个人信息安全漏洞怎么堵？

从民法典看公民隐私和个人信息保护

2020年第06期    作者:文字整理：许倩    阅读 3,835 次

翁冠星：各位好，这次上海律师“法律咖吧”栏目很荣幸地邀请到三位律师，分别是上海市锦天城律师事务所的王剑峰律师，上海汉盛律师事务所的潘丽文律师以及上海市联合律师事务所的胡雪律师。今天我们要讨论个人信息保护相关话题。

今年的“两会”，律师代表车捷提出了个人信息保护的相关建议。随着大数据时代的来临，互联网、云计算、区块链等改变了我们的生活和商业业态，个人信息保护变得非常重要。虽然现在的法律体系对于个人信息保护有一些规定，但主要散见于部门法中，这次是将其法典化，统一体现在民法典中。个人信息保护已经成为全社会都非常关注的话题。首先，请三位律师介绍一下，你们在个人执业经历中对涉及公民隐私及个人信息保护方面的实务经验和体会。

潘丽文:上海汉盛律师事务所设立了国际业务专业委员会，主要业务范围是企业的数据合规。我们帮助了很多国内企业，大概有20多家，建立了数据合规体系。另外还帮助与欧盟、美国有生意往来的企业规范自身数据保护，建立数据保护体系，从企业自律的角度去做个人信息保护方面的工作。在立法方面，一些民主党派成员提出了很多“个人信息保护法”的立法调研，并提出立法建议。

王剑峰:现在是一个互联网时代，数据保护是一个新兴领域，上海市锦天城律师事务所有一个数据合规部门，由相应的合伙人负责这一块。我们提供的服务可以覆盖数据的全部生命周期，从收集、存储、加工到转移、删除，都可以提供服务。我们也为很多传统行业以及新兴行业提供服务，帮他们进行数据合规，因为我国现在对数据保护有一定的立法。立法都有一定滞后性，我们在服务客户的时候要有前瞻性。说到前瞻性，这里有一个比较法的问题。未来，中国会借鉴欧盟、美国等国家和地区，研究欧盟和美国的法律，设立相应的部门，配备具体的负责人员。我们在服务企业的过程中，也会关注自然人个人信息搜集的安全性和合法性。防控法律风险是现在我们律所在这方面取得的成绩。

胡雪:刚才两位律师讲到数据保护问题，对于个人信息保护来说，作为律师，我们可能更多地帮助企业进行相关的法律保护，而很少帮助个人进行相关保护。但这个问题体现了价值取向，个人可能没有更多的金钱或者精力聘用律师，个人的取证等工作其实难以开展。另外，从业务方面来说，律师更愿意帮助大企业进行数据保护。法律对个人信息保护并没有法典化，而是散见于单行法，对于一些法律内容，比如哪些属于个人信息等，都是有争议的。这次将个人信息保护法典化之后，就有了非常明确的规定。这是一个很大的进步。

翁冠星:胡律师提到了从个人角度进行个人信息保护，这使我想到，我们每个人都是个体，或多或少经历过个人信息被泄露的事情。前不久，艺人池子和公司发生了经济纠纷，但在法院没有签发调查令的情况下，公司的举证中出现了一份池子的银行账户流水明细，这可能是银行泄露的。所以，我想问一下各位嘉宾，在过去的执业经历中，有没有遇到过因为个人信息泄露导致的法律纠纷以及诉讼的案件？胡律师刚才讲到一个观点，个人信息保护法律流程的难点、障碍在哪里？相信我们的探讨会对进一步细化司法解释有一定的启发。

胡雪:其实我认为这个案件并不是那么典型，并不属于个人信息保护，而是银行本身应该遵循职业规范。作为律师，我们应该谨慎，如果真的要调取一些有争议的信息，可能要履行法定程序。对于这类案子，即便可能涉案，但向法院申请调查也不一定能申请成功，因为这涉及到个人隐私、商业秘密。对于老百姓的个人信息保护来说，我们每个人都会用到。你控告的被告不明确，要让自己的信息得到保护，要删帖或者去追究那个人的责任，公权力可能也不是那么明确。说实话，在这样的情况下，我们作为律师也没有更好的方法。现在有些网站实行实名制，在登录、发帖时必须提供个人信息，如果不能提供实名，是网站承担责任。

王剑峰:像刚才胡律师所说的，我觉得池子案虽涉及个人隐私，但并不是特别典型，银行账户信息应当被保护，这是非常隐私的财产性权利。我觉得之前的维权难有三点。

第一，从法律层面，请求权基础并不是特别明确，律师可以要求其承担责任。对于侵权，除了个别的部门法有惩罚性规定之外，我国主要以填补损失为原则。第二，取证相对较难，对“隐私”的范围规定不明确，一些内容是否属于隐私还存有一定争议。第三，获取个人信息时可能会采用一些高科技手段，但法官对相应的科技了解不深。这也很考验律师的水平。现在，我国个人信息滥用现象比较严重，但维权成本较高，难度较大。

翁冠星:在日本、欧美等国家和地区，都存在个人信息被滥用的情况。我想请潘律师从比较法的角度来介绍一下，国外对于这样的现象，如何通过立法和司法方式进行权益保护？

潘丽文:我着重讲一下欧盟的立法。在2016年以前，欧盟各成员国基本上都有各自的数据保护立法。2016年欧盟议会通过了《通用数据保护条例》（以下简称“《条例》”，即GDPR），于2018年5月25日正式实施。《条例》扩大了数据保护的范围，直接适用于欧盟各成员国。具体体现在几个方面，一个是对个人信息（欧盟称为“个人数据”）的保护范围。最初，欧盟也与我国一样，主要是姓名、出生年月、住址、电话等内容，但《条例》已经增加到个人基因性识别、生物识别的数据，还有一些健康数据。这些在我国民法典中也有体现。第二，《条例》不仅作用于欧盟成员国，还谋求了更大的域外效力，与欧盟进行生意往来或为欧盟公民服务的企业都要受《条例》的管辖。从这一点看，国内的企业如果想与欧盟进行贸易或进行互联网数据交换，必须要在数据合规方面适应《条例》。第三，提高监管和惩罚力度，对于违规行为最高处以2000万欧元或者全球营业额4%的罚款，两者取较高值。欧盟在《条例》通过之后，对个人数据、信息的保护达到了一个前所未有的高度。

胡雪:我国把个人信息保护纳入刑法保护范围，这是值得拍手叫好的。入刑的门槛非常低，侵犯50条个人秘密信息、500条一般信息，就可能受到刑事的惩罚。国外对经济方面的保护更加重视，但是从刑事的角度来说，我国的刑事门槛是比较低的。

王剑峰:我跟我们律所数据合规团队的同事讨论过，欧盟、美国、中国这几个全球主要经济体在个人信息保护方面确实有所差别。中国的“个人信息保护法”还在制定中，民法典吸收了以前的相关内容。欧盟和美国立法不一样，刚才潘律师也介绍，欧盟立法适用于整个欧盟，美国则是每个州的个别立法。欧盟偏向于个人，对个人的保护特别强，对企业非常严厉；美国相对来说比较偏向于企业。法律毕竟是社会科学，要根据每个国家的不同情况制定，由于美国有很多很大的互联网企业，欧洲没有很知名的互联网企业，所以立法逻辑就不一样。欧盟通过保护个人进而限制美国互联网企业，让美国互联网企业适应欧盟的法律，这其实也是在限制美国的互联网企业，让本土互联网企业获得一定的竞争优势。

翁冠星:对于人格权、隐私权和个人信息保护，民法典把很多零散的观点做了一个法典化的处理。我想请三位律师对民法典的出台、“个人信息保护法”的酝酿做一个简单的展望和解读，这些法律会对大环境有什么样的帮助？企业今后如何才能更好地适应新的法律环境？

王剑峰:我觉得，民法典确实是把原来一些零散的、有影响的规定整合了一下，但跟域外相比，确实还不够明确。民法典是基本大法，不可能对细小的点规定得特别详细，更详细、更明确的结论有待于“个人信息保护法”的出台。我国是一个人口基数特别大的国家，也是几个主要经济体里互联网产业比较发达的国家，个人信息的数据量也会非常大。

我刚才讲的欧盟和美国的立法倾向性确实不一样，我们到底要采取哪一种？按照现在初步公开的“个人信息保护法草案”，可能我国跟欧盟比较接近。但是欧盟的整个数据保护逻辑与我国不一样，如果太严格，可能会导致企业发展存在一定困难。如果立法者都站在企业这边，我国人口基数这么大，一旦个人信息泛滥，对个人保护不力，就会产生很多社会问题。作为律师，我们主要服务于企业客户，要有一定的前瞻性。前瞻性方面需要参考一下欧盟和美国的立法，最后再根据出台的“个人信息保护法”进行略微的调整。我们也在讨论个人信息到底需要细到什么程度。比如我是一个员工，上班打卡，这算个人信息，没经过我同意不能取得该信息，否则就要删除。以后我不去上班了，公司要举证旷工，拿不出证据证明我没来，这个和个人信息保护程度相关。这可能是一个比较极端的案例，但是通过极端案例可以思考一些问题，这考验了立法者的智慧，也期待“个人信息保护法”把这些问题平衡好，因为立法本来就是一个平衡各方利益的过程。

潘丽文:个人信息保护的力度和经济的发展肯定需要平衡，对于隐私保护和信息自由流通这两方面来说，片面地强调任何一点都会产生弊端。过分保护隐私和个人信息会阻碍个人信息正常流通，束缚企业和个人的正常发展，不利于信息化社会的建设；但如果放任行业和企业自律，缺乏规制手段，会导致部分企业不择手段地规避个人信息保护政策，肆意侵害个人隐私，引发社会矛盾，不利于社会稳定。现实中不乏这类案例。

2016年，大学生徐玉玉刚拿到录取通知书，就收到诈骗电话，银行卡中9千多块钱全部被骗光，她在报案回来的路上猝死，这个案子也引起了全国范围内打击电信诈骗的热潮。这背后还有一个案子，电信诈骗集团是怎么取得这些信息的？其实是有一个黑客入侵了山东省的高考信息网，获得信息之后，打包卖给诈骗集团，这个后来是另案处理的。

胡雪:我觉得这次民法典的修改，对个人信息保护是一个很大的推动。尽管我国现在还没有达到刚才潘律师介绍的像欧盟那样把性取向、健康信息等都纳入，但我国有个立法特点，即会留有一定空间，比如“个人信息”的范围之后有一个“等”字，这个“等”字就是我们的空间，我觉得我们国家有自己的立法优势。我国相关法律法规对于个人信息的使用有一些细化、全面的标准，但一个普通的用户或者消费者跟网站或公司进行信息交换的时候，不会仔细看那些所谓的合同，而是到最后按yes。当有了“yes”之后，对于网站来说，已经达到一个提供告知的效果了，但真正的明示效果未必能做到，这就是我们国家的现状。就像王律师刚才说的，我国幅员辽阔，人们的层次、爱好兴趣都不一样，对于隐私保护的程度也不一样。我希望有关部门能够严格执法。民法典给了执法机关一个更便于操作的执法依据。当然，我也希望我们国家除了补偿性的赔偿之外，设定一些惩罚性赔偿，尤其是在个人信息保护这方面。

王剑峰:虽然民法典立法晚，但是有时代性；国外立法早，但那时没有互联网，时效性上差一些。我觉得中国老百姓可能比较传统，对个人信息这块不是特别在乎。但民法典出来后，个人信息已经进入民法典这部根本大法里，需要在法律层面或者社会层面进行宣传，要让百姓知道哪些信息是受保护的，有哪些维权手段等。很多普通老百姓可能不懂法，不会想到去维权，因为他并未觉得自己的权利受到侵犯，所以我觉得这可能也是后面宣传的重点。

翁冠星:第一是要界定。第二是让大家知道自己的权利是哪些？我们可以考虑在收集使用和最终推送上、在惩罚或者保护上，进行区别对待。

王剑峰:因个人信息泄露受到骚扰的，可以由行政机关进行惩罚。因为从民事角度维权的时间太长，成本也比较高。

胡雪:我觉得民法典中隐私保护这一块内容很明确，我们被骚扰的时候，可以根据民法典相应的规定来向公权力机关寻求保护。当然，民法典不是公权力机关的执法依据，像《治安管理处罚法》及一些地方性法规，是否能对此做一些衔接？

潘丽文:我们讲了很多信息的收集和使用，但忽略了一个问题，即怎么把个人信息删除、注销。民法典对这条是有规定的。信息主体可以要求删除、修改个人信息，网络平台的经营者也应该及时做到，应怎样保障信息主体的权利呢？有些APP注册容易注销难，甚至根本没有设置修改个人信息、注销帐户的功能；打客服电话注销，往往很长时间都没有回应，这些都是实践中没有保障信息主体删除、修改权的情形。

胡雪:其实我们帮很多互联网企业在做类似的事情，因为互联网的体量是非常大的，如果一位客户的身份证信息被人盗用，对互联网企业来说可能涉及的是千万个客户，影响特别大。我们也要考虑到互联网企业发展的时候，对于信息保护这一块，可能前期投入多，后期投入少，这其实是不匹配的。对于客户的注册、注销以及维护，应该采取433或334的投入分配比例，而不能前面注册投入是99%，后面维护只有1%。这是我们目前互联网企业的一个通病，因为后面的维护是不体现价值的。

翁冠星:今天我们就公民隐私和个人信息保护的问题，结合了比较法、最新立法、三位律师个人经验，进行了综合性的探讨，非常感谢三位律师抽时间参与本期“法律咖吧”。

（本文内容根据录音整理，系嘉宾个人观点）

（整理时间 ：2020年6月22日）