個人信息保護法雖然早已列入我國立法議程，但是由于其復雜性，一直以來進展十分緩慢，始終未進入實質(zhì)性階段。

社交媒體巨頭Facebook因5000萬用戶數(shù)據(jù)泄露一事，站上了輿論的風口浪尖。事實上，中國也是網(wǎng)絡信息泄露的重災區(qū)。如何發(fā)揮合力、保護用戶隱私、維護中國網(wǎng)絡安全，成為亟待解決的命題。

用戶信息“裸奔”有原因

手機軟件、免費無線網(wǎng)絡、搜索引擎、電商平臺……這些常使用的互聯(lián)網(wǎng)場景，很可能成為個人信息的主要漏洞。統(tǒng)計顯示，目前網(wǎng)絡用戶信息泄露大部分都發(fā)生在移動端。

日前，騰訊社會研究中心與某互聯(lián)網(wǎng)數(shù)據(jù)中心聯(lián)合發(fā)布了《2017年度網(wǎng)絡隱私安全及網(wǎng)絡欺詐行為分析報告》。報告顯示，2017年下半年，安卓系統(tǒng)手機應用中，有98.5%都在獲取用戶隱私權(quán)限。雖然絕大多數(shù)軟件獲取用戶隱私是出于用戶正常使用產(chǎn)品的目的，但也有9%的手機應用在2017下半年存在越界獲取用戶隱私權(quán)限的現(xiàn)象。

另一項數(shù)據(jù)顯示，目前電信網(wǎng)絡詐騙案件90%以上是違法分子靠掌握公民詳細信息進行的精準詐騙。從已破獲案件看，互聯(lián)網(wǎng)平臺內(nèi)部監(jiān)守自盜和黑客攻擊是公民個人信息泄露的主要渠道。

據(jù)了解，當前中國網(wǎng)絡非法從業(yè)人員已超150萬人，其背后孕育著一條千億元級別的黑色產(chǎn)業(yè)鏈。在已經(jīng)破獲的個人信息販賣案中，數(shù)據(jù)級別動輒高達數(shù)億甚至數(shù)十億。例如，數(shù)目最大的“9·27特大竊取販賣公民個人信息專案”中，被盜公民個人信息超過50億條。

中國信息安全測評中心黨委書記吳世忠表示，信息泄露將會給基于互聯(lián)網(wǎng)構(gòu)建的信息社會帶來巨大隱患。他舉例指出，單一的個人信息泄露會直接影響到個人隱私、社會交往和經(jīng)濟利益;局部性、群體性的個人信息泄露有可能導致網(wǎng)絡犯罪和社會問題;大規(guī)模的個人信息泄露會引起公眾恐慌，危及社會穩(wěn)定;敏感的、跨境的個人信息泄露更會關乎國家發(fā)展和安全利益。

中國網(wǎng)民防范意識薄弱，是導致用戶信息“裸奔”的一大因素。

事實上，中國網(wǎng)民并非沒有意識到自己手機里信息泄露的風險。據(jù)《中國網(wǎng)民權(quán)益保護調(diào)查報告（2017）》顯示，中國57%的網(wǎng)民認為個人信息泄露嚴重，76%的網(wǎng)民親身感受到個人信息泄露帶來的諸多不良影響。然而，另一調(diào)查數(shù)據(jù)也顯示，四成手機用戶在安裝或使用手機應用之前，從來不看授權(quán)須知。北京市消費者協(xié)會發(fā)布的調(diào)查結(jié)果顯示，有42.31%的人不知道授權(quán)應用采集的個人信息可能一直被留存;有79.23%的人認為手機應用上的個人信息不安全，但只有6.15%的人在安裝或使用手機應用之前會經(jīng)常看授權(quán)須知。

此外，監(jiān)管缺位也是網(wǎng)絡信息泄露頻發(fā)的一大因素。據(jù)了解，一些地方網(wǎng)絡信息安全多頭管理問題比較突出，但在發(fā)生信息泄露、濫用用戶個人信息等信息安全事件后，用戶又經(jīng)常遇到投訴無門、部門之間推諉扯皮的問題。

個人信息權(quán)立法難在哪兒

中國政法大學副校長馬懷德在接受媒體采訪時就曾公開呼吁，有關個人信息保護立法進程應該加速，有關法律應盡快出臺。

“我們應該充分認識到問題的緊迫性與嚴重性，在大數(shù)據(jù)時代，一方面是信息自由、信息分享帶來的無與倫比的經(jīng)濟發(fā)展動力;另一方面則是我們從未面臨過的、嚴峻的信息泄露威脅和網(wǎng)絡安全問題。尤其是個人信息保護問題，更在法律領域內(nèi)日益凸顯，有關立法出臺可以說是刻不容緩?！瘪R懷德說。

據(jù)了解，相對于互聯(lián)網(wǎng)領域的其他問題，個人信息保護法雖然早已列入我國立法議程，但是由于其復雜性，一直以來進展十分緩慢，始終未進入實質(zhì)性階段。

另外，個人信息權(quán)立法一直以來推進緩慢的原因主要在于法律概念如何界定還存在爭議。

主要的爭議可以歸結(jié)為個人信息被加工后是屬于加工者還是屬于個人。舉個例子，大數(shù)據(jù)時代，一個人的喜好是可以被互聯(lián)網(wǎng)數(shù)據(jù)公司通過分析整理形成一系列有效數(shù)據(jù)的，那么這個數(shù)據(jù)的所有者應該是屬于互聯(lián)網(wǎng)公司，還是屬于被加工者個人？

這個概念如何界定，關乎數(shù)據(jù)產(chǎn)業(yè)未來的發(fā)展。

根據(jù)歐盟將在5月25日實施的《一般數(shù)據(jù)保護條例》規(guī)定，歐盟在一定程度上是保護加工者的數(shù)據(jù)加工權(quán)，但同時也在個人隱私的救濟上設置了一系列的救濟權(quán)。

清華大學法學院院長申衛(wèi)星將歐盟《一般數(shù)據(jù)保護條例》賦予個人對一般數(shù)據(jù)的權(quán)利總結(jié)為：被遺忘權(quán)、獲取權(quán)、修改權(quán)、攜帶權(quán)、拒絕權(quán)。

相比之下，我國目前對于個人數(shù)據(jù)保護的法律規(guī)定卻顯得十分保守，根據(jù)我國《民法總則》第111條規(guī)定：自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。

對此，申衛(wèi)星認為，如果將個人信息作為一個人格權(quán)利，那么信息當然屬于個人，而不可能屬于信息收集、加工企業(yè)?！暗窃诖髷?shù)據(jù)時代，這種保護過于嚴格，或者說它已經(jīng)落伍了?！鄙晷l(wèi)星說。

“在大數(shù)據(jù)時代，中國已經(jīng)出現(xiàn)了30多家大數(shù)據(jù)交易場所，技術的出現(xiàn)使得無形的個人信息能夠像財產(chǎn)一樣予以轉(zhuǎn)讓，并且轉(zhuǎn)讓還有期限。因此，我認為，我們要對個人信息予以財產(chǎn)權(quán)的保護而不是人格屬性上的保護?！鄙晷l(wèi)星說。

立法應統(tǒng)一規(guī)制集中管理

在個人信息保護的問題上，除了如何界定人格權(quán)與財產(chǎn)權(quán)的爭議外，如何進行信息保護的規(guī)制也是目前普遍熱議的話題。尤其是在如何看待信息“出境”的問題上。

據(jù)了解，從目前已經(jīng)通過出臺的有關信息管理的相關法律來看，包括《網(wǎng)絡安全法》《消費者權(quán)益保護法》和《數(shù)據(jù)跨境轉(zhuǎn)移的評估辦法》都規(guī)定，首先要經(jīng)過信息主體的同意。

“但在實際執(zhí)行層面上，這些規(guī)定往往流于形式。”中國政法大學互聯(lián)網(wǎng)金融法律研究院院長李愛君告訴記者，“比如說，這些同意的條款往往會出現(xiàn)在用戶下載使用APP之前，用戶就會被要求勾選彈出的十分復雜的隱私協(xié)議，這些協(xié)議雖然說會列出各種APP出品方會獲取用戶信息的種種情形，但是，通常來說如果是非專業(yè)人士基本上很難讀懂如此拗口晦澀的法律文件，況且用戶也只有點擊同意之后才能使用APP，這些造就了這種條款帶有十足的‘霸王條款色彩?！?/p>

對此，全國人大代表、中國社科院法學所研究員孫憲忠就曾在去年全國兩會期間公開呼吁，要轉(zhuǎn)變立法理念。

“如果把個人同意當成信息采集以及保護的基礎的話，對個人信息保護是相當不利的?！睂O憲忠說，“必須首先考慮到是誰在采集信息，誰在保管信息，尤其是數(shù)據(jù)上云的情況下，誰應該對這個信息進行清洗，包括使個人的隱私不上到云端，這才是最重要的，而不是說造成信息泄露造成損害以后，從民法侵權(quán)的角度去解決?！?/p>

“從我國個人信息的法律保護現(xiàn)狀可以看出，我國對個人信息保護尚未出臺專門立法，對于泄露個人信息的處罰缺乏統(tǒng)一性和系統(tǒng)性，尚未形成統(tǒng)一的關于個人信息保護方面的基本法，而是散見于相關的法律法規(guī)中，且量刑偏輕。”李愛君說。

目前來說，除了我國《民法總則》第111條、刑法第253條涉及的公民的個人信息不受侵犯以及相關的處罰措施之外，2017年6月1日起施行的《網(wǎng)絡安全法》，最高人民法院和最高人民檢察院2017年5月9日聯(lián)合發(fā)布的《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，對涉及用戶個人信息的，也都進行了相關規(guī)定。

除此之外，消費者權(quán)益保護法、居民身份證法、商業(yè)銀行法、未成年人保護法、電信條例以及《互聯(lián)網(wǎng)電子公告服務管理規(guī)定》《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》等法律法規(guī)都對涉及個人信息管理問題有所涉及。

“從立法形式上看，我國有關信息安全的法律法規(guī)在數(shù)量上似乎形成了一定的規(guī)模，但沒有構(gòu)成一個完整、系統(tǒng)、條理清晰的體系。”李愛君說。

從內(nèi)容上分析，李愛君指出許多條文規(guī)定的內(nèi)容過于抽象，操作性差，難以有效執(zhí)行，且存在重復、交叉，形成多頭執(zhí)法和多頭管理的局面，導致執(zhí)法成本和司法成本的浪費。

“我國對個人的信息、肖像權(quán)等有法律保護，但是對于在大數(shù)據(jù)時代個人數(shù)據(jù)的使用卻未明確，也沒有專門針對個人數(shù)據(jù)信息進行法律法規(guī)的監(jiān)管，這就造成了個人信息安全的隱患?！崩類劬J為，要使個人信息得到保護，就要保證數(shù)據(jù)交易平臺用的是“干凈”的數(shù)據(jù)，即不能侵犯個人隱私、不能泄露企業(yè)商業(yè)秘密、不能泄露國家機密、不能危害國家安全等。

有必要推動專門立法工作

“為了應對大數(shù)據(jù)時代個人信息安全面臨的新挑戰(zhàn)，有必要推動專門的立法工作，除了從源頭上加強網(wǎng)絡安全防護外，更關鍵的是要完善公民個人信息立法，盡快制定個人信息保護法。”

李愛君認為，統(tǒng)一立法可以對個人信息給予更充分的保障，對收集、利用、買賣個人信息的價值取向保持一致，比如說，針對信息泄露問題，如果對于其他嚴重犯罪可能產(chǎn)生幫助行為的，可以在量刑上加大力度，并可以在罰金方面作出較為具體的規(guī)定。

同時， 李愛君建議，由于公務機關和非公務機關對個人信息侵害的程度不同，因此在立法時，有必要對公務機關和非公務機關予以區(qū)分。同時，基于國家利益、社會公共利益及他人利益等方面的個人信息侵權(quán)行為，應當制定相應的免責條款。

另外， 李愛君還認為，個人信息保護法應與信息安全相關的法律法規(guī)進行有效銜接，做到相統(tǒng)一、相呼應，從而形成較為完善的信息安全法律系統(tǒng)。

對此，孫憲忠表示贊同。他說，比如對于尚未構(gòu)成刑事犯罪的一般侵權(quán)行為，主要通過民事法律法規(guī)進行調(diào)整，那么就十分有必要修改完善相關的民事法律法規(guī)，更有效地維護公民個人民事權(quán)益。對于其他相關法律法規(guī)也要銜接好，保持法律實施的一致性。

“除此之外，還應加大對敏感信息和移動設備的監(jiān)管力度，大數(shù)據(jù)科研人員在研發(fā)之前，首先應考慮以保護企業(yè)和個人隱私為前提，運用信息加密技術等措施提升大數(shù)據(jù)技術信息安全水平，加強信息保護程度?！崩類劬f。