刍议个人信息权的界定与法律保护

在信息时代，信息作为一种最有价值的权利资源，其有序流动对于社会发展具有基础性意义。正是基于信息资源的这种战略性地位，各种主体都会采取不同手段极力争夺信息权利优势，并可能导致权利失衡和秩序紊乱。由此，信息权利资源如何公平分配、如何有序流通就成为构建信息和谐社会的一个关键。法律作为一种有效的权利资源分配方式，其先天具有的规范性、普适性和强制性可以有效化解因为信息资源分配不公产生的种种纠纷，从而实现信息资源流通与共享的有序、和谐、公平，为信息社会下的和谐创造必要条件。但是，面对浩瀚的信息资源和复杂的信息生产、掌握、提供主体，法律很难采用一种规则就能达到善治目的。从整体上，信息可分为政府信息和个人信息两大类。政府信息作为一种重要的国家资源，应属于公共所有，出于公共利益的考虑，应当更加强调公开，使其在尽可能大的范围内为更多的人所利用；而对于个人信息，在本质上是公民的私人权利资源，立法应该给予更多的保护和尊重。尽管个人信息在现代社会扮演了越来越重要的角色，但是从我国现阶段公众对于个人信息的认识以及法律保护的现状来看，个人信息还没有上升为一种法律确定的权利得到公众的普遍尊重和保护。在生活当中，个人信息被侵害或是滥用的现象屡见不鲜，而因个人信息泄露而可能导致的问题主要有两大类：其一，个人信息商品化后，导致人们经常受到各种骚扰，比如：各种形式骚扰电话、垃圾广告、垃圾邮件等等；其二，个人信息的泄露为刑事犯罪提供了土壤。如媒体最近报道，家住某市的王先生一天回家后发现，家中被洗劫一空。细心的王先生看到，家中的来电显示上有一个陌生号码，当回拨过去时，发现是空号。据介绍，不少小偷获得了他人的信息后，通过拨打电话，先确定被害人家中是否有人，然后进行盗窃活动。同时，目前许多绑架案也和个人信息的泄露有关。因此，立法保护个人信息，其重要的价值在于它突出了公民的信息自由权，凸显出和谐社会以人为本的理念。所以，有关部门启动个人信息保护法的立法程序，值得我们期待。从价值层面看，立法保护个人信息，回应了构建和谐社会的价值诉求：尊重公民权利、体现以人为本。更为重要的是立法保护个人信息，突出了公民的信息自由权，凸显出法制社会的人权理念，而保护个人信息也是法治社会的基本诉求。另外，对公民的个人信息进行法律保护，其实质是在确保国家和公共利益的原则下，赋予公民对个人信息传播的控制权。这对于改进和完善我国政府信息公开的法律环境，推进民主与法制建设，保护公民的切身利益，都具有重要的现实意义。1个人信息权的界定1.1个人信息权的概念个人信息权，是本人对其个人信息支配、控制并排除他人侵害的权利。法律保护个人信息权的最终目的在于保护自然人的个人信息权，个人信息权是个人信息保护的法律基础，具体应当包括以下内容：（一） 决定权自然人决定其个人信息是否被收集、处理与利用的权利（但不能对抗公共利益的必须）,反映了个人信息权的人格权属性一一绝对性与支配性，在个人信息权中处于核心地位。（二） 保密权自然人请求信息处理主体保持信息隐密性的权利。（三） 知情权自然人查询个人信息以及有关的处理情况,并要求答复的权利。了解哪些个人信息被收集、处理与利用的情况，在此过程中信息是否被保持完整、正确，除非因公益或保密的需要，任何机关不得任意剥夺。（四） 请求更正权自然人请求信息处理主体对不正确、不全面的个人信息进行更正的权利。（五） 信息封锁权法定的事由出现时，自然人请求信息处理主体以一定的方式暂停信息的处理的权利。在没有通知当事人并获得其书面同意之前，信息处理主体不可以将个人为某种目的收集的信息用在另一个目的上。（六） 删除权法定或约定的事由出现时，自然人可以要求信息处理主体删除其个人信息的权利。（七） 报酬请求权自然人因其个人信息被商业化利用而向信息处理主体请求支付对价的权利。1.1.1个人信息权的主体个人信息权的主体，是个人信息权利的行使者。个人信息权作为民事权利内容之一，其权利主体也应当是适格的民事主体。但是，由于其本身所具有的特殊性，其权利主体的范围也不等同于一般的民事主体范围。个人信息权的主体只包含自然人，法人，个体经营户等其他民事主体并不能构成个人信息权的主体。首先，个人信息权，是本人对其个人信息支配、控制并排除他人侵害的权利。个人信息是基于人格所产生的，这就排除了其他不具有人格权利的民事主体对个人信息权的享有。那么法人作为一种法律拟制人格的民事主体是否也享有这项权利呢？从挪威，卢森堡等国的立法现状上，我们可以发现，法人作为个人信息权的主体这一观点确实被一部分人接受并采纳，法人信息与个人信息的一并保护，可以维护法人的一般人格权，防止竞争对于掌握法人的营业资料。但是如果我们严格从法人产生的目的以及私法对权利保护的倾向性上来看，法人作为个人信息权的主体未免有些不合适宜。法人人格“不过是对自然人人格在私法主体意义上的模仿，是一种纯粹法律抽象技术的产物。法人是一种无伦理性的人格，取向于目的论的考量，私法必须正视这种区别，才能正确判断。法人不过是私法上人格话的财产。”[1]“基于法人主题资格产生的名称权、名誉权等，本质上只能是财产权。”⑵因此，侵犯法人的信息只能导致法人财产利益的损失，而不会造成其人格的贬损和精神伤害。而个人信息权利的保护目的就在于保护信息主体人格的独立与自由，使其免受精神上的痛苦。其次，法人的信息已经由想光的法律予以调整。从立法资源的有效利用以及个人信息与法人信息价值与功用的不同，个人信息与法人信息应当由不同的法律分别保护。从世界范围国家个人信息法的立法模式来看，大部分国家都将法人信息排除在范围之外，而由其他的法律予以保护。1.1.2个人信息权的客体个人信息权的客体即是个人信息。尽管从学界以及立法的现状我们可以很清楚的知道个人信息权的概念和权利内容，但是在对个人信息的权利客体的认识上，可谓是百家争鸣、众说纷坛。首先从称谓上，各国的立法就不统一。从1968年联合国“国际人权会议”提出的“资料保护"（DATAPROTECTION），到最早的国内个人信息保护法德国黑森林州的《个人资料保护法》（1970年），再到后来的首部国家个人信息保护立法瑞典《资料法》（1973年），以及美国的《隐私权法》、德国的《防止个人资料处理滥用法》、法国的《资料保护法》等等，各国对于个人信息的认识表现了相当的意见不统一。而在我国，亦有“个人隐私”、“个人信息”、“个人资料”等争论。笔者认为，“个人信息”更能反映对这一权利客体内涵与外延的概括。从概念上看，个人信息的内涵十分丰富，包括个人的自然情况、社会背景、思想观念、生活经历与习惯等诸多方面的内容。然而，并非一切与个人有关的信息都可以称之为个人信息，所谓的个人信息应具有以下两个基本特征：第一，个人信息为本人所有。每个人对自己的个人信息享有控制、支配权，他人仅在征得本人同意的情形下享有一定程度的使用权。个人信息仅指向个人，公司、企业或非法人组织不能直接生产出个人信息，不能作为个人信息的所有者控制、支配个人信息的流动，对于个人信息的搜集、使用、传输或披露没有选择权。第二，个人信息与特定的个人有关，假如指向不特定个人，则不能称为个人信息。个人信息必须是具有可识别性的有关个人身份、特性或活动的信息。可识别性是指通过资料中所反应的各种信息加上人们的判断就可以确定这些资料是有关某个人的，或者说通过资料中的信息可以确认特定个人的身份。可识别性是个人信息最重要的特征。以能否直接识别特定个人为标准，我们可以把个人信息分为两类，一类是可单独识别特定个人的信息，如姓名、住址、身份证件号码、肖像、指纹、医疗病历等;一类是不能单独识别出特定的个人，但与其他资料结合起来可以识别个人身份的信息，如身高、血型、出生日期、性格、爱好、生活习惯、学术观点、宗教信仰等。就后一类个人信息而言，仅拥有这些信息无法识别特定个人的身份，但通过与其他资料的组合分析，就可以勾勒出特定个人的某种形象，满足信息使用者的需求。由于这类信息的使用对获得这一形象、实现信息使用者的目的是必要的，因而这类信息同样属于应受保护的个人信息。相反的，如果说单纯的获取的这一类信息在使用者使用上不能具体的识别出体的特定形象，那么这类信息对于个人来讲，就不能够充分的做为被信息滥用和侵害的特定对象，因而这类信息不在个人信息保护的范围之内。1.1.3个人信息与隐私个人信息与隐私之间的关系，应当说也是个人信息权利客体的内容。前文我们在列举各国立法的时候，个人信息与个人隐私可以说是作为平等的概念提出的。但是依笔者看来，两者之间的差别，却正是有关个人信息权利客体之争的源头。我们首先来研究一下隐私权的发展史，隐私权的概念来源于美国，早在1890年，隐私权由沃伦及布兰代斯提出，就不断的被众多的法院判例支持。之后截止至1993年，在美国49个州及哥伦比亚特区，隐私权要么在普通法上要么在法规上得到认可，或者两者都予以承认。隐私权在美国法律上包括三个层面，一为习惯法上的隐私权；二为宪法上的隐私权；三为联邦法律上的隐私权。I960年经威廉•普雷瑟（WilliamL.Prosser）加以归纳为四项隐私侵权行为：（1）侵犯他人私生活的安宁；（2）宣扬他人的私生活秘密；（3）置人于遭公众误解的境地；（4）利用他人特点作商业广告[3]宪法上的隐私权主要保护个人免受来自政府机构的侵扰。联邦法律上的隐私权是指美国国会为防止社会上所普遍关切的隐私权被侵犯，针对日趋严重的电子监听、政府电子化处理个人资料、个人征信及财务资料的保密等问题进行立法保护与救济。依据上述内容，我们可以看出，联邦法律上的“隐私权”更为接近于“个人信息”的范畴。而在理论界，隐私权也存在着狭义与广义的划分。狭义的隐私权主张隐私权是一种单一性的权利概念，应该只包含与个人敏感信息相关的资讯或者只包括个人不受干扰的空间等内容，并且认为如果隐私权的概念过于庞杂，将导致隐私权本身意义的模糊甚至扭曲。而广义的隐私权，实际主张隐私权是多种权利概念的集合，只要是与私人领域自由有关的，都可以涵盖入隐私权领域。显然，个人信息的内容不能与狭义的隐私内容等同，而与广义的隐私趋同。综上内容，广义的隐私权与个人信息权可以作为等同的概念使用，但是如果将个人信息权等同于狭义的趋向于“阴私”的隐私权，则显然太过牵强，而至于那些提出狭义的“个人信息权”概念，然后又将其列入广义的“隐私权”概念的学者，笔者认为其缺乏对于个人信息权提出目的性和个人信息保护范围上深入理解和研究。1.2 个人信息权的性质学界对于个人信息权的性质的争论是有关个人信息权的另外一个争论焦点。具体起来有“所有权说”、“隐私权说”、“复合权说”和“人格权说”。“所有权说”认为个人信息是一种财产利益,个人信息权的保护应当采取所有权的保护模式。“在市场经济条件下，个人信息采集者将成千上万的个人信息采集起来的目的并不是了解个体，而是要把整个具有某种共同特征的主体的个人资料按一定的方式组成资料库，以该资料库所反映的某种群体的共同性来满足其自身或其他资料库使用的需要”，并且“对于资料采集者来说,获得个人资料不是目的，而是一种手段，是建立和扩展财源的一种途径。”并由此得出结论：“所有人均享有对个人资料的占有、使用、收益、处分权”；并认为“个人资料的所有者是该资料的生成个体，无论他人对个人资料的获取方式与知悉程度如何，都不能改变个人资料的所有权归属。” [4]“隐私权说”认为个人信息是一种隐私利益，个人信息权的保护应当采取隐私权的保护模式。这种学说起源于美国，我国台湾也有学者认为保护个人信息权的目的就是在保护个人隐私。如前所述，从个人信息与个人隐私的区别来看，这种主张缩小了个人信息权的保护范围。“复合权说”认为个人信息权是一种新型的独立的权利,不能归属于人格权。认为“个人信息权在很多情况下都表现为个人对个人信息的自由支配和控制的积极性权利”，“人格权一般表现为消极的不受侵害的权利，相对人仅在法律规定的范围内负有不为一定的行为的义务”；并且“人格权是与人身不可分割的权利，不能转让、不能作为交易的客体，而个人信息权的一个显著特征就是个人信息能够作为商业交易的对象，而且在市场经济条件下，个人信息的商业运用将成为个人信息权的主要实现途径”；并且认为“人格权的保护通常采用事后救济的方式实现，而个人信息权利保护采用事前防范和事后救济相结合的方式达到的"'[5]“人格权说”认为个人信息是以人格形成和发展的资料数据，所体现的是自然人的人格利益，个人信息的收集、处理或利用直接关系到信息主体的人格尊严。“人格权说”以德国和法国为代表。德国在1990年修改后的《个人资料保护法》第一章《一般条款》第1条规定：“该法的目的是为了保护个人人格在个人资料处理时免受侵害。”笔者赞同“复合权说”，个人信息权是一种新型的、独立的民事权利，兼具人格权和财产权的双重属性。首先，具有财产利益并不是所有权的充分条件。个人信息具有财产利益,不能因此认定个人信息就是财产。人格权同样具有财产利益，如肖像权、隐私权等；其次，人格权是民事主体专属享有，为维护起独立人格所必须的权利，以人格利益为客体。而个人信息权是自然人固有、专属享有的，所体现的人格利益表现在自然人对其个人信息的支配、控制、利用以及通过对其个人信息的有效控制保持的安宁与内心世界的宁静。同时，经济学家波斯纳认为，财产权必须符合三个方面的特征，即普遍性、排他性和可转让性。个人信息权的财产属性则完全符合这样的要求。因此，个人信息权是一种新型的、独立的民事权利。2个人信息权的法律保护2.1个人信息权的法律保护目的和意义尽管理论界对于个人信息权争论不休，但是个人信息权作为一项切实需要护的权利纳入立法要求当中确是一个不可逆转的趋势。目前，人类正经历着以信息高速公路为基础，以数字式技术、网络技术和多媒体技术为代表的第五次信息技术革命，信息的收集、处理、存储、利用、传递方式正在发生前所未有的变革，结果是信息的高速流动和信息在数量上的急剧膨胀。随之而来的结果是，各种信息在传输过程中被任意拦截、篡改和滥用的机会也大大增加，相对弱小的个人信息更处于难以估量的危险境地之中，稍不留神就可能泄露给第三方，成为某些人实施报复、盗窃、推销或进行监视的工具。与此同时，随着信息技术的市场化，商业经营与信息技术的互动发展正把这种危险无限扩大，个人信息本身已经成为市场上的交易对象。有一些网站专门从事个人信息的交易活动，任何人只要花一点钱就可以得到某人的电话号码、出生日期或者近十年内的住址，甚至可以访问他的银行档案、了解他有多少海外帐号。个人信息的非法搜集、个人信息二次开发、个人信息交易已经成为网上个人信息安全的最大障碍。自主性是西方社会很早就确立的一个基本价值，体现了人作为社会一份子的独立性，从而构成了对人格和人的尊严的根本阐释。独立而不受干预是人的自主性的基本要求，即个人能够自主决定个人生活的形式和内容，希望在私人领域能够享受充分的自由，自主安排个人生活的细节，而不愿受到个人意志以外的任何干涉和打扰。自主就像劳动一样是人的本质需求。今天的法律越来越倾向于增加对人的思想、情感、心理和精神的关怀，维护人的尊严，为个人信息提供法律保护不是基于传统的保护人身和财产的需求，而是维护个人的安全（感）、满足他们保持私人生活安宁不受侵扰的精神需求。人人希望能够控制、支配自己的个人信息，希望能够知道谁掌握了自己的个人信息，掌握了多少，他们是如何利用这些信息的，希望在个人信息被滥用的情形下可以通过法律途径得到相应的救济。这是作为一个现代国家的公民在法律和制度层面上应该得到的待遇。2.2国内外立法现状纵观世界范围，许多国家都制定了关于个人信息保护的相关法律，我国尽管未对个人信息做出相关专门立法，但是对个人信息权的部分内容，在相关法律部门法当中也有所涉及。2.2.1国外立法模式及利弊分析在对个人信息权的立法保护方面，世界各国总体上主要有两种模式，欧盟模式与美国模式。欧盟欧盟的个人信息保护制度可以分为两个层次，一是在欧盟体制下的统一立法，包括一系列的数据保护指令，为欧盟内部的个人信息流动提供了广泛的保护框架；二是欧盟各国按照指令所确定的标准制定的专门性国内法，这些个人信息保护法的适用范围很广，包括各种形式的个人信息，并适用于不同领域的信息使用者。这种个人信息保护策略可以称为“立法主导模式”。欧盟特别珍视人民的自主权利与自由，由强大的制定法传统形成统一立法的要求，对个人信息提供比较完备的法律保护。欧盟指令的第一条就要求各成员国“保护自然人的基本权利和自由，特别是有关个人信息的隐私权。相对而言，美国的个人信息保护制度处于分散状态，除了《隐私权法》和《情报自由法》对政府文件中的个人档案规定了比较完整的保护措施以外，法律对个人信息在经济领域的安全与合理流动所提供的保障很少，其采取的策略主要是依赖个人信息使用者的自我约束，与欧盟严格的法律管制相比，这种“行业自律模式”使美国国内网络服务商获得了较为宽松的经营环境。美国从防范政府干涉人民经济活动自由出发，主张政府应在最小程度上介入电子商务交易主体之间的利益关系，从而提倡信息使用者自行制定隐私权保护规范，促进信息的流通。这种行业自律的方式，旨在建立个人与网络服务经营者之间的信任关系，在此自愿的基础上，推动电子商务这一新兴产业的蓬勃发展。可见，欧盟的个人信息保护制度重视人权，其宗旨在于维护个人的自主和自由，而美国的个人信息保护制度重点在于维护市场经济的活力，倾向效率优先。欧、美在个人信息保护方面的冲突与双方迥异的社会文化背景及激烈的国际竞争环境密切相关，这一制度乃至理念的分歧自然不可期望通过单方面的妥协在短期内得到解决。此外，两种模式如果单纯的在我国现实中采用，所显现出来的弊端也是有显而易见的。一方面，尽管我国制定法的传统与欧盟国家所采取的模式相符，但就个人信息权的保护而言，我国的实际国情显然与欧盟国家不可同日而语。欧盟国家具有相当的文化一致与经济发展的一致，而我国东、中、西部的发展可谓是极不平均，特别是部分西部不发达地区，其落后程度致使其对个人信息立法保护的需求几乎为零。因此一旦制定统一的个人信息保护法，那么将无法在全国范围得到有效的实施和利用。此外，个人信息法是针对信息时代社会发展的需求而制定的，而一经成文的法律在面对日新月异的社会发展时，对于不断出现的新问题会出现不可避免的滞后，同时也缺乏灵活的应对措施；另一方面，美国模式的出发点并非维护个人信息安全，而是促进信息的自由流动，企业及行业制定自律规范的目的在于在消费者中间树立对网络服务及电子商务的信心，因而，实践中对个人信息的保护往往让位于商家或有关企业对信息自由流动的需求。政府的指导性干预比较软弱，容易流于形式，由于缺乏强制性监督和保障措施，企业轻易就会违反其制定的法律条款，自律规范中的承诺很难兑现。以上对行业自律弊端的检讨表明，过分依赖行业自律无法保障个人信息的安全，因为保护个人信息的安全不仅仅是使用个人信息的企业的义务，个人、政府和全社会对此都有不可推卸的责任。欧盟与美国两种各具特色的个人信息保护策略反映了不同的价值观。他们的经验表明，个人信息保护这个课题所蕴涵的多元价值之间的冲突是永恒的，制度设计的任务就在于协调各方利益，尽量把这些冲突限制在一定的范围内而不是企图消灭它。日本在这方面的尝试则是值得我国立法部门在未来立法进程中值得借鉴的经验。日本在制定个人信息保护立法方面采用了较为折中的方式。日本在《个人信息保护法》制定初期曾提倡采用欧盟广泛采用的统合方式，但是随着对《个人信息保护法》的讨论和研究，日本社会又开始提倡采用分离方式。现行日本《个人信息保护法》虽然制定了一些特殊领域的特殊措施。这种模式对于政府部门和行使政府职能的特殊法人制定了具体的法律，而对非公共部门，则主张对具体情况制定专门的法律或加强其自律。2.2.2我国现有法律条文对个人信息权的保护与不足我国现有法律条文在以下几个方面对部分个人信息权的内容做出了规定：（1） 宪法现行《宪法》第三十八条规定，“公民的人格尊严不受侵犯”，以宣示性的一般规定阐明了隐私权的价值基础。第40条规定，“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要，由公安机关或者检察机关依照法律规定的程序对通信进行检查外，任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”这一条主要是禁止对公民通信过程中的个人信息的任意拦截、篡改和披露。（2） 法律《刑法》第二百五十二、第二百五十三条规定了对“隐匿、毁弃、非法开拆”信件、邮件等犯罪行为应承担的刑事责任。《未成年人保护法》第三十条规定，“任何组织和个人不得披露未成年人的个人隐私。”。《妇女权益保障法》第三十九条规定：“妇女的名誉权和人格尊严受法律保护”“禁止用侮辱、诽谤、宣扬隐私等方式损害妇女的名誉和人格”，把“宣扬隐私”作为侵犯妇女名誉权的特定情形之一，在特定的范围内间接地为妇女的隐私信息提供了保护。《统计法》第十五条规定，“属于私人、家庭的单项调查资料，非经本人同意，不得泄漏”，这项规定在我国法上属于比较明确、直接保护个人信息（个人资料）的内容，可惜其适用范围仅限于统计事务。我国诉讼法上，有关个人隐私的案件不公开审理是一项基本原则，这在《民事诉讼法》第一百二十条、《刑事诉讼法》第一百五十二条和《行政诉讼法》第四十五条均有体现。2003年6月28日，十届全国人大常委会第三次会议上通过了《居民身份证法》，该法已于2004年1月1日开始施行。45与1985年国务院颁布的《居民身份证管理条例》相比，《居民身份证法》在我国立法体系中居于更高层次，其内容的变化不但有助于身份证管理与使用的进一步规范化，而且特别注重保护公民权利的实现。该法第六条第三款规定，“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息，应当予以保密。”，第十九条第五项则明确了人民警察因违反第六条第三款的规定而侵犯公民合法权益的行为应承担的责任，对“构成犯罪的，依法追究刑事责任。”。《居民身份证法》中的个人信息保护条款在我国现行法律中是一个亮点，它不但规定了人民警察的保密义务，而且有针对性地设置了违法责任条款，为公民获得相应的司法救济提供了明确的法律依据。（三） 行政法规国务院于1986年1月7日发布的《银行管理暂行条例》第四十七条规定，“国家保护个人储蓄存款”，实行“为储户保密的原则”，要求银行等金融机构对储户的储蓄存款保密，其本质是对公民合法财产的保护，并非严格意义上的个人信息保护规范。国务院信息化工作领导小组于1998年3月13日印发的《〈中华人民共和国计算机信息网络国际联网管理暂行规定〉实施办法》第十八条规定，互联网用户“不得擅自进入未经许可的计算机系统，篡改他人信息；不得在网络上散发恶意信息，冒用他人名义发出信息，侵犯他人隐私”。这项规定说明，1998年之前个人信息的安全问题就初显端倪，篡改、滥用个人信息的现象已经进入立法规制的范围。只是从目前的情况来看，这个规定未免显得单薄，对个人信息的保护不够全面。对此我们不能苛求立法者超越当时的技术条件，毕竟这个实施办法在国际互联网管理方面发挥了很重要的作用。中华人民共和国信息产业部于2001年12月26日发布的《电信服务质量监督管理暂行办法》第二十五条规定，电信管理机构工作人员对调查所得资料中涉及当事人隐私、商业秘密等事项有保密义务。这项规定对于个人信息的保护也只是蜻蜓点水，没有对隐私所涉及的一系列个人权利及其保障进行深入的分析。（四） 地方性法规相对于法律和行政法规，地方性法规的立法程序相对简单，立法周期也短，因此，就立法与现实的衔接而言，地方立法往往走在前列。个人信息保护立法不例外。在这些地方性立法中，尤其以广东和上海两地的表现最为突出。2002年11月6日，广州市公布了国内第一个《政府信息公开规定》。时隔一年多以后，上海于2004年1月20日发布了《上海市政府信息公开规定》。这两部地方性法规都明确规定，涉及个人隐私的政府信息免予公开。从整体上来说，现有法律框架之下还没有形成比较完整的个人信息保护制度，有关个人信息保护的立法简陋而分散，这些法律资源对促进个人信息的合理流动和规范化使用而言，无论规模、内容或质量都十分差强人意。这也充分体现了法学界没有对个人在国家、社会中的地位变迁给予足够的关注，关于个人信息安全的法学研究严重滞后，致使立法和行政决策过程缺乏足够的理论支撑。2.3我国关于个人信息权立法的完善针对信息化社会出现后带来的问题，国务院信息办要求加快国家信息化立法，《个人信息保护法》是“国家信息化立法”的重要部分。从2003年开始起草的该法专家建议稿目前已经完成，现已递交国务院信息办，马上将进入立法阶段。其中，个人的手机号码、家庭住址、医药档案、职业情况等等，都被列入保护范围。有关责任单位或个人不当泄露了上述信息，都属违法，都有可能被追究行政责任、民事责任或是刑事责任。在刚刚结束的第十届全国人民代表大会第四次会议主席团会议当中，全国人大法律委员会交付审议的议案的代表审议结果中，包括了制定《个人信息保护法》的议案。据中国《个人信息保护法》起草人之一、中国社会科学院法学所宪法行政法研究室主任、中国法学会信息法学研究会副会长周汉华教授介绍，中国《个人信息保护法》草案将“个人信息”界定为现实生活中“能够识别特定个人的一切信息”，包括文档、声频音频文件、指纹、档案等。草案除了保护个人信息不受到侵犯外，还有一个重要内容，就是保护公民充分了解自己的信息、修改自己错误信息的权利。根据草案，只要我们提出申请，工作单位、银行就有义务将个人档案、信用记录等信息向我们公开，我们也有权利要求单位或者银行更改错误的个人信息。同时草案考虑到某些行业特殊的社会责任，对国家安全机构、科研机构以及新闻机构给予了一些“特权”。以上内容表明了我国在对个人信息立法进入了实质性的阶段，笔者依据我国国情和国内外立法经验，对我国个人信息的立法提出以下意见：（1） 我国对个人信息的保护目前宜实行法律规范与行业自律相结合的策略。具体而言，就是在鼓励企业及行业自我规范自我约束的同时，主张政府的适当参与和管制。我国作为大陆法系的国家，成文法的习惯要求我们不适宜采用美国模式对个人信息进行保护。但是针对不断发展的信息社会环境，充分体现民事权利意思自治的精神，切实有效的行业自律在某些方面将会更为适合未来社会的法律需求。（2） 个人信息立法应当重视法律的前瞻性和技术性。立法应具备一定的前瞻性，而信息技术的更新与发展往往对相关产业及整个社会生活产生剧烈的革命性的影响，信息技术变革的特点无疑增加了保持个人信息保护法前瞻性的难度。因此，立法时应注重概括性条款的运用，法规细则的撰写需做到具有普遍实用性和技术上的中立性。考虑到信息技术的专业性极强，立法时必须认真听取有关技术专家的意见，并积极邀请工商企业的参与，防止所立之法与实践脱节。（3） 立法应当保持适当的价值平衡。立法是一种重大的社会抉择，是关于社会基本价值选择、社会中相互冲突的诸利益协调的重要活动。从这个意义上说，法律的形成过程就是立法者寻求各种价值之间平衡点的过程。具体来讲，就是要求立法者充分了解信息自由流动所带来的社会利益与限制信息使用带来的整体利益，在此基础上力图促进各方利益的协调发展。而利益协调的过程不可避免会涉及到价值评判。保障个人信息安全的法律既要保证使用个人信息的效率，又需体现个人自主选择的公平；反之，不能放任自流，同时也要避免矫枉过正。为此，一方面要遵循个人信息使用的最小化与适当成本原则，即个人信息必须在使用者使用的最小范围内合理采集使用；另一方面，务必坚持信息的自由流动与个人信息的安全并重。对个人信息的法律保护，不能过分强调对个人信息的使用限制而影响信息的自由流动，从而阻碍社会的进步和经济发展。结语综合以上内容的探讨，我们可以对个人信息权总体上有一个比较全面的认识，个人信息权作为一种新型的，独立的民事权利，其形成和发展充满了时代的特性。二十世纪七十年代以来，以计算机普遍化为基础的个人信息技术发展改造人类生产生活方式。而在我国，对于个人信息权的认识与保护意识的产生，则伴随着上个世纪末互连网技术的迅速发展与应用产生。在过去的几年当中，一方面，我们可以看到信息迅速传播带给社会经济文化以及多方面的变革；但是，另一方面带来的结果则是我们对于社会信息的过分依赖。由此，社会上对于个人信息的滥用与侵害也随之不断的产生。国家立法部门在注意到这一立法要求，积极的进行大量的立法工作，同时也带动了学界对个人信息权的深入研究。从业已形成的研究成果来看，个人信息权作为一种权利，已经得到广泛的认可，对其进行保护的要求无论从立法部门、学界还是社会民众都基本形成。但在具体问题，存在的分歧还是存在的，特别是保护内容和方式上。立法的价值取向将会是最终决定采用怎样的一种方式来保护个人信息权的最终依据。依笔者看来，借鉴外国的模式是必不可少的环节，但贯彻“中国特色”才是“具体问题具体分析”在实践当中最切实可行的办法。法律作为社会价值的基本选择、社会各方面利益的平衡的工具，必须全面实际的适合中国现阶段社会发展现状。在此基础上，国家制定出的《个人信息保护法》必将为我国今后个人信息的保护乃至整个国民经济环境良性发展发挥重大的作用。当然，我们在强调个人信息外部环境的法律保护