你的个人信息卖了几个钱？

出售2009 万条公民个人信息，非法获利 8.4 万余元。

图片来自网络

近日，浙江省杭州市西湖区检察院提起的一起侵害公民个人信息民事公益诉讼案，通过网络公开开庭审理后，法院当庭宣判支持检察机关全部诉讼请求：两名被告赔偿损失 8.4 万余元，并在国家级新闻媒体公开赔礼道歉。--- 检察日报/2021年/3月/4日

2000+万条个人信息， 8.4万赔偿，很不均衡！

一 何谓个人信息？

个人信息在我国作为一项权利被提出比较晚。施行于1987年的《民法通则》压根没有提及个人隐私权，更不用说个人信息权利及其保护问题了。随着互联网技术在上世纪末本世纪初的飞速发展，信息处理能力与传播速度迅速提升，为大规模利用信息来追求利益提供了技术基础，由此而来的各种信息泄露并侵害个人权利的情况开始大量出现，尤其以电信诈骗为甚。基于侵权全面入侵个人领域，于2009年生效的刑法第七修正案正式将出售、非法提供公民个人信息确定为犯罪，最高可判处3年有期徒刑；而2015年刑法第九修正案中，将最高刑提升至7年有期徒刑。生效于2017年的《民法总则》将个人信息保护列入了民法中，明确了个人信息受法律保护。在2020通过并于今年1月1日生效的《民法典》继承了民法总则的相关规定。全国人大常委会公布的《个人信息保护法草案》征求意见稿于去年11月发布，其中规定了个人信息保护相关的条文。

《网络安全法》也对个人信息保护做了相应规定，然而没有对个人信息进行定义。

要保护个人信息，首先需要确定什么是个人信息。

在《个人信息保护法 草案》中定义：

“第四条 个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。

个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。“

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对个人信息的定义：

“第一条　刑法第二百五十三条之一规定的“公民个人信息”，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。“

而这条内容和《民法典》1034条第二款规定：

“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等“

这些定义基本一致，说明在个人信息的理解上基本在这样一个范畴。强调电子形式，因为信息的载体主要以电子形式为主，纸质年代没有规模性的个人信息泄露。

个人信息属于个人所有，既有经济上的利益，也有人身权益。有权利就必须有救济途径，否则法律就是一纸空文。

如果个人信息被侵犯，在我国的法律法规体系中存在三条救济路径：民事的、行政的、刑事的。然而，根据目前的法律法规法律实践情况看，要切实保护好个人信息，前路漫漫。

二 法律责任与救济途径

（一）民事责任

民法典规定了个人信息受法律保护。民法上的个人信息保护往往和隐私权或者肖像权等身体权混杂在一起形成侵权之诉。根据民事诉讼的“不告不理原则“和”谁主张谁举证“的一般证据举证规则，需要个人信息被侵害的权利人收集个人信息被侵犯的证据从而提出诉讼主张。这类个人信息保护属于点的保护，目前的法律规定可以做到较为有效的保护。然而，如今的个人信息保护的难点并不在此，而在于你并不清楚个人信息是否被泄露了，是谁在侵害你的权利？在茫茫互联网信息的汪洋大海中，你压根就不清楚可能的损害会不会来、何时会来？我们都有这样的经历：

你买房吗？

你买股票吗？

你有张法院的传票，你涉嫌xxx罪，会查封你的银行账号，之后就是。。。充分准备好自己的防骗技能

。。。

太多这样的案例了。无数的骚扰电话、骚扰短信让你不厌其烦！

因为手机的普及，各种移动APP都在尽其所能收集各种信息，包括注册时名义上你授权使用的信息，还有些信息不知道为何要收集，比如说很多APP一定要通讯录权限，但是应用和通讯录并无关系。

然而你并不清楚，你的信息是如何泄露出去的。对于这种类型的个人信息保护，目前还缺乏行之有效的救济途径。对于一个普通人，要在浩如烟海的互联网中查找到信息泄露源头并能够作为证据使用，这犹如大海捞针，比登月难得多，几乎可以说是一个不可能任务。

救济难度系数：****

（二） 行政责任

《网络安全法》第四十条 网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度规定数据。

网络运营者是个人信息收集的主要玩家。各种移动APP、网站，都充当了信息收集的主力。你的每一次上网浏览、每打一次车或者叫一个外卖，你的各种信息都透过网络传到了运营者的系统里，被处理、分析、存储。这些信息既是给大家带来方便的基础，也是信息泄露的潜在风险。时不时听到的数据泄露事件，已让大家有一种见怪不怪的漠视感。

有种说法，数据是未来的石油，是看不见的财富。然而，对于个人而言，究竟意味着什么，没有人可以肯定回答。按照《网络安全法》的要求，网络运营者获取个人信息应遵循合法、正当、必要、公开、明示原则，但即便该法于2016年已生效，但各种APP超越范围要求授权依然大行其道。下图为2019年国务院发布的《百款常用App申请收集使用个人信息权限列表》，仅列出部分：

你看一下你使用了多少？

《网络安全法》法规定：

第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

处罚相对几亿用户的APP而言显得不那么匹配，并且现实中我们也鲜见被处罚的案例。

对于个人信息被侵犯，比如你的信息被某个APP超范围收集，你很难有一个地方可以去申诉或者其他维权方式。

救济难度系数：*****

（三） 刑事责任

自2009年刑法修正案七设立侵犯公民个人信息罪以来，犯罪主体从国家机关或者金融、电信、交通、教育、医疗等单位的工作人员扩大到一般主体，使刑法规制的范围不再局限为特定人员。

针对侵犯个人信息的犯罪，除了前面提及的法律法规外，最高院、最高检、公安部都出台了相关办案规定和典型案例：

• 最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事 案件适用法律若干问题的解释

• 最高人民检察院关于印发《检察机关办理侵犯公民个人信息案件指引》的通知

• 公安部发布侵犯公民个人信息犯罪十大典型案例

• 最高人民法院、最高人民检察院发布7起侵犯公民个人信息犯罪典型案例

• 最高人民检察院发布6起侵犯公民个人信息犯罪典型案例

从典型案例中发现，绝大多数案件都是利用信息技术和特定岗位提供的便利条件获取公民个人信息，通过出卖方式牟利。这主要是源头上的泄露或者侵犯。大家感受更深的还有无数的骚扰电话和短信、诈骗短信等，这些信息应是通过无数遍转手，而对于最终买家则鲜有处罚案例。俗话说，“没有买卖便没有伤害“，如果作为信息使用者没有明确得到授权，又没有合法来源，但并未受到制裁，这恐怕才是信息被滥用的温床或动因。

救济难度系数：*****

写在最后

通观法律、法规和各种救济途径，乐观的看到《个人信息保护法》已经有了草案，虽然到生效、落地还有距离，保护手段也相对有限，然而这是一个好的开始。

但对于个人，我们不得不悲观的看到，对于每一个个体，我们实际上可用的救济手段非常非常有限，无论是民事、行政还是刑事，我们能够主动作为的都非常有限。在民事领域，除非有证据能够证明对方侵犯了个人信息权利，并造成损害，否则无法起诉，或者起诉后也很难得到实质性的补偿，而这种难度会让绝大多数人望而却步；在刑事领域，个人只能作为受害者，主动权也非常有限，除了证明自己受到损害或者伤害，或者提供证据，补偿就很难了。

希望未来这些都得到改变，难度系数都降到三星以下。