除了騙子，“徐玉玉案”還應向誰追責？

　　——整治信息詐騙要完善追責機制

　　（本文刊發于《中國經濟周刊》2016年第42期）

　　北京市社會科學院、中國社會科學院法學所博士后研究人員 劉自欽

　　前段時間，徐玉玉被電話詐騙走了上大學的費用9900元，傷心欲絕而心臟驟停，最后不幸離世。這再次將公眾的關注焦點匯集到了個人信息安全和個人數據保護問題上來，成為時下熱門話題。徐玉玉案發后9天，警方即告破案。公安機關對該影響重大的案件投入巨大的精力，并不能降低國民在日常生活中遭受的個人信息泄露和受騙風險。

　　有的法科學生在當地司法局報考司法考試后，會在近半年乃至更久時間內持續受到司考培訓機構的電話和短信廣告騷擾；人們到電信服務公司實名辦理手機卡后，往往會莫名受到各種公司或機構的電話和短信騷擾……面對各種信息詐騙案件層出不窮的現狀，只有完善現有責任追究機制，才能恰當地賠償受害消費者，精準地懲處有關責任方，有效地威懾潛在加害者。而確定相關責任主體的范圍，則是啟動責任追究機制的第一步。

　　現有法規將責任主體限定于詐騙行為實施者，難以起到抑制信息詐騙、保護信息安全、維護消費者權益的作用。那么，信息泄露到底應該責歸何方呢？

　　應將有關行政機關和企業作為連帶責任人

　　有關行政機關以國家、社會安全為由，要求公民在眾多涉及行政管理的事項中提供個人信息；有關企業以安全監管和便利服務為由，要求消費者提供個人信息，甚至網絡服務運營商通過相應格式合同條款默認消費者同意將有關個人信息供其“使用”。這些掌握個人信息的源頭，卻出于獲取不當利益的動機向他人提供本應由其保護的個人信息，這是造成個人信息遭到泄露并濫用的根本因素。因此，在立法和執法時，對于此種泄露個人信息的行為應當加大處罰、懲處力度，并制定詳盡的個人救濟制度以便利公民尋求司法救濟或者自力救濟。

　　有人可能會說，這些行政機關或公司收集個人信息的出發點是好的，只不過是因為內部工作人員泄露或者他人通過不法途徑盜用了信息，因此這些行政機關或公司不應承擔主要責任。無可否認，他們可能是基于合法目的或者正當理由收集了公民的個人信息，但若他們不付出相應的代價對這些信息進行保護，進而加大內部工作人員或他人泄露、獲取信息的成本，則違背了他們收集個人信息的最初目的或者理由（維護國家社會安全、服務公民或消費者），因為他們的“不作為”或者“少作為”使得公民信息、合法權益和公共利益遭到了損害。

　　人們基于信任向這些行政機關和公司提供信息，或者辜負了人們的信任，不僅違背了基本的契約精神，而且破壞了誠信社會賴以構建的秩序基礎。所謂“能力所在，職責所在”，意味著有能力收集信息者，也不要推諉于其他原因而不承擔相應的職責，而只享受獲得個人信息帶來的單方面便利。

　　因此，不論是依據現有法律，還是在未來的立法過程中，都應當加重有關行政部門和企業保護個人信息的義務，對于未盡相應義務者應當施加更為嚴厲的處罰。此外，受害者在主張尋求救濟時，應當默認地將有關行政機關和企業作為連帶責任人，并進行舉證責任倒置，而由后者主張其已盡了合理的注意義務。相對于普通個人和消費者而言，這些行政機關在人力、專業程度、財力上都處于強勢地位，應當在現代社會承當與其能力相應的責任。

　　信息詐騙的追責范圍

　　除了前述有關行政機關和公司外，實施電信騷擾、詐騙的主體形形色色。其中，有組織程度完善的專門公司，有偶爾為之的個人，也有以之為業的專職人員。然而，公安機關僅在面對徐玉玉案等重大案件時積極作為是不夠的，司法機關和征信部門應當聯合構建防御機制，盡可能地避免這些人類“病毒”侵害個人和社會秩序。

　　舉例而言，公安機關、檢察院和法院以及金融、交通、海關等部門應當建立相關的信息共享機制，將由某部門處罰的涉案企業或人員列入“黑名單”后，其他部門即對其進行重點監控。由于我國某些行政機關和企業在侵害個人信息案件中扮演了源頭的角色，司法、立法和黨政機關應當對這些行政機關和企業加緊監督和管制，以免一小撮分子破壞了黨和政府的威信和可信度。對于侵害個人信息的企業或個人，應當加重處罰力度；對于侵害個人信息的有關行政機關，不僅應讓該機關和主要負責人承擔法律責任，還應就其對黨和政府形象的抹黑讓其承擔相應的政治責任。

　　此外，中央也應當在“頂層設計”層面對侵害個人信息問題予以關注和回應，并進行相應的“頂層設計”，以免違法亂紀分子混雜于良善人民之中為非作歹。

　　反思“技術中立”抗辯事由

　　信息泄露事件發生后，電信、網絡服務商往往會以“技術中立”為由抗辯追責主張，認為自己不過是通信、網絡技術提供方，不應對技術服務以外的他人詐騙行為承擔責任。這種說法于理于法都站不住腳。當我們將目光從現實社會轉向信息空間時，電信通信、互聯網不僅是中立的技術，還是資源/能力、權力/責任的角逐場域，“技術中立”的內涵也應有相應的調整。

　　電子通信、互聯網技術發展至今，服務提供方和使用方的認知、技術、資源方面的差距越來越大，普通人憑一己之力通常難以越過這道鴻溝。在服務提供商、消費者和潛在加害人三方構成的場域中，除了潛在加害人自我克制之外，服務提供商有豐富的技術經驗、專業人員和行業知識管控信息泄露風險，而消費者在依照同服務商訂立的協議提交個人信息之后，對該信息的保管和流向無能為力。這種情況下，“能力越大，責任越大”的原則自然應當發揮作用，讓風險控制責任歸于控制成本更少者。

　　在前數字化時代，電信、郵政、交通、民政、公安等有關部門掌握的個人信息往往保存于紙質載體，他人獲得這些信息費時費力；如今，有關部門通常會把個人信息數字化而儲存在電腦服務器中，手指大小的U盤即可裝下整個圖書館的信息，他人通過黑客技術更能在瞬間竊取這些信息。此時，有關部門信息儲存成本下降，信息安全保障責任增加，這不僅是由于它們有著更多的資源和能力控制信息泄露的風險，還因為它們是百姓信任的權威主管機關，有受人民委托服務公共利益的義務。

　　讓服務提供商甚至有關行政部門就信息泄露事實對電信詐騙承擔連帶責任，沒有推翻而是調整了“技術中立”抗辯，使得它更能適應信息泄露風險猛增的大數據時代。信息技術不過是方便人們交流溝通的工具，可程序代碼是一系列人機互動的協議，網絡運行也離不開服務提供商所雇程序員對代碼序列的編寫。

　　既然后者確立了網絡世界的運行規則，它們也扮演了現實社會中行政機關的角色，有維持安全網絡秩序這一技術服務之外的“網絡公共服務”義務，而信息保障是網絡秩序的重要內容。用戶不僅依照同服務商訂立的明示協議使用信息服務，在數字世界中還同服務商之間存在默示協議，后者是基于用戶對服務商的信任而產生的，賦予服務商信息收集和合理使用權利的同時，更使得它們負有保障信息安全、維護網絡秩序的義務。

　　（作者系北京市社會科學院、中國社會科學院法學所博士后研究人員）