今日中国,下面这一幕几乎每天都在每一个普通人身上上演。

　　李女士刚购置了一套商品房，烦心事却接踵而至： 陌生电话一个接一个，有装修房屋的，有推销家电的，也有推销保险的。有时白天打，有时半夜也打来，不堪其扰。丁先生的烦恼也不少：车险快到期，各家保险公司的电话“如期而至”，“今天你骂了这个，明天那个电话又来了”……类似的情况，几乎每天都在上演。

　　很显然，造成一切烦恼的根源是：我们的个人信息被泄露了。并非危言耸听的说法是——无论你是谁，你的手机号码一定存在某个数据库里；无论你是谁，你的信息都可能贴上价格标签被无数次转卖；无论你是谁，你都可能在信息公路上“裸奔”多年而不知。

　　谁动了我的信息？多年来，公众无奈而愤怒地发问，却总显得那么苍白无力。这种情况，随着法律的健全而将逐渐改变。

　　2008年8月25日，记者获悉，从2003年开始起草、2005年初完成《个人信息保护法》草案已呈交至国务院，进入审批程序，有望在未来几个月内就会正式颁布。与此同时，《刑法修正案(七)草案》规定“窃取公民信息要负三年以下刑事责任”，希望通过刑法有效遏止目前个人信息泄露泛滥的局面。 　

　　什么样才算个人信息？由谁来保护个人信息？公民信息一旦被泄露，该找哪个部门投诉？向谁追究责任？个人信息的立法会改变IT业哪些商业模式？就这些疑问，2008年8月28日，本报记者专访了《个人信息保护法》深刻了解的北京大学法学院杨延超博士和北京邮电大学网络法律研究中心研究员刘德良博士。

　　独家专访

　　法律如何保护我们的“个人信息”

　　采访人：本报记者朱文利

　　对话人：北京大学法学院杨延超博士后

　　北京邮电大学网络法律研究中心研究员刘德良博士

　　记者：《个人信息保护法》草案对“个人信息”包含了哪些内容？

　　杨延超：一个半月前，有关部门将《个人信息保护法》草案发给我征求意见，从本质上我认同，所以没有提出自己的意见。所谓个人信息，是指现实生活中“能够识别特定个人的一切信息”，其范围很广，包括姓名、年龄、体重、身高、档案、医疗记录、收入及消费和购买习惯、婚姻状况、教育背景、家庭住址与电话号码等。

　　记者：《个人信息保护法》草案是如何界定“个人信息”保护范围？对银行、典型等机构企业泄露个人信息，以及手机偷拍、某些网站或个人利用个人信息获利行为，会受到怎样的制裁？

　　杨延超：草案的一个重要内容就是对个人信息的公开和保护进行界定。对一些政府部门、机构和企业，比如银行、电信以及医院等具体行业，将制定相应的规定，明确哪些个人信息禁止公开，哪些应该受保护。包括《刑法修正案(七)草案》也明确了这一点，对国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，将公民个人信息出售或者提供给他人，或者以窃取、收买等方式非法获取上述信息，情节严重的，追究刑事责任。

　　对于某些企业比如中介网站出卖个人信息，关键要看是否事先得到用户的同意。如果未经同意就出卖用户信息，构成对个人信息的侵犯。对于手机偷拍等侵犯个人隐私行为，将受到法律的限制。无论是机构、企业还是个人，对侵犯个人信息造成严重后果的，将对应刑法相关内容追究刑事责任。

　　记者：对于个人档案、银行信用记录等我们都没看见过的个人信息，这部法律如何保护呢？

　　刘德良：我比杨博士更早一些接触《个人信息保护法》草案，我曾在2006年向全国人大和国务院信息化办公室发去了建议，希望对个人信息进行分类处理。目前这种想法在草案中已经实现，因此我把“个人信息保护法”条文内容归纳成两部分，一部分是针对政府部门收集利用个人信息的规定，另一部分是针对非政府部门收集利用个人信息的规定，在专家建议稿里对个人信息交易没有涉及。比如说，只要我们提出申请，工作单位、银行就有义务将个人档案、信用记录等信息向我们公开，我们也有权利要求单位或者银行更改错误的个人信息。

　　记者：现在有些部门在使用大量个人信息，比如公众场所安装摄像头，是不是说以后在使用这些信息时都要先征得个人同意？

　　杨延超：原则上是这样的，但一些“特权”机构如国家安全机构、科研机构以及新闻机构可以不征求个人同意。主要是考虑到他们各自的社会责任。比如公众场所摄像头，如果是国家安全机关或者执法机关为了公共安全或者社会秩序而安装的，并且告知了当事人，那么就是完全合法的。而一些机构诸如学校为了防止学生谈恋爱，或者防止考试作弊安装摄像头，这在法律上很难得到支持。

　　记者：我们如何确定个人信息已经泄露或受到侵犯？

　　杨延超：最基本的，当你对一些不请自来的电话、信函感到很烦的时候，就是你的利益受到了侵犯。曾经有一个网站一个上午就打给我十次电话，我也不知道他们从哪里得到我的电话，要我做一个宣传，让我很烦，没法做事。所以说，我们大家都可能是个人信息泄露的受害者。

　　这种现象非常普遍，中央电视台近期的报道中就提及90%以上的人都有个人信息被侵犯的情况。

　　记者：如果我的个人信息被侵犯了，我该找谁申诉和追究责任？

　　杨延超：根据草案规定，为了保护个人信息，政府会成立专门的执法机构：个人信息保护办公室，并设有信息专员。个人信息被侵犯后，可向个人信息保护办公室提出申诉。

　　记者：目前一些IT企业，以及某些IT产品比如某些软件，长期被质疑收集个人信息盈利，《个人信息保护法》出台后对他们有何冲击？

　　刘得良：《个人信息保护法》对IT等产业商业模式产生非常大的影响。那些利用客户个人信息进行买卖的违法行为将受到法律的制裁，那些企业的行为将不敢像现在一样明显、猖狂。

　　但我们得承认的是，有些软件利用收集的个人信息牟利会变得很隐蔽。另外，一些企业根据合同，在用户同意的情况下收集利用用户个人信息是可以的，比如微软了解用户的软件版本信息和IP地址，这是为了保护正版软件的实施，这是无可厚非的。

　　杨延超：我补充一点，法律条文都是原则性的规定，不会写的太具体，所以涉及IT行业的具体行为，需要根据法律条文具体应用。

　　深度链接

　　你值1分还是1元？

　　王是一个40岁左右的神秘男子，没有人能具体描绘出他的身份，包括每日与他有业务往来的几个销售个人信息的网站站长。这些站长对王的全部记忆只有一个模糊的轮廓，几个非实名的手机和QQ号，他们称他为“合伙人”。

　　仅仅是王一人手中，就拥有超过500G的全国各地各类数据，其中个人信息资料门类之齐全令人惊叹，不仅包括各地移动、联通VIP用户这类常规数据，还有类似“XX银行XX分行金卡会员资料”“XX市进修清华MBA人员1075人”“XX国美电器会员名录”“ 亚健康人群名单”这样的极为细致的精确名单。

　　从这些名单看，这些个人信息的数据可能来自网站、简历、市场调查、网购、医院、银行、电信运营商、学校、商家、物业公司、高尔夫俱乐部少数政府部门等你每天都可能与之打交道的机构。

　　拥有这样能力的人并非少数——百度一下“手机名录”，百度在0.9秒给出的答案为329,000篇，以前10页100条搜索结果进行非标准样本统计，其中80%以上是以独立的域名网站或公司主页名称进行直接发布的，其余则是埋藏在论坛、B2B网站、公共黄页或个人博客中。

　　一家独立域名网站知情人士介绍说，在这条产业链中，每个人都有自己的价格，所不同的是你价值1分还是1元。一般来说，包含姓名地址等非常全面的高端用户信息的是1元或更高，低端用户信息的价格则最低到每条1分。比如，目前部分行业如银行业、商旅预订等行业最初级的做法是以每条1元-2元的价格买来电信运营商的高端客户资料，甚至出现银行间转卖个人信息资料，然后雇用电话销售公司做电话初步营销，再由银行业务人员做售前销售。

　　如此一来，我们在个人信息可能被贴上价格标签高声叫卖的同时，还得忍受无穷的烦恼：孩子一降生，幼儿服装、百日摄影、月嫂护理等电话，一个接一个；车险快到期，各家保险公司的电话“如期而至”；在专营信息资源的网站上，个人信息“明码标价”……

　　更可怕的骗局是，你某一天或你父母朋友会突然接到一个陌生电话，称是你多年“朋友”或你的老师朋友，你的“朋友”或你会突然出现某种意外，要求你或你父母把钱汇到指定账号上。

　　个人信息泄露一表：

　　1、8月中旬，在某网站贴吧的“落榜生信息集中营”，一名网友打出“抢购全国各省高考落榜生名单”的抢眼招牌，并罗列了各省落榜生的数据：“湖北20万人，江西25万人，江苏16万人……”末尾注明“抢购从速，信息准，价格低”，还留下了QQ号码。

　　2、近日，一些记录着预产期在2008年3月至8月的深圳孕产妇资料的非法光碟流传市场上，这些光碟记录着4万多名深圳孕产妇女的个人信息，而一张光盘的售价竟然达到了1.2万元。

　　延伸阅读：

　　个人信息泄露举证有难点

　　《个人信息保护法》实施起来有何难点？对目前个人信息泄露泛滥情况能起到有效保护吗？本报记者专访了具有十几年从业经验的东方星联律师所邹强律师，邹强从法律实践者的角度认为，一个法律的颁布到实施还有一段路程要走，此外，有多少人会真正用法律去保护自己个人信息也不好说。

　　邹强表示，具体操作中，个人信息泄露和再利用，往往是采用集体诉讼，推举代表人出面对所有类似的人群都有效，但举证难，判断哪个途径泄露对个人用户来说还有困难，因此很多集体诉讼难以成行。即便官司打赢，对应的经济制裁最高不超过10万元，这样的处罚对商家来说不会涉及根本，对利益的追求不会因此终止。

　　本报记者也随机调查了20位受访者。当被问及是否知道个人信息如何被泄露时，有18位受访者表示不清楚。另外有15位的受访者表示，除非对自己造成严重侵犯，不然未想过通过司法途径解决这一问题，主要原因是嫌麻烦，另外“也找不到证据”。

　　人肉搜索是否追究刑责受争议

　　8月25日，部分全国人大常委会组成人员在分组审议刑法修正案(七)草案时，认为保护公民个人信息，需要追究网络“人肉搜索”者的刑事责任。人肉搜索是否该“入罪”？几位专家对此观点各不相同。

　　几位专家认为，“人肉搜索”泄露公民姓名、家庭住址、个人电话等基本信息，同样是严重侵犯公民基本权益的行为，将“人肉搜索”行为在刑法中予以规范未尝不可，但是，在将“人肉搜索”入罪前，有一些前提不得不考虑。

　　刘得良认为，唯有“人肉搜索”侵犯他人隐私情节非常严重时，才可能要由刑法来制裁，但是，这个“情节严重”的标准是什么呢？

　　杨延超则认为，如果将“人肉搜索”“入罪”，对舆论监督和言论自由有一定限制。网民在网上将涉嫌违法、违纪或道德上存在严重问题的人和事以及相关信息公布在网上，进行评判，如果行使得当，有利于社会进步，也有利于公共利益的实现。

　　另外，“人肉搜索”之所以难以查处，就在于其主要在网上发生，责任主体分散，难以发现责任人，取证成本高。如果由个人进行调查取证，大概很难进行有效打击。但是，目前诽谤罪、侮辱罪都是自诉案件，是“告诉的才处理，但是严重危害社会秩序和国家利益的除外”，如果对“人肉搜索”侵犯隐私也规定为自诉案件，在取证难的情况下，“人肉搜索”入罪能起到多大的作用值得商榷。

　　电脑报观点：立法是解决个人信息泄露的基础

　　立法，不是解决个人信息泄露愈演愈烈的唯一办法，但绝对是解决个人信息泄露的基础。

　　当个人信息泄露的情况越来越严重，大多数人都已亲尝苦果，它成了一个十分迫切的民生问题，立法也正当其时，将使公众长久以来的正当诉求，获得更为有力的法律支持。不过，当在《个人信息保护法》还未正式出台前，人们还是应该加强保护个人资料的意识。他说，大家在填写各类个人资料表时，应同时附加一个“保密条款”，约定该信息的使用范围以及违约责任。这样，生活中将可以少一些骚扰。

　　国外在这方面显然是成功的经验。在英国，对于日常生活中的个人信息，由庞大的皇家邮政系统承担。如果出现信息泄露，相关部门要承担巨额的赔偿责任。依据的法律有《数据保护法》、《调查权法》、《通信管理条例》和《通信数据保护指导原则》等。即便煤气欠费，也不可能出现把欠费单贴在门上的现象。

　　在美国，1974年，美国颁布了《隐私权法》，之后，《信息保护和安全法》、《防止身份盗用法》、《网上隐私保护法》、《消费者隐私保护法》等法律相继推出。

　　法国刑法则规定，如果利用行业之便掌握了他人信息，在未经本人同意的情况下，将隐私信息泄露出去，可判处一年监禁和15000欧元罚款。

　　《个人信息法》出台的最大意义在于，第一次从法律角度确认了公民个人信息拥有保密的权利，而不是成为一种被非法用来牟利的工具。也正是从这个角度来看，《个人信息法》出台，将意味着针对个人信息泄露的公民维权战争已经打响，将艰难却很坚决地持续下去，直到每一个中国公民的私人信息都得到真正的尊重和保护。

分类： IT法律 开源风暴 求职招聘