个人信息保护需要的不仅是一部宏观意义上的“母法”，更要求构建起一个微观性的法律法规体系，如此才能为公民个人信息权提供全面而细致入微的保障

□第一看法

傅达林

　　正在公开征求意见的刑法修正案(七)草案，新增了惩罚非法泄露公民个人信息的条款，引起舆论广泛关注。与此同时，9月2日《京华时报》报道说，个人信息保护法草案日前也已呈交至国务院。
　　当今社会，信息作为一种权利资源，其有序流动对于信息社会的发展具有基础性意义。基于信息资源的战略性地位，各种主体都会采取不同手段争夺信息优势，并可能导致权利失衡和秩序紊乱。比如有的单位随意安装闭路电视监控设备；有些企业将应聘人员信息随意公开；甚至有不少人利用工作岗位的特殊性，将一些个人信息作为商业情报提供给商业公司；而随着信息技术的发展和批量处理、传递个人信息越来越容易，个人信息遭到不当收集、恶意使用、篡改的隐患也随之增多。为了遏制这种现象，世界上已有50多个国家和地区都制定了相应的个人信息保护法律。可见，通过立法建立个人信息保护制度已是刻不容缓。
　　在国家还未构建起个人信息保护法框架时，刑法的“单兵突进”能在一定程度上满足民众对个人信息保护的立法需求，也能有效遏制现实生活中严重侵犯个人信息的不法行为。但从整体环境而言，单靠刑法的单个条文显然难以承受捍卫公民信息权的重任，单一化的刑事制裁也容易陷入“孤立无援”的困境。正因为如此，一部统领意义上的个人信息保护法更加令人期待。
　　然而，从2003年开始起草至今，个人信息保护法历经5年仍未“宝剑出鞘”，可见其难度之大。笔者以为，当前最紧要的不是对个人信息保护立法的激情呼吁，而是需要切实突破立法中的那些藩篱。
　　作为社会信息化程度相对较低的国家，信息立法首先面临着信息种类和范围的界定难题。从概念上讲，凡一切与公民个人相关的资讯都应属于个人信息，但对于立法而言，只能将其中的部分信息纳入保护范围，如何划分这个界限就考验着立法者的智慧。是为应受法律保护的个人信息设置具体的标准，还是深入实践排列出个人信息的具体类别，是抽象化地对一般人信息作出规范，还是区分性地对公众人物的信息进行单独规范，这些难题都应当进行科学论证。
　　不仅如此，如何增强立法的可操作性和公民信息权的可救济性，也是个人信息立法所必须考虑的重要问题。从以往经验看，一部法律的出台不仅要在价值观上满足公众的期待，更要在实践中能解决人们的实际难题。个人信息保护立法必须在确立起一个法律制度框架的同时，于条文设计上注重规范的可操作性，不仅规定公民个人信息的权利范围和对个人信息的保密义务，更需要具体设定国家公权力的相关职责，明确违背职责和保密义务的各种具体法律后果。这样做的最终目的，在于为司法机关提供具体的指引，为公民信息权提供坚实的司法保障，以防止个人信息立法成为装饰性的“花瓶立法”。
　　另外，对立法模式的选择，也制约着个人信息保护的立法质量。是选择“大一统”的法典模式，还是实行分门别类的法规模式？从国外看，对个人信息的立法保护，一般是在不同领域实行不同的单项立法。例如在网络信息保护方面，美国1998年出台了专门的《儿童网上隐私权保护法》，德国1997年出台了《电信服务数据保护法》，英国1984年制定了《数据保护法》，法国1978年出台了《信息技术与自由法案》，日本1990年实施了《关于保护行政机构与电子计算机处理有关的个人数据法律》等。可见，个人信息保护需要的不仅是一部宏观意义上的“母法”，更要求构建起一个微观性的法律法规体系，如此才能为公民个人信息权提供全面而细致入微的保障。