摘要:  在信息人时代，各级政府和各主管机关设立了大批含有巨量个人信息的应用信息系统，对个人信息的收集、使用和处理已经成为各种公权力运行的最基本手段之一。个人信息权保障不力会波及到公民对其他基本权利的享有和实现。保障个人信息权应借鉴基本权利模式，平衡相关权利与权力间的法权结构。现有的安全思维立法路径虽有成效，但公权力机关收集和使用个人信息的行为缺少规范，个人信息权无法得到全面而有效的保障。我国采纳基本权利模式，通过宪法保障个人信息权的社会基础已经具备。采纳基本权利模式需厘清基本权利与国家安全之间的宪法关系，吸收现有立法成果，制定个人信息保护综合立法，并在综合立法无法覆盖的特定领域中系统贯彻个人信息权保护理念。

    关键词:  个人信息权 基本权利 网络安全 
 

进入本世纪以来，我国的电子政务建设开始进入跨越式发展，各级政府和各主管机关设立了大批含有巨量个人信息的应用信息系统，对个人信息的收集、使用和处理已经成为各种公权力运行的最基本手段之一。在这些公权力领域，一旦个人信息权被侵犯往往就会连带影响公民对其他基本权利的享有和实现，从而产生巨大的波及效应。早期的信息化行政主管部门也曾经尝试以基本权利保障为基础推动个人信息保护法立法工作，但并未成功。近几年，由于国内外网络安全事件频发，立法机关转而通过一些有关网络安全的刑事、行政和民事立法来加强个人信息保护。但在这些立法当中，个人信息权仅仅被当作一般权利，而对公权力收集和使用个人信息的行为一直缺乏完善的法律规范，个人信息权与国家安全等宪法价值之间的关系也缺少必要的平衡与协调。为此，还是应当考虑从保障基本权利出发，在宪法层面协调好个人信息权与其他宪法价值之间的关系，构筑更加完善和系统的个人信息保护制度。

一、将个人信息权作为基本权利是信息人时代的客观需要

个人信息权是指与个人信息收集、使用和处理等相关的权利。[1]我国宪法虽没有明确这项权利，但有学者认为从应然的角度来说，我国宪法不仅应当而且也能够容纳这一基本权利。其理由主要包括：（1）个人信息权与人格尊严、个人自由以及社会民主等宪法价值有着密切的关联。[2]（2）《宪法》第38条人格尊严条款、第33条人权条款和第37条人身自由不受侵犯等条款也能为这项权利提供宪法的解释依据和空间。[3]（3）将个人信息权视为一项基本权利已经成为大多数国家和地区的共识。[4]近年来，个人信息权在国际上的发展呈现出两个重要的趋势。一是，在欧盟的引领下，个人信息权已经开始脱离其上位概念——隐私权，成为一种完全独立的基本权利；[5]二是，已经或正在制定个人信息保护法的国家和地区已经超过了没有制定个人信息保护法的国家和地区。[6]

（一）信息人时代是个人信息权宪法保护的现实依据

显然，大家都意识到个人信息权的重要性，但是要论证在我国个人信息权是否有必要通过宪法来保障，最为关键的并不是宪法理论或规范，也不是其他国家的宪法和法律，而是我国的现实状况。从这个角度来说，我国通过宪法来保护个人信息权的需求不仅存在，而且紧迫：随着电子政务和网络信息技术的普及，个人在社会交往中越来越多地以信息人的面目存在。各级政府机关掌控着数以万计的各类信息系统，如户籍管理、治安维护、交通出行、出国出境、打击犯罪、人口普查、计划生育、医疗卫生、社会保障、工商管理、个人信用、教育行政等等，每天都会有巨量的公民个人信息牵涉其中。

客观地说，信息人时代的到来并不是什么灾难，信息技术与电子政务为我们带来的主要还是效率、便捷与福利。真正需要警惕的是，当公权力与信息技术的结合已经悄悄地改变了我们的生活和存在方式的时候，我们如果不能使用恰当的方式来加强个人信息权的保障，那么信息技术就可能反过来成为公权力侵害个人权利的利器。

（二）个人信息权保障不力会产生广泛的基本权利波及效应

由于对个人信息的收集和使用已经成了许多政府机关做出各种公权力行为的前置性依据，个人信息权便成为个人享有和实现各种基本权利的前提性权利。个人信息权如果不能得到全面而有效的保障，就会影响其他基本权利的实现。这就是个人信息权的波及效应。

1.户籍制度实际上是公民资格许可制。对于我国公民来说，最为重要的个人信息莫过于户籍信息，因为户籍证明就是公民资格证明。依据《宪法》第33条和《国籍法》第4条，中华人民共和国公民资格的取得是一个事实行为，因此国家对公民身份信息的收集与登记本不应附加任何前置条件。依据《居民身份证法》第1条，居民身份证是我国公民身份的基本证明。然而，依据该法，要获得居民身份证必须先“交验居民户口簿”，所以，居民户口簿才是我国公民身份的最基本证明。多年来，各级地方政府往往会为户籍登记设置种种限制条件，其中最为典型的“潜规则”就是将计生政策与新生儿户籍登记捆绑在一起，由此便产生了大量的“黑户”。根据全国第六次人口普查的统计，全国范围内可能存在1300万的“黑户”人口。[7]“黑户”实际上就等同于没有公民资格的“隐形人”，他们根本无法享受到房产存款、工商经营、出国出境、社保福利、教育医疗、投票选举等各个方面的公民权益。

2.警务工作中的个人信息错误容易造成侵犯公民人身自由的后果。在这方面，目前问题比较突出的是网上通缉误认。向社会发布“通缉令”原本是刑事诉讼法所规定的刑事侦查措施之一，但随着警务信息化工作的发展，公安机关又逐渐在公安内网上发展出了一整套网上通缉和追逃制度。一旦网上通缉和追逃信息系统中所使用的犯罪嫌疑人个人信息有误，就会造成错误的拘留或逮捕。有学者统计，在2007～2010年间，媒体陆续曝光了22起网上通缉误认事件。[8]近年来，又先后发生了“林贝欣案”[9]、青海警方“跨省抓错人”案[10]等案件。与此相似的还有违法犯罪信息错误标注。在一些公安应用信息系统中，如果错误标注公民的违法犯罪信息，也极易导致错误的司法或行政强制措施，如错误的盘问、询问、强制尿检等。[11]

3.个人信息第三方披露与使用侵犯个人隐私权、劳动权等。政府所掌握的个人信息有时还需为其他机关或公众提供服务，这就产生了将个人信息向第三方使用和披露的问题。在个人信息披露方面，比较容易产生问题的是犯罪记录的查询。目前，我国只建立了非常有限的犯罪信息查询制度，与此并行存在的是前科申报制。实践中已经发生因为没有法律依据的随意披露而造成公民的隐私权和劳动权受到侵害的案例。[12]在个人信息的第三方使用方面，近年来问题比较突出的是随着各种“实名制”而产生的公民身份信息核查制度。联网核查是目前最为规范和有效的核查方式，[13]但还是存在信息质量无法保证、信息更新存在时间差、基层部门沟通协调难等问题。还有规划之中的“信用信息共享交换平台”，[14]将来也可能出现此类问题。

4.恣意的负面信息标注违背宪法平等原则，有损公民人格尊严。近年来，随着国家大力推进社会信用建设，全国各地由政府主导建立的公共信用信息系统越来越多。[15]比如，江苏睢宁县在国内首创大众信用管理打分评级系统，其评定信用的个人信息涵盖了诸如“围堵冲击党政机关、企业、工地、缠访、闹访”，“利用网络、短信诬告他人”等颇具争议的公民负面信息。有媒体认为这种做法把政府的市场服务功能与强化社会控制混为一谈，实质上损害了公民的基本权利。[16]关于负面信息标注，上文提到的郑州市民袁某的遭遇即为典型，所谓“高危上访人员”完全没有法律依据。无独有偶，深圳市警方为确保2011年大运会安全，将8万余名“治安高危人员”清出深圳。而所谓的“治安高危人员”甚至包括“有刑事犯罪前科，长期滞留深圳，且无正当职业及合法经济来源”、“没有正当职业，生活规律异常或经济来源可疑的人员”等毫无法律依据的标注标准。[17]这类个人信息标注既违背了宪法所规定的平等原则，也有损公民人格尊严。

5.在特定情况下民商事主体也会侵犯公民基本权利。在大数据时代，原本发生在民商事领域的侵权事件同样也会波及到公民享有和实现基本权利。通常认为，大数据具有“4V”特性，[18]大数据时代的网络个人信息泄露也呈现出类似特点，即：规模性（Volume），分散泄露的个人信息经过大数据的汇总、挖掘和比对会造成更大规模的连锁式侵害；高速性（Velocity），个人信息一旦泄露便在互联网中高速而持久地传播，难以彻底清除；多样性（Variety），泄露信息种类多样，既包括一般非敏感信息，也包括高度敏感信息；价值性（Value）：单位数据对个人的直接影响微小，但大数据的整合作用会对个人、国家和社会造成潜在而不可逆的巨大危害。因此，互联网领域的大规模个人信息泄露极容易对公民基本权利造成持久的侵害。此外，在某些特殊的情况下，由个人和公权力主体共同实施的侵害个人信息权的行为也会产生基本权利波及效应，以“齐玉苓案”[19]和“罗彩霞案”[20]为代表的身份冒用案件就属于此类。

6.处理不好个人信息权与其他基本权利的关系也会产生波及效应。在某些特定的情况下，个人信息权会与其他基本权利产生冲突，这种冲突容易波及到其他基本权利的实现。在我国，最典型的还是个人信息权、知情权与网络言论自由之间复杂的冲突问题。2012年10月，网友的爆料引发了“房叔”事件。同年11月21日，网上又爆出“房婶”事件；经过一个月的调查，广州市纪委认定该举报严重失实，并处罚了违规向他人泄露公民个人信息的政府工作人员。[21]随后，引发了加强个人信息保护立法是否会影响网络反腐的争议。[22]然而，2013年初又发生了影响更大的“房姐”龚爱爱事件。[23]由于这一系列的事件，汹涌的舆情甚至希望不动产统一登记信息平台能够被用于“以房查人”。然而，这样的要求既不符合不动产登记制度的设计初衷，也容易侵害一般公民的隐私权。

二、基本权利模式的实质是平衡权利与权力间的法权结构

要应对信息人时代的挑战，防止个人信息权的波及效应，就必须通过宪法来保障这项权利。从宪法基本原理来说，某项权利一旦成为宪法保障的基本权利，那就意味着国家有义务及时采取全面的保障措施加以落实。而由于个人信息的特殊性质，所有保障措施都必须平衡与个人信息相关的个人利益与公共利益，即平衡个人信息权利与政府收集、使用个人信息权力间的法权结构。

（一）基本权利模式与非基本权利模式

目前，大多数国家和地区都是从保障基本权利出发来构建个人信息保护制度，由此便形成了个人信息权保障的基本权利模式（以下简称基本权利模式）：这种模式的共同特点是：（1）通过一定的方式，如制宪、修宪或违宪审查，在宪法中确认个人信息权的基本权利地位。（2）以基本权利保障为基本目标，制定个人信息保护法。这类立法所使用的基本原则和框架大体相同。（3）以专门的监管管理机构和行政法责任为核心，以民事责任和刑事责任为辅，构筑个人信息保护法的执法和实施机制。[24]（4）在一些与个人信息保障有关的特殊领域（如公民身份证明系统，刑事犯罪调查、犯罪记录查询与披露、医疗健康信息使用、电子通讯与监听）贯彻个人信息权保障理念。

当然，不同的国家和地区所采用的具体制度肯定有差别，在这方面分歧最大的当属欧盟与美国。欧盟明确承认个人信息权的基本权利地位，并采用公私领域统一立法和统一监管为主的保障方式。而在美国，联邦最高法院一直不肯正面阐述与个人信息权相当的“信息隐私权”概念，[25]国会也一直不肯制定统一立法或建立统一的监管机构，而是坚持采取分散立法的方式。不过从实际保障效果来看，起码在公务部门领域，分散的立法也能够达到保障和落实个人信息权的客观效果。[26]从域外影响来看，欧盟立法已成为全球个人信息保护立法的标杆。[27]

与基本权利模式相对应，目前只有印度、新加坡和马来西亚等少数几个国家采用非基本权利模式来保障个人信息权（以下简称“非基本权利模式”）。其主要特点是只承认个人信息权的一般权利地位，制定的个人信息保护法只适用于非公务部门，缺少专门的监督管理机制。[28]应当看到，这些国家采用非基本权利模式各有特殊原因：印度是因为个人信息权的宪法地位尚存争议；新加坡是自信其政府机关在个人信息保护方面已经做得足够好；马来西亚则仅仅是为了保护本国的信息外包产业。[29]

总的来说，我们要借鉴基本权利模式。而非基本权利模式不应当成为我们借鉴的对象，倒是这些闰家在立法和法律实施过程中的教训需要我们吸取并引以为戒。

（二）通过宪法保障个人信息权的实质是平衡权利与权力间的法权结构

通过上文对个人信息权波及效应的梳理不难发现，掌握公民个人信息最多、使用最为广泛、对个人权益影响最大的主要是公权力机关。与其他基本权利不同的是，个人信息权的宪法保障和落实并不意味着简单地限制国家权力，而是需要平衡相关权利与权力之间的关系。个人信息包含了重要的个人利益，是个人权利的客体。更为重要的是，在现代高度发达的经济社会，个人信息“不仅服务于个人利益，它也服务于各种共同的、公共的和集体的目标”。[30]因此，通过宪法保障个人信息权就特别需要“根据发展变化的社会历史条件优化法权结构，即促成法权内部形成权利与权力的最适当比例”。[31]

1.宪法通过限制公权力来保障个人对其信息的控制和处分权。为此，首先还是需要限制公权力对个人信息权的干涉和侵害，各国个人信息保护法当中有数条基本原则都与此有关。比如，目的限制原则要求公权力机关收集个人信息的0的必须明确，而且为A目的收集到的个人信息不得用于B目的；收集限制原则要求公权力机关收集个人信息需要有法律的授权或者需要得到个人的同意；使用限制原则要求公权力机关使用个人信息需符合比例原则，不得随意地传递、比对、融合和披露；等等。[32]如果没有这些界限，公权力收集和使用个人信息的行为将毫无节制，个人也将彻底失去对自己的信息的控制权，由此必将产生各种严重的波及效应：

2.为保障公共利益，法律可以限制个人信息权，并授权和规范国家机关强制收集和使用个人信息。出于公共利益的考量，可以依据法律保留原则限制个人信息权的行使并授予公权力主体收集和使用个人信息的强制权力。在个人信息保护法当中，大部分核心原则都是着眼于规范而不是单纯地限制公权力。比如，信息质量原则要求公权力机关收集和使用的个人信息应当准确、全面且鲜活、及时；信息公开原则要求公权力机关公开其收集和使用个人信息的相关情况；信息安全原则要求公权力机关采取安全保护措施来防止信息泄露；等等。[33]当然，依据其保障的公共利益的性质和重要程度的不同，还需依据比例原则对这些规范加以调适，以平衡个人所保留的个人信息权以及其他可能受到波及的基本权利与公权力之间的关系。

3.保障政府机关收集和使用个人信息权力的正常行使。这不仅是出于保障相关公共利益的需要，也是为了防止因为公权力怠于行使而波及到公民基本权利的实现。个人信息保护法一般很少会涉及这方面的问题，但在我国强调保障相关权力正常运行则具有重要的现实意义。在这方面，户政管理方面的教训最为典型。“黑户”问题在很大程度上就是因为地方计生部门为了收缴超生社会抚养费，“绑架”户政管理部门而造成的。另外，身份冒用和“多重户口”问题则大多是因为外部人员和内部管理人员相勾结所实施的户籍登记欺诈造成的。要解决这些问题，不仅要理顺主管户政管理的公安机关与其他国家机关之间的关系，还要完善公权力机关内部的管理和保障机制。

三、安全思维主导下的现有立法无法有效保障个人信息权

明白了个人信息权的重要性及其保障方式，再来看看我国个人信息保护立法的现状，就能够找准我们面临的问题。应该说，经过20多年的努力，我国的个人信息保护立法工作已经取得了不小的成就。近几年，立法机关已经开始着手制定专门的个人信息保护法。尤其是在执法方面，公安部门对个人信息非法获取和买卖的打击卓有成效。[34]但在成绩背后，也应该看到现有的立法主要是以国家安全、公共安全和社会秩序安全等安全价值为核心构建起来的。在这一思维的主导之下，公权力机关收集和使用个人信息的行为缺少规范，个人信息权无法得到全面而有效的保障，权利与权力之间的法权结构失去平衡。

（一）以基本权利保障为导向的早期立法尝试无疾而终

我国最初的个人信息保护立法尝试并不是围绕各类安全问题展开的，而是作为电子政务的配套措施被提上议事日程。进入21世纪之后，随着我国电子政务的快速发展，国家信息管理部门开始提出要开展个人信息保护法的制定研究工作。2002年8月5日，中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于我国电子政务建设指导意见》，提出要“加快推进电子政务法制建设”。翌年，国务院信息化工作办公室（以下简称国信办）有关领导明确提出要加强“个人数据保护法”的研究和起草工作。[35]在2006年发布的《2006～2020年国家信息化发展战略》当中，“个人信息保护”更是与“信息基础设施、电子商务、电子政务、信息安全、政府信息公开”共同构成了“信息化法制建设”的重要内容。

在此背景之下开展的立法工作带有明显的基本权利模式特点。2003年初，国信办开始部署立法研究工作，2005年相关学者完成了《个人信息保护法（专家建议稿）》（以下简称专家建议稿）。[36]这部专家建议稿深受欧盟立法的影响，尝试将个人信息权当作一项基本权利来对待。在适用范围、基本原则、个人权利、执法机制、责任体系等方面，专家建议稿也与欧盟立法高度接轨。有学者甚至预言如果它最终获得通过，不仅会影响整个亚洲，而且会为所有发展中国家树立一个模范。[37]然而该建议稿并没有进入正式的立法程序，甚至设想中的“第二方案”，“个人信息保护条例”也没有任何进展。2008年，在国信办被并入工业和信息化部（以下简称工信部）之后，专家建议稿受阻于“部门利益”而被搁置。[38]

专家建议稿之所以会全面受阻，其深层次原因还是因为缺乏必要的社会基础。在当时，推动学界研究的主要是域外法制的影响，而非本国的实际。真正了解这个领域的学者本就不多，更不用说一般民众。再加上那时的互联网刚刚开始进入快速普及的阶段，个人信息泄露的事件也不像现在这么多，公众对这一法律制度普遍缺乏了解。对于大多数政府机关来说，个人信息保护也是一个十分陌生的法制领域。更为重要的是，相较于今天，那时公权规范的法治基础更薄弱。在2003年之前，比较重要的行政法只有《行政诉讼法》、《行政处罚法》和《国家赔偿法》等。《行政许可法》是2004年实施的，而与个人信息保护制度密切相关的《政府信息公开条例》则是历经波折才于2007年颁布：

（二）立法机关转向以安全思维为导向的立法路径

在专家建议稿被搁置之后，我国的个人信息保护立法工作一度陷入了低谷。但也正是在这段时间，我国互联网服务产业取得了飞速的发展。从2006到2010年的“十一五”期间，“我国互联网服务已形成千亿元级市场，2010年，全行业收入规模超过2000亿元。在网络门户、即时通信、搜索引擎、电子商务、网络游戏等领域，具备了一定的国际影响力，部分企业进入了全球互联网企业市值排名前列。”与此同时，“‘十一五’期间，网民数增长3倍，达到4.57亿人，普及率攀升至34.3%，超过世界平均水平……互联网网站数由2005年底的69.4万增长至191万个，网页数增长13倍达到600亿个，容量接近1800TB。”[39]

然而，由于缺乏配套的个人信息保护制度，与互联网服务产业飞速发展相伴而生的是日益严重的网络个人信息泄露与滥用。“十一五”的最后一年发生了“3Q”大战事件，[40]激起了公众对网络个人信息保护状况的担忧，也使主管部门意识到网络信息服务市场亟需加强治理。2011年年末，大规模用户信息泄露事件更是波及多家大型知名网站，涉及用户达到了数百万之众。[41]再加上“人肉搜索”、网络实名制、网络反腐等争议性事件，网络个人信息保护一跃成为我国个人信息保护立法的重中之重。

也正是在经历了互联网的快速发展之后，党中央逐渐开始将互联网安全与个人信息保护联系起来。2011年6月，中共中央在第十七届六中全会上第一次提出要“加大网上个人信息保护力度，建立网络安全评估机制，维护公共利益和国家信息安全”。翌年的十八大报告提出要“加强网络社会管理，推进网络依法规范有序运行”。十八届三中全会则更加明确地把“加大依法管理网络力度，加快完善互联网管理领导体制”与“确保国家网络和信息安全”相联系。十八届四中全会又将“加强互联网领域立法”细分为三个部分，即“完善网络信息服务、网络安全保护、网络社会管理等方面的法律法规”，而其中的“网络安全保护”就包含了个人信息保护制度的构建。

在这种安全思维的主导之下，个人信息保护立法工作很快便取得了重大进展。在2009年之前，我国人大立法当中只有一些零星的、旨在防止个人信息泄露的法律条款，如2003年《居民身份证法》第6条，2006年《护照法》第12、20条等。2009年2月颁布的《刑法修正案（七）》首次新增了两项旨在遏制公民个人信息非法泄露的罪名，即出售、非法提供公民个人信息罪和非法获取公民个人信息罪。2015年8月颁布的《刑法修正案（九）》，不仅将这两个罪名整合为全新的侵犯公民个人信息罪，还新增了多个与个人信息网络泄露和身份冒用有关的新罪名。除了刑事立法，2012年12月28日全国人大常委会还通过了《关于加强网络信息保护的决定》（以下简称《网信保护决定》）。《网信保护决定》虽然只有短短的12条，但它奠定了我国现阶段个人信息保护立法的大方向和基本框架。2015年7月《网络安全法（草案）》开始公开征求意见，其第4章“网络信息安全”吸收了《网信保护决定》的绝大部分条款和内容。

安全思维之所以会成为现有立法的主导性思维，是国内社会现实发展推动的自然结果。其首要因素便是上文提到过的，国内互联网的快速发展和普及以及由此产生的大量个人信息泄露事件。与此同时，近年来国际上也发生了一系列影响重大的互联网国家安全事件，如“维基解密”事件、斯诺登“棱镜门”事件、国际互联网黑客事件等，包括个人信息保护在内的网络安全问题引起了中央的高度重视。于是，自下而上的民意压力与自上而下的安全维护意识相结合，便产生了我们当下的安全思维立法路径。

（三）民事立法思维相伴而兴

伴随着安全思维的转向，民事立法思维也开始兴起。在学界，民法学一直是个人信息保护研究的主力学科，我国最早从事个人信息保护研究的学者就是民法学者。[42]本世纪以来，随着个人信息保护法起草工作的开展，民法学者做了大量的工作。但正是在立法机关转向安全思维路径之后，相关民法学研究才开始呈现出爆炸式的增长。与此相联系的是，民法学者普遍认为，虽然域外国家和地区普遍把个人信息权视为宪法权利，但在我国，由于宪法实施监督制度不完善，因此首先应当将其视为一项民事权利，通过民事立法来保护。[43]

民法立法思维（以下简称“民法思维”）对立法实践工作也产生了巨大的影响，这主要表现为隐私权的相关立法。2009年实施的《侵权责任法》第2条正式确认了隐私权在我国民法当中的独立地位，第26条新增了与个人信息密切相关的患者隐私权，第36条则规定了与网络安全密切相关的网络用户和网络服务提供者的侵权责任。2013年10月修订的《消费者权益保护法》对消费者个人信息权作出了多项原则性的规定：更为重要的是，学界似乎普遍认为在民法典当中应当写入部分个人信息权保护条款。[44]可以预见，随着民法典制定工作的不断推进，个人信息保护的民事立法很有可能成为我国个人信息保护立法的新亮点。

在世界范围内，个人信息保护领域的相关学术研究向来是以公法学者为主，在立法实践中以民事立法为主的个人信息保护法也不多见。但为什么到了我国，民法学研究和民事立法建议却能够成为主流？这并不能简单地归咎于“民法帝国主义”，其背后还有更深层次的原因。其一，安全思维的兴起为民法思维提供了发展空间，因为安全思维主导下的立法也只专注于民商事领域的个人信息保护问题。其二，个人信息权研究“民强宪弱”，也是由于宪法学研究的薄弱造成的，很多宪法学应当大力开展研究的领域常常乏人问津。

（四）现有立法未能平衡相关之权利与权力间的关系

针对现有的立法，有学者将其不足概括为立法的碎片化现象突出，对个人信息保护的利益衡量不清晰，高位阶的规范性文件流于形式，行政执法部门的定位、权限等不明确：[45]其实这些还只是表面现象，比照个人信息权的基本权利模式，就会发现现有的这些立法及其思维路径还存在以下几个方面的深层次不足：

1.在安全思维立法中，个人信息权被降格为维护国家安全的手段。在基本权利模式主导下的个人信息保护法以个人信息权保障为核心，但在安全思维主导下，国家或公共安全成为其立法的核心保障目标。全国人大常委会认为《网信保护决定》“对促进社会和谐，维护国家安全和政治稳定，确保国家长治久安具有重要意义”：[46]到了《网络安全法（草案）》，这种以国家和公共安全为重心的立法目标则表述地更加明确：“坚持以总体国家安全观为指导……针对当前我国网络安全领域的突出问题，以制度建设提高国家网络安全保障能力，掌握网络空间治理和规则制定方面的主动权，切实维护国家网络空间主权、安全和发展利益。”[47]当然，安全思维立法也包含了保障作为一般公民合法权益的个人信息权，但在注重维护国家安全的大前提下，各种个人信息权保障条款和手段被降格为维护国家和公共安全的手段之一。这样的立法思维不仅不利于理顺国家安全与公民基本权利之间的关系，而且容易造成执法动力不足等隐患。

2.现有立法缺乏对公权力主体的限制和规范，相关条款太过原则。基本权利模式主导下的专家建议稿全面适用于公私领域，而安全思维主导下的立法所规范的对象仅限于从事互联网商业服务的企业法人或自然人：其适用范围不仅排除了公权力主体，而且比一般的民法思维立法还要窄。因此，现有的立法无法应对因为公权力失范造成的各种个人信息权的波及效应。即使是在民商事领域，现有的安全思维立法也不够完备。《网信保护决定》一共只有12条原则性规定，其中还有数条与个人信息权没有什么关系。《网络安全法（草案）》虽然要完备一些，但其中真正与个人信息权有关的其实也只有几条极其原则性的条款。反观草拟于10年之前的专家建议稿，不仅相关原则规定得比较完善，其条文更是多达72条。

3.安全思维易使个人信息保护法律条款蜕变为网络信息管理手段。基本权利模式主导下的专家建议稿以基本权利保障为基础，同时也注意协调平衡个人信息权与其他基本权利之间的关系，而安全思维主导下的立法缺少类似的制度设计，容易将个人信息条款当作纯粹的网络信息管理手段来使用。在《网信保护决定》当中，个人信息保护制度与违法信息处置制度、实名制等混在一起。同样，在《网络安全法（草案）》当中，个人信息保护条款与网络运营者处置违法信息义务（第40条）、严禁发送违法电子信息和应用软件（第41条）、处置和阻断违法信息传播权力（第43条）等一同构成了“网络信息安全”保障措施。这样的立法安排，削弱了个人信息保护条款的权利保护性质，同时放大了这些条款的网络信息管控功能。比如实名制的推广可能有利于预防和处置违法“网络信息”，但它也不利于个人信息权和言论自由的保障。[48]

4.安全思维片面注重规制个人信息泄露，忽视了其他信息行为。在基本权利模式当中，个人信息权涉及到收集、储存、处理、使用、传递、标注、封存、删除、去身份化、披露、泄露等一系列信息行为。而安全思维的价值目标是安全，这导致安全思维主导下的立法大多是围绕规制个人信息泄露来展开的。比如，《网信保护决定》和《网络安全法（草案）》当中的个人信息保护条款大多与个人信息泄露有关，真正与个人信息收集和使用有关的只有少数几条。此外，无论是《刑法修正案（七）》还是最新的《刑法修正案（九）》，其聚焦的都是几种比较极端的故意泄露行为，如违法出售、非法提供、窃取以及以其他方法非法获取等。实践中，这种犯罪行为的发生大都是因为其他侵权行为导致的，如个人信息的过度收集和滥用、违规传递和披露、信息安全漏洞等。

5.安全思维与民法思维都难以产生具有实效的执法机制。基本权利模式强调由统一的执法机构负责个人信息保护法的执行，而依据《网络安全法（草案）》第6条，立法者有意将这一重任交给国家互联网信息办公室（以下简称国网办）。相较于之前“执法割据”的乱局，这无疑是一大进步。但是国网办本身也面临着两大执法难题。（1）尽管其党的领导机构——中央网络安全和信息化领导小组办公室（以下简称中央网信办）在党内地位较高，但其自身在政府组织法层面的地位较低，不利于执法工作。（2）国网办以往偏重于意识形态安全管理，现在则面临着如何协调国家安全与公民基本权利关系的问题。民法思维所面临的则是另一个层面的执法难题。基本权利模式主导下的立法以行政法责任为主，同时辅以民事、刑事等多种责任体系。民法思维主导下的相关立法将法律的适用完全寄托于法院。抛开我国司法制度的弊病暂且不论，仅就当事人而论，其在司法实践中面临着取证难、信息技术门槛高、强大的被告（大型互联网企业）、赔偿低等现实困境：[49]

四、采纳基本权利模式的现实基础与理论难题

很显然，我国现有的个人信息保护立法没有很好地平衡个人信息权与国家安全等公共利益之间的法权结构，也无法应对信息人时代个人信息权可能带来的各种波及效应。要解决这些问题，惟有采纳世界通行的基本权利模式，系统构筑个人信息保护制度。为此，首先需要弄清楚我们是否已经具备了采纳这一模式的社会基础，并厘清一些理论难点。

（一）我国采纳基本权利模式的社会基础已经具备

2005年专家建议稿草拟完成已经整整10年了。在这10年当中，以上文列举的各种基本权利波及效应为代表，个人信息保护问题已经充分暴露，要求立法保障个人信息的舆论呼声与日俱增。相较于10年之前，现在的法治基础也相对完备得多。（1）我们已经有了一定的个人信息保护立法基础，尽管相关法律还不完善，但是其中蕴含的个人信息权理念已经为包括公权力机关在内的各种社会主体所熟知。（2）较之10年前，社会整体法治状况和政府行政法制水平有了大幅改善和提高。《政府信息公开条例》、《行政强制法》等法律开始付诸实施，《行政诉讼法》等法律法规也经过了修改。十八届四中全会更是史无前例地聚焦依法治国与法治政府。

更为重要的是，公权力机关自身已经感受到了个人信息权保障的巨大社会需求和压力，并开始主动地加以回应。比如，关于“黑户”问题，中共中央明确意识到这是事关公民基本权利的重大问题，并出台专门措施加以应对。[50]此外，前一阵引发了巨大舆情的“奇葩证明”事件，其实就是公民个人信息过度收集的问题，有关政府机关也开始着手加以解决。[51]为了加强保护个人信息，主动回应社会需求，很多主管部门都制定了相关的规范性文件或技术标准，如工信部制定的《电信和互联网用户个人信息保护规定》（2013年6月28日）、卫计委制定的《人口健康信息管理办法（试行）》（2013年6月28日）、国家邮政局等下发的《关于切实做好寄递服务信息安全监管工作的通知》（2013年5月15日）以及公安部制定的《公安信息化数据质量管理规范》（2011年11月24日）等。

在此背景之下，10年前阻碍专家建议稿的“部门利益”其实已消弭大半。我们所要做的就只是站在一个更高的高度，将这些部门所感受到的现实压力和采取的措施化作推动个人信息保护系统立法的动力，构建符合我国国情的个人信息保护基本权利模式。

（二）采纳基本权利模式需处理好的理论问题

具备了采纳基本权利模式的社会基础并不意味着立法机关就会自动采取相应的保障措施。要让我国立法机关真正接受基本权利模式，还必须处理好以下几个理论问题。

1.应厘清个人信息权与国家安全之间的宪法关系，将两者放在同等重要的地位，分门别类构筑系统立法。当下，要推动个人信息权保障的基本权利模式，首先需要厘清基本权利与国家安全之间的宪法关系。基本权利与国家安全都受到我国宪法的保障。基本权利的宪法地位毋庸多言，国家安全在现行《宪法》序言第6段，以及第28、40、54条当中也有明确的表述。为此，立法机关就应当将个人信息权与国家安全区分开来，将两者放在同等重要的地位，分门别类地构筑专门的系统立法，而不是像现在这样含混不清或者厚此薄彼。就两者的关系来说，基本权利与国家安全之间也不存在什么根本的矛盾。一方面，保障公民基本权利是维护国家安全的根本目的；另一方面，国家安全是公民基本权利得到切实保障的基本条件之一。当然，在某些极为特殊的情况下，为了保障国家安全，公民的基本权利也需要受到必要的限制。但这种限制并不是无底线的抽象限制，而是应当通过具体的法律和程序审慎地衡量和协调各种利益，以防止法权结构的失衡。因此，加强维护国家安全并不意味着公民基本权利的无限克减，更不能把基本权利降格为维护国家安全的手段。

2.应明确个人信息保护法是基本权利保障法，不是网络信息管理法。作为一种保障个人信息权的基本手段，个人信息保护法本身带有浓厚的行政规制色彩。这是因为最有效的个人信息权保障方式就是通过一系列的行政许可、备案、指导和惩罚等措施，来限制各种公私主体所实施的信息行为。正是因为担心个人信息保护法会造成过度的行政管制，美国一直没有制定统一的个人信息保护法。也是基于同样的原因，欧盟立法和我国的专家建议稿都注意弥补过度依赖行政管制所带来的不利后果，注意“协调个人信息保护与促进信息自由流动的关系”。[52]换句话说，如果将个人信息保护法当中的权利因素剥离，那么剩下的这些行政规制手段就很容易被公权力机关当作纯粹的管制手段。为此，需要从立法就开始树立基本权利保障理念，做好多种基本权利和社会价值之间的平衡工作，防止个人信息保护法的一些具体条款和制度蜕变为针对个人和企业的管理手段。

3.在暂时无法做到确认个人信息权的宪法地位的情况下，通过系统的立法也能够起到保障基本权利的客观效果。明确个人信息权的基本权利地位固然非常重要，但是对于实现这一目标的具体手段来说，采用基本权利模式并不意味着一定要把个人信息权写人现行宪法。在这方面，美国的个人信息权保护模式是典型代表。宪法确认是基本权利模式的重要手段之一，但是在宪法确认并不完善的情况下，通过系统的立法也能有效实现个人信息权的宪法保护。因此，只要我国能够系统地构筑个人信息保护立法，也能起到保障基本权利的客观效果。从这个角度来说，民法学者以我国违宪审查机制尚不完善为由，主张采纳非基本权利模式的看法无论是在理论还是在现实意义上都站不住脚。当然从长远来看，如果我们的违宪审查制度能够完善起来，那么通过宪法解释确认个人信息权的基本权利地位依然是基本权利模式的重要目标。甚至当信息社会高度发达之后，我们也终于认识到个人信息权对于人之存在的重要性，再通过修宪将独立的个人信息权明确写人宪法也不是没有可能：

4.采纳基本权利模式并不意味着要推翻现有立法，新的立法完全可以与现有的立法相兼容。以基本权利模式为主导的系统立法并不意味着要推倒重来，采取基本权利模式也并不意味着要否定安全思维和民法思维：恰恰相反，基本权利模式完全可以吸纳安全思维和民法思维，从而在现有立法的基础上进一步推进个人信息保护立法工作。其实，现代个人信息保护法有相当程度的趋同性，很多基本原则和手段都是相通的。就拿我们现有的立法来说，其中的绝大多数的原则和条款实际上也是借鉴了基本权利模式主导下的域外立法，不同之处只在于立法目的、适用范围、立法体例、实施机制、完善程度等方面。因此，当我们转变立法模式，从保障基本权利出发来系统构筑个人信息保护法的时候，现有的这些原则和条款，只要是不与基本权利保障理念相冲突，都可以直接吸收到新的个人信息保护法当中去。

五、系统推进个人信息保护立法的具体措施

厘清了上述理论问题，就可以讨论我国如何借鉴基本权利模式，具体构建个人信息保护制度。在信息人时代，这是一项复杂的系统工程。首先，正如大多数学者建议的那样，我们需要制定一部综合性的个人信息保护法。这是系统构建个人信息保护制度的基础。其次，有了综合性立法就可以起到示范效应，将个人信息权保障理念系统地贯彻到综合性立法无法覆盖的一些特殊领域当中。

（一）制定完善的个人信息保护法

由于现代个人信息保护制度极其复杂且高度专业化，因此制定一部完善的个人信息保护法势在必行。在立法理念上，综合立法可以专家建议稿为基础，同时吸纳并借鉴域外立法的最新经验。当然，在具体制度方面也需要依据中国社会的现实和时代发展，做出必要的调适。限于篇幅，本文无法详细探讨该法的具体制度，在此仅就以下两点大方向提出建议：

1.立足中国现实，采取更加灵活的立法策略：作为我国第一部专门的个人信息保护法，其最重要的功能就是为全社会树立一个制度标杆，因此在具体制度上无需一步到位；在立法策略上应当符合我国现实国情，做到更加灵活。比如在立法体例上，并不一定要强求“公私合一”，而可以先就问题最为突出的一些公务领域制定综合立法：在执法机制方面，我们完全可以进一步完善目前的“国网办领导制”。但需注意两点：（1）要进一步完善国网办的组织机构和职责功能，提升其在政府组织机构中的地位；理顺它与中央网信办之间的党政关系，处理好它与工信部、公安机关之间的外部职能分工关系。（2）将个人信息保护与意识形态管理功能做适当的区分，以免造成执法动力不足的问题。

2.在具体的制度构建上要与时俱进，适应现代互联网和信息技术的变化：2005年的专家建议稿受上世纪90年代的欧盟立法影响较大，那时包括社交网络、大数据、云计算等在内的现代移动互联网都还没有出现。[53]为了应对这些新兴的互联网技术，相关立法自然需要与时俱进。其中，尤其需要重视的是各类公私主体所主导的个人信息大数据的归集与使用。私人主体主导的个人信息大数据归集和使用在去身份化、大数据融合、数据挖掘、数字画像、信息传递和买卖等领域充满了大量的灰色地带，成为个人信息泄露和滥用的温床。由各地方政府建设的“公共信用信息归集系统”实际上混淆了作为市场交易功能的个人信用与具有公共管理职能的行政处罚、奖励，并存在归集信息范围过广，公权力主体的使用限制太少，信用评价体系道德泛化，利益捆绑过多等问题。对此，个人信息保护法也应当考虑规制这类大数据的归集和使用，明确公共信用信息的市场经济功能，限制对公民的道德操守和隐私信息的收集，减少非市场性质的利益捆绑。

（二）在特别领域系统贯彻个人信息权保护理念

综合立法并非基本权利模式的完结，实际上它仅仅是个人信息保护制度的基础。真正要有效应对各种复杂的个人信息权波及效应，平衡其中的法权结构，还需要在一些综合立法无法覆盖的特别领域当中，依据比例原则贯彻个人信息权保护理念，分别构建合理的个人信息保护制度。当然，这也是一个非常复杂的问题，本文仅就上文讨论过的一些突出问题提出建议。

1.以消除“黑户”为契机，推动建立符合宪法精神的公民身份统一登记制度。党中央和国务院将“黑户”问题提高到事关公民基本权利保障的高度，这本身就是一个推动个人身份信息保障制度的良好契机。但是，仅仅通过国务院的意见很难避免各种改头换面的公民资格许可制。尤其是考虑到户籍信息使用尚缺乏切实的限制性规范，许多父母仍然害怕一旦给超生子女上了户口，计生部门就对他们征收社会抚养费：考虑到我国即将进入老龄化社会，人口红利正在逐步消失，十八届五中全会又作出了“全面放开二孩”的决定：国务院及其下属主管部门完全可以出台一个办法，规定在一个时间段之前所有的超生人员，只要上户口一律免除处罚。[54]

从宪法的角度来说，对于事关公民基本权利的事务，消除“黑户”仅仅是建立公民身份统一登记制度的第一步。严格来说，我国现有的“居民身份证”与户籍登记制度并不是公民身份统一登记制度。“居民”本身就是一个充满地方和差别色彩的主体概念，再加上户籍制度所捆绑的各种地方性福利和利益，更是为地方公权力干扰和绑架户籍制度增加了砝码。只有“公民”才是一个超越地方性的平等主体概念，因此从长远来看，还应该考虑进一步推动户籍制度改革，依据宪法和国籍法制定《公民身份登记法》，将“公民身份证”从户籍制度当中独立出来，建立真正的公民资格身份统一登记制度，彻底改变公民资格的地方许可制，从根本上杜绝“黑户”现象的产生。

2.转变公民基本身份信息使用理念，通过细化实名制来遏制公民基本身份信息的滥用和泄露。自建国以来，我们的公民基本身份信息使用制度一直是主要以管制为目标，如流动人口管理、维护治安、打击犯罪等，真正基于公共服务的个人基本身份信息使用制度供给严重不足：随着现代经济和社会生活的发展，加之近年来实名制的大力推广，各类公私社会主体对于公民基本身份信息的使用需求越发强烈。旧有的管理体制并没有跟上社会发展，加之个人信息保护措施不完善，于是就出现了，一方面很多有法律规定的实名制有名无实，另一方面少数户政管理干警违法使用和泄漏公民身份信息的乱象。

针对这种情况，应当以公民身份统一登记制度为基础，更加合理地配置个人基本身份信息管理权力，加强公民基本身份信息管理的公共服务功能。对于法定的实名制，应当开放并完善配套的个人信息保护与公民身份核查机制；同时严格限制没有法律依据的实名制，从源头解决个人信息滥用和泄露问题。对于有法律依据的实名制，还应当进一步细化相关制度规范，如可将管理重点放在金融等重点监管领域，在互联网领域可重点规制用户数量达到一定级别的大型互联网公司：

3.进一步完善刑事诉讼法，建立个人信息权的底线保障制度。为了打击犯罪、维护社会秩序和国家安全，个人信息权在刑事诉讼程序中往往需要受到较大幅度的限制，但是这种限制也要符合比例原则，要有底线：以网上追逃为例，这一侦查手段对公民的人身权利影响巨大，但其制度依据只有规章和规范性文件，这不符合法律保留原则。对此，既可以通过修正案的形式，进一步完善已有的通缉制度，也可以考虑制定专门的“网络通缉”单行法律。

在此基础上，还应当在通缉和各类刑事强制措施中建立必要的身份核查程序和合理的责任标准，防止因为身份冒用和欺诈造成的错误的通缉、拘留和逮捕。要避免这类错误其实不难，真正难的是避免因为技术和管理漏洞所造成的系统性错误。因此，应当合理划分执法人员的责任。既要尽可能地避免错误的通缉、拘留和逮捕，也要避免增加不合理的司法责任。比如在美国，如果警察已经履行了必要的程序，只是因为非故意的记录错误导致逮捕中的误认，警方不承担责任，也不适用证据排除规则。[55]与此密切联系的还有元数据收集与大数据技术侦查问题。我们不仅需要警惕其他国家利用这些手段危害我们的国家安全，也需要注意在我们自己使用这些手段的吋候，能够吸取其他国家的教训，从平衡保障公民隐私权的角度构筑更加精细的刑事司法制度。

4.构建警务应用信息系统的信息质量保障制度和监督机制，减少系统性误认，杜绝公私合谋的身份冒用与欺诈。由于警务工作的特殊性，很多国家都将其排除在个人信息保护法的适用范围之外。这便带来了一个十分普遍且棘手的问题——警务应用信息系统中的各种个人信息错误。[56]对于我们国家来说，警务应用信息系统不仅覆盖了各种为打击犯罪和维护治安而建立的个人信息系统，而且涵盖了身份证、户籍、交通等基础身份信息系统，因此保证这些信息系统中的个人信息准确、及时便非常重要。现有的《公安信息化数据质量管理规范》虽然全面，但是并没有强制力。为此应当考虑将这些非强制性的技术性规范提升为强制性的部门规章，并且通过不定期的执法检查，及时发现制度或技术上的漏洞。

与此相类似，针对近年暴露的身份冒用、身份欺诈等户政管理乱象，也应当将不定期开展的专项清理行动日常化、制度化，[57]在信息收集、核实、验证、查验等各个环节设立制度化的数据质量保障机制和责任体系，进一步完善公安机关内部的信息质量管理责任和机制：同时，还应当建立更加入性化的信息更正渠道和程序，避免由于信息更正不及时造成的二次侵害：此外，仅仅依靠公安机关的自律显然是不够的。为了保证信息质量制度的实效，杜绝公私合谋的身份欺诈和身份冒用行为，可以考虑加强检察机关的监督作用并辅以合理的国家赔偿责任：

5.严格禁止于法无据的负面信息标注或系统建设，构建合理的负面个人信息第三方披露、查询和使用制度。在前信息时代，我们就有过不少类似的教训，很多公民因为人事档案中记录的出身或者“黑材料”而遭受长期的歧视和不公：近年来，各类行政管理领域的“黑名单”制度不断涌现，但真正符合法治要求的并不多。[58]为此，应当严格禁止各种有损公民人格尊严或没有法律依据的负面信息标注。尤其是建立大型的或专门针对某一类公民的负面信息应用系统，应当严格遵守法律保留原则。

对于那些合法合理收集的公民负面信息及其应用系统，则应在平衡基本权利与公共利益的基础上，构建符合现代经济和社会生活需求的信息披露、查询和使用制度，并完善配套的信息更改、删除和权利救济机制。以犯罪记录查询制度为例，在面向私人主体查询和披露方面，我国现有的制度不够开放。这既容易导致犯罪记录的违规查询，也可能无法防止一些恶性犯罪的发生。而在公权力主体查询犯罪记录方面，则存在个人权利保障不足的问题。为此，应当限制查询主体、设定轻罪记录查询期限、完善未成年人犯罪记录查询限制程序、明确管理人员的违规责任。[59]

6.只有全面有效实施宪法各项基本权利条款才能协调好个人信息权与其他基本权利之间的关系。比如，很多国家和地区在制定个人信息保护法时都会因为个人信息权与新闻自由之间的冲突引发巨大争议。[60]在我国，这类问题似乎尚未显现，这并不是因为我们已经处理好这类争议。恰恰相反，这种现象表明我国宪法所保障的新闻自由还没有完全落实，相关的保障制度还很不完善，本应该发生的权利与权利之间的冲突根本没有发生的社会基础和条件。

与此相类似的还有“以房查人”引起的争议。这种诉求看似合理，但它违背了个人信息保护的基本原则，即目的限制原则。没有法律的明确授权，以不动产统一管理和登记为目的而收集上来的个人信息怎么可以用于反腐败呢？然而，如果我们的新闻媒体足够强大，专业化的舆论监督能够切实发挥作用；如果我们的知情权能够得到有效的保障，国家能够下决心建立完善的官员财产公开制度，人民群众也不会舍近求远，冒着巨大的个人风险在网上曝光“房叔”、“房姐”，更不会寄希望于扭曲不动产统一登记的制度功能来实现“以房查人”。总之，只有与个人信息权密切相关的基本权利保障制度日臻完善，才有可能真正理顺个人信息权与其他基本权利之间的关系。

六、结语

在信息人的时代，科学技术与公权力的结合既为社会创造了巨大的价值，同时也给我们的基本权利保障带来了挑战。为了应对挑战，我国的立法机关和各主管部门已经开始积极采取措施，回应民众对个人信息保护制度日益增长的需求。但是，在安全思维和民法思维的主导下，个人信息权仅仅被视为公民的一般权益或安全价值的附庸，相关立法也就无法真正全面地保障公民基本权利。惟有转变现有的立法思维，采纳基本权利模式系统构筑我国的个人信息权保护制度，妥善处理好个人信息权保护与安全价值之间的关系，才有可能让科学技术助力公权力最大限度地促进入民的福祉。
 
 
 
 
注释:
本文系2014年度国家社会科学基金重大项目“人民代表大会制度理论创新研究”（项目号：14ZDA014）的阶段性成果。
[1]对于这种权利，世界各地所采用的名称不尽相同，如欧洲使用“个人信息保护”（Data Protection），美国用“信息隐私权”（Right to Information Privacy），南美洲则称其为“信息保护令”（Habeas Data）等，但其内涵没有太大的实质区别。参见孙平：《政府巨型数据库时代的公民隐私权保护》，《法学》2007年第7期。
[2]参见屠振宇：《宪法隐私权研究》，法律出版社2008年版，第176～187页；王秀哲：《我国隐私权的宪法保护研究》，法律出版社2011年版，第38～46页。
[3]参见姚岳绒：《宪法视野中的个人信息保护问题》，法律出版社2012年版，第117-148页。
[4] See Lee A. Bygrave, Privacy and Data Protection in an International Perspective, Scandinavian Studies in Law, Vol.56,2010, pp.180-194.
[5] Article 8, the Charter of Fundamental Rights of the European Union; Article 16, the Treaty on the Functioning of the European Union; Recitals, Para.1，Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data （General Data Protection Regulation）,2012/0011（COD）.
[6]据统计，截止到2015年1月，全世界已经有109个国家和地区制定了个人信息保护法。See Graham Greenleaf, Global Data Privacy Laws 2015:109 Countries, with European Laws Now a Minority,133 Privacy Laws & Business International Report, February 2015.
[7]参见万海远：《中国“黑户”调查》,《东方早报》2015年3月24日第4版。
[8]参见王彦学：《论网上通缉误认》，《中国人民公安大学学报（社会科学版）》2010年第6期。
[9]2010年7月，因身份证被他人冒用，在广东陆丰工作的林贝欣被浙江义乌警方错误地网上通缉和拘捕。参见林世宁、资勇庭：《“匪首”林贝欣洗冤回家》，《羊城晚报》2010年7月28日第A1版。
[10]参见辰光、蒋举：《辽宁警方错发通缉令抓错人》，《法制晚报》2013年12月23日第A26版。
[11]2010年9月，郑州市民袁某因为被误列为“高危上访人员”，常常一用身份证便会被警方带走盘查。参见李政：《他只要一用身份证警察就会“从天而降”》，《河南商报》2010年9月14日第A19版。
[12]2002年，浙江宁波一青年被看守所错误录入犯罪前科信息系统，此后他找工作处处碰壁。参见王俊秀：《看守所张冠李戴宁波一青年被错记“前科”9年》，《中国青年报》2011年2月16日第3版。
[13]参见中国人民银行：《银行业金融机构联网核查公民身份信息业务处理规定（试行）》（2007年5月21日）；中国人民银行、公安部（银发[2007]345号）：《关于切实做好联网核查公民身份信息有关工作的通知》（2007年9月11日）。
[14]参见李克强：《2015年政府工作报告》，http://www.people.com.cn/n/2015/0305/c347407-26643598.html,2016年3月5日访问。
[15]参见励漪：《上海信用平台日前运行，3亿条信息可供查询》,《人民日报》2014年5月8日第3版；包凌雁：《市公共信用信息平台今日上线》，《宁波日报》2016年1月1日第A2版；梅璎迪：《江苏建成个人信用数据库》,《新民晚报》2016年1月12日第A14版；等等。
[16]参见《信用评级不能损害居民基本权利》，《新京报》2014年6月20日第A02版。
[17]参见黄顺：《8万“治安高危人员”被清出深圳》，《深圳商报》2011年4月11日第A05版。
[18]See Hamish Barwick, The “Four Vs” of Big Data. Implementing Information Infrastructure Symposium, http://www.computerworld.com.au/article/396198/iiis_four_vs_big_datay,2016年3月5日访问。
[19]1990年，陈晓琪在其父亲的策划下，串通其就读的中学以及当地教委，冒用了齐玉苓的身份就读高校并参加工作，参见尚迪：《真假齐玉苓》，《河南法制报》2014年12月4日第9版。
[20]从2004年开始罗彩霞被其同班同学冒用身份读大学和参加工作，在该事件的处理过程中，多名公职人员被查处。参见洪克非：《罗彩霞事件3名涉案人员被查处》，《中国青年报》2009年6月3日第7版。
[21]参见黄伟、穗纪宣：《广州纪委房婶”被冤枉》，《南方日报》2012年12月21日A12版；黄伟：《被问责者不是举报人报料者》，《南方日报》2012年12月24日A07版。
[22]参见王逸吟、殷泓：《〈决定〉的出台不影响网络反腐——三部门负责人就加强网络信息保护立法答记者问》，《光明日报》2012年12月29日第2版：
[23]2013年1月，神木县农村商业银行副行长龚爱爱被曝在陕西和北京拥有多个户口和价值超过10多亿的多处房产：参见怀若谷：《房姐龚爱爱案二审维持原判》，《京华时报》2013年11月1日第A21版。
[24]See Viktor Mayer-Sch?nberger, Beyond Privacy, Beyond Rights Toward a “Systems” Theory of Information Governance, California Law Review, Vol.98,2010, pp.1882-1884.
[25]美国联邦最高法院虽然承认了信息隐私利益的宪法地位，但一直不肯正面加以阐述。See Whalen v Roe,429 U. S.589,599-600（1977）; NASA v. Nelson,131 S. Ct.746,760（2011）.
[26]See Daniel Solove & Marc Rotenberg, Information Privacy Law, New York: Aspen Publishers,2003, pp.24-31,43-45,48-49.
[27]See Graham Greenleaf, The Influence of European Data Privacy Standards Outside Europe: Implications for Globalization of Convention 108, International Data Privacy Law, Vol.2, No.2,2012, pp.74-77.
[28]同前注[6]，Graham Greenleaf文。
[29] See Graham Greenleaf. Asian Data Privacy Laws: Trade and Human Rights Perspectives, Oxford: Oxford University Press,2014, pp.409,292,330.
[30]Priscilla M. Regan, Legislating Privacy: Technology, Social Values, and Public Policy, Chapel Hill and London: the University of North Carolina Press,1995, p.221.
[31]童之伟：《法权中心的猜想与证明》,《中国法学》2001年第6期。
[32]参见周汉华：《域外个人数据保护法汇编》，法律出版社2006年版，第10～34页。
[33]同上注。
[34]仅在2012年2月到2013年2月间，公安部就开展了3次打击侵害公民个人信息犯罪的专项行动，破获相关案件4382起，查获被盗取的各类公民个人信息近50亿条，打掉利用非法获取的公民信息实施犯罪的团伙985个。参见何春中：《为何会有大量公民个人信息泄露》，《中国青年报》2013年6月20日第11版。
[35]刘鹤：《在“全国电子政务建设地方工作座谈会”上的讲话》（2002年9月24日），http://www.pds.gov.cn/sofpro/cms/previewjspfile/zwgk/cms_0000000000000000017_tpl.jsp?requestCode=15922&CategoryID=61,2016年2月4日访问。
[36]周汉华：《中华人民共和国个人信息保护法（专家建议稿）及立法研究报告》，法律出版社2006年版，第104页。
[37]See Graham Greenleaf, China’s Proposed Personal Information Protection Act, Published in （2008） Privacy Laws & Business International Newsletter Issues 91 and 92.
[38]参见向楠：《公民信息泄露猖獗94.5%的人呼吁出台个人信息保护法》，《中国青年报》2011年12月1日第7版。
[39]工业和信息化部：《互联网行业“十二五”发展规划》，http://www.miit.gov.cn/n11293472/n11293832/n11293907/nll368223/14578923.html,2016年3月5日访问。
[40]指2010年国庆前后，奇虎360与腾讯QQ互指对方窃取用户隐私所发生的争议事件。参见陈静：《工信部通报批评腾讯与360》，《中国证券报》2010年11月22日第A07版。
[41]2011年末，由CSDN网站600万用户信息泄密引发了中国互联网有史以来波及面最广、规模最大的泄密事件。参见谢晓萍：《“泄密”之秘中国互联网最大规模用户资料泄露事件始末调查》，《每日经济新闻》2012年1月5日第5版。
[42]参见郑成思：《计算机、软件与数据的法律保护》，法律出版社1987年版，第92、102、133页；张新宝：《隐私权的法律保护》，群众出版社1997年版，第145-165页。
[43]参见王利明：《论个人信息权在人格权法中的地位》，《苏州大学学报（哲学社会科学版）》2012年第6期；王利明：《论个人信息权的法律保护》,《现代法学》2013年第4期。
[44]参见王利明主编：《中国民法典草案建议稿及说明》，中国法制出版社2004年版，第53页。
[45]参见张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，《中国法学》2015年第3期。
[46]吴邦国：《全国人民代表大会常务委员会工作报告——2013年3月8日在第十二届全国人民代表大会第一次会议上》，《人民日报》2013年3月21日第1版。
[47]郎胜：《关于（中华人民共和国网络安全法（草案）〉的说明》，《中国信息安全》2015年第8期。
[48]参见周永坤：《网络实名制立法评析》，《暨南学报（哲学社会科学版）》2013年第2期。
[49]参见王峰：《艰难维权：五起个人信息泄露案件分析》,《21世纪经济报道》2015年1月19日第2版。
[50]参见国务院办公厅（国办发〔2015〕96号）:《关于解决无户口人员登记户口问题的意见》（2015年12月31日）。
[51]邹伟、罗沙：《公安部出台28项便民措施》，《人民日报》2016年2月13日第2版。
[52]同前注[36]，周汉华书，第68页。
[53]See Omer Tene, Privacy: The New Generations, International Data Privacy Law, Vol.1, No.1,2011, pp.16-25.
[54]参见杨涛：《解决“黑户”问题，不妨豁免超生》，《今晚报》2015年11月25日第12版。
[55]See Herring v. United States,555 U. S.135（2009）.
[56]美国也存在类似问题See Alex R. Hess Herring v. United States: Are Errors in Government Databases Preventing Defendants from Receiving Fair Trials?，Journal of High Technology Law, Vol.11，No.1,2010, pp.135-140.
[57]刘子阳：《全国户口清理整顿取得明显成效明年实现户口和公民身份号码唯一性》,《法制日报》2015年3月26日第1版。
[58]参见胡建森：《“黑名单”不能黑列》，《北京日报》2016年2月1日第14版。
[59]参见高一飞、高建：《中国犯罪记录查询制度的改革和发展》，《中国刑事法杂志》2013年第5期。
[60]参见林素凤：《日本现行个人资讯保护法制初探》，《中央警大法学论集》2005年第10期；李飞：《台湾“个人资料保护法”的变迁、问题及其启示意义》，《厦门大学法律评论》（总第二十辑），厦门大学出版社2012年9月版。
 
 
作者简介：孙平，华东政法大学科学研究院助理研究员，法学博士。