本报简介个人信息保护:要纠正错误的隐私观
——对话北京师范大学教授刘德良
在个人信息安全问题上,只要防止了滥用,买卖和泄露个人信息的问题也就基本上解决了,诈骗问题也就得到了遏制。
刘德良是亚太网络法律研究中心主任、北京师范大学教授。他在个人信息、隐私与隐私权问题上具有开创性见解。9月20日,民主与法制社记者(以下简称:记者)就如何保护个人信息,防止电信诈骗与其进行对话。
个人信息买卖非信息泄露
记者:山东徐玉玉因电信诈骗致死又一次推热电信诈骗话题,您评价下我国个人信息安全保护方面的现状。
刘德良:从立法上说,我国目前在个人信息领域立法还是很多的,不完全统计有上百部。一方面立法很多,很多学者还在呼吁制定一部统一的个人信息保护法;第二个方面,立法效果很差,缺乏可操作性。
立法效果差具体体现在所谓的信息泄露严重上,比如垃圾短信、骚扰电话和电话诈骗无法遏制,缺乏可操作性主要是个人信息买卖问题严重。比如我们很多人电话被房产商或者中介拨打,他是属于信息买卖的现象而不是泄露,房地产商家把你的手机号信息卖给别人,他是卖的,不是属于单纯的泄露,单纯的泄露不怎么强调经济目的。
所以电信诈骗问题很严重,数据显示近年来呈高速增长态势。就我自己,每天都会收到很多骚扰电话和垃圾短信,每天数以十计。
记者:防止信息泄露,能否从源头切断电信诈骗的链条?或者杜绝个人信息买卖?
刘德良:电信诈骗的确形成了利益链条,诈骗看起来离不开信息泄露。但是如果从信息泄露上来防控,没有办法做。如果真的那样做,成本代价太高,得不偿失,因为方向搞错了。
从升学求职到各个场所,以及经济交往,都要披露信息。我们已经向很多公众主体提供过了,是你自愿提供的,没法说防止泄露。防止泄露成本太高,也取决于个人的看法和感受。电话号码,有的愿意让别人知道,有的不愿意让别人知道。如果从防止信息泄露的角度来立法,基本上是无效的,可以说是南辕北辙。
立法上存在错误的隐私观
记者:虽然公安等相关部门不断加大打击力度,电信诈骗在近年来呈快速增长趋势,根本原因在哪?
刘德良:从宏观上来看,我们整个社会的信用缺失。诈骗本身是靠人们的认知缺陷来骗取人的信任。另外,骗钱的违法成本比较低,比如买卖个人信息,买卖虚假身份证,要求实名制不实名等等,这些违法的成本都比较低。
错误的隐私观点导致我们立法上的缺失和不可操作性。
实际上,个人信息分两部分,一类就是你可以知道,可以正常利用的,是你用来正常的社会交往活动,不会对我们造成伤害。这种信息你不用保密,也没法保密。另一类信息才是真正的隐私,应该确立为法律意义上讲的隐私。之前我们国家有一个概念叫阴私,从1956年民法到1986年民法通则中讲的阴私。阴私就是不好的信息不好的事情,披露出去会对人的名誉、尊严造成损害。早期主要是指性方面的东西,比如裸照、性生活、(身体)重大缺陷等,这个概念比较狭窄。
当前的隐私是个外来的概念,它是用美国的概念来表达欧洲人的隐私内涵。美国人的隐私(private)就是指个人信息。欧洲人讲的隐私概念始于美国,而欧洲人讲的隐私就是不愿意让别人知道的个人秘密、个人领域、个人空间的私生活秘密。现在,这个内涵被中国的学者照搬,即我不愿意让别人知道个人领域个人空间私生活秘密的个人信息叫隐私。
立法上强调对个人信息保密,是不可能做到的。
我们国家现在这种错误的隐私观念才导致隐私泛化,把所有的个人信息都当作隐私来看待,比如说现在很多人说电话号码是隐私,家庭住址是隐私,工作单位是隐私,身份证上的信息是隐私,就导致这些信息要求保密,不容易被得到的信息被买卖和滥用——你自以为是“隐私”的信息被别人知晓,造成了心理上的信任,这是电信诈骗的心理基础。
立法理念应从保密避免泄露回到防止滥用信息上来,所以我建议将我国法律概念的隐私回归到此前的“阴私”概念。
应立法防止“信息滥用”
记者:那么,如何防止信息滥用呢?能否针对电信诈骗链条化形成系统性防范?
刘德良:你看现在电信诈骗,大部分是通过电话和短信来实施的。只要社会公共交往中的信息不被滥用,就可以有效遏制诈骗。电话本来就是用于社会交往的,真正的保密是做不到的。问题出在被各种假装成领导、家人、熟人、国家机关工作人员的骗子利用了。
你要保护信息就是本末倒置。所以应当尽快出台《垃圾短信防治法》和《骚扰电话防治法》,目前我国的《中华人民共和国居民身份证法》还把我们的身份证当做隐私来看,强调身份证保密。大家知道身份证的作用是干什么的?就是比对身份证本人的信息,从而防止身份假冒和身份滥用。而目前的身份证法没有强调比对义务。
事实上,很多运营商和银行办理业务只需提供一张身份证复印件,其实人的一生长相变化会很大的。很少有严格的比对,所以才会出现大量的买卖身份证,制作假身份证等业务。如果这些业务能够引入身份证比对、摄像头扫描等,就可以有效防止现在的身份假冒问题。
记者:防电信诈骗目前是否存在技术问题?在欧美国家有什么经验可以借鉴?欧美等西方国家在个人信息安全上如何保护?
刘德良:既有技术方面原因,比如身份证识别技术,我们的身份证技术比较落后,在识别上也需要提高。目前美国有《垃圾信息防治法》《骚扰电话防治法》,所以很少有电信诈骗。美国有立法保障,还有过硬的技术,在身份识别上技术比较先进。
欧洲的国家都比较小,电话和个人真正实现人机合一,不像我们国家很多时候人机分离,在防止骚扰电话治理上比较严格。
在个人信息保护上,欧洲人把所有个人信息当作隐私,他们强调保密,强调所谓安全。欧洲大部分国家区分敏感个人信息和一般个人信息,但总体是作为隐私来保护的。隐私泄露严惩不贷,要承担相应的行政责任和刑事责任。
我与欧盟参与保护个人信息立法的专家有过交流,比如在英国,司法相对比较严格,但仍有60%的违反个人信息保护法的行为没有得到追究。实际上,在欧洲发生的类似案件也有60%得不到追究,因为欧洲做法缺乏可操作性。
所以在个人信息保护上,美国人实施效果更加实用、科学,更符合个人信息的价值取向。而欧洲的立法效果比较差一些。
个人信息保护应当纳入财产权
记者:您10年前就介入了“个人信息财产权保护”,那么,从立法层面应如何保护个人信息?
刘德良:个人信息范围很广,比如说像我们姓名、肖像,甚至声音,互联网出现之后,家庭住址、电话号码,这些可以识别出我们个人的都是个人信息。
个人信息财产权更多的是适用于传统的受人格权保护的声音、肖像类的个人信息,它带来的商业价值,要用财产权来保护的。比如我们的肖像可以获利,这就是肖像财产权,但是我们传统民法将其作为人格权来保护。人死亡之后,人格权自然就不存在了,但是肖像商业价值还在,应当放在财产权里边保护。
还有我们现在买卖个人信息,比如买卖电话号码从传统民法来讲是侵犯了人格权,认为是侵犯人的隐私。无论是侵犯隐私还是人格权,买卖个人信息行为,都认为与财产无关,那么最后导致什么结果呢?这种观念和这种立法,最终导致受害人维权成本高。
人格权受到侵犯以后可能的救济方式是停止侵害,赔礼道歉,恢复名誉,但是很少有人去起诉,去维权。为什么呢?因为别说我们赢不了官司,就算赢了官司也自己赔钱。目前,因打骚扰电话和发垃圾短信,在全国立案且打赢官司的数量为个位数,所以垃圾短信漫天飞,骚扰电话每天有。基于以上逻辑,从立法和观念上要减少维权人的成本,打官司成功后要获得财产补偿,这样才有人愿意去做。所以,我们传统人格权理论听起来好像是高大上,但实际上不利于受害人维权,客观上还有纵容侵权发生的可能。
奇怪的是,我们在刑法上有打击买卖个人信息的内容,但在民法上没有相关约束,而刑法是最后的救济手段,所以未来的立法对买卖个人信息侵权行为应当认为是侵犯财产权而不是人格权,受害人可以要求侵权者赔偿损失。比如规定一次侵权最低不能少于1000元。如果受害人有实际损失的按照实际损失计算,没法证明实际损失的,法律可以规定一个实际数额幅度。
记者:电信诈骗泛滥,使得网络公共安全感不断降低,网络上出现了很多“段子”描述这种焦虑。对此,您有什么好的建议给政府部门和普通民众?
刘德良:对政府部门,要树立正确的个人信息保护观念,重点是区分两类不同性质的个人信息,防止滥用第一部分个人信息,即用于社会经济交往的个人信息,法律重点要防止滥用,树立正确的隐私观念,有立法缺失的要尽快弥补。
对于运营商,要解决电信运营商消极管理、不承担责任的问题,立法上要明确责权利,比如垃圾短信和骚扰电话诈骗。如果找不到诈骗者,电信运营商要承担连带责任。如果是假冒电信运营商的,至少从民事上向受害人承担连带责任,除非他们能够证明其已经履行了监管义务。
同时,现在很多老百姓对诈骗术的识别能力差,所以要普及对民众教育,把如何预防诈骗的常识在各种媒体上广泛宣传。