?

【學(xué)科類別】行政法學(xué)
【出處】《天津法學(xué)》2014年第2期
【寫作時(shí)間】2014年
【中文摘要】《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》填補(bǔ)了中國個(gè)人網(wǎng)絡(luò)信息安全保護(hù)方面的立法空白。但它還不夠完善。尤其是沒有明確具有規(guī)范個(gè)人信息采集功能的信息采集必要性原則之準(zhǔn)確內(nèi)涵，且又提出了“網(wǎng)絡(luò)實(shí)名制”這種新的個(gè)人信息采集規(guī)則。在比較研究的基礎(chǔ)上，本文討論了必要性原則的具體內(nèi)涵，以此進(jìn)一步分析了“網(wǎng)絡(luò)實(shí)名制”規(guī)則與該法律原則之間可能存在的內(nèi)在張力，認(rèn)為實(shí)名制規(guī)則必須通過未來的細(xì)化完善才能與該立法的基本原則相協(xié)調(diào)。
【中文關(guān)鍵字】個(gè)人信息保護(hù)；必要原則；實(shí)名制；隱私
【全文】


　　經(jīng)過多年的立法醞釀，2012年底全國人大頒布了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》(以下簡稱《決定》)。這是自2001年出臺(tái)《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》11年之后，中國頒布的第二個(gè)立法層級(jí)的關(guān)于互聯(lián)網(wǎng)規(guī)制的法律文件。也是第一個(gè)關(guān)于網(wǎng)絡(luò)個(gè)人信息保護(hù)的立法文件。由于廣泛存在著政府、企事業(yè)單位等主體通過網(wǎng)絡(luò)或者其他形式采集并形成個(gè)人電子信息的實(shí)踐，近年來有關(guān)個(gè)人電子信息被販賣、濫用進(jìn)而侵害公民權(quán)利的案件時(shí)有發(fā)生{1}。因此，《決定》的出臺(tái)及時(shí)回應(yīng)了現(xiàn)實(shí)發(fā)展的需要，保護(hù)個(gè)人網(wǎng)絡(luò)信息已經(jīng)成為一項(xiàng)基本的社會(huì)共識(shí){2}。

　　盡管《決定》不是專門的法律，在形式和內(nèi)容上都還不夠完善，但其中最大的“亮點(diǎn)”之一就是提出了規(guī)范一切網(wǎng)絡(luò)“信息行為”的基本法律原則——必要性原則{3}。但《決定》缺乏對該原則內(nèi)涵的闡釋，并且又提出新的網(wǎng)絡(luò)個(gè)人信息采集要求——“網(wǎng)絡(luò)實(shí)名制”。這就可能導(dǎo)致《決定》中法律原則與法律規(guī)則之間的某種緊張關(guān)系，從而影響立法目的的實(shí)現(xiàn)。本文通過對必要性原則的探討，具體分析了這一緊張的內(nèi)涵以及在兩者之間實(shí)現(xiàn)協(xié)調(diào)的可能方向。

　　一、個(gè)人信息法律保護(hù)的全球趨勢與中國的立法回應(yīng)

　　(一)個(gè)人信息保護(hù)的立法模式

　　當(dāng)代的普遍實(shí)踐已經(jīng)將個(gè)人信息保護(hù)納入憲法基本權(quán)利的框架之中，并通過國家強(qiáng)制立法、行業(yè)自律等方式，規(guī)范一切主體針對個(gè)人信息的“信息采集行為”，強(qiáng)化對個(gè)人信息的保護(hù)。自20世紀(jì)70年代起，全球開始了一場對個(gè)人信息的立法保護(hù)運(yùn)動(dòng)。在歐洲大陸、美國、日本、以及我國的臺(tái)灣地區(qū)等地，以“個(gè)人數(shù)據(jù)”、“個(gè)人信息”、“個(gè)人隱私”為名的立法相繼出臺(tái){4}。并大致呈現(xiàn)出兩種不同的保護(hù)進(jìn)路。一種是將個(gè)人信息確認(rèn)為獨(dú)立的憲法權(quán)利，個(gè)人信息自主的價(jià)值獲得優(yōu)先考慮，主要依靠普遍性的嚴(yán)格立法對政府和非政府主體的“信息采集行為”實(shí)施同等標(biāo)準(zhǔn)的法律規(guī)制。比如在德國，個(gè)人信息被認(rèn)為屬于人格尊嚴(yán)的重要組成，憲政法院通過案例法確立了“信息自主權(quán)”。法院要求立法必須明確信息收集的目的和條件，以使公民知悉何種信息以何種理由而被收集，并且必須遵循法治原則和比例原則{5}。同時(shí)，德國還頒布了《聯(lián)邦資料保護(hù)法》，并根據(jù)歐盟《資料保護(hù)指令》的同等保護(hù)要求，經(jīng)過修改最終對政府與非政府主體的信息行為實(shí)施了統(tǒng)一化的規(guī)定{6}。另一種是將個(gè)人信息視作其他憲法權(quán)利的必要內(nèi)容，更加重視信息保護(hù)與信息自由之間的平衡，并對政府與非政府主體的“信息行為”采取了不同的規(guī)制方法和標(biāo)準(zhǔn)；在借助普遍性強(qiáng)制立法的同時(shí)，更倚重行業(yè)自律、市場調(diào)節(jié)，只在市場失靈時(shí)才提出專門性的規(guī)定。比如在美國，法院通過案例法將隱私權(quán)發(fā)展為一項(xiàng)憲法所隱含的權(quán)利。這其中就包含著對個(gè)人信息保護(hù)的要求。由于更擔(dān)心政府的侵害，1974年的《隱私權(quán)法》禁止聯(lián)邦政府未經(jīng)授權(quán)的個(gè)人記錄披露，要求政府機(jī)關(guān)建立起個(gè)人記錄的安全保障措施。而對非公共部門則僅根據(jù)需要在某些領(lǐng)域制定相關(guān)的法律。比如，制定了《電子通訊隱私法》等針對專門領(lǐng)域的隱私保護(hù)立法。一般情況下，則相信市場調(diào)節(jié)，通過“建議性行業(yè)指引”、“網(wǎng)絡(luò)服務(wù)商認(rèn)證制度”和“個(gè)人隱私選擇平臺(tái)”等行業(yè)自律方式保護(hù)個(gè)人信息{7}。

　　(二）中國個(gè)人信息保護(hù)的法律回應(yīng)可見，個(gè)人信息或者作為一項(xiàng)獨(dú)立的基本權(quán)利，或者被納入隱私權(quán)的“體系”{8}。具體保護(hù)模式的立法選擇，在一定程度上可能只是一個(gè)法律技術(shù)問題，并部分反映了不同國家的憲政方法，和對于個(gè)人信息保護(hù)的不同側(cè)重。在我國，盡管憲法文本中沒有對個(gè)人信息保護(hù)的專門規(guī)定，但公民的權(quán)利體系不能因此而封閉化并拒絕將個(gè)人信息保護(hù)納入。首先，憲法規(guī)定了“國家尊重和保障人權(quán)”，這為通過法律解釋擴(kuò)充憲法權(quán)利提供了可能。其次，保護(hù)個(gè)人信息至少是某些基本憲法權(quán)利的輔助性組成。如果公民擔(dān)憂個(gè)人信息的收集、使用、披露將使其處于不利狀態(tài)，那么這將影響其行使權(quán)利的決策。比如，身份信息的收集可能影響表達(dá)自由、對政府進(jìn)行批評和建議的權(quán)利及結(jié)社自由；對個(gè)人電子郵箱使用記錄的收集也可能侵犯通信自由和秘密權(quán)；泄露門診記錄等涉及隱私的個(gè)人信息還可能侵犯個(gè)人的人格尊嚴(yán)和隱私權(quán)。王利明教授等進(jìn)而主張有必要將個(gè)人信息作為一項(xiàng)獨(dú)立于隱私權(quán)的人格權(quán)制度在我國加以確立{9}。在立法上，我國對個(gè)人信息采取了一種“零售式”的、分散化的法律保護(hù)模式。根據(jù)筆者的不完全統(tǒng)計(jì)，從1984年到2012年11月，有超過100部法律法規(guī)文獻(xiàn)涉及個(gè)人信息保護(hù)問題，分布在法律、法規(guī)、政府規(guī)章等各個(gè)層級(jí)，分別針對司法、醫(yī)療、金融、勞動(dòng)保障等諸領(lǐng)域中的特定問題。其中，八部法律分別是《刑法》、《刑事訴訟法》、《護(hù)照法》、《出入境管理法》、《居民身份證法》、《統(tǒng)計(jì)法》、《社會(huì)保險(xiǎn)法》和《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》。五部法規(guī)分別是《電信條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《戒毒條例》、《缺陷汽車產(chǎn)品召回管理?xiàng)l例》和《彩票管理?xiàng)l例》?？紤]到一些法律文獻(xiàn)對個(gè)人信息的保護(hù)可能是在隱私權(quán)、干部檔案的概念下做出的。因而，相關(guān)的規(guī)則性文件將會(huì)更多，更加體現(xiàn)了這一領(lǐng)域我國立法的分散性。且許多規(guī)定的只是最低限度的保密責(zé)任，責(zé)任追究僅限于個(gè)人信息不當(dāng)泄露和通信秘密權(quán)受到侵害的情況。對個(gè)人信息的采集、持有、使用等環(huán)節(jié)沒有相應(yīng)的保護(hù)機(jī)制{10}。而缺乏對個(gè)人信息保護(hù)的系統(tǒng)性與普遍性規(guī)定，這就不利于個(gè)人信息保護(hù)的整體展開?！稕Q定》的通過使中國有了第一部針對個(gè)人信息保護(hù)問題的專門性立法文件。其顯著的立法特色就是同時(shí)借鑒了美國與德國的保護(hù)思路。既延續(xù)了分散化保護(hù)的模式，主要針對個(gè)人網(wǎng)絡(luò)信息的保護(hù)問題，以應(yīng)對網(wǎng)絡(luò)空間中的獨(dú)特挑戰(zhàn)，而與美國通常在市場失靈時(shí)才對專門問題制定立法相似；但在規(guī)制方式上，類似德國等歐盟國家，中國似乎又有限度地選取了對政府與非政府主體的信息行為實(shí)施同等規(guī)制的保護(hù)進(jìn)路。

　　首先，《決定》將保護(hù)的客體限定于識(shí)別個(gè)人身份與涉及個(gè)人隱私，并且存儲(chǔ)形式為電子化的個(gè)人信息。第一，這意味著非以電子形式儲(chǔ)存，比如表現(xiàn)為紙質(zhì)文件的個(gè)人信息不在本法的調(diào)整范圍內(nèi)。比如，干部人事檔案信息就受中組部《干部人事檔案材料收集歸檔規(guī)定》的調(diào)整。第二，只要是以電子形式儲(chǔ)存，不論是否與互聯(lián)網(wǎng)有關(guān)，都在保護(hù)的范圍之內(nèi)。銀行、學(xué)校等以電子方式存儲(chǔ)的個(gè)人賬戶信息、學(xué)籍信息等，即使它們不是通過網(wǎng)絡(luò)采集的，依然不得出售和非法提供。因此，定名為“網(wǎng)絡(luò)信息保護(hù)”也許并不完全恰當(dāng)，它同時(shí)涉及了“線下”的個(gè)人電子信息保護(hù)問題。第三，對個(gè)人信息的保護(hù)，實(shí)現(xiàn)了對收集、使用到保存問題的全面覆蓋。對最低限度的保密要求，政府與非政府主體沒有責(zé)任上的差別。而且，就信息的收集和使用，首次提出了公開收集、使用信息之目的、方式和范圍，并取得用戶同意的要求，并明確規(guī)定采集、使用個(gè)人信息還應(yīng)當(dāng)符合合法、必要、正當(dāng)?shù)脑瓌t。這就為將來可能的細(xì)化規(guī)定確立了基本的法律原則，對規(guī)制信息采集和使用行為具有突出的指導(dǎo)意義。

　　其次，上述法律原則的適用對象是“網(wǎng)絡(luò)服務(wù)提供者與企事業(yè)單位”，沒有像《個(gè)人信息保護(hù)法專家建議稿》那樣明確將義務(wù)主體定為政府與和其他個(gè)人信息處理者{11}。那“網(wǎng)絡(luò)服務(wù)者”這一法律概念究竟包括那些主體？根據(jù)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，“國家對經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實(shí)行許可制度；對非經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實(shí)行備案制度。”政府網(wǎng)站通常上也會(huì)按該《辦法》的要求履行 ICP( Internet Content Provider——網(wǎng)絡(luò)內(nèi)容提供者）備案義務(wù)，并生成備案號(hào)。因此，除了企事業(yè)單位的網(wǎng)站，政府網(wǎng)站似乎也屬于本《決定》所謂的“網(wǎng)絡(luò)服務(wù)提供者”，應(yīng)受本法約束。但這就明顯排除了政府在“線下”收集個(gè)人電子信息的情形，比如公安部門辦理居民戶口登記、中國人民銀行建立的“個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫”等。也即，對企事業(yè)單位與政府“線下”的個(gè)人電子信息的收集、使用采取了不同的規(guī)制標(biāo)準(zhǔn)。此外，“網(wǎng)絡(luò)服務(wù)提供者”不應(yīng)只狹義地限于《決定》第6條所提到的網(wǎng)絡(luò)內(nèi)容服務(wù)與接入服務(wù)提供者，而應(yīng)當(dāng)包括所有網(wǎng)絡(luò)服務(wù)的提供者，如開發(fā)即時(shí)網(wǎng)絡(luò)會(huì)話軟件的IT企業(yè)等，他們也應(yīng)在用戶使用其軟件進(jìn)行網(wǎng)絡(luò)通訊時(shí)履行對個(gè)人信息的保護(hù)責(zé)任。

　　二、個(gè)人網(wǎng)絡(luò)信息保護(hù)中的必要性原則

　　(一）中外信息保護(hù)立法中的原則規(guī)定比較

　　如果說《決定》在我國個(gè)人信息保護(hù)立法中具有里程碑式的意義，那么其最重要的根據(jù)就是《決定》對信息保護(hù)法律原則的首次闡明。關(guān)于個(gè)人信息保護(hù)的法律原則，除了各國家、各國際組織制定或倡導(dǎo)的特定目的、限制收集、限制利用、公開、知情同意、安全保護(hù)、個(gè)人參與、信息品質(zhì)、享有救濟(jì)等一般性原則，各國家還有自己獨(dú)特的原則規(guī)定，如德國要求信息向主體本人收集的“直接原則”等{12}。但《決定》中的法律原則規(guī)定顯得有些簡略，并未遵從國外那種繁雜的原則體系。寬泛地說，《決定》提出了七條法律原則，既體現(xiàn)了個(gè)人信息權(quán)利限制國家過度干預(yù)的消極防御功能，也體現(xiàn)了要求國家制裁私人侵害的積極保障功能。其中多數(shù)條款涉及的是個(gè)人信息應(yīng)以合理的安全措施予以保護(hù)，防止泄露、遺失、篡改的“安全原則”，以及國家應(yīng)當(dāng)建立違法行為制裁與個(gè)人救濟(jì)制度的“責(zé)任原則”。只有第二條還提出了公開、知情同意兩項(xiàng)原則性要求。但嚴(yán)格地說，只有第二條中“合法、正當(dāng)、必要”的要求是明確以法律原則定名的。

　　外國立法例提出的諸多原則盡管有利于個(gè)人信息的全面保護(hù)，但顯得過于繁雜，缺乏法律原則應(yīng)有的概括性與包容性，使得原則層面的問題滑向具體的制度。而我國立法則以“必要原則”的概念，代替了與之相關(guān)的其他諸多原則，并可以成為特定目的、限制收集、限制利用等相關(guān)原則的上位原則，體現(xiàn)了一種立法技術(shù)上的簡約化考量{13}。但這應(yīng)以必要原則的具體化為前提。沒有必要原則的約束，信息采集，尤其是電子化的個(gè)人信息采集總是傾向于不斷自我膨脹的。而且保護(hù)信息安全，在措施方面，根本性的方法不是強(qiáng)化保護(hù)技術(shù)與責(zé)任追究，而是減少不必要的信息收集，降低信息泄露的風(fēng)險(xiǎn)性。因此，必要原則最能體現(xiàn)個(gè)人信息保護(hù)立法的根本制度功能，即在于限制政府與非政府主體的信息采集行為，并且是其他諸多原則得以更有效發(fā)揮作用的邏輯前提，因而在諸原則中具有首要地位。

　　對個(gè)人電子信息的網(wǎng)絡(luò)保護(hù)問題首先提出了必要原則，是與當(dāng)前網(wǎng)絡(luò)服務(wù)提供者對個(gè)人電子信息的收集、使用特點(diǎn)密切相關(guān)的。一是信息收集的全面性。比如，國家公務(wù)員考試、國家司法考試等的網(wǎng)上報(bào)名中，往往需要個(gè)人上傳肖像照片、提交身份證號(hào)、籍貫、出生年月、電話住址等詳細(xì)信息，有的還要求填寫個(gè)人工作簡歷和家庭情況說明。盡管政府為了實(shí)現(xiàn)某種行政任務(wù)而必須收集個(gè)人信息，但有一些信息對報(bào)名而言明顯是不必要的。二是信息收集的多樣性。首先是主體多樣。政府、企事業(yè)單位、甚至個(gè)人操作的“人肉搜索”都可以搜集。其次是內(nèi)容的多樣性。除了《決定》規(guī)定的信息種類，依《互聯(lián)網(wǎng)信息服務(wù)管理辦法》，網(wǎng)絡(luò)服務(wù)提供者還被要求記錄用戶“提供的信息內(nèi)容及其發(fā)布時(shí)間”等其他個(gè)人電子數(shù)據(jù)。在實(shí)名制的條件下，這可以通過自動(dòng)化處理和其他數(shù)據(jù)挖掘技術(shù)拼接成對公民網(wǎng)絡(luò)服務(wù)使用情況的個(gè)人檔案，這在一定條件也足以構(gòu)成涉及個(gè)人隱私的信息{14}。三是信息收集的任意性。因?yàn)闆]有法律原則的限制，一般只要滿足保密的要求，就可以根據(jù)相關(guān)主體的需要隨意收集個(gè)人信息。比如在《決定》通過前，依在前已經(jīng)施行一年多的《北京市微博客發(fā)展管理若干規(guī)定》，受北京市管轄的微博服務(wù)提供商都開始推行“實(shí)名制”。但對于何為真實(shí)身份所要求的信息，一些企業(yè)采取了任意的做法：僅僅是提供身份證號(hào)和姓名不夠，畢業(yè)院校甚至都成了必要內(nèi)容，否則不予開通服務(wù)。因此，必要性原則的提出具有很強(qiáng)的針對性。四是個(gè)人信息濫用。許多人都可能遭遇過，一次網(wǎng)上報(bào)名之后，自己的郵箱、手機(jī)就莫名其妙地開始收到各種各樣的垃圾郵件或短信，其中有商業(yè)廣告，也有辦證、賣槍之類的違法信息。甚至出現(xiàn)了個(gè)人身份信息被盜，被用來辦理電話卡號(hào)、商業(yè)貸款等更嚴(yán)重的情況。

　　(二）中國的必要性原則：主要內(nèi)容與例外

　　結(jié)合中國當(dāng)前的現(xiàn)狀，借鑒外國制度經(jīng)驗(yàn)，《決定》中的必要原則應(yīng)當(dāng)包括以下要求：

　　目的必要。以往的立法表現(xiàn)為約束私人機(jī)構(gòu)嚴(yán)格，約束政府則不足，但政府的侵權(quán)情況有時(shí)比私人機(jī)構(gòu)更顯突出。對此，收集和使用信息的目的應(yīng)當(dāng)被限定于必要范圍內(nèi)。對政府而言，不論收集還是使用個(gè)人電子信息，明確地僅限于維護(hù)不得不保護(hù)的利益這一必要目的。不是這一目的所必需，即使獲得同意，也不得采集。因此，政府就更不應(yīng)使用自己掌握的個(gè)人信息開展網(wǎng)絡(luò)增值業(yè)務(wù)以賺取收益。而公安部設(shè)立的“全國公民身份證號(hào)碼查詢服務(wù)中心”就利用戶籍信息提供面向個(gè)人的“尋親訪友服務(wù)”，收費(fèi)標(biāo)準(zhǔn)80元1人次。而對非政府主體，明確地限于與開展合法的業(yè)務(wù)工作相關(guān)的必要目的，并符合其他法律要求。收集、使用信息應(yīng)當(dāng)對于完成自己的經(jīng)營活動(dòng)和有關(guān)業(yè)務(wù)而言是合理相關(guān)的、必要的。比如收集客戶住址信息用于送貨、產(chǎn)品召回等售后服務(wù)，將個(gè)人的信用情況用于審貸業(yè)務(wù)等，而不應(yīng)在業(yè)務(wù)范圍外收集、使用個(gè)人信息。

　　手段必要。收集、使用個(gè)人信息所采取的手段不應(yīng)是任意的，而應(yīng)當(dāng)有所限制，僅限于那些對實(shí)現(xiàn)收集和使用之目的必要的手段。這就要求以公正、適當(dāng)?shù)姆椒◤氖滦畔⒉杉袨橐詫?shí)現(xiàn)必要目的，而不能采取違背相關(guān)目的的手段。更進(jìn)一步，對政府而言，還應(yīng)當(dāng)符合行政法上的比例原則要求，即應(yīng)采取對于公民權(quán)利限制最小、影響最小、侵害最少的手段，同時(shí)手段的強(qiáng)度不得超越所欲追求的公共利益。比如，對于居民身份登記，不能為了個(gè)人信息的完備性就要求“指紋建檔”。2006年，臺(tái)灣地區(qū)“司法院”就通過解釋，認(rèn)為臺(tái)灣當(dāng)局領(lǐng)取身份證需“摁指紋”的規(guī)定侵犯了人民基本權(quán)利{15}。而2010年，內(nèi)地教育部卻在全國高校推行冬季長跑活動(dòng)時(shí)要求學(xué)生在某網(wǎng)站注冊后根據(jù)網(wǎng)站生成的注冊碼到學(xué)校錄取指紋。此事最后因教育部相關(guān)負(fù)責(zé)人與該網(wǎng)站經(jīng)營者之間的師生關(guān)系被揭發(fā)而不了了之。政府為推進(jìn)大學(xué)生冬季長跑運(yùn)動(dòng)開展采集參與人員信息的工作可能是必要的，但“摁指紋”這一方式則明顯手段不當(dāng)。

　　時(shí)間必要。即收集、使用個(gè)人信息應(yīng)當(dāng)有時(shí)間上的限制，在特定的時(shí)間段內(nèi)，某些信息行為可能符合目的必要與手段必要的要求，但是時(shí)間段過后，就不再必要了，因此相關(guān)的個(gè)人信息就應(yīng)不再保存，或者應(yīng)被禁止提供而不再使用。這就將過程的、動(dòng)態(tài)的必要性觀念引入個(gè)人信息保護(hù)之中，完成信息使用或者收集目的后，信息采集與使用的根據(jù)就失去了法律基礎(chǔ)。英國1998年的《資料保護(hù)法》就要求，為任何目的處理的個(gè)人資料都不得超過該目的所需要的時(shí)間而保存，具體時(shí)限應(yīng)由收集使用信息的目的確定。而我國相關(guān)的立法中，對保存、使用時(shí)限的規(guī)定較少。此外，對不同的問題，信息時(shí)限應(yīng)當(dāng)是不同的。同時(shí)，“時(shí)間必要”也是抑制個(gè)人信息數(shù)據(jù)庫不斷自我膨脹、減輕數(shù)據(jù)維護(hù)負(fù)擔(dān)的需要。比如，《互聯(lián)網(wǎng)信息服務(wù)管理辦法》要求網(wǎng)絡(luò)信息服務(wù)和接入服務(wù)提供者應(yīng)當(dāng)保存用戶個(gè)人記錄60日。畢竟，非政府主體能占有的資源很有限，不可能為滿足調(diào)查犯罪的公共目的，提供大容量的數(shù)據(jù)空間以長期保存不斷膨脹著的用戶個(gè)人數(shù)據(jù)，因此在確定時(shí)限時(shí)，也必須考慮經(jīng)濟(jì)性因素。

　　最少必要。即使符合上述幾項(xiàng)必要性要求，政府與非政府主體依然應(yīng)將信息行為壓縮在盡可能最低的限度內(nèi)，盡可能少采用或者不采用個(gè)人信息?！稕Q定》出臺(tái)之前，2012年由工信部頒布，作為行業(yè)指導(dǎo)性文件的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》中就已經(jīng)明確提出了“最少信息收集”或“最少夠用原則”的原則性要求。這一要求體現(xiàn)了對于通過現(xiàn)代信息技術(shù)采集、使用個(gè)人電子信息之便利性的警惕。網(wǎng)絡(luò)通訊技術(shù)和電子化的數(shù)據(jù)形式使得個(gè)人信息能以較低的成本被大規(guī)模地采集、保存和使用，不必再面對面的人工填寫并提交，不必再謄寫或復(fù)印，甚至只需要點(diǎn)擊鼠標(biāo)選擇給定的內(nèi)容，個(gè)人信息就能被輕易采集并無限復(fù)制。因此，最少必要的要求對于個(gè)人電子信息的網(wǎng)絡(luò)保護(hù)就更具針對性，體現(xiàn)了一種節(jié)約信息、進(jìn)而降低個(gè)人信息泛濫風(fēng)險(xiǎn)的努力。比如，一份個(gè)人電子信息如果已經(jīng)能夠滿足相關(guān)目的的需要，就不應(yīng)當(dāng)為了微小的便利而允許制作大量的拷貝副本，從而增加信息泄露的風(fēng)險(xiǎn)，并增加未來采集信息必要性消失時(shí)徹底刪除個(gè)人電子信息的難度。

　　當(dāng)然，必要原則并非絕對。根據(jù)國內(nèi)外立法實(shí)踐，實(shí)際上存在著兩種類型的例外作為該原則的必然補(bǔ)充。一是即使符合必要性原則，也禁止處理某些敏感信息。除非個(gè)人同意，對它們一般也不得收集或使用。比如個(gè)人的性取向這類純隱私性的信息。二是即使超越了必要性的范圍，也允許處理某些個(gè)人信息。比如新聞自由的例外。對平面媒體而言，文字可能就足以說明問題，但依然可以通過合理合法的圖像采集提升新聞的報(bào)道價(jià)值，包括對個(gè)人肖像的傳播和使用，除非當(dāng)事人明確禁止，一般認(rèn)為其默示同意使用。這也部分說明了個(gè)人信息保護(hù)立法中不同原則的共同適用導(dǎo)致了更為復(fù)雜的保護(hù)形態(tài)，一些原則可能對其他原則的適用創(chuàng)造例外。

　　三、“網(wǎng)絡(luò)實(shí)名制”的必要性反思

　　以前述必要性原則分析，在一個(gè)以保護(hù)網(wǎng)絡(luò)個(gè)人信息為名的法律文本中，要求個(gè)人“辦理網(wǎng)絡(luò)接入服務(wù)、網(wǎng)絡(luò)信息發(fā)布服務(wù)”以及辦理電話入網(wǎng)手續(xù)時(shí)提供“真實(shí)身份信息”，就似乎有點(diǎn)“題”“文”不符的意味。保護(hù)個(gè)人電子信息意味著規(guī)范與限制一切主體的信息收集、使用行為從而降低信息泄露和被濫用的風(fēng)險(xiǎn)，而“實(shí)名制”則意味著對身份信息的收集，因此不能讓人直接地理解“實(shí)名制”之起到個(gè)人信息保護(hù)作用的根據(jù)。

　　實(shí)際上，主張實(shí)名制的通常理由恰恰不是個(gè)人信息保護(hù)這一私權(quán)保障的需要，而是網(wǎng)絡(luò)內(nèi)容規(guī)制（content regulation)這一基于凈化網(wǎng)絡(luò)環(huán)境、防止非法信息傳播之類的公共利益考量。實(shí)名制的邏輯，是通過將個(gè)人的行為與其身份建立明確的聯(lián)系，從而增加個(gè)人對其網(wǎng)絡(luò)行為的自我審查(self-regulation)效果。通過這種自我審查的強(qiáng)化，可以期待網(wǎng)絡(luò)違法信息行為的減少，誹謗他人、制造謠言、提供侵權(quán)文件的違法分子可能因其違法活動(dòng)的可觀察性而面臨更高的制裁風(fēng)險(xiǎn)。在這一意義上，這的確可以對散布他人隱私的違法者形成一種更強(qiáng)的制裁威懾，從而側(cè)面地對個(gè)人隱私與名譽(yù)權(quán)起到保護(hù)的效果。曾經(jīng)實(shí)行網(wǎng)絡(luò)實(shí)名制的代表性國家韓國，就是基于實(shí)名制的自我審查機(jī)制，試圖控制不負(fù)責(zé)任的誹謗言論以維護(hù)選舉期間的競選公正、個(gè)人隱私及名譽(yù)權(quán)但韓國的網(wǎng)站運(yùn)營商認(rèn)為，實(shí)名制對惡意貼文的抑制效果并不明顯。{17}此外，合法的言論也可能因?qū)嵜自獾酱驌?、?bào)復(fù)或面臨其他社會(huì)集團(tuán)的壓力，從而起到限制言論自由，抑制公民批評建議政府權(quán)利的效果。所以，創(chuàng)作中使用筆名、匿名寫作的情況自古有之?？傊稕Q定》在立法技術(shù)上因此顯得有些不符合邏輯嚴(yán)整性的要求。而將“內(nèi)容規(guī)制”的法律規(guī)則放在關(guān)于個(gè)人信息保護(hù)的立法中予以通過，可能是為了增強(qiáng)實(shí)名制施行后公眾對個(gè)人電子信息安全的信心，從而起到降低實(shí)名制推行阻力的效果。但在這個(gè)意義上，“信息保護(hù)”就反而成了“推行實(shí)名制”的陪襯。

　　不可否認(rèn)，基于內(nèi)容規(guī)制的公共利益追求，實(shí)名制在邏輯上似乎可以發(fā)揮效果。但從網(wǎng)絡(luò)治理的整體性出發(fā)，正如信息保護(hù)各項(xiàng)原則的同時(shí)適用會(huì)形成對彼此的限制一樣，內(nèi)容規(guī)制的政策目標(biāo)同樣應(yīng)受到信息保護(hù)要求的限制，因而“信息保護(hù)”與“實(shí)名制”之間的張力需要在必要性原則的視角下接受更多的審視。

　　首先，必要原則要求“最少的必要”。而內(nèi)容規(guī)制實(shí)際上只應(yīng)針對違法信息，對于其他類型的信息，缺乏獲取個(gè)人身份信息的必要性。一些人只想交流某些私密性的話題而建立了專門的網(wǎng)絡(luò)平臺(tái)，只有獲得邀請的成員才能訪問，特定的信息只在他們的網(wǎng)絡(luò)社區(qū)內(nèi)傳播，對其施加實(shí)名制要求的必要性明顯低于開放式的公共網(wǎng)絡(luò)論壇，故不應(yīng)采取“一刀切”式的普遍化實(shí)名要求。比如，韓國推行的網(wǎng)絡(luò)實(shí)名制就僅限于日訪問量大于1萬的網(wǎng)站否則，全網(wǎng)絡(luò)實(shí)名化，必然會(huì)嚴(yán)重“放大”個(gè)人的信息安全風(fēng)險(xiǎn)。一旦真實(shí)的身份信息泄露，因?yàn)檫@種信息的變更成本很大，像身份證號(hào)等基本跟隨個(gè)人一生，其泄露造成的危害后果一般是難以扭轉(zhuǎn)和消除的。2011年中國就發(fā)生過國內(nèi)“最大開發(fā)者技術(shù)社區(qū)CSDN”600萬用戶數(shù)據(jù)泄露(包括用戶名和明文密碼)和“天涯社區(qū)”4000萬用戶數(shù)據(jù)包被瘋傳的事件。試想，如這換成了4000萬用戶的身份證號(hào)、家庭住址、郵箱、電話等身份信息的泄露，其潛在危害就難以預(yù)估了。這也會(huì)給實(shí)名制政策的推行造成巨大的壓力{19}。韓國的網(wǎng)絡(luò)實(shí)名制已于2012年被廢除，除了憲法裁判所的違憲判決，另一個(gè)重要的誘因就是2011年發(fā)生了某重要網(wǎng)站遭到黑客攻擊，造成3500萬用戶個(gè)人身份數(shù)據(jù)泄露的嚴(yán)重事件{20}。

　　其次，實(shí)名制的自我規(guī)制機(jī)制是以用戶提供自己真實(shí)身份為前提的，但這存在操作上的困難。如果提交不實(shí)的身份信息，網(wǎng)站根本無法核實(shí)。因此，筆者注意到ISP開始與公安部的“全國公民身份證號(hào)碼查詢服務(wù)中心”聯(lián)網(wǎng)，對被提交的姓名與身份證號(hào)碼進(jìn)行一致性比對，未通過檢驗(yàn)則不能使用信息發(fā)布服務(wù)。但這依然不能阻止盜用身份信息的情況出現(xiàn)。畢竟，“在互聯(lián)網(wǎng)上，沒有人知道你會(huì)是一條狗”（0n the Internet, nobody knows you are a dog)。盜用他人的身份信息依然可以維持某種網(wǎng)絡(luò)的匿名性，而且盜用是否存在本身就是不可見的、匿名的。國內(nèi)盜用他人身份信息的案件并不少見，著名的“齊玉玲案”就是盜用他人姓名冒名頂替上學(xué)。尤其是對那些真正的違法者而言，實(shí)名制可能會(huì)刺激他們對個(gè)人信息的需求，反而進(jìn)一步擴(kuò)大了非法的個(gè)人信息交易活動(dòng)。而且，實(shí)名制實(shí)施以前已經(jīng)有大量的身份信息被泄露了，而實(shí)名制后由于更大范圍的個(gè)人身份信息的采集，泄露的風(fēng)險(xiǎn)進(jìn)一步加大，違法者可以更容易獲得身份信息并加以盜用。因此，實(shí)名制可能是一個(gè)只能防“君子”，不能治“小人”的辦法。此外，身份被盜用的個(gè)人，在證明清白之前，將可能承擔(dān)違法者的行為后果，被調(diào)查甚至起訴，導(dǎo)致合法公民受到嚴(yán)重的權(quán)利侵害與極端的不公正待遇，并可能引起公眾對實(shí)名制政策的批評。而如果為了防止盜用，必然需要進(jìn)一步設(shè)計(jì)有效的核實(shí)方法。而這又多是以更多地采集個(gè)人信息為手段的。比如要求進(jìn)一步核實(shí)用戶肖像等，從而陷入了一種不斷提升個(gè)人信息安全性風(fēng)險(xiǎn)的“惡性螺旋”。即使真的解決了盜用問題，也可能因信息過度采集而嚴(yán)重違反必要原則的要求。此外，未滿16周歲的青少年群體、沒有本國身份證件的外國人，目前由于無法提交可被簡易核實(shí)的身份證號(hào)等個(gè)人身份信息，實(shí)踐上就不能完全獲得相關(guān)的網(wǎng)絡(luò)信息發(fā)布等服務(wù)，從而違反了權(quán)利的平等保護(hù)原則，并可能刺激這類群體使用他人身份信息的需求。因此即使推行實(shí)名制也有必要對不同群體，尤其是那些不能提供簡易的、可供核實(shí)的身份信息的群體做出不同的細(xì)化安排。

　　最后，由于網(wǎng)絡(luò)服務(wù)的集成性，普遍的實(shí)名制可能造成個(gè)人網(wǎng)絡(luò)生活完全“透明化”的后果。盡管《決定》只要求三種情況實(shí)名，即接入網(wǎng)絡(luò)、接入電話、網(wǎng)絡(luò)信息發(fā)布。但許多網(wǎng)絡(luò)服務(wù)提供商只是把信息發(fā)布等作為其諸多網(wǎng)絡(luò)服務(wù)的一部分，它們還提供網(wǎng)絡(luò)空間用來存儲(chǔ)個(gè)人文件，傳遞即時(shí)會(huì)話信息、發(fā)送私人電郵等其他服務(wù)，諸多網(wǎng)絡(luò)服務(wù)已經(jīng)集成一體，一種服務(wù)的“實(shí)名化”不能不導(dǎo)致其他服務(wù)的“實(shí)名化”。比如網(wǎng)易微博的賬號(hào)就是網(wǎng)易郵箱的賬號(hào)，微博實(shí)名就等于電郵實(shí)名；騰訊qq賬號(hào)也是微博賬號(hào)，微博實(shí)名同樣導(dǎo)致qq 賬號(hào)實(shí)名。對于網(wǎng)絡(luò)服務(wù)商而言，用戶個(gè)人就因一項(xiàng)服務(wù)的實(shí)名制要求而導(dǎo)致其他服務(wù)的全面實(shí)名化，個(gè)人對服務(wù)商就如同完全“透明化”了一般，使用其服務(wù)的網(wǎng)絡(luò)行為就變得毫無隱私可言。而對政府，由于實(shí)名制的普遍適用，一旦展開調(diào)查，基于“大數(shù)據(jù)分析技術(shù)”，通過被稱之為“圖表化”、“匹配”、“數(shù)據(jù)集成”和“數(shù)據(jù)挖掘”的技術(shù)分析，來自不同網(wǎng)絡(luò)服務(wù)商的、無聯(lián)系的個(gè)人信息就可以被集聚起來，即使其所集聚的僅僅是來自公共領(lǐng)域的數(shù)據(jù)，其所創(chuàng)立的基于各種信息來源的個(gè)人信息數(shù)據(jù)庫，以及從那些公開信息的碎片中推導(dǎo)出來的其他信息，也足以“拼合”并描述具體個(gè)人的完整網(wǎng)絡(luò)生活{21}。而且，官僚機(jī)構(gòu)對信息的需求是日益增長、永無止境的。為了其他目的，如果沒有有效的監(jiān)督，他們有可能違反自己制定的規(guī)則去獲取信息。從根本上說，“實(shí)名制”也就使個(gè)人眾多的網(wǎng)絡(luò)生活細(xì)節(jié)變成可被觀察的對象，比如在網(wǎng)盤儲(chǔ)存了什么文件，通過“站內(nèi)私信”與誰做過什么交流等等，從而創(chuàng)造了一種個(gè)人可被觀察，但他不知道自己在何時(shí)以及被誰“觀察”的數(shù)字空間。個(gè)人的隱私也就仿佛處在了一種看不見而又無所不在的權(quán)威之下{22}。因此，追求內(nèi)容規(guī)制如果導(dǎo)致了私人網(wǎng)絡(luò)空間的最終淪失，其必要性就值得做出根本反思，考慮是否還有其他潛在影響更小的替代方法以兼顧內(nèi)容規(guī)制和網(wǎng)絡(luò)隱私保護(hù)。

　　四、結(jié)論

　　《決定》的出臺(tái)彌補(bǔ)了我國個(gè)人信息保護(hù)立法的一項(xiàng)空白，必要原則等基本法律原則的提出對未來的信息保護(hù)立法具有根本意義。但是《決定》中基于內(nèi)容規(guī)制目標(biāo)的實(shí)名化要求卻與個(gè)人電子信息保護(hù)的立法目的聯(lián)系松弛，并且普遍化的“一刀切”實(shí)名制顯得粗疏。實(shí)際上，“實(shí)名制”對網(wǎng)絡(luò)違法信息的自我規(guī)制效果本身也值得懷疑。2013年以微博為突破點(diǎn)，中國政府部署的對于網(wǎng)絡(luò)謠言、網(wǎng)絡(luò)水軍等違法信息發(fā)布、傳播行為的集中打擊活動(dòng)，恰好說明了實(shí)名制并沒有起到立竿見影的“內(nèi)容自我審查”之成效。反而，實(shí)名制還可能造成過高的信息安全風(fēng)險(xiǎn)，過度的信息收集傾向以及嚴(yán)重的潛在后果。因此有必要在將來的實(shí)踐中，在反思的基礎(chǔ)上對實(shí)名制進(jìn)一步加以調(diào)整，尋找更為精細(xì)適當(dāng)?shù)淖兺ǚ桨笍亩c信息保護(hù)的立法原則更好地協(xié)調(diào)。

【作者簡介】
步超，男，北京大學(xué)法學(xué)院2012級(jí)憲法學(xué)與行政法學(xué)專業(yè)博士研究生，主要從事互聯(lián)網(wǎng)規(guī)制，行政組織法研究。
【參考文獻(xiàn)】
{1}余榮華.北京破獲特大販賣個(gè)人信息案——網(wǎng)上“夫妻店”，倒賣上千萬條公民信息[N].北人民日報(bào)，2011-09-23(11)。?
{2}曹林.網(wǎng)絡(luò)立法需要尋求基本共識(shí)[N].中國青年報(bào)，2012-12-24(1).?
{3}{6}蔣舸.個(gè)人信息保護(hù)法立法模式的選擇——以德國經(jīng)驗(yàn)為視角[J].法律科學(xué)，2011，(2).?
{4}齊愛民.拯救信息社會(huì)中的人格——個(gè)人信息保護(hù)法總論[M].北京：北京大學(xué)出版社，2009.41.?
{5}張千帆.憲法學(xué)導(dǎo)論——原理與應(yīng)用[M].北京：法律出版社，2006.657-658.?
{7}華劼.網(wǎng)絡(luò)時(shí)代的隱私權(quán)——兼論美國和歐盟網(wǎng)絡(luò)隱私權(quán)保護(hù)規(guī)則及其對我國的啟示[J].河北法學(xué)，2008，(6).?
{8}洪海林.個(gè)人信息的民法保護(hù)研究[M].北京：法律出版社，2010.189.?
{9}王利明.人格權(quán)法的發(fā)展與完善——以人格尊嚴(yán)的保護(hù)為視角[J].法律科學(xué)，2012，（4).?
{10}李長喜.中國個(gè)人信息的網(wǎng)絡(luò)立法保護(hù)[A].周漢華.個(gè)人信息保護(hù)前沿問題研究[C].北京：法律出版社，2006.189.?
{11}周漢華.個(gè)人信息保護(hù)法（專家建議稿）及立法研究報(bào)告[M].北京：法律出版社，2006.52-56.?
{12}蔣坡.個(gè)人數(shù)據(jù)信息的法律保護(hù)[M].北京：中國政法大學(xué)出版社，2008.52-63.?
{13}郭瑜.個(gè)人數(shù)據(jù)保護(hù)法研究[M].北京：北京大學(xué)出版社，2012.167—177.?
{14}[日]小林麻理.IT的發(fā)展與個(gè)人信息保護(hù)[M].夏平等譯.北京：經(jīng)濟(jì)日報(bào)出版社，2007.5.?
{15}肖登輝.行政法中的個(gè)人信息保護(hù)問題研究[M].武漢：湖北人民出版社，2011.62-68.?
{16}Eric Fish, Is Internet Censorship Compatible with Democracy?： Legal Restrictions of Online Speech in South Kore a, Asia-Pacific Journal on Human Rights and the Law, vol.2，2009.[EB/OL]Social Science Research Network,?http://papers.ssm.com/sol3/papers.cfm?abstract_id=1489621，2013-09-14.?
{17}顧列銘.韓國的網(wǎng)絡(luò)實(shí)名制[J].觀察與思考，2009，(11).?
{18}詹小洪.韓國為何廢除網(wǎng)絡(luò)實(shí)名制[J].新民周刊，2012，(36).?
{19}賀濤，李湘寧.解碼泄密門[EB/OL]財(cái)經(jīng)網(wǎng)，?http://magazine.caijing.com.cn/2012-01-16/111619471.html,2013—09-14.?
{20}新京報(bào).韓國擬取消網(wǎng)絡(luò)實(shí)名制防止用戶個(gè)人信息泄露[EB/OL]新京報(bào)電子版，http://epaper.bjnews.com.cn/html/2011_08/12/content_263841.htm? div=-l,2011-08-11.?
{21}呂耀懷.當(dāng)代西方對公共領(lǐng)域隱私問題的研究及其啟示[J].上海師范大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2012，(4).?
{22}[英]吉隆?奧哈拉，奈吉爾?沙德博爾特，咖啡機(jī)中的間諜——個(gè)人隱私的終結(jié)[M].畢小青譯.上海：生活?讀書?新知三聯(lián)書店，2011.192-194.