薛軍

個(gè)人信息保護(hù)不能因噎廢食，要尊重市場(chǎng)規(guī)則，重視和相信以技術(shù)手段來(lái)解決問(wèn)題，在絕大多數(shù)情況下，這比一刀切式的禁止更加妥當(dāng)。

在享受信息技術(shù)和互聯(lián)網(wǎng)帶來(lái)的巨大便利的同時(shí)，中國(guó)公民正遭遇日益嚴(yán)重的個(gè)人信息安全問(wèn)題。

個(gè)人信息的違規(guī)收集、不當(dāng)處理、泄露，以及猖獗的地下黑產(chǎn)，使人們成為“透明人”。各種量身定做的騙局，精準(zhǔn)指向的廣告營(yíng)銷(xiāo)接踵而來(lái)，個(gè)人隱私暴露在各懷心機(jī)的他人或公眾面前。

如何通過(guò)建構(gòu)個(gè)人信息保護(hù)的良善規(guī)則之治，在享受技術(shù)發(fā)展帶來(lái)便利的同時(shí)，盡可能避免其導(dǎo)致的消極后果？

網(wǎng)絡(luò)化時(shí)代的個(gè)人信息保護(hù)問(wèn)題，是世界性的挑戰(zhàn)。即使是歐美發(fā)達(dá)的法域，也在積極探討相應(yīng)的應(yīng)對(duì)方法。已經(jīng)在不久前正式施行的《歐盟通用數(shù)據(jù)保護(hù)條例》（GDPR）正是這一領(lǐng)域的最新立法，引發(fā)全世界的密切關(guān)注。對(duì)于中國(guó)而言，妥善保護(hù)個(gè)人信息，亟須處理立法、監(jiān)管、市場(chǎng)等幾方面的問(wèn)題。

制定能落地的專(zhuān)門(mén)立法

中國(guó)的個(gè)人信息保護(hù)領(lǐng)域需要更具系統(tǒng)性、科學(xué)性以及可操作性的立法。嚴(yán)格來(lái)說(shuō)，在中國(guó)的法律體系中，并不缺乏關(guān)于個(gè)人信息保護(hù)的相關(guān)立法。

2012年全國(guó)人大常委會(huì)制定的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，2016年的《網(wǎng)絡(luò)安全法》，2017年的《民法總則》，都有涉及個(gè)人信息保護(hù)的法律規(guī)則。在司法解釋的層面上，則有最高人民法院與最高人民檢察院在2017年聯(lián)合發(fā)布的《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》。

剛剛經(jīng)過(guò)第三次審議的《電子商務(wù)法（草案）》，以及已經(jīng)進(jìn)入征求意見(jiàn)階段的《民法典人格權(quán)編（草案）》也都有專(zhuān)門(mén)涉及個(gè)人信息保護(hù)的條文。在其他社會(huì)規(guī)范的層面上，國(guó)家標(biāo)準(zhǔn)委員會(huì)在2017年正式發(fā)布了《信息安全技術(shù)以及個(gè)人信息安全規(guī)范》的國(guó)家標(biāo)準(zhǔn)。

但不容否認(rèn)的是，我國(guó)既有的個(gè)人信息保護(hù)立法存在嚴(yán)重的碎片化以及缺乏可操作性等諸多方面的問(wèn)題。雖然看上去很多立法都涉及個(gè)人信息保護(hù)，但往往流于原則宣示，或局限于針對(duì)某一特定方面的問(wèn)題作出規(guī)定。由此導(dǎo)致規(guī)則之間的不協(xié)調(diào)，違反規(guī)則的責(zé)任主體、責(zé)任形態(tài)含糊不清。

例如《民法總則》第111條規(guī)定，“任何組織和個(gè)人需要獲取他人個(gè)人信息，應(yīng)當(dāng)依法取得，并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買(mǎi)賣(mài)、提供或者公開(kāi)他人個(gè)人信息?！钡珕?wèn)題是，要求“依法取得”，不得“非法收集”等等，這樣的規(guī)則要能夠發(fā)揮作用就必須有明確具體的法律規(guī)范去規(guī)定：什么類(lèi)型的個(gè)人信息，以什么樣的方式來(lái)取得才是合法取得；而什么類(lèi)型的個(gè)人信息，只要取得了就構(gòu)成違法。沒(méi)有配套的具體銜接規(guī)范，《民法總則》的這一規(guī)定就是具文一條。

為了解決這一問(wèn)題，必須制定一部系統(tǒng)、全面、可操作、能落地的《個(gè)人信息保護(hù)法》。該法律要整合既有的個(gè)人信息保護(hù)領(lǐng)域的法律規(guī)范，也要查漏補(bǔ)缺，提升立法的科學(xué)性、體系性和可操作性?；诖?，如果國(guó)家層面上已經(jīng)決定啟動(dòng)制定《個(gè)人信息保護(hù)法》，其他立法中就需要避免針對(duì)相關(guān)問(wèn)題再做規(guī)定，否則不僅是立法資源的浪費(fèi)，也會(huì)造成立法體系不協(xié)調(diào)和不統(tǒng)一的問(wèn)題。

當(dāng)然，立法不是萬(wàn)能的，也不能過(guò)于剛性。在個(gè)人信息保護(hù)立法的過(guò)程中還需要注意預(yù)留制度發(fā)展的彈性空間，在有必要時(shí)，重視諸如標(biāo)準(zhǔn)等社會(huì)規(guī)范、軟法規(guī)范的運(yùn)用。

須建立一站式的監(jiān)管體制

在中國(guó)建構(gòu)個(gè)人信息保護(hù)的規(guī)則之治，必須建立一個(gè)統(tǒng)一、高效，在涉及個(gè)人信息保護(hù)問(wèn)題上職權(quán)配置清晰而且明確的監(jiān)管體制。由于諸多因素，中國(guó)的行政機(jī)構(gòu)中，在涉及個(gè)人信息保護(hù)的問(wèn)題上，并未明確相應(yīng)的主管部門(mén)。

新一輪的政府機(jī)構(gòu)改革中，雖然在中央層面有網(wǎng)信辦以及新組建的市場(chǎng)監(jiān)督管理總局，但個(gè)人信息保護(hù)的主管部門(mén)似乎仍然是條塊分割，分而治之的狀態(tài)。在這一問(wèn)題上，需要注意到，歐美發(fā)達(dá)國(guó)家的趨勢(shì)是建立更加高效的“一站式”監(jiān)管體制，以及設(shè)立獨(dú)立監(jiān)管部門(mén)來(lái)專(zhuān)門(mén)負(fù)責(zé)個(gè)人信息保護(hù)規(guī)則的實(shí)施以及行政執(zhí)法。

例如，前述歐盟的GDPR就在第六章明確規(guī)定了“獨(dú)立監(jiān)管機(jī)構(gòu)”，要求各成員國(guó)必須建立獨(dú)立的監(jiān)管機(jī)構(gòu)來(lái)專(zhuān)門(mén)負(fù)責(zé)個(gè)人信息保護(hù)法律的執(zhí)行。德國(guó)為此在相應(yīng)的政府機(jī)構(gòu)中設(shè)置了“個(gè)人信息保護(hù)專(zhuān)員”。作為執(zhí)法者，其享有獨(dú)立而且完整的涉及個(gè)人信息領(lǐng)域的行政調(diào)查、執(zhí)法和做出處罰的權(quán)力。美國(guó)的聯(lián)邦貿(mào)易委員會(huì)（FTC）在相關(guān)領(lǐng)域也發(fā)揮著核心的行政監(jiān)督和執(zhí)法職能。該委員會(huì)在涉及個(gè)人信息領(lǐng)域的很多執(zhí)法案例，推動(dòng)了美國(guó)的個(gè)人信息保護(hù)規(guī)則的發(fā)展。

我國(guó)要強(qiáng)化個(gè)人信息保護(hù)，也必須建立一站式的監(jiān)管體制，明確一個(gè)獨(dú)立的行政部門(mén)來(lái)專(zhuān)門(mén)負(fù)責(zé)個(gè)人信息保護(hù)領(lǐng)域的執(zhí)法。法律制定得再好，如果沒(méi)有強(qiáng)有力的執(zhí)法者，還是一紙空文。

我國(guó)現(xiàn)在涉及個(gè)人信息保護(hù)的很多法律規(guī)則，都規(guī)定任何單位和個(gè)人不得違法收集個(gè)人信息。但在實(shí)際生活中，筆者曾經(jīng)遇到，酒店對(duì)入住的客人收集相關(guān)的人臉信息，多方投訴卻無(wú)任何結(jié)果。沒(méi)有一個(gè)機(jī)構(gòu)認(rèn)為自己應(yīng)該對(duì)相關(guān)行為承擔(dān)監(jiān)督的職責(zé)。在這樣的執(zhí)法體制之下，怎么可能期待建立一個(gè)有實(shí)際效果的個(gè)人信息保護(hù)制度呢？

另外，對(duì)于頻繁爆發(fā)的黑客入侵企業(yè)內(nèi)部系統(tǒng)竊取個(gè)人信息，企業(yè)內(nèi)鬼主動(dòng)泄露個(gè)人信息，企業(yè)違規(guī)分享、轉(zhuǎn)讓、倒賣(mài)個(gè)人信息等事件，如果不是發(fā)生了諸如山東徐玉玉案那樣的惡性事件，引發(fā)輿論高度關(guān)注，哪個(gè)主管部門(mén)會(huì)認(rèn)為自己有義務(wù)去檢查、督促企業(yè)建立更加安全的個(gè)人信息保護(hù)系統(tǒng)，完善企業(yè)內(nèi)控制度，從而防患于未然呢？

要真正解決此類(lèi)問(wèn)題就必須打破條塊分割、分而治之的局面，建立強(qiáng)有力的、統(tǒng)一的、配置有專(zhuān)門(mén)執(zhí)法權(quán)的、負(fù)責(zé)個(gè)人信息執(zhí)法的監(jiān)管部門(mén)，并且將該部門(mén)的職責(zé)告知民眾，建立有效的投訴處理機(jī)制。只有這樣，個(gè)人信息保護(hù)法律制度的實(shí)際有效運(yùn)行，才具有了制度基礎(chǔ)和真正的動(dòng)力來(lái)源。

民事、行政、刑事責(zé)任合理分配

個(gè)人信息保護(hù)的良善規(guī)則之治，還必須建立在妥當(dāng)?shù)膬r(jià)值均衡、尊重市場(chǎng)規(guī)律和技術(shù)發(fā)展趨勢(shì)的基礎(chǔ)之上。

因?yàn)殛P(guān)涉隱私、尊嚴(yán)、人身與財(cái)產(chǎn)安全，所以個(gè)人信息在法律層面被予以認(rèn)真保護(hù)。保護(hù)個(gè)人信息，不是因?yàn)閭€(gè)人信息本身的價(jià)值，而是因?yàn)楸澈蟮娜诵枰玫奖Ｗo(hù)。但法律上對(duì)任何法益的保護(hù)都不可能是絕對(duì)的。法律會(huì)將需要保護(hù)的利益放在一個(gè)整體框架中尋找最妥當(dāng)?shù)木恻c(diǎn)。

數(shù)字經(jīng)濟(jì)時(shí)代，個(gè)人不可能在享受互聯(lián)網(wǎng)技術(shù)發(fā)展帶來(lái)的紅利的同時(shí)，又把自己包裹在信息隔絕的空間之中，這從技術(shù)層面看是不可能的，從利益均衡的角度看，也是不合理的。

每個(gè)時(shí)代都會(huì)催生具有時(shí)代特色的隱私期待，個(gè)人信息保護(hù)的制度邊界必須與此相適應(yīng)。在個(gè)人信息保護(hù)的水準(zhǔn)上，并非越高越好，因?yàn)檫^(guò)猶不及，過(guò)高的保護(hù)標(biāo)準(zhǔn)反而會(huì)阻礙信息技術(shù)和互聯(lián)網(wǎng)技術(shù)的迭代發(fā)展。

要解決這一問(wèn)題，首先，必須注意在民事責(zé)任、行政責(zé)任與刑事責(zé)任的配置上比例得當(dāng)，銜接流暢。基于各種理由，在個(gè)人信息保護(hù)問(wèn)題上，必須以行政責(zé)任為主導(dǎo)，配之以典型行為樣態(tài)下的刑事責(zé)任和偏向于個(gè)人之保護(hù)，以舉證責(zé)任倒置，責(zé)任推定和有限情況下的連帶責(zé)任為基礎(chǔ)的民事責(zé)任。

其次，要注意區(qū)分個(gè)人信息與數(shù)據(jù)，對(duì)于后者應(yīng)該尊重相應(yīng)的數(shù)據(jù)主體合法財(cái)產(chǎn)性利益，鼓勵(lì)充分的商業(yè)化和流動(dòng)。歐盟在制定GDPR之后，另外專(zhuān)門(mén)立法促進(jìn)非個(gè)人數(shù)據(jù)的自由流動(dòng)，并非偶然。

我國(guó)《民法總則》第111條和第127條明確區(qū)分了個(gè)人信息與數(shù)據(jù)作為兩個(gè)不同的法律概念，這種立法理念非常先進(jìn)。應(yīng)該以此為基礎(chǔ)建立兩個(gè)邏輯不同的制度體系：對(duì)個(gè)人信息強(qiáng)調(diào)保護(hù)，對(duì)數(shù)據(jù)則強(qiáng)調(diào)財(cái)產(chǎn)性?xún)r(jià)值的認(rèn)可。至于二者之間的關(guān)系，應(yīng)該采取個(gè)人數(shù)據(jù)定義保留原則，也就是說(shuō)，除非被明確界定為屬于個(gè)人信息，并且被相應(yīng)的個(gè)人信息保護(hù)立法所覆蓋，否則推定為屬于數(shù)據(jù)，適用法律上的關(guān)于數(shù)據(jù)的規(guī)則。

再次，個(gè)人信息保護(hù)的規(guī)則需要尊重技術(shù)發(fā)展趨勢(shì)，應(yīng)該更多地鼓勵(lì)新技術(shù)的發(fā)展，以技術(shù)手段來(lái)解決個(gè)人信息保護(hù)。信息技術(shù)的發(fā)展是解決個(gè)人信息保護(hù)的最有效方法。這一點(diǎn)已經(jīng)被很多實(shí)務(wù)案例予以證實(shí)。

例如，網(wǎng)約車(chē)司機(jī)與乘客聯(lián)系時(shí)，采用虛擬號(hào)碼就很好地解決了乘客的手機(jī)號(hào)碼信息泄露問(wèn)題；快遞運(yùn)輸包裹上的電子代碼技術(shù)，基本上解決了運(yùn)單上的個(gè)人信息泄露問(wèn)題。

因此，在個(gè)人信息保護(hù)的問(wèn)題上，設(shè)置禁止性規(guī)范以及其他的強(qiáng)制性規(guī)范時(shí)，必須為技術(shù)發(fā)展留有彈性空間。個(gè)人信息保護(hù)不能因噎廢食，要尊重市場(chǎng)規(guī)則，重視和相信以技術(shù)手段來(lái)解決問(wèn)題，在絕大多數(shù)情況下，這比一刀切式的禁止更加妥當(dāng)。

甘蔗沒(méi)有兩頭甜，進(jìn)入互聯(lián)網(wǎng)時(shí)代，不能一方面享受信息技術(shù)的紅利，另外又不承受技術(shù)發(fā)展帶來(lái)的消極后果。但可以通過(guò)理性的制度設(shè)計(jì)，盡可能二者得兼。社會(huì)的任何發(fā)展和進(jìn)步，無(wú)不是在這種權(quán)衡利弊中摸索前行。

（作者為北京大學(xué)法學(xué)院教授、副院長(zhǎng)，編輯：李恩樹(shù)）