個人信息保護立法可期

周宵鵬

置身于無遠弗屆的互聯網時代，個人信息保護問題日益凸顯。不久前《十三屆全國人大常委會立法規劃》公布，個人信息保護立法名列其中。

山東女孩徐玉玉被“精準”詐騙，悲憤之下不幸猝死。華住酒店被曝5億條個人信息泄露，基本覆蓋了國內經常出差人群。近年來，因個人信息泄露而引發的案件，不勝枚舉。

然而，個人信息保護立法多年來“只聞樓梯響，不見人下來”。

2018年9月10日，中國人大網公布《十三屆全國人大常委會立法規劃》，69件法律草案列入第一類項目，即條件比較成熟、任期內擬提請審議。其中，個人信息保護法是第61個項目。

這也意味著，久久呼喚的個人信息保護專門立法即將到來。

信息泄露導致詐騙猖獗

“知道嗎，你在當地得罪了一個人，如果你不想你和你家人有什么麻煩，你出錢，我可以出面幫你平事……”

2016年上半年，山東日照的丁某某、菏澤的宋某某、商河的楊某某、濟南的王某某先后接到了“東北老五”的電話，面對兇狠的威脅，幾人分別向對方匯款3000元至6000元。

其實，這個所謂的“老五”只是一個來自河北省承德市豐寧滿族自治縣的騙子張桂春。

彼時，這幾位受害人都剛剛當了爸爸或媽媽。張桂春之所以能讓這些受害人不得不信、不得不怕，是因為他在電話里不僅直接報出了受害人的姓名和住址，而且還知道其本人或者妻子的生產醫院信息。

豐寧警方發布的消息顯示，已破獲的手機敲詐勒索案件中，受害人不僅有普通百姓，甚至還有知名商人和高級干部，這些個人信息的泄露渠道五花八門。

“學校、4S店、保險公司、各類會議，都有人為了牟取私利，對外銷售個人信息。”辦案民警介紹，這些信息的價格差距也很大，“便宜的一條幾分錢，住在北京二環以內的個人信息較貴，一條5元。”

近年來，在有關部門的嚴厲打擊下，電信詐騙高發勢頭已經得到遏制，但相關案件仍屢有發生，其中關鍵一點就在于個人信息泄露風險增加，泄露個人信息、非法買賣信息等行為屢禁不止。

個人信息泄露不僅助長了電信詐騙人員的氣焰，也帶來大量民事糾紛隱患。2018年11月20日，北京市朝陽區人民法院召開涉侵犯公民個人信息民事案件審理情況新聞發布會。發布會顯示，該市74件信息侵權案中44件為利用網絡公布他人信息案，社會對個人信息保護意識普遍缺失，是該類案件常見的主因。

個人信息授權過多過濫，許多市場主體不愿投入人、財、物建設個人信息保護系統；有的單位員工可隨意拷貝批量客戶信息，用戶個人信息幾乎“裸奔”，違法成本卻過于低廉；“人肉搜索”對當事人造成極大影響，但權利人證明信息遭某特定主體侵害舉證難度卻不斷增大……

造成這一切的根本，就在于個人信息保護沒有專門立法，致使全社會對個人信息保護意識普遍缺失，相關案件違法成本過低，信息保管人改進動力不足。

現行法律適用存在爭議

沒有個人信息保護專門立法，但并不意味著對個人信息沒有法律保護。

目前，我國個人信息保護立法呈現出分散立法的趨勢。有統計顯示，涉及相關內容的法律法規并不少，有近40部法律、30余部法規，以及近200部規章涉及個人信息保護，其中包括規范互聯網信息規定、醫療信息規定、個人信用管理辦法等。

梳理發現，早在2003年，國務院信息化辦公室就開始部署個人信息保護法立法研究工作。2009年，刑法修正案（七）就對非法竊取、出售、泄露個人信息的行為作出規定，之后刑法修正案（九）還針對現實情況設置了非法獲取公民個人信息的罪名。

此外，民法總則、網絡安全法、消費者權益保護法、電子商務法、《全國人民代表大會常務委員會關于加強網絡信息保護的決定》等民事、行政法律對個人信息保護也都有原則性規定或相關意見指導。

針對日益嚴重的電信詐騙形勢，2016年12月，最高法、最高檢和公安部共同制定出臺《關于辦理電信網絡詐騙等刑事案件適用法律若干問題的意見》，加大對電信詐騙犯罪懲處力度。2017年6月，“兩高”《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》開始施行，界定了公民個人信息范圍，明確了“情節嚴重”標準，促使司法標準更為統一。

盡管個人信息保護已有相關法律法規和司法懲戒方面的明確，但對個人信息的保護仍然存在困境。

首先由于相關保護條款內容不集中、闡述不清晰、適用不明確、范圍受局限、處罰不具體，相關法律法規可操作性并不強。

河北冀華律師事務所副主任、高級合伙人張力直言，分散立法對個人信息保護的法律條款數量有限、適用范圍相對狹窄，對于違反法規的法律后果普遍缺乏明確，還有法律法規之間缺乏體系上的呼應，這都不利于實踐適用。

由此，直接造成即使司法部門出臺了相關意見、解釋，但在具體實踐中仍然存在案件處理認識不一、法律適用存在爭議等問題。

比如，公民在網站上自行公開個人信息，是否就能推定為同意他人收集使用？收集使用者的行為目的與公民公開信息的目的是否一致？對于個人信息的收集和使用有無限定、如何限定？這些在司法實務中尚有分歧。

值得注意的是，個人信息權屬于民事權利，當民事權利受侵害時，民事救濟應當是主要手段。但目前司法實踐卻是刑事保護在前、民事救濟靠后。統計數據顯示，2016年1月至2018年9月，全國檢察機關共起訴侵犯個人信息犯罪案件3719件8719人。

造成這一現象，既有目前電信詐騙等違法犯罪形勢嚴峻，司法以打擊為主的原因；也有個人信息權侵權行為隱蔽性強，侵權者與被侵害人處境不對等的客觀原因。

重刑輕民的后果就是不同司法機關在保護范圍、保護力度、證據要求等方面的不同做法，導致個人信息的民事司法保護與民眾的期待還有差距。據北京市朝陽區人民法院統計，近年來，涉及個人信息保護的案件增幅明顯，但原告勝訴率卻在下降，10年間原告全部或部分勝訴率由超過70%下降到不足50%。

專門立法推進系統保護

2017年全國人代會期間，十二屆全國人大五次會議新聞發言人傅瑩表示，對于個人信息的保護，目前采取的方式是在多項法律中關注和強化，現在新技術、新商業模式發展很快，對立法提出了新的挑戰，應當不斷地完善法律制度。

2018年全國人代會期間，全國人大代表、中國人民銀行武漢分行行長王玉玲等10名代表向大會提出建議，出臺個人信息保護法和配套立法，明確信息處理主體收集、利用和處理個人信息的基本原則和規范，為個人信息保護提供救濟途徑、保護程序，為我國個人信息的利用和保護構建系統化、整體化的解決方案。

新近出臺的《十三屆全國人大常委會立法規劃》中，個人信息保護法被列入第一類項目。此前，在十二屆立法規劃中，個人信息保護法“缺席”一類項目；十一屆立法規劃中，個人信息保護法僅被列入第三類項目。

“統一的個人信息保護立法將涉及憲法、刑法、民法、行政法等，將其相關規定整合成一部法律，這樣對個人信息保護的共性問題、基礎性問題作出規定，對個人信息的保護無疑具有突破性意義。”有評論如此寫道。

“如果買不到手機卡、銀行卡、公民個人信息，犯罪分子就不敢從事電信詐騙行業。”多位辦案民警表示，立法若能從源頭遏制電信網絡新型犯罪行為，明確強化各監管部門的職責和義務，這將是個人信息保護立法的最大意義。

在2018年11月初召開的第五屆世界互聯網大會上，浙江省人民檢察院檢察長賈宇表示，個人信息保護立法要平衡不同利益主體的關系，平衡有效保護與開發利用的關系，平衡個人安寧和社會發展的關系。在制度設計上堅持合法性原則、正當性原則、必要性原則，實現共贏多贏。要實行差異原則，區分信息的采集和使用，將信息使用作為重點規制環節。

個人信息保護法不可能面面俱到，只能明確基本原則、基本制度、基本行為規范和法律責任，因此必須和其他法律有效協同。

賈宇認為，個人信息保護法律法規的基本健全，要在民法典各分編中明確個人信息權的法律地位、權利屬性以及個人信息的收集使用原則；盡快制定個人信息保護法，推進個人信息的專門化、系統化保護；分領域制定規章制度，在金融、通信、電子商務、教育、醫療衛生、傳媒等重點領域制定個人信息保護行政法規、部門規章，形成既反映實際需要又整體統一的法律保護體系。

值得一提的是，在《十三屆全國人大常委會立法規劃》中，與個人信息保護法同時被列入一類項目的還有數據安全法。“數據安全法側重于國家數據安全利益，個人信息保護法側重于個人權益保障，這兩部法律同時列入一類項目，體現了相關法律在起草過程中的相互銜接和貫通。”張力說。

當然，在關注個人信息保護立法之外，公民首先要做到的是提高自我保護意識：比如，養成良好的網絡使用習慣，慎重勾選個人信息授權使用條款；最大限度避免復印件被用于其他用途；注意分辨識別釣魚網站、釣魚軟件，不隨便點擊陌生鏈接等等。