8月21日，山东临沂女孩徐玉玉因为被骗走上大学的9900元费用而心脏骤停去世。这并非个案，同期仅在临沂同一个地方，就有3名大学生被骗。如果说大学生被骗和涉世未深有一定关系，那么近日媒体报道清华大学一名教师也被骗走了1760万元。这些案例中，人们纷纷怀疑，为何大学生的奖学金、录取信息、大学教师的房产交易信息等，都被骗子精确地获知？不少人怀疑招生办、房产中介等平台泄露了个人信息。当然这种说法仅是猜测，目前尚无法证实。那么，个人信息如何保护？平台如何监管？带着这些问题，南都评论记者专访了北京师范大学法学院教授、亚太网络法律研究中心主任刘德良。

舆论对个人信息的关注本末倒置

南方都市报记者(以下简称“南都”)：这段时间发生过多起典型诈骗事件，引发了全国关注。现在舆论再次关注起一直被讨论的个人信息保护等问题。您觉得如何才能让个人信息得到好的保护？

刘德良：现在媒体舆论本末倒置了。很多人说信息被某个平台泄露，比如银行、通信营运商等，但如何证明呢？到公安局报案，很难举证自己的个人信息是被某个主体泄露出去的；有时即使有充分的证据证明，但公安机关可能会觉得仅仅是针对某个人的行为，其危害后果不够严重，因此，虽然刑法上有关于泄露、买卖个人信息的行为属于犯罪行为的规定，但在实际过程当中，很少有公安机关主动追究买卖泄露个人信息的行为。除非像现在这个案子，引起社会舆论的强大关注，有关部门才会介入。

现在舆论关注的重点，都说是因为个人信息泄露才导致诈骗；要防止诈骗，就要保护个人信息的安全，防止泄露。其实，像姓名、电话号码之类的个人信息，我们在诸如上学、就业、购物、社交等各种场所无数次地向无数个主体提供过。由于这些信息被无数个主体掌握，因此，很难证明我们的个人信息是被某个主体“泄露”出去的。

实际上，这些信息的基本作用就是用于正常的社会交往和社会活动，我们并不担心这类信息被人知道，有时我们还希望被人知悉(比如印制和散发名片的行为)，我们真正担心的是被人滥用，比如拨打骚扰和诈骗电话，发送垃圾短信等。简言之，像姓名、工作单位、联系方式等个人信息只要不被滥用，被人知悉并不会对我们造成伤害；在实际生活中，真正对我们造成伤害的恰恰是对这类信息的滥用行为本身。

也正是基于此，对个人信息的关注，除了像裸照、与性有关的信息等一经公开会对名誉和尊严造成伤害的极少数个人信息需要保密外，其他个人信息，法律要关注的重点不是保密和防止泄露，而应该是防止滥用。具体来说，应该是制定有效的骚扰电话防治法、垃圾信息防治法、防治身份证假冒和滥用法。这样，包括诈骗电话、短信和邮件以及假冒身份证的侵权和违法行为就能得到有效遏制。

平台大数据需严格遵循匿名化原则

南都：防止滥用是针对以平台为重点的监管，还是在其他环节？

刘德良：要防止滥用需要从实名制、骚扰电话和垃圾信息防治等几个方面入手。

一方面，目前虽然普及实名制了，但是效果不好。现在的实名制都是用身份证来实现的。中国目前的身份证识别技术，主要是比对持证人与身份证上的照片。在实际使用过程中，有关机构往往不去比对或不认真比对，大多要求提交身份证复印件作为证据即可。再考虑到既有的身份证主要是通过人眼比对照片来甄别身份，而照片与本人之间的误差以及使用机构的工作人员视觉比对身份证存在困难等因素，单从照片上往往难以准确识别身份，因此才会出现很多假冒他人身份证办理业务问题。因此，除了未来身份证的技术需要提高外，还需要转变把身份证信息当做隐私的错误观念，要求有关机构在办理各种业务过程中履行严格比对核验身份证义务，对于身份假冒造成的损害实行“过错推定”原则，即一旦出现身份假冒，除非有关机构能够证明自己的工作人员已经履行了合理的比对核验义务，否则将承担相应的法律责任。

第二方面就是垃圾短信和垃圾骚扰电话防治。目前，中国缺乏有关垃圾信息和骚扰电话防治方面的有效法律规范，未来应该制定统一、有效的垃圾信息和骚扰电话防治法，从民事侵权责任法、行政法和刑法层面分别予以规范。在立法上，应该从有利于受害人维权、有利于遏制非法和侵权行为的原则出发，通过责任制度设计充分发挥和调动电信运营商预防和发现、惩治违法行为的积极性和主动性。对于垃圾信息的防治，对运营商实行过错推定原则，除非其能够证明自己已经履行了法定的监管义务，除非其能够帮助受害人找到垃圾信息发送者，否则就应该承担连带责任。对于受害人而言，如果受到垃圾信息和骚扰电话的侵扰，立法应该要求侵扰者每次给予受害人经济补偿的数额不低于其维权成本。当然，对于危害比较大的垃圾信息发送者和骚扰电话行为人，立法还可以通过行政处罚和刑事处罚予以规制。

南都：说到平台，也涉及到另外一个问题，随着BAT这些互联网巨头大量聚集用户信息，它们有怎样的处理权可以整理用户信息，作为资产使用？还是说这些只能是用户的，平台无权使用各种信息？

刘德良：首先应该对个人信息进行区分。此处的个人信息可以分两类，一类是可直接识别出特定自然人身份的信息，比如照片、声音等。对于此类信息的商业利用问题，既有的法律规范基本上都有。另一类是各种片段类的信息，比如个人的某个上网行为记录。网络环境下，个人信息往往呈碎片化，仅仅根据某一个或某些碎片没有办法识别出个人身份，只有将这些信息全部汇聚在一起才能识别出某一特定的自然人。实际上，商家采集信息主要是为了精准营销，而要实现精准营销，仅仅需要知道我们的行为偏好即可，这些偏好在商家眼里仅仅是一些数据，因此，一般来说，它没有必要也没有动机搜集我们全部和完整的个人信息，因为这样做只会徒增其搜集、存储和管理成本，减少其收益。我认为，在未来立法对个人信息滥用问题进行有效规制的前提下，没有必要过度炒作网络环境下商家对信息(数据)的采集问题。

考虑到大数据的背景，考虑到未来立法对个人信息滥用问题的有效规制作为前提，未来立法除了对极少数披露出去会对人们名誉和尊严造成伤害的个人信息进行保密外，商家采集和分析其他与个人有关的数据只要遵循匿名化或非特定化原则即可。

南都：现在上网有很多体验，自动匹配等，很多时候会让我们感觉不适应，比如现在的一些网络媒体会在用户偶尔或者不小心点击了黄赌毒等新闻之后，大量自动推送这类信息，或者在购物平台，搜索了一个物品后，会有大量渠道不厌其烦地推送这类信息，这也会给人感觉隐私被侵犯了。

刘德良：互联网收集信息是无处不在的，但收集的这些信息多数不属于隐私范畴：比如说在当当购书了，就会发现上网时会提示你买什么书；或者使用了搜索引擎，下次再使用时就会自动弹出相关的东西。排除政府的行为，对互联网企业来说，你要是认为它收集的信息侵犯了你的隐私，这十有八九是自作多情。互联网企业无需知道你是张三还是李四，它只需要有针对性地推广商品和服务。

在互联网背景下，要区分什么是我的个人信息，什么是可以找到我的信息。个人信息是由若干片断组合而成的，N个片断的组合才是我的个人信息。N-1个片断，不是完整的我，就不是个人信息了。所以行为偏好不是个人信息，个人信息是能够直接或间接识别出一个人的信息总和，单单行为偏好的数据不足以识别出一个完整的我。

现在的大数据时代还意味着，原来散落在互联网各个角落的信息，通过数据信息的收集、加工技术，海量数据将连在一起。这样，原来不能识别出一个人的N-1、N-2、N-3个信息就可以还原为N个信息，就可以找到这个人，实现实名化。所以这里有一个原则，在大数据的背景下对数据的加工分析匹配过程一定要匿名化。匿名化对商家来说，就是处理的这些数据不会知道具体是谁的信息，只是数据而已。收集加工处理越精准，越有利于用户和企业之间减少交易成本。当然还有一个原则，隐私是禁止收集、加工的，但严格遵循匿名化原则的话，这个问题就不存在了。

只要我们遵循这些原则，隐私遇到互联网其实没有什么大问题。最重要的，一是要规范政府的行为，二是要规范企业的信息加工，使最后的匹配行为匿名化。

个人信息的法律保护依据

南都：中国首部《网络安全法(草案)》正在征集社会意见阶段。草案中有规定，网络运营者收集、使用公民个人信息，应当明示收集、使用信息的目的、方式和范围，并经被收集者同意，且应公开收集、使用规则。这个网络安全法，对于互联网的这种信息保护处理，会起到防范滥用的作用吗？

刘德良：我个人的观点是《网络安全法》不能去规范个人信息的收集，《网络安全法》是要规范数据的跨境跨界流通，也就是一些危害国家安全的数据的流通，不仅仅局限个人数据，还包括其他数据，和个人信息保护是有区别的，如果存在交集，可能体现在如何规范个人信息的跨境流动。

南都：目前，中国与个人信息保护相关的法律、法规等规范性文件已达200多部，但《个人信息保护法》迟迟未能出台。在这部法律出来之前，有哪些相应的个人信息保护的法律依据？

刘德良：从民法规定来看，个人信息就是指能够直接或间接识别出特定自然人身份的信息，比如姓名、肖像等，这在《民法通则》里有相应规定。《侵权责任法》提到了隐私，最高法院2014年10月9日发布的司法解释中也以列举方式明确了隐私的范围。根据《侵权责任法》第20条，买卖个人信息可以要求损害赔偿。但我认为第20条的损害赔偿把人格利益放在财产权的保护之下，没有进行两种权利的区分，是不得已的做法。而这样的做法最后会导致人格权和财产权没法区分。第20条产生的背景是我们对于个人信息的价值判断不中立，但是又不得不去想解决现实问题，所以侵犯人格权也可以要求财产损害赔偿，没法自圆其说。

还有《身份证法》作为一部专门法，也提出居民身份证中的信息受法律保护。2012年12月，全国人大常委会颁布了《关于加强网络信息保护的决定》，当然这个决定缺乏具体的实操性。2013年9月1日起施行《电信和互联网用户个人信息保护规定》。2015年11月1日生效的《刑法修正案(九)》将刑法第二百五十三条之一修改为：“违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。”还有一些行政法规和规章里也有个人信息保护的规定。