個人信息保護立法為何這么難

　　訪北京郵電大學網絡法律研究中心主任劉德良
　　對于現在還在成長時期的個人信息法律保護來說，關鍵在于立法、司法和執法都必須是一個開放的過程，在公開的監督和爭論中，逐漸達到一個既不背離原則、又不脫離現實的平衡
　　
　　“沒有隱私的地方就沒有尊嚴。”一位法國哲人如是感嘆。
　　我國的司法實踐中至今還沒有形成統一的隱私權概念，我國對隱私權的保護條款散見于《憲法》、《民法通則》等，對隱私權的保護往往采用間接、分散的方式來實現。一部具有統領意義的個人信息保護法令人期待，但是該法歷經八年仍未出臺，有專家認為，最重要的不是對個人信息保護立法的激情呼吁，而是需要切實突破立法中的藩籬，包括信息種類和范圍的界定難題，以及如何增強立法的可操作性和公民信息權的可救濟性。
　　對于個人信息保護法的遲遲無法出臺，中國社會科學院法學研究所研究員、《個人信息保護法》起草小組領銜人周漢華在接受本刊記者采訪時并不樂觀，“現在的情況比起三年前（指2008年草案呈交國務院）更悲觀，以前還有國務院信息辦來督促這個事，現在國信辦取消了，有關方面對于個人信息保護的立法也不太重視。總之，很難。”
　　針對個人信息保護立法的有關問題，本刊記者采訪了北京郵電大學網絡法律研究中心主任劉德良。
　　
　　用的是美國的定義，歐盟的內容
　　《方圓》：垃圾短信、垃圾郵件已是我們的生活常態，個人信息買賣甚至已形成完整的利益鏈條，這種情況為何屢禁不止？
　　劉德良：垃圾短信屢禁不止、個人信息濫用的現象得不到遏制，其癥結就在于現在立法的基礎——法律理論和法律制度存在問題。我國目前對個人信息的保護，雖然用的是美國的定義——“保護個人的著作以及其他智慧或情感的產物之原則，是為隱私權”，認為隱私權是人的自由權利的重要組成部分——但是其保護內容卻是在照搬歐盟的標準：把個人信息保護納入到人格權的保護之下，將其看成隱私權。
　　實際上，隱私權是一種消極性的權利，即保證這個信息不讓別人知道的權利。從民法及其理論上講，對此類案件做出的判決基本上是要求被告停止侵害、賠禮道歉、消除影響、精神損害賠償等等。前面幾項都沒有實際意義上的補償；而如果尋求精神損害賠償，原告就必須舉證精神受到了很大的損害，這個是相當困難的。即便此項判罰成立，賠償數額也非常小，因此，在既有的法律和理論下，商家侵權行為的成本幾乎為零；但是原告的維權成本非常高。可以說，用傳統的隱私權制度和理論來保護個人信息的做法在客觀上會縱容侵權行為的發生，而不能起到應有的預防和威懾作用。
　　《方圓》：我們對隱私權還沒有達成統一的認識？
　　劉德良：現在國內對隱私的認識非常混亂，其實隱私在社會學、心理學、法學、經濟學乃至日常生活不同背景和語境下的概念和含義是不同的，但是很多人都把這些定義混為一談。比如女性的三圍、身高、體重，很多人覺得是隱私，但它不是法學上的隱私。即使是在法學上，不同國家對于隱私權也沒有一個非常確切的概念，它和一個特定國家的政治、經濟、地域、文化傳統等等都是密切相關的。
　　Privacy（隱私）這個概念雖然起源于美國，但是它在美國的定義也是爭議頗多，著名的侵權行為法學者普羅瑟將隱私權的侵權行為分為四類：侵犯秘密，如侵入住宅、竊聽電話、偷閱信件等；公開揭露使人困擾的私人事實，例如公開傳述他人婚外情或不名譽疾病；公開揭露致使他人遭受公眾誤解；為自己利益而使用他人的姓名或特征。我將前面三種統歸類于消極性的人格權，它和人的尊嚴是直接密切相關的，而第四種我稱之為商業利用。
　　歐洲的隱私觀則是一個極端個人主義的隱私觀，個人領域、個人空間、個人信息，只要我個人不想讓你知道、不想讓你進入的，就是我的隱私。然而，采用這個理論的隱私權邊界實際上十分不清楚，如果按照這個來定義，那么別人隨隨便便就會侵犯到你的隱私。但是這個在現在的中國完全不具有可操作性。
　　從比較法上講，美國對隱私的定義更講究個人隱私和公共利益的平衡，甚至從某種意義上來講，是更加偏向于公共利益的。
　　
　　重點應在防止濫用
　　《方圓》：您能給我國的隱私一個法律上的定義嗎？
　　劉德良：隱私這個東西對中國來講是一個舶來品，中國的文化傳統是不講究隱私的。或者說是不講究“私”的，且“私”的貶義色彩比西方早期的“私”強烈得多：在貶義的一端，“私”含有實際上犯罪、不惜損害公共利益的極度自私以及暗中進行的不道德交易等方面的意思。最開始在法律中，我們講的是陰私，陰私是指不可告人的事，多含有貶義，范圍比較狹窄。
　　我國現在講隱私以個人主觀愿望為核心，這個不具有可操作性。法律上講的隱私一定是內涵可以確定、外延可以明確的概念。我贊成我們國家傳統講的“陰私觀”，因為陰私對人的尊嚴或社會評價起到作用。比如性取向、一些不為人知的重大疾病缺陷，這些信息大家一般都不讓別人知道，因為一旦知道就會感覺到很沒面子，在精神、心理、社會評價上造成相對負面的影響，這個是得到大家認同的。而女性的身高、三圍、體重，一看就能看得見，知道并不會對尊嚴、心理或者價值造成什么影響；又如手機號碼、家庭地址，它本身就是社會交往正常需要的，被人獲知正是它的價值所在。
　　《方圓》：個人信息和隱私又是一個什么關系？
　　劉德良：在美國，隱私就是個人信息。我國的個人信息可分為兩類，一類是與人的尊嚴有直接關系的，另一類是沒有關系的。對于前者，未經允許不能擅自披露，我們通常講的個人信息安全保護就是從這方面講的；另外一些與個人尊嚴沒有直接關聯的信息（比如個人電話號碼、單位、住址等等，也稱之為狹義的個人信息）則可以披露，甚至該被正常地利用，只是不能濫用，即商業濫用和個人騷擾。所以法律規定的重點應在防止濫用。這樣進行分類，是為了以后涉及個人信息安全問題時，權利主體可根據受侵犯內容的不同對其主張不同的民事權利。對于第一類個人信息可主張人格權，是消極性的權利，受到侵犯，可要求賠禮道歉等；對狹義的個人信息，若被做商用，可主張財產權。
　　《方圓》：近年來，我國有學者根據歐盟對個人信息保護的處理方式，提出了“信息自決權”，對此您怎么看？
　　劉德良：“信息自決權”也可以稱為“信息控制權”，即如果要使用個人信息，必須征得當事人的同意，不得隨意使用；當事人對收集的信息有信息查詢、更正等權利，也就是要對這些信息收集單位的行為進行規范。但是，這個提議缺少一個技術背景和邏輯前提：就是首先你要知道自己的信息何時何地被何人收集，保存在一個什么地方。
　　歐盟1995年通過的《個人數據保護指令》有類似的規定，但現在來看是有缺陷的。其技術背景是上世紀六七十年代，信息收集只有少數大型公司進行，收集方是確定的，因此作為信息所有人的個人可以行使進入權、更正權等。但現在，信息已經通過各種渠道被收集了，甚至多數情況下就是我們自己在不經意的情況下公開的，這些信息很多又轉到了網絡上，變得盡人皆知，你能在這種情況下認定信息發布者是誰，進而尋求法律救濟嗎？幾年前歐盟也對這個指令的實施情況作了一個調查報告，結果表明效果很不理想。
　　
　　個人信息的商業價值是一種財產
　　《方圓》：有人認為應該通過改善立法，保護個人的信息安全，您贊同嗎？
　　劉德良：現在的問題不是盲目地加強立法，而要先弄清楚問題的癥結所在。并非所有的個人信息都不可以公開；只有像裸照、性生活信息、不為人知的重大疾病缺陷等與人格尊嚴有直接關系的個人信息，一經披露或為他人知悉，就會對主體的尊嚴、社會評價或精神造成消極影響，因此才需要保密，未經允許不得擅自收集、披露和利用。
　　
　　而像姓名、工作單位、家庭住址、聯系電話等與人格尊嚴沒有直接關系的個人信息，其功能就是保障人們的正常社會活動和社會交往。同時，這些信息還是社會公眾知情權和言論自由權賴以實現的基礎。公開或知道這些信息并不會直接造成傷害，真正造成傷害的是后續的濫用行為。法律規制的重點應該是防止后續的濫用行為，尤其是商業性濫用行為。
　　一般人理解的個人信息安全就是信息不能被別人知道，事實上，這涉及一個個人信息分類的問題，不同的信息應該有不同程度、不同方式的法律保護。
　　《方圓》：如何對這兩類個人信息進行不同的法律保護？
　　劉德良：按照法律理論和邏輯，如果要預防和減少以營利為目的的侵權行為，應該通過加大侵權行為的成本，即要求和加大其侵權責任——財產責任；這種財產責任只能適用于侵害財產權或財產利益的情形；而侵犯人格權一般是不能要求侵權者承擔此法律責任的。
　　因此，必須承認個人信息的商業價值是一種財產，屬于個人所有。這樣，一旦侵權行為發生，受害人就可以要求商家承擔財產責任。從實際操作來講，未來的立法可以預先規定一個法定的賠償數額（這個數額的設定要考慮到侵權行為的成本和受害人維權的成本等因素），如果一次商業性濫用的侵權行為法定賠償數額為1萬元，而如果受害人能夠證明自己的損失或違法者因此獲利的數額，則可以按其實際損失或對方實際獲利的數額來請求賠償。
　　而那些私密性的信息，既具有人格利益，又具有財產利益，因此，對于那些以營利為目的而非法收集、加工、買賣和利用與人格尊嚴有直接關系個人信息的行為，受害人不僅可以要求加害人承擔人格侵權的法律責任，還可以同時要求其承擔相應的財產責任。
　　對個人信息賦予法律的財產權，也是對其潛在的商業價值的認可和尊重，能夠支持個人信息價值的積極流轉。現在商場中發行的會員卡，提供給消費者一些打折、積分的優惠，但需要顧客出讓自己一部分個人信息的使用為交換，這就是一種個人信息合法化的使用。
　　《方圓》：我們了解到，美國個人信息保護是更偏向公共利益的，在推進個人信息保護立法的同時，我們也需要注意這種平衡嗎？
　　劉德良：即使在有個人信息保護立法傳統的國家，涉及到個人信息保護仍存在諸多爭議。比如歐盟平衡個人信息保護和公共利益的原則是充分利益原則，只有在證明公共利益是充分必要時，才能適當減損個人信息方面的權利；美國則更為重視信息自由流動的價值意義，在平衡個人信息保護與公共利益的沖突時，采取實質損害原則，保護個人信息免于披露必須證明披露信息對個人造成實質損害或實質損害的威脅。
　　從世界各國的經驗來看，并不是說有了法律就能解決所有的問題，有些關于個人信息保護的爭議至今還沒有結果，例如個人信息保護過度和信息自由與新聞自由的矛盾、公共監控設備安裝的矛盾、國家安全的矛盾等。
　　在落實個人信息保護立法的同時，還應該有相關的《新聞法》、《記者法》等等保證公眾知情權的配套法律出臺。這樣才能在現實的司法實踐中，與個人信息保護制衡，避免個人信息保護的無限擴大化。對于現在還在成長時期的個人信息法律保護來說，關鍵在于立法、司法和執法都必須是一個開放的過程，是在公開的監督和爭論中，逐漸達到一個既不背離原則、又不脫離現實的平衡，這樣才能逐漸達到個人信息保護法律的不斷完善。
　　
　　1982年頒布的《中華人民共和國憲法》第三十八條規定，中華人民共和國公民的人格尊嚴不受侵犯。
　　1997年12月16日，公安部頒布的《計算機信息網絡國際聯網安全保護管理辦法》第七條規定，用戶的通信自由和通信秘密受法律保護，任何單位和個人不得違反法律規定，利用國際聯網侵犯用戶的通信自由和通信秘密。
　　2000年10月8日，信息產業部頒布的《互聯網電子公告服務管理規定》第十二條規定，電子公告服務提供者應當對上網用戶的個人信息保密，未經上網用戶同意，不得向他人泄露。
　　2003年，國務院信息辦委托中國社科院法學所個人數據保護法研究課題組承擔《個人數據保護法》比較研究課題，并草擬一份專家建議稿。
　　2005年4月，《中華人民共和國個人信息保護法（專家建議稿）及立法研究報告》專家建議稿完成。國務院有關部門啟動立法程序，并交由國務院信息辦正式起草。
　　2008年，《個人信息保護法》草案呈交至國務院。但何時能夠頒布，還沒有準確的時間。
　　2009年2月28日，第十一屆全國人大第七次會議通過《刑法修正案（七）》，在刑法第二百五十三條后增加一條，作為第二百五十三條之一，嚴懲出售、非法提供以及非法獲取公民個人信息的行為。
　　2011年3月8日，面對個人信息受侵犯日益增加的態勢，全國人大代表、黑龍江省哈爾濱市檢察院副檢察長孫桂華呼吁，應盡快出臺《個人信息保護法》，追究個人信息泄露者的法律責任。
　　
　　國外個人信息保護一覽
　　
　　據不完全統計，世界上制定了個人信息保護法律的國家或地區已經超過50個。就法律名稱使用的概念而言，主要有三個，分別是“個人數據”、“個人信息”與“隱私”。其中，使用個人數據概念的國家或地區最多，主要是歐洲理事會、歐盟、歐盟成員國以及其他受歐盟1995年指令影響而立法的大多數國家。在普通法國家（英國作為歐盟成員國除外），如美國、澳大利亞、新西蘭、加拿大等以及受美國影響較大的APEC，則大多使用隱私概念。在日本、韓國、俄羅斯等國，則使用“個人信息”概念。
　　概念的不同主要是源于不同的法律傳統和使用習慣，各國或地區的個人信息保護法律雖然在許多方面具有重大的差別，但是，它們都具有如下兩個共同的特征：第一，法律保護的對象是作為自然人的個人，而不是企業或其他組織。第二，法律所要實現的目標是使能夠識別特定個人的信息不被隨意收集、傳播或作其他處理，侵犯個人的權利。因此，法律規制的重點與其說是個人信息，不如說是“個人信息處理活動”更為貼切。
　　
　　日本
　　我更注重提高個人保護意識
　　2005年4月生效的《個人信息保護法》是日本保護個人信息安全的根本法律。
　　根據這一法律，日本國家行政機關、獨立行政法人和地方公共團體還制定了多項法律和條例，為個人信息保護中遇到的各種具體問題提供法律依據。
　　在健全法律的同時，日本政府同樣注重提高公民的個人信息保護意識。經過幾年的宣傳和普及教育，個人信息安全意識已滲透到日本人的生活中。
　　例如，過去日本人在邀請人參加活動時，習慣讓受邀請人用明信片的方式回復是否出席，主辦方在邀請信中夾一張印好回信地址的明信片，收信人需在明信片的背面選擇出席與否，再填上姓名、單位和住址等。
　　現在，許多主辦方會隨信附上一張和明信片尺寸相同的單面帶不干膠的紙板，并提醒收信人填寫完明信片后用紙板覆蓋。
　　
　　德國
　　個人數據保護評比，我是第一
　　早在1954年德國聯邦法院在審理案件中就將隱私權作為一項獨立的人格權并受到德國民法典保護。1970年，德國黑森州就頒布了德國首部地方性《數據保護法》，從而在全球開辟了一個新的立法領域。
　　2006年，德國人口最多的北威州頒布了名為《在線搜查法》的地方法，允許該州情報機關通過俗稱“特洛伊木馬”的遠程控制軟件及其他技術手段全面監控嫌疑人在互聯網上的活動，獲取嫌疑人電腦中的數據。此法一公布即引起極大爭議，有人認為這類法律使國家侵犯個人隱私合法化，但德國聯邦刑事警察局等安全機構認為，強調數據保護不是“保護罪犯”。
　　
　　美國
　　隱私權的概念由我提出
　　美國保護隱私權的法案早在1974年就已通過生效，隱私權的概念和理論，最初就源于美國。之后，又有《財務隱私權法》、《聯邦電子通信隱私權法》、《家庭教育權利及隱私法》、《計算機對比和隱私權保護法》等不斷補充進來，美國各州還制定了一些保護本州公民隱私的細化法律。
　　在美國某些州，任何人如果未經許可擅自搬運或打開居民個人的垃圾袋，都有可能面臨侵犯公民隱私權的起訴。
　　
　　英國
　　我還在努力中
　　1984年英國議會通過了《數據保護法》，此后，英國陸續通過了《調查權法》、《通信管理條例》和《通信數據保護指導原則》等法律。
　　英國對于個人數據侵權的行為按照其他類似的侵權行為承擔民事責任，如名譽、信息侵害的賠償等等，這與我國現行立法類似。間接保護方式不僅在訴訟上不方便，而且不利于受害人尋求司法保護，個人數據保護在英國的發展并不像在美國那樣繁榮。
　　近年來頻繁發生的個人信息泄露事件，讓英國民眾對政府的信息安全系統產生懷疑。英國稅務及海關總署曾因操作不規范，導致兩張郵寄出去的數據光盤丟失，涉及2500萬人、725萬個家庭的資料泄露。而據非官方數據顯示，在英國，平均每14個人就有一個攝像頭在監控，2011年2月11日，英國公布了保障公民自由的新法案，這個法案對于保障公民個人數據安全，限制監控錄像等問題做出了新的規定。
　　
　　加拿大
　　隱私保護，我和德國并列第一
　　加拿大對隱私權的保護采取分別立法，在《電信法》、《刑法典》以及新的《銀行法》、《保險公司法》、《信托公司法》等當中都有保護個人隱私權的規定。2000年4月，加拿大國會通過了《個人隱私法》，主要目的是保護互聯網用戶的個人數據信息，適用的主體為政府管理下的公司，如線路公司、電纜電視公司等。
　　州立法中，魁北克省的《人權與自由憲章》中認為隱私權包括兩方面，隱藏身份或不受干擾下生活的權利及獨處的權利。加拿大聯邦法院要求原告若以侵犯隱私權為起訴訴因，必須證明被告有做出法院已確認的侵權行為，如誹謗、侵擾等。