东亚个人信息保护的基本问题

女士们先生们，大家下午好，我是北京邮电大学互联网治理与法律研究中心主任李欲晓。很高兴和韩国的朋友以及中国的网络界朋友一道探讨个人信息保护的问题。

互联网作为20世纪最伟大的技术变革，几乎颠覆了人类社会的方方面面。网络引发了社会结构、人类行为以及人与人之间关系的巨变。在这样的背景下，个人信息的重要性凸显，已成为一国的战略资源。相应地，个人信息权利在网络时代已成为与人类生存权、发展权比肩的基本权利。然而，亚洲特别是东亚地区的个人信息保护立法并未将其上升至应有的高度，导致侵害个人信息的网络滥用行为得不到应有惩处，网民在网络时代的基本权利得不到应有保障，因此迫切需要各国、地区强化合作，积极推动国际规则和地区性个人信息安全机制的建立，以应对个人信息在大数据时代面临的危机。

一、东亚个人信息保护的立法现状

（一）日本

日本的个人信息保护立法最早是从民间团体制定的自律性规则开始的，如 1987年日本信息处理系统中心制定了《关于金融机构等保护个人数据的指针》，1988年日本信息处理开发协会制定了《关于民间部门个人信息保护指导方针》等。1996年日本高度信息通信网络社会推进战略本部正式提出了网络隐私保护以后，在1998年11月制定的“向高度信息化通信社会推进的基本方针”中，又具体规定了保护个人隐私的条款。同年12月政府制定了《有关行政机关电子计算机自动化处理个人信息保护法》。随着2005年4 月《个人信息保护法》的全面实施，日本构筑了一个相对完整的以个人信息保护法为基本法，各部门单行法为补充的法律体系：除作为基本法的《个人信息保护法》外，对国家机关、地方公共团体、行政机关、独立行政法人等还分别制定了不同的法律和法规。

整体而言，日本个人信息保护立法参照欧盟的模式，确立个人信息保护的调整范围适用于公共部门和非公共部门的基本原则，同时借鉴美国的做法，就特别需要保护的领域制定个别法，并鼓励非公共部门进行自律。

（二）韩国

为克服“二元化立法体系”（针对公共部门和民间部门分别制定个人信息保护的相关法律）的弊端，顺应个人信息保护立法的世界发展趋势，韩国于2011年３月29日公布了《个人信息保护法》。该法的最大特色是构建了全方位的个人信息保护体系，通过设立专门的个人信息保护委员会和个人信息纷争调停委员会、引入了个人信息影响评价制度和个人信息泄露通知及申告制，并确立了个人信息团体诉讼制度，构筑了个人信息事前预防、事中保护和事后救济的比较完整保护体系，这些值得中国制定个人信息保护法时借鉴。

（三）中国

1、中国大陆

中国《刑法修正案（七）》、《居民身份证法》、2012年全国人大常委会通过的《关于加强网络信息保护的决定》和2013年修订的《消费者权益保护法》，构筑了包括民事责任、行政责任和刑事责任三位一体的个人信息保护法律框架。此外，中国工业和信息化部等部门出台了《电信和互联网用户个人信息保护规定》、最高法院和最高检察院针对网络谣言出台了司法解释，3月中旬颁布实施了《征信业管理条例》，上述立法确定了受保护个人信息的范围，收集、利用个人信息的条件和原则，收集和存储人的安全保障义务，监管机构的职责，买卖、非法收集和利用个人信息以及泄露个人信息的法律责任等。中国大陆并未像韩国那样设置专门的个人信息保护机构，没有从立法上明确个人信息安全测评制度，在诉讼模式上未确立集体诉讼制度，因此，距离完善的事前、事中和事后的个人信息保护体系还存在一定的差距。

2、中国台湾

中国台湾1995年颁布了“电脑处理个人资料保护法” ，从收集、处理和利用三个层面规范个人信息的使用行为，以实现保护权利人人格权的目的。2010年对该“法”进行了修订，除名称修改为“个人资料保护法”外，主要是扩大了适用范围（保护对象由电脑处理的个人信息扩展到所有的个人信息，增加了对护照号码、医疗、基因等个人信息的保护），同时对人肉搜索、个人行为记录的收集和利用（如谷歌街景、行车记录仪）等热点问题进行了规制。此外，“个人资料保护法”扩大了损害赔偿的数额（最高可达5000万新台币），并增加了集体诉讼制度。

二、东亚地区个人信息在大数据时代面临的危机

（一）东亚地区个人信息的典型安全事件

2012年7月，韩国知名门户网站“NATE”和社交网站“赛我”遭黑客攻击，约3500万名用户的个人信息外泄，此事件将网络实名制推上了风口浪尖，并成为韩国废除网络实名制的一个重要理由。2011年4月,索尼公司的PlayStation游戏网络遭黑客入侵，受影响用户多达7700万人。依照日本司法实践的惯例，如果遭泄露信息涉及个人隐私，赔偿额可能是每位受害人3万日元。按此标准，索尼面临的赔偿额可达245亿美元。2013年年初，中国台湾Nokia公司委托Agenda公司经营的销售网站因遭受土耳其黑客入侵而被公开17万笔客户个人信息。根据中国台湾地区“个人资料保护法”第4条规定，受委托收集、处理或利用个人信息的团体或个人，视同委托人，所以中国台湾Nokia公司仍须直接对客户承担个人信息泄露的法律责任，但可以向Agenda公司追偿。近年来中国的网络安全事件频发也暴露了中国个人信息保护严重不足的状态，比如利用个人信息泄露入室抢劫、个人信息被冒用套现、连锁旅店个人开房记录被放在网上、银行个人信息泄露等等，这些在引起社会关注和恐慌的同时，也引起行政和司法当局的关注。

（二）危机产生的原因

个人信息权利虽然是传统物理空间中个人权利在网络空间中的扩展和延伸，但这种延展已经使个人信息权利发生了近乎质的变化。目前，网络技术发展和应用过程中的安全问题以及各类网络滥用行为，如黑客攻击、买卖个人信息、网络犯罪等，已成为个人信息保护的障碍。这些问题是由多方面的原因造成的，也表明了人类在迈进网络社会这一进程中的多重不适应。其中重要的原因在于理论界对个人信息权利属性的研究不到位，对个人信息权的法律属性界定不清楚，无法有效地支撑个人信息保护立法和执法，导致个人信息得不到应有的保护。

网络技术并不因个人信息安全问题而停止变革的速度，移动互联网、社交网络、云计算和大数据等网络新技术、新服务，使网络由单纯的信息传播空间转变为人类的生活和行为空间。在新的空间中，提升个人信息权利的重要性并扩展个人信息权利的内容成为社会公众的必然要求，但是显然提升和扩展的前提是界定个人信息权的法律属性，在此基础上规范信息收集和利用行为，以强化对个人信息的保护。

三、东亚个人信息保护建议

（一）强化国家地区间的合作与交流机制

东亚有世界上最大的网民群体，东亚地区的网络发展态势和应用空间非常广泛。虽然东亚各国和地区都出台了个人信息保护的法律，但不可否认，东亚地区的网络技术、法制建设、公众权益维护以及网络企业服务的保护与互联网发达国家有一定的差距，面对共同的网络发展态势，亚洲特别是东亚地区面临着同样的网络信息安全问题，因此有必要强化合作，共同建立网络空间的规则体系，以保护本地区的网络空间、网民，从制度、法律、政策等多方面系统化的保障网络的整体、持续、长远的发展。

保障亚洲地区的网络安全，不是中国一个国家的事情。目前，欧盟、APEC等地区都有个人信息保护的规定，而东亚地区尚未有针对个人信息保护以及网络安全的统一行动。本地区历史文化背景近同，且处于相互需要和互补的互联网发展阶段，但针对个人信息的个人安全保护能力问题，并没有人进行深入研究，各国在立法时并没有充分征求公众以及他国的意见，作为互联网比较发达的中国和韩国有必要对这一问题进行合作研究。

（二）重视法律和技术二者的交叉研究

网络信息安全问题并未阻止互联网技术创新和应用普及的脚步，在缺乏法律规范、行政监管、公众意识和企业自律的环境中，更加剧了个人信息泄露的风险，特别是黑客攻击引发的个人信息泄露以及个人信息在可信网络空间如社交网络中的泄露，应如何定性，怎么避免以及如何设置规则？传统规则是否能够延伸至网络空间，如果可以的话，如何延伸？这实际上是网络中公共空间和私人空间的权利如何清晰界定的问题，而现行理论和实践恰恰混淆了二者的关系。之所以混淆，源于对法律和技术两个领域的关系认识不清，二者没有进行交叉研究，这需要法律界和技术界乃至社会科学领域共同开展合作研究。此外，应厘清个人信息民事纠纷和刑事犯罪之间的区别，明确哪些与个人信息的保护相关，哪些是因为网络特性、新业务对传统业务的取代而引发的问题这些都十分重要。

（三）积极推动网络空间国际规则的建立

近期的斯诺登事件表明，缺乏网络空间国际规则和基本原则会对公众权利产生严重风险，一个国家的政策会对其他主权国家公民的权利产生严重威胁。为防止类似外国政府部门利用国内法律要求本国信息服务业者未经他国公民允许采集其个人信息甚至滥用的情况再次发生，中国、韩国应积极推动网络国际规则的制定，以保护本国网民的权益。鉴于此，中韩两国应深入探讨如何建立网络空间的规则体系，在梳理与网络相关的各项政策、法律，以及各项网络创新应用、网民行为规范和社会公众意识的基础上，找到相关方利益最大化的路径，奠定互联网长期发展的基础。在这个过程中，应注重互联网的持续性发展，切忌只顾眼前利益的短视行为，避免出现为换取一时利益而放弃长远利益的做法。

（四）建立地区性的个人信息安全机制

东亚地区应借鉴APEC的《跨境隐私保护规则》（CBPR），建立东亚地区的个人信息安全保障机制。除制定地区性的个人信息安全公约外，还应设置专门的个人信息监管机构，这类机构在监督个人信息保护法律实施情况的同时，还应履行权利救济的职能以及代表东亚就个人信息跨境流通中的安全和个人权利保护问题与全球其他地区进行协商与合作。此外，应引入个人信息安全性的第三方评测机制，设置独立的评测机构对在东亚地区开展网络服务的企业的个人信息保护状况特别是存在的安全风险进行评价，并将结果报告个人信息监管机构。再有，各国、地区应合作开发保障个人信息安全的技术手段，以强化权利主体的自我保护能力。最后，东亚应建立各国、地区间的信息共享机制，及时通报各种信息安全事件，最大限度地将滥用个人信息引发的损害降至最低。在建立地区个人信息安全保障机制的同时，各国、地区应积极参照该安全机制建立国内或地区内部的个人信息安全保障机制。

网络时代，个人信息安全问题并非一国特有的问题，而是各国面临的共同问题。在构筑网络空间国际规则的过程中，区域性的规则和个人信息安全机制可以发挥重要的示范作用，因此，中韩应加强信息共享和沟通合作，共同构建东亚地区安全、可信的网络空间。

北京邮电大学互联网治理与法律研究中心愿意与韩国同行一道在这个领域开展深入的交流与合作。