最近發生了幾起電信詐騙導致被害人死亡的案件，引起公憤，雖然犯罪嫌疑人很快被抓獲，但與這幾起案件相關的個人信息泄露的問題仍值得我們持續關注。公眾普遍質疑這樣的問題，即犯罪嫌疑人怎么這么快就能夠得到受害人的準確信息？是從哪里獲得這些信息？是否有人給他們提供了這些信息？這些信息的泄露者應當承擔什么樣的責任？

王利明

個人信息泄露已成為公害

目前，個人信息的泄露十分普遍，已經成為一種公害，到了非治理不可的地步了。嚴重的電信網絡詐騙背后都存在個人信息泄露的問題。一些違法行為人利用受害人的信息進行精準詐騙，竟然屢屢得手。前不久，某大學教授剛賣完房子，信息就被泄露，結果被詐騙1000多萬元。信息泄露危害人們銀行存款安全，甚至嚴重危及個人人身安全，也有一些信息泄露導致個人正常生活受到嚴重影響。據報道，全國26個省多位艾滋病感染者曾接到詐騙電話稱會發放補助。甚至有人接到電話敲詐，稱不給錢就曝光艾滋病感染者的信息。如此大面積的信息泄露令人震驚。這些艾滋病患者本身就是社會弱者，其個人信息被泄露將使得一些人痛不欲生。

時下，每個人都可能成為個人信息泄露的受害者，個人信息泄露無時無刻不在上演，我們的正常生活都可能因為個人信息的泄露被完全打亂。比如，去證券公司開一個戶，就會收到很多炒股、融資的垃圾信息；去銀行開戶或到保險公司購買保險，就會接到許多是否需要投資理財、買保險的騷擾電話；通過房地產中介租賃房屋，就會收到無數售房、租房的電話；剛買完房子，就會收到無數詢問是否需要裝修、出售房屋的騷擾電話；去醫院做一次孕檢，就會收到推銷奶粉、月嫂服務等諸多與嬰幼兒有關的信息，如此等等，不勝枚舉。可以說，莫名的騷擾電話、信息，已經成為忙碌的現代人不得不承受的負擔，嚴重妨礙了私人生活安寧，給生活增添了壓力與疲憊。更危險的是，如果這些泄露出去的信息被非法利用，如用于網絡電信詐騙，后果將不堪設想。正是從這個意義上說，保護公民的個人信息，不僅是保護個人財產安全的問題，更是保障個人隱私、私人生活安寧的問題，從根本上說，就是保障民生的問題。

應當制定專門的個人信息保護法

在互聯網和大數據時代，信息代表著財富、代表著銷售渠道。掌握了信息，就掌握了機遇。獲取信息成為商家競爭的法寶，巧妙利用個人信息也成為競爭的重要方式。從效率層面而言，確實應當鼓勵個人信息的積極利用，但也不能只注重個人信息的利用而忽略了保護。迄今為止，全世界已經有90多個國家和地區制定了專門保障個人信息的法律，宣告個人享有個人信息權，甚至將個人信息作為一種基本人權對待，這也反映了個人信息保護的重要性。在我國，雖然2015年11月1日起實施的刑法修正案（九）明確規定了侵犯公民個人信息罪，其他方面也不乏相關規定，但總體上，對個人信息的保護仍很不夠，需要從多方面予以加強。

筆者認為，當務之急是應當在正在制定的民法典中明確規定個人信息權，任何人不得非法獲取個人信息，更不得非法出售或者提供個人信息，對信息泄露者應當視其情節輕重，追究其法律責任。以個人信息權為基礎，應當制定專門的個人信息保護法，重點解決如下幾個問題：

一是合法性和合目的性原則。不是所有的個人和機構都可以收集個人信息，特別是大規模地收集個人信息。任何機關和個人在收集他人個人信息時，都應當遵循合法性原則，保證收集的主體和手段必須合法。同時，個人信息收集必須要符合特定目的，例如，銀行收集的個人信息只能限于銀行內部使用，房屋中介收集的個人信息只應在交易過程中收集，交易后應當銷毀，而不能在此目的之外使用相關信息。

二是知情同意原則。知情同意是個人信息權的核心，是最能夠體現個人價值的原則，信息人本人的知情同意是對信息進行收集、處理和使用的基礎，沒有當事人的知情同意，除非法律強制規定的情況以外，任何的收集行為都是沒有合法性基礎的。對一些重要信息的收集，特別是關系個人核心隱私信息的收集，必須取得本人的同意，并且應當向被收集者告知信息的收集目的、用途和使用期限等。在信息收集以后，權利人應當享有跟蹤、查閱以及防止個人信息被非法利用的權利。

三是明確個人信息收集的范圍。也就是說，立法應當明確規定相關主體收集個人信息的權限和范圍，明確哪些個人信息可以被收集，哪些不能被收集。在收集個人信息時，應當遵循盡可能少收集的原則，即不能收集超出法律允許范圍內的個人信息，更不能無限制地、大面積收集個人的信息。

四是個人信息收集后的妥善保管責任。個人信息收集后，應當有專人保管和負責。如果發生個人信息泄露后甚至無法確定由誰負責，這就很難有效預防個人信息的泄露。收集主體即特定的機構或個人，應當對個人信息收集后的泄露承擔責任。收集主體因對個人信息保管不善而造成權利人利益受損的，其應當承擔與其過錯相應的責任，根據具體情形還可能與具體信息侵權行為人一起，對權利人承擔連帶賠償責任。對于掌握信息的相關行業，要建立起信息保護與信息安全的防火墻，個人信息錄入到相應系統之后，只有專門負責人才能接觸，而不是個人可以輕而易舉地接觸到這些信息。這樣，一旦出現個人信息的泄露，就可以直接追究這些專門負責人員的責任。

五是最少使用原則。即從事某一特定活動可以使用、也可以不使用個人信息時，要盡量不使用。這就類似行政法上的比例原則，即在必須使用并征得權利人許可時，要盡量少使用；獲取的信息量，以滿足使用目的為必要；為達到目的只需要使用權利人的非敏感個人信息，就不應該擴大信息收集和使用的范圍。

六是個人信息的查詢規則。一旦有關機關收集個人信息后，并不意味著任何人都有權查詢，因為有些個人信息屬于個人的私密信息，應當受到法律保護。例如，個人的房產信息等財產信息，如果是與房產交易毫不相關的主體，就不得隨意查詢他人的房產信息。只有利益相關方，例如交易相對人等，才有權查詢他人的房產信息。

七是明確侵害個人信息權利的責任。目前，有的機構大面積收集個人的信息，導致個人信息的大面積泄露，這些主體的責任并不明確。立法應當明確侵害個人信息權利的責任，如果確實是機構的原因導致信息大面積泄露，則機構應當依法承擔相應的責任；如果是機構的工作人員私自泄露了個人信息，除該個人應當承擔責任外，機構視具體情節也可能需要依法承擔責任。如果是機構對個人信息保管不善，同時又有外界第三方非法獲取并使用個人信息，此時機構可能需要與第三方承擔連帶賠償責任。

21世紀互聯網和高科技的發展，在給現代人帶來極大便利的同時，也給我們的生活帶來了巨大挑戰。互聯網時代最大的挑戰，就是如何對個人的隱私和個人信息進行保護。只有社會構建切實保護信息的法律機制，在民法典中明確承認個人信息作為基本民事權利，嚴格保護個人信息權，防止個人信息的非法泄露和利用，互聯網才會健康發展，個人的生活才會幸福安寧，我們的社會才會井然有序。

作者：中國人民大學副校長、教授 王利明