张新宝：依法治网，为个人信息保驾护航（2）

（二） 我国个人信息保护法治建设检省

从上面对我国现有个人信息保护法律建设成果的部分梳理来看，我国个人信息保护法治建设虽然初见成果，但也折射出我国目前个人信息法治保护的不足，主要体现在以下几个方面：

1. 个人信息保护立法缺少顶层设计

在全国人大常委会《关于加强网络信息保护的决定》之下，应当制定个人信息保护基本法对其规定予以细化和完善。但就个人信息保护法的立法模式选择，适宜进行综合立法模式的我国，尚未制定个人信息保护基本法。

比较法上来看，个人信息立法模式大致分为欧盟制定个人信息保护综合性成文法的综合立法模式和美国仅就行业或特殊问题进行特别立法的分散立法模式。两种立法模式在我国究竟何去何从，主要取决于我国的法治传统和既有法治框架。美国之所以采取分散立法模式，原因在于其已有的强大的隐私权法律体系，能够为个人信息的妥当保护，仅需要针对特殊行业或特殊问题进行专项立法。反观我国，虽然《侵权责任法》明确隐私权为独立的民事权利，但理论界和实务界多倾向于将隐私权理解为消极抵御的权利，隐私权仅仅是具体人格权之一，在个人信息保护方面的作为十分有限。再考虑到我国历来的成文法传统，欧盟式的综合立法模式更为可取，通过一部完善的个人信息保护基本法，对个人信息保护的立法宗旨、利益衡量、具体制度构建等进行全面的规定。虽然早在2003年，原国务院信息化办公室就曾着手个人信息保护法立法工作，第十一届全国人大常委会也将个人信息保护法纳入立法规划，但个人信息保护法至今缺位。

2. 尚未形成完整的个人信息保护法律制度

从前述对个人信息保护法治建设成果的部分梳理来看，在个人信息保护现实需要和立法部门的推进之下，虽然个人信息保护法律规范条文数量较多，但整体立法水平和规范内容有限，碎片化问题突出，重复性规定居多。

在我国现有个人信息保护法律法规中，全国人大常委会《关于加强网络信息保护的决定》是立法性质决定了只能是原则性和宣示性的规定，在其规定之下，由于个人信息保护法的缺位，各部门规章承担其对该决定细化的任务。《电信和互联网用户个人信息保护规定》、《个人信用信息基础信息数据库管理暂行办法》等部门规章一定程度上代表了当前我国个人信息保护的立法水平。从各部门规章的实质内容来看，仅仅是规定了个人信息保护的基本原则、个人信息处理义务等框架性内容，较之国际上成熟的个人信息保护法的规定来看，还缺乏个人信息的类型化、个人信息处理者义务与例外、个人信息主体基本权利、个人信息保护风险评估、个人信息安全泄露通知等全方位的制度规定，使得其适用性有限，不能为公民个人信息提供切实保护。

3. 个人信息执法和监管力度有限

完善的个人信息法治保护应当是包含民事、行政和刑事手段的综合性体系，其中民事手段旨在为个人信息受侵害的信息主体提供救济，刑事手段重在惩罚严重侵害他人个人信息的行为人，而有力的行政监管和执法对于建立个人信息保护秩序、事前预防个人信息侵害而言是不可或缺的。但就我国来看，有关个人信息的行政执法和监管力度有限。目前，我国多行政法规、部门规章都对各自主管范围内的个人信息保护事项的监管职权作出规定，赋予了各部门一定的执法权限，如同九龙治水一般的个人执法机构，造成长久以来个人信息保护行政执法存在多头管理、职权交叉、权限不明的弊病，也导致了个人信息保护监管缺位的实质后果。