● 路 鹃

　　2009年，个人信息保护成为央视“3·15”晚会的主题。2011年度互联网最具影响力的十大安全事件中，个人信息泄露位列第一。2011年底，中国互联网遭遇了大规模的用户信息泄露，CNCERT通过公开渠道获得疑似泄露的数据库有26个，涉及账号、密码2.78亿条。2012年底大量微博账户遭到黑客攻击，账户密码被盗。面对新媒体引发的个人信息保护问题不断增加的情况，工业和信息化部下属单位制定了“个人信息保护指南”（2011年版、2012年版），可以看作是立法的前奏和尝试。

　　新媒体环境下个人信息保护的立法背景

　　目前，新媒体传播中个人信息保护出现的新问题比较典型的有：

　　1.个人信息的不当收集、披露与处理。现有的法律法规及行业规范缺乏对于个人信息收集的严格规定，缺乏对于个人信息的权利归属的规定，新媒体环境下的各类主体通过各种途径收集用户数据，很多是在用户不知情的情况下进行收集。一些服务提供商在进行用户信息收集时，并没有提示用户，有时虽然进行了提示，但多采用统一的格式合同，其条款多不利于用户。现有法律法规对于国家机构的个人信息披露和处理有一些不完善的规定，但是对于企业和个人缺乏严格的规制，非法披露与处理个人信息的事件时有发生。

　　2.Cookies①技术及类Cookies技术滥用带来的风险。新媒体环境下，Cookies技术不只在电脑上存在，在各种移动设备、软件上都采用类似的技术，它们在悄无声息地收集用户的数据，对个人信息产生威胁。2013年央视“3·15”晚会曝光网易默认第三方在其网站挂代码窥视用户隐私，网易可以看到所有邮箱用户发出的邮件具体内容，由此分析用户习惯并且发送精准的广告。

　　3.越境数据流侵权带来的准据法冲突。随着新媒体技术的不断发展，信息呈现出跨国界流通的重要特征，侵权主体与被侵权人通常不在同一国家或地区，而目前大多数国家和地区在法律适用上仍然具有很大的差别，这就给维权带来了很大的困难，真正发生侵权事实时，准据法的选择成为一个难题。比如，欧盟1995年指令适用信息所在地法律，米兰法庭则适用受害者所在国法律。

　　4.云计算服务的信息保护风险。云计算对于个人信息保护带来了严峻的挑战。云计算具有的高动态、高可靠性、以用户为导向的特点，可以对资源进行合理分配。但是，这种资源管理模式的前提是数据的存储和安全完全由云计算提供商负责。这种服务模式对于用户的隐私保护容易产生极大风险。因为云服务提供商能够对用户的隐私信息进行直接获取或者对用户数据进行收集和分析，从而侵犯用户隐私。②正因为如此，欧盟将个人信息保护视为云计算发展所要解决的关键问题之一。

　　传统隐私权接受的自然人权利主体本位论，都是基于传统的交流模式，而在新媒体交流模式中，个人身份处于隐匿和数据化状态，羞耻感、不欲张扬的心理期望不再是判断隐私的唯一标准，新媒体的技术条件使隐私权主体的扩张随之强化，并“改变了我们对待信息的方式，例如信息是如何被使用的，谁来使用它、控制它等”，③它使信息的收集、披露和处理主体从传统的政府、专业机构向一些互联网公司、个人用户甚至整个社会扩散，为信息的规范化管理带来了更多难题。

　　个人信息法律保护的现状及困境

　　现阶段我国法律法规对个人信息的保护主要体现为两个方面：一是直接以“个人信息”的名义来保护，即在与个人信息有关的法律法规中设置个人信息保护的条款；二是间接地以“隐私权”的名义来保护，即通过对个人隐私的保护起到对个人信息的间接保护。总体而言，个人信息保护领域所采取的立法尝试，值得关注和肯定。民法保护在我国有传统优势，2009年的《刑法修正案》（七）从刑事责任的层面突出了个人信息的重要性，体现了个人信息在公民权利体系的较高位阶。由于目前个人信息保护面临最大的威胁就是来自公权力的侵害，因此行政法层面的个人信息保护就凸显出现实必要性。现有行政法领域对网络中个人信息的保护侧重抽象保护，缺乏具体可操作性强的规则，突出了我国个人信息保护力度的不足。

　　最突出的矛盾就是新媒体的传播给传统的个人信息保护的理念与范式带来的挑战，个人信息保护在中国被纳入隐私权保护的范畴，但两者之间存在很大区别：传统的隐私权保护侧重非财产性的精神权利，而如今在新媒体空间易受侵害的，大量都是财产性的个人信息，比如银行账号、信用卡号、信用记录、购物记录、网银账户等，这些都无法援引传统隐私权法律框架予以保护。有人主张应当将个人信息保护纳入到隐私权中，扩大隐私权的内涵，魏永征先生提出：“对于个人隐私的保护，已经从传统的‘个人生活不受干扰的权利’发展到‘自己的信息自己控制’的权利”，④还有人提出赋予传统隐私权的财产属性的保护，如“取得赔偿权”。⑤但也有学者认为，以隐私权保护个人信息具有一定的局限性，因为：“二者的哲学基础不完全相同”，“二者的保护范围和方式也不同”，“隐私是个人未加以公开的信息，对于已公开的信息，无法援引隐私权加以保护”。⑥

　　两版“个人信息保护指南”比较

　　2011年初，工业和信息化部信息安全协调司起草了《信息安全技术个人信息保护指南》草案（下称“2011年版指南”），2012年4月，《信息安全技术公共及商用服务信息系统个人信息保护指南》（下称“2012年版指南”），经“国家标准化管理委员会”批准发布。2012年版指南是我国关于个人信息保护的第一个国家标准。两份文件都属于指导性文件，不具有强制约束力，属于推荐给行业选择适用的“示范法”——在立法条件尚未成熟的现阶段，作为权宜之计，政府主管机构当前所采取的路径，更类似于美国式的“行业自律模式”。

　　两版指南的最大贡献，是首次以规范性文件的形式在我国确立了个人信息处理的基本概念和原则，都规定了信息主体所享有的一些权利和基本原则，并将信息处理具体划分为收集、加工、转移、删除等环节，对每个环节的个人信息保护都作出了规定。另外，两版指南都要求收集信息必须征得信息主体的同意，禁止采取隐蔽手段或以间接方式收集个人信息。⑦

　　将2012年版指南与2011年版指南进行比较可以发现：前者包含了一些进步因素，却未能吸收后者的许多合理成分，因而呈现出一定的商业自由主义甚至是倒退的趋势。

　　进步因素体现为：

　　1.2012年版指南旨在规范信息系统中的个人信息保护，“信息系统”的定义中，明确将“移动通信终端”包含在内，这就将其适用范围扩大至目前广泛流行的新型智能手机，体现了新版指南对于新媒体发展趋势的敏感关注。

　　2.2012年版指南将信息主体的同意原则细分为默许同意和明示同意。默许同意即主体无明确反对则视为同意，很多情况下表现为对网站的隐私政策的默示接受，实际上是一种被动式的“消极同意”，但绝大多数用户都不会仔细阅读网络的隐私政策和说明，很可能导致用户同意的程序流于形式，并无实效，因此应倡导积极同意模式即明示同意。

　　3.2012年版指南将个人信息保护的当事方确立为信息管理者和信息获得者，并具体规定了两者的职责。对于前者，2011年版指南将其定义为“对个人信息具有实际管理权的自然人和法人”，而2012年版指南则明确为“决定个人信息处理的目的和方式，实际控制个人信息并利用信息系统处理个人信息的组织和机构”，更切合新媒体传播的实际。

　　4.对于越境数据流的防控，2012年版指南规定，未经个人信息主体的明示同意，或法律法规明确规定，或未经主管部门同意，个人信息管理者不得将个人信息转移给境外个人信息获得者，包括位于境外的个人或境外注册的组织和机构。

　　然而，2012年版指南的诸多内容相对于2011年版指南而言又有些明显退步：

　　1.2012年版指南将立法目的表述为“为促进个人信息的合理利用，指导和规范利信息系统处理个人信息的活动”，而2011年版指南中“为提高个人信息保护意识，保护个人合法权益”的表述则被删除，这无疑是一个退步。2012年版指南强调“利用”忽视“保护”，这种市场导向的立法取向无疑是指南在立法定位上的一个偏差。

　　2.2012年版指南扩张了敏感信息的范围，该指南将其界定为“一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息”，声称：“各行业个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定，例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等”；此处的列举，一方面不适当地排除了旧指南中与健康状况、性生活有关的信息，另一方面却又将“身份证号码、手机号码”纳入其中，显属不当。

　　3.2011年版指南中，以专章的形式列举了个人信息主体的权利，包括保密权、知情权、选择权、更正权和禁止权等。但这些专章规定在2012年版指南中被删除了；反过来，2012年版指南规定了个人信息主体的义务，这就明显削弱了个人信息主体的权利。另外，2011年版指南规定不应要求未满16周岁的未成年人提交个人信息，2012年版指南则归为确属必要时，可以向法定监护人征得明示同意。这不仅不利于对未成年人的保护，也与国际上普遍采取的对儿童在线隐私进行特殊保护的做法相悖。

　　此外，两版指南存在着一些共同的缺陷：

　　1.从体例上看，由于属于不具有法律约束力的行业指导性规则，因此，未来能否有效约束网站经营者让人不无疑问。

　　2.由于其缺乏法律效力，而且制定机关的层级较低，因此指南中显然不可能规定法律救济和法律责任，特别是国外立法中赋予信息主体的司法救济权。

　　3.没有涉及对于隐私的规定，现有对个人信息的规制，一部分是通过隐私条款进行规制，两版指南均没有涉及隐私，没能将现有保护纳入框架内。

　　4.从内容上看，两版指南并未明确禁止网站通过对用户进行跟踪分析进而采取行为定位广告等手段，而这是目前商业网站和搜索引擎所采取的普遍做法。另外，尽管指南提到了“信息违反通知”制度，但是对其时限未做出规定；对“从设计着手保护隐私”等原则也未提及，这将不利于有效应对云计算对个人信息保护所带来的挑战。这些缺陷在今后的个人信息保护立法中应得到弥补和纠正。

　　展望及思考

　　根据以上分析，我国的个人信息保护仍处于起步阶段，结合其他国家、地区的经验和我国的实际情况，笔者提出以下思考：

　　1.以信息自决权作为新媒体隐私侵权救济的权利基础，继续推进个人信息保护的立法进程。从2002年至2009年，我国曾经对个人信息保护立法工作进行系统的研究，形成草案并且提交审议，由于种种原因，草案并未通过。但是立法工作的努力一直在继续，刑法修正案对于个人信息的保护，以及工信部两版指南都对个人信息的保护提供了指导。应以民法典和单行个人信息保护法的二元立法模式为主，行业自律为辅，兼顾制定行政权力领域内的个人信息保护法。另外，还要做好新媒体隐私权保护与政府信息公开和媒体表达权的衔接。

　　2.加强行业自律制度的建设。与美国等国家的自律制度不同，我国的行业组织多具有半官方的背景，由行业组织主导的自律制度具有半官方的特色，一定程度上有利于政府引导下加快自律机制的建设，行业自律应优先解决媒体组织之间自律标准不一的问题。

　　3.适当发展第三方保护模式。新媒体环境下出现的个人信息保护问题更多是技术的发展带来的，正是认识到了这一点，很多国家开始发展第三方保护模式。这种模式主要包括第三方保护认证和第三方保护软件，如美国的TRUSTe作为第三方认证机构已经获得了很好的声誉，并且已经开始进军移动隐私领域，开始为手机用户提供个人信息保护的解决方案。这种保护模式值得我国借鉴。

　　【本文为国家社科基金一般项目“新媒体传播中个人信息安全的法律保护研究”的阶段性成果（项目编号：13BXW025）；教育部人文社科基金青年项目“网络隐私权的侵权现象及法律保护研究”的阶段性成果（项目编号：11YJCZH116）】

　　注释：

　　①Cookies一词用在程序设计中是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存，或是从客户端的硬盘读取数据的一种技术

　　②Communication From The Commission to the European Parliament，the Council，the European Economic And Social Committee And the Committee Of the Regions. Unleashing the Potential of Cloud Computing in Europe［R］. COM（2012）529 final，2012-09-27（1）

　　③【英】查尔斯·蓝伯著,徐越倩译：《信息政策研究：隐私保护与信息自由》[J]，《中共浙江省委党校学报》,2006年第1期

　　④魏永征：《刑法第七修正案草案中一个尴尬的词语》[J]，《青年记者》,2008年9月上

　　⑤胡蕴桐：《隐私权在网络时代的发展与法律保护》[D]，华东政法大学硕士学位论文，2008年

　　⑥齐爱民：《论个人信息的法律保护》[J]，《苏州大学学报(哲学社会科学版)》,2005年第8期

　　⑦石佳友：《网络环境下的个人信息保护立法》[J]，《苏州大学学报（哲学社会科学版）》,2012年第6期

　　（作者为北京工商大学艺术与传媒学院副教授，硕士生导师）

　　来源：青年记者2014年9月上