个人信息必须保护到人

　　近日因徐玉玉被电信诈骗案一审宣判，个人信息保护再次受到社会高度关注。

　　有人呼吁我国加强个人信息保护立法，其实据专家统计，目前我国已有相关立法100多部。个人信息是个人的，个人是个人信息的权利主体，保护个人信息，理所当然就应当保护权利主体的权利。但是我国目前相关立法多着眼于禁止掌握个人信息的机关、企事业单位泄密，而缺乏维护具体个人的具体信息权利。禁止性规定和打击相关犯罪，是对个人信息隐私权利的间接保护，但不是直接保护具体权利主体的合法权利。

　　以刑法第二百五十三条对侵犯公民个人信息罪的规定为例，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，就是犯罪。按照最高法、最高检的司法解释，有十种情形属于“情节严重”，大致就是：把个人信息卖给犯罪分子并被利用了，泄密个人信息达数百条、数千条之多。除非像徐玉玉那样成了诈骗等案的受害者，一般个人不会成为个人信息泄密案的真正侵权对象。个人必须“打包”成数百、数千之众，才有可能触发刑事调查。

　　从世界范围看，目前对个人信息的保护无非是刑事追究、行政监管与民事侵权归责三个方面。而就民事而言，很多国家将个人信息保护纳入企业对个人的服务合同，从而将侵权责任转化成合同责任。在我国的民法体系中，《侵权责任法》没有规定非法获取、出售个人信息的侵权责任，国家也未强制企业将保护个人信息纳入服务合同范畴。企业泄密之后，被侵权者只能徒叹奈何。

　　个人信息很琐屑，这就注定了只有他本人才知道是不是被泄密了，这也注定了保护个人信息是一项“个人的事业”。由政府将保护的责任大包大揽，实际上是将个人忽略。现在到处是个人信息泄密，但全国罕有人诉诸法庭，已经证明了此点。

　　这不是说，通过政府行业监管起不到个人信息保护的作用，但这是一种间接的效果，在强化政府监管的同时，要加快权利落实到“人”本身。保护个人信息就要保护到人，关键是两条：在监管层面，强制企业将个人信息保护列为服务合同条款，作出侵权赔偿承诺；在侵权责任法上，将个人信息权视同财产权，凡侵权即给予损失赔偿。有侵权就有赔偿，这才是真正的保护个人信息。