关于对我国公民个人信息保护进行立法的建议

      四川鼎立律师事务所  施杰

提案背景：近年来，侵害公民个人信息的事件频频发生。2016年发生在山东临沂的“徐玉玉案”更是刺痛了国人的神经。电信诈骗分子陈文辉通过向网络黑客杜天禹购买高考学生的个人信息，再根据考生个人信息进行诈骗，并最终使得一位十八岁的花季少女的人生永远停留在了通往大学的道路上。根据后来对案件的调查，诈骗分子之所以能够成功诈骗即将迈入大学校门的徐玉玉，并最终使得徐玉玉心脏骤停，其最为主要的原因就是诈骗分子获得了徐玉玉本人的个人信息。再根据徐玉玉本人信息针对性的进行诈骗活动，并最终成功实施了诈骗行为。

可见，在现代社会，个人信息的保护显得尤为重要。但是我国目前对个人信息保护的立法相对滞后，我国现在急需一部专门的公民个人信息保护法来保护好公民的个人信息，防止徐玉玉案的悲剧再次重演。综上，我建议由全国人大常委会通过立法予以解决，尽快出台我国的《中华人民共和国公民个人信息保护法》，具体建议如下：

第一，《公民个人信息保护法》应当在开篇列明公民个人信息的重要性，明确确保信息安全的相关举措，以提醒公民保护好自己的个人信息。个人信息的重要性是随着通讯手段的不断提升而逐步变得愈发重要。在高速发展的信息社会里，公民的个人信息与个人的人身、财产等切身利益紧密相连。平时我们觉得一些无关紧要的信息，如果通过相应的技术处理，比如大数据分析，就能在一些普通信息的基础上分析出事关个人隐私、信息安全的“敏感信息”，进而侵害当事人的合法权益。因此，我建议在未来的《公民个人信息保护法》中开篇即强调公民个人信息对个人、对他人、对国家的重要性，同时明确在现代社会保障信息安全的相关举措，以提升公民个人保护信息的意识和能力。

二、要明确法律要保护的公民个人信息的范围。我认为要明确法律要保护的公民个人信息的范围需要从两个方面进行考虑。

一方面，我们应当根据不同人群来界定出符合生活实际需要的由法律予以保护的个人信息，防止不根据实际情况，一刀切的现象出现。比如，对于党政官员需要受法律保护的个人信息范围就需要进行特殊规定。因为党政官员作为人民的公仆，作为国家的公职人员需要接受广大人民群众的监督，就需要广大党政官员让渡一部分个人信息权利出来，让人民群众更加的了解自己的服务者的具体情况，这样既符合群众路线的要求，也更好的顺应了当前的反腐形势。

另一方面，法律需要保护的公民个人信息十分庞杂，有些公民个人信息直接关乎公民个人的人格尊严，个人隐私等核心利益，需要法律重点保护。但有的公民个人信息并不直接关系公民的切身利益，但经过数字化分析也能构成对公民的侵权，这类型的公民个人信息需要保护的程度无需如“个人敏感隐私信息”那么强，一般保护即可。因此，这就需要法律对其进行的分类，然后根据类别的不同规定不同的保护力度。这样既能节约执法的成本，更能使公民个人信息能够在法律的框架下得到合理利用，促进社会经济的发展。我建议，在如何界定直接关乎公民核心利益的信息的时候可以借鉴我国台湾地区的《个人资料保护法》。该法第 6 条以是否与个人核心隐私相关作为标准，对个人敏感信息进行了类型化列举，包括“有关医疗、基因、 性生活、健康检查及犯罪前科之个人资料”。同时，直接关乎公民核心利益的信息是一个动态范围，还应当根据社会的不断发展而不断的进行更新，与时俱进。

三、法律应当要明确公民个人信息保护的义务主体，强化责任追究。公民个人信息的保护需要全社会主体的配合。我认为法律首先要明确每一个公民都应当有守护他人个人信息，防止信息被恶意利用或传播的义务。其次，法律应当明确通过合法手段掌握公民个人信息的主体范围，提高其提高信息记录“门槛”、设置“分级查看”的权限，尽量减少信息采集量以及可能触及个人信息的部门和人员；推行“问责制”，做到责任到人，有法必依，违法必究；建设并大力宣传短信举报等服务平台，免费受理民众举报，完善倒查机制，以此细化各掌握公民个人信息主体在记录、保管、使用公民个人信息过程中的责任，强化追责主体对侵害公民个人信息行为的责任追究。

在强化责任追究方面，借鉴新加坡、香港等国家和地区“重典治乱”的治理经验。对侵害公民个人信息的企事业单位和个人，处以高额的罚款，并记入征信档案，据此依法对其贷款、投资经营、购房等行为进行限制。企业多次违法的，处以暂扣或者吊销营业执照的处罚；个人多次违法的，可将此作为刑事罪名中“情节严重”的标准；行政或事业单位违法的，依法对单位和直接责任人员进行处罚和处分，构成犯罪的，依法追究刑事责任。

四、法律应当鼓励相关信息行业者的行业自律，鼓励信息行业制定严于法律的行业准则。法律鼓励信息行业制定行业标准，一方面结合自身的业务特点和业务实践经验，制定更具针对性更为细致的个人信息保护准则，为信息主体提供更为便利、充分、高水平的保护。另一方面，行业准则对法律规定相对滞后的领域进行规制，以适应信息技术的快速发展。

五、法律应当规定共享社会组织、科研机构资源，克服人才技术不足的问题。个人信息保护的责任主体涉及众多行业和部门，为了避免人力、物力等资源的重复使用，克服人才技术不足的难题，各责任主体可以共同委托（或采用购买服务的方式）有资质有实力的社会组织和科研机构进行调查研究、服务平台建设和管理等工作。共享信息技术成果，及时准确掌握动态信息，为决策提供参考，为切实保护公民个人信息提供有力的人才和技术支持。

六、强化未成年人个人信息保护。未成年人作为社会特殊群体，其认识和控制能力较弱，其个人信息权利也极易受到侵害，因此需要法律单独作出相关规定，予以特殊保护。比如，强化监护人对未成年人个人信息的保护义务，增强侵害未成年人个人信息的惩治力度等一些能够更好的保护未成年人个人信息和增加侵害未成年人个人信息违法成本的规定。

同时，我建议未来的《个人信息保护法》还应当确定一个适合我国青少年发展状况的强化保护的年龄节点。个人信息的保护问题本身是属于很前沿的问题，如果按照民法通则的标准来确定是否为未成年人未免与实际情况不符。尤其是在很多成年人对个人信息保护都还不是很了解的情况下，《个人信息保护法》中的关于未成年人的时间节点应当提高。