【編者按】近年來，我國公民的個人信息安全已經(jīng)成為嚴(yán)重的社會問題。據(jù)報道，2008年6月，深圳全市的孕產(chǎn)婦信息庫發(fā)生泄露，不法分子將泄密孕產(chǎn)婦的個人信息制成光盤非法銷售。[1]2010年3月4日，首例以“出售、非法提供公民個人信息罪”罪名偵辦和批捕的案件在北京市朝陽區(qū)人民法院開庭審理。[2]2010年12月17日，北京市朝陽區(qū)人民法院對中國移動、中國聯(lián)通員工涉嫌非法提供、出售公民個人信息罪一案做出判決。[3]2011年4月，成都市84卷知青檔案被標(biāo)價1.25萬元掛于網(wǎng)上公開叫賣。[4]2012年3·15晚會重點曝光了個人信息泄露事件，其中包括電信、銀行等企業(yè)。個人信息泄露事件和個人信息違法犯罪案件的頻發(fā)，一次次地刺激著人們脆弱敏感的神經(jīng)。我們成為了當(dāng)今社會里的“透明人”，在不知覺中個人的姓名電話、住房地址、車型車牌等都成為了不法分子倒賣的“商品”，甚至還由此滋生出詐騙等犯罪活動，已經(jīng)嚴(yán)重威脅到公民的人身和財產(chǎn)安全，影響著社會的穩(wěn)定。如何保護公民的個人信息安全，是社會管理創(chuàng)新的又一嚴(yán)峻考驗。我們從法律制度、社會心理學(xué)角度，結(jié)合當(dāng)下網(wǎng)絡(luò)環(huán)境，并借鑒國外關(guān)于信息安全保護的經(jīng)驗，討論我國個人信息保護對策，以期能為個人信息安全保護提供有效的建議。

【摘要】對于如何保障個人信息安全問題，重慶市法學(xué)會民法經(jīng)濟法副會長陳永標(biāo)針對當(dāng)下法律缺失、保護不利的現(xiàn)狀，提出應(yīng)盡快出臺《個人信息安全保護法》、建立執(zhí)法體系和完善制度，從而提高我國個人信息保護的意識，規(guī)范個人信息的處理行為，以促進個人信息的合理利用，打擊個人信息的違法犯罪行為，真正保護公民的個人信息權(quán)。甘肅省社會科學(xué)院法學(xué)研究所副研究員、復(fù)旦大學(xué)法學(xué)院博士柴曉宇，從個人信息保護立法模式的國際比較與經(jīng)驗借鑒的角度，在介紹國外有關(guān)個人信息保護的立法經(jīng)驗上對我國個人信息保護立法提出了建設(shè)性的思考。華東政法大學(xué)法學(xué)院教授林凌，針對當(dāng)下的網(wǎng)絡(luò)信息環(huán)境，剖析了網(wǎng)絡(luò)信息的迅速發(fā)展對個人信息泄露的“推手”效應(yīng)，對比了網(wǎng)絡(luò)前時代與網(wǎng)絡(luò)時代個人信息泄露的特征，并由此提出網(wǎng)絡(luò)信息下個人信息保護的法律意見。華東師范大學(xué)心理與認知科學(xué)學(xué)院教授陳國鵬和同濟大學(xué)浙江學(xué)院王莉佳合作，從社會心理學(xué)角度剖析了由于信息泄露所帶來的詐騙活動背后的各種心理機制問題，從而為使加強信息被泄露者的自我防范意識提供了參考意見。

【關(guān)鍵詞】 公民個人信息 泄漏 法律保障 國外經(jīng)驗 網(wǎng)絡(luò)環(huán)境 詐騙 心理機制

對我國個人信息安全法律問題的認識與思考

文 / 陳永標(biāo)

日益嚴(yán)峻的個人信息被泄露、被買賣所造成的公民個人信息權(quán)被侵害的現(xiàn)象屢屢發(fā)生，層出不窮的個人信息違法犯罪問題已經(jīng)影響到我國公民的人身、財產(chǎn)安全。經(jīng)濟利益的驅(qū)使是直接導(dǎo)致個人信息的被泄露和被買賣的原因之一。一方面，個人信息的買賣能夠幫助個人信息買受者帶來客戶資源和銷售市場，了解消費者的消費層次和習(xí)慣，向消費者推銷商品，給買受者帶來直接的經(jīng)濟收益；另一方面?zhèn)€人信息的販賣者為了經(jīng)濟利益，明碼標(biāo)價出售個人信息給買受者，從而為其帶來額外的收入。因此，如何加強個人信息管理、嚴(yán)厲打擊個人信息違法犯罪、保護公民的個人信息權(quán)，法律的意義是不可忽視的，而綜觀我國現(xiàn)行的法律規(guī)范，其中存在的問題也的確值得討論。

一、侵權(quán)現(xiàn)象分析我國個人信息不安全的成因

（一）關(guān)于格式合同中沒有約定信息安全條款

個人信息的泄露，最有可能的機構(gòu)就是電信部門、銀行、保險公司、房屋中介及掌握公民個人信息的政府部門、教育部門、市場調(diào)查公司、房地產(chǎn)公司等，而個人信息的泄露者獲得個人信息的途徑往往就是通過訂立合同而獲得。這種合同往往都是格式合同，例如：《商品房買賣合同》、《貸款合同》等等。由于這些格式合同條款不是與個人協(xié)商一致，均沒有關(guān)于個人信息安全的條款和約定，加之現(xiàn)在我國關(guān)于個人信息安全還沒有比較完整的法律規(guī)定，個人信息安全就合同相對人而言不具有約束力，即合同相對人對個人信息沒有法定的保密義務(wù)，導(dǎo)致個人信息隨意被泄露、被買賣。

（二）收集個人信息缺少有效的制度約束

有關(guān)機構(gòu)和單位超出其辦理業(yè)務(wù)的需要，收集大量非必要或完全無關(guān)的個人信息。比如，一些商家在辦理積分卡時，要求客戶提供身份證號碼、工作機構(gòu)、受教育程度、婚姻狀況、子女狀況等信息；一些銀行要求申辦信用卡的客戶提供個人黨派信息、配偶資料乃至聯(lián)系人資料等。這些信息難道是必要的嗎？實際上，我們不能排除是收集人員為了出售個人信息而收集個人信息的。更為惡劣的還有在網(wǎng)上非法買賣個人信息的。調(diào)查發(fā)現(xiàn)，社會上出現(xiàn)了大量兜售房主信息、股民信息、商務(wù)人士信息、車主信息、電信用戶信息、患者信息的現(xiàn)象，并形成了一個新興的產(chǎn)業(yè)。由于我國沒有關(guān)于信息采集的具體要求、具體標(biāo)準(zhǔn)和信息采集后的保密制度，導(dǎo)致個人在辦理購房、購車、住院等手續(xù)之后，相關(guān)個人信息被有關(guān)機構(gòu)或其工作人員賣給房屋中介、保險公司、母嬰用品企業(yè)、廣告公司等。

（三）沒有專門法律規(guī)定，不利于個人信息的保護

早在2003年，國務(wù)院信息辦就委托中國社科院法學(xué)所個人數(shù)據(jù)保護法研究課題組，承擔(dān)了《個人數(shù)據(jù)保護法》的研究課題。2005年課題組就已經(jīng)完成了近8萬字的《中華人民共和國個人信息保護法（專家建議稿）及立法研究報告》。但時至今日，面對愈演愈烈的個人信息侵權(quán)問題，這部法律仍未出臺，不能對侵害公民個人信息的違法犯罪行為起到打擊和震懾作用，對個人信息的受害人保護是極為不利。

二、個人信息維權(quán)普遍存在障礙

（一）追究侵權(quán)主體責(zé)任難

據(jù)2011年12月1日《中國青年報》刊載，該報經(jīng)調(diào)查發(fā)現(xiàn)，受訪者認為最有可能泄露個人信息的機構(gòu)是電信部門，然后是“需要注冊個人信息的網(wǎng)站”。其他還包括銀行、保險公司、房屋中介、掌握公民個人信息的政府部門、教育部門、市場調(diào)查公司、房地產(chǎn)公司等。不法分子掌握公民的信息后，由于個人信息的獲得途徑往往是通過合同的訂立而獲取，那么個人信息的獲得者是單位，而出售個人信息的往往是單位的工作人員。又因為單位的性質(zhì)不同，國有或事業(yè)單位的工作人員比較穩(wěn)定、容易追查。但一些民營企業(yè)的工作人員跳槽嚴(yán)重，往往一些個人信息被出賣后就跳槽或跳槽前把個人信息帶走，以致受害者追究責(zé)任存在困難。

（二）刑事處罰侵權(quán)者范圍過窄，沒有個人信息保護體系

首先，我國《刑法修正案（七）》中明確規(guī)定，國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金?，F(xiàn)實生活中，非《刑法修正案（七）》羅列的民辦機構(gòu)，如：房地產(chǎn)公司、物業(yè)公司、中介機構(gòu)、酒店等機構(gòu)甚至公民個人，將公民個人信息出售、非法提供給他人并造成嚴(yán)重后果的現(xiàn)象屢見不鮮，這些主體尚沒有被納入刑法規(guī)定的范圍之內(nèi)。顯然，受刑事處罰的侵權(quán)者范圍過窄，不利于個人信息保護。

其次，我國《刑法》已將泄露個人信息入罪，但制止和震懾泄露信息效果不明顯。對泄露個人信息的行為，我們目前雖然有《刑法》的規(guī)定，但沒有形成對個人信息保護的完整體系，缺少相配套的一般性法律法規(guī)。村民委員會、社區(qū)、學(xué)校、醫(yī)院、房地產(chǎn)公司、物業(yè)公司、中介機構(gòu)、酒店等機構(gòu)甚至公民個人，都是個人信息的獲取者，都有可能將公民個人信息泄露。但現(xiàn)有刑法僅對承擔(dān)刑事責(zé)任的主體比較狹窄涉及源頭的部門和公司，無疑給公民個人信息保護造成了一個大漏洞，遺漏了被刑事處罰者。因為每一個掌握信息的機構(gòu)和機關(guān)，都有確保這些信息安全的義務(wù)和責(zé)任。所以，僅有刑法修正案（七）、侵權(quán)責(zé)任法的規(guī)定，而對有刑法修正案（七）規(guī)定之外的侵權(quán)者和侵權(quán)責(zé)任如何處理，沒有規(guī)定或相關(guān)規(guī)定條款過于分散，可操作性差。

（三）侵權(quán)者承擔(dān)責(zé)任過輕

公民個人很難知道自己的個人信息在什么時間、什么地點、以什么方式、被誰泄露，所以想要起訴他人泄露自己個人信息的成本非常高，大多數(shù)人只能忍氣吞聲。由于個人信息犯罪的起刑點“情節(jié)嚴(yán)重”的判定標(biāo)準(zhǔn)不明晰，亟須細化此法律。由于審查是否構(gòu)成個人信息犯罪難度大、時間具有不確定性，按照目前的法律規(guī)定，侵犯個人隱私權(quán)應(yīng)承擔(dān)的責(zé)任多為停止侵害、消除影響，而獲得精神損害賠償?shù)淖C明難度非常大。這樣一來，由于受害者自己要承擔(dān)法院民事訴訟的訴訟費用和訴訟代理費用（缺少法律援助）成本過高，所以就算贏了官司，也很難得到適當(dāng)賠償。因此，侵權(quán)者實際承擔(dān)的侵權(quán)責(zé)任就很輕。

（四）現(xiàn)有法律規(guī)定嚴(yán)重滯后，不能真正制止個人信息侵權(quán)行為

目前，我國涉及保護個人信息的法律大大小小雖有近40部、法規(guī)30多部、規(guī)章近200部。這些法律規(guī)范更多是從事后救濟的角度對公民個人信息提供保護，沒有關(guān)于事先預(yù)防的制度和規(guī)范性規(guī)定，也沒有關(guān)于事中的控制措施和手段的法律規(guī)定。僅僅按照事后救濟的規(guī)定去維護公民個人信息，就會時間長、途徑復(fù)雜、需要支付的維權(quán)成本非常高，以致許多受害者放棄維權(quán)。受害者放棄維權(quán)助長了個人信息被非法使用的發(fā)生，也難以從根本上防范個人信息被非法使用的行為。所以，個人信息領(lǐng)域的違法行就會屢禁不止，甚至愈演愈烈。

三、關(guān)于個人信息安全法律對策的思考

（一）應(yīng)盡快出臺《個人信息安全保護法》

今年7月，工信部發(fā)布的《互聯(lián)網(wǎng)信息服務(wù)管理規(guī)定（征求意見稿）》明確規(guī)定，未經(jīng)用戶同意，互聯(lián)網(wǎng)信息服務(wù)提供者不得收集與用戶相關(guān)、能夠單獨或者與其他信息結(jié)合識別用戶身份的信息。這是我國工信部就互聯(lián)網(wǎng)保護個人信息的部門規(guī)章，但對個人信息的立法保護，我國還缺乏一部專門的法律。我國的個人信息保護法自2003年起部署起草至今已近九年，但這項立法建議一直未能進入正式的立法程序。而相對歐美等很多發(fā)達國家，對個人的隱私、個人數(shù)據(jù)的保護都有專門的立法保護。

面對個人信息遭泄露行為日漸猖獗的嚴(yán)峻形勢，相關(guān)部門要充分認識到個人信息保護的緊迫性、重要性，應(yīng)站在保護公眾利益的法律高度，加快《個人信息保護法》的出臺。因為，有《個人信息保護法》的明文規(guī)定，才能明確個人信息的保護范圍、個人信息主體的權(quán)利范圍、個人信息使用者、管理者的義務(wù)和法律責(zé)任等內(nèi)容，真正做到有法可依，才能真正保護公民的個人信息。

我國前階段破獲的一些個人信息買賣案，諸如互聯(lián)網(wǎng)公司單位等單位員工通過出賣客戶個人信息獲得非法報酬，僅對員工處罰而沒有對企業(yè)負責(zé)人作出追懲，就是無法可依所致。因此，要達到實質(zhì)性的懲處信息侵權(quán)、保護公民個人信息安全的目的，就必須加快《個人信息保護法》的出臺。

（二）建立個人信息采集制度和完善格式合同條款

首先，針對當(dāng)前個人信息的法律法規(guī)內(nèi)容分散、層級偏低，首先要建立嚴(yán)格的個人信息采集準(zhǔn)入管理制度。有關(guān)部門、單位要嚴(yán)把個人信息采集準(zhǔn)入關(guān)，做到采前有登記、采中有監(jiān)管、采后要備案存檔；要建立對個人信息采集者、管理者、使用者的追蹤制和負責(zé)人問責(zé)制，防止個人信息被泄露、被買賣，維護個人的信息安全。

其次，格式合同應(yīng)完善個人信息保密條款。公民個人與電信、銀行、開發(fā)商之間等單位訂立的合同都是格式合同，這些格式合同的條款都不是公民個人與對方協(xié)商一致。由于合同沒有關(guān)于公民個人信息的保密條款，對方就會以合同沒有約定為由對公民的個人信息不予以保密。因此，完善格式合同中公民個人信息保密條款，對合同相對人就有保守個人信息的義務(wù)。只有合同上約定了相對人具有保守個人信息、管理個人信息的義務(wù)，對其就具有一定的約束力，公民個人信息才有不被泄露的可能。

（三）實行無過錯原則，實行舉證責(zé)任倒置制度

公民個人很難知道自己的信息在什么時間、什么地點、以什么方式、被誰泄露，也沒有意識到電信詐騙、非法討債等犯罪的背后是因為個人信息泄露。等到知道了問題的嚴(yán)重性和后果時，想要起訴他人泄露自己個人信息，在追究民事責(zé)任的時候都面臨著是起訴單位還是起訴個人的困惑；存在著取證難、舉證難且訴訟成本高、收益低的問題，當(dāng)事人很難依法維護自己的信息權(quán)。由于我國在個人信息保護方面還沒有出臺統(tǒng)一的、專門的《個人信息安全保護法》，個人因信息被泄露訴諸法律還是按照民法通則的原則進行。但我國民法通則第十一條無過錯責(zé)任原則的適用范圍，并不包括個人信息侵權(quán)。因此，為保護公民個人信息權(quán)、維護公民的合法權(quán)益，因信息被泄露訴諸法律有必要實行無過錯原則，實行舉證責(zé)任倒置制度 。

（四）人民法院受理個人信息侵權(quán)案件應(yīng)予免費

我國司法實踐中一般將泄露個人信息視為侵犯隱私權(quán)的行為。按照現(xiàn)有民事法律規(guī)定，確定承擔(dān)民事侵權(quán)責(zé)任的方式為損害賠償、停止侵害、排除妨礙、消除危險、返還財產(chǎn)、恢復(fù)原狀、賠禮道歉、消除影響恢復(fù)名譽八種。侵犯個人隱私權(quán)應(yīng)承擔(dān)的責(zé)任多為停止侵害、消除影響，而獲得精神損害賠償?shù)淖C明難度非常大。這樣一來，由于受害者訴訟成本過高，也缺少法律援助，所以就算贏了官司，也很難得到適當(dāng)賠償。因此，為保護個人信息安全，人民法院受理個人信息侵權(quán)案件應(yīng)予免費。

（五）開展行業(yè)自律、發(fā)揮行業(yè)協(xié)會作用

機動車銷售、房產(chǎn)中介、銀行保險、通訊電信、小額貸款公司等行業(yè)及其從業(yè)人員往往有機會接觸、掌握大量公民個人信息。但由于部分從業(yè)人員法律意識不強，企業(yè)管理、執(zhí)行不到位等情況，存在制度漏洞。由于這些行業(yè)有內(nèi)部系統(tǒng)出臺的關(guān)于個人信息的查詢規(guī)范、查詢電子信息備案及保護工作意見等，應(yīng)當(dāng)充分發(fā)揮行業(yè)協(xié)會行業(yè)自律的作用，可以部分有效地彌補我國在個人信息保護方面、國內(nèi)立法的不足。

（六）開展法律援助維護個人信息安全

個人信息實際上就是一種財產(chǎn)，屬于個人所有，具備商業(yè)價值。一旦侵權(quán)行為發(fā)生，受害人就可以要求商家承擔(dān)財產(chǎn)責(zé)任。但現(xiàn)有法律沒有一個法定的個人信息賠償數(shù)額或標(biāo)準(zhǔn)，不像《產(chǎn)品質(zhì)量法》關(guān)于產(chǎn)品責(zé)任的規(guī)定那么具體，也不像《道路交通安全法》規(guī)定了道路交通事故責(zé)任的基本規(guī)則那么明晰。個人要取得信息權(quán)維權(quán)的勝訴除了取證難、舉證難、法院免除訴訟費之外，還需要在減輕受害人維權(quán)成本方面提供法律上的援助。

個人信息的泄露已經(jīng)嚴(yán)重影響到公民的工作和生活，影響到社會經(jīng)濟的穩(wěn)定。只有盡快出臺《個人信息安全保護法》、建立執(zhí)法體系和完善制度，才能提高我國個人信息保護的意識，規(guī)范個人信息的處理行為，促進個人信息的合理利用，打擊個人信息的違法犯罪行為，真正保護公民的個人信息權(quán)。

（陳永標(biāo)：重慶市法學(xué)會民法經(jīng)濟法副會長。）

參考文獻：

1.陳長明.個人信息法幾個問題分析[J].云南大學(xué)學(xué)報， 2010（3）.

2.孫超.個人信息，誰來保護[J].今日中國，2010（10）.

3.周漢華.中華人民共和國個人信息保護法（專家建議稿）及立法研究報告[M].北京：法律出版社，2006.

4. 洪海林.個人信息保護立法理念探究-在信息保護和信息流通之間[J].河北法學(xué)，2007（1）.

個人信息保護立法模式的國際比較與經(jīng)驗借鑒

文 / 柴曉宇

人類社會已經(jīng)邁入信息化時代，個人信息處理和流動已經(jīng)成為普遍的現(xiàn)象。個人信息的合理利用在便利人們生活、推動經(jīng)濟社會發(fā)展的同時，濫用也到了無以復(fù)加的地步，并衍生為嚴(yán)重的社會問題。個人信息是指可識別的與自然人有關(guān)的任何信息，個人信息的特征是外延廣泛、主體為特定的自然人、具有識別主體的確認功能、是具有價值的重要資源等。發(fā)達國家和地區(qū)針對個人信息保護立法主要有統(tǒng)一立法、分散立法和統(tǒng)分結(jié)合立法三種模式。未來我國個人信息保護法應(yīng)當(dāng)采用統(tǒng)一立法模式，對個人信息的定義及范圍、基本原則、權(quán)利和義務(wù)、保護機構(gòu)和法律責(zé)任作出系統(tǒng)規(guī)定。并實現(xiàn)個人信息保護法與其他法律法規(guī)的有機協(xié)調(diào)。

一、國際上對個人信息概念的界定

個人信息的概念濫觴于1968年聯(lián)合國“國際人權(quán)會議”中提出的“資料保護”（ data protection ）。[1]與自然人有關(guān)的信息資料在不同的國際公約、條約、文件及各國（地區(qū)）立法中有不同的表述，大體上有個人數(shù)據(jù)、個人信息、個人資料等稱謂，例如，“個人數(shù)據(jù)”是指任何與已經(jīng)確認的或可以確認的自然人（數(shù)據(jù)主體）有關(guān)的信息；[2]“個人信息”系指與生存者的個人有關(guān)的信息中因包含有姓名、出生年月以及其他內(nèi)容而可以識別出特定個人的部分（包含可以較容易地與其他信息相比照并可以借此識別出特定個人的信息）；[3]個人資料指自然人之姓名、出生年月日、身份證統(tǒng)一編號、特征、指紋、婚姻、家庭、教育、職業(yè)、健康、病歷、財務(wù)情況、社會活動及其他足資識別該個人之?dāng)?shù)據(jù)；[4]雖然稱謂不同，但個人數(shù)據(jù)、個人信息和個人資料等表述實質(zhì)上均指可識別的與自然人有關(guān)的任何信息。因此，三者可以在同等意義上互換使用。

個人信息具有以下特征：（1）個人信息的主體為特定的自然人。個人信息表征的內(nèi)容指向特定的自然人。（2）個人信息的外延十分廣泛。涵蓋了自然人生理的、心理的、智力的、個體的、社會的、經(jīng)濟的、文化的等諸多方面，既包括個人特征信息，也包括個人經(jīng)歷信息。包括但不限于姓名、性別、年齡、體重、身高、體貌特征、指紋、血型、手（足）印、基因圖譜、人種、國籍、出生地、籍貫、住址、電話號碼、電子郵件地址、博客、微信、微博、飛信、QQ和MSN 等即時聊天工具賬號、職業(yè)、職務(wù)、學(xué)歷、婚姻狀況、健康狀況、宗教信仰、政治主張、黨派傾向、收入及消費習(xí)慣等等。（3）個人信息具有識別主體的確認功能。通過姓名、身份證號碼、社會保險號碼、指紋、DNA等個人信息可以直接識別特定的自然人；或者雖然現(xiàn)有信息不能直接確認特定的自然人，但借助其他信息或?qū)π畔⑦M行綜合分析，也可以間接識別該自然人。（4）個人信息是具有價值的重要資源。個人信息是自然人表征身份、立足社會和融入社會生活的基礎(chǔ)；個人信息是國家實施行政管理和社會管理的重要依據(jù)；對于商業(yè)機構(gòu)而言，個人信息資源的開發(fā)利用可以促進信用經(jīng)濟的形成；在商務(wù)活動中，對個人信息的合理開發(fā)利用是企業(yè)制定營銷戰(zhàn)略的首要依據(jù)；在國際貿(mào)易中，一國有可能以他國“對個人信息保護不力”為由禁止他國在本國境內(nèi)收集客戶信息，以此制造新的貿(mào)易壁壘從而使他國企業(yè)在國際市場競爭中處于不利地位。

二、濫用個人信息的表現(xiàn)形式及我國個人信息保護立法的現(xiàn)狀

在我國，濫用從合法或非法途徑獲得的個人信息的表現(xiàn)形式多樣，危害嚴(yán)重。1.個人信息買賣交易。將手頭掌握的個人信息拿來買賣交易而牟取非法利益，由此形成買賣個人信息的“地下產(chǎn)業(yè)”。2.對采集到的個人數(shù)據(jù)進行未經(jīng)許可的二次開發(fā)利用，為細分市場、制定營銷戰(zhàn)略提供依據(jù)，進而實施對重點人群或重點客戶的定向強制推銷，嚴(yán)重侵犯個人安寧生活的權(quán)利。3.擅自公開、傳播、散布個人信息，實施造謠中傷、添加不實的損害性評論等侵權(quán)行為以及誹謗、侮辱他人人格的犯罪行為。4.盜用他人的個人信息實施詐騙等違法犯罪活動，造成個人信息主體財產(chǎn)損失，危及個人信息主體生命安全。5.境外勢力通過對特定人群個人信息的非法采集，以此刺探科技情報和經(jīng)濟情報，嚴(yán)重威脅我國國防安全和經(jīng)濟安全。

目前，在我國沒有專門的個人信息保護法，涉及隱私的個人信息主要以人格權(quán)、隱私權(quán)等形式來加以保護。相關(guān)規(guī)定散見于憲法、民事法律及司法解釋、刑事法律、訴訟法律、行政法律法規(guī)或規(guī)章之中。具體包括：《憲法》、《民法通則》和《侵權(quán)責(zé)任法》公民一般人格權(quán)和隱私權(quán)保護的規(guī)定；《刑法》對誣告陷害、侮辱誹謗他人犯罪，非法搜查和非法侵入犯罪、侵犯公民通信自由權(quán)利犯罪、出售、非法提供、非法獲取公民個人信息犯罪的規(guī)定；《民事訴訟法》、《刑事訴訟法》、《行政訴訟法》和《預(yù)防未成年人犯罪法》就涉及個人隱私案件的不公開審理作出了規(guī)定；《律師法》和《公證法》就保守當(dāng)事人個人隱私作出了規(guī)定；《未成年人保護法》、《婦女權(quán)益保障法》和《消費者權(quán)益保護法》分別就未成年人個人隱私、婦女人格權(quán)和消費者人格權(quán)保護作出了規(guī)定；《居民身份證法》、《護照法》、《統(tǒng)計法》、《社會保險法法》、《商業(yè)銀行法》、《反洗錢法》、《勞動爭議調(diào)解仲裁法》、《傳染病防治法》、《執(zhí)業(yè)醫(yī)師法》、《郵政法》等法律就個人信息保密和個人隱私保護分別作出了規(guī)定；《中華人民共和國電信條例》、《全國人民代表大會常務(wù)委員會關(guān)于維護互聯(lián)網(wǎng)安全的決定》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》、《互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定》、《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》、《個人信用信息基礎(chǔ)數(shù)據(jù)庫管理暫行辦法》等法規(guī)、規(guī)章對個人信息保護事項作出了規(guī)定。

綜觀我國個人信息保護立法現(xiàn)狀，不足之處在于：1.我國涉及個人信息保護的法律法規(guī)數(shù)量龐雜，相互之間缺乏系統(tǒng)性和協(xié)調(diào)性，相關(guān)制度不夠健全、監(jiān)督和救濟機制不盡完善，個人信息主體的權(quán)利難以得到全面有效的保護。2.缺乏一部專門的規(guī)范個人信息保護的龍頭法律——《個人信息保護法》，個人信息的定義、個人信息的范圍、個人信息保護原則、個人信息保護執(zhí)法主體、個人信息主體和個人信息采集管理主體的權(quán)利義務(wù)、法律責(zé)任及救濟等不甚明確或不夠完善，不利于對濫用個人信息違法犯罪行為的打擊制裁和對個人信息主體合法權(quán)益的保護。3.我國憲法和法律中關(guān)于個人信息的保護規(guī)定，主要是從保護一般人格權(quán)和隱私權(quán)的角度進行規(guī)范，并未涵括一般人格權(quán)和隱私權(quán)之外的大量個人信息?！缎谭ㄐ拚福ㄆ撸冯m然新增了“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”，但是兩罪規(guī)定的犯罪主體范圍過窄，不能涵蓋所有出售或者非法提供公民個人信息的主體。另外，構(gòu)成該罪必須達到“情節(jié)嚴(yán)重”的標(biāo)準(zhǔn)不具有可操作性。4.我國《民法》、《刑法》和《侵權(quán)責(zé)任法》等法律關(guān)于涉及個人信息保護的規(guī)定大部分屬于事后救濟規(guī)范，無法實現(xiàn)對個人信息采集、保管和利用等環(huán)節(jié)的全流程監(jiān)管；有關(guān)涉及個人信息保護的行政法律和行政法規(guī)多數(shù)也是原則性規(guī)定，缺乏操作性；我國業(yè)已出臺的與利用互聯(lián)網(wǎng)有關(guān)的個人信息保護行政法規(guī)和規(guī)章效力層級較低，執(zhí)行起來難度很大，難以有效遏制利用網(wǎng)絡(luò)濫用個人信息的違法行為。

三、全球個人信息保護立法概況

個人信息濫用是世界各國面臨的難題。為了遏制個人信息濫用現(xiàn)象，世界上已有50多個國家和地區(qū)制定了個人信息保護法律，以下?lián)褚枰越榻B。

（一）美國

美國是世界上最早提出隱私權(quán)理論[1]并通過判例和立法對隱私權(quán)進行保護的國家，但是美國并無個人信息保護方面的專門法律。美國對于個人信息保護采取的是分散立法的模式，相關(guān)規(guī)定散見于眾多法案之中。主要有：1966年制定并經(jīng)1996年修正的《信息自由法》（Freedom of Information Act）、1970年《公平信用報告法》（Fair Credit Reporting Act）、1974年《隱私權(quán)法》（The Privacy Act）（1988年修訂）、1986年《電子通信隱私法》、1988年《錄像帶隱私保護法》（Video Privacy Protection Act）、1996年《公平信用報告法革新案》、1998年《兒童網(wǎng)上隱私保護法》（Children’ Online Privacy Protection Act）等。

在保護個人信息方面比較重要的兩部法律是 《信息自由法》和 《隱私法》?！缎畔⒆杂煞ā?確立了政府信息以公開為原則，在其九項免除公開的文件類型中，有兩項是關(guān)于個人資料的規(guī)定：一是公開后可能明顯地侵犯個人隱私權(quán)的人事的、醫(yī)療的以及類似的檔案；二是不正當(dāng)?shù)厍址競€人的隱私權(quán)的執(zhí)行法律的記錄和信息。[2]美國《隱私權(quán)法》共有22條，包括定義、提供檔案材料的條件、提供檔案材料的記錄、使用檔案材料的權(quán)利、機關(guān)要求、機關(guān)規(guī)章、民事補救、合法監(jiān)護人的權(quán)利、刑事處罰、一般例外、特種例外、檔案館的檔案、政府訂約人、通訊名單、匹配協(xié)議、審核及對事實認定的抗辯機會、限制、新的系統(tǒng)和匹配程序的報告、雙年底報告、其他法律的影響、資料完善委員會、管理和預(yù)算局的職責(zé)等條文。[3]其主要內(nèi)容可以概括為：（1）適用范圍。該法適用于行政機關(guān)，包括一般行政機關(guān)、軍事機關(guān)、政府設(shè)立的法人、政府控制的法人和具有管制權(quán)的法人。但是該法僅限于聯(lián)邦部會級以上的機構(gòu)，而不及于部會以下的行政機構(gòu)或州政府的各級行政機構(gòu)。（2）保護客體。該法的保護客體是個人被政府機關(guān)掌控的“記錄系統(tǒng)”（system of records）中的“個人記錄”。（3）個人權(quán)利。信息主體享有決定是否公開自己信息的權(quán)利、有了解自己個人信息的權(quán)利和更正自己個人信息的權(quán)利。（4）行政機關(guān)的義務(wù)。直接收集義務(wù)、告知義務(wù)、遵守必要范圍義務(wù)、保密義務(wù)、資料品質(zhì)義務(wù)、安全義務(wù)。[4]

（二）德國

德國黑森州于1970年頒布了世界第一部個人信息保護立法——資料保護法。德國國會于1970 年起著手制定聯(lián)邦資料保護法草案，經(jīng)過長達6 年的反復(fù)討論與修改，聯(lián)邦個人資料保護法最后于1976 年全文通過，1977 年生效。該法的正式名稱是《防止個人資料處理濫用法》（人們習(xí)慣稱其為《聯(lián)邦資料保護法》），共有六章47個條文，分為總則、公務(wù)機關(guān)的資料處理、非公務(wù)機關(guān)為自己目的的資料處理、非公務(wù)機關(guān)為他人目的的營業(yè)性資料處理、罰則、過渡與例外條款。[5]該法生效后，歷經(jīng)1980年、1990年和2001年三次修正。在此期間，在德國發(fā)生了著名的“人口普查法案”憲法訴訟，[6] 該案的判決由于確立了公民的“信息自決權(quán)”而成為德國個人信息保護發(fā)展史上具有里程碑意義的事件。1983年判決確認的信息自決權(quán)的核心內(nèi)容有三：第一，法律保護建立于個人資料之上的一般人格權(quán)；第二，以上權(quán)利的限制只能由法律作出；第三，個人資料的收集應(yīng)受嚴(yán)格的、具體的明確的目的限制。憲法判決關(guān)于信息自決權(quán)的規(guī)定，奠定了個人資料保護的憲法基礎(chǔ)。受聯(lián)邦憲法法院1983 年判決的影響，德國對個人資料保護法進行了再一次修訂并于1990年12月完成修正并公布，修正后條文減為五章44條，內(nèi)容更為充實，理念得到了很大程度的更新。這次修正將國家安全機關(guān)對個人資料的收集與處理納入了個人資料保護法。[1]根據(jù)歐盟《資料保護指令》的要求，德國議會對《1990 年聯(lián)邦資料保護法》進行了修訂并于2001 年5 月23 日通過了修改后的《聯(lián)邦資料保護法》。相較于《1990 年聯(lián)邦資料保護法》，《2001 年聯(lián)邦資料保護法》擴大了個人信息保護法的適用范圍，首次將非公有領(lǐng)域的、非商業(yè)性的信息行為納入調(diào)整范圍。適用范圍的擴大還表現(xiàn)在加強規(guī)范力度方面，具體而言是指將禁止收集原則、直接收集原則、目的特定原則的適用范圍從國家機關(guān)擴大到了非國家機關(guān)。州層面的地方立法和針對具體行業(yè)個人信息保護問題進行的專門立法也是德國個人信息保護法律的組成部分。美國“911 事件”之后，德國以反恐為名擴大了國家機關(guān)收集或處理個人信息的權(quán)限，相關(guān)規(guī)定主要體現(xiàn)在《打擊恐怖主義法》（2002 年）、《打擊恐怖主義補充法》（2007年）、《電信監(jiān)視法》（2007 年）等法律之中。[2]

（三）日本

日本現(xiàn)行的個人信息保護法律包括：《個人信息保護法》、《關(guān)于保護行政機關(guān)所持有之個人信息的法律》、《關(guān)于保護獨立行政法人等所持有之個人信息的法律》、《信息公開與個人信息保護審查會設(shè)置法》以及《對〈關(guān)于保護行政機關(guān)所持有之個人信息的法律〉等的實施所涉及的相關(guān)法律進行完善等的法律》五部法律（又被稱為“個人信息保護關(guān)聯(lián)五法”）。其中，《個人信息保護法》[3]針對公共部門和非公共部門規(guī)定了保護個人信息的若干共同事項（包括個人信息保護的基本原則、個人信息本人的權(quán)利、救濟途徑、罰則、例外事項等），《關(guān)于保護行政機關(guān)所持有之個人信息的法律》和《關(guān)于保護獨立行政法人等所持有之個人信息的法律》則適用于公共部門和行使行政職權(quán)的特殊法人，而對于非公共部門，則仍主張應(yīng)盡可能針對其具體情況制定個別法或者加強其自律。同時，設(shè)置了信息公開與個人信息保護審查會，將原來負責(zé)政府信息公開復(fù)議工作的“信息公開審查會”的職能納入其中，由該審查會對有關(guān)行政機關(guān)處理的涉及政府信息公開與個人信息保護的復(fù)議案件進行咨詢。[4]日本是個實行地方自治的國家，大多數(shù)的地方政府和地方自治團體都相繼制定了個人信息保護的地方條例、規(guī)則或規(guī)程，以此加強對個人信息的保護。隨著2005 年4 月《個人信息保護法》的全面實施，意味著日本構(gòu)筑了一個相對完整的以個人信息保護法為基本法，各部門單行法為補充的法律體系：除作為基本法的《個人信息保護法》外，對國家機關(guān)、地方公共團體、行政機關(guān)、獨立行政法人等還分別制定了不同的法律和法規(guī)。[5]

（四）韓國[6]

韓國2011年《個人信息保護法》采取的是對公共部門和民間部門統(tǒng)一立法的模式，該法共分為9章75條，由總則、個人信息保護政策的樹立、個人信息的處理、個人信息的安全管理、信息主體的權(quán)利保障、個人信息紛爭調(diào)停委員會、個人信息團體訴訟、附則、罰則等章節(jié)組成，主要有如下幾個方面的特色：（1）擴大了個人信息保護法的適用范圍。除其他法律有特別規(guī)定的情況以外，適用于所有個人信息處理者。（2）確立了個人信息保護的基本原則。韓國憲法法院通過判決使“個人信息自決權(quán)”成為一項憲法權(quán)利。個人信息保護的基本原則有：①個人信息的收集者，應(yīng)明確個人信息的處理目標(biāo)，并在實現(xiàn)目的必要的最小范圍內(nèi)適法、正當(dāng)?shù)厥占瘋€人信息。②個人信息處理者應(yīng)在處理個人信息的必要范圍內(nèi)，適當(dāng)處理個人信息，不能以目的外的用途使用。③個人信息處理者應(yīng)在處理個人信息目的的必要范圍內(nèi)，保證個人信息的正確性、完整性和最新性。④個人信息處理者應(yīng)根據(jù)個人信息的處理方法及種類等，考慮信息主體權(quán)利受侵害的可能性和危險程度，安全管理個人信息。⑤個人信息處理者應(yīng)公開個人信息處理方針等關(guān)于個人信息處理的事項，并保障閱覽請求權(quán)等信息主體的權(quán)利。⑥個人信息處理者應(yīng)以對信息主體私生活的侵害最小化的方法處理個人信息。⑦個人信息處理者在對個人信息的匿名處理可能的情況下，應(yīng)做到匿名處理。⑧個人信息處理者應(yīng)通過遵守和實踐本法和相關(guān)法令規(guī)定的責(zé)任和義務(wù)，致力于得到信息主體的信賴。（3）構(gòu)建了全方位的個人信息保護體系。①個人信息事前預(yù)防制度。一是設(shè)立了專門的個人信息保護委員會，主要審議個人信息保護基本計劃或施行計劃、制度及法令的完善、個人信息的利用與提供、法令解釋、整改建議等主要事項。二是引入了個人信息影響評價制度。②個人信息的事中保護制度。個人信息保護分為收集、利用、提供和刪除等環(huán)節(jié)，分別規(guī)定了個人信息處理者應(yīng)遵守的具體標(biāo)準(zhǔn)。③個人信息的事后救濟制度。一是設(shè)立了個人信息紛爭調(diào)停委員會。個人信息紛爭調(diào)停委員會既調(diào)解因公共機關(guān)引起的紛爭，也調(diào)解因民間部門引起的紛爭。二是引入了個人信息泄露通知及申告制。個人信息處理者在處理個人信息時，個人信息的權(quán)利或利益被侵害的國民可以向行政安全部長官申告其被侵害事實。行政安全部長官應(yīng)指定專門的機關(guān)受理和處理申告。為此，韓國設(shè)立了“個人信息侵害申告中心”，具體受理和處理個人信息侵害案件。三是設(shè)立了個人信息團體訴訟制度。

（五）我國臺灣地區(qū)

1995 年8 月11 日發(fā)布的“電腦處理個人資料保護法”和1996年5月1日發(fā)布的“電腦處理個人資料保護法施行細則”是我國臺灣地區(qū)個人信息保護的主要法律。臺灣地區(qū)“電腦處理個人資料保護法”共有六章，包括總則、公務(wù)機關(guān)之資料處理、非公務(wù)機關(guān)之資料處理、損害賠償及其他救濟、罰則、附則，總計45個條文。主要內(nèi)容包括：（1）適用范圍。該“法”只適用于公務(wù)機關(guān)和非公務(wù)機關(guān)使用電腦或自動化機器處理的個人資料（第1、3條）。（2）當(dāng)事人的權(quán)利。當(dāng)事人享有查詢及請求閱覽、請求制給復(fù)制本、請求補充或更正、請求停止電腦處理及利用、請求刪除的權(quán)利（第4條）。（3）個人資料收集及利用。個人資料的收集利用，應(yīng)尊重當(dāng)事人之權(quán)益，依誠實及信用方法為之，不得逾越特定目的之必要范圍（第6條）。（4）公務(wù)機關(guān)和非公務(wù)機關(guān)的義務(wù)。（5）損害賠償和救濟。公務(wù)機關(guān)違反該“法”規(guī)定非因天災(zāi)、事變或其他不可抗力致當(dāng)事人權(quán)益受損害，應(yīng)負損害賠償責(zé)任（第27條）。非公務(wù)機關(guān)違反該“法”規(guī)定致當(dāng)事人權(quán)益受損害，并不能證明無故意或過失的，應(yīng)負賠償責(zé)任（第28條）。被害人雖非財產(chǎn)上之損害，亦得請求賠償相當(dāng)之金額；其名譽被侵害者，并得請求為恢復(fù)名譽之適當(dāng)處分（第27條）。[1]

（六）我國香港特別行政區(qū)

《個人資料（私隱）條例》是香港保護個人資料的重要法例。該條例于1996年12月20日起實施，歷經(jīng)1997年、2007年兩次修訂。共分十部73條，還包括6個附表。各部為：第一部導(dǎo)言、第二部執(zhí)行、第三部實務(wù)守則、第四部數(shù)據(jù)用戶申報表及數(shù)據(jù)用戶登記冊、第五部個人資料的查閱及更正、第六部個人資料等的核對程序及轉(zhuǎn)移、第七部視察、投訴及調(diào)查、第八部豁免、第九部罪行及補償、第十部雜項條文。6個附表分別為保障資料原則、專員的財務(wù)事宜等、訂明信息、規(guī)定須進行或準(zhǔn)許進行的核對程序所根據(jù)的各條例的條文、訂明事宜、授權(quán)個人資料私隱專員在不告知有關(guān)數(shù)據(jù)用戶的情況下進入指明處所的手令和授權(quán)個人資料私隱專員進入指明住宅處所的手令。

《個人資料（私隱）條例》的主要內(nèi)容有：（1）保障資料原則。包括收集個人資料的目的及方式、個人資料的準(zhǔn)確性及保留期間、個人資料的使用、個人資料的保安、查閱個人資料等原則。（2）資料當(dāng)事人的權(quán)利。資料當(dāng)事人享有查閱和要求提供復(fù)本的權(quán)利、要求改正資料的權(quán)利、向?qū)T投訴的權(quán)利、獲得補償?shù)臋?quán)利。（3）數(shù)據(jù)用戶的義務(wù)。數(shù)據(jù)用戶除了依要求提供查閱和進行資料修正外，還負有以下義務(wù)：刪除不再需要的個人資料、備存紀(jì)錄簿、依要求停止在直接促銷中的使用。（4）個人資料私隱專員。專員由行政長官委任，行使監(jiān)察及監(jiān)管、視察、進行聯(lián)絡(luò)及合作等職能及權(quán)力（5）罪行及補償。[2]

四、全球個人信息保護立法模式之比較

綜觀世界各國（地區(qū)）對個人信息保護立法的現(xiàn)狀，主要有統(tǒng)一立法、分散立法和統(tǒng)分結(jié)合立法三種立法模式。統(tǒng)一立法模式是指通過一部統(tǒng)一的法律來規(guī)范公共機構(gòu)或私營部門對個人信息的處理行為。統(tǒng)一立法模式以德國最為典型。分散立法模式是指針公共領(lǐng)域和非公共領(lǐng)域的個人資料分別立法，以此規(guī)范個人信息處理中的各種行為。分散立法模式以美國最為典型，美國《隱私權(quán)法》的適用范圍僅及于行政機關(guān)，1970年《公平信用報告法》對消費者信用報告中記載的有關(guān)個人信用信息的保護、1974年《家庭教育權(quán)和隱私法》對學(xué)生教育檔案中有關(guān)學(xué)生個人信息的保護、1988年《電腦資料比對與隱私權(quán)保護法》對自動化處理中的個人信息保護、1988年《錄像帶隱私保護法》對錄像帶服務(wù)供應(yīng)商對顧客個人信息的保護、1996年《電訊法》對電訊經(jīng)營者保守財產(chǎn)信息秘密的義務(wù)、1996年《兒童在線隱私保護法》對網(wǎng)站或網(wǎng)絡(luò)服務(wù)提供商收集兒童個人信息的條件限制等分別作出了規(guī)定。統(tǒng)分結(jié)合立法模式是指既有統(tǒng)一適用于公共部門和非公共部門的個人信息保護基本法，又有針對不同政府領(lǐng)域的的單行法，以此調(diào)整個人信息處理中的各種法律關(guān)系。日本屬于統(tǒng)分結(jié)合的模式，日本既有統(tǒng)一適用于公共部門和非公共部門的《個人信息保護法》，又有各國家機關(guān)、地方公共團體、行政機關(guān)、獨立行政法人針對不同情況制定的各部門特別法。

以上三種立法模式各有利弊。統(tǒng)一立法模式對公共部門和非公共部門采取同一標(biāo)準(zhǔn)，保證了法律適用的統(tǒng)一性，缺點是比較僵化。分散立法模式區(qū)分不同部門和不同領(lǐng)域分別立法，具有較好的靈活性和較強的針對性，缺點是容易導(dǎo)致法治不統(tǒng)一、司法不協(xié)調(diào)的現(xiàn)象。相比之下，統(tǒng)分結(jié)合的立法模式融合了統(tǒng)一立法模式和分散立法模式的長處，是較為理想的立法保護模式。從全球來看，統(tǒng)一立法模式是發(fā)展趨勢，世界上多數(shù)國家都采用了統(tǒng)一立法模式。當(dāng)然，采用何種立法模式并無統(tǒng)一定制，往往跟一國的國情、立法理念、法律傳統(tǒng)和社會基礎(chǔ)有關(guān)，不能盲目照搬。我國當(dāng)前正處于社會轉(zhuǎn)型加速和信息化深入發(fā)展的歷史階段，社會矛盾凸顯、恐怖主義時有威脅，治安管理、社會管理和社會建設(shè)任務(wù)繁重，公共部門采集個人信息已是常態(tài)化的日常工作，非公共部門和個人處理個人信息的現(xiàn)象也非常普遍。我國目前分散的以保護隱私權(quán)等一般人格權(quán)的法律規(guī)定難以有效預(yù)防和打擊濫用個人信息的違法犯罪行為，濫用個人信息已經(jīng)成為嚴(yán)重的社會問題。因此，我國應(yīng)當(dāng)立足自己國情與法律傳統(tǒng)，充分吸收、借鑒發(fā)達國家和地區(qū)的立法經(jīng)驗，采取對公共部門和非公共部門的個人信息處理行為進行統(tǒng)一立法的模式。在此基礎(chǔ)上，可針對特殊部門、特殊行業(yè)和特殊領(lǐng)域出臺保護個人信息的單行法。

五、我國個人信息保護立法構(gòu)想

（一）借鑒統(tǒng)一立法模式出臺《個人信息保護法》

為了規(guī)范各種個人信息處理行為、強化對個人信息的的全面保護，我國迫切需要出臺一部保護個人信息的基本法律——《個人信息保護法》。在立法模式和立法體例上，可以借鑒德國的立法經(jīng)驗，采取公共部門和非公共部門統(tǒng)一立法的模式。在立法體例上，采用“總分總”的篇章結(jié)構(gòu)： 即首先界定適用范圍、術(shù)語含義和基本原則，該部分內(nèi)容對公、私領(lǐng)域同樣適用。繼而分章規(guī)定國家機關(guān)和非國家機關(guān)在個人信息收集、存儲、處理和利用方面的要求，最后再統(tǒng)一規(guī)定法律責(zé)任機制。[1]主要內(nèi)容包括：（1）個人信息的定義與范圍。對個人信息可作如下定義：個人信息是指可識別的與自然人有關(guān)的任何信息，包括但不限于姓名、出生年月以及其他內(nèi)容而可以識別出特定個人的部分，包括自動或者非自動方式處理的各種個人信息。這種概括列舉式的規(guī)定具有一定的開放性，好處在于可以將隨著科技發(fā)展而增加的個人信息類型納入全面保護的范圍。個人信息主體應(yīng)當(dāng)包括生存著的和已死亡的自然人。之所以將已死亡的自然人的個人信息也納入保護范圍，原因在于如果承認個人信息之上存在人格利益，就應(yīng)當(dāng)對已死亡的自然人的個人信息實行一體保護，尤其是涉及已死亡的自然人的隱私等個人信息時更應(yīng)如此，對此我國司法解釋已對死者的隱私等人格利益保護作出了明確規(guī)定。（2）關(guān)于個人資料保護的原則。可以參照經(jīng)濟合作與發(fā)展組織（OECD）、歐盟和德國的做法，確立我國個人信息保護的原則，這些原則包括：①直接原則。應(yīng)該直接向個人信息主體本人收集個人信息。②目的明確和限制利用原則。收集個人信息的目的應(yīng)該在收集之前列明，并且隨后的使用應(yīng)限于實現(xiàn)這些目的。③信息品質(zhì)原則。個人信息處理應(yīng)做到：公正、合法的收集和處理；基于特定、明確、合法的目的收集、處理信息；個人信息的收集和處理必須充分和相關(guān)，不能過度，不能超越目的范圍；必須完整、準(zhǔn)確，并保持信息最新狀態(tài)；以可識別的信息主體允許的形式保存。④禁止收集原則及其例外。除非法律另有規(guī)定，否則禁止收集、處理個人信息。但以下情形除外：國家機關(guān)為履行公共職責(zé)需要可以不經(jīng)個人信息主體同意直接收集處理個人信息；非國家機關(guān)在征得個人信息主體同意并聲明使用目的的前提下可以收集處理個人信息。因?qū)覚C關(guān)公職人員履職情況監(jiān)督需要，新聞媒體和公民個人無須征得個人信息主體的同意可以收集處理個人信息，但必須遵守法律法規(guī)的規(guī)定。禁止收集處理涉及種族、政治、宗教信仰、健康狀況、性生活和性取向等個人信息。⑤查詢和更正原則。個人信息主體有權(quán)查詢本人信息，有權(quán)更正不正確的個人信息。第三方查詢公共記錄中的個人信息必須嚴(yán)格遵循程序和目的限制的規(guī)定。⑥安全保護原則。個人信息應(yīng)該受到合理的安全保護，以免發(fā)生諸如丟失或未經(jīng)授權(quán)的獲取、破壞、使用、修改或披露。（3）權(quán)利和義務(wù)。依據(jù)個人信息保護的基本原則，國家機關(guān)為履行公共職責(zé)需要有權(quán)收集處理公民個人信息。公共部門和非公共部門對收集處理的個人信息負有保密義務(wù)、更正義務(wù)等。個人信息主體享有“個人信息自決權(quán)”，包括決定權(quán)、保密權(quán)、知情權(quán)、更正權(quán)、禁止權(quán)、報酬請求權(quán)和救濟權(quán)。（4）個人信息保護機構(gòu)。國家應(yīng)當(dāng)設(shè)置統(tǒng)一的個人信息保護委員會，負責(zé)個人信息保護法律執(zhí)行情況的監(jiān)督，受理與個人資料保護有關(guān)的申訴，為個人信息主體提供救濟，對個人信息保護行業(yè)自律進行指導(dǎo)監(jiān)督。（5）法律責(zé)任。對侵害他人信息的行為，根據(jù)情節(jié)輕重分別規(guī)定民事責(zé)任、行政責(zé)任或刑事責(zé)任。

（二）《個人信息保護法》與其他相關(guān)法律的有機協(xié)調(diào)

我國將來出臺《個人信息保護法》還要注意和已有的關(guān)于保護個人信息的法律規(guī)定保持協(xié)調(diào)，完善和構(gòu)建個人信息的事前預(yù)防、事中規(guī)范、事后救濟的保護體系。在《個人信息保護法》對濫用個人信息行為規(guī)定民事責(zé)任、行政責(zé)任和刑事責(zé)任的基礎(chǔ)上，必須適時修訂已有民事法律、行政法律和刑事法律中關(guān)于個人信息保護的規(guī)定，實現(xiàn)法律之間的有機銜接。（1）與民法、合同法、侵權(quán)法等民事法律的協(xié)調(diào)。例如，對于非公共部門在商務(wù)活動中濫用個人信息的行為，個人信息主體可以依據(jù)合同法上的附隨義務(wù)追究違約責(zé)任，或者根據(jù)侵權(quán)法追究侵權(quán)責(zé)任。故意或過失泄露個人信息的管理者和具體實施侵權(quán)行為的侵權(quán)人應(yīng)當(dāng)承擔(dān)連帶責(zé)任。對于濫用個人信息的侵權(quán)行為，個人信息主體有權(quán)請求侵權(quán)人承擔(dān)侵權(quán)責(zé)任，造成嚴(yán)重精神損害的，有權(quán)請求精神損害賠償。（2）與行政法律的協(xié)調(diào)。對于公共部門在履行職責(zé)過程中處理個人信息的不當(dāng)或違法行為，造成嚴(yán)重后果的，應(yīng)當(dāng)依法對直接負責(zé)的主管人員和其他直接責(zé)任人員給予行政處分。侵犯他人個人信息自主權(quán)并且情節(jié)嚴(yán)重的，可以采取罰款等行政處罰措施予以制裁。（3）與刑事法律的協(xié)調(diào)。修訂《刑法修正案（七）》關(guān)于“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”的規(guī)定，將兩罪犯罪主體的范圍拓寬至任何處理個人信息的人員；對《刑法修正案（七）》 關(guān)于“情節(jié)嚴(yán)重”的規(guī)定作進一步細化，使之更具操作性；增設(shè)“非法披露公民個人信息罪”，未經(jīng)個人信息主體同意，非法披露或非法公開個人信息，造成嚴(yán)重后果的，應(yīng)當(dāng)追究刑事責(zé)任。

（柴曉宇： 甘肅省社會科學(xué)院法學(xué)研究所副研究員。）

網(wǎng)絡(luò)環(huán)境下的個人信息安全思考

采訪 / 林凌 記者 / 凌燕

記者：近幾年央視3·15晚會上不斷對個人信息的盜用和販賣現(xiàn)象進行曝光，據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的報告稱，網(wǎng)上信息泄漏成為了當(dāng)前個人信息泄漏最主要的途徑。個人信息被盜用、甩賣的現(xiàn)象屢禁不止，對社會產(chǎn)生了極其嚴(yán)重的后果，對這個問題，我們是否可以說網(wǎng)絡(luò)是個人信息泄漏和被出售的最大推手？

林凌教授：可以這么認為。網(wǎng)絡(luò)成為個人信息泄漏的最大推手主要有三個原因。

第一個首當(dāng)其沖的就是網(wǎng)絡(luò)的迅猛發(fā)展。有這樣一句話很流行：“網(wǎng)絡(luò)是個人隱私的終結(jié)者?！比绻[私都終結(jié)了，遑論個人信息保密。其實，個人信息泄漏和利用不是現(xiàn)在才出現(xiàn)的問題，在前網(wǎng)絡(luò)時代就有了。大概在1995年的時候上海出現(xiàn)了一個信息侵權(quán)案件，松下電器公司上海分公司搞了一個有獎推銷活動，消費者如果買電器會有機會抽取大獎，在印制宣傳廣告時，由于工作人員的疏忽，號碼弄錯了，把別人的私人電話號碼印在宣傳廣告上面，并在《新民晚報》、《解放日報》上公布，這樣，使得擁有這個電話號碼的機主每天接到大量詢問電話，不堪其擾，于是機主上訴法院，法院判其勝訴。從這個事件中我們能了解到，1995年在我國網(wǎng)絡(luò)還未普及時，因個人信息被利用而引起的信息糾紛問題已經(jīng)出現(xiàn)了。但是比較普遍和大規(guī)模的信息泄漏、個人信息被非法利用則發(fā)生于本世紀(jì)網(wǎng)絡(luò)普及之后。2009年的“閆德利事件”比較有代表性。閆德利在北京認識了一楊姓男子，戀愛同居后因不和而分手，但楊姓男子糾纏不休，將閆德利的私房照張貼在閆的老家居住地；在網(wǎng)上以閆的名字注冊了博客號，稱閆身染艾滋病，曾與279名男性發(fā)生過性關(guān)系，并公布了他們的手機號碼；博客還公布了閆的住址、電話號碼、全家福等個人信息。如此一來，閆德利受到了來自網(wǎng)友的各種騷擾，最后楊姓男子受到刑事處罰，被判兩年監(jiān)禁。這樣看來，網(wǎng)絡(luò)時代個人信息被泄漏所產(chǎn)生的嚴(yán)重后果遠遠超過了前網(wǎng)絡(luò)時代。

第二個是經(jīng)濟上的原因，現(xiàn)在販賣個人信息已經(jīng)成為網(wǎng)絡(luò)時代的一個重要的產(chǎn)業(yè)了。許多機構(gòu)、組織和個人都開始以販賣個人信息來牟取暴利。一方面，網(wǎng)絡(luò)普及提高了社會信息化水平，極大地方便了人們的生活和工作，大家足不出戶，便一網(wǎng)打盡天下，網(wǎng)上看報、網(wǎng)上聊天、網(wǎng)上辦公、網(wǎng)上轉(zhuǎn)賬等已經(jīng)成為了網(wǎng)絡(luò)時代e公民的生活方式。另一方面，個人信息泄露風(fēng)險大大提高了，每個人幾乎都遭遇過個人信息被泄露的煩惱。如今，辦銀行卡、到超市辦會員卡、生孩子、買房子、求職等等，都要填寫一大堆個人資料，這些信息經(jīng)常會被莫名泄漏，隨后就接到各種推銷電話、網(wǎng)絡(luò)郵件、廣告單等，甚至接到詐騙電話。個人信息販賣市場的畸形繁榮，還催生出個人信息販子。2012年3月20日，北京市大興區(qū)法院開庭審理了一樁網(wǎng)絡(luò)倒賣個人信息案。被告人吳春魁原本在北京從事銷售工作，無意中在網(wǎng)絡(luò)上了解到一個所謂掙錢的門路，靠販賣個人信息賺錢。吳春魁覺得這是一個成本低見效快的職業(yè)，于是，他開始通過網(wǎng)絡(luò)QQ群從別人那里以每條5分錢左右的價格買入信息，又以每條1角錢轉(zhuǎn)手銷售。在一年多的時間里，吳春魁靠販賣他人信息非法獲利2萬元。有些人通過販賣他人信息賺錢，走上了犯罪道路。

第三個是我們在法律規(guī)定上還不太明確。目前，網(wǎng)絡(luò)法制管理的困境可以用兩句話概括：網(wǎng)絡(luò)技術(shù)的創(chuàng)新領(lǐng)先于人們對網(wǎng)絡(luò)的認知，人們對網(wǎng)絡(luò)的認知又領(lǐng)先于網(wǎng)絡(luò)立法。在網(wǎng)絡(luò)技術(shù)創(chuàng)新過程中，人們對技術(shù)創(chuàng)新所帶來的社會影響往往缺乏明確預(yù)判，比如使用微博傳播技術(shù)后，會給中國輿論生態(tài)和社會發(fā)展帶來什么后果，我們當(dāng)時是不知道的，微博發(fā)展如此迅速，受到這么多網(wǎng)友的青睞和歡迎也是我們始料未及的。而網(wǎng)絡(luò)立法又總是等網(wǎng)絡(luò)出現(xiàn)很多問題，而這些問題已經(jīng)產(chǎn)生了很嚴(yán)重的社會后果，且其他手段難以解決時，才會出臺相應(yīng)的法律去規(guī)范。從這個層面上來看，法律難以解決網(wǎng)絡(luò)上最新出現(xiàn)的各種問題。在我們討論的個人信息保護領(lǐng)域里同樣如此，網(wǎng)絡(luò)個人信息泄露方式的多樣性、創(chuàng)新性與法律規(guī)定的相對滯后性，致使有人鉆法律空子、打擦邊球，逃避法律的有效監(jiān)管，大量泄露和販賣個人信息。

所以，應(yīng)該說個人信息的泄漏與被販賣存在著經(jīng)濟、社會、科技等多方面原因，但歸根結(jié)底是網(wǎng)絡(luò)迅猛發(fā)展與監(jiān)管缺失造成的。

記者：除了您提到的網(wǎng)絡(luò)個人信息泄漏所造成的后果比前網(wǎng)絡(luò)時代的后果更為嚴(yán)重之外，網(wǎng)絡(luò)環(huán)境下個人信息的安全問題還有哪些不同于前網(wǎng)絡(luò)時代的特征？

林凌教授：第一，個人化向組織化發(fā)展的傾向。從最近幾年我國發(fā)生的網(wǎng)絡(luò)信息泄露事件來看，對個人信息的采集已經(jīng)出現(xiàn)分工負責(zé)、分工合作和流水化作業(yè)的特點，少數(shù)犯罪分子為了牟取暴利或達到其他社會目的，合作收集用戶的各種信息，進行販賣。一些單位和部門的工作人員甚至與犯罪分子勾結(jié)，通過倒賣公民個人信息獲取非法的經(jīng)濟利益，這種行為已經(jīng)形成了一條地下產(chǎn)業(yè)鏈，這是非?？膳碌?。第二，人工向技術(shù)的發(fā)展。網(wǎng)絡(luò)世界中竊取用戶個人信息的行為手段在高科技的支撐下趨于智能化和隱蔽化，不僅網(wǎng)上侵權(quán)行為可以在瞬間完成，而且能夠不留下任何痕跡。以黑客為例，他們往往通過各種技術(shù)手段，如利用網(wǎng)站定制的應(yīng)用程序里隱藏的缺陷和漏洞，竊取網(wǎng)絡(luò)用戶的私人信息。曾有一位名叫RaphaelGray的18歲青年黑客曾經(jīng)侵入美國、加拿大、泰國、日本、英國等國家的9個電子商務(wù)站點，竊取了超過2.6萬個信用卡賬戶的信息。其中還包括號稱世界首富比爾·蓋茨的信用卡號。

記者：在現(xiàn)代經(jīng)濟利益的驅(qū)動下，個人信息成為了非法出售的“商品”，而網(wǎng)絡(luò)是我們個人信息泄漏最主要的渠道，因此，治理網(wǎng)絡(luò)環(huán)境下的信息泄漏成為了關(guān)鍵。那目前個人信息網(wǎng)絡(luò)泄漏最常見的方式有哪些？

林凌教授：如果從泄漏的主體上來分，可以分為主動泄露和被動泄漏。所謂主動泄漏是指公民在無意中將自己的個人信息主動泄露給網(wǎng)站或他人，比如在網(wǎng)上瀏覽、咨詢或購物時，常常需要填寫一系列表格以確定瀏覽者的身份，這些個人資料包括：姓名、性別、年齡、身份證號碼、電話、通信地址等敏感信息。然而收集這些信息的網(wǎng)站不但不能說明需要這些信息的原因、使用目的及處置方式，還把過期的或者多余的個人信息隨意丟棄，造成數(shù)據(jù)泄漏。所謂被動泄漏是指違法者通過黑客、病毒、木馬侵入等手段非法盜用和販賣個人信息。比如一些網(wǎng)絡(luò)服務(wù)商通過cookies軟件來非法收集并建立用戶個人上網(wǎng)資料數(shù)據(jù)庫，之后出于經(jīng)濟利益的考慮，將其販賣出售。第二，從網(wǎng)絡(luò)發(fā)展的特點上看，網(wǎng)友的人肉搜索是個人信息“赤裸”的一個很大的因素，這可以分成惡意、善意和既無惡意也無善意三種情況。比如2001年，有人在貓撲社區(qū)貼出一張美女照片，聲稱該美女是其女友。這張照片很快引起貓撲社區(qū)網(wǎng)民的興趣，他們迅速啟動人肉搜索，查找該女子的真實身份，結(jié)果，有人查清該女孩為微軟的女代言人陳自瑤，并貼出了她的個人資料，這種情況就是既無惡意也無善意的，僅僅是為了滿足網(wǎng)民個人的窺探心理。而2006年以后，人肉搜索逐漸成為網(wǎng)民懲惡揚善、挖掘隱私和施展暴力的工具，社會影響力越來越大。如2006年的“踩貓事件”、2007年的“史上最毒后媽事件”及“銅須門事件”、2008年的“艷照門事件”、被稱為“人肉搜索第一案”的“王菲案”以及“5·12”汶川大地震期間的“遼寧女罵人事件”、“重慶女孩事件”、2009年的“躲貓貓事件”等都是人肉搜索的典型例子。一方面，人肉搜索查明事情真相，曝光官員貪污腐敗和弄虛作假的惡行，維護了社會公正公平和法律尊嚴(yán)，贏得了大量支持聲和喝彩聲；另一方面，人肉搜索無視法律規(guī)定，搜索無辜，曝光隱私，惡語相加，甚至指鹿為馬，演變成網(wǎng)絡(luò)群體性事件，正成為新的社會不穩(wěn)定因素。

記者：針對您分析的這幾種常見方式，是否可以找到防止侵害的辦法呢？

林凌教授：首先，我們可以利用技術(shù)手段為我們的網(wǎng)絡(luò)安全建起屏障。目前，國外許多公司正在積極研究、開發(fā)這類技術(shù)與產(chǎn)品。美國TopLaye公司研制了IP數(shù)據(jù)流偵聽設(shè)備產(chǎn)品，憑借硬件上的優(yōu)勢，可以對2.5G以上的網(wǎng)絡(luò)數(shù)據(jù)流進行實時偵聽采集；以色列ECTEL公司研制了IP網(wǎng)絡(luò)文字，特別是IP語音的搜索與還原技術(shù)及產(chǎn)品；德國Cobion公司2003年推出了網(wǎng)絡(luò)圖像分析技術(shù)，如：多信息視覺特征識別、臉部檢測和識別、圖像分類器、圖像相似性、可見的裸體檢測等方面的技術(shù)，已建立了歐洲最大的網(wǎng)絡(luò)信息搜集分析中心。這無不說明，技術(shù)調(diào)控日益受到各國重視，成為網(wǎng)絡(luò)信息管理的重要方法之一。因此，努力開發(fā)更先進的網(wǎng)絡(luò)技術(shù)，增加網(wǎng)絡(luò)的安全性，也是保護個人信息安全和網(wǎng)絡(luò)隱私不容忽視的一個方法。其次，加強針對網(wǎng)絡(luò)個人信息侵害的法律保護。我國應(yīng)當(dāng)盡快建立以政府為主導(dǎo)的強制性的立法介入模式，為我們的網(wǎng)絡(luò)安全提供強有力的保護。而實現(xiàn)依法治理的關(guān)鍵是解決條塊分割管理?，F(xiàn)有網(wǎng)絡(luò)法律法規(guī)多為單行法，且大多是專門規(guī)范某類網(wǎng)絡(luò)行為的法律法規(guī)，一方面容易造成法律法規(guī)繁多甚至沖突，另一方面在某些方面又容易出現(xiàn)立法真空。在執(zhí)法過程中，每個部門都依據(jù)所主管的領(lǐng)域制定的單行法規(guī)執(zhí)法，容易造成法規(guī)沖突，另一方面，部門之間推卸責(zé)任，不能使網(wǎng)絡(luò)監(jiān)管真正落到實處。另外，應(yīng)當(dāng)進一步明確基礎(chǔ)電信企業(yè)監(jiān)管信息傳播的法律責(zé)任。中國電信、中國移動和中國聯(lián)通等大型國有企業(yè)既掌握網(wǎng)絡(luò)接入服務(wù)業(yè)務(wù)，又從事網(wǎng)絡(luò)內(nèi)容服務(wù)業(yè)務(wù)，按照有關(guān)規(guī)定，這些企業(yè)對網(wǎng)絡(luò)服務(wù)內(nèi)容實行自我監(jiān)管。從監(jiān)管效果看，這些企業(yè)普遍存在監(jiān)管不到位的問題，致使一些網(wǎng)絡(luò)信息沒有經(jīng)過審查和監(jiān)管，就輕易上線。因此，必須嚴(yán)格規(guī)范基礎(chǔ)電信企業(yè)的監(jiān)管責(zé)任，明確處罰細則，促使其依法嚴(yán)格行使檢查終端用戶的監(jiān)管責(zé)任。第三，加強對行業(yè)部門的管理。首先，在金融、電信、交通、教育、醫(yī)療等涉及公民個人信息較多的部門，應(yīng)該根據(jù)本行業(yè)的工作性質(zhì)與行業(yè)特征，建立問責(zé)制和更加嚴(yán)格、嚴(yán)密的管理制度，防止信息泄露。其次，互聯(lián)網(wǎng)行業(yè)也應(yīng)當(dāng)制定出有關(guān)保護個人隱私的行業(yè)規(guī)則和規(guī)章，進一步明確商業(yè)網(wǎng)站的法律責(zé)任，使其明確承諾對用戶敏感信息的保護。第四，公安部門加大力度對非法倒賣個人信息的打擊。針對侵害公民個人信息違法犯罪，我國日前首次開展大規(guī)模集中行動進行嚴(yán)厲打擊。截至目前，公安機關(guān)已抓獲犯罪嫌疑人1936人，刑事拘留978人，挖出非法出售公民個人信息的“源頭”44個。由此可見，打擊侵害公民個人信息犯罪的集中行動效果顯著，對此公安部門應(yīng)當(dāng)繼續(xù)保持這一高壓態(tài)勢。

記者：國外在針對網(wǎng)絡(luò)空間個人信息保護上，有沒有可以借鑒的經(jīng)驗？

林凌教授：國外在針對網(wǎng)絡(luò)空間個人信息保護上，十分注重發(fā)揮法律的保護作用。歐美各國在20世紀(jì)70年代就開始完善個人信息保護的相關(guān)法律。到了20世紀(jì)80年代，經(jīng)濟合作開發(fā)組織（OECD）理事會從協(xié)調(diào)各國法律規(guī)定的角度出發(fā)，頒布了《關(guān)于保護隱私和個人數(shù)據(jù)國際流通的指南》。此后世界各國都開始迅速制定和完善本國關(guān)于個人信息保護的法律。而不同國家對個人信息的保護模式并不相同，美國主要通過分散立法與以企業(yè)自律和行業(yè)自治為主導(dǎo)的信息隱私保護體制對個人信息提供法律保護。歐盟作為最早關(guān)注個人信息保護的區(qū)域性組織之一，先后制定了多部公約，通過這種統(tǒng)一立法以及以國家為主導(dǎo)的自上而下的個人信息保護體制對個人信息提供保護。鄰國日本則制定了《個人信息保護法》，并根據(jù)這部法律的基本理念，相繼制定并頒布了針對行政機關(guān)、獨立行政法人等持有個人信息機關(guān)的四部法律。值得注意的是《個人信息保護法》的制定并不是一蹴而就的，而是在經(jīng)歷了很長一段時間的摸索和實踐中不斷完善和發(fā)展起來的。據(jù)日本總務(wù)省調(diào)查統(tǒng)計，截至2000年4月1日，共有1748個地方公共團體制定了相關(guān)個人信息保護條例；截至2003年，大多數(shù)地方政府均制定了《個人信息保護條例》。2005年，作為個人信息保護基本法的——《個人信息保護法》最終在日本實施。因此，縱觀世界上其他國家和地區(qū)對個人信息的法律保護，我國可借鑒他國和地區(qū)成功的立法經(jīng)驗，結(jié)合我國的法律體系特點，盡快制定符合我國目前互聯(lián)網(wǎng)發(fā)展特點的個人信息保護法律。

記者：作為普通的公民，我們自身可以從哪些方面來保護自己的個人信息？

林凌教授：公民對個人信息保護的認識還比較薄弱，因此，增強公民的個人信息保護意識，提升公民的自我保護能力是首要任務(wù)。一方面要通過各種宣傳途徑使網(wǎng)民意識到個人信息安全的重要性和一旦泄露的危害性，另一方面要通過各種方式的教育培訓(xùn)來增加網(wǎng)民網(wǎng)絡(luò)知識，提高其自我保護能力?，F(xiàn)階段，我國對個人信息的保護還停留在名譽權(quán)保護規(guī)范之內(nèi)。僅僅公開他人隱私，而沒有造成“損害”后果的，則不予追究責(zé)任。在司法實踐活動中，往往是出現(xiàn)了類似個人名譽受到損害，個人信息被惡意曝光，且造成了侵害惡果時，才由法院根據(jù)相關(guān)司法解釋對案件進行審理。這一定程度上使公民錯誤地認為只要個人名譽不受損害，個人信息曝光并不是一件嚴(yán)重的事情。實際上，由于網(wǎng)絡(luò)空間的廣泛性和信息傳輸?shù)难附菪裕竦碾[私一旦在網(wǎng)上被披露，有可能被不法分子直接販賣非法獲利，甚至衍生出電信詐騙、非法討債、綁架勒索等更多犯罪，給當(dāng)事人帶來十分嚴(yán)重的損害后果，并且這種權(quán)利受損后還很難得到有效的救濟。因此，網(wǎng)絡(luò)時代我們應(yīng)當(dāng)注意提高隱私保護意識，慎重提交個人信息，對網(wǎng)絡(luò)賬戶密碼的設(shè)置不宜過于簡單，以防止不法分子輕易盜取，同時也不要隨意公開、擴散、傳播他人隱私，自覺維護網(wǎng)絡(luò)秩序。

（林凌：華東政法學(xué)院法學(xué)院教授。）

信息泄露引發(fā)的電話短信詐騙行為之心理分析

文 / 陳國鵬 王莉佳

個人信息泄露問題已成為當(dāng)今社會的一大難題，手機號碼、姓名、性別、住址甚至身份證號碼都已成為明碼標(biāo)價的商品在信息市場上隨意買賣。倘若這類信息僅是被商家作為不正當(dāng)?shù)耐其N手段，則只是多接幾個電話被騷擾下，但事實上這些信息也常被不法之徒利用，為詐騙開了方便之門，給百姓的財產(chǎn)和人身安全帶來巨大隱患。

當(dāng)新聞報道有人因為電話短信被騙取多少金額時，作為旁觀者總是很奇怪，如此明顯的騙局為何總有人上當(dāng)呢。其實在這些看似簡單的詐騙短信電話背后都有著心理技巧的實際應(yīng)用，而且往往具有以下幾種行騙模式。

利用心理應(yīng)激行騙

這類詐騙電話短信很普遍，而且相較于其他手段更容易被騙子得手，關(guān)鍵在于騙子設(shè)置了危機事件。如“家人受傷急需醫(yī)藥費”、“在外地被搶了要求匯款”、甚至“被綁架了要求交贖金”等人身安全遭威脅，或者“信用卡被盜刷個人信息泄露”、“電話欠費涉嫌洗黑錢”、“法院傳票強制執(zhí)行”等財產(chǎn)安全遭威脅的短信或電話，使人突然受到?jīng)_擊，進入應(yīng)激狀態(tài)，容易未仔細考慮便將錢匯至指定賬戶或者所謂的“安全賬戶”內(nèi)，走入了騙徒的圈套。

在危機面前，人自然會進入一種“應(yīng)激狀態(tài)”。應(yīng)激狀態(tài)是指出乎意料的緊張情況所引起的一種特殊的生理心理狀態(tài)。其表現(xiàn)是情緒緊張度的增高，主要特征有：精神緊張，交感神經(jīng)過度興奮，血液中腎上腺素升高，呼吸短促，血壓上升，氧耗量增加，肌肉緊縮等。研究發(fā)現(xiàn)，長期或強烈的應(yīng)激狀態(tài)會損害認知功能及機體健康[1]，同時人的決策能力也相應(yīng)地會下降。心理應(yīng)激下的情緒反應(yīng)主要有焦慮、恐懼、憤怒，在這種強烈的情緒下，人的注意力會變得狹窄，在正常情況下能夠注意到的細節(jié)這時候也可能注意不到了，自然很難考慮周全再做出決策。此外，應(yīng)激狀態(tài)會使人處于一種“行動”的狀態(tài)，因為腎上腺素、心跳、血壓水平的變化就是為“行動”做生理準(zhǔn)備的[2]。這個時候人往往坐不住、難以平靜，容易沖動之下做出錯誤的決定。比如，有一種很容易得逞的詐騙手段是假裝兒女或?qū)O子給家里人打電話，讓家里趕快匯錢，電話里騙子總是說“是我，是我呀”，同時還發(fā)出哭泣或痛苦的聲音。這種騙術(shù)之所以會奏效，是因為“是我”的哭喊聲很容易讓人處于應(yīng)激狀態(tài)，還有動員對方趕快采取支援行動的效果。曾經(jīng)有讓母親聽孩子哭聲的實驗表明，母親聽到孩子哭泣時有明顯的脈搏加快的生理反應(yīng)，精神處于一種慌亂的狀態(tài)[3]。正是由于這個原因，騙子制造的“危機”，尤其是接到涉及親人人身安全的電話短信時，更容易讓人一時頭腦發(fā)昏而被騙，心緒一亂，越是在意便越容易陷入騙子的圈套，在沒有仔細核實的情況下就上當(dāng)受騙。

利用催眠技巧詐騙

說到催眠，大部分人立刻想到的是影視劇中催眠師用懷表在人眼前晃動，然后倒數(shù)著讓人睡著了，然后催眠者會一五一十地回答催眠師的所有問題，或者是舞臺上催眠師把人催眠后，人會乖乖把錢包交出，完全聽從催眠師的指令做出各種不尋常的動作。其實上面說的這些只是狹義的催眠。廣義上講，催眠是我們在表意識不自知的情況下，已經(jīng)自我催眠或接受他人的建議，在我們的生活中幾乎無處不在[4]。廣告、推銷、投入到電視情節(jié)中隨之喜怒哀樂，這些都屬于廣義的催眠。現(xiàn)代催眠之父艾瑞克森認為，催眠是一種注意力集中的特殊精神狀態(tài)，是一種高度受暗示性的狀態(tài)。目前的電話詐騙中就時常會運用到催眠的各種技巧。

1. 假借權(quán)威身份建立信任。催眠成功與否并不是由催眠師的技巧決定，而是由被催眠者本身暗示性強弱和是否信任催眠師決定的。越信任，潛意識的自我保護就越薄弱，就越能夠遵照催眠師的指令。塑造權(quán)威形象是建立信任的快捷途徑之一，這就是權(quán)威性催眠，即由所謂的專家說出來，往往被社會大眾和傳媒當(dāng)作“事實”和“真理”，更容易接受[5]。因此電話的開始，騙子往往冒充權(quán)威部門，如電信、銀行、公安、法院等告知被害者“電話欠費”“銀行卡被盜刷”，并將被害人的姓名、身份證號、家庭地址等個人信息逐一核對，讓被害人相信電話就是這些部門打來的。

2.利用通話制造環(huán)境氣氛。在這類詐騙電話中往往有背景音，如“電信部門”的來電，電話中往往會有營業(yè)廳人群的聲音；“公安部門”來電，后面常有接警與對講機的聲音、警車鳴笛聲；在查詢個人信息間隙，還可以聽到工作人員敲擊鍵盤查詢的聲音[2]。這些聲音營造出的環(huán)境氛圍具有催眠效果，讓被害者對這些“工作人員”不疑有他，進一步掉進他們的陷阱。

3.強調(diào)事態(tài)嚴(yán)重造成心理恐慌。建立初步信任之后，電話那端就開始刻意反復(fù)強調(diào)“身份證被人盜用”“賬戶透支”“涉嫌洗錢”等的事態(tài)嚴(yán)重性。有時為了增強效果，通話過程中還會有“其他警官”用小聲但又足夠讓你聽得到的聲音提議“和他啰嗦這么多干什么，直接抓回來問”，被害者進入上文所提及的應(yīng)激狀態(tài)中，情緒高度緊張，注意力變得狹窄，只想著如何撇清，如何解決這件事，慌不擇路下進入騙子設(shè)好的陷阱中。

4.語句反復(fù)語速適中引導(dǎo)進入催眠。凡是單調(diào)、重復(fù)、刻板的刺激都能誘發(fā)不同程度的催眠。乘車長途旅行就是個例子，長途旅行中單調(diào)、重復(fù)的車輪轉(zhuǎn)動聲會成為催眠性刺激誘人進入催眠狀態(tài)，在催眠中似乎能聽到列車員報站的聲音，而對其他聲音迷迷糊糊甚至一無所知。電話詐騙中正是用這種重復(fù)平穩(wěn)但單調(diào)的語速與受害人進行溝通，以達到引導(dǎo)催眠的效果，尤其是在核對身份證、信用卡號以及后面在ATM機上操作報轉(zhuǎn)賬卡號時，“3-3-0-4-……”以這種有微停頓而又無明顯間隔的平穩(wěn)語速報出一連串?dāng)?shù)字，與催眠引導(dǎo)技巧中“數(shù)數(shù)”“數(shù)臺階”等方法如出一轍。聽到這一連串單調(diào)、刻板的數(shù)字加上之前放下的戒心，便容易不自覺被引導(dǎo)進入淺催眠狀態(tài)，受害人的視野會變得狹窄、局限，開始只專注停留在眼前，按照電話的指示重復(fù)單調(diào)機械動作。等回過神發(fā)現(xiàn)上當(dāng)時，回想如何在ATM的操作卻怎么也想不起來了，只覺得迷迷糊糊，因為當(dāng)時可能已經(jīng)進入了淺催眠狀態(tài)。

5.保持通話制造判斷真空。從家接到電話到ATM機上完成操作，整個過程騙子往往不給人喘息的機會，全程保持通話，還可能會叮囑“泄露你個人信息的可能就是身邊的人”所以要求不與家人朋友聯(lián)系。因為一旦接觸騙子以外的信息源，就很可能使得思維不局限于騙子催眠灌輸?shù)倪@些信息，發(fā)現(xiàn)種種疑點進而發(fā)覺這是個騙局。就像催眠治療進行過程中如果突然有鈴聲響了，就會被一下子拉回來，需要催眠師重新引導(dǎo)進入。因此保持通話就是為了繼續(xù)讓受害者失去判斷能力，保持在催眠狀態(tài)。

利用“登門檻效應(yīng)”心理行騙

“登門檻效應(yīng)”（Foot in the Door Technique）源于美國社會心理學(xué)家弗里德曼與弗雷瑟所做的一個實驗。實驗者隨機訪問一組家庭主婦（A組），請她們把一個小招牌掛在自己家的窗戶上。這些家庭主婦們大都愉快地同意了。過了一段時間，實驗者再次走訪這些家庭主婦，請求她們將一個不太美觀的招牌掛在自己的窗戶上，她們大都同意了。又過了一些日子，實驗者請求這些家庭主婦把一塊不僅大而且不太美觀的招牌放在院子里，結(jié)果依然有超過半數(shù)的家庭主婦同意了。相比之下，對隨機訪問的另一組家庭主婦（B組），直接表示希望將一塊不僅大而且不太美觀的招牌放在她們的庭院里，結(jié)果同意這個要求的家庭主婦的人數(shù)只有17%?？梢钥闯?，面對別人提出的一個小要求時，我們通常很難拒絕，而實際上這個小要求只是一塊敲門磚，一旦接受了這個要求，就仿佛跨進了一道心理上的門檻。當(dāng)別人再提出一個更高一些的要求時，這個要求就和前一個要求有了承繼關(guān)系，讓人容易順理成章地接受。這樣比一開始就提出較高的要求更容易讓人接受，就如同登門檻的時候要一級一級臺階地登，如此才能更加順利地登上高處一樣，這是一種非常有效的心理引導(dǎo)技巧。我們大多數(shù)人都過這樣的經(jīng)歷，在街頭填份調(diào)查問卷或試用某樣?xùn)|西，其結(jié)果往往會莫名地買一堆并不真正需要的東西，這就是銷售人員利用了“登門檻效應(yīng)”的一種推銷活動?！暗情T檻效應(yīng)”的應(yīng)用范圍很廣，銷售、管理、家庭教育等等都有用到，當(dāng)然，騙子也常常利用它來進行詐騙活動。

比如現(xiàn)在有一檔很火的電視節(jié)目“中國好聲音”，許多人會收到類似的短信：“您的手機號碼已被浙江電視臺‘中國好聲音’欄目組后臺抽選為場外幸運觀眾，將獲得由蘋果公司贊助提供的獎金68000元人民幣與蘋果MacBook Pro筆記本電腦一臺……”本來這樣的短信應(yīng)該很容易被識破，但是為什么還是會有人上當(dāng)呢，這就和登門檻效應(yīng)有關(guān)。因為在有幸收到這個“中獎信息”后，“主辦方”通常會要求小數(shù)額的費用，比如十幾塊錢的獎品運費，比較容易讓人接受，很多人覺得就算被騙也就是十幾塊錢，“萬一”是真的，獎品可是“幾千乃至上萬元”，容易產(chǎn)生“用小錢換大錢”的僥幸心理，于是答應(yīng)付運費，這實際上是進入了“門檻”。但是運費之后往往又有手續(xù)費、個人所得稅等費用需要受害者一步步往上“登”，當(dāng)“登”上了一定的高度，受害者就往往會產(chǎn)生出“之前已經(jīng)付了這許多錢，那就得把獎品拿到再說”的心理，因此，有的時候人們即使會對此產(chǎn)生懷疑卻仍舊繼續(xù)匯款，心存僥幸，直到數(shù)額大到令人不能接受，才讓他們幡然悔悟為止。

與騙子周旋可謂是一場心理之戰(zhàn)，須得知己知彼，才能了解他們伎倆背后的心理學(xué)原理。此外，還得做好自己的心理建設(shè)，做到當(dāng)發(fā)生危急事件時，能鎮(zhèn)靜而不慌亂，與親朋好友一同商量解決，平時多留意新聞報道出現(xiàn)的新型詐騙形式，及時提醒傳播給周圍的人尤其是家中老人，從而有效預(yù)防各種詐騙犯罪的發(fā)生。

（陳國鵬：華東師范大學(xué)心理與認知科學(xué)學(xué)院教授，上海市心理學(xué)會理事。

王莉佳：同濟大學(xué)浙江學(xué)院心理咨詢師。）