薛軍

個人信息保護(hù)不能因噎廢食，要尊重市場規(guī)則，重視和相信以技術(shù)手段來解決問題，在絕大多數(shù)情況下，這比一刀切式的禁止更加妥當(dāng)。

在享受信息技術(shù)和互聯(lián)網(wǎng)帶來的巨大便利的同時，中國公民正遭遇日益嚴(yán)重的個人信息安全問題。

個人信息的違規(guī)收集、不當(dāng)處理、泄露，以及猖獗的地下黑產(chǎn)，使人們成為“透明人”。各種量身定做的騙局，精準(zhǔn)指向的廣告營銷接踵而來，個人隱私暴露在各懷心機(jī)的他人或公眾面前。

如何通過建構(gòu)個人信息保護(hù)的良善規(guī)則之治，在享受技術(shù)發(fā)展帶來便利的同時，盡可能避免其導(dǎo)致的消極后果？

網(wǎng)絡(luò)化時代的個人信息保護(hù)問題，是世界性的挑戰(zhàn)。即使是歐美發(fā)達(dá)的法域，也在積極探討相應(yīng)的應(yīng)對方法。已經(jīng)在不久前正式施行的《歐盟通用數(shù)據(jù)保護(hù)條例》（GDPR）正是這一領(lǐng)域的最新立法，引發(fā)全世界的密切關(guān)注。對于中國而言，妥善保護(hù)個人信息，亟須處理立法、監(jiān)管、市場等幾方面的問題。

制定能落地的專門立法

中國的個人信息保護(hù)領(lǐng)域需要更具系統(tǒng)性、科學(xué)性以及可操作性的立法。嚴(yán)格來說，在中國的法律體系中，并不缺乏關(guān)于個人信息保護(hù)的相關(guān)立法。

2012年全國人大常委會制定的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，2016年的《網(wǎng)絡(luò)安全法》，2017年的《民法總則》，都有涉及個人信息保護(hù)的法律規(guī)則。在司法解釋的層面上，則有最高人民法院與最高人民檢察院在2017年聯(lián)合發(fā)布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。

剛剛經(jīng)過第三次審議的《電子商務(wù)法（草案）》，以及已經(jīng)進(jìn)入征求意見階段的《民法典人格權(quán)編（草案）》也都有專門涉及個人信息保護(hù)的條文。在其他社會規(guī)范的層面上，國家標(biāo)準(zhǔn)委員會在2017年正式發(fā)布了《信息安全技術(shù)以及個人信息安全規(guī)范》的國家標(biāo)準(zhǔn)。

但不容否認(rèn)的是，我國既有的個人信息保護(hù)立法存在嚴(yán)重的碎片化以及缺乏可操作性等諸多方面的問題。雖然看上去很多立法都涉及個人信息保護(hù)，但往往流于原則宣示，或局限于針對某一特定方面的問題作出規(guī)定。由此導(dǎo)致規(guī)則之間的不協(xié)調(diào)，違反規(guī)則的責(zé)任主體、責(zé)任形態(tài)含糊不清。

例如《民法總則》第111條規(guī)定，“任何組織和個人需要獲取他人個人信息，應(yīng)當(dāng)依法取得，并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！钡珕栴}是，要求“依法取得”，不得“非法收集”等等，這樣的規(guī)則要能夠發(fā)揮作用就必須有明確具體的法律規(guī)范去規(guī)定：什么類型的個人信息，以什么樣的方式來取得才是合法取得；而什么類型的個人信息，只要取得了就構(gòu)成違法。沒有配套的具體銜接規(guī)范，《民法總則》的這一規(guī)定就是具文一條。

為了解決這一問題，必須制定一部系統(tǒng)、全面、可操作、能落地的《個人信息保護(hù)法》。該法律要整合既有的個人信息保護(hù)領(lǐng)域的法律規(guī)范，也要查漏補(bǔ)缺，提升立法的科學(xué)性、體系性和可操作性?；诖耍绻麌覍用嫔弦呀?jīng)決定啟動制定《個人信息保護(hù)法》，其他立法中就需要避免針對相關(guān)問題再做規(guī)定，否則不僅是立法資源的浪費(fèi)，也會造成立法體系不協(xié)調(diào)和不統(tǒng)一的問題。

當(dāng)然，立法不是萬能的，也不能過于剛性。在個人信息保護(hù)立法的過程中還需要注意預(yù)留制度發(fā)展的彈性空間，在有必要時，重視諸如標(biāo)準(zhǔn)等社會規(guī)范、軟法規(guī)范的運(yùn)用。

須建立一站式的監(jiān)管體制

在中國建構(gòu)個人信息保護(hù)的規(guī)則之治，必須建立一個統(tǒng)一、高效，在涉及個人信息保護(hù)問題上職權(quán)配置清晰而且明確的監(jiān)管體制。由于諸多因素，中國的行政機(jī)構(gòu)中，在涉及個人信息保護(hù)的問題上，并未明確相應(yīng)的主管部門。

新一輪的政府機(jī)構(gòu)改革中，雖然在中央層面有網(wǎng)信辦以及新組建的市場監(jiān)督管理總局，但個人信息保護(hù)的主管部門似乎仍然是條塊分割，分而治之的狀態(tài)。在這一問題上，需要注意到，歐美發(fā)達(dá)國家的趨勢是建立更加高效的“一站式”監(jiān)管體制，以及設(shè)立獨(dú)立監(jiān)管部門來專門負(fù)責(zé)個人信息保護(hù)規(guī)則的實施以及行政執(zhí)法。

例如，前述歐盟的GDPR就在第六章明確規(guī)定了“獨(dú)立監(jiān)管機(jī)構(gòu)”，要求各成員國必須建立獨(dú)立的監(jiān)管機(jī)構(gòu)來專門負(fù)責(zé)個人信息保護(hù)法律的執(zhí)行。德國為此在相應(yīng)的政府機(jī)構(gòu)中設(shè)置了“個人信息保護(hù)專員”。作為執(zhí)法者，其享有獨(dú)立而且完整的涉及個人信息領(lǐng)域的行政調(diào)查、執(zhí)法和做出處罰的權(quán)力。美國的聯(lián)邦貿(mào)易委員會（FTC）在相關(guān)領(lǐng)域也發(fā)揮著核心的行政監(jiān)督和執(zhí)法職能。該委員會在涉及個人信息領(lǐng)域的很多執(zhí)法案例，推動了美國的個人信息保護(hù)規(guī)則的發(fā)展。

我國要強(qiáng)化個人信息保護(hù)，也必須建立一站式的監(jiān)管體制，明確一個獨(dú)立的行政部門來專門負(fù)責(zé)個人信息保護(hù)領(lǐng)域的執(zhí)法。法律制定得再好，如果沒有強(qiáng)有力的執(zhí)法者，還是一紙空文。

我國現(xiàn)在涉及個人信息保護(hù)的很多法律規(guī)則，都規(guī)定任何單位和個人不得違法收集個人信息。但在實際生活中，筆者曾經(jīng)遇到，酒店對入住的客人收集相關(guān)的人臉信息，多方投訴卻無任何結(jié)果。沒有一個機(jī)構(gòu)認(rèn)為自己應(yīng)該對相關(guān)行為承擔(dān)監(jiān)督的職責(zé)。在這樣的執(zhí)法體制之下，怎么可能期待建立一個有實際效果的個人信息保護(hù)制度呢？

另外，對于頻繁爆發(fā)的黑客入侵企業(yè)內(nèi)部系統(tǒng)竊取個人信息，企業(yè)內(nèi)鬼主動泄露個人信息，企業(yè)違規(guī)分享、轉(zhuǎn)讓、倒賣個人信息等事件，如果不是發(fā)生了諸如山東徐玉玉案那樣的惡性事件，引發(fā)輿論高度關(guān)注，哪個主管部門會認(rèn)為自己有義務(wù)去檢查、督促企業(yè)建立更加安全的個人信息保護(hù)系統(tǒng)，完善企業(yè)內(nèi)控制度，從而防患于未然呢？

要真正解決此類問題就必須打破條塊分割、分而治之的局面，建立強(qiáng)有力的、統(tǒng)一的、配置有專門執(zhí)法權(quán)的、負(fù)責(zé)個人信息執(zhí)法的監(jiān)管部門，并且將該部門的職責(zé)告知民眾，建立有效的投訴處理機(jī)制。只有這樣，個人信息保護(hù)法律制度的實際有效運(yùn)行，才具有了制度基礎(chǔ)和真正的動力來源。

民事、行政、刑事責(zé)任合理分配

個人信息保護(hù)的良善規(guī)則之治，還必須建立在妥當(dāng)?shù)膬r值均衡、尊重市場規(guī)律和技術(shù)發(fā)展趨勢的基礎(chǔ)之上。

因為關(guān)涉隱私、尊嚴(yán)、人身與財產(chǎn)安全，所以個人信息在法律層面被予以認(rèn)真保護(hù)。保護(hù)個人信息，不是因為個人信息本身的價值，而是因為背后的人需要得到保護(hù)。但法律上對任何法益的保護(hù)都不可能是絕對的。法律會將需要保護(hù)的利益放在一個整體框架中尋找最妥當(dāng)?shù)木恻c(diǎn)。

數(shù)字經(jīng)濟(jì)時代，個人不可能在享受互聯(lián)網(wǎng)技術(shù)發(fā)展帶來的紅利的同時，又把自己包裹在信息隔絕的空間之中，這從技術(shù)層面看是不可能的，從利益均衡的角度看，也是不合理的。

每個時代都會催生具有時代特色的隱私期待，個人信息保護(hù)的制度邊界必須與此相適應(yīng)。在個人信息保護(hù)的水準(zhǔn)上，并非越高越好，因為過猶不及，過高的保護(hù)標(biāo)準(zhǔn)反而會阻礙信息技術(shù)和互聯(lián)網(wǎng)技術(shù)的迭代發(fā)展。

要解決這一問題，首先，必須注意在民事責(zé)任、行政責(zé)任與刑事責(zé)任的配置上比例得當(dāng)，銜接流暢?；诟鞣N理由，在個人信息保護(hù)問題上，必須以行政責(zé)任為主導(dǎo)，配之以典型行為樣態(tài)下的刑事責(zé)任和偏向于個人之保護(hù)，以舉證責(zé)任倒置，責(zé)任推定和有限情況下的連帶責(zé)任為基礎(chǔ)的民事責(zé)任。

其次，要注意區(qū)分個人信息與數(shù)據(jù)，對于后者應(yīng)該尊重相應(yīng)的數(shù)據(jù)主體合法財產(chǎn)性利益，鼓勵充分的商業(yè)化和流動。歐盟在制定GDPR之后，另外專門立法促進(jìn)非個人數(shù)據(jù)的自由流動，并非偶然。

我國《民法總則》第111條和第127條明確區(qū)分了個人信息與數(shù)據(jù)作為兩個不同的法律概念，這種立法理念非常先進(jìn)。應(yīng)該以此為基礎(chǔ)建立兩個邏輯不同的制度體系：對個人信息強(qiáng)調(diào)保護(hù)，對數(shù)據(jù)則強(qiáng)調(diào)財產(chǎn)性價值的認(rèn)可。至于二者之間的關(guān)系，應(yīng)該采取個人數(shù)據(jù)定義保留原則，也就是說，除非被明確界定為屬于個人信息，并且被相應(yīng)的個人信息保護(hù)立法所覆蓋，否則推定為屬于數(shù)據(jù)，適用法律上的關(guān)于數(shù)據(jù)的規(guī)則。

再次，個人信息保護(hù)的規(guī)則需要尊重技術(shù)發(fā)展趨勢，應(yīng)該更多地鼓勵新技術(shù)的發(fā)展，以技術(shù)手段來解決個人信息保護(hù)。信息技術(shù)的發(fā)展是解決個人信息保護(hù)的最有效方法。這一點(diǎn)已經(jīng)被很多實務(wù)案例予以證實。

例如，網(wǎng)約車司機(jī)與乘客聯(lián)系時，采用虛擬號碼就很好地解決了乘客的手機(jī)號碼信息泄露問題；快遞運(yùn)輸包裹上的電子代碼技術(shù)，基本上解決了運(yùn)單上的個人信息泄露問題。

因此，在個人信息保護(hù)的問題上，設(shè)置禁止性規(guī)范以及其他的強(qiáng)制性規(guī)范時，必須為技術(shù)發(fā)展留有彈性空間。個人信息保護(hù)不能因噎廢食，要尊重市場規(guī)則，重視和相信以技術(shù)手段來解決問題，在絕大多數(shù)情況下，這比一刀切式的禁止更加妥當(dāng)。

甘蔗沒有兩頭甜，進(jìn)入互聯(lián)網(wǎng)時代，不能一方面享受信息技術(shù)的紅利，另外又不承受技術(shù)發(fā)展帶來的消極后果。但可以通過理性的制度設(shè)計，盡可能二者得兼。社會的任何發(fā)展和進(jìn)步，無不是在這種權(quán)衡利弊中摸索前行。

（作者為北京大學(xué)法學(xué)院教授、副院長，編輯：李恩樹）