消除个人信息保护的五大误区

2017年3月15日通过、将于2017年10月1日起施行的《民法总则》有两个条文涉及数据保护。

第一百一十一条是有关个人信息（在欧洲称为个人数据，本文混用个人信息与个人数据）保护的规范：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”该条是有关个人信息保护的效力最高规则。该条并没有赋予个人对个人信息（欧洲多称为个人数据，而美国称为个人可识别信息）的控制权，而仅仅从消极的角度确立了个人信息使用的禁止性规范，确立了个人信息保护的基本原则或确立了个人信息受保护的权利。

第一百二十七条是关于数据保护的规范：“法律对数据、网络虚拟财产的保护有规定的，依照其规定。”该条属于准用性规范。实际上，现行法律还没有任何有关数据保护的规定，也就无法可以适用。之所以要做这样的规定，是因为立法者已经意识到数据需要法律保护，应当予以规范，但是还拿捏不准如何规范，只好留下空白，留待以后用特别法加以规定。

笔者认为，《民法总则》这样的规定体现出立法者对个人信息保护持谨慎的态度，为今后再通过立法确立对个人信息的保护和利用及其数据保护规范留下了足够空间。国际社会在谈到数据保护时，仅指个人数据保护，是保护数据方面的个人权益，还没有立法触及到一般数据保护。本文也仅仅涉及个人数据保护问题。

国际上自上世纪末即形成了个人数据保护的基本原则，并逐渐被各国吸收，形成了个人信息保护规范。但是随着技术的进步，个人数据的形成途径、利用场景、利用形式等均发生了巨大变化，各国仍在不断调整各自的规则。2016年欧盟通过的《统一数据保护条例》（General Data Protection Regulation）即欧盟为建设单一市场目标而出台的一部个人数据保护规范。但是，其所确立的保护规则是否与大数据应用场景相吻合，是否为世界各国所接受，尚待时间检验。

相较而言，我国的个人数据保护起步较晚，在相当一段时间内没有意识到个人信息保护的价值和意义。2012年12月全国人大常委会通过的《关于加强网络信息保护的决定》全面开启了我国个人信息保护的立法进程。从2013年修改的《消费者权益保护法》到2016年通过的《网络安全法》等许多法律均沿袭了《决定》的精神，确立非经个人同意不得收集和使用个人信息的规则，以加强对个人信息的保护。而2015年通过的《刑法修正案（九）》再次强化了2009年《刑法修正案（七）》的规则，严厉打击出售个人信息和向第三人提供的行为。

但是，这些法律规范所反映的个人信息保护理念存在许多问题，笔者将之归纳为个人信息保护的误区。只有消除这些误区才能使我国的个人信息保护与国际规则接轨，以建立适应大数据需要的个人数据保护规则，迎接大数据应用的新曙光。这里以国际社会惯用的“个人”（又称数据主体）和“数据控制人”（收集和利用者）来描述个人信息保护和利用关系中存在误区。

误区一：个人数据属于个人。

个人数据不仅是个人的，也是公共的。主要理由是：

第一，个人数据不是智力成果，不是由数据主体创设出来的，而是数据主体行动的记录或自然结果。个人数据中，除了直接标识个人身份和联系方式的信息（即当你注册为用户或从事交易时，所提供的注册或身份信息）可以由个人录入或主动生成数据之外，其余的个人数据大多数是由数据控制人（网络服务提供者）创设或生成，数据控制人为每个用户创设了用户文档（profile）或者记录。显然，我们不能从个人数据形成或创设的角度论证个人数据的归属。

第二，个人数据与个人的关系仅在于来源，但是“来源于”并不等于“归属于”。 个人数据与个人的联系仅在于该信息指示和描述特定个人，但是，指示和描述某个人的信息并不足以让该个人对该信息拥有排他支配权。这是因为，信息是人类社会交往和社会运行的公共资源，任何人均不能独占。比如，姓名是最直接标识和识别个人身份的个人信息，即使世界各国普遍承认姓名权，法律也没有赋予人们对姓名（文字）的排他支配权。任何人可以自由起名字，但不能阻止他人起相同的名字。同样，电话号码只是在通信服务关系建立时，你可以使用的数字，并不归你所有或支配。相同道理也适用于其他个人信息。因此，与特定个人有联系，可以识别或描述某个人，并不足以使个人对该信息造成垄断，法律没有理由赋予个人对个人信息的排他支配权。

第三，个人数据具有一定公共性。个人信息是开展社会交往和各种社会活动所必需的因素，开展任何社会交往都需要了解一个人，需要收集个人信息来判断其品行、特征等；为开展商业交易，也需要进行审慎调查，以了解交易对象的信用记录，如此等等。而了解一个人或交往对象（比如雇用或交易），除了由当事人自主相关信息提供外，交易当事人有权自己收集有关信息，以对相关主体进行判断。如果说“任何人无权阻止别人通过合法途径了解你”是普遍接受的社会规则的话，那么，“任何人也无权阻止他人合法地收集你的个人信息并利用这些信息对你做出判断”也应当为社会所接受。个人数据如果纯粹属于个人“财产”，那么他（她）完全可以撤回、删除或销毁个人数据；但是请不要忘记一个社会也有权保存这些记录，用来描述某个人或其观点。不是什么信息都可以因个人的喜好而被社会“忘却”。在这个意义上，个人信息具有社会性、公共性，不是由个人排他支配的东西。

总之，个人信息虽然与个人有关，但是并不属于个人。离开个人信息，一个人不能标识自己，社会公众也无从判断某个具体的个体。个人信息是社会的润滑剂，具有社会性、公共性、可获取性。

误区二：保护个人数据旨在保护个人隐私。

个人信息应当予以保护，是基于个人（数据主体）在数据上存在某种需要保护的权益或法益。在这方面，我们必须承认世界各国均有一个基本共识，即保护个人数据旨在保护个人的自由和人格尊严。人格尊严和自由是个人的最基本权利，许多基本权利或人格权均源自于对它的保护。事实上，国际社会均将个人信息保护立法的宗旨定位于保护人格尊严和自由。

只是，英美法体系在隐私或隐私权概念下保护一切应当保护的人格尊严和自由，创立了广义的隐私权体系。而在大陆法国家，是在“人权（或基本权利）+人格权”、公法＋私法两重体系下来保护个人自由和人格尊严；在基本权利体系下创立了个人数据保护权，而对应到私法就可归类于一般人格权。这就造成，在英美法体系中，个人信息保护问题是隐私保护问题（被称为信息隐私权），而在大陆法国家，个人数据保护被视为与隐私交叉但又有区别的个人权益。

也就是说，在个人数据保护权这样的基本权利对应到私法层面时，个人数据保护不完全等同于是对隐私的保护，因为个人数据保护所保护的个人事务（信息）自决、自由、防止歧视等法益是不能为大陆法国家的隐私概念所涵盖。因此，大陆法国家的隐私是非常狭义的，仅指个人不愿意为他人知悉个人事务（表现为私密信息或私密空间中的活动），向不特定人公开（泄露）即构成对隐私权的侵害。

我国是一个大陆法国家，隐私和隐私权是狭义的，侵害隐私行为主要表现为向不特定人泄露私密信息和刺探私密活动（空间隐私）。我们用隐私保护方式来保护个人信息上的个人权益显然不妥当。其一，现实中有许多个人信息是可公开获取的，按照隐私保护逻辑，只有私密信息才受保护，那么有许多个人信息就得不到保护。其二，由于个人信息的使用在某种意义上就是泄露，至少会导致泄露的可能性，因而个人信息的使用被认为是一种加害行为或有此危险，应予以禁止。显然，这是不可能的。其三，按照隐私保护逻辑，个人对个人信息有保密控制权利，要使用个人信息就必须经过其同意，未经同意使用即构成侵权。这显然与实际不相吻合，否则我们每个人、每个企业、每个机构无时无刻不面临侵权风险。因此，个人信息保护一定有区别于隐私保护的逻辑。

当然，我们应当承认个人信息保护与隐私保护存在交叉。许多隐私信息具有识别个人的特性，因而也落入到个人信息（个人数据）保护范畴；个人信息保护也必然内含私密信息保护。但隐私信息保护不是个人信息保护的全部。个人信息保护针对的是个人信息的不当使用或滥用导致侵害个人尊严、自主或自由等基本权利的行为，隐私保护主要是针对使用个人信息过程中泄露属于隐私范畴的个人信息行为。披露或泄露隐私信息属于违反个人信息保护法的行为，但是个人信息保护法保护的法益远远超过隐私利益，除了隐私利益外还包括个人尊严、自由、反歧视等。

误区三：个人信息保护法的目的仅在于保护个人利益。

个人信息保护立法的目的是在保护个人数据上权益的前提下促进数据的利用。在某种意义上甚至可以说，促进个人数据的流通和利用是目的，而保护个人权益则是手段。

国际社会的个人数据保护立法文件普遍包含两个立法目的，一方面要保护个人权利（或个人隐私），另一方面要保护个人数据的正当使用和自由流通，促进数据的自由流通就是这些立法的基本目的之一。

比如，OECD（经济合作与发展组织）1980年发布的《隐私保护和个人数据跨境流通指南》，从其标题即可看出它是将个人数据的跨境流通作为其基本目的之一，同时还在具体条文中提醒各成员国应当在限制个人数据跨境流通方面保持克制态度，以在能够提供充分的安全保障措施的前提下实现个人数据的跨境流通。1981年欧洲委员会通过《个人数据处理中的个人保护公约》（2012年修订），虽然标题中没有明确，但是公约的主旨仍然是促进信息的自由流通。公约前言明确：“承认存在协调尊重隐私与保障信息自由流通两者的基本价值的需要。”而在2012年修订时则明确为：“承认有必要在全球范围提升尊重隐私和保护个人数据的基本价值，由此利于信息的自由流通。”

而欧盟先后颁布的指令、条例的全称中均包括个人数据的自由流通（指令的全称为《有关个人数据处理中的个人保护和所涉数据自由流通的第95/46/EC/号指令》，条例的全称为《欧盟议会和欧盟理事会关于规范个人数据处理中个人保护和所涉数据的自由流通，取代第95/46/EC/号指令》）。由此可见，促进个人数据的自由流通一直是国际上个人数据保护立法的重要目的之一。

我国在移植国际社会个人数据保护立法的过程中，往往忽略个人信息的公共性，忽略个人数据的流通利用目标。尤其是在我国个人信息盗卖和电信欺诈猖獗的情形下，防止侵权和非法使用几乎成为了个人信息保护立法的唯一目标。实际上，个人数据保护法目标和内容要体现个人信息保护权与社会主体对个人数据的合法权益的平衡。基于正当社会活动使用个人信息也是社会主体应有的权利，只是使用个人信息过程中必须尊重和保护数据上的个人权益。

在欧盟，《统一数据保护条例》通过数据控制人的“合法利益”和个人数据处理的例外或特殊规定来实现对个人权益的保障。在数据化时代，基于特定应用场景且可控制的个人信息利用（包括分享、流通、查询等）成为是现代商业运行、社会治理和一切管理活动的基本需求，应当建立在保护个人尊严和自由的前提下个人数据的规范利用基本秩序。因此，实现个人信息为社会正当和合法利用才是个人信息保护的目的，也是亟待制定个人信息保护法应当解决的问题。而现行相关立法中一味保护个人权益，忽略了个人信息正当合法适用的一面。

误区四：个人信息依赖赋予个人权利加以保护。

个人信息不完全属于个人，社会主体具有使用个人信息的正当、合法的利益。因此，个人信息的利用就不完全是个人说了算。进而，个人信息保护权并非个人对个人信息的支配权，而是个人信息受到法律保护的权利。个人信息不是个人权利的客体，对于个人信息的保护不是赋予对个人信息支配权即万事大吉了，而是要平衡个人利益和社会利益，建构个人信息的利用秩序。在概念上，《民法总则》所确立个人信息保护权，只是个人信息应当受法律保护的权利，至于如何保护则并不是通过赋予个人单一权利可以实现的。

从本源上讲，个人信息上存在个人利益，个人信息的不正当利用会侵害个人自由、尊严，产生歧视等问题，因而个人应当维护自己的权利，捍卫自己的权利。但是，单靠个人维权难以实现这一目标。这是因为，个人信息本身是社会交往手段，个人不可能对个人信息享有自由的决定权，自主自愿地同意或不同意给他人使用；个人信息一旦提供就可能“一发而不可收拾”。其结果是，个人信息散布于社会的各个角落，遍布于一个社会人成长的历程，一个人如何能够控制自己的信息呢？在某种意义上，一个人可以选择不提供、不留痕，但那只是鲁宾逊漂流在孤岛的生活。如果说在前网络时代，个人对个人信息尚具有一定的控制力的话，那么在今天无时无处不网络的时代，个人要完全控制个人信息几乎是不可能了。

“非经同意不得使用个人信息”曾经被认为是个人控制个人信息的有效手段，但事实证明，“同意”作为个人控制个人信息的手段在今天已经演变为企业或其他组织规避法律、随意使用个人信息的工具。因为，企业的一纸同意书，可以涵盖个人信息使用的所有情形，而个人为接受服务或进行交易，不得不点击同意。在没有自由选择的背景下，同意并不是保护个人权利的手段，而会成为滥用个人信息的保护伞。因此，仅靠赋予个人对个人信息的控制权，并要求同意使用是不可能保护个人权益的。

有鉴于此，欧盟《统一数据保护条例》没有赋予个人以同意权，也不依赖同意来保护个人信息，而是确立个人数据利用的规范，施加数据控制人以各种义务，以使数据控制人合法地使用数据，而只要数据控制人行为合法，那么个人利益基本上能够得到保护。数据控制人是否守法则主要由政府（数据监管机构）监督和实施。因此，条例创设了非常复杂的行政执法体系，赋予监管机构相当大的行政处罚权，对违规使用个人信息的行为予以处罚。

误区五：个人信息刑法保护等同于个人信息保护。

由于长期缺失个人信息保护法，我国个人信息买卖猖獗，以致于扰乱了公民的生活安宁，甚至个人信息被用来诈骗，威胁到公民的人身和财产安全。于是，在没有个人信息保护法的前提下，只能率先将个人信息纳入刑法保护。2009年《刑法修正案》（七）通过对《刑法》第二百五十三条侵犯通信自由罪的修改，增加了侵犯公民个人信息罪［2015年《刑法修正案》（九）又作进一步修改］。从该罪处在第四章“侵犯公民人身权利、民主权利罪”来看，显然侵犯公民个人信息罪所保护的法益为“人格尊严和自由”。

对脱离特定应用场景、可以直接识别个人身份信息的买卖有百害而无一利，因此应当用重刑严厉打击。但是，刑事保护区别于行政保护和民事保护，相关行为应当具有相当的社会危害性才有必要动用刑法加以打击。

由于个人信息流通和使用是社会活动开展，尤其是商业活动开展必不可少的要素，因而如何区分合法的个人数据流通使用和非法（尤其是可入刑）的个人数据流通使用，就成为非常重要的行为规范。尤其是伴随大数据技术的应用，一切所谓的“智能制造”、“个性化定制”或“个性化服务”均是建立在对用户数据的分析基础上，个人数据更是成为现代商业的命脉。而现在《刑法》规定，“违反国家有关规定”，向他人出售或者提供公民个人信息，“情节严重的”就可以入刑，这使大多数企业收集、合作使用、共享个人信息的行为均存在法律上的不确定性。从现行法律规定来看，实践中个人数据流通使用中的许多情形可以入刑，因为这些行为可能涉嫌违反法律规定（例如，收集和使用个人信息须经个人同意），而且“涉及人数多、信息量大”（被视为情节严重）。

一种法律制度或规则必须给人以清晰的行为指引，如果一种罪名覆盖了社会中的许多正常行为，而其法律定性却模棱两可，许多人头上都悬挂着一把随时可能落下来的“达摩克利斯之剑”，这样的法律属于恶法，而不是良法。事实上，刑法调整的侵害个人信息的行为，应当仅限于脱离应用场景的个人信息买卖或提供行为，限于盗取和为非法目的获取个人信息的行为。这些行为要么是买卖个人信息以牟利，要么是为了实施违法犯罪行为而获取个人信息，已经不仅仅涉及私法上的人身权利保护问题，而且涉及到人身和财产安全，是需要运用刑法手段扼制和打击的具有社会危害性的行为。

因此，《刑法》对个人信息的保护必须限定一定的范围，不能将所有个人信息的社会化利用行为套上刑事罪名，借个人信息保护之名限制个人信息的正当使用。个人信息的刑法保护只是个人信息保护的最后手段，而不是全部。我们应当全面地建立个人信息保护的制度规则，让社会可以在保护个人权益的前提下规范、安全、有序地利用个人信息，释放大数据的红利。

（本文原为作者2017年3月29日在北京2017大数据产业峰会之“大数据法律规则与实践论坛”上发表的主题演讲的实录，本次刊发时进行了较大篇幅的扩充和改写。）