刘德良：立法应规制个人信息滥用，过度强调数据控制影响产业发展

4月27日，全国人大官网公布了全国人大常委会2018年立法工作计划。根据计划安排，宪法修正案等14件法律案初次审议。

南都记者注意到，立法工作计划中并未包含个人信息保护法。在当前社会环境下，个人信息保护法是否需要专门立法？有哪些立法难点？南都记者专访数位法律学者，对这些问题进行了探讨和梳理。

北京师范大学法学院教授、亚太网络法律研究中心主任、亚太人工智能法律研究院院长刘德良认为，立法应对滥用个人信息或数据的行为进行有效规制，而不是不加区分地要求对所有个人信息或数据予以“保密”和收集上的“合规”。

刘德良（左二）

个人信息与个人数据是两个概念

立法首先要搞清楚背后的理论问题，如果贸然地为立法而立法，会严重脱离实际。现在理论界和实务界都没有弄清楚基础问题，所以我不赞成贸然立法。

我国现在的主流观点和已有的法律规章，借鉴了欧盟的模式，但混同了个人数据和个人信息。欧盟立法讲个人数据，把个人数据等同于个人隐私，强调保密和安全，强调个人对数据的控制。

个人信息和个人数据需要区分。个人信息是能够直接识别出某一特定自然人的信息。它强调的是直接识别性。个人信息在媒介上是中立的，不仅包括文本信息，也包括电子或数字化的信息，还包括图片、视频等一切形式的信息。

而所谓的个人数据，强调的是以碎片化的数据形态存在的、与个人有关的信息形式。个人数据与个人有关，但并不一定能够直接或单独识别出特定自然人。

欧盟强调数据控制的模式在我国不仅难以实施，还会阻碍大数据产业和人工智能的发展。控制信息的成本和信息传播的成本是呈反比的，在网络时代，信息传播的成本非常低，几乎可忽略不计，反过来，控制的成本几乎无穷大，技术上难以实现。大数据的发展离不开与个人有关的数据，如果以此为背景，在立法上讲求个人对数据的控制，大数据和人工智能将无法发展。

立法应注重规制个人信息滥用

对于一般的个人信息而言，收集和公开本身并不会造成损害，造成损害的往往是后续的滥用行为。然而，现在的立法忽视了对个人信息或数据的滥用行为的有效规制。比如，在涉及到诸如垃圾信息、骚扰电话、身份假冒和滥用等最为突出的个人信息或数据滥用问题上，我国严重缺乏有效的法律规范。

正是由于这种立法缺失，导致人们将个人信息或个人数据的滥用问题，归咎于所谓的个人信息泄露甚至个人信息公开，并把解决问题的希望寄托在确保个人信息的安全上。

立法应对滥用个人信息或数据的行为进行有效规制，而不是不加区分地要求对所有个人信息或数据予以“保密”和收集上的“合规”，不切实际地强调安全和保密。

我认为将来可以明确几点：用户对能够直接识别出其个人的个人信息的商业价盾享有财产权。商家对不能直接识别出特定自然人的个人数据的商业价值享有财产权，其收集、加工、流动无需针得用户同意。立法应防止对个人信息或数据的滥用。这样既保护了个人，又可以促进大数据产业和人工智能的健康发展。