方面滥用立法权，必须对实际上是否有必要规定刑事制裁进行评估，或者只有在不用刑事制裁就不足以有效地处罚和预防某种行为时，才允许对该行为规定刑事制裁{11}。这个“刑法辅助性原则”实际上为刑法介入对个人信息的调整划定了边界：作为“后置法”（“保障法”）的刑法，只有在健全而适当的“前置法”（除刑法外调整个人信息的其他部门法）无法有效地调整某一行为时，出于保障公民基本人权的目的才能介入。那么，现实中“前置法”调整的效果如何呢？现阶段我国对于个人信息的保护主要采取两种措施：一是通过法律的形式进行保护，其又可以分为法律的直接保护和间接保护两种模式；二是通过具有道德性的行业自律进行保护。在第一种保护措施中，当前主要采取民事制裁和行政制裁手段，当然还有部分刑事制裁手段的运用；在第二种保护措施中，主要采取道德约束和纪律制裁两种措施。初看起来，好似在我国已经形成了较为完整的调控体系：道德制裁—纪律制裁—民事制裁—行政制裁—刑事制裁。然而通过仔细调查和分析，就能够看出上述保护措施均存在严重先天不足：道德和纪律制裁措施的规制作用十分有限，特别是在现代社会中个人信息的商业价值日渐提升之际，其对侵犯个人信息行为规制和调整机能的发挥就尤显尴尬。民事制裁措施偏重于对体现个人隐私的个人信息之保护，对于并不体现公民人格权的一些个人信息不能涵盖其中，[3]同时对于那些超出民事侵权行为调整范围的行为也无能为力。[4]行政制裁措施虽然在刚性和严厉性上比民事制裁有所提高，但是受法律属性和实施目的的限制（主要在行政关系领域），其调整范围也大受制约，表现在义务主体和个人信息的范围上有其特定性。同时，法律所规定的行政制裁措施并不明确，在处罚强度上也不够刚强，对严重的侵权行为也有“鞭长莫及”之感。总之，无论道德制裁、纪律制裁，还是民事制裁和行政制裁，都不能有效地、经济地对侵犯个人信息的行为进行调控。因此，作为“最后保障法”的刑法制裁方式介入个人信息保护领域就成为“迫不得已”。

高级职称

在刑罚的适用成为必要的情况下，当前惟一需要思考的问题就是对侵犯个人信息的行为适用刑罚的可能性有多大？国家动用刑罚的可能性取决于两个要素：第一，国家能够投入到刑罚适用过程中所需要的资源；第二，刑罚措施在实践中的可操作性{12}。在所有的法律制裁措施中，刑罚的适用需要国家投入的资源最大，因此就需要思考如何将有限的资源用到“最需要”的地方，这既是刑罚经济性的要求，也是对刑罚范围的有力限制方式之一。刑罚的经济性要求立法者和司法者在配置和适用刑罚时，应当将其范围限制在维护公民最基本人权和社会基本秩序所必需的范围内—只有当那些行为侵犯了公民的基本人权，从而使国家的基本法律制度承受摧毁性危险时，才可以适用刑罚。刑罚的可操作性要求犯罪圈的设定范围应量力而行，优化刑罚资源配置，将打击重点放在危害最严重、出现最普遍、群众最不能容忍的侵害行为之上，并将那些实践中很少发生或者由于某种原因不能够有效揭露和审判的侵犯行为排除在外，以减少“条文虚置”的情况。具体考察我国当前出现的对个人信息的侵犯行为，其行为方式多种多样，危害性和可追诉性也大相径庭，对这些行为的刑罚适用也应当有所差别：一些危害性不大的侵犯个人信息的行为，适用非刑罚的制裁措施即可；一些侵害行为造成严重的危害后果，则有适用刑罚的必要；一些行为虽然危害严重，但是根据现实条件追诉成本过高，或者适用刑罚的操作难度较大，比如“人肉搜索”等，刑罚可以暂缓介入。

三、我国侵犯个人信息犯罪立法的理性反思

虽然各界对于刑法将侵犯个人信息行为入罪都普遍持赞同和欢迎的态度，但是对侵犯个人信息行为犯罪化的具体规定仍然存在一些争议：第一，认为侵犯个人信息犯罪主体范围的规定不合理，主张扩大侵犯个人信息犯罪主体的范围{13}；第二，认为个人信息的范围不明确，要求统一个人信息的内涵和外延的界定{14}；第三，认为犯罪客观方面的规定有待进一步优化，要求健全“前置法”，并将“人肉搜索”等行为入罪{15}。

虽然上述的各种质疑有其积极、科学的一面，但笔者认为论者欠缺对立法意图和根据的理性反思：

高级职称

首先，从现实来看，虽然对该罪的犯罪主体进行限制似乎有失公允，然而刑法规定的合理性是勿庸置疑的。不像国家机关等单位的工作人员有诸多“前置法”的保护个人信息具体义务的规定，[5]其他组织和人员对公民个人信息的保护义务往往没有“前置法”的明确规定，其义务主要散见于《宪法》和《民法通则》等法律中的原则性规定。这些规定既不健全，也没有形成体系，因而很难说“前置法”对这些主体侵害行为的调整是无效的。同时，在现实中非特殊主体以外的其他人员侵犯个人信息的行为并不是时常发生，或者虽然数量较多但是欠缺刑罚追诉的可操作性，对其适用刑罚的成本较高，可行性较低。根据犯罪圈设定的“必要且最小”的要求，并结合我国当前的实际情况，除国家机关、金融、电信、交通、教育、医疗等之外的其他单位及其工作人员，还不宜纳入犯罪圈范围。等到时机成熟以后，可以通过刑法立法解释或者司法解释的形式，根据需要适当扩大侵犯个人信息犯罪的主体范围。

其次，“个人信息”范围的界定和立法者立法时的价值取向密切相关，不能主观臆断。如前文所述，在个人信息上附载着人格权、隐私权、财产权甚至公共利益等多重权益，因而立法者在制定个人信息保护的法律时就必须选择是以何种权益的保护为主，亦即对立法价值取向予以预设。[6]众所周知，立法者在立法时的价值取向影响甚至决定着法律条文的解读与适用。在《刑法修正案（七）》将侵犯个人信息行为入罪之时，立法者将该类犯罪的两个罪名放在《刑法》第253条之一进行规制，体现着对个人隐私权保护的价值追求。既然侵犯个人信息行为犯罪化的价值取向是对公民隐私权的保护，那么《刑法修正案（七）》所规定的两个犯罪中“个人信息”的范围就比较容易界定了，即并非所有的个人信息都是刑法调整的对象，只有个人信息中体现着个人隐私权的那一部分信息才属于刑法保障的范围。[7] 当然，《刑法修正案（七）》的这一规定是否合理，还需要在实践中进一步检验。

再次，在犯罪客观要件方面，《刑法修正案（七）》对侵犯个人信息犯罪的规定的确存在着前文中所提到的缺陷。从我国当前的立法现状来看，有关个人信息保护的完备法律体系尚未建立起来，各种现有规定或者过于原则、抽象，或者片面、零乱，缺乏可操作性和执行性。这种立法现状往往会产生严重问题：一方面，造成刑法规定的执行效果不理想而降低刑法威信；另一方面，由于“前置法”和刑法之间缺乏衔接，会产生对侵权行为“要么不追究、要追究就上刑罚”的不合理结果，与刑法介入社会生活的“最后性”或者“迫不得已性”相违背。所以，正如众多学者所呼吁的那样，我国应当借鉴国外的通行做法，尽快建立一套完备的个人信息保障法律体系，颁布我国的《个人信息保护法》来统一规范收集、处理和利用个人信息的行为。就学者们提出的进一步周延侵犯个人信息犯罪行为方式的意见，[8]笔者认为至少在当前并不具备将这些行为犯罪化的条件。虽然正如众多论者所言，“人肉搜索”等非法获取和使用个人信息的行为危害巨大，具备了行为入罪的基本条件；但是，就犯罪圈设定的整体标准而言，这些行为显然不具备入罪的“迫不得已性”以及适用刑罚的必要性和可行性[9]的要求，对其暂不入罪情有可原。如果在我国有关个人信息保护的“前置法”体系建立健全之后，仍不能通过非刑罚措施进行有效规制，方可对这些行为的犯罪化进行重新评估。高级职称

四、我国个人信息刑法保护立法的未来展望

根据前文的分析，我国对侵犯个人信息行为的犯罪化基本上顺应了社会的发展和对该行为的危害性进行抑制的需求，符合犯罪圈设定的理性标准。但是，以发展的眼光和“苛求”尽善尽美的考量出发，笔者依然需要对个人信息的刑法保护规定提出立法上的展望。

（一）根据需要适当地扩大犯罪主体的范围

在现实生活中，诸如中介、法律服务等机构及其工作人员乃至网络用户的侵犯个人信息行为可能会造成严重危害后果，在具体情境下也会大量出现。对此，从长远来看，适当扩大本罪的犯罪主体范围是不可避免的。但是，笔者认为这并不是否定《刑法修正案（七）》对犯罪主体规定之合理性的理由。因为《刑法修正案（七）》对该罪是一个开放性的规定，当入罪的需要产生之后，仍然存在着在不修改法律现有规定的前提下而对其他一般主体的侵害行为予以犯罪化处理的余地。

根据日本著名学者大谷实的见解，犯罪化包括立法上的犯罪化和刑罚法规解释适用上的犯罪化{16}。前者的含义勿需解释；后者亦即司法上的犯罪化，是指“在适用刑法时，将迄今为止没有适用刑法作为犯罪处理的行为，通过新的解释将其作为犯罪处理”{17}，“没有伸缩性的概念，就没有裁量的空间，不足以实现正义。……概言之，具有伸缩性的抽象性、一般性规定，不仅使司法上的犯罪化完全成为可能，而且能够使司法上的犯罪化没有超过刑法的抽象性、一般性概念的约束。”{17}《刑法修正案（七）》规定，“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处3年以下有期徒刑或者拘役，并处或者单处罚金。”可见，有关该罪犯罪主体的规定就是一个类型性、伸缩性的概念描述。随着其他主体侵犯个人信息行为的增多和社会危害性的增强，特别是随着调整这些主体个人信息保护义务规范的健全和完善，在必要和可行的情况下，立法者或者司法者可以随时通过颁布立法解释和司法解释的形式，对侵犯个人信息犯罪的主体要件进行填充，视情况将非特定主体纳入刑法视野，以满足刑事调整的需求。

高级职称

（二）通过完善立法明确“个人信息”的含义

对于侵犯公民个人信息犯罪而言，明确本罪侵犯的对象即何为公民个人信息，对于刑法的准确适用非常关键，无怪乎几乎所有关注此罪的学者和刑事实践部门的人员，均强烈要求立法上明确界定个人信息的内涵和外延。但是，采取何种形式来加以明确界定呢？有学者建议，通过颁布司法解释的形式明确个人信息的内容；比较多的学者主张，在将来制定的《个人信息保护法》中专门增加一款，明确规定“公民个人信息”的概念与范围{18}。

通过司法解释的形式界定个人信息的涵义，虽然有利于及时统一刑法适用上的认识，但是不符合法律体系整体性、逻辑性的要求；而寄希望于制定一部统一的个人信息保护法典来明确个人信息的范围，也仅仅是长远规划。然而，刑法颁布后就随时准备予以适用，具体案件的发生不可能只等待未来一部法律的颁布。可见，这两种意见均不具有现实操作性。如何在所谓的《个人信息保护法》颁布以前即能确定“个人信息”的涵义呢？笔者认为，根据立法者在犯罪化时将侵犯个人信息犯罪放置于刑法典中的位置，可以推断出立法者的价值取向，并依此立法意图解释刑法修正案中“个人信息”的范围。

（三）审时度势地将“人肉搜索”等危害严重的行为纳入刑法调整的范畴

“人肉搜索”等搜集、泄露个人信息的行为，由于其危害性的日益增大和可控性的日益艰难，引起了当前社会的普遍关注，社会各界纷纷呼吁将其予以犯罪化处理。[10]但是如果理性分析，“人肉搜索”等行为的入罪是不能够一蹴而就的。

陈兴良教授曾经指出：“刑法是一种不得已的恶。用之得当，个人与社会两受其益；用之不当，个人与社会两受其害。因此，对于刑法之可能的扩张和滥用，必须保持足够的警惕。不得已的恶只能不得已而用之，此乃用刑之道也。”{19}虽然部分非法的“人肉搜索”会造成严重的社会危害，但是其性质和作用并不能一概依 “非法”而论，因为“人肉搜索”是广大公民发表言论的一种形式之一，同时也是人民行使“舆论监督权”方式的有效补充。刑法规范总体上属于义务性规范，因而过密的刑事法网往往会导致公民的自由越来越少，从而对社会发展产生负面效应，违背刑法的人权保障机能。出于此种考虑，笔者建议不通过扩大侵犯个人信息犯罪主体和客观要件的方式将“人肉搜索”行为犯罪化，而应当依据犯罪圈设定标准的要求，首先健全相关“前置法”，强化对“人肉搜索”等侵犯个人信息行为的民事、行政规范力度，完善相应法律的调控能力。在这些基础完善以后，在“不得已”的情况下，再审时度势地考虑“人肉搜索”的犯罪化问题。高级职称

（四）健全和完善刑事追究程序

有学者认为，由于个人信息权和诸如侮辱罪、诽谤罪、暴力干涉婚姻自由罪、虐待罪以及侵占罪等罪名保护的权利一样，在本质上属于公民的个人权利，对这些权利的侵犯其危害性总体上还较为轻微，因此应当借鉴上述5种犯罪的规定，将侵犯个人信息犯罪设计为“告诉才处理”的自诉追诉方式{20}。在举证责任方面，该学者基于侵犯个人信息行为专业性和多样性造成取证困难的特点，主张在一定的限制条件下引入举证责任倒置的规则，使举证责任由自诉人向被告人转移，从而保证对该罪的有效处理。[11]

对于论者的上述设想之一，笔者认为有一定的合理性，但是仍有进一步完善之必要。从国外相关的立法经验来看，对于侵犯个人信息犯罪的追诉方式各国不尽统一，如英国采取的是以公诉为主的追诉方式，而芬兰则以自诉为主。考虑到个人信息的法律性质及本罪的侵犯客体和危害性，笔者认为《刑法修正案（七）》将侵犯个人信息犯罪一概设定为公诉案件并不合理，应当借鉴国外的立法经验作出更加理性的变通：由于对个人信息的犯罪主要侵犯了公民隐私权等人格权益，因而作为强制性公法的刑法不应当主动介入，而应将对犯罪行为的追诉让位于公民个人决定，主要以自诉的方式进行追诉；只有当侵害行为严重破坏了国家利益和社会公共利益之时，才可由国家主动行使公诉权。这种“以自诉为主，公诉为辅”的告诉方式一方面能够最大程度地节约司法资源，符合犯罪圈的“谦抑性”要求；另一方面对于化解社会矛盾，维护社会和谐也大有裨益，同时也符合扩大被害人参与刑事诉讼程序的世界潮流。

高级职称

针对论者的上述设想之二，笔者认为其理由并不充分，需要审慎分析。“正义是社会制度的首要价值，正像真理是思想体系的首要价值一样。”{21}作为一种刑事制度，举证责任的分配方式也应当最大程度地体现正义诉求，这是该种制度正当性的根基。而在刑事诉讼过程中，仅出于使公权力利益最大化的片面考虑而将本属于自身的绝对义务毫无节制地转移给相对方，很可能导致正义的丧失，同时也会促进司法的惰性。不过，论者所指出的侵犯个人信息犯罪因专业性、行业性较强而难以举证控诉的情况的确属实，因而如何解决有效控诉问题就成为立法和司法必须考虑的因素。笔者认为有两个不同途径可以采取：第一，根据前文见解，对某一行为犯罪化时除了依据该行为的社会危害性等实质根据外，还要考量对该行为适用刑罚之必要性和可行性。既然对某些侵犯个人信息行为适用刑罚的可操作性和有效性受到质疑，就表明它还不完全符合犯罪化的标准，立法和司法时应当暂时不予入罪。第二，如果从刑事政策方面的考虑认为有入罪必要的，也可以通过在该罪的规定中设定“刑事推定”规范，[12]以降低控诉方对刑事案件的证明标准，从而达到严厉打击犯罪的目的。[13]比较该两种立法路径，笔者更赞同采取前一种。因为前者不仅迎合了犯罪化标准的要求，而且从长远来看，对于坚定地秉持罪刑法定和无罪推定原则从而保障人权，或许更加有益。[14]

 

【注释】

[1]“基本人权”的观点一直以来为笔者的恩师、我国著名刑法学者陈忠林教授所提倡。他认为，犯罪行为就是对全体公民基本人权的侵犯；基本人权是一切权利中最为重要、核心的那部分权利，包括生命权、自由权、财产权、参与社会事务的权利等。

[2]例如，在非典疫情、甲型H1 N1流感等疫情严重的情况下，出于维护公共安全的需要，某些人的个人信息就体现了维护公共利益和公共秩序的一面，这些情况在风险社会中屡见不鲜。

[3]例如，不涉及公民人格、名誉、隐私等的其他个人数据、信息等，民法无法调整。

[4]例如，盗窃、强行夺取、骗取等方法侵犯个人信息权益的行为，或者将本人（或单位）所了解的个人信息非法提供给第三人的行为。

[5]如《居民身份证法》、《护照法》、《婚姻登记档案管理办法》、《商业银行法》、《统计法》、《政府信息公开条例》等。

高级职称

[6]在国外有关个人信息保护的立法中，不同国家的立法者在立法价值选择上存在不同的认识和态度。如大陆法系的欧洲国家对个人信息的保护采取的是一种保护名誉和个人尊严的形式，将个人信息的保护重心放在肖像权、姓名权、名誉权以及信息自决权上；而美国对于个人信息更加注重对自由价值的维护，立法上注重的是如何保护公民的个人信息免受政府及他人的侵扰。（参见：洪海林．个人信息保护立法理念探究[J]．河北法学，2007，（1) :108-113.）

[7]学界多数学者认为，个人信息的范围大于个人隐私；个人信息除包括个人隐私外，还包括不涉及个人隐私的其他信息。

[8]如主张将“非法使用个人信息”、“人肉搜索”等行为入罪。（参见：刘宪权，方晋晔．个人信息刑法保护的立法及完善[J].华东政法大学学报，2009,(3):120-130．吴允锋．个人身份信息刑法保护的是与非[J]．法学，2008,(12):53-57）

[9]目前，社会上出现了一些专门收购和买卖个人信息的“生意人”或中介机构，信息交易呈现出专业化、行业化的特点，这些行为大部分没有物化证据，侦查和追诉的难度极大。同时，“人肉搜索”在同样具备专业化的特征之外，还具有人数众多、参与性广泛等特点，其追诉难度甚至远远大于前者。因此，从目前的技术条件来看，对这些行为适用刑罚的可行性不大。

[10]从2006年的“铜须门”、“虐猫”事件，2007年的“辱师”事件，直到2008年的“人肉搜索第一案”，均可感受到“人肉搜索”行为的危害性和难追究性特征。

[12]论者认为，“在侵犯个人信息权犯罪案件中，公诉人（自诉人）的举证责任的范围主要包括被告人存在侵权的可能性以及被告人实施的侵权行为给被害人造成的严重后果。相应的，被告人应证明自己是通过合法渠道获得当事人个人信息以及其使用该信息的合法性。如果被告人无法证明这些事实，那么就可初步认定其从事了侵犯个人信息权的犯罪行为。”（参见：刘宪权，方晋晔．个人信息刑法保护的立法及完善[J]．华东政法大学学报，2009, (3) :120－130.）

[12]“刑事推定是指在认定刑事案件事实的过程中，司法人员在不得已的情况下，根据法律规定或经验法则，在没有相反证据反驳推翻的情况下，从已知的基础事实推导出另一未知事实（推定事实）存在的一种证明方法。”（参见：张旭，张曙．也论刑事推定[J]．法学评论，2009，(1）:16-21）

[13]在我国刑法中，“刑事推定规范”是有前例可循的，如我国《刑法》第395条规定：国家工作人员的财产或者支出明显超过合法收入，差额巨大的，可以责令说明来源。本人不能说明其来源是合法的，差额部分以非法所得论，处5年以下有期徒刑或者拘役，财产的差额部分予以追缴。笔者认为，巨额财产来源不明罪的规定不属于通说认为的“举证责任倒置”，而属于“刑事推定规范”。刑事推定只是降低了刑事案件的证明标准，但是并没有改变“谁主张谁举证”的控诉原则，证明被告人的行为构成犯罪的责任仍然应由控诉方承担。

[14]从整体上说，刑事推定虽然并未从根本上否定无罪推定的重要价值，但是由于其在一定程度上消减了无罪推定原则的普适性，容易对被控诉方的权利保障造成严重影响，因而作为一种“末位式”的证明，只能在无法用证据证明的前提下运用。

高级职称

【参考文献】

{1}Herbert L. Packer. The Limits of the Criminal Sanc-tion. Stanford University Press, 1968 , p296.

{2}陈兴良．刑法哲学〔M〕．北京：中国政法大学出版社，2000:8

{3}马克昌．比较刑法原理[M]武汉：武汉大学出版社，2002:88-93.

{4}西田典之．日本刑法总论[M]、刘明祥，王昭武，译．北京：中国人民大学出版社，2007:22

{5}林山田．刑罚学[M]．台北：商务印书馆，1985:127.

{6}汉斯·海因里希·耶赛克．世界刑法改革运动概要[J]法学译丛，1981，（1）:67.

{7}边沁．立法理论—刑法典原理[M]．孙力，等，译．北京：中国人民公安大学出版社，1993 : 66 -67.

{8}汉斯·海因里希·耶赛克，托马斯·魏根特．德国刑法教科书[M]．徐久生，译．中国法制出版社，2001:

{10} Perri. Private Life and Public Policy. The Future ofPrivacy·1998，Vol. 1，p23.

{11}杜里奥·帕多瓦尼．意大利刑法学原理[M]．陈忠林，译．北京：中国人民大学出版社，2004:4-5

{12}张绍谦．从刑罚特性看犯罪圈的界限[J]．河南省政法管理干部学院学报，2007,(5):19-26.

{13}沈峥嵘．“个人信息保护”成最大热议焦点〔[].新华日报，2008-10-16(A6)

{14}吴允锋．个人身份信息刑法保护的是与非[J].法学，2008，（12) :53-57.

{15}赵江辉，陈庆瑞公民个人信息的刑法保护[J].中国检察官，2009,(6) :9-11.

{16}大谷实．刑事政策学[M]．黎宏，译．北京：法律出版社，2000:85.

{17}张明楷．司法上的犯罪化与非犯罪化[J]．法学家，2008，(4) :65-93.

{18}周汉华．中华人民共和国个人信息保护法（专家建议稿）及立法研究报告[M]．北京：法律出版社，2006:3.

高级职称

{19}陈兴良．刑法的价值构造[M]．北京：中国人民大学出版社，1998: 10.