一、侵害公民个人信息的案例信息社会为人们带来便利的同时，个人信息被不当使用，导致个人权益受到侵害的案例也越来越多。尤其是在唯利是图的市场经济中，许多商家更是希望通过获取个人资料来获取商机，人们的个人资料一不小心就会在利益的驱动下成为待价而沽的商品。现在，北京、上海、广州等大城市的马路边上随处叫卖的“老板名录”、“企业家手机大全”、“明星生活”等，莫不是利益驱动下的牺牲品。尤其是Internet平民化以后，个人信息就变得更加不安全了。网上公开叫卖个人信息的网站多如牛毛，什么企业名录、老板手机号码、明星私生活、新楼盘业主信息、私车车主信息、股民资料等，只要在Baidu网和Google网上随便搜索一下，就会有成千上万条信息。据有关部门的调查，90.7%的人认为最常被泄露的信息是联系方式，64.5%的人认为网上注册是泄露的主要途径，77.9%的人认为泄露的主要原因是无相关法律约束。正如美国一位参议员所说，“在这个信息社会，人们正在对自己的身份失去控制，私人生活正在成为市场上待价而沽的商品”。也难怪着名导演冯小刚在2004年10月18日的新年贺岁片《天下无贼》首映式上对北京某娱乐周刊记者怒不可遏，“我觉得你们非常无耻，因为你们干扰了我的生活，你有什么权利把我们家的地址登在报纸上，你还说有发行量。你哪能这样，你要征求我同意。”虽然冯小刚和这家娱乐周刊的争执引得社会各界众说纷纭。但不可否认，名人个人信息被泄露是一个屡见不鲜的事实。事件的主角冯小刚说：“我认为个人的隐私，个人的信息，个人的资料其实都应该在得到本人的同意的情况下，才能够被公布，或者说去了解。因为这个确实是每个人应该享受的一个权利，一个最基本的权利。如果个人的这个权利不能被保护，不能被尊重，那我们每个人实际上是没有安全感的。”对个人信息的侵犯不仅发生在明星身上，普通老百姓遭遇个人信息被泄露的情况也屡见不鲜，如轰动全国的“罗彩霞事件”。正如在某政府机关工作的苏先生所感叹的那样，“我觉得，我的任何信息几乎都有人知道，毫无隐私可言，仿佛自己是个‘透明人’”；“刚刚买了房子，钥匙还没到手，就有不少建材厂商、搬家公司给我打电话，问我要不要买家具、建材。我爱人去年刚生完孩子，孩子还没接回家，数不清的婴儿用品的广告就寄到家里了。”而且，对个人信息的侵害并不只是在中国出现，世界上的其他国家的国民也面临同样的困扰。例如，2001年3月，在日本国民生活中进行的关于国民生活动向的调查显示，认为“随着生活的网络化，个人信息容易受到侵害”的消费者比率高达71.0%。这就说明了个人信息侵害在该国的严重程度。个人信息被泄露不仅让人们的生活秩序受到了干扰，而且个人财产和生命安全也受到了严重威胁。例如，在2001年，美国新罕布什尔州发生一起命案。一位名叫埃米的少女被一素不相识的男子枪击致死。凶手在案发之前从未见过死者，只是在两年多的时间里一直在因特网上跟踪埃米，并从网上获知了她的社会保险号、工作日程和日常习惯，最后在埃米下班途中伺机杀害了她。又如，在中央电视台2004年10月16日播出的《今日说法》节目中，一家企业在一次大型招聘会上不慎遗失了一位女求职者的求职登记表格，上面记载有该求职者的基本个人信息。一个犯罪分子拾得该登记表格，冒充该企业的招聘人员，对求职者实施了犯罪，并杀害了求职者。随着个人信息被侵犯的案例不断增多，人们对IT社会的负面影响和恐惧也与日俱增，由此引发的社会问题也越来越多，引起了国家和社会的极大关注。因此，如何保护公民个人信息是当今社会和政府都应该思考的一个严肃问题。二、个人信息的概念对于个人信息的定义，目前学术界主要有三种观点：第一种是关联型定义。有学者认为：“所谓个人信息，包括人之内心、身体、身份、地位以及其他关于个人一切事项之事实、判断、评价等所有信息在内。换言之，有关个人之信息并不仅限于与个人之人格或私生活有关者，个人之社会文化活动、为团体组织中成员之活动，及其他与个人有关联之信息，全部包括在内。”第二种是隐私权型定义。美国Parent教授认为：“个人信息系指社会中多数所不愿向外透露者（除了对朋友、家人等之外）；或是个人极敏感而不愿他人知道者（如多数人不在意他人知道自己的身高，但有人则对其身高极为敏感，不欲外人知道）。”第三种是识别型定义。个人信息是指个人的姓名、住址、出生日期、身份证号码、医疗记录、人事记录、照片等单独或与其他信息比照可以识别特定的个人的信息。笔者赞同此观点。所谓识别就是指信息与信息本人两者之间存在某一客观确定的可能性。简单地说，识别就是通过表征信息能够把信息本人直接或间接“认出来”。因此，识别又包括直接识别和间接识别。直接识别是指通过直接能够确认本人身份的个人信息来识别，如姓名、性别、身份证号码、驾驶执照、指纹、基因等；间接识别是指现有信息虽然不能直接确认当事人的身份，但借助其他信息或者对信息进行综合分析后可以确定信息本人的身份，如个人的年龄、身高、体重、爱好、学历、经历、职业等。三、个人信息的法律特征从个人信息的概念上来看，个人信息的内涵十分丰富，外延也很广泛，但不是所有与个人有关的信息都可以称为个人信息。个人信息应该具备以下法律特征：1.个人信息的主体只能是自然人顾名思义，个人信息的主体当然不能包括法人和其他组织，否则就不叫个人信息了。所谓“自然人”是指基于“出生”的法律事实而取得民事主体资格的人。随着社会物质文明、精神文明的高度发达，人们越来越认识到个人信息保护的极端重要性，也感受到了个人信息遭到侵害所带来的极大精神痛苦。而精神痛苦或愉悦的心情等只有自然人才具备，法人和其他社会组织无论如何也不可能有这种感受。因此，法人和其他组织不能作为个人信息的主体也是于情于理的。2.个人信息为信息主体本人所有无论基于财产权还是人身权的属性，个人信息都应该为本人所有。所有权是一项对世权，包括占有、使用、收益、处分等权利。每个人对自己的个人信息都享有占有、使用、收益、处分的权利，未经本人同意或授权，其他任何人都不得对他人的信息享有这些权利。3.个人信息可以直接或间接识别本人个人信息是能够识别主体特征的信息，只要足以构成对个人识别的信息都属于个人信息。可识别性是个人信息最核心的特征。可识别性是指通过资料中所反映的各种信息加上人们的判断就可以确定这些资料是有关某个人的，或者通过资料中的信息可以确认特定个人的身份。只有可识别的信息才有保护的必要和意义。也就是说，当这些信息可以直接识别或者与其他资料组合分析后，可以勾勒出特定某个人的某种形象，产生某种价值，满足信息使用者的某种需求，那么这些个人信息就应当受到保护。反之，某些信息单独或者综合分析均无法识别特定的个人，那就排除在个人信息的保护范围之外。4.个人信息具有人格和财产双重属性所谓人格，就是指公民之所以为人所必须具有的资格，是公民作为一个人所应有的最起码的社会地位，并应受到社会和他人的尊重，是人对自己作为主体存在的一种认知。个人信息可以勾勒出信息主体的“信息形象”，是信息主体个人身份的反映，可以全面反映个人信息主体的人身属性，具有很强的人身依附性。同时，个人信息是一种社会资源，可以用于交换并产生财富。对于信息利用者来说，个人信息本身并不具有直接的财产内容，获取个人信息并不是目的，仅仅是一种手段，是获取收益、扩展财源的一种途径。因此，个人信息权既是人身权又是财产权。四、个人信息与相关概念的区别1.个人信息与个人资料我们常将英文中的“information”译为“信息”，信息是指资料经过处理后可以提供为人所用的内容，能够直接起到识别的功能。而将“data”译为“资料”，在信息论中资料是指用有意义的、可以识别的符号对客观事物加以表示得到的符号序列，是代表人、事、时、地的一种符号序列（不以文字为限），是一种客观事实状态。个人资料最基本的单位是资料元素，由文字、数字或符号构成。资料元素组成资料单位，几个资料单位组成资料组，再由资料组组成资料档案。从信息科学的角度看，信息是指用符号传递的报道，而报道的内容是接收者预先不知道的，只有通过数据加工处理后才能得到。因此，信息对于信息接收者来说是一种知识。信息作为一种资源，是有价值的，因而是法律保护的对象。但并非所有的资料都能够成为法律保护的对象，只有具有价值的能够为人所用的资料才能成为法律保护的对象。资料和信息的区别首先在于，资料侧重于客观形式，而信息着眼于资料反映的内容及其与人的互动关系。“无数客观事物的信息，正是通过人的眼、鼻、耳、舌、身，传递给人们，经过人们的大脑进行去粗取精、去伪存真的加工，人们方才认识了世界，又反过来改变世界。”其次，从资料和信息的内在关系来看，资料是信息的物化形式，是信息的载体，而信息则是资料的内容。因此，从个人信息和个人资料的关系来看，个人信息是个人资料的内容，个人资料是个人信息的载体。此外，个人信息有多种表现和存在方式，并不必然表现为个人资料，两者并非一一对应关系，还有许多没有物化成个人资料的信息，如一个人自然表现出的个人属性，因此个人信息的范畴要大于个人资料。2.个人信息与个人数据“数据”的英文是“data”。在信息论中，数据是一组表示数量行动和目标的非随机的可鉴别的信号。在数学中，数据是进行各种统计、计算、科学研究或技术设计等所依据的数值。在法律上，对于个人数据的理解，不同的国家有着不同的界定。英国在1984年制定的《数据保护法》规定：“个人数据是由有关一个活着的人的信息组成的数据，对于这个人，可以通过该信息（或者通过数据用户拥有的该信息的其他信息）识别出来，该信息包括对有关该个人的评价，但不包括对个人数据用户表示的意图。”1992年欧洲理事会在《理事会数据保护条例》的修改建议稿中规定：“个人数据是指有关一个可识别的自然人的任何信息，不局限于以可处理形式存在的信息，它包括任何种类和任何形式的信息，只要这种信息是有关个人的，不论是活着的人或死去的人；并且只要这个人或这些人是可以识别的。”1995年7月26日在布鲁塞尔部长级会议上通过的《欧洲联盟数据保护规章》对个人数据下的定义是：“有关一个被识别或可识别的自然人（数据主体）的任何信息；可以识别的自然人是指一个可以被证明，即可以直接或间接地，特别是通过对其身体的、生理的、经济的、文化的或生活身份的一项或多项的识别。”如前所述，“信息”的英文是“information”，是指资料经过处理后可以提供为人所用的内容，能够直接起到识别的功能。数据和信息具有密切相关性，在探讨个人数据保护问题时，涉及数据处理过程中的许多问题，而数据处理的结果将会产生一系列新的信息，而这些信息也在个人数据保护范围之内。此外，由于个人信息的表现和存在方式是多种多样的，个人信息并不一定表现为个人数据，没有物化成个人数据的信息也大量存在。因此，个人信息的范围要大于个人数据的范围。3.个人信息和个人隐私如前所述，“信息”的英文是“information”。它是指资料经过处理后可以提供为人所用的内容，能够直接起到识别的功能。而“隐私”的英文是“pri-vacy”。隐私权的概念是由美国着名法学家萨缪尔．D．沃伦（Warren）和路易斯．D．布兰戴斯（Brandeis）首先提出来的。他们在《哈佛法律评论》1890年第4期上发表了着名的《隐私权》一文中，将隐私界定义为“不受干涉”或“免于侵害”的“独处”的权利。《现代汉语词典》（商务印书馆1996年修订第3版）将隐私解释为“不愿告人的或不愿公开的个人的事”。而在我国，将隐私作为一个严格法学意义的词汇，不过是近十年的事情。我国法学界对隐私也有不同的见解。例如，“隐私即私人生活中不欲人知的信息，因而也称生活秘密”；“隐私，又称私人生活秘密或私生活秘密，是指私人生活安宁不受他人非法干扰，私人信息保密不受他人非法搜集、刺探和公开。隐私包括私生活安宁和私生活秘密两个方面”；“乃是一种与公共利益、群众利益无关的，当事人不愿他人干涉的个人私事和当事人不愿他人侵入或不便侵入的个人领域”；“隐私是个人不愿为他人所知和干涉的私人生活，其内容应包括三个方面：个人信息的保密、个人生活不受干扰和个人私事决定的自由”等。“个人信息”与“个人隐私”是不同的概念，很多个人信息并不涉及个人隐私，如公开的信息。在这里我们有必要看一下个人信息的分类。首先，按信息是否涉及个人隐私为标准，个人信息可以分为敏感个人信息和琐细个人信息。敏感个人信息是涉及个人隐私的信息，如个人的私生活。琐细个人信息是指不涉及个人隐私的个人信息，如身高、体重等，但琐细的个人信息同样受法律保护。其次，按信息是否公开为标准，个人信息可以划分为公开的个人信息和隐秘的个人信息。公开的个人信息，是指通过特定、合法的途径可以了解和掌握的个人信息。隐秘的个人信息是指不为社会公开的个人信息。公开的个人信息，无论是否属于敏感个人信息，都已经失去了隐私利益，不能取得敏感个人信息的特殊保护。由此可以看出“个人信息”与“个人隐私”是不同的概念，两者的交集是涉及隐私的个人信息。同时，两者的联系也是十分紧密的，个人信息和个人隐私是一种包含关系，具体来讲就是个人信息包含了个人隐私，个人隐私只是个人信息的一部分。也就是说，个人信息的范围要比个人隐私的范围大得多。因此，法律应对个人信息而非仅对个人隐私进行保护。五、个人信息保护法的概念既然个人信息如此重要，就需要法律对其加以调整。个人信息保护法就是专门调整并保护个人信息的法规。目前，世界上已经有50多个国家制定了个人信息法体系。虽然我国目前还没有出台专门的个人信息保护法，但是，我国的“个人信息保护法”已于2005年完成了专家建议稿，并启动了立法程序。由此我国的《个人信息保护法》的出台应该指日可待。目前，学者们已经对个人信息保护法的概念进行了一些理论探讨。对于个人信息保护法的概念，齐爱民认为，“个人信息保护法，是调整发生在信息主体和信息处理者之间的，在个人信息收集、处理和利用等活动过程中因保护信息主体的权益而产生的社会关系的法律规范的总称。这个概念说明，个人信息保护法上的两类主体为信息主体和信息处理主体；两类主体之间的关系是围绕个人信息收集、处理和利用等活动发生的社会关系；个人信息保护法的立法目的在于保护信息主体的合法权益；个人信息保护法调整的社会关系包括横向的民事主体之间的信息处理关系，也包括纵向的信息主体与行政机关之间发生的信息处理关系。”也有学者认为，个人信息保护法是调整个人信息在保有、使用及维护过程中所发生的法律关系的法律规范。其应是规范个人信息所有者、个人信息持有者和个人信息使用者之间在保有、利用及维护个人信息中遵循的行为准则以及违反了该行为准则承担的法律责任。六、国外个人信息保护立法概况由于个人信息的极端重要性，世界上的许多国家和组织都制定了个人信息保护方面的法规。1.经济合作与发展组织1980年9月23日，经济合作与发展组织理事会通过了《关于隐私保护与个人数据跨国流通的指针》。该文件分为五章，主要内容包括：第一章（第一条至第六条）总则、特定用语的定义与适用范围。在本指针中，“个人数据”是指任何有关一个被识别或者可以被识别的自然人（本人）的信息。第二章（第七条至第十四条）国内适用的基本原则，规定了个人数据保护的八大原则（限制收集原则、资料质量原则、特定目的原则、限制利用原则、安全保障原则、公开原则、个人参与原则、责任原则）。第三章（第十五条至第十八条）国际间适用的基本原则——自由流通与法律限制，规定成员国应该采取一切适当的措施确保个人数据国际流通的自由以及对自由流通进行限制的条件。第四章（第十九条）国内实施，规定为确保第二章的原则在各国内的实施，成员国应该通过制定国内法、设立机构等方式来保护关于个人数据的隐私和个人自由。第五章（第二十条至第二十二条）国际合作，规定国际间的相互合作。该文件中确立的国内个人数据保护八大原则及资料国际自由流通的方向，已成为当今世界各国相关立法的重要参考。2.欧盟在欧洲，对个人信息进行保护的历史最早可追溯到1968年。当时欧洲委员会的议员大会曾提议把《欧洲人权公约》适用于信息技术领域，对私人信息进行保护。随后，欧洲委员会部长委员会通过了关于数据保护原则的两个决议，即关于私人团体使用个人数据的决议和公共机构使用个人数据的决议。在此基础上，为了统一各成员国个人信息保护法以及确保个人信息在欧盟成员国之间自由流通，欧洲委员会部长委员会于1981年1月在法国斯特拉斯堡通过了《在个人数据的自动处理领域保护个人的欧洲公约》（简称《欧洲数据保护公约》），并于1985年10月1日起正式生效。欧盟最主要的个人信息保护法还是1995年10月24日通过的《欧盟个人数据保护指令》。该文件共34个条文，其目的在于保护个人数据处理中自然人的基本权利和自由，特别是他们的隐私权。文件指出，“个人数据”是指与特定或可特定的自然人相关的所有信息，不限种类和形式。其适用范围也十分广泛，包括以自动或者非自动方式对个人数据进行的处理。其内容主要包括管理者的义务与信息主体的权利两个部分。管理者的义务主要是“公平合法的处理资料，处于特定、明确、合法之目的进行收集，所进行的进一步处理不能违反这些目的，并确保个人资料的准确，如果必要还必须不断地更新”（第十六条）和“在进行全部或者部分自动化处理操作或为了单一或几个相关目的而进行操作之前，必须通知监督机关”（第十八条）；信息主体享有访问修改删除权（第十三条）、拒绝权（第十四条）、自主决定权（第十五条）、获得救济权（第二十三条）等。该指令确立了个人数据处理的若干项基本规范，为各会员国制定或修正国内法提供了依据。但是这些只是欧盟对个人数据资料保护的下限，各会员国可以在国内立法时制定更高的标准。3.德国德国是世界上较早对个人数据资料保护进行立法的国家之一。1970年原西德黑森州率先制定了《个人信息保护法》，该法成为了世界上第一部个人信息保护法。1977年联邦德国制定了《联邦资料保护法》。该法的立法目的主要有两个：一是在个人数据处理过程中对个人隐私给予统一而充分的保护，二是使个人数据处理行为合法化。1983年12月15日德国联邦宪法法院对《人口普查法案》的判决是德国个人信息保护法发展的里程碑。事件经过是这样的：德国联邦政府在1982年颁布了《人口普查法》，计划在全国范围内对公民进行全面的资料收集，拟收集的资料对象包括人口、职业、住所和工作等。德国联邦政府的《人口普查法》引起了很多人的反感，在其4月1日生效前，已经有很多人提起了宪法诉讼，要求宣告《人口普查法》违宪。1983年12月15日德国联邦宪法法院最后作出判决，认定该法有违宪情况，并作出了“违宪部分无效，其余部分修改后实行”的判决。在该判决书中德国联邦宪法法院使用了信息自决权的概念，将个人信息权利明确规定为一项宪法权利。受1983年《人口普查法案》判决的影响，1990年德国对个人信息保护法做了进一步修订。修改后的《个人信息保护法》第一条就规定，“本法之目的在于保护个人免于因个人资料的传输造成人格权的侵害”，指出了修法的宗旨。总体来看，这次修正并不限于部分条文的修订，在某种意义上说是观念和理论的更新，其特色是将国家安全机关对个人信息的收集与处理纳入个人信息保护法的范围。4.美国与其他国家相比，美国对隐私权保护的理论研究和立法活动是最早的，其相关法律制度及论述也是最丰富的。隐私权也是美国个人信息保护的权利基础。但是在个人信息保护方面，美国并没有一部专门的系统的联邦立法，其相关规范只是散见于众多联邦法案中。例如，1966年美国制定的《信息自由法》确立了政府信息以公开为原则，并规定了九项免除公开的文件。其中涉及个人信息保护的规定有两项：一是公开后可能明显地侵犯个人隐私的人事、医疗以及类似档案；二是不正当地侵犯个人隐私权的执行法律的记录和信息。1970年制定的《公平信用报告法》着重于信用卡客户资料的保护，保护客户免于消费者报告机构不准确的、武断的信息披露。1974年美国国会通过并公布实施了美国最重要的一部保护个人隐私权方面的法律——《联邦隐私权法》。该法律适用于美国公民以及依法获得永久居留权的外国人。该法案对政府和法律执行机关对个人数据资料的收集、使用、公开和保密等问题作出了详细规定，目的在于通过规范联邦政府活动的方式防止联邦行政机关侵犯个人信息的行为，进而平衡个人信息与社会公共利益之间的矛盾。1974年美国国会还通过了《家庭教育权利与隐私权法》，专门规范学校披露学生和家长个人信息的行为。除特殊例外，任何教育机构如果未经学生家长的书面同意或18岁以上的学生本人的同意而披露学生的教育记录，将不能获得联邦资金的资助。1986年美国国会修订通过了《电子通信隐私法》。该法律是全面规范电子通信领域隐私问题的最重要的联邦法律。该法规定，故意截取、进人、泄露或者使用他人电话或者其他电子通信设备的行为为犯罪行为。1988年的《录像带隐私保护法》限制了录像带服务供应商泄露客户租借或购买录像带信息的行为。1988年通过的《电脑资料比对与隐私权保护法》，利用个人识别方法匹配关于同一个人的信息的行为，对自动化处理中的个人信息给予保护，并力图平衡保护个人信息隐私和确保政府提供良好服务两者之间的关系。1998年通过的《儿童网上隐私保护法》要求网络业者必须要告之其隐私权政策，并且于收集13岁以下儿童资料前，应获得其家长的同意。5.日本日本构建个人信息保护制度的努力可以追溯到20世纪70年代中期。1975年行政建立委员会提出的《关于涉及行政机关等利用电子计算机之隐私保护制度的存在方式的中间报告》中就指出，对于行政管理过程中涉及的个人信息，应采取适当措施予以维持管理。随后1980年9月23日经济合作与发展组织（OECD）通过的《关于隐私保护与个人数据国际流动的指针的理事会劝告》中提出了保护个人信息的八项原则，此八项原则成为各国个人信息保护立法的重要参考原则，在此原则的影响下日本也加快了其个人信息保护立法的研讨。1988年，日本出台了保护中央政府机关电子计算机处理的个人信息的《关于对行政机关所持有之电子计算机处理的个人信息加以保护的法律》，随后又相继出台了《个人信息保护法》、《行政机关保有的个人信息保护法》、《独立行政法人等保有的个人信息保护法》、《信息公开，个人信息保护审查会设置法》、《关于与施行行政机关个人信息保护法有关的相关法律的整备的法案》。这五个法案被称之为“个人信息保护法五法案”，并于2003年5月在国会获得了通过。至此，日本有关个人信息保护法制化的框架基本完成。日本现行的个人信息保护法主要是2005年4月1日开始正式施行的《个人信息保护法》。《个人信息保护法》由六章59条及附则7条构成。第一章是制定本法的目的、基本理念；第二章是有关国家和地方公共团体的责任和义务的规定；第三章规定了个人信息保护的对策；第四章是个人信息处理者的义务；第五章是法律适用例外的规定；第六章规定罚则。该法以个人信息的有效利用与个人信息保护为宗旨，针对公共部门和非公共部门规定了保护个人信息的若干事项，确立了个人信息保护的基本原则及方针，明确了个人信息主体的权利、救济途径、罚则及例外事项等。此外，其他一些国家也制定有个人信息保护的相关法规，如挪威1978年制定的《个人资料登录法》、英国1984年制定的《数据保护法》、芬兰1987年制定的《个人资料档案法》、葡萄牙1991年制定的《资料保护法》、比利时1992年制定的《资料保护法》、荷兰1998年制定的《资料保护法》、加拿大1982年制定的《联邦隐私法》和2001年制定的《个人信息和电子档案法》、澳大利亚1988年的《隐私法》、新西兰1993年制定的《隐私法》等。七、个人信息保护的基本原则1.目的明确原则该原则指的是个人信息在收集和利用时其目的必须是明确的、不变的。而且这一目的应当在收集之前就明确化、特定化，其后的利用也不得与最初收集的目的相抵触，即使在该目的变更时也应该是特定的，而不能用于其他目的。这一原则在世界各国的法律实践中已有体现。1980年经济合作与发展组织理事会通过的《关于隐私保护与个人数据跨国流通的指针》中，对成员国个人信息的保护中也有“目的特定化原则”。1999年德国的《个人信息保护法》第十四条是目的明确原则的法律依据。该条规定：“资料档案控制者因执行其主管职务之必要，且为达成收集资料之目的，储存、变更和利用个人资料。如未先行收集者，仅限于为储存之目的，使得变更或利用资料。”2005年日本的《个人信息法》第十五条规定：“个人信息业者在处理个人信息时，必须尽可能限定其利用目的。在个人信息业者变更其利用目的时，不得超过与变更前的使用目的有一定的关联性的合理范围。”该条规定实际上指的就是目的明确原则。2.收集限制原则该原则要求个人信息的收集应当有所限制，而且个人信息资料的取得方法还必须是合法、公开、公正的，并应通知信息主体，得到信息主体本人的同意。政府所能收集的有关个人信息的种类和数量都应当受到限制，并且政府收集该种信息的方法或手段也必须具备一定的要件。例如，1974年美国的《隐私权法》规定：“政府收集个人的信息，如果可能导致对他作出不利的决定时，必须尽可能地由他本人提供，避免政府根据第三者提供的错误或存有偏见的信息而对执行职务相关和必要的范围内收集个人的信息。”1980年经济合作与发展组织理事会通过的《关于隐私保护与个人数据跨国流通的指针》中对成员国个人信息的保护中也有“收集限制原则”。3.安全保障原则该原则要求对于收集的个人信息资料，应当予以合理的安全保障，以免遭受损失、不正当接近、破坏、非法利用、篡改或者披露。例如，经济合作与发展组织理事会通过的《关于隐私保护与个人数据跨国流通的指针》中对成员国个人信息的保护中也有“安全保障原则”。德国的《个人信息保护法》第九条规定：“处理个人资料的公务机关和非公务机关为了自己或他人的利益应该采取技术上和组织上的必要措施来保证遵守本法的规定，特别是本法附件中的要求。只要有关措施与达到期待的保护水平有关且是合理的，就应该采取该措施。”日本《个人信息保护法》第二十条规定：“个人信息业者必须采取必要、切实的措施防止个人数据的泄露、灭失、毁坏，以及个人数据的安全管理。”第二十一条规定：“个人信息业者在其内部员工处理个人数据时，为了该个人信息的安全管理，必须对其进行必要、适当的监督。”第二十二条规定：“在个人信息业者将全部或者部分个人数据的处理委托给他人行使时，为了保证该部分个人数据的安全管理，对受托方进行必要、适当的监督。”这些规定都是个人信息安全保障原则的体现。4.信息真实原则该原则除要求个人信息应当符合其利用目的之外，还要求个人信息在必要范围内应当保持其真实、准确、完备和及时。根据该原则，一方面个人对于政府所保存的其个人信息的内容享有修改的权利。个人如果认为政府所保存的关于自己的信息记录不真实、不准确、不完整或者已过时，可以请求制作记录的行政机关予以删除、修改、完整化或更换。另一方面，作为个人信息的维护者，政府机关也负有积极责任，必须保证信息的真实性、准确性、完整性和及时性。如果因为政府机关根据错误的、片面的或过时的个人信息对个人作出了不正确的判断或使用，由此损害了个人的合法权益，政府也将负赔偿责任。八、个人信息保护的模式目前，学术界认为有关个人信息保护的立法模式通常有以下三种：1.德国模式德国模式又可以称为统一立法模式。所谓统一立法模式，是指在一个统一的国家内部，由立法机关采取统一标准和统一规范对个人信息（不分公共领域和非公共领域的个人信息）进行统一保护。该模式的优点明显，有利于充分、全面地保护个人信息，在司法上更便于操作，克服了分散立法模式中的条块分割、标准多样、错综复杂的弊端。作为大陆法系国家的典范，德国在个人信息立法保护上始终坚守统一立法模式。德国以“个人资料”作为基础概念，通过统一立法来规范个人信息的收集、处理和利用，以信息自决权和人格权作为权利基础，对个人信息进行统一保护。大陆法系国家以及英国等一些判例法系国家也纷纷仿效德国，以统一模式作为个人信息保护立法的基调。2.美国模式美国模式是分散立法和行业自律相结合的模式。美国把个人信息划分为公共领域的个人信息和非公共领域的个人信息，然后根据不同行业、不同标准分别立法。在公共领域，美国以隐私权作为宪法和行政法的基础，采取分散立法模式，逐一立法。在私人领域，美国依靠行业自律实现对个人信息的保护。由于分散模式中各法律针对的领域、范围、标准都不尽相同，因而使得个人信息保护呈现条块分割状况。可以说，宪法、联邦法规、判例法各有各的保护方式、各有各的侧重点，这种分散立法模式让美国的个人信息保护制度格外错综复杂，甚至有点支离破碎。3.日本模式日本模式可以称为“统分结合”立法模式。日本于1988年制定了《行政机关电脑处理个人情报保护法》，其后于2005年通过实施了《个人情报保护法》。2005年的《个人情报保护法》为保护个人情报的基本法，它统摄纵向的行政管理领域和横向的民事领域。鉴于1988年已经制定了行政机关处理个人情报的相关法律，因此，2005年的《个人情报保护法》规定应对行政机关处理个人情报的具体规则进行修订，以契合该法的标准；对于医疗、金融等特殊领域，2005年的《个人情报保护法》规定可以另行制定保护专法；而对于民间行业，该法只是制定了一个最低标准，而并不禁止行业根据具体情况制定高于个人情报保护法标准的行业规范。日本的立法模式有“统”有“分”，因此被称为统分结合模式。九、我国现有法律对个人信息的保护虽然世界上的许多国家和地区都已经制定了自己的个人信息保护法，但是我国个人信息保护现状却不容乐观，到目前为止我国还没有任何一部法律以“个人信息保护”冠名。虽然在我国的单行法律和法规中已经有不少的内容涉及了个人信息保护，但是从总体状况来看，法律规定比较零散、无体系，保护范围狭窄，大多仅涉及个人信息的一小部分，而且缺乏统一的执行机制。目前我国法律对个人信息的保护状况如下：1.个人隐私保护虽然目前我国法律没有明确对“隐私权”进行保护，但在相关法律中有对它的隐形保护。《宪法》第三十八条规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”1986年的《中华人民共和国民法通则》（简称《民法通则》）第一百零一条规定：“公民、法人享有名誉权，公民的人格尊严受法律保护，禁止用侮辱、诽谤等方式损害公民、法人的名誉。”1988年1月26日通过的最高人民法院《关于贯彻执行<中华人民共和国民法通则>若干问题的意见（试行）》第一百四十条规定：“以书面、口头等形式宣扬他人的隐私，或者捏造事实公然丑化他人人格，以及用侮辱、诽谤等方式损害他人名誉，造成一定影响的，应当认定为侵害公民名誉权的行为。”在该部法律中首次出现了“隐私”的字眼。1993年8月7日通过的最高人民法院《关于审理名誉权案件若干问题的解答》中再次强调“对未经他人同意，擅自公布他人的隐私材料或者以书面、口头形式宣扬他人隐私，致他人名誉受到损害的，按照侵害他人名誉权处理。”这些规定都是对公民隐私权的保护。同时，鉴于妇女、未成年人的弱势地位，如何保护这一特殊群体的隐私问题，法律做了专门规定，如《中华人民共和国妇女权益保障法》（简称《妇女权益保障法》）第四十二条规定：“妇女的名誉权、荣誉权、隐私权、肖像权等人格权受法律保护。禁止用侮辱、诽谤等方式损害妇女的人格尊严。禁止通过大众传播媒介或者其他方式贬低损害妇女人格。”《中华人民共和国母婴保健法》（简称《母婴保健法》）中第三十四规定：“从事母婴保健工作的人员应当严格遵守职业道德，为当事人保守秘密。”《中华人民共和国未成年人保护法》（简称《未成年人保护法》）第三十九条规定：“任何组织或者个人不得披露未成年人的个人隐私。”这三项规定都是对妇女和未成年人隐私权的明确保护。此外，我国程序法也对个人隐私保护做了相关规定。如《民事诉讼法》第六十六条规定：“证据应当在法庭上出示，并由当事人互相质证。对涉及国家秘密、商业秘密和个人隐私的证据应当保密，需要在法庭出示的，不得在公开开庭时出示。”该规定说明了在运用证据时应注意保护公民个人的隐私权。该法第一百二十条规定：“人民法院审理民事案件，除涉及国家秘密、个人隐私或者法律另有规定的以外，应当公开进行。离婚案件，涉及商业秘密的案件，当事人申请不公开审理的，可以不公开审理。”这一规定体现了法院在审判方式上也要保护公民个人的隐私权。再如《刑事诉讼法》第一百五十二条规定：“人民法院审判第一审案件应当公开进行。但是，有关国家秘密或者个人隐私的案件，不公开审理。十四岁以上不满十六岁未成年人犯罪的案件，一律不公开审理。十六岁以上不满十八岁未成年人犯罪的案件，一般也不公开审理。”这些规定说明了法院在审理案件时要注意公民个人隐私权的保护，尤其要注意对未成年人隐私权的保护。我国港澳地区也十分强调对个人隐私权的保护。如香港的《个人隐私条例》强调国际公认的个人信息保护原则，建立独立的管理机构、安排个人信息保护专员来保护公民在个人信息方面的隐私权。《澳门特别行政区基本法》更直接规定了“隐私权”。该法第三十条规定：“澳门居民的人格尊严不受侵犯。禁止用任何方法对居民进行侮辱、诽谤和诬告陷害。澳门居民享有个人的名誉权、私人生活和家庭生活的隐私权。”2.通信领域的个人信息保护2009年4月修订后的《中华人民共和国邮政法》（简称《邮政法》）第三条规定：“公民的通信自由和通信秘密受法律保护。除因国家安全或者追查刑事犯罪的需要，由公安机关、国家安全机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”第三十五条规定：“任何单位和个人不得私自开拆、隐匿、毁弃他人邮件。除法律另有规定外，邮政企业及其从业人员不得向任何单位或者个人泄露用户使用邮政服务的信息。”随着电子邮件逐渐取代传统的书信成为一种重要的通信方式，1997年12月30日公安部颁布的《计算机信息网络国际互联网安全保护管理办法》第七条专门规定：“用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。”1998年3月6日国务院信息办发布的《计算机信息网络国际联网管理暂行规定实施办法》第十八条规定：“用户应当服从接人单位的管理，遵守用户守则；不得擅自进入未经许可的计算机系统，篡改他人信息；不得在网络上散发恶意信息，冒用他人名义发出信息，侵犯他人隐私。”2000年10月8日信息产业部发布的《互联网电子公告服务管理规定》第十二条规定：“电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意不得向他人泄露，但法律另有规定的除外。”这些规定都是对通信领域中个人隐私权的保护。3.居民身份证个人信息保护由于居民身份证记录了公民的姓名、性别、年龄及常住地址等私人信息，而有权查看公民身份证的又往往是警察。但如果任由警察随时随地检查某人的身份证而不履行相应程序的话，就很可能会侵犯公民的个人信息。为了保护公民身份证上的个人信息，2003年6月颁布的《中华人民共和国居民身份证法》（简称《居民身份证法》）第六条第三款专门规定：“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息，应当予以保密。”此外，该法还对非法购买、出售、变造、扣押居民身份证的行为规定了详细的处罚措施，尤其是第十九条规定的“人民警察有下列行为之一的，根据情节轻重，依法给予行政处分；构成犯罪的，依法追究刑事责任……（五）泄露因制作、发放、查验、扣押居民身份证而知悉的公民个人信息，侵害公民合法权益的。”这些措施都是对居民身份证个人信息的有力保护。4.储户个人信息保护现在信用卡诈骗越来越多，几乎每个人的手机都曾收到过信用卡诈骗的短消息。这往往是由于储户个人信息泄漏造成的。因为公民在银行办理信用卡业务或购房贷款时，往往需要填写一些个人信息，如身份证号、家庭住址、个人电话号码等。这些信息如果银行工作人员把握不严，往往会给储户带来无尽的麻烦。针对此种情况，许多银行内部守则对保护客户个人信息做了相应规定，如1999年3月23日中国工商银行颁发的《中国工商银行员工行为守则》第十五条规定：“严守客户秘密。对于客户提供的信息资料，员工有保密的义务，以维护客户的合法权益。除依法可以提供或客户同意提供的信息外，员工无权擅自披露客户信息。”《中华人民共和国商业银行法》第二十九条规定：“商业银行办理个人储蓄存款业务，应当遵循存款自愿、取款自由、存款有息、为存款人保密的原则。对个人储蓄存款，商业银行有权拒绝任何单位或者个人查询、冻结、扣划，但法律另有规定的除外。”5.公民医疗信息保护由于病历档案不仅记载了患者的健康状况及治疗过程，还包含了一些患者不愿透露的个人隐私等信息，所以对病人的病历档案进行保护是患者和社会都十分关注的问题。早在1988年12月15日卫生部颁布的《医务人员医德规范及实施办法》中就有“为病人保守医密，实行保护性医疗，不泄露病人隐私与秘密”之规定（第三条）。1998年6月26日颁布的《中华人民共和国职业医师法》第二十二条规定：“关心、爱护、尊重患者，保护患者的隐私”。2002年9月1日实施的《医疗机构病例管理规定》第六条规定：“除涉及对患者实施医疗活动的医务人员及医疗服务质量监控人员外，其他任何机构和个人不得擅自查阅该患者的病历。因科研、教学需要查阅病历的，需经患者就诊的医疗机构有关部门同意后查阅。阅后应当立即归还。不得泄露患者隐私。”这些规定都是对公民医疗过程中的个人信息的保护。6.公民其他个人信息的保护除了以上信息外，公民还有许多其他个人信息，如档案、统计方面的个人信息。个人档案记录了公民一生中发生的重大事件，这些重大事件是公民十分重要的个人信息，因此个人档案信息的保护非常重要。《中华人民共和国档案法》（简称《档案法》）对档案机构的设置、职责以及档案的管理做了许多规定，在一定程度上起到了对个人信息的保护作用。另外，统计也容易侵犯个人信息，为此《中华人民共和国统计法》（简称《统计法》）第九条规定：“统计机构和统计人员对在统计工作中知悉的国家秘密、商业秘密和个人信息，应当予以保密。”第二十五条规定：“统计调查中获得的能够识别或者推断单个统计调查对象身份的资料，任何单位和个人不得对外提供、泄露，不得用于统计以外的目的。”第三十九条规定了处罚措施，即有“违法公布统计资料的”或“泄露统计调查对象的商业秘密、个人信息或者提供、泄露在统计调查中获得的能够识别或者推断单个统计调查对象身份的资料的”，由任免机关或者监察机关依法给予处分。除了以上对不同领域的个人信息的规制外，法律也加大了对侵犯个人信息的处罚力度。尤其值得一提的是，2009年2月28日第十一届全国人民代表大会常务委员会第七次会议通过的《中华人民共和国刑法修正案（七）》。该修正案新增加了“出售或非法提供公民个人信息罪”和“非法获取公民个人信息罪”。即在《刑法》第二百五十三条后增加一条，作为第二百五十三条之一：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金”；“窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚”；“单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。”该条规定中的第一款被称为“出售或非法提供公民个人信息罪”，第二款则被称为“非法获取公民个人信息罪”。并且，在司法实践中，2010年1月3日国内首次出现了非法获取公民个人信息罪的判例，引起了社会的极大关注。十、我国个人信息法律保护的不足及完善1.我国个人信息法律保护的不足（1）体系散乱、法规之间相互冲突。虽然目前我国有不少法规对个人信息的保护多少有些涉及，但从整体上看，各相关法律规定十分凌乱，呈“一盘散沙”的状态。各部门法之间的不协调、甚至冲突的现象时有发生。这其中最根本的问题就是缺乏一部统一的、专门规范个人信息保护的法律制度。对于哪些信息属于个人信息和哪些信息可以合法使用、对于不正当使用个人信息该如何追究等根本性问题，都急需一部专门的个人信息法来解决。这样可以解决各部门法律之间的冲突和协调问题。（2）保护范围狭窄。从前文现行法规的个人信息保护状况来看，我国目前的个人信息保护范围十分狭窄，最多的也就是对个人隐私的保护。而个人隐私权在《民法通则》中却只是作为名誉权的一部分来加以保护，即便在《最高人民法院关于确定民事侵权精神损害赔偿责任若干问题的解释》中将侵犯公民隐私的行为从名誉权独立出来，对个人隐私的保护仍然未得到重视。同时，现行立法仅从个人隐私方面来保护个人信息，显然已不符合时代发展的要求。如你把个人简历交给应聘的公司，对方就有义务给你保管个人信息，如果对方让其他人知了你的信息，不管是故意还是过失，对方就是违法，即使传统认为这些不属于隐私。况且，我们知道，个人信息的范围要远远大于个人隐私，因此要解决这个问题也需制定一部专门的个人信息保护法。（3）相关制度不健全。虽然目前我国的个人信息保护主要是个人隐私信息，但在隐私保护方面，也仅仅只是提供了有限的、间接的隐私保护，与国外相比，远未达到提供有效保护的程度，且主要表现为当个人隐私信息受到违法行为侵害时的一种事后救济机制。而在个人信息的获得、收集、持有、使用、营销等环节，都还没有建立相应的保护机制。相关制度尤其是民事补偿机制还没有建立起来。根据现行法律的规定，个人信息受到侵害后，责任主体的担责范围仅限于行政责任和刑事责任。在目前通过信息网络收集大量个人信息并非法用于商业用途的案件逐步增多的情况下，建立一套完善的民事补偿机制，非常有利于个人信息的保护。（4）监督和救济机制缺乏。由于我国目前缺乏一部统一的个人信息保护法，现有法规对个人信息的保护十分凌乱、甚至冲突，而对公民个人信息保护的监督和救济机制更是一片空白。公民个人信息受到侵害往往“有苦无处诉”，若是遇到公权力的侵害就更“投诉无门”。这些都需要建立起一整套的监督和救济机制，这也需要在将来的个人信息保护法中来解决。2.我国个人信息法律保护的完善为了更好地保护我国公民的个人信息，必须尽快制定一部统一的“个人信息保护法”。下面将对我国个人信息立法的相关问题进行探讨。（1）法律名称由于不同的国家具有不同的历史传统和人文习惯，因而对个人信息保护的概念上采取了不同的名称，如个人隐私、个人数据、个人信息等。前面笔者已对这些相关概念进行过论述，在此不再重复。而对于我国“个人信息保护法”，笔者赞成采用“个人信息”的名称，原因主要是：首先，我国的《民法通则》并没有明确“隐私或隐私权”的概念，对它的讨论仅仅停留在学术层面。其次，我国《民法》中也仅仅将“隐私”当做“名誉权”的一部分来保护，这样的理解范围太窄，根本无法涵盖个人信息权利的全部内容，并且容易产生一词多义，造成理解上的混乱。再次，“数据”这一概念主要适用于像数据库、数据交换等技术领域，其在我国法律中比较生僻，如果用它作为法律名称，普通公众不容易理解，也更不利于法律的实施和普及。最后，采用“个人信息”作为法律名称符合我国人民的生活习惯。因为数千年来，“信息”这一概念已深入老百姓的心里，“个人信息”也因其概念清晰、直观而易于理解，符合老百姓的生活习惯。（2）适用主体个人信息保护法的适用主体只能是自然人。顾名思义，个人信息保护法的主体当然不能包括法人和其他组织，否则就不叫个人信息了。所谓“自然人”是指基于“出生”的法律事实而取得民事主体资格的人。那么，家庭能不能包括在这个主体之内呢？有观点认为，个人信息的主体“个人”既包括自然人，也包括自然人组成的家庭。笔者认为，虽然家庭的成员都是个人，但家庭是不能作为个人信息保护法的主体的，因为家庭也属于其他组织，其理由与法人一样。（3）立法模式前文已经提到，由于各国的国情和价值倾向不同，因此采取的立法模式也各不相同。目前世界范围内个人信息保护的立法模式主要有德国模式、美国模式和日本模式三种模式。中国的个人信息保护立法模式，既要分析、借鉴国外的经验，又要充分考虑本国的具体国情。目前国内法学界大多数学者主张采用国家立法主导模式（即德国模式）的同时鼓励业界建立相应的自律机制。张新宝教授接受记者采访时曾说：“就我国而言，国家立法主导模式更符合我国的国情，但同时也要鼓励产业界建立相应的自律机制。”齐爱民教授主持的《中华人民共和国个人信息保护法示范法草案学者建议稿》和周汉华教授主持的我国《个人信息保护法专家建议稿》都主张我国个人信息保护立法采取法德模式进行统一立法，而且，后者还在坚持统一立法的同时注重了发挥行业自律机制的作用，比前者无疑有所进步。本书赞成这种观点，原因如下：我国是成文法国家，现行的立法和司法解释构成了我国的法律体系，采用这种立法模式不仅顺应了我国的国情背景，而且具有法律上的强制执行力，能够有效地制止侵害个人信息的行为，进而保护个人权利。从各国立法后的实施情况来看，统一立法模式更适合一个主管机关对个人信息进行保护和监管，有利于执法标准的统一，更好地规范信息主管机关的执法行为。当前我国个人信息保护的法律意识比较薄弱，普遍缺乏尊重和保护他人权利的意识，如果单纯采取自律的方式无异于缘木求鱼，缺乏相应的人文基础。尽管个人信息保护可以分为公共领域和私人领域，但两者在价值取向和直接目标上是一致的，均为对个人信息权利保护的追求。因此，我国的个人信息保护立法应效仿德国等欧洲国家，采用国家立法主导的模式，尽快制定一部较为完善的个人信息保护法。同时，在此基础之上鼓励业界建立相应的自律机制，辅助个人信息保护法的实施。