以社会公共利益为标准 个人信息应作为基本人权予以保护——专访中国人民大学哲学院法伦理学家 曹刚

问题一：当前，各种个人信息“被泄露”折射出的最大问题是什么？国内对个人信息保护的现状是什么？与其他国家或地区相比，有何异同？

中国人民大学哲学院法伦理学家 曹刚：我觉得当代社会的发展，尤其是科学技术的发展，给我们带来了很多新的问题，也就是说比如像网络技术的发展，使我们的行为形态和行为方式都发生了很大变化，因此也给伦理学理论，道德规范体系包括法律体系都提出了极大的挑战。

这是我们面对这样一种数字化生存的时代所遇到的一个很大的问题。所以呢，我们如何应对这样一种新的生活形态和行为方式，以及新的社会关系和生存领域所产生的一些道德难题，去提出和论证一些可以调整这些关系和行为的道德规范和法律规范，是我们面对的最大的问题。

也是正因为如此，我觉得我们国家关于个人信息保护的状态是令人堪忧的。根本的原因还是我们没有一个，或者是没有一系列的，明确的、系统的这样一种道德规范体系和法律规范体系。换而言之，也就是说我们没有一个标准，正因为没有这样的一个标准，我们就很难树立起我们的保护个人信息的这样一种意识。同时呢，信息的使用者、信息的管理者也很难确定的去区分，哪一种使用和管理以及处理信息的行为是正当的，还是不正当的，合法的或者是不合法的。与此同时也给政府的关于信息管理的这一行为带来了一些困难。

就国外来的这样一种个人信息保护的这样趋势来说，他们也是面临这些信息输入所带来人类生存的一种新形态或者新行为方式的一种挑战。但是他们先走了一步，比如说就美国而言，它主要是通过行业自律这样一种手段，目的是怎么样更好的、有效的应用信息。所以他们对个人信息的保护是很重视的，但是因为它的一种目的是有效的利用信息，所以在这方面呢，又没有欧盟对个人信息的保护那么严格、那么绝对。

因为就欧盟这些国家而言，他们对个人信息的保护是通过立法的方式，而且其目的呢，也就是说把个人信息看成是隐私权的一部分，作为人权保护的。也就是说作为人格利益来保护的，所以欧盟的保护更加严格一点。但是，从另外一方面来说，它对于信息的有效利用、交流和共享产生了某些局限。

所以我想我们国家的个人信息的安全问题，应该是扬长避短，根据我们当代中国社会的一些具体的情况和条件来制定这样一种个人信息保护的相关的法律和道德规范体系。

问题二：随着个人数据商业化处理的泛滥，个人信息被滥用成为社会信息伦理危机的一个突出问题。在道德规范、法律规范和行业规范方面，对于像微博、SNS社交网站和LBS（基于位置的服务网站）等，这样的与个人信息密切相关的商业性的社会化网站，如何进行规范与管理？

中国人民大学哲学院法伦理学家 曹刚：我想对这些网站也好，或者是这些媒体也好，他们规范管理无外乎就是说要去提出一些有效的、可以执行的对信息的搜集、使用、处理这样一些行为的规范。所以我认为可以从这几方面来看：

一个就是加快各类信息保护法的立法。因为尽管说现在对个人信息的保护有了一些相关的法律，比如说《刑法修正案》（七），比如说《中华人民共和国居民身份证法》，以及相关的民法中间的侵权法以及相关的规定，都有了关于不当使用个人信息的一些处罚的规定。但这是不够的，因为它们比较零散、层级比较低、不系统。所以为了更好地保护个人信息安全，我们觉得还是应该加强专门的立法，也就是个人信息保护法。这是第一点。

第二点，我觉得应该要尽快地提出、论证信息伦理的有关道德准则。因为前面说到，信息活动尽管是说人类自古以来就有的一种活动，但是随着社会的发展特别是信息技术的高速发展，信息活动在当代社会它有了和以往社会不同的质的、结构性的变化。那么传统的伦理学理论和道德规范体系很少关注对信息行为的一种道德判断和规范约束。所以我们觉得应该在个人信息的保护的过程中间，特别的要提出关于信息的搜集、使用、传播等等各种行为的一种信息伦理的准则。

第三我觉得就是尽快地要出台行业的自律的条款，现在的“个人信息保护指南”就快出台了，我想这是一个好事。因为行业的自律对于个人的信息保护是非常重要的，而且它也符合这个行业这样一种发展趋势，同时它也是约束行业从业人员的一种职业道德。

第四个，我觉得是无论是法律规范也好，无论是道德规范也好，无论是行业的自律的规则也好，它们都还是要落到实处，应该得到一种有效的执行。所以我觉得就是对这样一些道德法律和条规的执行情况的一种检查，对个人信息处理相关行为的一种道德或者法律方面的监督，也是非常重要的。

尤其重要的是我们觉得应该成立一些独立的、有权威的这样一种机构，比如说信息伦理委员会，这是非常重要的。因为有了这样一个机构，就可以更好地去评估、更好地去检查这样一些信息处理的相关行为。

第五个，因为个人信息安全的问题不是某一个人的问题，而是整个社会的问题，所以社会公众的参与也是非常重要的。同时，每一个社会公众自己加强个人信息安全的意识也是非常重要的。

最后当然是技术性的手段了。我们应该要多研究、多开发一些技术性的保护个人安全的一种手段。所以我想就是这么几个方面。

问题三：信息伦理的有关道德准则如何对搜集、使用、传播等信息行为起约束作用？

中国人民大学哲学院法伦理学家 曹刚：立法是有立法机构就可以确立的，像这样一种行为信息伦理的行为准则呢，我想它首先它应该是建立在一个社会的基本价值共识的基础之上，其次呢，它应该有相关的专家，比如信息技术方面的专家、伦理学的学者、法学的学者，比如说相关的一些信息占用、使用的，一些大量使用信息这样一些机构，这样一些代表者。他们在价值共识的基础之上，在吸收国际社会关于信息伦理的理论研究成果基础之上，一起来确定我们应该遵循的准则。我想这应该是合理的。

这样的一些规范、规则主要是通过两个渠道在发挥作用。一个是要加强社会舆论的力量，来有效地保证这样一些规则、信息伦理的规则得到大家的重视。另外一个要让这样一些信息伦理的准则、道德规范能够内化为人内在的一种道德要求。同时，因为个人信息安全的保护问题，它是涉及到一个不同生活领域的问题，而且它又是一个有技术性比较相关的问题，所以在具体的实施的机制上，就应该成立某些行业的道德委员会，通过道德委员会对某一些行为、某一些决策做出判断。

个人信息安全的保护，应该是社会各种力量一个综合的结果。立法、法律，当然它的力量是很强大的，所以我们不能没有法，因此我们呼唤个人信息保护法的出台。但是光有法律的力量也是不够的，必须要有道德的力量，同时还有其他社会的力量，综合地起作用才能够达到个人信息保护的效果。

问题四：在个人信息泄密事件中，各种用户端“被安装”的信息抓取软件起了很大的作用，各类网站对这种类软件应不应有防范措施？在没有被告知、非自愿的情况下，因 “被安装”了这种软件而造成个人信息泄露的公民，在社会伦理层面、法学层面，哪些权益受到了损害？这类软件的使用应受到限制吗？如果限制，该如何限制？

中国人民大学哲学院法伦理学家 曹刚：我们说各种软件，作为一种技术性手段，我觉得本身是无所谓善恶的，无所谓限制与否的，要限制也是一种技术上的东西。

这里问的这个问题，我觉得更好的在于它对于哪些利益遭到了损害。我想这样一种不经过同意地、恶意地安装这样一些软件，从而导致个人信息泄露，其实它损害的利益是非常广泛的。

从个人的意义上来说，一个信息它具有经济价值，因为人们在使用和交换信息过程中，能够获得某些经济的利益。所以这样一种个人信息的泄露，可以说是侵犯了个人的经济利益。第二个，个人社会交往的过程中间，或者说个人在社会生活过程中间，信息是个人在社会交往中间，识别和被识别、评价和被评价的一个中介和最后的一种结果。所以如果说个人的信息遭到了泄露，或者恶意遭到了使用，其实也损害了个人的社会利益。最重要的是，个人信息是个人隐私权的重要内容，所以它是和个人的人格利益联系在一起的，因此不经过同意地、恶意地使用或者传播个人信息，其实损害了个人的人格利益，这是从个人的利益来讲的。

从社会的利益来讲，很显然这样一种对个人信息的侵犯、对个人信息安全的一种侵犯，其实是损害了社会的公共利益，最主要的是破坏了社会的一种信用的基础。因为谁也不敢相信信息，谁也不敢把自己真实的信息表达出去。

第三个，我想这其实扰乱了国家和政府以及相关部门对社会管理的一种正常的工作、很好地履行他们的功能，因为国家和政府要履行它们的公共职责是需要大量的个人信息的。

所以我觉得恶意地安装那些软件，它会导致这样一些利害，对个人的、社会的，以及国家和政府对社会管理的这样一些利益的侵害。所以它肯定是不应当的，应该是被禁止、被限制的。

问题五：医院、银行、政府等公共机构，掌握了大量的公民个人信息。在保护个人信息安全方面，这些公共机构应当肩负起什么样的责任，又应该如何受到约束和监管？

中国人民大学哲学院法伦理学家 曹刚：我们一谈到责任，责任其实是两个方面的意思。一个是要尽到本分，第二个没尽到本分的时候所承担的过失。所以我想像银行、医院以及相关的机构，因为它要履行一些公共职能，所以必须要搜集、处理和使用一些个人的信息，这也是它的本分、也是它的责任。但是，它在搜集、使用、处理这些个人信息的同时，应当保护社会公民的个人利益，这同样是它的一种本分。所以我觉得这是不矛盾的。

我觉得这里问题的难点，就在于它没有尽到本分，怎么样追究它责任的问题，怎么去归责的问题。因为我们现在发现个人信息的泄露，一个很大的来源就是这样一些公共机构，所以如何去追究这样一些公共机构，以及公共机构的服务人员在个人信息泄露方面的一些责任，我觉得要处理好三个方面的关系问题，这也是要把责任落实到位的三个难题。

一个就是个人责任和集体责任的问题。因为我们在确定，比如说医院、银行、保险公司或者这样一些，它泄露信息的责任的时候，我们不可能仅仅去追究他的个人责任，当然也不能仅仅追究它的集体责任。因为泄露信息的行为，往往就是它的职员的或者是组织的某一些行为。所以怎么样去平衡这两种责任的问题，我觉得是第一个关键，既要追究集体的责任，又要追究个人的责任。

第二我觉得就是怎么样处理一种前瞻性的责任和回溯性责任的问题。所谓前瞻性的责任和回溯性的责任问题，我的意思是指因为当今社会很多行为它所造成的结果、所带来的危害有的时候是很难以挽回的，比如说信息泄露，因为大量的信息泄露出去它的结果就很难控制了。所以我们在无论是立法，还是提出论证它的规范的时候，我们去追究责任的时候，我们必须要一种前瞻性的目光，因为我们很多时候等到结果发生了，我们就来不及了。当然，所以这里我们要处理，一旦结果发生，我们要处理责任主体，以及什么样的原因导致这样的一种结果，所以应该承担一种什么样的责任。同时，我们应该有前瞻性地，通过立法或者是行业规则的方式来预防某些结果的发生，这叫前瞻性的责任。

第三个问题我觉得就是要处理过错责任和无过错责任之间的关系问题。换句话来说，个人信息的泄露，如果是恶意的，我们这是很好办的，因为它的恶意泄露个人信息的这样一种行为它就是不当的，就应该受到法律和道德的某种惩罚了。但是，很多时候个人信息的泄露，比如说政府、银行、医院这样一些公共服务机构，它很难追溯到某一个人恶意的问题。所以这个时候，我们不单是因为它有了恶意、有了故意过失，我们去追究它的责任，即便没有，造成了严重的社会后果，我们一样要它承担一种无过错的责任。所以我觉得您刚才提出来的这个问题，更重要的就是责任落实的问题，而责任落实的问题最主要的就是处理好这三对责任之间关系的问题。

问题六：《政府信息公开条例》已经实施，它强调了对政府信息的公开。同样是信息，有的需要公开，有的需要保护，那么是否能在政府信息公开的同时，就保护个人信息安全做进一步地探索？

中国人民大学哲学院法伦理学家 曹刚：政府的信息公开是满足了公众的知情权的需要，那么在满足公众知情权需要的同时，很有可能会和另外一种权利，就是隐私权发生冲突。

个人信息很显然它是属于个人隐私权的部分内容，所以这里处理的就是一个权利冲突的问题。我想这样一系列的问题，我们可以给出一些相对抽象的原则，我们就可以来解决这样一种权利冲突，划出一种合理的边界来。

一个就是保护人权原则，也就是说在政府信息公开的过程中间，只要是个人信息没有和社会公众利益没有发生严重冲突的，应该把个人的信息作为隐私权这样一种基本的人权来予以保护的。这是第一个。

第二个就是利益衡量原则。因为对某种权利的限制或者某种权利保护的背后，都是一个利益选择的问题。所以政府信息公开所涉及到的知情权和个人信息保护所涉及的隐私权，以及在这个过程中间所涉及到的各个社会主体的这样一些利益，它可能有公共利益、个人利益，不同个人之间的利益，不同个人和集体之间的利益等等，或者是个人不同性质利益之间的冲突，在这样一些冲突中间，我们就应该要有所权衡。也就是说哪些利益更重要一些，哪些利益相对来说较不重要一些，或者是说哪些利益应该优先得到保护，这里应该有一个标准。当然，这个标准、大家有共识的一个标准，还是以社会的公共利益为标准的。

第三个，我觉得个人的信息保护不是绝对的。换言之，它是一个克减的一种权利，也就是说当个人信息的保护，和国家的利益、和某些重大的社会的利益发生冲突的时候，是可以限制个人信息的权利的。

最后还有一个很重要的程序正义的原则。也就是说政府它的信息公开，当涉及到个人信息的时候，它必须应该有一个正当的程序，比如说需要有信息主体的同意，才能够去搜集、才能够去使用、才能够去公开某些信息。所以我觉得这样一种正当程序原则也是非常重要的。

我想我们有了这么一些原则，大概就能够较好地去解决在政府信息公开过程中和个人信息保护的利益冲突问题。