台湾与大陆个人信息保护之比较研究
一、引言

随着大数据时代的到来，公民的个人信息不可避免的会遭到泄露，并由此带来了一系列安全风险。根据我国公开信息显示，2011年至今，已有11.27亿用户隐私信息被泄露。

【法律问题点击咨询】>>

个人信息被泄露后，受害人每日接收源源不断地垃圾短信与邮件，还有可能遭受电信诈骗；泄露信息可能被犯罪分子利用，以冒名办理信用卡透支或从事其他犯罪行为，给受害人的信用及名誉带来不可预估的风险。

尽管与个人信息泄露案件日渐猖獗，我国个人信息的保护主要以公权力部门为主导，一般公民在遭受个人信息泄露侵害时无法较好的维护自身权利。而在我国台湾地区，已于2010年出台《个人资料保护法》，全面规范了个人信息的使用与保护，其立法思路与立法方式值得我们研究与借鉴。

本文将结合我国个人信息保护的现状与台湾地区立法，浅析我国个人信息保护的发展之路。

          【图片来源自网络】

二、我国个人信息保护的现状

（一）与个人信息保护有关的法律规定

1.刑事领域

我国2009年发布的《中华人民共和国刑法修正案（七）》第七条中，在在刑法第二百五十三条后增加一条，作为第二百五十三条之一：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”

该修正案正式将转卖或提供公民个人信息的行为以犯罪处，但从条文上看，该罪仅针对国家及特定机构的工作人员，对于非国家及特定机构的工作人员侵犯公民个人信息的行为并无约束。

直到2015年发布的《中华人民共和国刑法修正案（九）》第十七条中，才将刑法第二百五十三条之一修改为：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”

时隔六年，我国刑法才放宽了入罪的主体范围，并于2017年发布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中，进一步明确了量刑标准。

          【图片来源自网络】

2.行政领域

我国工信部曾于2013年发布《电信和互联网用户个人信息保护规定》，明确约束了电信及互联网从业者对用户个人信息收集和使用。其他仍有很多的规章和其他规范性文件也涉及到个人信息的保护，但涉及的区域及行业都十分有限。

3.民事领域

我国已将个人信息的保护纳入民法范畴。《中华人民共和国民法总则》第一百一十一条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”

《民法总则》第一百一十一条专门规定个人信息保护规则，首次从民事基本法层面提出个人信息权，并明确了个人信息保护的基本行为规范。

（二）现阶段法律法规的不足

1.刑法领域个人信息保护的欠缺

我国刑法已将侵犯公民个人信息罪的犯罪主体从公共机构层面放宽，但仍面临着多重现实问题。

第一，侵犯公民个人信息的行为多是通过网络途径，公安部门立案有赖于受害群众报案；现阶段网络技术发达，犯罪分子通过伪造号码、私设基站等方式隐匿自身行踪，甚至自身躲到国外，给破案、抓捕行动造成了很大的困难。

第二，刑法不能规制因过失而导致信息泄露的情况。许多以合法途径收集个人信息的个人和单位，仅关注个人信息的商业价值，并不关注对提供人个人信息的安全保管，安全意识差，因黑客入侵、员工泄密等导致个人信息泄露的情况数不胜数。

刑法只惩罚入侵的黑客、泄密的员工，但是对疏于防范、违反安全管理义务的个人信息收集者并不追责。虽《中华人民共和国刑法》第二百八十六条之一规定了拒不履行信息网络安全管理义务罪，但是该罪存在“经监管部门责令采取改正措施而拒不改正”等苛刻条件，刑事司法实践中尚未有本罪的判例。

2.行政领域个人信息保护的不足

另一方面，各行政法规与规章虽对各地区及行业的个人信息收集与保管做出了规范，但其规制的区域及行业毕竟有限，其惩罚力度也限制在法律规定的范围之内。

以《电信和互联网用户个人信息保护规定》为例，其第二十三条规定：“电信业务经营者、互联网信息服务提供者违反本规定第九条至第十一条、第十三条至第十六条、第十七条第二款规定的，由电信管理机构依据职权责令限期改正，予以警告，可以并处一万元以上三万元以下的罚款，向社会公告。”相比泄露个人信息造成的巨大损失和消极影响，一至三万元的处罚简直如九牛一毛。

况且，行政法律法规制定的根本目的是保障行政管理的秩序，而不是保障私权利。从行政立法上完善公民的个人信息保护机制，只能起到辅助的作用。

3.民法领域个人信息保护的救济缺失

如上文述，对于非故意泄露公民个人信息的信息收集者，受害者只能通过民事途径寻求救济。然而对于公民个人信息的保护仅有《中华人民共和国民法总则》作出了规定，受害者仅可主张一般侵权。

在审判中，受害者需承担诸如收集者的过失、受害者自身损失、两者间的因果关系等举证责任，举证难度非常大。目前，也并无保护个人信息的专门法，作为弱势一方，受害人最终很难得到满意的结果。

三、台湾《个人资料保护法》的介绍

（一）《个人资料保护法》的特点

1.客体保护范围非常广

《个人资料保护法》第二条规定：“个人资料：指自然人之姓名、出生年月日、国民身分证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人之数据。”

其涉及范围非常广泛，基本涵盖了公民个人所有的个人信息，并以“其他得以直接或间接方式识别该个人”作为兜底，实现了对公民个人信息的全面保护。

          【图片来源自网络】

2.适用主体普遍

《个人资料保护法》中专门根据“公务机关（依法行使公权力之中央或地方机关或行政法人）”与“非公务机关（前款以外之自然人、法人或其他团体）”制定了相应的条款，意味着在台任何自然人、法人、非法人团体都受本法规制。

另外，第五十一条第二款规定：“公务机关及非公务机关，在中华民国领域外对中华民国人民个人资料搜集、处理或利用者，亦适用本法。”更是将本法的适用范围推及台湾地区之外。

3.网络社交行为的特殊规定

为了过分严格的法律规定对避免网络社交行为造成不便，《个人资料保护法》在第五十一条第一款特别强调：“有下列情形之一者，不适用本法规定：一、自然人为单纯个人或家庭活动之目的，而搜集、处理或利用个人资料；二、于公开场所或公开活动中所搜集、处理或利用之未与其他个人资料结合之影音数据。”

另外值得一提的是，在本法第十九条规定，“非公务机关对个人资料之搜集或处理，除第六条第一项所规定数据外，应有特定目的，并符合下列情形之一者：六、为增进公共利益所必要”，这也意味着为公共利益的“人肉搜索”在台湾得以合法化。

4.对弱势个体的救济

在侵犯个人信息的纠纷中，由收集信息的一方承担举证责任。《个人资料保护法》第二十九条规定：“非公务机关违反本法规定，致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者，负损害赔偿责任。但能证明其无故意或过失者，不在此限。”

《个人资料保护法》第三十四条规定，“对于同一原因事实造成多数当事人权利受侵害之事件，财团法人或公益社团法人经受有损害之当事人二十人以上以书面授与诉讼实施权者，得以自己之名义，提起损害赔偿诉讼。依第一项规定提起诉讼之财团法人或公益社团法人，其目标价额超过新台币六十万元者，超过部分暂免征裁判费。”

无论从举证责任，还是鼓励团体诉讼并减免诉讼费来看，都体现了对弱势群体的照顾。

（二）《个人资料保护法》的法律责任规定

1.刑事责任

第41条 意图为自己或第三人不法之利益或损害他人之利益，而违反第六条第一项、第十五条、第十六条、第十九条、第二十条第一项规定，或中央目的事业主管机关依第二十一条限制国际传输之命令或处分，足生损害于他人者，处五年以下有期徒刑，得并科新台币一百万元以下罚金。

第44条  公务员假借职务上之权力、机会或方法，犯本章之罪者，加重其刑至二分之一。

2.行政责任

第49条  非公务机关无正当理由违反第二十二条第四项规定者，由中央目的事业主管机关或直辖市、县（市）政府处新台币二万元以上二十万元以下罚款。

第50条  非公务机关之代表人、管理人或其他有代表权人，因该非公务机关依前三条规定受罚款处罚时，除能证明已尽防止义务者外，应并受同一额度罚款之处罚。

3.民事责任

第28条 公务机关违反本法规定，致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者，负损害赔偿责任。但损害因天灾、事变或其他不可抗力所致者，不在此限。

被害人虽非财产上之损害，亦得请求赔偿相当之金额；其名誉被侵害者，并得请求为回复名誉之适当处分。

依前二项情形，如被害人不易或不能证明其实际损害额时，得请求法院依侵害情节，以每人每一事件新台币五百元以上二万元以下计算。

对于同一原因事实造成多数当事人权利受侵害之事件，经当事人请求损害赔偿者，其合计最高总额以新台币二亿元为限。但因该原因事实所涉利益超过新台币二亿元者，以该所涉利益为限。

第29条  非公务机关违反本法规定，致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者，负损害赔偿责任。但能证明其无故意或过失者，不在此限。

依前项规定请求赔偿者，适用前条第二项至第六项规定。

（三）两岸个人信息保护法律比较

四、我国个人信息保护的借鉴与发展

（一）加强立法力度，适时特别立法

目前看来，法律对于信息泄露受害者的保护并不到位，受害者难以通过各种现有的法律途径寻求救济。尽管《中华人民共和国民法总则》已写入个人信息的保护，但相关制度仍不完善，缺乏一套有效的救济规则。

对此，我们可以借鉴《个人资料保护法》的规定，将举证的责任赋予信息收集者，以平衡二者间的失衡对抗，更好的维护受害者应得的利益。

另外，2017年3月全国人大代表、全国人大常委、财经委副主任委员吴晓灵，以及45位全国人大代表向两会提交了《关于制定<中华人民共和国个人信息保护法>的议案》。相信不久的将来，属于我国的个人信息保护专门立法将会出台。

（二）平衡个人保护与信息共享

在如今的大数据时代，个人信息的隐私性应当上升到一个无比重要的高度，但是也不能因此而忽视大数据本身自带的共享性。任何事物都具有两面性，大数据在隐含了个人信息泄露的风险之外，也为我们的生活提供了便捷。

如《个人资料保护法》中将出于公共利益的“人肉搜索”合法化，但是不可避免的会使被搜索的人遭受语言暴力，对于“人肉搜索”的程度也缺乏合适的监管。如何寻求个人信息保护与促进信息共享之间的平衡，是一个值得立法者思考的问题。 原创文章，未经许可，禁止转载