个人信息保护，先用足现有“法”宝

近年来，越来越多的消费者从实体商店转向网购模式，越来越多的个人信息与资料，成为快递物流业一些从业人员眼皮底下的“肉票”，载有个人电话、身份证号及真实姓名的快递单，成为犯罪分子盯上的新目标，而众多网上小卖家为拉升信用评级，使用他人信息，制造虚假交易，从而促成了网上个人信息交易灰色产业。

快递业成为个人信息侵害的重灾区，是继电信、银行、铁路实名客票等相继曝出侵害个人信息安全事件后，目前最引人关注的一个区域。今年“3·15”央视曝光的招商银行、工商银行、农业银行等不法员工兜售客户信息事件，现在看来，仅是个人信息受到侵害和滥用的冰山一角。

这些侵害威胁是如此显而易见，侵权案例又是如此之多，立法是如此的迫切，然而“案例推动立法”或“舆论推动立法”惯有的立法动力，似乎在个人信息保护这一领域失灵。自2003年国务院信息办启动《个人数据保护法》的研究课题，到2005年有《中华人民共和国个人信息保护法（专家建议稿）及立法研究报告》，一直以来酝酿的《个人信息保护法》，始终未能破茧而出。

所期待的立法未能出台，并非是立法部门之懈怠使然，就个人信息保护立法而言，这一部一般性法律要无缝对接《民法通则》、《民事诉讼法》及《侵权责任法》等原则规定，就得先对更基本的法律作出相应的修改和补充，这涉及到冗长的立法周期，其中在隐私权保护的力度及诉讼成本上要先作相当大的修改，这也牵涉到宪法性权利的修改，否则就形成“下位法大于上位法”的法理冲突。另一方面，涉及多个产业的跨部门立法活动，在中国目前的立法模式下，随着参与部门越多，协调会更难，立法所耗费的时间会越长。

因此，我们不妨冷静摈弃“坐等立法成熟后再来保护”的消极观，绕开隐私权法理与民事诉讼上的纠结，直接从现有《刑法》上对侵害个人信息罪的规定入手，以“保密义务”为法理起点，以“行业腐败”为打击目标，以“行政公权先行”的模式，推动行政处罚末端体系的建立，从而推动个人信息的国家保护力度的提升。

按当前中国行政处罚法，制定处罚的权力、决定处罚的依据、实施处罚的程序遵循“法宝原则”，这些几乎是现成的，并且在单个部门或行业上可率先适用，如美国针对金融征信机构的《金融服务现代化法》。只要敢于对征信机构和征信公司介入行政监督与处罚权力，各个击破，个人信息侵害泛滥现象，可以实现“自上而下和从零散到系统之治”，而未来一旦立法时机成熟并推出一般性的私权为中心的个人信息法律，它所构建的“自下而上及从系统到个体之治”，就能使两种保护体系相互融合，互为补充。

和静钧 （西南政法大学副教授）