个人信息不等于个人隐私

来源：《青年记者》2018年5月上

《中华人民共和国民法通则》第111条规定，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法搜集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。《中华人民共和国网络安全法》第76条规定，个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

一

部分学者认为，除了法定的个人信息之外，其他信息都属于大数据性质，不在隐私权保护体系范围之内。这种说法值得商榷。

首先，《中华人民共和国网络安全法》关于个人信息的定义采用的是概括列举方式，并没有列举所有的个人信息，因此，不能认为法律规定的个人信息只包括所罗列的信息。法律已经明确规定，“包括但不限于自然人”列举的信息。公民的个人信息非常丰富，因此，法律不可能全部列举出来。即使公安机关依照法律规定发布通缉令，也通常采用突出特点的方式，反映犯罪嫌疑人的体貌特征。

其次，个人信息可以是单独的，也可以是综合性的，如果个人的信息能够对应现实生活中的自然人，那么这样的个人信息可能带有隐私性质。譬如，在犯罪嫌疑人中，如果指出自然人的姓名，那么姓名就带有个人隐私的性质。在通常情况下，单个的个人信息不具有隐私性质。譬如，了解一个人的姓名，未必了解这个人的隐私；了解一个人的身份证号码，也未必了解这个人的隐私；了解一个人的电话号码，通常不大可能了解个人隐私。所以，个人信息不等于个人隐私。保护个人信息是法定的义务，保护个人隐私同样是法定的义务。但是，保护个人信息的法律和保护个人隐私的法律既有联系又有区别，不能把二者混为一谈。

来源：《青年记者》2018年5月上

《中华人民共和国民法通则》第111条规定，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法搜集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。《中华人民共和国网络安全法》第76条规定，个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

一

部分学者认为，除了法定的个人信息之外，其他信息都属于大数据性质，不在隐私权保护体系范围之内。这种说法值得商榷。

首先，《中华人民共和国网络安全法》关于个人信息的定义采用的是概括列举方式，并没有列举所有的个人信息，因此，不能认为法律规定的个人信息只包括所罗列的信息。法律已经明确规定，“包括但不限于自然人”列举的信息。公民的个人信息非常丰富，因此，法律不可能全部列举出来。即使公安机关依照法律规定发布通缉令，也通常采用突出特点的方式，反映犯罪嫌疑人的体貌特征。

其次，个人信息可以是单独的，也可以是综合性的，如果个人的信息能够对应现实生活中的自然人，那么这样的个人信息可能带有隐私性质。譬如，在犯罪嫌疑人中，如果指出自然人的姓名，那么姓名就带有个人隐私的性质。在通常情况下，单个的个人信息不具有隐私性质。譬如，了解一个人的姓名，未必了解这个人的隐私；了解一个人的身份证号码，也未必了解这个人的隐私；了解一个人的电话号码，通常不大可能了解个人隐私。所以，个人信息不等于个人隐私。保护个人信息是法定的义务，保护个人隐私同样是法定的义务。但是，保护个人信息的法律和保护个人隐私的法律既有联系又有区别，不能把二者混为一谈。

第三，从各国立法角度来看，保护个人信息的法律和保护个人隐私的法律性质不同。保护个人信息的法律通常带有公法性质，无论是个人数据保护法，还是保护个人信息的刑法和行政法，通常都带有国家监管的色彩。而保护个人隐私的法律通常具有私法性质，一般体现在一个国家的民法之中。当然，现在各国为了充分保护个人隐私，也会通过刑罚等手段强化对个人隐私的保护，确保个人隐私权不受侵犯。

二

个人隐私和个人隐私权是两个完全不同的概念。个人隐私是客观存在，而个人隐私权则是法律规定的权利。各国在保护个人隐私方面有不同的法律规定，因此，各国个人隐私权的内涵和外延有所不同。近些年来，许多国家在保护个人隐私权利方面加大了力度，因此，个人隐私权的内容具有趋同化的趋势。个人隐私是一种客观事实，无论是静态的个人隐私，还是动态的个人隐私；无论是先天的个人隐私（譬如身体上的隐私），还是后天的个人隐私（譬如违法犯罪记录），都属于个人隐私的范畴。各国在立法过程中，对个人隐私保护范围不同，因此，个人隐私权的内涵和外延有所不同。

过去各国都强调对罪犯个人隐私的保护，但是近些年来，为了打击一些特殊性质的犯罪分子，譬如，惩治强奸和性犯罪分子，往往通过公布犯罪分子犯罪事实或者刑事处罚的内容，更好地维护社会公共利益，保护公民的合法利益。部分国家甚至规定，强奸犯刑满释放，应当在其居住的地方张贴明显的标志，防止未成年人接近。所有这些措施都充分说明，个人隐私在不同阶段内涵和外延是不同的，而个人隐私权在不同的阶段内涵和外延也是不同的。

三

互联网络时代保护个人信息至关重要。自然人在互联网上的所有活动都会留下印记，而互联网服务提供商则会充分利用用户留下的电子印记，了解自然人的基本情况，包括自然人的消费偏好以及自然人的活动轨迹等。这是非常可怕的现象，如果对互联网络的数据搜集没有明确的法律规定，那么互联网服务提供商就会利用自己搜集到的信息从事商业经营活动，客观上损害消费者的合法权益。

互联网服务提供商搜集消费者的信息是否属于个人隐私，这是一个需要讨论的问题。世界绝大多数国家对互联网服务提供商搜集消费者信息的行为都有明确的法律规定。为了促进互联网产业的发展，绝大多数国家都允许互联网服务提供商通过合法渠道搜集消费者的信息，但是，互联网服务提供商依法搜集消费者信息之后建立的数据库必须得到切实有效的保护。如果个人信息被滥用，譬如，互联网服务提供商将消费者的信息出让给他人以获取利益，或者根据搜集到的消费者信息从事商业广告推广服务，那么就会损害消费者的合法权益。

到目前为止，各国还没有建立所谓的“倒逼机制”，迫使互联网服务提供商在提供广告服务或者信息服务的过程中说明搜集信息的来源。换句话说，各国现行法律都没有规定，互联网服务提供商提供信息服务的时候，必须证明自己所搜集的信息程序合法，信息来源合法，搜集信息得到信息所有人的认可或者同意。

我国互联网服务提供商普遍存在错觉，以为自己通过合法方式收集的信息，或者通过格式合同说明搜集信息的用途，即可用于大数据，并且通过大数据分析提供市场细分服务，或者利用数据分析提供商业广告服务。

互联网服务提供商可以通过合法方式搜集消费者的信息，并且建立数据库。但是，互联网服务提供商利用自己搜集的信息从事商业活动，必须得到消费者的授权。互联网服务提供商搜集消费者信息的时候，可能会通过签订电子合同满足消费者的知情权。这样做可以有效地规避国家现行法律规定。但是，如果互联网服务提供商再次使用消费者信息，譬如，在数据库建立和利用数据库信息进行服务的过程中使用消费者的信息，那么，必须重新得到消费者的授权，因为只有这样，才能确保消费者的利益不受损害。

四

互联网个人信息泄露现象非常普遍，这一方面是因为互联网技术的发展出现了严重的技术缺陷，不法行为人可以通过技术手段大规模获取个人信息；另一方面则是因为，互联网服务提供商高度重视互联网信息的应用价值，建立了大型的数据库，而这些数据库一旦被侵入，大规模泄露个人信息的现象就会出现。

全国人大常委会必须高度重视个人信息的保护问题，高度重视个人隐私的保护问题。个人信息的保护要求政府加强对互联网信息的监管，要求互联网服务提供商承担更多的责任。

如果在个人信息保护方面出现错误的认识，那么信息泄露所产生的破坏作用将会非常严重。笔者多次呼吁应当在《中华人民共和国电子商务法（草案）》中增加有关个人信息保护的条款，要求互联网服务提供商搜集整理个人信息建立数据库并在运用数据库数据从事商业经营活动的时候，必须重新得到消费者的授权，只有这样，才能确保消费者的信息不会被滥用。在保护个人信息方面不能心存侥幸，而应当未雨绸缪，防患于未然。

少数互联网服务提供商公然声称，中国公民缺乏隐私保护意识，他们愿意用个人隐私换取便利。这是一种不负责任的说法。个人信息和个人隐私不同，个人信息交给互联网服务提供商，并不意味着将个人隐私交给互联网服务提供商。即使互联网服务提供商通过合法的方式获得个人信息，在没有征得个人同意的情况下，也不得将个人信息用于商业经营活动。

特别需要指出的是，由于个人信息在不同的社会环境和不同的社会关系条件之下发挥的作用不同，因此，不能把个人信息等同于个人隐私。但是，如果认为个人身份信息是最高等级的个人隐私，认为身份信息不能泄露，其他信息可以作为大数据组成部分使用，那么，就会产生严重的法律误区。个人身份信息的确非常重要，但是，在互联网时代，即使不公开个人身份信息，也可以将个人的活动轨迹表述出来，使人们“对号入座”。部分财经媒体制作报道腐败分子作品的时候，就是巧妙地利用这种特殊的新闻报道手法，在没有公开腐败分子个人身份信息的情况下，让读者把新闻报道与腐败分子联系起来。个人信息是否属于个人隐私，是一个相对的概念。个人身份信息是否属于个人隐私同样是相对的概念。在这个问题上不能进行形而上学的分析，当然更不能把身份信息看作最高等级的敏感信息加以特别保护，而忽视了个人信息和个人隐私的相对性。

(作者为中南财经政法大学教授)