个人信息保护，请从个案开始

2020年1月27日，腾讯新闻上个人信息保护话题广受关注，排在热榜第十位，其中有一个网名叫“别惹我”的武汉返乡学生的帖子引起我的注意。今天早上，我发现“别惹我”的帖子已经排在热点榜第一位。

 网名“别惹我”是武汉返乡学生，1月8日从武汉回家。回家时，肺炎疫情不严重，假期也很少出门，14天潜伏期平安度过。后来疫情升级，各地对疫情监测防控也严格起来。1月24日（大年三十）下午，他接到当地卫健委电话，说他的手机号属于武汉，所以电话询问身体状况。对方让他提供了详细家庭住址。1月25日，他发现自己的信息开始流传于多个微信群，信息内容包括家庭门牌号、电话、姓名。他同时开始接到非政府人员骚扰电话，对方在电话中质问他为何返乡。他于是联系当时通话的卫健委工作人员，询问是否泄露了信息，但被否认，并且不再回复。 

网友“别惹我”的遭遇，只是疫情期间武汉返乡人员信息泄露事件中的一例，媒体报道有超过7000人遭遇到类似的信息泄露。个人信息保护也成为热点话题，许多法律界人士从专业角度解读了个人信息保护问题，内容涉及个人信息与个人敏感信息的区别、欧盟对个人信息保护的比较法研究、个人信息与疫情防控的平衡、处理个人信息合法性事由、我国个人信息保护制度、传染病防治与突发公共卫生事件应急法中有关个人信息规定，等等。

 应该说，从学理上、现行制度上，对于个人信息保护的讨论十分充分，其中对保个人信息保护之必要性、重要性以及保护与利用之平衡的讨论，尤其完备，可谓该讨论的都讨论了。可是，就跟以往每次讨论一样，大家对7000个人受到的侵害依然无能为力，几乎陷入到一个死循环：具体到个人，具体到个案，一个人的信息泄露了就泄露了，对那些隐藏着的侵权人只能说，好吧，这次咱就不追究了，下次可不许这样了啊！ 

受害者无可奈何，欲哭无泪。等待下一个受害者出现，下一次呢，依然如此。 我多么希望，有一次，哪怕只有一次，能给具体的个人予以实实在在的保护，而不是看着被侵权的个人在网络上呐喊、然后沉默，最终成为7000个数字中的一个数据。若无人在具体的个案中得到实际保护，我们热烈的讨论最后只不过是爆炸性信息流里的一种自嗨。 

为何保护个人信息如此之难？

 从大的背景看，其一是行政责任的断档。我国对个人信息的保护，已经写入刑法，不可谓不力。刑法第253条之一第1款规定了侵犯公民个人信息罪，凡违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的行为即构成本罪。但一个问题是，触及刑法的门槛毕竟过高，对于个人信息的保护，更多时候仰仗有关主管部门的重视，需要通过追究行政责任去落实，补充刑事打击的不足。其二，对侵犯个人信息中何为非法的认定欠缺可操作性。许多讨论停留在学理层面，没有真正意义上的“非法认定”，既没有认定的条件，也没有认定的程序，一具体到个人，泄露事件很难得到处理，导致大量侵犯公民个人信息的行为由于受害者举报的积极性不高，加上证明侵权的证据难以收集和固定、涉及黑产利益链等原因，增加了法律追责难度，许多情形难以得到应有补救或处罚。 

从权益基础看，因为制度设计上的出发点缠绕不清，导致对个人信息保护的认识不足。每次讨论个人信息保护，都要放在“个人信息利用”这杆秤上去平衡。而一旦放入这种平衡的讨论，就仿佛必须以削弱个人信息保护为基础。我认为，个人信息保护制度设计的一个基本原则应该是：对个人信息数据的利用（包括收集、开发）应当以保护个人信息权利为前提。不能先设计“利用”框架，再在“利用”框架下去分配个人信息（数据）权益，而应基于个人信息（数据）权益保护去谈“利用”。从“利用”角度出发，还是从个人权益角度出发？也就是说，是在利用（广泛地利用，也包括收集、开发）个人信息（数据）的前提下谈保障个人信息（数据）安全，还是在保障个人信息（数据）权益的基础上谈利用？说到底，这是二者平衡的基础问题。在我看来，逻辑上，“权益”在先，“利用”在后，同时，我们都知道，与政府公开、商业利用相比，个人对个人信息的控制力与之对比有多么悬殊。 

困难一直在，道理也懂，但是回到个案，回到网友“别惹我”们的个人遭遇上，我们仍需追问：对具体到人的个人信息保护，是否可以不再停留在保护个人信息的口号上，让“别惹我”们的合法权益得到实在在地给予补救。 

可以看到，“别惹我”的愤怒不是因为当地卫健委掌握了他的个人信息，而是他的信息在某个环节上被暴露，在他不毫不知情地情况下被公开，被传播。即使没有上过法学院，我们也知道，“别惹我”的某种权利受到了侵犯——如果不考虑这项权利究竟被怎么命名和定义的话，我们都知道，他的某种权利受到了侵犯。但问题在于，“别惹我”对这种侵犯无能为力，对他而言没有适当的法律补救措施。 

确实，在实践中，因为个人信息泄露而寻求法律帮助的情况很少，进入诉讼程序的更少，即使进入诉讼，也面临举证困难的窘境。受害者要寻找到侵权人非常困难，信息泄露涉及多个环节，究竟哪个环节出了问题，如何证明，难以得到电信运营商、网络公司、主管部门的帮助、配合，调查取证无从下手。在数字时代，要真正落实个人信息保护，任重道远。

抛开各种法律规定和学理讨论，我认为，有关个人信息保护的一项显而易见的基本原则是：当你获得一项信息，你就自然承担了保障该项信息安全的义务。你只能在授权的特定目的范围内利用该项信息，而不是使其被滥用。 

“现代社会和发明，通过对于个人隐私的侵入，使人们不得不处于精神痛苦和压迫之下，绝不仅仅是对身体造成了伤害”，130多年前，美国律师沃伦和布兰迪斯的观点在今天互联网和大数据时代依然可以作为保护个人信息的支持论点。 

设身处地想想，“别惹我”们在精神上所受到的痛苦，对他们个人而言是实实在在的体验，每次当获得信息的陌生人通过电话、微信等渠道质问、攻击他们时，他们都要遭受一次伤害，他们的权利在服从大局的名义下被稀释、化解，最终无人理睬。

保护个人信息之难，不止体现这一次泄露事件，在以往实践中，受害者投诉无门、默默忍受的情况比比皆是。但我希望，每一次泄露事件发生后，都有主管部门、法律人士站出来，莫让个人信息保护制度落空。在此次大规模泄露事件中，应该有人为“别惹我”们权益受损负责。

我们深知，在这次疫情特殊时期，谈保护个人信息在抗击疫情大局面前显得不合时宜、更微不足道。但依然希望，能有一起个案，激活个人信息保护法律的生命；我依然希望，别让个人的权益在宏大叙事的名义下被掩盖、被忽略。

以上文章内容仅代表作者本人观点，本网贵在分享。若涉及版权问题，请联系我们。