個人信息保護立法不應缺位

個人信息保護法雖然早已列入我國立法議程，但是由于其復雜性，一直以來進展十分緩慢，始終未進入實質性階段。

社交媒體巨頭Facebook因5000萬用戶數據泄露一事，站上了輿論的風口浪尖。事實上，中國也是網絡信息泄露的重災區。如何發揮合力、保護用戶隱私、維護中國網絡安全，成為亟待解決的命題。

用戶信息“裸奔”有原因

手機軟件、免費無線網絡、搜索引擎、電商平臺……這些常使用的互聯網場景，很可能成為個人信息的主要漏洞。統計顯示，目前網絡用戶信息泄露大部分都發生在移動端。

日前，騰訊社會研究中心與某互聯網數據中心聯合發布了《2017年度網絡隱私安全及網絡欺詐行為分析報告》。報告顯示，2017年下半年，安卓系統手機應用中，有98.5%都在獲取用戶隱私權限。雖然絕大多數軟件獲取用戶隱私是出于用戶正常使用產品的目的，但也有9%的手機應用在2017下半年存在越界獲取用戶隱私權限的現象。

另一項數據顯示，目前電信網絡詐騙案件90%以上是違法分子靠掌握公民詳細信息進行的精準詐騙。從已破獲案件看，互聯網平臺內部監守自盜和黑客攻擊是公民個人信息泄露的主要渠道。

據了解，當前中國網絡非法從業人員已超150萬人，其背后孕育著一條千億元級別的黑色產業鏈。在已經破獲的個人信息販賣案中，數據級別動輒高達數億甚至數十億。例如，數目最大的“9·27特大竊取販賣公民個人信息專案”中，被盜公民個人信息超過50億條。

中國信息安全測評中心黨委書記吳世忠表示，信息泄露將會給基于互聯網構建的信息社會帶來巨大隱患。他舉例指出，單一的個人信息泄露會直接影響到個人隱私、社會交往和經濟利益;局部性、群體性的個人信息泄露有可能導致網絡犯罪和社會問題;大規模的個人信息泄露會引起公眾恐慌，危及社會穩定;敏感的、跨境的個人信息泄露更會關乎國家發展和安全利益。

中國網民防范意識薄弱，是導致用戶信息“裸奔”的一大因素。

事實上，中國網民并非沒有意識到自己手機里信息泄露的風險。據《中國網民權益保護調查報告（2017）》顯示，中國57%的網民認為個人信息泄露嚴重，76%的網民親身感受到個人信息泄露帶來的諸多不良影響。然而，另一調查數據也顯示，四成手機用戶在安裝或使用手機應用之前，從來不看授權須知。北京市消費者協會發布的調查結果顯示，有42.31%的人不知道授權應用采集的個人信息可能一直被留存;有79.23%的人認為手機應用上的個人信息不安全，但只有6.15%的人在安裝或使用手機應用之前會經常看授權須知。

此外，監管缺位也是網絡信息泄露頻發的一大因素。據了解，一些地方網絡信息安全多頭管理問題比較突出，但在發生信息泄露、濫用用戶個人信息等信息安全事件后，用戶又經常遇到投訴無門、部門之間推諉扯皮的問題。

個人信息權立法難在哪兒

中國政法大學副校長馬懷德在接受媒體采訪時就曾公開呼吁，有關個人信息保護立法進程應該加速，有關法律應盡快出臺。

“我們應該充分認識到問題的緊迫性與嚴重性，在大數據時代，一方面是信息自由、信息分享帶來的無與倫比的經濟發展動力;另一方面則是我們從未面臨過的、嚴峻的信息泄露威脅和網絡安全問題。尤其是個人信息保護問題，更在法律領域內日益凸顯，有關立法出臺可以說是刻不容緩。”馬懷德說。

據了解，相對于互聯網領域的其他問題，個人信息保護法雖然早已列入我國立法議程，但是由于其復雜性，一直以來進展十分緩慢，始終未進入實質性階段。

另外，個人信息權立法一直以來推進緩慢的原因主要在于法律概念如何界定還存在爭議。

主要的爭議可以歸結為個人信息被加工后是屬于加工者還是屬于個人。舉個例子，大數據時代，一個人的喜好是可以被互聯網數據公司通過分析整理形成一系列有效數據的，那么這個數據的所有者應該是屬于互聯網公司，還是屬于被加工者個人？

這個概念如何界定，關乎數據產業未來的發展。

根據歐盟將在5月25日實施的《一般數據保護條例》規定，歐盟在一定程度上是保護加工者的數據加工權，但同時也在個人隱私的救濟上設置了一系列的救濟權。

清華大學法學院院長申衛星將歐盟《一般數據保護條例》賦予個人對一般數據的權利總結為：被遺忘權、獲取權、修改權、攜帶權、拒絕權。

相比之下，我國目前對于個人數據保護的法律規定卻顯得十分保守，根據我國《民法總則》第111條規定：自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。

對此，申衛星認為，如果將個人信息作為一個人格權利，那么信息當然屬于個人，而不可能屬于信息收集、加工企業?！暗窃诖髷祿r代，這種保護過于嚴格，或者說它已經落伍了?！鄙晷l星說。

“在大數據時代，中國已經出現了30多家大數據交易場所，技術的出現使得無形的個人信息能夠像財產一樣予以轉讓，并且轉讓還有期限。因此，我認為，我們要對個人信息予以財產權的保護而不是人格屬性上的保護?！鄙晷l星說。

立法應統一規制集中管理

在個人信息保護的問題上，除了如何界定人格權與財產權的爭議外，如何進行信息保護的規制也是目前普遍熱議的話題。尤其是在如何看待信息“出境”的問題上。

據了解，從目前已經通過出臺的有關信息管理的相關法律來看，包括《網絡安全法》《消費者權益保護法》和《數據跨境轉移的評估辦法》都規定，首先要經過信息主體的同意。

“但在實際執行層面上，這些規定往往流于形式。”中國政法大學互聯網金融法律研究院院長李愛君告訴記者，“比如說，這些同意的條款往往會出現在用戶下載使用APP之前，用戶就會被要求勾選彈出的十分復雜的隱私協議，這些協議雖然說會列出各種APP出品方會獲取用戶信息的種種情形，但是，通常來說如果是非專業人士基本上很難讀懂如此拗口晦澀的法律文件，況且用戶也只有點擊同意之后才能使用APP，這些造就了這種條款帶有十足的‘霸王條款色彩?！?/p>

對此，全國人大代表、中國社科院法學所研究員孫憲忠就曾在去年全國兩會期間公開呼吁，要轉變立法理念。

“如果把個人同意當成信息采集以及保護的基礎的話，對個人信息保護是相當不利的。”孫憲忠說，“必須首先考慮到是誰在采集信息，誰在保管信息，尤其是數據上云的情況下，誰應該對這個信息進行清洗，包括使個人的隱私不上到云端，這才是最重要的，而不是說造成信息泄露造成損害以后，從民法侵權的角度去解決?！?/p>

“從我國個人信息的法律保護現狀可以看出，我國對個人信息保護尚未出臺專門立法，對于泄露個人信息的處罰缺乏統一性和系統性，尚未形成統一的關于個人信息保護方面的基本法，而是散見于相關的法律法規中，且量刑偏輕?！崩類劬f。

目前來說，除了我國《民法總則》第111條、刑法第253條涉及的公民的個人信息不受侵犯以及相關的處罰措施之外，2017年6月1日起施行的《網絡安全法》，最高人民法院和最高人民檢察院2017年5月9日聯合發布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，對涉及用戶個人信息的，也都進行了相關規定。

除此之外，消費者權益保護法、居民身份證法、商業銀行法、未成年人保護法、電信條例以及《互聯網電子公告服務管理規定》《計算機信息網絡國際聯網安全保護管理辦法》《互聯網安全保護技術措施規定》等法律法規都對涉及個人信息管理問題有所涉及。

“從立法形式上看，我國有關信息安全的法律法規在數量上似乎形成了一定的規模，但沒有構成一個完整、系統、條理清晰的體系?！崩類劬f。

從內容上分析，李愛君指出許多條文規定的內容過于抽象，操作性差，難以有效執行，且存在重復、交叉，形成多頭執法和多頭管理的局面，導致執法成本和司法成本的浪費。

“我國對個人的信息、肖像權等有法律保護，但是對于在大數據時代個人數據的使用卻未明確，也沒有專門針對個人數據信息進行法律法規的監管，這就造成了個人信息安全的隱患?！崩類劬J為，要使個人信息得到保護，就要保證數據交易平臺用的是“干凈”的數據，即不能侵犯個人隱私、不能泄露企業商業秘密、不能泄露國家機密、不能危害國家安全等。

有必要推動專門立法工作

“為了應對大數據時代個人信息安全面臨的新挑戰，有必要推動專門的立法工作，除了從源頭上加強網絡安全防護外，更關鍵的是要完善公民個人信息立法，盡快制定個人信息保護法?！?/p>

李愛君認為，統一立法可以對個人信息給予更充分的保障，對收集、利用、買賣個人信息的價值取向保持一致，比如說，針對信息泄露問題，如果對于其他嚴重犯罪可能產生幫助行為的，可以在量刑上加大力度，并可以在罰金方面作出較為具體的規定。

同時， 李愛君建議，由于公務機關和非公務機關對個人信息侵害的程度不同，因此在立法時，有必要對公務機關和非公務機關予以區分。同時，基于國家利益、社會公共利益及他人利益等方面的個人信息侵權行為，應當制定相應的免責條款。

另外， 李愛君還認為，個人信息保護法應與信息安全相關的法律法規進行有效銜接，做到相統一、相呼應，從而形成較為完善的信息安全法律系統。

對此，孫憲忠表示贊同。他說，比如對于尚未構成刑事犯罪的一般侵權行為，主要通過民事法律法規進行調整，那么就十分有必要修改完善相關的民事法律法規，更有效地維護公民個人民事權益。對于其他相關法律法規也要銜接好，保持法律實施的一致性。

“除此之外，還應加大對敏感信息和移動設備的監管力度，大數據科研人員在研發之前，首先應考慮以保護企業和個人隱私為前提，運用信息加密技術等措施提升大數據技術信息安全水平，加強信息保護程度?！崩類劬f。