東亞個人信息保護的基本問題

女士們先生們，大家下午好，我是北京郵電大學互聯網治理與法律研究中心主任李欲曉。很高興和韓國的朋友以及中國的網絡界朋友一道探討個人信息保護的問題。

互聯網作為20世紀最偉大的技術變革，幾乎顛覆了人類社會的方方面面。網絡引發了社會結構、人類行為以及人與人之間關系的巨變。在這樣的背景下，個人信息的重要性凸顯，已成為一國的戰略資源。相應地，個人信息權利在網絡時代已成為與人類生存權、發展權比肩的基本權利。然而，亞洲特別是東亞地區的個人信息保護立法並未將其上升至應有的高度，導致侵害個人信息的網絡濫用行為得不到應有懲處，網民在網絡時代的基本權利得不到應有保障，因此迫切需要各國、地區強化合作，積極推動國際規則和地區性個人信息安全機制的建立，以應對個人信息在大數據時代面臨的危機。

一、東亞個人信息保護的立法現狀

（一）日本

日本的個人信息保護立法最早是從民間團體制定的自律性規則開始的，如 1987年日本信息處理系統中心制定了《關於金融機構等保護個人數據的指針》，1988年日本信息處理開發協會制定了《關於民間部門個人信息保護指導方針》等。1996年日本高度信息通信網絡社會推進戰略本部正式提出了網絡隱私保護以后，在1998年11月制定的“向高度信息化通信社會推進的基本方針”中，又具體規定了保護個人隱私的條款。同年12月政府制定了《有關行政機關電子計算機自動化處理個人信息保護法》。隨著2005年4 月《個人信息保護法》的全面實施，日本構筑了一個相對完整的以個人信息保護法為基本法，各部門單行法為補充的法律體系：除作為基本法的《個人信息保護法》外，對國家機關、地方公共團體、行政機關、獨立行政法人等還分別制定了不同的法律和法規。

整體而言，日本個人信息保護立法參照歐盟的模式，確立個人信息保護的調整范圍適用於公共部門和非公共部門的基本原則，同時借鑒美國的做法，就特別需要保護的領域制定個別法，並鼓勵非公共部門進行自律。

（二）韓國

為克服“二元化立法體系”（針對公共部門和民間部門分別制定個人信息保護的相關法律）的弊端，順應個人信息保護立法的世界發展趨勢，韓國於2011年３月29日公布了《個人信息保護法》。該法的最大特色是構建了全方位的個人信息保護體系，通過設立專門的個人信息保護委員會和個人信息紛爭調停委員會、引入了個人信息影響評價制度和個人信息泄露通知及申告制，並確立了個人信息團體訴訟制度，構筑了個人信息事前預防、事中保護和事后救濟的比較完整保護體系，這些值得中國制定個人信息保護法時借鑒。

（三）中國

1、中國大陸

中國《刑法修正案（七）》、《居民身份証法》、2012年全國人大常委會通過的《關於加強網絡信息保護的決定》和2013年修訂的《消費者權益保護法》，構筑了包括民事責任、行政責任和刑事責任三位一體的個人信息保護法律框架。此外，中國工業和信息化部等部門出台了《電信和互聯網用戶個人信息保護規定》、最高法院和最高檢察院針對網絡謠言出台了司法解釋，3月中旬頒布實施了《征信業管理條例》，上述立法確定了受保護個人信息的范圍，收集、利用個人信息的條件和原則，收集和存儲人的安全保障義務，監管機構的職責，買賣、非法收集和利用個人信息以及泄露個人信息的法律責任等。中國大陸並未像韓國那樣設置專門的個人信息保護機構，沒有從立法上明確個人信息安全測評制度，在訴訟模式上未確立集體訴訟制度，因此，距離完善的事前、事中和事后的個人信息保護體系還存在一定的差距。

2、中國台灣

中國台灣1995年頒布了“電腦處理個人資料保護法” ，從收集、處理和利用三個層面規范個人信息的使用行為，以實現保護權利人人格權的目的。2010年對該“法”進行了修訂，除名稱修改為“個人資料保護法”外，主要是擴大了適用范圍（保護對象由電腦處理的個人信息擴展到所有的個人信息，增加了對護照號碼、醫療、基因等個人信息的保護），同時對人肉搜索、個人行為記錄的收集和利用（如谷歌街景、行車記錄儀）等熱點問題進行了規制。此外，“個人資料保護法”擴大了損害賠償的數額（最高可達5000萬新台幣），並增加了集體訴訟制度。

二、東亞地區個人信息在大數據時代面臨的危機

（一）東亞地區個人信息的典型安全事件

2012年7月，韓國知名門戶網站“NATE”和社交網站“賽我”遭黑客攻擊，約3500萬名用戶的個人信息外泄，此事件將網絡實名制推上了風口浪尖，並成為韓國廢除網絡實名制的一個重要理由。2011年4月,索尼公司的PlayStation游戲網絡遭黑客入侵，受影響用戶多達7700萬人。依照日本司法實踐的慣例，如果遭泄露信息涉及個人隱私，賠償額可能是每位受害人3萬日元。按此標准，索尼面臨的賠償額可達245億美元。2013年年初，中國台灣Nokia公司委托Agenda公司經營的銷售網站因遭受土耳其黑客入侵而被公開17萬筆客戶個人信息。根據中國台灣地區“個人資料保護法”第4條規定，受委托收集、處理或利用個人信息的團體或個人，視同委托人，所以中國台灣Nokia公司仍須直接對客戶承擔個人信息泄露的法律責任，但可以向Agenda公司追償。近年來中國的網絡安全事件頻發也暴露了中國個人信息保護嚴重不足的狀態，比如利用個人信息泄露入室搶劫、個人信息被冒用套現、連鎖旅店個人開房記錄被放在網上、銀行個人信息泄露等等，這些在引起社會關注和恐慌的同時，也引起行政和司法當局的關注。

（二）危機產生的原因

個人信息權利雖然是傳統物理空間中個人權利在網絡空間中的擴展和延伸，但這種延展已經使個人信息權利發生了近乎質的變化。目前，網絡技術發展和應用過程中的安全問題以及各類網絡濫用行為，如黑客攻擊、買賣個人信息、網絡犯罪等，已成為個人信息保護的障礙。這些問題是由多方面的原因造成的，也表明了人類在邁進網絡社會這一進程中的多重不適應。其中重要的原因在於理論界對個人信息權利屬性的研究不到位，對個人信息權的法律屬性界定不清楚，無法有效地支撐個人信息保護立法和執法，導致個人信息得不到應有的保護。

網絡技術並不因個人信息安全問題而停止變革的速度，移動互聯網、社交網絡、雲計算和大數據等網絡新技術、新服務，使網絡由單純的信息傳播空間轉變為人類的生活和行為空間。在新的空間中，提升個人信息權利的重要性並擴展個人信息權利的內容成為社會公眾的必然要求，但是顯然提升和擴展的前提是界定個人信息權的法律屬性，在此基礎上規范信息收集和利用行為，以強化對個人信息的保護。

三、東亞個人信息保護建議

（一）強化國家地區間的合作與交流機制

東亞有世界上最大的網民群體，東亞地區的網絡發展態勢和應用空間非常廣泛。雖然東亞各國和地區都出台了個人信息保護的法律，但不可否認，東亞地區的網絡技術、法制建設、公眾權益維護以及網絡企業服務的保護與互聯網發達國家有一定的差距，面對共同的網絡發展態勢，亞洲特別是東亞地區面臨著同樣的網絡信息安全問題，因此有必要強化合作，共同建立網絡空間的規則體系，以保護本地區的網絡空間、網民，從制度、法律、政策等多方面系統化的保障網絡的整體、持續、長遠的發展。

保障亞洲地區的網絡安全，不是中國一個國家的事情。目前，歐盟、APEC等地區都有個人信息保護的規定，而東亞地區尚未有針對個人信息保護以及網絡安全的統一行動。本地區歷史文化背景近同，且處於相互需要和互補的互聯網發展階段，但針對個人信息的個人安全保護能力問題，並沒有人進行深入研究，各國在立法時並沒有充分征求公眾以及他國的意見，作為互聯網比較發達的中國和韓國有必要對這一問題進行合作研究。

（二）重視法律和技術二者的交叉研究

網絡信息安全問題並未阻止互聯網技術創新和應用普及的腳步，在缺乏法律規范、行政監管、公眾意識和企業自律的環境中，更加劇了個人信息泄露的風險，特別是黑客攻擊引發的個人信息泄露以及個人信息在可信網絡空間如社交網絡中的泄露，應如何定性，怎麼避免以及如何設置規則？傳統規則是否能夠延伸至網絡空間，如果可以的話，如何延伸？這實際上是網絡中公共空間和私人空間的權利如何清晰界定的問題，而現行理論和實踐恰恰混淆了二者的關系。之所以混淆，源於對法律和技術兩個領域的關系認識不清，二者沒有進行交叉研究，這需要法律界和技術界乃至社會科學領域共同開展合作研究。此外，應厘清個人信息民事糾紛和刑事犯罪之間的區別，明確哪些與個人信息的保護相關，哪些是因為網絡特性、新業務對傳統業務的取代而引發的問題這些都十分重要。

（三）積極推動網絡空間國際規則的建立

近期的斯諾登事件表明，缺乏網絡空間國際規則和基本原則會對公眾權利產生嚴重風險，一個國家的政策會對其他主權國家公民的權利產生嚴重威脅。為防止類似外國政府部門利用國內法律要求本國信息服務業者未經他國公民允許採集其個人信息甚至濫用的情況再次發生，中國、韓國應積極推動網絡國際規則的制定，以保護本國網民的權益。鑒於此，中韓兩國應深入探討如何建立網絡空間的規則體系，在梳理與網絡相關的各項政策、法律，以及各項網絡創新應用、網民行為規范和社會公眾意識的基礎上，找到相關方利益最大化的路徑，奠定互聯網長期發展的基礎。在這個過程中，應注重互聯網的持續性發展，切忌隻顧眼前利益的短視行為，避免出現為換取一時利益而放棄長遠利益的做法。

（四）建立地區性的個人信息安全機制

東亞地區應借鑒APEC的《跨境隱私保護規則》（CBPR），建立東亞地區的個人信息安全保障機制。除制定地區性的個人信息安全公約外，還應設置專門的個人信息監管機構，這類機構在監督個人信息保護法律實施情況的同時，還應履行權利救濟的職能以及代表東亞就個人信息跨境流通中的安全和個人權利保護問題與全球其他地區進行協商與合作。此外，應引入個人信息安全性的第三方評測機制，設置獨立的評測機構對在東亞地區開展網絡服務的企業的個人信息保護狀況特別是存在的安全風險進行評價，並將結果報告個人信息監管機構。再有，各國、地區應合作開發保障個人信息安全的技術手段，以強化權利主體的自我保護能力。最后，東亞應建立各國、地區間的信息共享機制，及時通報各種信息安全事件，最大限度地將濫用個人信息引發的損害降至最低。在建立地區個人信息安全保障機制的同時，各國、地區應積極參照該安全機制建立國內或地區內部的個人信息安全保障機制。

網絡時代，個人信息安全問題並非一國特有的問題，而是各國面臨的共同問題。在構筑網絡空間國際規則的過程中，區域性的規則和個人信息安全機制可以發揮重要的示范作用，因此，中韓應加強信息共享和溝通合作，共同構建東亞地區安全、可信的網絡空間。

北京郵電大學互聯網治理與法律研究中心願意與韓國同行一道在這個領域開展深入的交流與合作。