人类社会已经进入信息社会。在信息技术和互联网的支撑下，个人信息实现数字化，信息的搜集、传输、传播成本大幅下降，海量数据已成常态。物联网、云计算的蓬勃发展，使各种技术以信息技术平台为基础迅速整合，大幅提高个人身份的可识别性，给个人数据和隐私带来了新的风险。因此，个人信息和个人隐私的立法和公共保护已经成为极为必要的公共政策。

进入21世纪以来，中国的互联网和通信技术发展非常迅猛。中国的移动电话用户和互联网用户数量上分别于2001年和2008年超过美国，成为全球移动通信和互联网第一大国。与此同时，中国的个人信息泄露问题也愈发严重。以个人数据为“平台”的活动几乎做到了从摇篮到坟墓，婴儿出生，还未出医院，父母即已收到奶粉等婴儿用品的短信；亲人刚去世，家属就收到殡仪服务的短信。信息泄露导致人们生活和工作的各个方面都难以避免受到商业信息的侵扰，推销保险、日用品、培训、留学、移民等各种服务或垃圾信息，无孔不入。

其中，还有不少发展到个人信息犯罪的程度。仅在2012年4月公安部统一部署的20个省区市集中行动中，剑锋直指全国侵害公民个人信息犯罪网络，就抓获犯罪嫌疑人1700余名，挖出非法出售公民个人信息的源头38个，摧毁侵害公民个人信息的数据平台和“资源大户”161个，打掉从事非法讨债、非法调查等的“非法调查公司”611个。

近年来，面对这些问题，各界关于个人信息保护立法的呼声一直不断。2012年12月28日，全国人大常委会讨论通过《关于加强网络信息保护的决定》（下称《决定》），是对个人信息保护社会需求的正面回应，呼应了中国互联网发展状况的内在要求，初步确定了个人信息保护的框架性原则，可预期将进一步推动个人信息保护具体立法的进程。

个人信息的悖论

个人信息的核心特征在于对个人身份的可识别性。欧盟相关立法中对个人数据的定义是：“指任何关于一个已识别或可识别的个人（数据主体）的私人或者具体状况的信息”，其中身份可识别的人指的是“身份可以直接或者间接特别是通过身份证号码或者一个或多个与其身体、生理、精神、经济、文化或社会身份有关的特殊因素来确定的人”。《决定》第一条中“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”，同样强调保护具有个人身份可识别性的个人信息。

可识别性内在地寓于物联网、云计算的技术框架中。物联网是通过射频识别（RFID）、红外感应器、全球定位系统、激光扫描器等信息传感设备，实现物与物、人与物、人与人之间的通信互连；云计算只有在提高可识别性的基础上，才能更安全地实现信息和数据的存储和提取。因而，基于信息技术平台的技术整合提高了数据的可得性，并将分散的各种数据最终“集成”于人（数据主体）的身份上，进而强化数据与人的身份之间的关联性。这在逻辑上带来了个人信息的悖论，个人数据的经济和社会价值在于提高个人身份的可识别性，这有利于增强个人信息的保护力度，但同时也增加了个人信息不当使用和泄露的风险和危害程度。因而，加强个人信息保护内在地要求提高身份的可识别性（不具备可识别性则无法判断受保护主体），这反过来又提高了个人数据的价值，为不当使用而侵害提供了激励，对监管和保护力度提出更高的要求。

个人信息保护的一个重要方面是隐私权问题。虽然美国和欧盟都非常注重公民的隐私权保护，但在基本原则和保护模式上二者之间存在分歧。在欧盟，隐私权是公民的基本权利和自由，这使得欧盟成为世界上个人信息和隐私权保护最严格的地区。早在20世纪中期，就已经通过相关的数据保护法律，提高个人信息和隐私权保护的力度。在美国，隐私权被纳入到自由权的框架内，重点在于防范政府的侵入，而对于来自企业和社会组织进行的个人信息使用上，则显得弱一些，甚至作为消费者保护权（经济权利）来处理，这与欧盟的保护模式明显有天壤之别，主要原因是来自宪法第一修正案的限制。

美国的宪法第一修正案为媒体的言论自由提供了非常强有力的保护。在个人隐私权保护的问题上，涉及个人与媒体之间的关系，新闻媒体中的个人隐私，如果成为言论的一部分，那么隐私权与宪法第一修正案就形成了内在的冲突。显然，一定程度上作为经济权利处理的隐私权，在法律效力上难以与承载着公共利益（言论自由）的第一修正案相抗衡，这导致了在美国隐私权的保护相对较弱。

个人信息的被遗忘权

欧美之间关于个人信息和隐私权保护的差异突出地体现在2012年初关于“被遗忘权”的争论中。“被遗忘权”赋予个人要求社会组织恰当使用或删除个人数据的权利，体现的是个人（信息主体）对于个人信息和隐私的主导权和控制权。个人信息的一个基本特点在于主体（个人）与客体（信息）之间的分离，这在信息社会中尤其严重。信息技术使得个人信息的搜集非常容易，而且往往是在个人没有知情同意的情况下（如街景、街拍、监控录像等）完成的，这使得个人对于隐私的控制能力极为薄弱。欧盟提出的“被遗忘权”主要从事后追认的角度赋予个人对于信息和数据的控制权，个人有权要求删除涉及个人隐私的个人信息和数据。

从信息技术的角度来看，“被遗忘权”还涉及另外一个问题，即服务器上的个人信息和数据问题。个人电子邮箱账户、云端的计算、存储和提取等网络操作中，均会在服务器端留下个人信息、数据文件及电子痕迹，这些关系到个人信息的数字文件有可能无限期地被保留在服务器上，即保留在网络服务提供商手中。那么在个人明确表达删除意愿或进行删除操作后，“被遗忘权”将此项权利赋予了个人，并明确了服务商的责任和义务。

从全国人大常委会通过的《决定》中来看，“被遗忘权”在中国得到了一定程度的认可。其中第八条规定：“公民发现泄露个人身份、散布个人隐私等侵害其合法权益的网络信息，或者受到商业性电子信息侵扰的，有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止”，我们从中可以看到“被遗忘权”的影子。

此外，个人信息保护还涉及一个重要的问题：公共利益与个人信息保护之间的平衡。出于公共利益的需要，政府和社会很多情况下要进行个人信息的统计（如人口普查等），这要求公民有提供个人信息的义务。因此，个人信息保护法律中应有例外条款。1995年欧盟出台的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》中就确立了例外条款：“鉴于如果有重要理论有证明公共利益在某些领域如公共卫生、社会保护（特别是为了确保在医疗保险系统解决利益和服务诉求所适用的程序的质量和成本效率）、科学研究以及政府统计领域具有正当性，则基于该重大利益成员国应当被授权对于敏感中来数据处理的禁止做出例外规定。”

例外条款的重要性在于，具有公共利益的个人信息搜集除了要求信息的完整性、准确性之外，还有整体性，即只有整体配合才使得这类情况下的信息搜集有意义。出于公共利益的个人信息搜集，将使得个人信息进入社会信息公地，这样一来，个人的绝对控制权将可能导致“钉子户”的出现，进而出现数据信息的反公地悲剧，因个人不配合导致社会意义上的信息价值降低，甚至丧失。当然，这同时要求信息搜集方（政府机构和社会组织）有极强的自我约束、可信的承诺和可靠的技术手段。这类权利和义务需要在例外条款中进行处理。

中国作为全球移动通信和互联网第一大国的地位，决定了在个人信息保护立法和制度建设上面临的困难更多，难度更大。《决定》的出台在立法和制度建设上迈出了实质性的步伐，今后在进一步根据中国发展现状、社会实际以及文化传统，抽象出相应立法原则的同时，更应通过立法提出具体而明确的要求，为信息社会的个人信息保护提供有效的法律保障和制度工具。

（本文刊载于《社会观察》2013年第2期）