个人信息保护立法为何这么难

访北京邮电大学网络法律研究中心主任刘德良

对于现在还在成长时期的个人信息法律保护来说，关键在于立法、司法和执法都必须是一个开放的过程，在公开的监督和争论中，逐渐达到一个既不背离原则、又不脱离现实的平衡

“没有隐私的地方就没有尊严。”一位法国哲人如是感叹。

我国的司法实践中至今还没有形成统一的隐私权概念，我国对隐私权的保护条款散见于《宪法》、《民法通则》等，对隐私权的保护往往采用间接、分散的方式来实现。一部具有统领意义的个人信息保护法令人期待，但是该法历经八年仍未出台，有专家认为，最重要的不是对个人信息保护立法的激情呼吁，而是需要切实突破立法中的藩篱，包括信息种类和范围的界定难题，以及如何增强立法的可操作性和公民信息权的可救济性。

对于个人信息保护法的迟迟无法出台，中国社会科学院法学研究所研究员、《个人信息保护法》起草小组领衔人周汉华在接受本刊记者采访时并不乐观，“现在的情况比起三年前（指2008年草案呈交国务院）更悲观，以前还有国务院信息办来督促这个事，现在国信办取消了，有关方面对于个人信息保护的立法也不太重视。总之，很难。”

针对个人信息保护立法的有关问题，本刊记者采访了北京邮电大学网络法律研究中心主任刘德良。

用的是美国的定义，欧盟的内容

《方圆》：垃圾短信、垃圾邮件已是我们的生活常态，个人信息买卖甚至已形成完整的利益链条，这种情况为何屡禁不止？

刘德良：垃圾短信屡禁不止、个人信息滥用的现象得不到遏制，其症结就在于现在立法的基础――法律理论和法律制度存在问题。我国目前对个人信息的保护，虽然用的是美国的定义――“保护个人的著作以及其他智慧或情感的产物之原则，是为隐私权”，认为隐私权是人的自由权利的重要组成部分――但是其保护内容却是在照搬欧盟的标准：把个人信息保护纳入到人格权的保护之下，将其看成隐私权。

实际上，隐私权是一种消极性的权利，即保证这个信息不让别人知道的权利。从民法及其理论上讲，对此类案件做出的判决基本上是要求被告停止侵害、赔礼道歉、消除影响、精神损害赔偿等等。前面几项都没有实际意义上的补偿；而如果寻求精神损害赔偿，原告就必须举证精神受到了很大的损害，这个是相当困难的。即便此项判罚成立，赔偿数额也非常小，因此，在既有的法律和理论下，商家侵权行为的成本几乎为零；但是原告的维权成本非常高。可以说，用传统的隐私权制度和理论来保护个人信息的做法在客观上会纵容侵权行为的发生，而不能起到应有的预防和威慑作用。

《方圆》：我们对隐私权还没有达成统一的认识？

刘德良：现在国内对隐私的认识非常混乱，其实隐私在社会学、心理学、法学、经济学乃至日常生活不同背景和语境下的概念和含义是不同的，但是很多人都把这些定义混为一谈。比如女性的三围、身高、体重，很多人觉得是隐私，但它不是法学上的隐私。即使是在法学上，不同国家对于隐私权也没有一个非常确切的概念，它和一个特定国家的政治、经济、地域、文化传统等等都是密切相关的。

Privacy（隐私）这个概念虽然起源于美国，但是它在美国的定义也是争议颇多，著名的侵权行为法学者普罗瑟将隐私权的侵权行为分为四类：侵犯秘密，如侵入住宅、窃听电话、偷阅信件等；公开揭露使人困扰的私人事实，例如公开传述他人婚外情或不名誉疾病；公开揭露致使他人遭受公众误解；为自己利益而使用他人的姓名或特征。我将前面三种统归类于消极性的人格权，它和人的尊严是直接密切相关的，而第四种我称之为商业利用。

欧洲的隐私观则是一个极端个人主义的隐私观，个人领域、个人空间、个人信息，只要我个人不想让你知道、不想让你进入的，就是我的隐私。然而，采用这个理论的隐私权边界实际上十分不清楚，如果按照这个来定义，那么别人随随便便就会侵犯到你的隐私。但是这个在现在的中国完全不具有可操作性。

从比较法上讲，美国对隐私的定义更讲究个人隐私和公共利益的平衡，甚至从某种意义上来讲，是更加偏向于公共利益的。

重点应在防止滥用

《方圆》：您能给我国的隐私一个法律上的定义吗？

刘德良：隐私这个东西对中国来讲是一个舶来品，中国的文化传统是不讲究隐私的。或者说是不讲究“私”的，且“私”的贬义色彩比西方早期的“私”强烈得多：在贬义的一端，“私”含有实际上犯罪、不惜损害公共利益的极度自私以及暗中进行的不道德交易等方面的意思。最开始在法律中，我们讲的是阴私，阴私是指不可告人的事，多含有贬义，范围比较狭窄。

我国现在讲隐私以个人主观愿望为核心，这个不具有可操作性。法律上讲的隐私一定是内涵可以确定、外延可以明确的概念。我赞成我们国家传统讲的“阴私观”，因为阴私对人的尊严或社会评价起到作用。比如性取向、一些不为人知的重大疾病缺陷，这些信息大家一般都不让别人知道，因为一旦知道就会感觉到很没面子，在精神、心理、社会评价上造成相对负面的影响，这个是得到大家认同的。而女性的身高、三围、体重，一看就能看得见，知道并不会对尊严、心理或者价值造成什么影响；又如手机号码、家庭地址，它本身就是社会交往正常需要的，被人获知正是它的价值所在。

《方圆》：个人信息和隐私又是一个什么关系？

刘德良：在美国，隐私就是个人信息。我国的个人信息可分为两类，一类是与人的尊严有直接关系的，另一类是没有关系的。对于前者，未经允许不能擅自披露，我们通常讲的个人信息安全保护就是从这方面讲的；另外一些与个人尊严没有直接关联的信息（比如个人电话号码、单位、住址等等，也称之为狭义的个人信息）则可以披露，甚至该被正常地利用，只是不能滥用，即商业滥用和个人骚扰。所以法律规定的重点应在防止滥用。这样进行分类，是为了以后涉及个人信息安全问题时，权利主体可根据受侵犯内容的不同对其主张不同的民事权利。对于第一类个人信息可主张人格权，是消极性的权利，受到侵犯，可要求赔礼道歉等；对狭义的个人信息，若被做商用，可主张财产权。

《方圆》：近年来，我国有学者根据欧盟对个人信息保护的处理方式，提出了“信息自决权”，对此您怎么看？

刘德良：“信息自决权”也可以称为“信息控制权”，即如果要使用个人信息，必须征得当事人的同意，不得随意使用；当事人对收集的信息有信息查询、更正等权利，也就是要对这些信息收集单位的行为进行规范。但是，这个提议缺少一个技术背景和逻辑前提：就是首先你要知道自己的信息何时何地被何人收集，保存在一个什么地方。

欧盟1995年通过的《个人数据保护指令》有类似的规定，但现在来看是有缺陷的。其技术背景是上世纪六七十年代，信息收集只有少数大型公司进行，收集方是确定的，因此作为信息所有人的个人可以行使进入权、更正权等。但现在，信息已经通过各种渠道被收集了，甚至多数情况下就是我们自己在不经意的情况下公开的，这些信息很多又转到了网络上，变得尽人皆知，你能在这种情况下认定信息者是谁，进而寻求法律救济吗？几年前欧盟也对这个指令的实施情况作了一个调查报告，结果表明效果很不理想。

个人信息的商业价值是一种财产

《方圆》：有人认为应该通过改善立法，保护个人的信息安全，您赞同吗？

刘德良：现在的问题不是盲目地加强立法，而要先弄清楚问题的症结所在。并非所有的个人信息都不可以公开；只有像、性生活信息、不为人知的重大疾病缺陷等与人格尊严有直接关系的个人信息，一经披露或为他人知悉，就会对主体的尊严、社会评价或精神造成消极影响，因此才需要保密，未经允许不得擅自收集、披露和利用。

而像姓名、工作单位、家庭住址、联系电话等与人格尊严没有直接关系的个人信息，其功能就是保障人们的正常社会活动和社会交往。同时，这些信息还是社会公众知情权和言论自由权赖以实现的基础。公开或知道这些信息并不会直接造成伤害，真正造成伤害的是后续的滥用行为。法律规制的重点应该是防止后续的滥用行为，尤其是商业性滥用行为。

一般人理解的个人信息安全就是信息不能被别人知道，事实上，这涉及一个个人信息分类的问题，不同的信息应该有不同程度、不同方式的法律保护。

《方圆》：如何对这两类个人信息进行不同的法律保护？

刘德良：按照法律理论和逻辑，如果要预防和减少以营利为目的的侵权行为，应该通过加大侵权行为的成本，即要求和加大其侵权责任――财产责任；这种财产责任只能适用于侵害财产权或财产利益的情形；而侵犯人格权一般是不能要求侵权者承担此法律责任的。

因此，必须承认个人信息的商业价值是一种财产，属于个人所有。这样，一旦侵权行为发生，受害人就可以要求商家承担财产责任。从实际操作来讲，未来的立法可以预先规定一个法定的赔偿数额（这个数额的设定要考虑到侵权行为的成本和受害人维权的成本等因素），如果一次商业性滥用的侵权行为法定赔偿数额为1万元，而如果受害人能够证明自己的损失或违法者因此获利的数额，则可以按其实际损失或对方实际获利的数额来请求赔偿。

而那些私密性的信息，既具有人格利益，又具有财产利益，因此，对于那些以营利为目的而非法收集、加工、买卖和利用与人格尊严有直接关系个人信息的行为，受害人不仅可以要求加害人承担人格侵权的法律责任，还可以同时要求其承担相应的财产责任。

对个人信息赋予法律的财产权，也是对其潜在的商业价值的认可和尊重，能够支持个人信息价值的积极流转。现在商场中发行的会员卡，提供给消费者一些打折、积分的优惠，但需要顾客出让自己一部分个人信息的使用为交换，这就是一种个人信息合法化的使用。

《方圆》：我们了解到，美国个人信息保护是更偏向公共利益的，在推进个人信息保护立法的同时，我们也需要注意这种平衡吗？

刘德良：即使在有个人信息保护立法传统的国家，涉及到个人信息保护仍存在诸多争议。比如欧盟平衡个人信息保护和公共利益的原则是充分利益原则，只有在证明公共利益是充分必要时，才能适当减损个人信息方面的权利；美国则更为重视信息自由流动的价值意义，在平衡个人信息保护与公共利益的冲突时，采取实质损害原则，保护个人信息免于披露必须证明披露信息对个人造成实质损害或实质损害的威胁。

从世界各国的经验来看，并不是说有了法律就能解决所有的问题，有些关于个人信息保护的争议至今还没有结果，例如个人信息保护过度和信息自由与新闻自由的矛盾、公共监控设备安装的矛盾、国家安全的矛盾等。

在落实个人信息保护立法的同时，还应该有相关的《新闻法》、《记者法》等等保证公众知情权的配套法律出台。这样才能在现实的司法实践中，与个人信息保护制衡，避免个人信息保护的无限扩大化。对于现在还在成长时期的个人信息法律保护来说，关键在于立法、司法和执法都必须是一个开放的过程，是在公开的监督和争论中，逐渐达到一个既不背离原则、又不脱离现实的平衡，这样才能逐渐达到个人信息保护法律的不断完善。

1982年颁布的《中华人民共和国宪法》第三十八条规定，中华人民共和国公民的人格尊严不受侵犯。

1997年12月16日，公安部颁布的《计算机信息网络国际联网安全保护管理办法》第七条规定，用户的通信自由和通信秘密受法律保护，任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。

2000年10月8日，信息产业部颁布的《互联网电子公告服务管理规定》第十二条规定，电子公告服务提供者应当对上网用户的个人信息保密，未经上网用户同意，不得向他人泄露。

2003年，国务院信息办委托中国社科院法学所个人数据保护法研究课题组承担《个人数据保护法》比较研究课题，并草拟一份专家建议稿。

2005年4月，《中华人民共和国个人信息保护法（专家建议稿）及立法研究报告》专家建议稿完成。国务院有关部门启动立法程序，并交由国务院信息办正式起草。

2008年，《个人信息保护法》草案呈交至国务院。但何时能够颁布，还没有准确的时间。

2009年2月28日，第十一届全国人大第七次会议通过《刑法修正案（七）》，在刑法第二百五十三条后增加一条，作为第二百五十三条之一，严惩出售、非法提供以及非法获取公民个人信息的行为。

2011年3月8日，面对个人信息受侵犯日益增加的态势，全国人大代表、黑龙江省哈尔滨市检察院副检察长孙桂华呼吁，应尽快出台《个人信息保护法》，追究个人信息泄露者的法律责任。

国外个人信息保护一览

据不完全统计，世界上制定了个人信息保护法律的国家或地区已经超过50个。就法律名称使用的概念而言，主要有三个，分别是“个人数据”、“个人信息”与“隐私”。其中，使用个人数据概念的国家或地区最多，主要是欧洲理事会、欧盟、欧盟成员国以及其他受欧盟1995年指令影响而立法的大多数国家。在普通法国家（英国作为欧盟成员国除外），如美国、澳大利亚、新西兰、加拿大等以及受美国影响较大的APEC，则大多使用隐私概念。在日本、韩国、俄罗斯等国，则使用“个人信息”概念。

概念的不同主要是源于不同的法律传统和使用习惯，各国或地区的个人信息保护法律虽然在许多方面具有重大的差别，但是，它们都具有如下两个共同的特征：第一，法律保护的对象是作为自然人的个人，而不是企业或其他组织。第二，法律所要实现的目标是使能够识别特定个人的信息不被随意收集、传播或作其他处理，侵犯个人的权利。因此，法律规制的重点与其说是个人信息，不如说是“个人信息处理活动”更为贴切。

日本

我更注重提高个人保护意识

2005年4月生效的《个人信息保护法》是日本保护个人信息安全的根本法律。

根据这一法律，日本国家行政机关、独立行政法人和地方公共团体还制定了多项法律和条例，为个人信息保护中遇到的各种具体问题提供法律依据。

在健全法律的同时，日本政府同样注重提高公民的个人信息保护意识。经过几年的宣传和普及教育，个人信息安全意识已渗透到日本人的生活中。

例如，过去日本人在邀请人参加活动时，习惯让受邀请人用明信片的方式回复是否出席，主办方在邀请信中夹一张印好回信地址的明信片，收信人需在明信片的背面选择出席与否，再填上姓名、单位和住址等。

现在，许多主办方会随信附上一张和明信片尺寸相同的单面带不干胶的纸板，并提醒收信人填写完明信片后用纸板覆盖。

德国

个人数据保护评比，我是第一

早在1954年德国联邦法院在审理案件中就将隐私权作为一项独立的人格权并受到德国民法典保护。1970年，德国黑森州就颁布了德国首部地方性《数据保护法》，从而在全球开辟了一个新的立法领域。

2006年，德国人口最多的北威州颁布了名为《在线搜查法》的地方法，允许该州情报机关通过俗称“特洛伊木马”的远程控制软件及其他技术手段全面监控嫌疑人在互联网上的活动，获取嫌疑人电脑中的数据。此法一公布即引起极大争议，有人认为这类法律使国家侵犯个人隐私合法化，但德国联邦刑事警察局等安全机构认为，强调数据保护不是“保护罪犯”。

美国

隐私权的概念由我提出

美国保护隐私权的法案早在1974年就已通过生效，隐私权的概念和理论，最初就源于美国。之后，又有《财务隐私权法》、《联邦电子通信隐私权法》、《家庭教育权利及隐私法》、《计算机对比和隐私权保护法》等不断补充进来，美国各州还制定了一些保护本州公民隐私的细化法律。

在美国某些州，任何人如果未经许可擅自搬运或打开居民个人的垃圾袋，都有可能面临侵犯公民隐私权的。

英国

我还在努力中

1984年英国议会通过了《数据保护法》，此后，英国陆续通过了《调查权法》、《通信管理条例》和《通信数据保护指导原则》等法律。

英国对于个人数据侵权的行为按照其他类似的侵权行为承担民事责任，如名誉、信息侵害的赔偿等等，这与我国现行立法类似。间接保护方式不仅在诉讼上不方便，而且不利于受害人寻求司法保护，个人数据保护在英国的发展并不像在美国那样繁荣。

近年来频繁发生的个人信息泄露事件，让英国民众对政府的信息安全系统产生怀疑。英国税务及海关总署曾因操作不规范，导致两张邮寄出去的数据光盘丢失，涉及2500万人、725万个家庭的资料泄露。而据非官方数据显示，在英国，平均每14个人就有一个摄像头在监控，2011年2月11日，英国公布了保障公民自由的新法案，这个法案对于保障公民个人数据安全，限制监控录像等问题做出了新的规定。

加拿大

隐私保护，我和德国并列第一

加拿大对隐私权的保护采取分别立法，在《电信法》、《刑法典》以及新的《银行法》、《保险公司法》、《信托公司法》等当中都有保护个人隐私权的规定。2000年4月，加拿大国会通过了《个人隐私法》，主要目的是保护互联网用户的个人数据信息，适用的主体为政府管理下的公司，如线路公司、电缆电视公司等。

州立法中，魁北克省的《人权与自由》中认为隐私权包括两方面，隐藏身份或不受干扰下生活的权利及独处的权利。加拿大联邦法院要求原告若以侵犯隐私权为诉因，必须证明被告有做出法院已确认的侵权行为，如诽谤、侵扰等。