近年來，公民個人信息遭洩露的事件頻頻發生，給許多人的生活造成嚴重困擾。立法保護公民個人信息刻不容緩。目前，世界上已經有50多個國家制定了個人信息法體系，例如美國的《隱私法》、《電子通信隱私法》、《互聯網保護個人隱私的政策》，歐盟的《關於保護自動化處理過程中個人數據的條例》，經合組織的《關於保護隱私和個人數據跨國流通指南》，日本的《個人信息保護法》等。我國目前針對個人信息的法律法規並不少，有近40部法律、30余部法規，以及近200部規章涉及個人信息保護，其中包括規範互聯網信息規定、醫療信息規定、個人信用管理辦法等，但是相關保護條款內容不集中、闡述不清晰、適用不明確、範圍受局限、處罰不具體，因而可操作性差。2009年，《刑法修正案(七)》確定了“出售、非法提供公民個人信息罪”、“非法獲取公民個人信息罪”罪名，首次將公民個人信息納入刑法保護範疇，規定要追究洩露、竊取和售賣公民個人信息行為的刑事責任。但對哪些信息屬於“公民個人信息”，什麼是“非法獲取”，何種情形構成“情節嚴重”等，仍舊沒有作出明確規定。因此，應當通過立法對我國的個人信息保護法律制度進行完善。

　　合理選擇個人信息保護的立法模式

　　我國目前尚未出臺對個人信息進行保護的專門立法。大家對於個人信息應通過專門的立法進行保護已經取得了相當的共識，但對於應採用哪種立法模式這一問題，還沒有達成一致意見。由於英美法係國家多將個人信息保護納入隱私權保護，大陸法係國家則多采用一般人格權理論對個人信息加以保護，因此，在立法模式上存在著以歐洲大陸法係為代表的統一立法模式和以美國為代表的英美法係的分散立法模式。兩者的關鍵不同點在於，是否將公共部門和私營機構收集、儲存和處理個人信息的行為放在一部法律文件內進行調整。分散立法模式對個人隱私權的法律保護主要劃分為公、私兩個領域，分別採用不同的保護方式：在私人領域，主要通過從業者的自我約束和相關協會的監督管理來保護公民的個人隱私安全；在公共領域，則制定大量的單行法規來規範政府行為，保護公民隱私權。這種立法模式通過分散立法的方式對不同領域的隱私權採用不同的保護方式，有效避免了國家立法對個人信息正常流動的過早干預，但是缺乏合理的爭端解決機制，行業自律在實踐中的效果不佳。統一立法模式就是主要通過國家綜合立法來確立個人信息保護的原則、具體制度和措施。綜合立法個人信息保護模式使得對個人信息的保護更加詳盡、具體，但這種保護模式法律規定不夠靈活，相對於迅速變化發展的個人信息有一定的滯後性。不論是統一立法模式還是分散立法模式，都有其合理的地方。但比較好的選擇是分別吸取其有益的經驗，並結合本國的國情作出具體的制度設計。基於此種考慮，我們認為我國宜採用行業自律與立法規制相結合、綜合立法佔主導地位的個人信息法律保護模式。這種保護模式要求：首先，制定《個人信息保護法》作為個人信息保護基本法，在其中規定國家、公共團體和私營組織有關個人信息的行為規範，制定完善的法律措施來界定信息自由流動的底線，並以此作為個人信息使用的最基本的行為準則；其次，制定相關單行法作為個人信息保護輔助立法，在其中設定行業自律性規範或要求個人信息控制人作出單方承諾，在整個社會中倡導行業自律的重要性。個人信息保護需要的不僅是一部宏觀意義上的“母法”，更要求構建起一個微觀性的法律法規體系，只有這樣，才能為公民個人信息權提供全面而細緻入微的法律保障。

　　確定個人信息保護的法律理念

　　在立法理念上，經合組織的《關於保護隱私和個人數據跨國流通指南》和亞太經合組織的《亞太經合組織隱私權保護框架》確立了個人信息保護的一些原則性規定，成為相關國家和地區個人信息保護立法的基本理念。在此基礎上，美國將保護網絡隱私權作為一項基本理念提出。歐盟又在《歐盟數據保護指令》中提出了對數據和隱私保護的基本理念。筆者認為，個人信息保護立法的基本理念至少應當包括如下幾個方面：一是應當進行利益比較。法律在多種利益主體之間進行利益分配時應對各種利益進行比較而作出均衡取捨，就是利益比較。個人信息保護法的利益比較，就是要在保護個人信息隱私的同時，也應該能增進社會安定、經濟發展與信息的自由流動。二是限制收集個人信息。為了對個人信息的有效保護，限制收集要求除非法律允許或授權，或者取得信息主體的同意，否則不得收集、處理、利用個人信息。也就是説個人信息原則上應該直接向本人收集，只有本人才有權決定是否提供其個人信息。三是個人信息利用必須誠信。對個人信息收集、利用目的必須非常明確，並必鬚根據誠實信用的基本原則在明確的利用目的範圍內處理個人信息，嚴加限制對第三人轉移相關個人信息。這要求信息控制人收集和利用個人信息的主體資格必須取得相關有權機構的許可。四是個人信息收集必須全程公開。全程公開並非指個人信息內容公開，而是要求對個人信息的收集、存儲、處理、利用和轉移等過程一般應保持公開，本人有權知悉個人信息的收集與利用情況。五是增進個人信息合理流通。在信息化社會，信息流動處於重要的地位。法律必須在確認個人信息權益的同時，體現和保障更多人的更多信息獲取自由，否則其正當性就值得懷疑。因此，法律必須在利益比較的前提下，增進個人信息合理流通，對個人信息權益保護予以適當的限制，包括法律基於效率、社會及他人利益的維護和當事人自身利益而增進個人信息在一定範圍內的合理流通。

　　完善個人信息法律的核心內容

　　在明確了我國進行個人信息保護立法的模式選擇和個人信息保護立法所應當遵循的基本理念的基礎上，筆者認為，我國的個人信息保護立法的核心內容至少有以下幾個方面：

　　第一，合理界定個人信息的範圍。個人信息保護立法首先面臨著信息種類和範圍的界定。個人信息是一個不週延的概念。從世界各國立法情況來看，對個人信息的稱謂並不一致，有的採用“個人資料”，有的採用“個人隱私”。從宏觀上講，凡一切與公民個人相關的資訊都應屬於個人信息，但對於立法而言，只能將其中的部分信息納入保護範圍。筆者認為可以借鑒歐盟1995年《數據保護指令》的規定，為受法律保護的個人信息設置具體的標準，把與一個身份已被識別或者可被識別的自然人相關的任何信息界定為個人信息，而不是排列出個人信息的具體類別，這樣更便於法律的靈活適用。

　　第二，明確個人信息法律保護的內容。個人信息法律保護的內容主要是關於個人信息持有人或使用人的權利義務體系，應當包括兩個部分：一是特定領域內被允許合理使用個人信息的人的權利義務。這部分信息持有者對這些個人信息的持有是合理、合法的，他們在使用這些個人信息的時候必須承擔相應的義務來確保這些信息的安全，否則就要承擔相應的法律責任。二是持有不能被他人知曉的個人信息的人的權利義務，例如醫生由於職業原因知曉病人的個人信息等，這類人在知曉這些信息之後也必須保證這些個人信息的安全。

　　第三，規定個人信息保護的事前監管機制。通過立法統一規範個人信息收集、處理和利用程序，具體設定國家公權力的相關監管職責，明確違背職責和保密義務的各種具體法律後果，防止對公民個人信息不必要的採集和使用行為，最大限度地減小公民個人信息被洩露、盜取的可能。對於什麼機構、什麼情況下可以收集哪些公民個人信息，立法應該作出詳細規定，任何單位或個人收集和使用公民個人信息都應該事先報法定的監管部門批准，從源頭上斷絕個人信息被非法獲取、使用的可能。

　　第四，完善個人信息保護的事後救濟制度。法律必須對個人信息提供週全的保護，既要提供事前防範機制也要提供事後救濟制度。筆者認為，個人信息保護立法除了規定通常的最終司法救濟制度之外，還可以在行政制度方面設立類似韓國個人信息調解委員會或者澳大利亞隱私專員這樣專門處理申訴、投訴的機構，規定具體的申訴、投訴程序，接受公民個人信息權利侵害的申訴和投訴。這樣可以從行政和司法兩個層面對公民個人信息權利受到的侵害進行法律救濟，便於公民在進行法律救濟的時候選擇更方便於自己的途徑。(張 林)

　　(作者單位：華中科技大學法學院）