前言
“The 21st century is a digital book.” 4年前上映的美隊2電影里除了寡姐，讓我印象最深刻的就是這句臺詞了。它引出了一段關于公民信息竊取+大數據算法“九頭蛇”方案的描述。
阿尼姆·佐拉博士，就是下面這位：

后來變成了一房間磁帶：

他開發了一種算法，通過非法獲取海量公民的銀行數據、醫療記錄、投票方式、電子郵件、電話內容、考試成績等個人信息/隱私，從一個人的過去預測他的未來，篩選出在未來會對九頭蛇有威脅的人提前加以消滅。
我還不會被這樣的網絡技術消滅，但就目前情況而言，我的信息被第三方非法獲取之后真變成了一本攤開來的書：
以前去過哪兒，所以未來想去/可能會去哪兒；
使用瀏覽器搜索了某個物件，打開某個APP整頁都是類似的商品，我想買什么“它”全都知道；
點了某個外賣，就知道我的口味如何；
訂好了機票，一會兒就發短信來讓我“退票”；
精準的電信詐騙、房產、貸款、信用卡、購物、外賣、信息流等電話和軟件推送更是不在話下。
以個人信息/隱私為中心，這個時代為每個參與信息交互的個體編織了一張逃不開的大網，網絡上的每個節點構成了我們的生活。是穩坐中心掌控這張網，還是被它捕獲成為被圍獵的對象，我們有選擇嗎？
換句話說，像《網絡安全法》這樣的大棒能夠敲到數據竊賊的頭上讓其不敢行動嗎？我想聊聊我國個人信息保護法制建設的情況和挑戰，礙于知識和水平有限只能淺嘗即止，權當拋磚引玉。
概述
個人信息保護是我國網絡法制建設的基石，而網絡法制的概念，簡單地說就是法網與互聯網平行發展的進程中，當法網能夠成熟調解和處理基于互聯網的某些關系時，網絡所形成的社會關系就實現了法律化，這個過程就是網絡法制建設。
目前就我國互聯網治理的現狀來看，網絡本身可能已經超出了現有法律的管轄范圍，也就是說基于網絡構建的社會關系已經超出了現有法律的適用范圍。在多大程度上能夠把網絡關系當中應當改造為法律關系的那一部分實現改造，網絡社會關系在多大層次上被轉換成了法律關系，可能就是我國網絡法制建設的現狀。
具體來看，我國介入網絡空間的方式與一般法律治理社會的方式沒有什么兩樣，主要從立法切入。
現狀
法律層面的個人信息保護規范體系已經有一些非常實質性的成果，但是在具體領會和執行的時候也常有一些疑問。本章簡單羅列一些我國法律中針對個人信息的保護部分，主要討論我國法律對于個人信息的界定以及在實踐中可能出現的難點。
《網絡安全法》

首當其沖的是《網絡安全法》，它把個人信息安全作為網絡安全的重要部分納入到體系中。歐美國家的個人信息保護法，如歐盟的《個人數據保護指令》、法國的《數據處理、數據文件及個人自由法》、德國的《聯邦數據保護法》以及最近的熱點GDPR等，多數是將將“個人信息”視為“個人數據”，而我國《網絡安全法》的一個重要特色是在法律層面明確了“信息”和“數據”的區別，第七十六條中對“網絡數據”和“個人信息”的含義進行了文意解釋：
網絡數據，是指通過網絡收集、存儲、傳輸、處理和產生的各種電子數據。
個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。
疑問
第一個問題，個人信息和網絡數據被分為兩個維度的事物，這樣一來對于確定法律的適用性就很重要了，也變成了實踐中的難點。
比如說數據交易，交易的是信息，數據是一種形式體現，那么在進行法律定性時屬于個人信息還是網絡數據？從學界的觀點來看，數據交易屬于個人信息保護范疇，同理網絡隱私和著作權相關的問題也時如此，數據只是一種載體。
那什么屬于網絡數據范疇的法律問題？虛擬財產是最典型的一個例子。也許大家會說虛擬財產不是信息是什么呢？不錯，但是這個信息在網絡空間以外沒有實質的意義，與之相關的糾紛要么是數據操作問題，要么就是屬于網絡攻擊，比如Q幣、游戲裝備，只能存在于虛擬空間，脫離不了。屬于數據范圍的法律問題只能根據《網絡安全法》、《刑法》以及《民法》中的侵權責任法相關條款來解決。
第二個問題是個人信息保護屬于私法還是公法范疇，這個涉及到個人信息的核心權屬關系。
公法與私法的劃分，最早由古羅馬法學家提出的。按照烏爾比安的解釋，公法是以保護國家（公共）利益為目的的法律，私法是以保護私人利益為目的的法律。
大陸法系國家普遍認為，公法調整國家或公共利益，它的一方主體應當是國家，與另一方主體一般是不平等的隸屬或服從關系，公法否定私法自治，多以強制性規范為主。而私法則是強調私人利益關系的法律規范，多以任意性規范居多，弘揚私法自治，以自治為其最高原則和精髓所在。
我國基本上采用大陸法系，因此法律也存在私法和公法之分。
筆者近期參加了一些會議，其中的亮點就是個人信息保護根本不是基于私法的保護，而是基于公法上的理由，絕大多數集中于公法領域，也就是公共安全以及風險防范。換句話說，個人信息整體上不屬于私人利益，這個就相當有沖擊性了。
按照學界專家的觀點，這么說的第一個原因是：
個人信息保護規定不對隱私進行實質區分，無論是GDPR（《通用數據保護條例》）還是美國的隱私法案，對于隱私不進行區分，只要是信息就進行保護。它的目的是為了信息的過分濫用和泄露導致對他人身和財產造成損害。從負面判斷是否對公民的財產和人身構造損害作為要求的話，信息本身不構成對個人的某種損害。因此除隱私以外的個人信息無論是敏感信息還是非敏感信息，沒有辦法納入人格權范疇。第二，假設把個人信息當做《民法》中的利益看的話，受到侵害的話怎樣進行補償呢？
假設網站非法使用了一個公民的信息，怎么賠、怎么算、要不要賠，都不能確定。個人信息保護并不禁止信息分享，它是進行一個管制，也就是說個人信息是一個信息管制法。但為什么它跟個人有一定的關系，因為以同意為基礎的信息保護和以“風險”為基礎的保護，均強調個人，個人也可以參與到風險規避，做出一定的行為。個人信息帶有一定的利益，在《民法》不是絕對的人格權利益，也可以說是公法上的一種法意，這個需要進一步研究。
第三，個人信息屬于個人財產，個人財產神圣不可侵犯。
如果把個人信息放到財產權的籃子里，也存在邏輯障礙。就好比說我們把個人信息財產化，個人信息作為財產提供給別人，人家給我錢。我們日常生活中在辦很多事情時都需要提供個人信息，比如說身份證之類的身份證明文件，看的一個人就要付錢，這個根本就行不通。個人信息和網絡數據不一樣，后者可以談財產權。因為個人信息強調基于安全的保護，網絡數據當作財產去利用。
從我國的立法和學界的觀點來看，個人信息的保護最大問題在于信息歸屬不能確定，信息沒有歸屬只有分享。比如說我在網上買東西，網購這個動作產生了一些信息，這個信息是誰的呢？不錯，發起這個動作的是我，，但這個信息是交互性，因為網站不提供平臺、沒有賣家參與的話無法實現，共同在一起才能構成信息，怎么這個信息就成了我的呢。所以當一個人的信息被侵犯的時候，同樣別人也要求你不能侵犯他的信息，你的信息不一定就歸屬于你。
《刑法》

在刑事法律方面，最典型的是2015年《刑法修正案（九）》從主體和犯罪行為兩方面加強了公民個人信息安全的保護。
但是客觀上缺少其它相應的行為規范、裁判規范，司法機關在實施這樣的法律條文時時候遇到了很多現實困難。司法人員缺乏網絡思維或者對網絡關系缺乏足夠了解，變成了立法先于理念這樣一種狀態。
《最高人民法院 最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》去年6月1日正式實施，根據公民個人信息的重要程度分別規定了五十條、五百條、五千條的犯罪構成量級。從實施效果來講，可以達到規范網絡行為。但是五十條、五百條、五千條的量級分化是怎么來的？為什么是五十條而不是三十條？這里有一個科學性的問題。
比如說《刑法》中還有針對個人信息侵害的司法的解釋，在國際上也是比較有特點的規制方式。學界有專家說中國在個人信息保護方面最具有特色的一點是刑法先行，這個做法背后有很多的原因和理由，但是它對社會和產業、信息保護與利用之間的平衡的作用力幾何；《刑法》作為最后的門檻，是否適合用于作為主流的個人信息保護的調整方式，這些問題都有待解決。
《電子商務法》

最近剛剛正式通過的《電子商務法》里面也在原有的個人信息保護制度基礎上進行了規定，23條規定了電子商務的經營者在合規的基礎上搜集使用個人信息，對于數據安全31條也規定了包括數據安全和保存記錄的義務。但主要針對數據信息報送業務，數據信息的報送涉及到企業數據處理企業和政府之間的關系。25條的信息報送還是非常抽象層面的，具體的如何落實還是要看配套性的規定。
《民法典》

在《民法典》的草案中明確了個人信息的定義和個人的身份識別相關的個人信息，另外它還規定了一般原則和安全義務，提到了什么情況下自然人可以請求信息持有人刪除信息。其中隱含了自然人不能隨時去干預商業模式的信息，，只有在特定的情況下才可以要求刪除個人信息。
這可以看作是對個人信息公開問題的一個回應，也就是說已經公開的個人信息，一般原則是可以加以利用的。只有在特殊情況下，比如信息已公開但自然人進行了明確的拒絕，才是不可以使用。
但是在實踐中，對個人信息概念的理解還不到位，什么是匿名化、什么是指向個人特征、什么是指向個人特征的可能性，理論上已經有了變化，是不是不直接體現個人特征就不是個人信息？
還有自然人在為個人信息維權的過程當中能力所限的問題，或者是舉證責任的問題。民事權利模式，或者是私權模式在個人信息領域有可能會失靈，對于個人來說，維權非常困難，舉證責任非常難以完成。
典型案例
我們的個人信息掌握在多家機構里：電信運營商掌握了我們的手機號碼；金融機構掌握了我們的征信信息；物流企業掌握了姓名、電話、住址等個人信息；大的互聯網平臺也掌握了我們很多個人信息；一些不正規的手機APP也會暗中收集我們的手機號碼、通訊記錄等；網絡黑客侵入各類機構數據庫中盜取個人信息的事件時有發生。
我們來盤點一些近兩年來侵犯個人信息的案例：
最高人民法院發布的典型案例（7例）
【典型意義】違反國家有關規定，非法獲取公民個人信息出售牟利，情節嚴重，構成侵犯公民個人信息罪，可以根據被告人表現對被告人量刑。從信息內容來看，包括個人征信信息、行蹤信息、住宿信息、戶籍信息、網購訂單信息、學生信息等。從非法獲取信息的方式來看，包括通過黑客軟件竊取、利用系統漏洞竊取、買賣等方式。
標題 
要點提示 
邵保明等侵犯公民個人信息案 
非法出售戶籍信息、手機定位、住宿記錄 
韓世杰、曠源鴻、韓文華等侵犯公民個人信息案 
非法查詢征信信息牟利 
周濱城等侵犯公民個人信息案  
非法購買學生信息出售牟利 
夏拂曉侵犯公民個人信息案 
非法買賣網購訂單信息 
肖凡、周浩等侵犯公民個人信息案利用黑客手段竊取公民個人信息出售牟利 
杜明興、杜明龍侵犯公民個人信息案 
通過互聯網非法購買、交換、出售公民個人信息 
丁亞光侵犯公民個人信息案 
非法提供近二千萬條住宿記錄供他人查詢牟利，為情節嚴重 
最高人民檢察院發布的典型案例（6例）
【典型意義】行政管理機關和金融、電信、交通部門、賓館、快遞等服務行業工作人員將履行職責或者提供服務過程中獲得的公民個人信息,出售或者非法提供給他人，侵犯了公民個人信息安全。
標題 
要點提示 
韓某等侵犯公民個人信息案 
國家工作人員利用職務便利非法獲取公民個人信息出售，從重處罰 
張某某、姚某某侵犯公民個人信息案 
利用惡意程序批量非法獲取網站用戶個人信息 
章某某等詐騙、侵犯公民個人信息案 
非法獲取公民個人信息后，實施電信網絡詐騙等犯罪，構成數罪 
郭某某侵犯公民個人信息案   
將在提供服務過程中獲得的公民個人信息出售、提供給他人 
魯某等侵犯公民個人信息案   
單位實施侵犯公民個人信息犯罪的，依法追究單位和相關責任人員的刑事責任 
籍某某、李某某侵犯公民個人信息案   
特殊主體將在履行職責過程中獲得的公民個人信息出售，數量達到一般主體立案追訴標準一半以上的，依法追究刑事責任。 
公安部發布的典型案例（2批）
（1）侵犯公民個人信息犯罪十大典型案例
【典型意義】 通過網絡軟件竊取公民個人信息出售牟利的構成侵犯公民個人信息罪。工作內容涉及公民個人信息的單位應該加強對公司管理體制，嚴禁泄露用戶個人信息。
標題 
要點提示 
北京顧某等人非法獲取計算機信息系統數據案 
制作用于非法獲取某公司賬號的軟件程序，竊取公司員工個人信息 
江蘇淮安 “K8社工庫”侵犯公民個人信息案 
以“社工庫”命名的網站，專門售賣各種個人信息 
四川廣元侵犯公民個人信息案 
非法買賣學生信息牟利的犯罪 
福建泉州“浮云網”侵犯公民個人信息案 
買賣公民個人信息的網站 
山東淄博侵犯公民個人信息案 
非法獲取公民個人信息 
江蘇徐州非法獲取計算機信息系統數據案 
黑客和快遞公司內部員工為泄露源頭的倒賣快遞信息 
湖北宜昌余某某侵犯公民個人信息案 
非法獲取并出售股民信息、銀行理財信息等各類公民個人信息 
山東威海董某某侵犯公民個人信息案 
銀行工作人員利用職務之便，非法查詢公民個人銀行賬戶余額、流水等信息進行出售 
內蒙古赤峰李某某侵犯公民個人信息案 
利用“快遞單號生成器”等軟件篩選快遞單號，通過快遞公司內部人員查詢對應的公民個人信息 
湖南懷化侵犯公民個人信息案 
網上購買、搜索、下載等方式大量搜集公民個人信息，再通過“撞庫”、“掃存”等非法軟件比對公民網絡賬戶密碼 
（2）網絡侵犯公民個人信息犯罪典型案例
【典型意義】網絡侵權危害不容小覷，社會公眾在使用網絡過程中，提高安全意識，謹慎填寫個人信息。網站管理人員應該凈化網絡環境，及時取締非法網站。
標題 
要點提示 
山東青島偵破韓某某非法獲取計算機信息系統數據案 
利用黑客技術非法控制計算機信息系統竊取信息 
江蘇淮安偵破陳某某等人侵犯公民個人信息案 
開辦網站論壇，將其多年搜集和購買的公民個人信息發到論壇分享 
湖北襄陽偵破鄭某某等人侵犯公民個人信息案 
利用其短信營銷平臺，不斷獲取公民個人上傳信息 
重慶巴南偵破李某等人侵犯公民個人信息案 
在網上大量出售中小學生及家長信息、各大樓盤業主信息、各省車主信息、銀行客戶信息等 
湖北荊門偵破李某某等人侵犯公民個人信息案 
證券公司工作人員利用工作便利獲取公民個人信息并出售 
四川綿陽偵破賴某等人侵犯公民個人信息案 
非法買賣公民個人信息牟利 
安徽合肥偵破黃某等人非法獲取公民個人信息案 
專門注冊了多個網絡賬號，通過在網絡上購買大批量的個人數據，轉而以更高的價格在網絡上向轉賣給其他各地人員 
上海偵破吳某、劉某某等人非法獲取公民個人信息案 
快遞公司工作人員使用公司內部賬號查詢客戶信息，進行販賣 
重要案例
標題 
核心問題 
上海市靜安區人民檢察院訴張美華偽造居民身份證案   
行為人遺失身份證后，因無法補辦而偽造身份證并在日常中使用的行為，情節輕微，不構成偽造居民身份證罪 
陳某某出賣其從業過程中掌握的公民信息構成出售公民個人信息罪案 
房地產業工作人員違反國家規定，將其在工作過程中獲得的公民個人信息出售給他人牟取私利，出售信息數量較多，且信息此后又進一步被他人利用再次擴散，構成出售公民個人信息罪 
張某等買賣個人手機定位信息構成非法獲取公民個人信息罪案  
行為人非法獲得并出售個人手機定位信息，構成非法獲取公民個人信息罪 
卜某某等利用職責便利將他人手機等個人信息出售構成出售公民個人信息罪案   
行為人違反國家法律規定，將自己或他人在履行職責及提供服務過程中獲得的他人手機的通話記錄、密碼等個人信息予以出售，情節嚴重，其行為構成出售公民個人信息罪 
孫銀東非法獲取公民個人信息案 
通過購買、偷拍、偷錄、跟蹤等方式獲取他人個人信息進行出售，情節嚴重的，構成非法獲取公民個人信息罪 
潘延信偽造國家機關證件案 
委托制假證者偽造戶口簿及身份證但記載的信息真實，情節輕微的僅構成偽造國家機關證件罪 
謝新沖出售公民個人信息案 
電信單位工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售給他人，情節嚴重的，構成非法獲取公民個人信息罪和出售公民個人信息罪 
李笑辰等偽造有價票證、周廣進出售公民個人信息案 
司法實踐中，行為人為牟取私利，將本單位在提供服務過程中獲得的公民個人信息出售給他人構成出售公民個人信息罪 
李路軍金融憑證詐騙案 
金融機構工作人員，竊取儲戶的個人信息并擅自為儲周娟等非法獲取公民個人信息案 
行為人通過網上交易或以信息換信息的方式非法獲取公民個人信息并出售牟利的，構成非法獲取公民個人信息罪 
胡某等非法獲取公民個人信息案 
行為人受他人雇傭通過跟蹤等非法手段獲取公民的日常出行信息，并將上述信息提供給雇主，情節嚴重的，構成非法獲取公民個人信息罪 
周建平非法獲取公民個人信息案  
行為人違反國家法律規定，非法獲取公民個人信息，情節嚴重的，以非法獲取公民個人信息罪論處 
上海羅維鄧白氏營銷服務有限公司非法獲取公民個人信息案 
單位以購買的方式非法獲取公民個人信息，用于為其他企業提供的營銷推廣等服務，情節嚴重的，以非法獲取公民個人信息罪論處 
挑戰
從法制建設的角度講，我們的立法者面臨很多的問題。
首先是立法脫節于時代發展。
我們強調法制社會，干了某件事情就會得到相應的結果，這樣的形式需要立法者提前判斷才能制定好規范�，F在立法者能夠明確知道人家用這個數據干什么，做出對應的預測來嗎？最后產生什么樣的利益沖突，怎么樣平衡這些人的利益關系？這個似乎不太現實。技術在以爆炸性的速率向多個維度發展。基于技術進步的商業模式推動了社會和經濟規律的變化，傳統的思維和框架已經難以招架這種趨勢。在這種情況下立法者都不清楚這個社會要發展成什么，人和人之間的行為模式是什么，利益怎么分配，法律規范的建設就堪比無源之水、無本之木了。再進一步說，沒有可行的法律擺在桌子上，企業就是想合規也無從下手�；蛟S這就是為什么之前會出現中國人愿意用隱私換效率之類的言論了。
第二，人的思維慣性。
我國當前的立法是基于工業革命的立法，財產所有權是有形財產。比如說這個土地的歸屬，我可不可以賣給別人，可不可以租給別人。這樣的社會運轉模式在過去幾百年和上千年的時間里面已經固化了，所有社會觀念是基于實體或有型財產的概念�，F在我們的信息所有權之爭來源于信息流動出現的價值紛爭。也就是說，個人數據開放的緯度越寬，技術發展地越好。如果在這種情況下你把數據固化下來，歸某個人所有，是不是會導致信息流動的遲滯，使用個人信息的成本會不會呈幾何級數增長，基于人工智能和大數據分析的公共服務還有可能實現嗎？問題屬實很多呢。
第三點是國情不同，沒有可以參考和借鑒的對象。
最近成為個人信息保護領域熱點的GDPR法規，它的推出有著很深的歷史原因，是從二戰中猶太人因信息泄露而遭到迫害為最原始的起點，對于個人信息處于監控之下有著深入骨髓的恐懼，我國相關立法的起因就與之不同。美國的做法也難以借鑒，因為政治體制不同，美國沒有統一的信息保護立法，大致上是各個州是按照傳統立法模式各管各的，之前Facebook隱私泄露事件本身也沒有違法美國的法律，是違反了FTC的協議。歐美國家制定的法律都是最適合自己的，我們借鑒不了。我國的立法者很長時間以來一直都作為一個追隨者，在立法和制定標準時借鑒國外的做法。但在互聯網領域，我們已成為了領跑者，還可以去借鑒誰呢，別人的經驗能夠解決我們的問題嗎，個人信息保護也需要中國特色的法律和模式。
參考資料
“侵犯公民個人信息罪”專題案例與數據分析報告（2018年第1期，案例報告總第4期）：http://weekly.pkulaw.cn/Admin/Content/Static/9a9869ed-5f02-446c-8637-ae8adbe3b308.html