刘春泉：大数据时代个人信息的法律保护

主要观点：(1)个人信息泄漏的来源可以追溯到政府或者公共部门，政府部门必须受到个人信息保护法律的约束，公权力机构的数据收集、存管和使用，必须立法规范；(2)要肯定大数据应用的合理性，探索大数据应用的规则，同时实行个人信息保护法单行法。

个人信息保护的原则

个人信息的原则，最低限度的必要原则，知情同意，持有和使用信息者的合理谨慎注意义务，很多人发送垃圾短信或者垃圾邮件，不对它进行制裁，永远打不断。我们提出谁以后要用这个信息，你委托第三方发垃圾短信，必须审查它的个人信息的来源的合法性，如果不做这个，要承担民事责任。如果有这一条，把销售渠道掐断了，自然这种状况就少了，非常希望业界各位专家积极予以支持，将来在立法上能够采纳。

个人信息与隐私的区别与联系

个人信息主要是防滥用，前两天刚刚上海发生一个咸猪手事件，一个女孩子在地铁里被人家摸了一下大腿。其实她自己当时都没有什么感觉，但是这个事情被人放到网上，人肉她家庭的情况，本人被迫辞职，开除党籍，这个人的确有错，但是不至于让他付出这么大的代价。韩国的狗屎女事件是导致韩国实行网络实名制的一个直接因素，后来韩国的宪法法律宣布韩国实名制是违法的，中国现在是世界上唯一的一个网络实名制国家。我们讲到个人信息和隐私，我们对中国法律关于隐私的问题进行了检索。中国法律原来用的叫因私，隐私是在1982年，是《民事诉讼法》当中第一次使用隐私这个概念。从1982年《民事诉讼法》开始就使用隐私这个概念。

隐私跟个人信息之间实际上有差别，也有联系，有一部分有交集。现在对这个问题比较敏感，是因为智能手机普遍的使用，使公众关注到这个问题。通过法律，关于个人信息第一次写进去，是《居民身份证法》，有一个关于警察如果泄露个人信息就受到制裁，这次修改《居民身分证法》把那个进行了加强。

网络隐私，其中一个案例就是王菲诉张乐奕“北飞的候鸟”。现在这两年有一些热点的问题，大数据就是其中之一，冒出了很多专家。这个大数据我个人提出一个观点，一是要允许大家用，刚才有很多人借鉴英国、欧盟的一些立法，我们在中欧信息化合作项目当中也请了欧盟的专家，但是我们这个立法只能参考欧盟，不能主要依照欧盟的。因为全世界的信息技术企业最好的一是美国，二是中国，全世界20强的IT企业，一大半在美国，其余的在中国，英国欧盟没有。如果我们立法，立出全世界最严格的法律，这个导致中国企业和美国的企业的竞争当中，我们处于不利的地位。我们的立法一定要适度的允许应用，这个商业上有多少创新，会不会出来新的商业模式和商业企业不好说。

个人信息保护立法动态

关于个人信息保护立法，最近的两次，一个是全国人大关于《个人信息保护的决定》，这个法律有很大的问题，主要为网络实名制提供了一个法律上的依据，但是它对个人信息的保护实际上是软保护，没有很强烈的制约措施，希望以后电商方面的立法更加尊重专业界的意见，如果尊重一下公众的意见，可能比如在个人信息这一块，起码可以做的更好，因为我们个人信息保护不是现在才想到的。另外我们的《消费者权益保护法》，我非常想对年纪轻的同学们说，我希望你们把基础的法律知识打牢。我们现在很多立法存在一些硬伤，比如《个人信息保护法》里面用的是侵犯个人信息得到保护的权利，谁写的第一稿，你就不能把这个“得到”改成“受”吗？第一稿没有写好，后面全都错下去了。除非你有明显的大的问题，然后后面才会有人给你改。所以立法这个问题不能开大会。立法这个问题除了开大会，听意见，要开小会，这个小会就几个人，就是字斟句酌的去讨论。我们修改以前的《公司法》很多语句上有语病。

还有公共机构的个人信息，现在个人信息泄露有一个很重要的问题，很多信息的泄露是公共机构，说白了就是政府部门。我们现在很多立法没有解决这个问题，我们参与的这些立法主要是约束企业，约束这个，约束那个，就是管不了政府，这是一个很大的问题。我有一个反思，为什么我们的决定发布以后，到现在没有得到很好的改善，值得思考。

个人信息立法的经验教训对国家安全立法借鉴

我们现在的个人信息保护已经开始出现了多头立法，多头监管，无人负责的现状，身份证信息公安负责，侵犯个人信息的犯罪公安负责，公安部门还负责计算机信息安全的等级保护，它是铁定的主管部门。第二、工信部，软件是他的，信息标准的制定也是他制定的。第三、《消费者权益保护法》，3月15号到现在全国工商局没有一张罚单开出来，这是有问题的，给了他的职能，他不履行自己的职能。然后还有金融方面，一过三会，中国人民银行，加上银监会、保监会，然后电子商务，涉及到数据、信息，这是商务部的。这一列就这么多部门，我们现在就有这个问题。

再看我们已经有的一些法律。《电子签名法》早就已经有了，有人以为弄一个红章就是电子签名，其实这跟法律上的电子签名完全不是一个概念，我们的《电子签名法》有一些经验教训要吸取，它主要解决网上身份识别的问题。我们中国有一个毛病，一旦什么东西热了，马上就要呼吁要立法。这不是万能的，如果说别的行业也就算了，我们自己作为专业人士不能随便这样讲，我们要做一个思考，要在整个法律体系当中排排序，说这个问题放在哪里，现有的法律能不能解决，能不能通过现有的法律修改解决，不能出个问题就立法，这个问题我们要思考的。

《电子商务法》已经列入二级规划了，电子商务的一些问题，我个人建议，关系到比如说企业的一些信息的问题，应该交由《电子商务法》解决，而不是通过一个《国家安全法》，什么东西都放在里面，这个我不太赞同。《网络安全法》可以一起讨论。《个人信息保护法》现在没有列入规划，但是未来很可能还是要搞，因为它是一个特殊的。《电信法》，我觉得可能名字要改，但是这个法律本身还是需要的。因为现在有些问题，比如信息的传输，国际光缆的数据，加入大流量的数据到国外，包括保障的互联互通，如果出现极端的比如战争类的情况怎么保证，这个法我觉得还是有比较稿，有什么办法？有的专家说把安全加进去，可能就快了，这是下一步的问题。我们自己已经有了一部国家的安全法，我们有了一部国家安全法的情况下，我们网络的安全法跟现有的国家安全法是什么关系，能不能通过修改现有的国家安全法把网络安全的东西放进去。

我们比较注重解决问题，可是我们提出的问题，理论性、学术性不一定很强，虽然我在律师界是非常喜欢研究问题的人，也被称为学术律师，但是我们还是以问题为导向，我们遇到很多的学术成果非常规范，但是问题是不解决问题。这是非常头疼的问题，当我们遇到新型案件的时候，我们首先到法律上寻找答案，我们找不到答案，然后找了学者的文章，还是找不到答案，那我们就不好办了。所以我们希望如果法律能有，那是最好，如果法律没有，我们希望学者能提出有创建的答案。这就是我们面临的新兴的很多问题的一些客观的现状。

互联网应允许外资存在

所以，综合这些问题，我个人的建议，比如现在互联网，我们现在中国客观上不允许外资进来，但是实际上通过VIE结构的方式，其实中国互联网在外资起到一个很好的作用，因为所有的互联网，主流的互联网公司全部都是喝洋奶长大的，如果你把外资公司影响我们的意识形态，在现实情况下讲，过去十几年经验表明，外资控制互联网并没有那么大的问题，至少是利大于弊，不是弊大于利。如果我们列出一个国家安全法，说我们中国要怎么样，我相信华尔街日报会说中国立法对互联网打击。但是我们换一个思路，合并三大外资法，准许外资进来，把国家安全审查提高到法律高度，或者明确你进入互联网要做哪些方面。如果这样，可能人家报道的就是中国修改三大外资法，开放外资进入互联网市场，同时要满足它的条件，是不是这种方法更加符合我们国家法治进程这样一个理念呢？这是第一个层面。

要提高公共权力机构的安全意识

第二个层面，我们现在个人信息泄露，很大一部分原因是公共权力机构他们的意识不够，不要看到北京、上海的政府，这都是比较发展的地方，还有大量的乡政府，他们哪有这方面的意识。所以，这是我们的《电子政务法》是需要解决的问题。另外，还有一些计算机的比如软硬件要求的问题，首先这是一个能力问题，如果没有能力，你自己生产不出高端的设备，人家用什么？首先这是一个问题。第二个问题，如果你有，我觉得不一定要放在国家安全法里面，可以修改计算机系统安全保护条例，把它上升为立法。我们要求比如关于国计民生的这些机构，你的系统的安全应该达到什么，软件达到什么，还可以通过一些技术标准的设置。所以，这些问题我觉得统统都可以通过，包括政府采购，我们可以政府采购法对相关问题作出规定，这些问题解决也不需要单独一个国家安全法。

本文为YOCSEF特别论坛中国网络安全立法研讨会主题演讲

作者为刘春泉：中国电子商务研究中心特约研究员、上海泛洋律师事务所高级合伙人，商务部电子商务专家咨询委员会委员，中国电子商务协会政策法律委员会副主任

摘自：互联网实验室