以社會公共利益為標準 個人信息應作為基本人權予以保護——專訪中國人民大學哲學院法倫理學家 曹剛

問題一：當前，各種個人信息“被洩露”折射出的最大問題是什麼？國內對個人信息保護的現狀是什麼？與其他國家或地區相比，有何異同？

中國人民大學哲學院法倫理學家 曹剛：我覺得當代社會的發展，尤其是科學技術的發展，給我們帶來了很多新的問題，也就是説比如像網絡技術的發展，使我們的行為形態和行為方式都發生了很大變化，因此也給倫理學理論，道德規範體系包括法律體系都提出了極大的挑戰。

這是我們面對這樣一種數字化生存的時代所遇到的一個很大的問題。所以呢，我們如何應對這樣一種新的生活形態和行為方式，以及新的社會關係和生存領域所産生的一些道德難題，去提出和論證一些可以調整這些關係和行為的道德規範和法律規範，是我們面對的最大的問題。

也是正因為如此，我覺得我們國家關於個人信息保護的狀態是令人堪憂的。根本的原因還是我們沒有一個，或者是沒有一系列的，明確的、系統的這樣一種道德規範體系和法律規範體系。換而言之，也就是説我們沒有一個標準，正因為沒有這樣的一個標準，我們就很難樹立起我們的保護個人信息的這樣一種意識。同時呢，信息的使用者、信息的管理者也很難確定的去區分，哪一種使用和管理以及處理信息的行為是正當的，還是不正當的，合法的或者是不合法的。與此同時也給政府的關於信息管理的這一行為帶來了一些困難。

就國外來的這樣一種個人信息保護的這樣趨勢來説，他們也是面臨這些信息輸入所帶來人類生存的一種新形態或者新行為方式的一種挑戰。但是他們先走了一步，比如説就美國而言，它主要是通過行業自律這樣一種手段，目的是怎麼樣更好的、有效的應用信息。所以他們對個人信息的保護是很重視的，但是因為它的一種目的是有效的利用信息，所以在這方面呢，又沒有歐盟對個人信息的保護那麼嚴格、那麼絕對。

因為就歐盟這些國家而言，他們對個人信息的保護是通過立法的方式，而且其目的呢，也就是説把個人信息看成是隱私權的一部分，作為人權保護的。也就是説作為人格利益來保護的，所以歐盟的保護更加嚴格一點。但是，從另外一方面來説，它對於信息的有效利用、交流和共享産生了某些局限。

所以我想我們國家的個人信息的安全問題，應該是揚長避短，根據我們當代中國社會的一些具體的情況和條件來制定這樣一種個人信息保護的相關的法律和道德規範體系。

問題二：隨著個人數據商業化處理的氾濫，個人信息被濫用成為社會信息倫理危機的一個突出問題。在道德規範、法律規範和行業規範方面，對於像微博、SNS社交網站和LBS（基於位置的服務網站）等，這樣的與個人信息密切相關的商業性的社會化網站，如何進行規範與管理？

中國人民大學哲學院法倫理學家 曹剛：我想對這些網站也好，或者是這些媒體也好，他們規範管理無外乎就是説要去提出一些有效的、可以執行的對信息的蒐集、使用、處理這樣一些行為的規範。所以我認為可以從這幾方面來看：

一個就是加快各類信息保護法的立法。因為儘管説現在對個人信息的保護有了一些相關的法律，比如説《刑法修正案》（七），比如説《中華人民共和國居民身份證法》，以及相關的民法中間的侵權法以及相關的規定，都有了關於不當使用個人信息的一些處罰的規定。但這是不夠的，因為它們比較零散、層級比較低、不系統。所以為了更好地保護個人信息安全，我們覺得還是應該加強專門的立法，也就是個人信息保護法。這是第一點。

第二點，我覺得應該要儘快地提出、論證信息倫理的有關道德準則。因為前面説到，信息活動儘管是説人類自古以來就有的一種活動，但是隨著社會的發展特別是信息技術的高速發展，信息活動在當代社會它有了和以往社會不同的質的、結構性的變化。那麼傳統的倫理學理論和道德規範體系很少關注對信息行為的一種道德判斷和規範約束。所以我們覺得應該在個人信息的保護的過程中間，特別的要提出關於信息的蒐集、使用、傳播等等各種行為的一種信息倫理的準則。

第三我覺得就是儘快地要出臺行業的自律的條款，現在的“個人信息保護指南”就快出臺了，我想這是一個好事。因為行業的自律對於個人的信息保護是非常重要的，而且它也符合這個行業這樣一種發展趨勢，同時它也是約束行業從業人員的一種職業道德。

第四個，我覺得是無論是法律規範也好，無論是道德規範也好，無論是行業的自律的規則也好，它們都還是要落到實處，應該得到一種有效的執行。所以我覺得就是對這樣一些道德法律和條規的執行情況的一種檢查，對個人信息處理相關行為的一種道德或者法律方面的監督，也是非常重要的。

尤其重要的是我們覺得應該成立一些獨立的、有權威的這樣一種機構，比如説信息倫理委員會，這是非常重要的。因為有了這樣一個機構，就可以更好地去評估、更好地去檢查這樣一些信息處理的相關行為。

第五個，因為個人信息安全的問題不是某一個人的問題，而是整個社會的問題，所以社會公眾的參與也是非常重要的。同時，每一個社會公眾自己加強個人信息安全的意識也是非常重要的。

最後當然是技術性的手段了。我們應該要多研究、多開發一些技術性的保護個人安全的一種手段。所以我想就是這麼幾個方面。

問題三：信息倫理的有關道德準則如何對蒐集、使用、傳播等信息行為起約束作用？

中國人民大學哲學院法倫理學家 曹剛：立法是有立法機構就可以確立的，像這樣一種行為信息倫理的行為準則呢，我想它首先它應該是建立在一個社會的基本價值共識的基礎之上，其次呢，它應該有相關的專家，比如信息技術方面的專家、倫理學的學者、法學的學者，比如説相關的一些信息佔用、使用的，一些大量使用信息這樣一些機構，這樣一些代表者。他們在價值共識的基礎之上，在吸收國際社會關於信息倫理的理論研究成果基礎之上，一起來確定我們應該遵循的準則。我想這應該是合理的。

這樣的一些規範、規則主要是通過兩個渠道在發揮作用。一個是要加強社會輿論的力量，來有效地保證這樣一些規則、信息倫理的規則得到大家的重視。另外一個要讓這樣一些信息倫理的準則、道德規範能夠內化為人內在的一種道德要求。同時，因為個人信息安全的保護問題，它是涉及到一個不同生活領域的問題，而且它又是一個有技術性比較相關的問題，所以在具體的實施的機制上，就應該成立某些行業的道德委員會，通過道德委員會對某一些行為、某一些決策做出判斷。

個人信息安全的保護，應該是社會各種力量一個綜合的結果。立法、法律，當然它的力量是很強大的，所以我們不能沒有法，因此我們呼喚個人信息保護法的出臺。但是光有法律的力量也是不夠的，必須要有道德的力量，同時還有其他社會的力量，綜合地起作用才能夠達到個人信息保護的效果。

問題四：在個人信息泄密事件中，各種用戶端“被安裝”的信息抓取軟體起了很大的作用，各類網站對這種類軟體應不應有防範措施？在沒有被告知、非自願的情況下，因 “被安裝”了這種軟體而造成個人信息洩露的公民，在社會倫理層面、法學層面，哪些權益受到了損害？這類軟體的使用應受到限制嗎？如果限制，該如何限制？

中國人民大學哲學院法倫理學家 曹剛：我們説各種軟體，作為一種技術性手段，我覺得本身是無所謂善惡的，無所謂限制與否的，要限制也是一種技術上的東西。

這裡問的這個問題，我覺得更好的在於它對於哪些利益遭到了損害。我想這樣一種不經過同意地、惡意地安裝這樣一些軟體，從而導致個人信息洩露，其實它損害的利益是非常廣泛的。

從個人的意義上來説，一個信息它具有經濟價值，因為人們在使用和交換信息過程中，能夠獲得某些經濟的利益。所以這樣一種個人信息的洩露，可以説是侵犯了個人的經濟利益。第二個，個人社會交往的過程中間，或者説個人在社會生活過程中間，信息是個人在社會交往中間，識別和被識別、評價和被評價的一個仲介和最後的一種結果。所以如果説個人的信息遭到了洩露，或者惡意遭到了使用，其實也損害了個人的社會利益。最重要的是，個人信息是個人隱私權的重要內容，所以它是和個人的人格利益聯絡在一起的，因此不經過同意地、惡意地使用或者傳播個人信息，其實損害了個人的人格利益，這是從個人的利益來講的。

從社會的利益來講，很顯然這樣一種對個人信息的侵犯、對個人信息安全的一種侵犯，其實是損害了社會的公共利益，最主要的是破壞了社會的一種信用的基礎。因為誰也不敢相信信息，誰也不敢把自己真實的信息表達出去。

第三個，我想這其實擾亂了國家和政府以及相關部門對社會管理的一種正常的工作、很好地履行他們的功能，因為國家和政府要履行它們的公共職責是需要大量的個人信息的。

所以我覺得惡意地安裝那些軟體，它會導致這樣一些利害，對個人的、社會的，以及國家和政府對社會管理的這樣一些利益的侵害。所以它肯定是不應當的，應該是被禁止、被限制的。

問題五：醫院、銀行、政府等公共機構，掌握了大量的公民個人信息。在保護個人信息安全方面，這些公共機構應當肩負起什麼樣的責任，又應該如何受到約束和監管？

中國人民大學哲學院法倫理學家 曹剛：我們一談到責任，責任其實是兩個方面的意思。一個是要盡到本分，第二個沒盡到本分的時候所承擔的過失。所以我想像銀行、醫院以及相關的機構，因為它要履行一些公共職能，所以必須要蒐集、處理和使用一些個人的信息，這也是它的本分、也是它的責任。但是，它在蒐集、使用、處理這些個人信息的同時，應當保護社會公民的個人利益，這同樣是它的一種本分。所以我覺得這是不矛盾的。

我覺得這裡問題的難點，就在於它沒有盡到本分，怎麼樣追究它責任的問題，怎麼去歸責的問題。因為我們現在發現個人信息的洩露，一個很大的來源就是這樣一些公共機構，所以如何去追究這樣一些公共機構，以及公共機構的服務人員在個人信息洩露方面的一些責任，我覺得要處理好三個方面的關係問題，這也是要把責任落實到位的三個難題。

一個就是個人責任和集體責任的問題。因為我們在確定，比如説醫院、銀行、保險公司或者這樣一些，它洩露信息的責任的時候，我們不可能僅僅去追究他的個人責任，當然也不能僅僅追究它的集體責任。因為洩露信息的行為，往往就是它的職員的或者是組織的某一些行為。所以怎麼樣去平衡這兩種責任的問題，我覺得是第一個關鍵，既要追究集體的責任，又要追究個人的責任。

第二我覺得就是怎麼樣處理一種前瞻性的責任和回溯性責任的問題。所謂前瞻性的責任和回溯性的責任問題，我的意思是指因為當今社會很多行為它所造成的結果、所帶來的危害有的時候是很難以挽回的，比如説信息洩露，因為大量的信息洩露出去它的結果就很難控制了。所以我們在無論是立法，還是提出論證它的規範的時候，我們去追究責任的時候，我們必須要一種前瞻性的目光，因為我們很多時候等到結果發生了，我們就來不及了。當然，所以這裡我們要處理，一旦結果發生，我們要處理責任主體，以及什麼樣的原因導致這樣的一種結果，所以應該承擔一種什麼樣的責任。同時，我們應該有前瞻性地，通過立法或者是行業規則的方式來預防某些結果的發生，這叫前瞻性的責任。

第三個問題我覺得就是要處理過錯責任和無過錯責任之間的關係問題。換句話來説，個人信息的洩露，如果是惡意的，我們這是很好辦的，因為它的惡意洩露個人信息的這樣一種行為它就是不當的，就應該受到法律和道德的某種懲罰了。但是，很多時候個人信息的洩露，比如説政府、銀行、醫院這樣一些公共服務機構，它很難追溯到某一個人惡意的問題。所以這個時候，我們不單是因為它有了惡意、有了故意過失，我們去追究它的責任，即便沒有，造成了嚴重的社會後果，我們一樣要它承擔一種無過錯的責任。所以我覺得您剛才提出來的這個問題，更重要的就是責任落實的問題，而責任落實的問題最主要的就是處理好這三對責任之間關係的問題。

問題六：《政府信息公開條例》已經實施，它強調了對政府信息的公開。同樣是信息，有的需要公開，有的需要保護，那麼是否能在政府信息公開的同時，就保護個人信息安全做進一步地探索？

中國人民大學哲學院法倫理學家 曹剛：政府的信息公開是滿足了公眾的知情權的需要，那麼在滿足公眾知情權需要的同時，很有可能會和另外一種權利，就是隱私權發生衝突。

個人信息很顯然它是屬於個人隱私權的部分內容，所以這裡處理的就是一個權利衝突的問題。我想這樣一系列的問題，我們可以給出一些相對抽象的原則，我們就可以來解決這樣一種權利衝突，劃出一種合理的邊界來。

一個就是保護人權原則，也就是説在政府信息公開的過程中間，只要是個人信息沒有和社會公眾利益沒有發生嚴重衝突的，應該把個人的信息作為隱私權這樣一種基本的人權來予以保護的。這是第一個。

第二個就是利益衡量原則。因為對某種權利的限制或者某種權利保護的背後，都是一個利益選擇的問題。所以政府信息公開所涉及到的知情權和個人信息保護所涉及的隱私權，以及在這個過程中間所涉及到的各個社會主體的這樣一些利益，它可能有公共利益、個人利益，不同個人之間的利益，不同個人和集體之間的利益等等，或者是個人不同性質利益之間的衝突，在這樣一些衝突中間，我們就應該要有所權衡。也就是説哪些利益更重要一些，哪些利益相對來説較不重要一些，或者是説哪些利益應該優先得到保護，這裡應該有一個標準。當然，這個標準、大家有共識的一個標準，還是以社會的公共利益為標準的。

第三個，我覺得個人的信息保護不是絕對的。換言之，它是一個克減的一種權利，也就是説當個人信息的保護，和國家的利益、和某些重大的社會的利益發生衝突的時候，是可以限制個人信息的權利的。

最後還有一個很重要的程序正義的原則。也就是説政府它的信息公開，當涉及到個人信息的時候，它必須應該有一個正當的程序，比如説需要有信息主體的同意，才能夠去蒐集、才能夠去使用、才能夠去公開某些信息。所以我覺得這樣一種正當程序原則也是非常重要的。

我想我們有了這麼一些原則，大概就能夠較好地去解決在政府信息公開過程中和個人信息保護的利益衝突問題。