徐玉玉案，讨论落入了三大误区

徐玉玉案的发酵让个人信息保护问题又一次成为社会关注焦点，从舆论讨论情况看，我认为至少存在三个误区。

误区一：我国没有个人信息保护法

我国是立法上最重视个人信息保护的国家之一，尽管没有出台统一的个人信息保护法，但涉及个人信息保护的政策、法律、法规、规章和政策性文件多达一百多部，已经形成比较完善的个人信息保护法体系。个人信息泄露事件频发的问题，不在于立法层面，更多的是法律执行问题。

徐玉玉案中，从刑法角度说，电信诈骗者与信息泄露者由侵犯公民个人信息罪和诈骗罪等罪名涵盖；从民法角度说，个人信息权属于隐私权范畴，由侵权责任法体系涵盖；从行政法角度说，《关于加强网络信息保护的决定》和工信部一系列文件都已经规范了运营商对移动电话的实名制责任。所以，我国的个人信息保护法体系并不存在立法空白。

误区二：电信实名制是包治百病的良药

我国实施电信实名制已有四年时间，目前已落实大部分移动电话的实名认证，预计到明年底有望实现全部的实名认证。电信实名制的重要性，主要体现在两点：一是，电信实名是杜绝电信诈骗的第一道关口，能够建立起“溯源”机制；二是，电信实名是网络实名制的基础，目前我国网络实名制大都以电信实名为基础，网络实名制与电信实名制是互为表里的关系。

徐玉玉案中，两个诈骗电话一个是虚拟运营商的号段，一个是185开头的号段，经查这两个号码都是经过实名认证的。现在的问题是，实名认证后的电话号码，若经过转让，能否还能达到实名认证的预期效果。立法者所期待的实名制“溯源”机制，会不会因为号码多次转让变成“废柴”。下一步电信实名制更应解决移动号码转让的问题，解决号码与身份分离的特殊情况。

误区三：将个人信息与大数据混为一谈

工信部和最高法院分别在2013年和2014年出台过定义个人信息范围的规定，2012年全国人大常委会公布的《关于加强网络信息保护的决定》对国家保护的个人信息作了具体界定，即“可识别”的个人信息。不可识别的个人信息则属于大数据范畴。目前，我国对大数据性质和归属尚未有法律直接规定，按照网上公布的民法总则草案的说法是，大数据属于知识产权，这就让大数据从数据产生者（被搜集者）身上分离，成为数据采集整合者（搜集者）的新权属。个人信息并非大数据，二者以能否识别作为法律是否保护的分水岭。对于大数据而言，只要按照“合法性、正当性和必要性”的基本原则，不仅能够采集，也能够转让和处分。至于能够识别的个人信息，则属于个人信息保护法范围，侵害者要承担包括民事责任、行政责任和刑事责任在内的法律责任。

徐玉玉案中泄露的学生身份、电话号码等信息是典型的可识别信息，不属于大数据，是个人信息保护范畴，侵害人当然要承担法律责任。值得一提的是，徐玉玉案的发酵，不应影响我国现行的大数据法律思路，不该因噎废食，影响到我国大数据时代的发展能力。