中国信息隐私保护制度：困境与重建

与美欧相比，中国的信息隐私制度起步较晚，在制度设计上也具有自己的国情特色：一是注重刑事约束，这与近年来个人信息滥用常常造成严重的人身财产损失有关；二是倚重行政监管，在制度内容的安排上以宣示权利为主，干预机制（尤其是技术上）稍显不足；三是经历了一个集中维护信息安全到兼顾多种价值的过程。

2009年2月28日，第十一届全国人大常委会第七次会议通过的《中华人民共和国刑法修正案（七）》（以下简称《刑七》）中新增一条作为第253条之一：

国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。

窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。

10月，最高人民法院和最高人民检察院（以下简称“两高”）将这里的罪名确定为“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。这里的适用主体仅限于“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”，一方面是因为个人信息问题的集中暴露是最近几年的事，而2009年的立法主要考虑的是当时有条件接触到个人信息的主体，主要是基于公共管理和公共服务的需要收集个人信息的“单位”及其工作人员；另一方面是因为纳入刑法规范的对象应该是性质比较严重的行为，公共部门的职能界限足以对工作人员形成提醒，亦即这类主体如果在个人信息利用上出现非法提供或非法获取，一般情况下都存在主观过错，而且他们接触到的信息都是批量的，造成的后果也比较严重。所以这些罪的主体范围不宜过宽。但是个人信息滥用入刑，还是招来了不少质疑，主要集中在对标准不明确的批评，比如“非法提供”“非法获取”“情节严重”这些概念的含义并不明确，存在滥用新罪的担忧。

有研究者在《刑七》公布的几年后做出统计：“司法实践中真正以本罪追究刑事责任的案件却寥寥无几。截至目前，仅广东、新疆、安徽、北京、湖北、江西、浙江、上海以及重庆等省市的10余起案件被以本罪追究刑事责任。”^[29]

与《刑七》同年出台的《侵权责任法》，对待网络服务提供者的态度是温和的，体现了“技术中立”的价值取向。该法第36条被视为信息传播领域的“避风港”，在不知情的情况下，网络服务提供者只需要在接到权利人的通知后及时采取删除、屏蔽或断开链接等必要措施，就可以免责。在这里，不需要网络服务提供者做出任何的是非判断，只要接到通知，就可以立即采取措施，不需要对通知内容的真假负责。

但这只是一个开始，生活总是比想象的更复杂。在适用第36条的过程中，又出现了一系列新的问题。比如，什么样的通知足以让网络服务提供者立即采取措施？又如，错误的通知由谁承担后果？再如，转载信息是否也构成侵权？五年之后的2014年8月21日，最高人民法院出台了《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》。该规定对这些遗留问题一一做出了回应，包括以下几个方面：

第一，明确了通知的三个要件：通知人的姓名（名称）和联系方式；要求采取必要措施的网络地址或者足以准确定位侵权内容的相关信息；通知人要求删除相关信息的理由。

第二，明确了错误通知的侵权后果由通知发出人承担。这里进一步巩固了网络服务提供商的中立地位，只依通知采取措施，而不负有审查通知内容的义务。

第三，审慎认定转载行为的侵权责任。对转载网络信息行为的过错认定而言，是否做出实质性的修改以致内容与修改前严重不符或者误导公众，是重要的考虑因素之一。

互联网环境中的信息传播行为，表现出空前的复杂性和多变性，这使具有灵活性和发展性的司法解释，在调整信息传播关系方面得以发挥更大的作用。在这里，原、被告对簿公堂的程式安排，实际上提供了一种利益表达的渠道，让各种诉求能够得到表达和碰撞，从而有利于司法机关在调整社会关系时更好地平衡各方利益，也更能贴近实践一线，不断地补充和完善高阁中的成文法制度。

2012年12月28日，全国人大常委会公布《关于加强网络信息保护的决定》（以下简称2012年《决定》），被誉为“中国个人信息保护第一法”。这是一次从刑事到民事的拓展。在这里，适用对象从特定的公共部门工作人员扩大至“任何组织和个人”，真正体现了“法网恢恢，疏而不漏”。事实上，这种扩大是基于信息传播环境的改变：移动终端的普及、数据产业的发展、互联网传播效率的提高，使有条件接触个人信息的主体延伸至所有能够使用互联网的普通个人或组织。

通过《决定》，我国在法律层面第一次将个人信息的决定权交给了信息主体自己。这种自决权包括三个部分：一是信息收集中的同意权。“网络服务提供者和其他企事业单位在业务活动中收集、使用公民个人电子信息，应当……经被收集者同意……”二是信息推送中的许可权。“任何组织和个人未经电子信息接收者同意或者请求，或者电子信息接收者明确表示拒绝的，不得向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息。”三是信息管理中的请求删除权。“公民发现泄露个人身份、散布个人隐私等侵害合法权益的网络信息……有权要求网络服务提供者删除有关信息……”

赋予信息主体以个人信息自决权，是为了通过全面明确信息主体的权利，充分发挥他们保护自身利益的能动性。这一立法初衷反映出两个方面的问题：一方面，同三年前出台《刑七》和《侵权责任法》的背景相比，到2012年的个人信息滥用情况，在数量上明显增多，在程度上明显加重程度，立法层面意识到需要发动每一个人来阻止这种趋势。另一方面，这种以保护普罗大众之“基本权利”的制度安排，或多或少地也受到了社会心理的影响。在一个新时代到来的初期，人们首先看到的往往是新的威胁。对个人信息而言，限制利用就自然而然地成为社会大多数成员的希望，“保护个人基本权利”也相应地成了这里的群体道德。“相对于个体道德而言……群体性道德往往具有更好的确定性或者更为明确的内容，因此有利于据此得出较为确定的结论。”^[30]而面对棘手的新情况，立法需要这种确定性。尽可能地宣示个人的权利，是当时立法能够做出的不多的选择之一。

然而，无论是依靠群众的治理思路，还是群体性道德的实际影响，都与互联网个人信息传播的规律出现了某种偏差。尽管《决定》在出发点上是值得认可的，但这种权利宣示所能发挥的实际作用却是有限的。在这里，立法可能忽略了个人行使自决权的成本。正如《大数据时代》的作者面对同意权发出的惊呼那样：“有哪个公司能负担得起这样的人力物力支出呢？”^[31]既然得不到企业的配合，个人的这种自决权也就无从实现。实际上，个人获得的这种所谓自决权充其量只能算是一种对信息控制者的请求权，而不是对个人信息直接的控制权。

这种权利宣示的惯性也反映在其他相关的法律制度中。2013年10月，《消费者权益保护法》第二次修订，增加一条作为第29条：“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。……经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。”可以视为《决定》在电子商务领域的连锁反应。同年，工信部公布了《关于开展深入治理垃圾短信专项行动的通知》，从技术支撑和行业标准方面响应了《决定》的出台。(www.xing528.com)

2013年9月6日，《最高人民法院、最高人民检察院关于办理利用信息网络实施诽谤等刑事案件适用法律若干问题的解释》（以下简称《解释》）的出台，被视作打击网络谣言的一记重拳。《解释》用了近一半的篇幅将网络上的制谣、传谣行为与刑事制度做了连接。诽谤罪是刑法中用来惩罚恶意利用他人个人信息的一项重要制度。“诽谤”的概念包括两个基本内容：一是发布的信息与事实不符（捏造事实），二是公开发布信息的行为对信息主体造成了损害（包括精神损害）。但诽谤行为入罪，还需要满足“情节严重”的条件。面对愈演愈烈的网络谣言现象，《解释》对“情节严重”做出了明确规定。其中，“同一诽谤信息实际被点击、浏览次数达到5 000次以上，或者被转发次数达到500次以上”，被作为“情节严重”的第一种情况，将入刑标准具体化，对网谣现象起到了明显的威慑作用。紧接其后的，是“造成被害人或者其近亲属精神失常、自残、自杀等严重后果”，这是对类似广东陆丰女生自杀案这样的恶性案件的明确应对。这再一次显示了司法解释的灵活性在网络信息传播关系调整中的独特作用。

2014年6月《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（以下简称《规定》），被视为国家层面在禁止“人肉搜索”方面打出的另一记重拳。《规定》中明确，“……利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人损害，被侵权人请求其承担侵权责任的，人民法院应予支持”。与《解释》中的网络谣言不同，《规定》中针对的主要是真实的个人信息公布行为。如果说治谣的目标是保护个人名誉和社会安定，那么禁止公开真实的个人信息，则是为了保护个人的人身、财产安全和生活上的安宁。两部司法解释，从不同的角度，构成了对个人信息的重要保护。

然而，自由本身也意味着限制。既然禁止公开真实的个人信息，是为了保护安全和安宁等重要的个人自由，那么必然有一部分与公共利益相关的内容需要作为例外。在这里，《规定》列举了五种例外情况，实际上可以归纳为五个基本原则，即意思自治原则、绝对的公共利益原则（需要个人无条件服从）、相对的公共利益原则（附条件，如仍需经个人同意，不足以识别）、已公开原则及合法取得原则。在这里，前三项和第五项原则都是法律在调整各种私法关系时的普适性原则，“已公开原则”则是互联网信息传播活动的特有原则。具体而言，“已公开原则”是指“自然人自行在网络上公开的信息或者其他已合法公开的个人信息”。由于信息的可复制性，信息的公开意味着信息从静止状态进入运动状态，放入公共信息流的信息，如同进入河道的水，流动成为自然的状态，无法收回，可谓“覆水难收”。所以，个人信息一旦合法地进入了公共信息流，那么就难以再要求受到保护。

在治理互联网个人信息利用乱象的过程中，《解释》和《规定》从不同角度构建起了互联网个人信息利用的规则。《解释》在网络谣言与刑事责任之间搭建了一座桥梁，对这种不存在正当性之争的信息使用现象，制度的重点在于明确责任追究的条件，《解释》对“情节严重”的量化做到了这一点。而对于真实的个人信息传播，《规定》提供了几个信息利用的边界，值得注意的是，其中的“已公开”原则是互联网环境中的个人信息利用边界的一个重要标准，因为公开意味着信息在公私性质上发生了改变。

2015年《中华人民共和国刑法修正案（九）》（以下简称《刑九》）的公布，标志着普通人滥用个人信息行为入刑。如果说六年前的《刑七》确立了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两项新罪，那么《刑九》则把这里的犯罪主体从原来的“特定主体”扩展至普通主体，不论是自然人还是法人，也不论从事何种职业。同时，《刑九》还增加了“情节特别严重”的量刑层次，将最高刑期提至七年。并强调对“将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的”（行为）给予从重处罚。这种前所未有的惩治力度，一方面是个人信息滥用行为屡禁不止、个人信息安全保护形势严峻的结果，另一方面也体现出法律严惩此类犯罪行为的决心。

两年之后，为了进一步明确判定是否构成犯罪的标准，最高人民法院、最高人民检察院出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。值得注意的是，该《解释》指出，“向特定人提供公民个人信息，以及通过信息网络或者其他途径发布公民个人信息的，应当认定为刑法第二百五十三条之一规定的‘提供公民个人信息’”。这就意味着通常所说的“人肉搜索”被纳入了刑事法律制度，有可能被追究刑事责任。另外，该《解释》还对“情节严重”和“情节特别严重”的具体情形做了明确规定。从内容上看，这部新的司法解释更加强调对“敏感信息”的保护，如行踪轨迹信息、通信内容、征信信息、财产信息、住宿信息、健康生理信息以及交易信息等，因为这些信息容易直接影响到公民的人身和财产安全。当然，涉及这些敏感信息的提供行为最终是否构成“情节严重”，还要结合数量、目的和后果等因素来考量。就“情节特别严重”的情形而言，主要考虑了犯罪行为对人员伤亡、财产损失和社会秩序等造成的严重后果，以及数量或数额特别巨大等因素。该《解释》为刑法第二百五十三条之一在司法领域的实施提供了明确的参照标准，也对滥用和恶意利用个人信息的行为产生了更大的威慑力。

随着信息技术的发展和互联网应用范围的扩大，网络安全问题也被提升至国家战略层面。在短短一年多时间里，三部重量级法律相继出台，分别是新《中华人民共和国国家安全法》《中华人民共和国反恐怖主义法》和《中华人民共和国网络安全法》（以下分别简称《国家安全法》《反恐怖主义法》《网络安全法》）。

2015年7月公布并实施的《国家安全法》总揽全局，将维护国家安全、保护人民的根本利益和实现中华民族伟大复兴统一起来，强调以总体国家安全观为指导，从维护国家安全的任务到具体制度安排再到公民、组织的义务和权利，做了全方位的安排。其中，“网络与信息安全”是整个国家安全的重要一环。关于网络与信息安全的规定集中在第二十五条：“国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。”这可以看成是《国家安全法》从技术、基础设施、信息内容以及数据等各个方面对网络安全做了纲领性要求。此外，在“审查监督”一节中，《国家安全法》还强调了对可能影响到国家安全的“网络信息技术产品和服务”要“进行国家安全审查，有效预防和化解国家安全风险”。说明了包括个人数据安全在内的网络安全对整个国家安全的重要性。

2015年12月，以“维护国家安全、公共安全和人民生命财产安全”为目标的《反恐怖主义法》公布。恐怖主义是21世纪以来人类社会最严重的威胁之一，反恐也是国家安全中的重要一环。《反恐怖主义法》的出台为有效防范和制裁恐怖主义提供了依据和保障。互联网作为现实世界的重要联通方式，当然地与反恐任务有了紧密联系。从《反恐怖主义法》的内容来看，与信息隐私有关的制度安排主要体现在两个地方：一是设置了网络服务提供者的技术协助义务，要求“电信业务经营者、互联网服务提供者应当为公安机关、国家安全机关依法进行防范、调查恐怖活动提供技术接口和解密等技术支持和协助”^[32]。这就意味着在打击恐怖主义、维护安全的情况下，国家公安机关、安全机关有权依法调查恐怖活动，包括对一些个人信息的查阅，而互联网服务提供者有义务提供支持和协助。二是要求电信、互联网等业务经营者、服务提供者“应当对客户身份进行查验”“对身份不明或者拒绝身份查验的，不得提供服务。”^[33]这意味着用户在接受服务时，提交必要的个人信息以供服务方依法查验，是获得服务的条件。

2016年11月出台的《网络安全法》，是我国第一部在网络安全方面成体系的法律，受到了各界的高度关注。《网络安全法》中关于个人信息的规定主要集中在“网络信息安全”一章，2012年《关于加强网络信息保护的决定》中确立的原则在新法律中基本上都有所体现，保持了我国在重视保护个人信息态度上的连贯性。这些原则包括：合法、正当、必要原则，公开规则、明示目的原则，信息主体同意原则，等等。需要注意的是，《网络安全法》出现了两个变化，一是在个人信息“输出”阶段，增加了例外情形。第四十二条规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外”在这里，经过处理无法识别特定个人且不能复原的个人信息，就成了网络运营者向他人提供个人信息须经信息主体同意的例外情形。这一变化，体现出国家立法认识到了数据的价值，只要对个人信息进行了“匿名化”处理，使之无法再用来识别具体的个人，信息就可以作为数据自由流动。二是变以前的“不得出售”为“不得非法出售”。第四十四条规定：“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。”这也许意味着允许“合法出售”的情形，可能为数据的自由流动又打开了一扇窗。随着数据战略逐渐受到世界各国的重视，我国的个人信息制度也出现了一些主动顺应发展趋势的变化。

总体上看，《国家安全法》和《反恐怖主义法》主要是从维护集体安全、防控极端危险的角度所做的部署。一方面，国家保护公民个人的信息安全，就是维护本国数据安全、国家安全的一个内容；另一方面，在防范恐怖主义时，有关国家机关及其授权的服务提供者有权接触、查验需要的个人信息。而《网络安全法》则专门对我国境内的网络建设、运营、维护及使用活动进行了系统化的规定，专注于网络安全的监督管理。

新法律的密集出台，体现了党和政府在网络安全问题上所做的各种积极应对，不仅从国家法律层面明确了网络安全战略的重要性，而且通过确定平台责任、数据留存以及情报收集等具体制度为更好地维护国家安全及发展利益提供了有益的举措。但这些举措还需要在网络发展的实践中经受考验，并不断完善。

以数据留存为例，《网络安全法》明确规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储”。实际上，早在2014年公布的《反恐怖主义法（草案）》中就有关于“在境内提供电信业务、互联网服务的，应当将相关设备、境内用户数据留存在中华人民共和国境内”的制度安排，后来在正式文本中未予以保留，而是体现在《网络安全法》中，表述上也有了一些变化。

2014年，苹果公司为了取得与中国电信的合作机会，宣布将中国用户个人数据储存在属于中国电信的服务器上。但苹果公司对这些数据进行了加密处理，苹果将密钥做了离岸储存，中国电信并不能获取其中的内容。更重要的是，这些数据并不一定能够避开美国联邦政府的查询，已经发生过美国联邦法官下令微软交出其客户存储在爱尔兰都柏林的电子邮件账号的情况。^[34]这里的关键问题是，互联网信息传输是跨国界的，用于信息存储的服务器及其密码钥匙始终掌握在服务商手中，美国的国内法规定，服务商有向美国政府传输信息的义务。

我国互联网新闻研究中心在2014年披露了美国实施信息监控和获取的主要方法：第一，从光缆获取世界范围内的数据。全球的通信流量大部分经过美国，目标数据流可以很容易地流入或流经美国。美国国家安全局与国防部等机构在2003年与美国环球电讯公司签署了《网络安全协议》，此后的十年间，又与更多的电讯公司签署了类似协定。第二，直接进入互联网公司的服务器和数据库获取。“棱镜”项目相继与微软、雅虎、谷歌、脸谱、Paltalk、YouTube、Skype、AOL和苹果等9家互联网公司合作，大多数情况下，数据会通过这些公司的服务器以电子方式传输给政府。第三，美国国家安全局的特别机构主动、秘密、远程入侵获取。^[35]这里的任何一项，都很难通过立法完全解决，境内留存数据面临着互联网无边界的难题，所以，各国在信息领域的出入权与其技术实力密切相关。