最近發(fā)生了幾起電信詐騙導致被害人死亡的案件，引起公憤，雖然犯罪嫌疑人很快被抓獲，但與這幾起案件相關(guān)的個人信息泄露的問題仍值得我們持續(xù)關(guān)注。公眾普遍質(zhì)疑這樣的問題，即犯罪嫌疑人怎么這么快就能夠得到受害人的準確信息？是從哪里獲得這些信息？是否有人給他們提供了這些信息？這些信息的泄露者應(yīng)當承擔什么樣的責任？

王利明

個人信息泄露已成為公害

目前，個人信息的泄露十分普遍，已經(jīng)成為一種公害，到了非治理不可的地步了。嚴重的電信網(wǎng)絡(luò)詐騙背后都存在個人信息泄露的問題。一些違法行為人利用受害人的信息進行精準詐騙，竟然屢屢得手。前不久，某大學教授剛賣完房子，信息就被泄露，結(jié)果被詐騙1000多萬元。信息泄露危害人們銀行存款安全，甚至嚴重危及個人人身安全，也有一些信息泄露導致個人正常生活受到嚴重影響。據(jù)報道，全國26個省多位艾滋病感染者曾接到詐騙電話稱會發(fā)放補助。甚至有人接到電話敲詐，稱不給錢就曝光艾滋病感染者的信息。如此大面積的信息泄露令人震驚。這些艾滋病患者本身就是社會弱者，其個人信息被泄露將使得一些人痛不欲生。

時下，每個人都可能成為個人信息泄露的受害者，個人信息泄露無時無刻不在上演，我們的正常生活都可能因為個人信息的泄露被完全打亂。比如，去證券公司開一個戶，就會收到很多炒股、融資的垃圾信息；去銀行開戶或到保險公司購買保險，就會接到許多是否需要投資理財、買保險的騷擾電話；通過房地產(chǎn)中介租賃房屋，就會收到無數(shù)售房、租房的電話；剛買完房子，就會收到無數(shù)詢問是否需要裝修、出售房屋的騷擾電話；去醫(yī)院做一次孕檢，就會收到推銷奶粉、月嫂服務(wù)等諸多與嬰幼兒有關(guān)的信息，如此等等，不勝枚舉?？梢哉f，莫名的騷擾電話、信息，已經(jīng)成為忙碌的現(xiàn)代人不得不承受的負擔，嚴重妨礙了私人生活安寧，給生活增添了壓力與疲憊。更危險的是，如果這些泄露出去的信息被非法利用，如用于網(wǎng)絡(luò)電信詐騙，后果將不堪設(shè)想。正是從這個意義上說，保護公民的個人信息，不僅是保護個人財產(chǎn)安全的問題，更是保障個人隱私、私人生活安寧的問題，從根本上說，就是保障民生的問題。

應(yīng)當制定專門的個人信息保護法

在互聯(lián)網(wǎng)和大數(shù)據(jù)時代，信息代表著財富、代表著銷售渠道。掌握了信息，就掌握了機遇。獲取信息成為商家競爭的法寶，巧妙利用個人信息也成為競爭的重要方式。從效率層面而言，確實應(yīng)當鼓勵個人信息的積極利用，但也不能只注重個人信息的利用而忽略了保護。迄今為止，全世界已經(jīng)有90多個國家和地區(qū)制定了專門保障個人信息的法律，宣告?zhèn)€人享有個人信息權(quán)，甚至將個人信息作為一種基本人權(quán)對待，這也反映了個人信息保護的重要性。在我國，雖然2015年11月1日起實施的刑法修正案（九）明確規(guī)定了侵犯公民個人信息罪，其他方面也不乏相關(guān)規(guī)定，但總體上，對個人信息的保護仍很不夠，需要從多方面予以加強。

筆者認為，當務(wù)之急是應(yīng)當在正在制定的民法典中明確規(guī)定個人信息權(quán)，任何人不得非法獲取個人信息，更不得非法出售或者提供個人信息，對信息泄露者應(yīng)當視其情節(jié)輕重，追究其法律責任。以個人信息權(quán)為基礎(chǔ)，應(yīng)當制定專門的個人信息保護法，重點解決如下幾個問題：

一是合法性和合目的性原則。不是所有的個人和機構(gòu)都可以收集個人信息，特別是大規(guī)模地收集個人信息。任何機關(guān)和個人在收集他人個人信息時，都應(yīng)當遵循合法性原則，保證收集的主體和手段必須合法。同時，個人信息收集必須要符合特定目的，例如，銀行收集的個人信息只能限于銀行內(nèi)部使用，房屋中介收集的個人信息只應(yīng)在交易過程中收集，交易后應(yīng)當銷毀，而不能在此目的之外使用相關(guān)信息。

二是知情同意原則。知情同意是個人信息權(quán)的核心，是最能夠體現(xiàn)個人價值的原則，信息人本人的知情同意是對信息進行收集、處理和使用的基礎(chǔ)，沒有當事人的知情同意，除非法律強制規(guī)定的情況以外，任何的收集行為都是沒有合法性基礎(chǔ)的。對一些重要信息的收集，特別是關(guān)系個人核心隱私信息的收集，必須取得本人的同意，并且應(yīng)當向被收集者告知信息的收集目的、用途和使用期限等。在信息收集以后，權(quán)利人應(yīng)當享有跟蹤、查閱以及防止個人信息被非法利用的權(quán)利。

三是明確個人信息收集的范圍。也就是說，立法應(yīng)當明確規(guī)定相關(guān)主體收集個人信息的權(quán)限和范圍，明確哪些個人信息可以被收集，哪些不能被收集。在收集個人信息時，應(yīng)當遵循盡可能少收集的原則，即不能收集超出法律允許范圍內(nèi)的個人信息，更不能無限制地、大面積收集個人的信息。

四是個人信息收集后的妥善保管責任。個人信息收集后，應(yīng)當有專人保管和負責。如果發(fā)生個人信息泄露后甚至無法確定由誰負責，這就很難有效預(yù)防個人信息的泄露。收集主體即特定的機構(gòu)或個人，應(yīng)當對個人信息收集后的泄露承擔責任。收集主體因?qū)€人信息保管不善而造成權(quán)利人利益受損的，其應(yīng)當承擔與其過錯相應(yīng)的責任，根據(jù)具體情形還可能與具體信息侵權(quán)行為人一起，對權(quán)利人承擔連帶賠償責任。對于掌握信息的相關(guān)行業(yè)，要建立起信息保護與信息安全的防火墻，個人信息錄入到相應(yīng)系統(tǒng)之后，只有專門負責人才能接觸，而不是個人可以輕而易舉地接觸到這些信息。這樣，一旦出現(xiàn)個人信息的泄露，就可以直接追究這些專門負責人員的責任。

五是最少使用原則。即從事某一特定活動可以使用、也可以不使用個人信息時，要盡量不使用。這就類似行政法上的比例原則，即在必須使用并征得權(quán)利人許可時，要盡量少使用；獲取的信息量，以滿足使用目的為必要；為達到目的只需要使用權(quán)利人的非敏感個人信息，就不應(yīng)該擴大信息收集和使用的范圍。

六是個人信息的查詢規(guī)則。一旦有關(guān)機關(guān)收集個人信息后，并不意味著任何人都有權(quán)查詢，因為有些個人信息屬于個人的私密信息，應(yīng)當受到法律保護。例如，個人的房產(chǎn)信息等財產(chǎn)信息，如果是與房產(chǎn)交易毫不相關(guān)的主體，就不得隨意查詢他人的房產(chǎn)信息。只有利益相關(guān)方，例如交易相對人等，才有權(quán)查詢他人的房產(chǎn)信息。

七是明確侵害個人信息權(quán)利的責任。目前，有的機構(gòu)大面積收集個人的信息，導致個人信息的大面積泄露，這些主體的責任并不明確。立法應(yīng)當明確侵害個人信息權(quán)利的責任，如果確實是機構(gòu)的原因?qū)е滦畔⒋竺娣e泄露，則機構(gòu)應(yīng)當依法承擔相應(yīng)的責任；如果是機構(gòu)的工作人員私自泄露了個人信息，除該個人應(yīng)當承擔責任外，機構(gòu)視具體情節(jié)也可能需要依法承擔責任。如果是機構(gòu)對個人信息保管不善，同時又有外界第三方非法獲取并使用個人信息，此時機構(gòu)可能需要與第三方承擔連帶賠償責任。

21世紀互聯(lián)網(wǎng)和高科技的發(fā)展，在給現(xiàn)代人帶來極大便利的同時，也給我們的生活帶來了巨大挑戰(zhàn)。互聯(lián)網(wǎng)時代最大的挑戰(zhàn)，就是如何對個人的隱私和個人信息進行保護。只有社會構(gòu)建切實保護信息的法律機制，在民法典中明確承認個人信息作為基本民事權(quán)利，嚴格保護個人信息權(quán)，防止個人信息的非法泄露和利用，互聯(lián)網(wǎng)才會健康發(fā)展，個人的生活才會幸福安寧，我們的社會才會井然有序。

作者：中國人民大學副校長、教授 王利明