2011年底,中国爆发因黑客入侵导致的波及1亿用户的互联网个人信息泄露事件,用户账户密码和其他个人信息公开暴露于网络,个人信息安全出现危机。中国政府和民众更加认识到个人信息保护立法的重要性和紧迫性。中国个人信息保护立法自2003年被纳入立法规划以来,近十年间无论官方还是民间都在积极推动,在理论研究方面取得了较为丰硕的成果,但立法实践却进展缓慢。
2000年12月28日,第九届全国人民代表大会常务委员会第19次会议通过的《全国人大常委会关于维护互联网安全的决定》第4条规定:利用互联网侮辱他人或者捏造事实诽谤他人;非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公民通信自由和通信秘密构成犯罪的,依照刑法有关规定追究刑事责任。明文禁止“非法截获、篡改、删除他人电子邮件或者其他数据资料”的行为,应该说是我国在保护个人信息方面作出的第一个法律层面上的努力。但该规定的主要任务是禁止通过互联网侮辱诽谤他人和侵犯公民通信自由和通信秘密,而非个人信息保护。并且,在立法技术上也有待提升,如数据和资料在英文中均为data,放在一起叠加显然不符合立法语言精炼的要求。更为重要的是,如果仅仅是复制或者窥视他人电子邮件资料,并未截获、篡改、删除,就不会侵犯通信自由;如果复制后自动记录在服务器而不进行人工检索或者浏览,则不构成侵犯公民通信秘密,《决定》则无从适用,行为也受不到应有的惩罚。
2009年,我国《刑法》增设了“非法获取公民个人信息罪”。2009年2月28日我国通过并实施的《中华人民共和国刑法修正案(七)》第253条第1款规定:国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。《刑法修正案(七)》颁布后在全国引起了很大反响,司法机关适用该款的案例接连出现,反映出人民法院适用法律上的敏捷性,也从侧面反映出个人信息保护任务的紧迫性。“周建平非法获取公民个人信息案”是我国第一个适用《刑法修正案(七)》的案件。然而就是这个案件,也引起了对《刑法修正案(七)》的全面思考。《刑法修正案(七)》的漏洞十分明显,它仅规定了非法出售或者提供个人信息罪,并且要求犯罪主体是特殊主体,而该案被告人周建平的行为并不符合非法出售或者提供个人信息的特征,也不属于该款规定的特殊主体。好在司法解释及时跟进,根据2009年10月16日最高人民法院、最高人民检察院针对《刑法修正案(七)》制定的《关于执行〈中华人民共和国刑法〉确定罪名的补充规定(四)》的规定,将刑法第253条第1款“窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚”解释为“非法获取公民个人信息罪”并适用于一切主体。因此,周建平的行为构成非法获取公民个人信息罪。
除了刑法的上述规定外,我国法律层面并无个人信息保护的其他规范。刑法对于打击侵害个人信息的行为固然十分必要和有力,但建立完善的个人信息保护制度才是制止个人信息侵权、保护受害人利益的根本。个人信息保护法是以规范个人信息、保护个人权益为目的的专门法,通过制定个人信息保护法可以明确界定个人信息的范围,确定个人信息权的内容与属性,规定侵害个人信息应承担的损害赔偿责任等多方面问题,这些问题是以打击犯罪为目的的刑法无法完成和取代的。
目前,国内有关个人信息保护法的理论研究趋于成熟。笔者于2005年发表了由国家社科基金资助的《中华人民共和国个人信息保护法示范法草案学者建议稿》;2006年,中国社会科学院法学研究所周汉华发表了《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》。然而,受立法资源、部门利益等多重因素的困扰,个人信息保护法迟迟未能出台。当前,中国正在着手制定《人格权法》,希望以此为契机,在《人格权法》中明确规定个人信息权,为实现对个人信息的私法保护迎来新的立法契机。王利明教授指出,就个人信息保护而言,应体现民法的人文关怀。个人信息权制度的构建是基础,个人信息管理制度还在其次。在人格权立法体例上,应在一般规定中对个人信息加以界定,然后以专章的形式加以规范,其位置紧随隐私权。信息化的浪潮席卷全球,人类进入信息社会的发展阶段,个人信息保护势不可挡。我们相信,待时机成熟,再制定统一、专门的《个人信息保护法》,统一规范国家机关和非国家机关的个人信息收集、处理和利用,并捍卫信息时代的基本人权。