圓通“內鬼”勾結不法分子，40萬條個人信息泄露，輿論嘩然的同時，也再次點燃了社會關于個人信息保護的焦慮。巧合的是，11月19日正是《個人信息保護法(草案)》公開征求意見截止日期，而這也是首部專門規定個人信息保護的法律。11月18日，國家郵政局回應稱，“一直非常重視個人信息保護，對于信息泄露等問題態度一直非常明確，一切以此前公布的政策、表態為準”。

圓通“內鬼”事件并非侵權孤例。近年來，隨著互聯網發展，個人信息侵權案屢禁不止。業內指出，身處大數據紅利時代，個人信息保護并非無法可依，但想要真正平衡企業和個人權益的天秤，不僅需要實操性更強的法律依據，也需要對“個人信息”的明確界定和劃分，而企業端立行整改也不應僅是說說而已。

當事人難知情

根據圓通發布的信息顯示，今年7月底，公司總部實時運行的風控系統監測到圓通速遞河北省區下屬加盟網點有兩個賬號存在非該網點運單信息的異常查詢，判斷為明顯的異常操作。經多方調查發現，疑似有加盟網點個別員工與外部不法分子勾結，利用員工賬號和第三方非法工具竊取運單信息，導致信息外泄。當前，相關犯罪嫌疑人已于9月落網。

事實上，圓通此次泄密并非首犯。2013年10月，有媒體曝出近百萬條圓通快遞單個人信息網上可購，單號數據24小時滾動刷新;2018年7月-2019年5月間，嫌疑人利用爬蟲軟件從圓通公司網站非法竊取公司快件信息并獲利100萬元。

回顧圓通事件僅是管中窺豹。隨著互聯網時代大數據普及，近年來個人信息侵權案件也以幾何倍數增長。2018年末，北京市朝陽區法院曾披露數據，據不完全統計，過去15年間朝陽法院共受理公民個人信息民事侵權案件74件，其中近五年即2013-2017年案件總量為38件，占比達到51.4%。就在10月26日，工業和信息化部向社會通報了131家存在侵害用戶權益行為App企業的名單，部分軟件違規收集和使用個人信息。

值得關注的是，多位律師指出，從當前侵權案例來看，媒體曝光前，作為信息處理者并未及時履行信息侵權后的告知義務，這也為日后埋下隱患。“試想如果圓通事件中未經媒體披露，被侵權者又如何及時獲悉自己信息被出售或披露?”卓緯律師事務所合伙人孫志峰表示，智能時代保護個人信息安全最大的難點在于識別和舉證，企業具有技術優勢，個人普遍缺乏相應的技術知識和識別能力，使得雙方處于不對稱的情形，個人舉證和侵權論證更無從談起。

然而，不論是2017年落地的《中華人民共和國網絡安全法》還是當前公開征求意見的《個人信息保護法(草案)》，均對個人信息處理者告知義務作出明確。其中，《個人信息保護法(草案)》第五十五條規定，個人信息處理者發現個人信息泄露的，應當立即采取補救措施，并通知履行個人信息保護職責的部門和個人。通知內容應當包含泄露原因、可能造成的危害、已采取的補救措施、可采取的減輕危害的措施以及個人信息處理者的聯系方式。

“但從實際義務履行情況來看，當個人信息被泄露后，信息處理者一般并不會第一時間主動通知被侵權者和相關部門并說明可能引起的權益損害;而在不通知的情況下，市場監管部門也不會進行處罰;此外，雖然刑法也規定，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。但關于如何界定被侵權者的損失也是一個問題。”寧人律師事務所金融與科技委員會副主任馬軍表示。

提倡“先保護再利用”

“其實，我們對于侵犯個人信息的案件并非無法可依。”孫志峰指出。例如，《民法總則》第111條明確規定個人信息受法律保護，任何組織和個人不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或公開他人的個人信息;《網絡安全法》等法律也有保護個人信息的專門條款;《刑法》則將嚴重侵犯公民個人信息的行為列為刑事犯罪，予以嚴懲;而《民法典》更是將個人信息作為人格權項下的新型人格利益予以保護。

在這種情況下，侵權案件仍屢禁不止，問題出在哪里?馬軍分析指出，當前國家對于個人信息的立法基調是“保護+利用”。“歐盟對于個人信息使用的要求是非常嚴格的，而美國則相對靈活寬松，更強調信息的靈活使用。考慮到需要為立法保留空間，我們想要走第三條道路，既保護又利用。這就帶來另一個問題，現行法規尚不完備，違法成本低但維權成本高。”

在此基礎上，馬軍道出當前個人信息保護立法的現狀，行政法規仍待細化。“以《個人信息保護法(草案)》為例，其更多延續了《網絡安全法》內容，并未有太大實質性突破，導致現在利用給企業帶來了價值，個人信息權利主體卻要自己掏腰包去打官司，賠償還不夠訴訟費用，所以利益保護是失衡的。因此提倡先保護再利用，而不是出現了問題直接定性;同時，需要制度和技術同時配備，強調日常維護。”

“如果圓通事件發生在歐洲，按照歐盟《通用數據保護條例》(GDPR)規定，涉事公司或面臨上一年度4%營業額的罰款。例如，此前萬豪酒店因泄露3億多客人信息，被英國ICO處以1840萬英鎊(約合人民幣1.6億元)罰款。我國《個人信息保護法(草案)》也提到了對類似事件罰款可以高達5%。這也再次證明我國目前急需出臺《個人信息保護法》。”北京斐石律師事務所管理合伙人周照峰說。

“個人信息”范圍仍待細分

11月19日是《個人信息保護法(草案)》的公開征求意見截止日期，作為首部專門規定個人信息保護的法律，其在正式出臺后，將成為個人信息保護領域的“基本法”。馬軍指出，《個人信息保護法(草案)》需“粗細結合”，對于實踐中正在探索的條款可以原則一些，而對于實踐中圓通這種錯誤，立法層面則需更加全面且具有實操性。

然而，在立法層面外，在執法過程中，對于“個人信息”的界定也備受關注。據前述朝陽區法院統計，截至2018年末，在其審理的個人信息侵權案中，手機號、家庭住址是侵權重點。從訴求中涉及的信息內容看，原告訴求涉及同時侵害多個信息的情況較為普遍。

這意味著，在一個案件中原告主張同時侵害了姓名、身份證號、病歷信息、工作單位及履歷等多重信息。其中，原告訴求主張涉及侵害三種及以上信息的案件數量共計45件，約占此類案件總數量的60.8%。

“如何定義個人信息并作出分類”也是《個人信息保護法(草案)》公開征集意見后的一大關注重點。北京德和衡(上海)律師事務所高級聯席合伙人陳國彧及執業律師范思佳指出，按照《個人信息保護法(草案)》第四條的規定，“個人信息是以電子或者其他方式記錄的已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”?！秱€人信息保護法(草案)》中對于個人信息定義的內涵雖明確，但對于“已識別”或者“可識別”的外延規定則相對模糊。

前述機構認為，個人信息作為一個相對抽象的概念，立法者有必要列舉個人信息的種類、類型以及表現形式，進而進一步界定和確定個人信息的具體范圍。僅從信息可能存在的路徑，即收集、儲存、使用、加工、傳輸、提供、公開等活動，來確定個人信息的范圍過于寬泛，希望在正式發布的條文中有更詳細的規定。

關鍵詞： 新法征 個人信息范圍