孙宪忠

中国社会科学院法学研究所研究员

第十二届全国人大代表（代表证号  0628）

 

案由

 

 

近年来，因为个人信息泄漏而造成的社会问题可以说是愈演愈烈，造成损害可以说是非常严重。不论是徐玉玉死亡案件、李文星死亡案件这些尖锐的个人受损害案件，还是集群性、大面积的民众尤其是老年人群体、青年学生群体受诈骗案件，都不但引起了社会的愤恨，也引起了社会的恐慌。

据2017年“两会”期间某个记者见面会公布的消息，仅2016年，我国6.88亿网民因垃圾短信、诈骗信息、个人信息泄漏等承受的经济损失达915亿元。

有关司法机关开展的针对这些和个人信息泄露有关的案件的查处，可以说是力度越来越大，不仅仅国内的打击而且跨国境的打击也已经多次举行。但是事实上在无数次这样严厉打击面前，信息泄露造成的损害还是没有得到有效地制止。

这种情况发生的原因，仔细分析之后就会发现，造成信息泄露和损害的源头并没有得到有效地治理——信息采集、保管、和利用的法律规制在我国尚付阙如。目前关于信息保密义务也只是在一些单行法规或者行政规章中有零散的规定，而没有系统的规制。所以我们现在的治理，只是末端治理而不是源头治理。

近年来随着我国民法典编纂工作的展开，法学界一些同事提出，希望在民法典中规定独立的人格权编，通过人格权保护的方法来治理信息泄漏问题。我们认为，这个建议可以说完全无法采纳，因为信息采集、保管、利用、泄露犯罪和侵权，看起来互相有联系，但是实际上涉及行政法、刑法、民法多个法律，民法在其中发挥的作用比较弱小。

比如，山东徐玉玉信息泄露案件，泄露者是教育行政管理部门、招生办、大学、中学等，要解决这个案件中的信息保护问题，就应该从掌管休息的这些部门入手，这就不是个民法问题。针对一些政府部门，电信部门、IT产业、互联网产业、铁路、民航、银行、学校、商场、医院信息收集信息和保管信息的社会群体性行为，民法完全是无能为力的。

另外，将来我国要建立的各种建立数据中心，所依靠的法律就是典型的行政法规则而不是民法规则。事实上，信息保护的立法对策，首先应该是行政法、刑法，民法上的侵权问题还并不是主要的法律手段，因为《民法总则》第111条并不禁止收集和保管个人信息，而现实的问题，恰恰首先出现在信息的收集、保管和利用的环节。

另外，目前我国社会和法学界一些同事将信息和“隐私”相混淆，从而把信息保护纳入到隐私保护，进而纳入到人格保护；进而用人格权保护的方法来保护信息，这种观点也不正确的。因为，信息是可以为他人、甚至必须为他人掌握的（比如电话号码、家庭住址等），而隐私是绝对私密的，不能透露给任何人的。因此我国《民法总则》第110条规定了包括隐私在内的人格权保护，而第111条规定了信息保护，以示这两件事情有重大的区别。

我们可以看到，不论是徐玉玉案件还是李文星案件，泄露的都是信息，而不是隐私。如果法学界在这个问题上不能建立准确认识，那必将会把信息保护问题引入了歧途。

我们注意到，在本项立法建议提出之前，已经就有全国人大代表提出了制定《个人信息保护法》的立法建议，这些年来还不断出现相关议案或者建议案。我们在这里提出的建议使用了“尽快”一词，表示对这一建议的支持。另外，我们也发现，以前一些议案或者建议案，多是根据现实问题提出的呼吁，其中多欠缺立法科学性、系统性对策。所以我们的建议并不是一项附议，而是基于立法专业性质的分析。

本项建议案的要点，是考虑到信息保护涉及多个法律领域、多种法律手段，因此必须采取综合治理的方式来解决信息保护问题。通过立法对策分析，我们认为，我国应该通过制定信息保护的特别法来解决这个严重而且紧迫的社会问题。

 

案据

 

 

根据中国社会科学院多年以来的研究，我国信息侵害的源头在于信息的采集和保管环节。中国社科院法学研究所针对个人信息保护现状组成的课题组，在全国多个地区进行调研，发现了很多涉及信息保护的问题。借鉴这些资料和我们的调查，发现信息保护的法律制度缺陷十分明显而且严重。

主要在于：

1、收集个人信息没有准入规则，似乎谁都可以收集个人信息。现实生活中我们可以发现，在我国没有收集个人信息的法律准入规则，谁都可以采集个人信息。除了一些政府部门和商家之外，我们还可以在一些公共场所遇到一些采集个人信息的个人或者企业。甚至有一些民间调查结构，似乎可以私自设立私自活动，把采集个人信息作为自己的专业。另外，一些没有必要收集个人信息的单位，为了固定自己的客户，也要采取各种手法收集个人信息。

2、有权收集个人信息者，多数存在着过度收集的问题。有关机构办理个人业务采集信息时，过度收集成为普遍现象，把大量基本无关的个人信息纳入自己的控制范围之内。

从目前掌握的情况看，几乎所有相关行业都存在着采集与本业务无关的信息的问题。一些政府部门收集的个人信息，可以说无所不包。电信部门、IT产业、互联网产业、铁路、民航、银行、学校、医院或者个体医生等部门，总是要利用自己预先确定格式条款合同来收集个人信息，都采集了与自己专业无关的身份信息。

比如，这些部门常常要求个人登记自己的家庭电话、手机号码、电子邮箱、银行卡号码、家庭住址以及家庭成员的情况等信息，这些信息实际上有很多和这些机构的业务毫无关系。

在这一方面做得最为过分的是一些商家，他们借助为客户办理积分卡的名义，要求客户提供的个人信息甚至要包括工作机构、受教育程度、婚姻状况、子女状况等全部信息。一些银行甚至要求申办信用卡的客户提供个人党派信息、配偶资料乃至联系人资料等。

3、掌握个人信息者，均认为他们获得的信息是自己的财产，而不认为自己应该对于信息涉及自然人承担严肃的法律义务。最近，腾讯与华为两个大公司之间，因为关于用户数据收集发生了激烈争议。新浪和脉脉也为抓取“微博”用户数据而发生激烈争议。

北京市某法院刚刚审结了淘友技术公司等与微梦公司合作期间取得并使用新浪微博用户的职业信息、教育信息的案件。本人从这些案件的材料中看到，这些公司都认为这些个人信息属于自己本公司的资产，如果未经许可取得别的公司的资产，就认为这是侵权。但是，这些公司没有一家认识到，这些信息涉及到的信息主的权益问题，也认识不到自己对信息主严肃的法律义务。

4、擅自披露个人信息。有关机构未获法律授权、未经本人许可或者超出必要限度地披露他人个人信息的情形普遍而且严重。比如，一些地方对行人、非机动车交通违法人员的姓名、家庭住址、工作单位以及违法行为进行公示；有些银行通过网站、有关媒体披露欠款者的姓名、证件号码、通信地址等信息；有的学校在校园网上公示师生缺勤的原因，或者擅自公布贫困生的详细情况。

5、对个人信息保管不力，内部管理不严格。获得个人信息者，一般均不设定信息保护密码，或者只设立非常简单的密码，不但这些单位职工非法转让个人信息牟利，其他一些不法分子也可以登录其网页找寻他们占有的个人信息。从媒体报道的情况看，这种情形以银行、保险公司、航空公司、铁路、医院、大中小学校、教育行政管理部门等行业为甚。这些部门对于他们收集的个人信息没有采取必要的管理措施，造成信息被本单位职工和他人盗用牟利。

6、非法买卖个人信息。调查发现，社会上出现了大量兜售房主信息、考生信息、股民信息、商务人士信息、车主信息、电信用户信息、患者信息的现象，并以此形成了违法和犯罪产业，从而造成严重的社会恶果。徐玉玉案件、李文星案，就是典型。现在，考生在高考之后，其个人信息很快就会进入市场买卖。个人在办理购房、购车、住院等手续之后，相关信息被有关机构或其工作人员卖给房屋中介、保险公司、母婴用品企业、广告公司等。

显然，建立保护个人信息的立法，在目前已经显得刻不容缓。这是因为我国目前还没有这样的法律。

目前，我国法律提及个人信息保护的，在国家基本法层面的，仅仅只有2017年3月刚刚制定的《民法总则》的第111条。该条文规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应该依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”

这个规定从基本法的角度第一次建立了信息保护的规则，可以说意义非常重大。但是我们从它的内容可以清楚看出，这个法律条文是从禁止侵害的角度来保护个人信息的。这个条文没有禁止采集、保管和利用信息，那么，如何合法地“收集、使用、加工、传输”个人信息，这个法律条文没有任何规定。

《民法总则》的这个规定是十分正确的，因为民法无法建立管理社会群体性行为的规则。从上文的分析我们可以看出，信息的采集、保管、利用，在我国是涉及很多机构和单位的群体性社会行为。

举例来说，可以发生这些行为的，有公安以及民政等多个政府部门，也有互联网产业、电信产业、IT产业、铁路、民航、银行、学校、医院或者个体医生等等产业行业。对这种群体性社会行为建立法律规则，属于社会管理性规则，这种法律规制，显然应该属于行政法范畴，而不是民法能够承担的责任，所以《民法总则》仅仅从侵权禁止的角度（也就是上文所说的信息保护的末端治理的角度）来规定个人信息保护是非常正确的。

另外，我国针对个人信息保护的法律还有《刑法》。

这个规定虽然十分重要，但是因为它仅仅了规定信息犯罪与惩罚的规则（这是立法职责划分的必要），它仍然是信息保护的末端治理，而不是源头治理。该法律修正案生效已经多年，它在打击信息犯罪方面确实发挥了极大的作用，但是我们可以看到，这种犯罪仍然没有得到有效的遏制。这一点，非常清楚地说明了对信息保护的立法必须转变观念。

事实上，我国已经制定的针对某些行业和部门的单行法规中，已经规定了不少涉及个人信息保护的内容，尤其是近年来全国人大制定的法律保护单行法律在内，都注意写入个人信息保护的内容。如下表格可以清楚地看到这一点。

• 我国涉及个人信息保护的单行法律规定

除此之外，还有一些政府部门的规章也对此做出了规定。比如信息产业部于2000年11月7日发布的《互联网电子公告服务管理规定》中提及“电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意，不得向他人泄露”，违反此规定者，由电信管理机构责令改正，给上网用户造成损害或者损失的，依法承担法律责任。

这个部门规章，只是规定了互联网领域的信息泄露处理方法，在《民法总则》没有制定之前也发挥了一定的作用，但是其作用的范围是有限的。此外还有一些管理部门，从不同的角度建立了一些个人信息保护的规则。

应该看到这些规定在保护个人信息方面已经发挥了很大的作用。但是，我们还要看到，这些规定的特点基本上都是制裁性规范，也就是末端行为规范，而没有引导性的行为规范，即源头治理的规范，也就是我们在上文讨论中提到的，从信息的收集、保管、利用各个环节提出的一般要求性的规范。

这些法律中，对个人信息保护规定比较多的2015年的“网络安全法”，它对于网络上信息的收集和保管制定了比较多的管理性内容。但是从个人信息保护的角度看，该法的缺陷还是明显的：

基于以上分析，我国现在真正需要建立的信息保护法律制度，是能够满足从信息采集、保管、利用的源头来保护的制度。对个人信息保护的现状进行治理，必须首先是源头治理，当然，对信息侵权、犯罪的法律措施也应该紧密跟上。所以我们在这里郑重提出制定《个人信息保护法》、以行政法规则、民法规则和刑法规则相结合的综合治理的方式来建立信息保护制度的建议。

目前，世界上已经有九十多个国家和地区制定了独立的《个人信息保护法》，其中的典型是欧盟的《通用数据保护条例》、日本的《个人信息保护法》，和台湾地区的《个人资料保护法》，新加坡的《个人资料保护法令》等等。如此多的国家和地区都认识到，依靠单一的法律来建立信息保护制度是不可取的。

 

方案

 

 

建立《个人信息保护法》的基本出发点，一是从源头保护做起，二是采取综合手段保护。当然，在立法中，我们应该准确地定义什么是个人信息，不要把个人隐私纳入进来，以避免立法走入歧途。我们认为，综合保护个人信息，首先要从信息获得的源头建立制度，然后才是法律制裁。

从这些思路入手，我们认为，我国的《个人信息保护法》确立的法律制度，应该包括如下方面：

首先，我们建议建立信息采集的许可原则，法律禁止任何机构、单位或者个人，在没有获得法律许可的情况下采集个人信息。采集信息者，事先应该就其采集的方式、内容、对象等报请有关部门审批。

其次，应该采纳同意原则，不论是信息的采集、使用或者披露，都应该获得信息主的同意。采集者必须事先向信息主做出充分的说明，使得信息主知悉采集信息的必要性与可靠性。在使用信息的环节，应该在尽可能的情况下让信息主知悉信息利用的目的、方式和范围等。如果因为客观的原因不能让信息主知悉，那么就应该获得政府主管机构的审批。

再次，信息的采集，采取秘密原则，采集信息的过程，应该有足够的隐蔽，防止其他人趁机窃取。

最后，信息的采集，应该范围限制原则，即，法律只能许可采集有范围限制的信息，不许可任何单位和个人漫无边际地采集他人信息。

个人信息保护立法的核心环节，是法律许可机构或者个人获得他人信息之后，涉及信息占有者和信息主之间的权利和义务问题。这个问题是立法的核心环节，涉及的法律问题需要借助于各个法律学科共同的力量来攻关解决。

无论如何我们认为，信息获得者对这些信息仅仅只有占有的权利，并没有所有权。我们不同意信息占有者将这些信息当作自己的财产的观点。同时，我们必须强调，按照《民法总则》第111条，信息获得者他们获得的信息负有严格保护的义务，以及依法使用的义务等。就信息涉及的权利和义务问题，应该作为立法认真讨论解决。

从行政管理的角度，在国家层面设立专门机构，对个人信息安全承担全面的责任。在立法之内，设立专门条文，对各种机构、产业和行业逐一提出普遍的保密义务和法律责任。这一次立法建立的规范，不能仅仅限制于某些机构或者部门，而应该针对全部政府部门、电信部门、IT产业、互联网产业、铁路、民航、银行、学校、医院或者个体医生等占有他人信息者。这个法律应该是一个社会群体性行为的系统规范，而不是一个行业的规范。所以在法律上提出的义务和责任应该具有普遍性。

另外，我们现在必须通过提出在信息上加密的普遍义务和责任。从目前情况看，这种义务必须作为强制性规则来推行。信息安全保护机关有权利，按照这一普遍责任和义务，督促占有个人信息的机构或者产业行业单位、个人履行相关责任和义务，并对其违法行为予以惩戒。

比如，可以依据《个人信息保护法》，要求电信产业设立防止利用信息诈骗的保护网，也可以要求互联网产业设立诈骗信息屏障等。现在，几乎每一个有手机的人，都收到过诈骗信息；家庭电话，也不断收到诈骗电话。这些从技术上来看似乎并不难解决的问题，长期没有得以解决。行政机关可以设立时限，要求这些产业完成相关保护措施。

在个人信息保护方面涉及民事责任时，我们认为应该建立普遍的严格责任制度，把侵权人的抗辩理由压缩到极小范围。另外，在信息泄露者和利用信息侵害者之间，应该首先建立由信息泄露者对受害人赔偿的法律规则。如果能够建立这样的规则，那么信息泄露的问题大多数就可以解决。

在追究信息保护涉及的刑事责任方面，我们认为目前的立法还有两个显著缺陷：

显然，如上综合治理措施，应该统一纳入到《个人信息保护法》中为宜。

以上意见供参考。