个人信息保护立法概述

近年来，互联网技术的发展使得世界迈入大数据化时代，带给人们便利的同时，也伴随着个人信息严重被侵犯的问题。社会大众对于个人信息保护立法的呼声愈加强烈，为此，在《个人信息保护法》即将出台之际，我们开展个人信息保护的研究专题，以期更好地开展个人信息保护工作。

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、账号密码、财产状况、行踪信息等。此次为研究专题的第一部分——个人信息保护的立法概况，本文将通过介绍国内外立法情况来梳理个人信息保护立法的大致方向。

一、个人信息保护的世界立法概况

联合国1948年发布的《世界人权宣言》第12条被普遍视作保护个人信息的法律渊源。该条规定：“任何人的私生活、家庭、住宅和通信不得任意干涉，他的荣誉和名誉不得加以攻击。人人有权享受法律保护，以免受这种干涉或攻击。”直至20世纪70年代，计算机逐渐在个人生活、工作中得到普遍应用，国际社会开始重视数据处理蕴含的风险，逐渐意识到个人数据和个人信息保护的重要性和必要性，并开展个人信息保护立法工作。

国外个人信息保护可以大致分为以分散立法和行业自律相结合的“美国模式”和制定专门的统一立法来保护个人信息的“欧盟模式”[1]。“美国模式”下的行业自律是指由某一行业自行制定规则来保护行业参与人员的个人隐私。这种方式是自由市场经济的产物，能够有效地促进信息流通。此外，美国也辅之以隐私权立法来规制个人信息流转，不至于使个人信息保护处于完全的行业自律模式下。欧盟采取统一立法方式，于1995年发布了《数据保护指令》，2016年5月，欧盟再次颁布《统一数据保护条例》（简称《条例》），以替代1995年的《指令》，成为在全欧盟范围内具有直接效力的法律。“欧盟模式”对个人信息从其收集到使用进行全方位保护，但是这种保护模式相对严格，一定程度上不利于信息自由流通。

从时间上说，瑞典于 1973 年制定了《数据法》（TheData Act），成为世界上第一个制定全面规范个人数据隐私保护法的国家。1974 年美国制定的《隐私法》、1977年德国颁布的《联邦个人数据保护法》、1978年法国的《数据处理、数据文档和个人自由法》等都是这个时代立法的代表作[2]。

2000年之后，世界其他国家也纷纷跟随国际形势，制定本国的个人信息保护法。2001年加拿大制定《联邦个人信息保护和电子文档法》；2005年日本制定《个人信息保护法》；2011年韩国制定《个人信息保护法》。

2018年5月，欧盟正式实施《一般数据保护条例》(GDPR)，同年6月，美国也出台《2018年加州消费者隐私法案》(CCPA)，引领了新一轮大数据时代个人信息保护立法的潮流。

二、我国个人信息保护的立法概况

我国目前还没有一部专门的《个人信息保护法》，对个人信息的保护散见于各种法律法规当中。

在法律方面，2012年全国人民代表大会常务委员会发布《关于加强网络信息保护的决定》，该法第一条规定：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。”《中华人民共和国消费者权益保护法》第二十九条、《中华人民共和国网络安全法》第四章“网络信息安全”等规定都是对个人信息的保护。《中华人民共和国刑法》并没有单一条文和罪名来规制侵害个人信息的行为，而是适用诈骗罪、非法利用信息网络罪等条文。

《民法通则》在个人信息保护方面有所缺乏，在“人身权”一节中也没有出现“个人信息”的字样。直至2017年《民法总则》颁布，该法第一百一十一条中规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”这是首次从民事基本法层面确立了个人信息权，但是《民法总则》并没有明确个人信息的内涵，于今年5月发布，明年1月1日起正式施行的《民法典》为此设第六章“隐私权和个人信息保护”专章规定了个人信息的内涵、处理个人信息的原则、信息处理者的义务等。可见，民法发展的趋势也是越来越重视个人信息保护的规定。

在司法解释方面，2014年，最高人民法院公布《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，试图将侵犯个人信息作为独立的侵权类型，公开个人信息致人损害即构成侵权。2017年，《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，进一步对侵犯个人信息案件进行刑法方面的规制。

在法规和部门规章、规范性文件等方面，与美国的行业自律有着异曲同工之妙的是国家部门或者事业单位会规定某行业内对个人信息的保护。例如，银保监会多次发文明确商业银行、保险公司等对在业务活动中收集到的个人信息应做好保护工作，2020年9月9日发布的《中国银保监会办公厅关于规范保险公司健康管理服务的通知》（银保监办发〔2020〕83号）就明确规定：“保险公司提供健康管理服务应遵循未经客户授权不得对外提供客户个人信息或任何健康数据，依法保证数据安全和保护个人隐私的要求”。

2020年7月22日，工信部发文《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》（工信部信管函〔2020〕164号）。在工信部此次专项行动的重点排查问题中，就包括APP、SDK违规处理用户个人信息的内容。

2020年9月20日，2020年国家网络安全宣传周个人信息保护主题日“关注App个人信息保护，守护公民个人信息安全”主题发布会活动在京举办。活动由App专项治理工作组主办，旨在介绍App相关治理、认证等方面工作进展，发布、宣贯个人信息保护相关标准、免费技术工具，并向广大网民科普个人信息保护知识和技能。

中央网信办于2020年2月9日发布的《关于做好个人信息保护利用大数据支撑联防联控工作的通知》中也曾明确：“为疫情防控、疾病防治收集的个人信息，不得用于其他用途。任何单位和个人未经被收集者同意，不得公开姓名、年龄、身份证号码、电话号码、家庭住址等个人信息，因联防联控工作需要，且经过脱敏处理的除外。”

在我国，相关部门对于各自领域的个人信息都负有保护和管理职责，如网络、金融、医疗卫生、教育、工信、消费者保护、不动产登记等都涉及到对相应的个人信息进行管理和保护的职责，但目前还没有一个统一的个人信息保护机构来专门负责个人信息的保护和执法工作，是否有必要设立此类专门机构，也需要进一步研讨。

三、我国个人信息保护立法的

法典化

前文虽已提到事实上，从民法、刑法、行政法、以及各种部门规章、行业规范等，我国在个人信息保护的立法数量繁多，但是却没有一部专门的《个人信息保护法》。为此，据了解，早在2000年初，我国就提出制定一部法典化的《个人信息保护法》，当年还出了多个版本的专家建议稿，但由于当时互联网行业和数据等尚在起步阶段，专门立法强调对个人信息的保护可能会不利经济发展，因此该法在当时并没有制定成功。按照全国人大常委会立法规划和立法工作计划安排，从2018年开始，法工委就会同中央网络安全和信息化委员会办公室在认真总结网络安全法等法律实施经验、深入研究个人信息利用和保护中的突出问题、借鉴有关国家和地区法律制度的基础上，抓紧开展个人信息保护法的研究起草工作。

《民法典》为《个人信息保护法》的制定提供了基本依据，2020年5月25日，全国人大常委会工作报告在下一步主要工作安排中指出，围绕国家安全和社会治理，个人信息保护法即将制定。9月29日上午，十三届全国人大常委会第七十二次委员长会议在北京人民大会堂举行，栗战书委员长主持。会议决定，十三届全国人大常委会第二十二次会议10月13日至17日在北京举行，届时，将审议关于提请审议个人信息保护法草案的议案，《个人信息保护法（草案）》本月将正式亮相。

10月13日，《个人信息保护法（草案）》提请十三届全国人大常委会第二十二次会议审议。草案根据个人信息保护工作实际，明确国家网信部门负责个人信息保护工作的统筹协调，发挥其统筹协调作用。草案同时规定，国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。

清华大学法学院程啸教授提到“个人信息保护法本身并非单纯的民事特别法，而是一部运用民事、行政、刑事等综合性手段对于个人信息加以保护，对于自然人个人信息权益、信息自由、公共利益等多重利益关系加以协调的法律。”我们也相信个人信息保护专门立法的出台将为个人信息保护的困境提供一个新的解决路径。

——————————————

[1]徐美：《再谈个人信息保护路径——以<民法总则>第111条为出发点》，《中国政法大学学报》，2018年第5期（总第67期），第93页。

[2]高富平、王苑：《论个人数据保护制度的源流——域外立法的历史分析和启示》，《河南社会科学》，2019年11期，第39页。