论网络环境下个人信息的法律保护

论网络环境下个人信息的法律保护

作者：谢潇 罗蓉 朱俏俏

来源：《智富时代》2017年第02期

【摘 要】随着信息时代的到来，个人信息的作用日益突出。而相较于现实环境，网络环境下个人信息法律保护更加复杂，网络个人信息侵权事件时有发生。虽然我国目前在个人信息保护方面制定了一定的法律法规，对个人信息的保护起到了一定的积极作用，但是我国个人信息法律保障仍然存在着诸多问题。因此，加强对个人信息保护方面的法律规制十分必要。 【关键词】个人信息；网络个人信息；法律保护 一、网络环境下个人信息概述 （一）个人信息的定义

由于我国现在还未正式颁布跟个人信息保护有关的法律文件，因此，我国立法上对个人信息没有明确定义。但在世界其他国家和地区，以及法学界对个人信息的研究较多，目前对个人信息的定义主要存在三种理解。

第一，关联型定义方式。即与个人有关的一切信息包括个人的姓名、身份、地位等。根据这种定义方式，个人信息不仅包括与个人人格和隐私有关的信息，同时还包括与个人身份地位，甚至与个人参加的公共活动有关的信息。第二，隐私型定义方式。这种定义方式将个人信息与隐私相联系，个人不愿为他人或者社会知晓的信息即为个人信息。第三种定义方式为识别型定义方式，这也是目前国际上比较常见的一种定义方式。根据该定义方式，个人信息是指个人的姓名、性别、年龄、民族等直接或间接地可识别该个人的信息。[1]识别型定义方式将识别性作为个人信息的特征，可以将关联型定义方式中不应纳入个人信息保护的信息过滤，同时将隐私型定义方式中那些忽略掉的重要信息纳入保护范围，较之前两者更具有科学性、可操作性。所以笔者更倾向于选择识别型定义方式来定义个人信息。 （二）网络环境下的个人信息

随着互联网的飞速发展，网络在人们日常生活中扮演者越来越重要的角色。人们在网络上从事各种活动的同时，也随之产生了留下了个人信息，网络环境下的个人信息概念也由此而生。大致来说，网络环境下的个人信息与传统意义上的个人信息差别不大，同样是以“可识别性”来界定。但是网络环境下的个人信息有其特殊性，其个人信息是以网络技术为背景，在网络环境下产生的，是传统个人信息的数字化和虚拟化。由于有网络这个特殊载体的存在，个人信息也有了以下一些特征：

龙源期刊网 http://www.qikan.com.cn

1.传统个人信息的数字化和虚拟化。由于在网络环境下，数据是各类信息的基本存在形式，因此在网络环境下的个人信息其实就是数字化了的个人信息。网络空间不同于我们现实存在的物理空间，具有一定的虚拟性。

2.个人信息侵权行为更加技术化、侵害手段隐蔽化。由于网络这个载体的特殊性，网络环境下个人信息侵权行为同传统的个人信息侵权行为相比需要专业的技术手段。一般侵权行为人想要通过侵入他人系统收集个人信息需要具备一定的专业技术和操作技巧。

3.个人信息的收集更加快捷、危害程度更加严重。由于目前网络的便捷化，人们的日常生活越来越离不开网络，人们在上网过程中也会主动或被动的留下一些与个人相关的信息，网络上的个人信息更加丰富和集中，这也使得个人信息的收集更加便利。个人信息遍布于网络中，许多呈现关联性，而目前人们对网络的依赖程度加大，人们在网络中留下的个人信息越来越多，重要程度也加大，一旦个人信息遭到侵害，受到的损失难以估计。 二、目前我国网络环境下个人信息保护的不足 （一）立法不完善

从目前我国的立法状况上来看，我国对个人信息保护的立法并不完善，我国现有的个人信息保护制度不完善，没有形成系统的、完整的法律框架，目前立法分散，内容少，立法质量和规模上来说都显得十分不足，这些有限的法律资源无法满足个人信息合理保护和规范化使用。 （二）个人信息保护意识薄弱

我国企业、组织和个人的个人信息保护观念普遍比较淡薄，缺乏较强的自律意识。许多人在网络环境下并未注重对个人信息的保护，任意把重要的个人信息暴露在公开的网络环境中，或者在使用个人信息时没有采取谨慎的态度，使得不法分子有机可趁。对于商家企业来说，用户的个人信息是一笔重要的资源，有些企业缺乏自律意识，滥用用户的个人信息，侵害用户的合法权益。对于网络服务提供商来说，许多网站并不注重对个人信息安全的保护，网站存在的安全漏洞并不及时修复，导致不法分子趁机侵入其系统窃取大量个人信息，给信息权利人带来巨大的损失。

三、对网络环境下个人信息保护的建议 （一）完善相关法律法规

我国目前法律的规定非常单一和笼统，完善相关的法律法规显得十分重要。个人信息的保护需要各类部门法和规章办法共同构筑一个完整全面的法律体系。

龙源期刊网 http://www.qikan.com.cn

我国可以参考美国分散立法的模式，对网络上的个人信息提供针对性保护。但由于我国目前个人信息保护立法处于起步阶段，发展较为落后，不能一蹴而就，可以根据欧盟的个人资料保护条例，针对网络上的个人信息的收集、处理作出专章规定。 （二）建立专门的管理机构

在这一点上，我国可以借鉴其他国家的相关规定。欧盟《指令》要求欧盟各成员国应当设立专门的机构监督个人信息保护法的实施。欧盟成员国内基本都设立了相应的监管机构。如丹麦的信息保护局则承担监督管理工作，与之相应的是登记制度和监督制度，登记制度是指有关部门在处理有通知义务的个人信息前需要向监管机构报告相关事项，并得到信息管理局的授权。而监督制度，是指监管机构有权主动或者根据信息主体的要求对跟个人信息有关的行为进行监督检查，可以在没有法院令状的前提而进入相关办公场所进行检查，并且有要求相关信息使用人员采取停止、删除、更改行为的权力。 （三）加强行业自律

各行业应当从个人信息主体的角度出发，利用当前一些已经成熟了的技术手段向信息主体承诺保护其个人信息的安全，同时应当为信息主体提供是否选择收集、利用其个人信息的权利，切实保证信息主体的个人信息的安全以及合法使用。同时许多行业从业者也意识到行业自律可以提高自身的信用评价，对行业的自我发展也十分有利。

行业自律的确立最首要的是制定行业的执业标准和道德规范。对于个人信息保护方面的行业指引，应当包括这两个方面：“（1）保证网络环境下个人信息的存储和传播的安全性。行业自身可以制定一份安全维护计划，这份计划主要是对定存储管理个人信息的系统安全情况，对信息的收集、使用情况以及对管理人员的准入资格进行详细、严格的规定。（2）网络服务提供商应当制定一份个人信息保护声明，并发布在网站主页显著位置，该声明应当包括向网页浏览者说明个人信息的收集范围和使用方式，并告知信息主体其所拥有的权利。” [2] （四）个人提高自我保护意识

对于广大的个人信息主体来说，也应该增强对个人信息的自我保护意识。尤其是针对网络用户来说，应当尽量使用隐私保护平台、匿名方式、加密技术等保护手段来保护个人信息安全。“用户的自我保护应当是自我控制，选择和防卫的综合体系”。[3]自我控制，是指依靠技术手段对个人信息进行控制，如使用匿名方式浏览网页、对cookies的使用管理、技术措施软件的运用等，将个人信息的收集、使用权掌握在自己手中。自我选择是指主动了解经营者个人信息保护政策，包括个人信息的收集范围、使用目的、违约责任等，根据不同经营者的信息保护政策，个人信息主体可以作出完全自主对有关个人信息保护的选择。自我防卫，是指运用法律武器维护自己个人信息安全。 【参考文献】

龙源期刊网 http://www.qikan.com.cn

[1] 陈长明：《个人信息法几个问题分析》，云南大学学报：法学版，2010年第3期，第61页.

[2] 齐爱民：《个人资料保护法原理及其跨国流通法律问题研究》，武汉大学出版社，2004年版，第66页.

[3] 齐爱民：《个人资料保护法原理及其跨国流通法律问题研究》，武汉大学出版社，2004年版，第78页.