安小米 穆勇 王薇 劉精精 望旺 葉六奇

摘要：目前各類文獻研究均指出我國涉及隱私的個人信息的保護與管理缺少專門立法，對于個人信息保護與管理的規(guī)定分散在多個法律法規(guī)條文中，但對相關法律法規(guī)文獻的現(xiàn)狀缺少全面的調查和信息管理研究視角的分析。本文調查了我國涉及隱私的個人信息保護與管理的103部法律法規(guī)文獻，從個人信息全流程管理及其關鍵節(jié)點等多角度對這些法律法規(guī)的相關要求進行了分析，得出了我國涉及隱私的個人信息保護與管理的法律法規(guī)現(xiàn)狀及未來工作建議。

關鍵詞：個人信息 個人信息 保護 個人信息管理 隱私 法律法規(guī)

隨著信息化建設的不斷深入發(fā)展，涉及隱私的個人信息保護與管理問題已經(jīng)滲透到社會生活的諸多方面，越來越受到社會的關注。近年來，過度收集、擅自披露和提供、非法買賣公民個人信息的案件時有發(fā)生，給公民生活帶來了極壞的影響。調查研究涉及隱私的個人信息保護與管理法律法規(guī)現(xiàn)狀，完善我國涉及隱私的個人信息保護與管理法律法規(guī)和制度，顯得尤為必要和迫切[1]。

目前各類文獻研究均指出我國個人信息保護與管理缺少專門立法，關于涉及隱私的個人信息保護與管理的規(guī)定分散在多個法律法規(guī)條文中，但對相關法律法規(guī)的現(xiàn)狀缺少全面和系統(tǒng)的調查，現(xiàn)有研究主要為法律視角，缺少信息全流程管理的研究視角[1][2][3][4][5][6][7][8][9][10][11] 。本文以103部涉及隱私的個人保護與管理法律法規(guī)文獻為樣本（其中，法律33部，行政法規(guī)13部，部門規(guī)章22部，最高人民法院司法解釋12部，規(guī)范性文件23部），以信息全流程管理思想為指導，定量研究和定性研究相結合，從多角度分析了我國涉及隱私的個人信息保護與管理的相關法律法規(guī)的現(xiàn)狀。

一、涉及隱私的個人信息保護與管理

的法律法規(guī)文獻數(shù)量及其時間分布

調查揭示，最早出現(xiàn)涉及隱私的個人信息文件是1984年制定的《人民法院訴訟檔案管理辦法》。1984年至2010年的27年間，相關文獻數(shù)量大致呈現(xiàn)增長的趨勢，詳見圖1。1984年至2000年文獻數(shù)量增長較為緩慢，僅有部分年份產(chǎn)生1至2部涉及隱私的個人信息的法律法規(guī)，但在2001年至2010年期間，文獻數(shù)量明顯增長，僅2009年就有22部法律法規(guī)頒布，這也反映出，我國涉及隱私的個人信息保護和管理問題逐步受到重視，正在逐步走向法制軌道。另外，從文獻內(nèi)容來看，《刑法》、《郵政法》、《統(tǒng)計法》、《保險法》、《侵權責任法》、《調解法》等均有涉及隱私的個人信息議題，主題越來越豐富，涉及隱私的個人信息保護與管理的法制建設問題已經(jīng)滲透到社會生活的方方面面。

二、涉及隱私的個人信息保護

與管理的法律法規(guī)文獻主題分析

1984年至2010年的27年間，103部法律法規(guī)文獻按主題劃分，覆蓋醫(yī)療、金融、行政、司法、社會勞動保障、網(wǎng)絡、未成年人、信息化、農(nóng)業(yè)、公安、證件、通信、電信、教育、婦女、律師、統(tǒng)計、旅游等18個方面。其中，醫(yī)療、金融、行政、司法、社會勞動保障和網(wǎng)絡這六個主題的法律法規(guī)中涉及到隱私個人信息的法律法規(guī)最多，分別占到總量的13%、12%、11%、10%、9%和8%（如圖2所示）。深入研究其內(nèi)容發(fā)現(xiàn)，司法領域涉及隱私的個人信息保護與管理活動主要來源于行政訴訟、民事訴訟、刑事訴訟等案件處理活動；金融領域涉及隱私的個人信息主要有稅收記錄、信用記錄、銀行賬戶信息等個人信息；醫(yī)療領域涉及隱私的個人信息主要是患者的傳染病信息、健康記錄、保險信息等個人信息；社會勞動保障領域涉及隱私的個人信息主要是勞動爭議記錄、勞動者的就業(yè)信息等個人信息。

三、信息全流程管理視角下涉及隱私的

個人信息保護與管理的法律法規(guī)要求分析

以信息全流程管理為指導思想，以構建涉及隱私的個人信息管理體系為分析框架，以個人信息管理體系規(guī)劃、實施、檢查和改進（plan-do-check-act，簡稱PDCA）整個循環(huán)過程和全流程中的關鍵節(jié)點控制為分析對象，調查研究涉及隱私的個人信息保護與管理法律法規(guī)文獻在基本術語定義、管理原則、信息采集、安全與保管、使用與共享、監(jiān)察與問責、救濟七個方面的管理要求。調查揭示103個文獻中法律法規(guī)在安全性、使用與共享、使用與共享例外和管理咎責四個重要方面要求最多。

對于安全性要求，103部法律法規(guī)文獻中有61部有明確要求，在保密制度、技術措施、保障機制和可控措施等方面都有較為完整的規(guī)定。如中辦發(fā)〔2004〕34號《中共中央辦公廳、國務院辦公廳關于加強信息資源開發(fā)利用工作的若干意見》第二十六條規(guī)定：“遏止影響國家安全和社會穩(wěn)定的各種違法、有害信息的制作和傳播，依法打擊竊取、盜用、破壞、篡改信息等行為。實行信息安全等級保護制度。加強信息安全技術開發(fā)應用，重視引進信息技術及產(chǎn)品的安全管理?！?/p>

對于使用與共享要求，在65部法律法規(guī)文獻中有10部明確規(guī)定國家機關各部門間使用與共享涉及隱私的個人信息必須符合使用目的要求，有條件地進行。如《中華人民共和國郵政法》（2009）第三十六條規(guī)定：“因國家安全或者追查刑事犯罪的需要，公安機關、國家安全機關或者檢察機關可以依法檢查、扣留有關郵件，并可以要求郵政企業(yè)提供相關用戶使用郵政服務的信息。郵政企業(yè)和有關單位應當配合，并對有關情況予以保密?！?/p>

對于使用與共享例外要求，在65部法律法規(guī)文獻中有43部提及。使用與共享例外要求主要規(guī)定了國家機關各部門處理特定涉及隱私的個人信息時，不得使用和共享的情況。如《中華人民共和國行政訴訟法》（1989）第三十條規(guī)定：“代理訴訟的律師，可以依照規(guī)定查閱本案有關材料，可以向有關組織和公民調查，收集證據(jù)。對涉及國家秘密和個人隱私的材料，應當依照法律規(guī)定保密。經(jīng)人民法院許可，當事人和其他訴訟代理人可以查閱本案庭審材料，但涉及國家秘密和個人隱私的除外?！?/p>

對于管理咎責要求，在65部法律法規(guī)文獻中大多數(shù)都規(guī)定了對于違反人員的處罰行為，包括觸犯法律法規(guī)，泄露涉及隱私的個人信息應追究的行政和刑事責任等。如《中華人民共和國民法通則》（1986）第一百二十條規(guī)定：“公民的姓名權、肖像權、名譽權、榮譽權受到侵害的，有權要求停止侵害，恢復名譽，消除影響，賠禮道歉，并可以要求賠償損失。法人的名稱權、名譽權、榮譽權受到侵害的，適用前款規(guī)定?！钡谝话俣粭l規(guī)定：“國家機關或者國家機關工作人員在執(zhí)行職務中，侵犯公民、法人的合法權益造成損害的，應當承擔民事責任?！钡谝话偃臈l規(guī)定：“承擔民事責任的方式主要有：……（九）消除影響、恢復名譽?！?/p>

四、結論

1.關于涉及隱私的個人信息概念的界定

分析103部法律法規(guī)中提及隱私和個人信息的相關章節(jié)，涉及隱私的個人信息是指信息主體不愿向他人公開的個人信息，它包括身份信息、身體狀況信息、個人活動記錄和私人資料等。

其中，身份信息包括：姓名、出生日期、性別、種族、民族、國籍、宗教信仰、住址、公民身份證號、聯(lián)系方式、教育背景、學歷、職業(yè)、婚姻狀況、指紋、血型等個人信息；身體狀況信息包括：涉及個人生理和心理的健康信息、病史、醫(yī)療信息以及個人遺傳信息等個人信息；個人活動記錄包括：工作經(jīng)歷和個人經(jīng)濟事務、收入和財產(chǎn)記錄、雇傭記錄、信用記錄、消費記錄、交通記錄、犯罪記錄、銀行賬戶信息、與安全碼相關的訪問碼或密碼等個人信息；私人資料包括：信函、電子郵件、日記、照片以及會對個人造成負面影響的個人活動文件、檔案等個人信息。

2.關于涉及隱私的個人信息保護與管理的重點領域

調查揭示，法律法規(guī)涉及隱私個人信息保護最多的領域是醫(yī)療、金融、行政、司法、社會勞動保障和網(wǎng)絡，是與人們?nèi)粘９ぷ骱蜕铌P系最為密切的活動領域，也是隱私個人信息最易泄露的領域。應該采用風險管理方法，將這些領域視為高風險領域，加強相關行業(yè)主管部門的監(jiān)管，重視法律法規(guī)的教育，規(guī)范信息處理者的行為。

3.信息全流程管理視角下關于涉及隱私的個人信息保護與管理的關鍵節(jié)點控制

研究發(fā)現(xiàn)，我國法律法規(guī)重視對涉及隱私的個人信息的安全保護和合法使用，但缺少將個人信息作為機構和社會信息資源的全流程管理，缺少基于PDCA過程的個人信息管理體系及其法律法規(guī)要求。對信息化背景下不斷出現(xiàn)的個人隱私泄露問題，應建立基于信息資源全流程管理的IT流程治理方案，以確保涉及隱私的個人信息的真實性、可靠性、完整性、安全保密性、合法合理可用性。保證涉及隱私的個人信息真實和可靠的關鍵是前端控制和動態(tài)更新，全程管理意味管理活動可跟蹤審計。

各級政府應該重視涉及隱私的個人信息的保護和全流程管理，建立健全機構個人信息管理體系，明確個人信息管理法律法規(guī)要求，制定個人信息采集、安全與保管、使用與共享、監(jiān)察與問責、救濟的管理辦法，特別重視法律法規(guī)對安全性、使用與共享、使用與共享例外和管理咎責的要求，依法依職能管好國家機關和高風險領域的個人信息，從全流程中的關鍵節(jié)點控制入手，逐步完善個人信息保護與管理的管理制度和規(guī)范。

注釋：

[1]中國科學院法學所.個人信息保護現(xiàn)狀調研報告[G]// 李林編，中國法制發(fā)展報告No.7. 北京：社會科學文獻出版社，2009.

[2]蔣坡. 個人數(shù)據(jù)信息的法律保護[M]．北京：中國政法大學出版社，2008.

[3]孔令杰.個人資料隱私的法律保護[M].武漢: 武漢大學出版社,2009.

[4]郎慶斌，孫毅，楊莉，孫鵬. 個人信息保護概論[M]. 北京：人民出版社，2008.

[5]劉德良.論個人信息的財產(chǎn)權保護[M].北京：人民法院出版社，2008.

[6]齊愛民. 拯救信息社會中的人格:個人信息保護法總論[M].北京：北京大學出版社，2009.

[7]齊愛民．個人資料保護法原理及其跨國流通法律問題研究[M]．北京：武漢大學出版社，2004.

[8]夏平,王俊紅,周偉民. IT的發(fā)展與個人信息保護[M]．北京：經(jīng)濟日報出版社，2007.

[9]張秀蘭.網(wǎng)絡隱私權保護研究[M].北京: 北京圖書館出版社,2006.

[10]周漢華．個人信息保護前沿問題研究[M]．北京：法律出版社，2006.

[11]周漢華. 中華人民共和國個人信息保護法(專家建議稿)及立法研究報告[M].北京：法律出版社，2006.

作者單位：安小米,劉精精,望旺,葉六奇,數(shù)據(jù)工程與知識工程教育部中國人民大學重點實驗室;穆勇,王薇,北京市信息資源管理中心