個人信息泄露事件頻發的問題，不在于立法層面，更多的是法律執行問題。

徐玉玉案的發酵讓個人信息保護問題又一次成為社會關注焦點，從輿論討論情況看，我認為至少存在三個誤區。

誤區一：我國沒有個人信息保護法

我國是立法上最重視個人信息保護的國家之一，盡管沒有出臺統一的個人信息保護法，但涉及個人信息保護的政策、法律、法規、規章和政策性文件多達一百多部，已經形成比較完善的個人信息保護法體系。個人信息泄露事件頻發的問題，不在于立法層面，更多的是法律執行問題。

徐玉玉案中，從刑法角度說，電信詐騙者與信息泄露者由侵犯公民個人信息罪和詐騙罪等罪名涵蓋；從民法角度說，個人信息權屬于隱私權范疇，由侵權責任法體系涵蓋；從行政法角度說，《關于加強網絡信息保護的決定》和工信部一系列文件都已經規范了運營商對移動電話的實名制責任。所以，我國的個人信息保護法體系并不存在立法空白。

誤區二：電信實名制是包治百病的良藥

我國實施電信實名制已有四年時間，目前已落實大部分移動電話的實名認證，預計到明年底有望實現全部的實名認證。電信實名制的重要性，主要體現在兩點：一是，電信實名是杜絕電信詐騙的第一道關口，能夠建立起“溯源”機制；二是，電信實名是網絡實名制的基礎，目前我國網絡實名制大都以電信實名為基礎，網絡實名制與電信實名制是互為表里的關系。

徐玉玉案中，兩個詐騙電話一個是虛擬運營商的號段，一個是185開頭的號段，經查這兩個號碼都是經過實名認證的。現在的問題是，實名認證后的電話號碼，若經過轉讓，能否還能達到實名認證的預期效果。立法者所期待的實名制“溯源”機制，會不會因為號碼多次轉讓變成“廢柴”。下一步電信實名制更應解決移動號碼轉讓的問題，解決號碼與身份分離的特殊情況。

誤區三：將個人信息與大數據混為一談

工信部和最高法院分別在2013年和2014年出臺過定義個人信息范圍的規定，2012年全國人大常委會公布的《關于加強網絡信息保護的決定》對國家保護的個人信息作了具體界定，即“可識別”的個人信息。不可識別的個人信息則屬于大數據范疇。目前，我國對大數據性質和歸屬尚未有法律直接規定，按照網上公布的民法總則草案的說法是，大數據屬于知識產權，這就讓大數據從數據產生者（被搜集者）身上分離，成為數據采集整合者（搜集者）的新權屬。個人信息并非大數據，二者以能否識別作為法律是否保護的分水嶺。對于大數據而言，只要按照“合法性、正當性和必要性”的基本原則，不僅能夠采集，也能夠轉讓和處分。至于能夠識別的個人信息，則屬于個人信息保護法范圍，侵害者要承擔包括民事責任、行政責任和刑事責任在內的法律責任。

徐玉玉案中泄露的學生身份、電話號碼等信息是典型的可識別信息，不屬于大數據，是個人信息保護范疇，侵害人當然要承擔法律責任。值得一提的是，徐玉玉案的發酵，不應影響我國現行的大數據法律思路，不該因噎廢食，影響到我國大數據時代的發展能力。

□朱巍（中國政法大學傳播法研究中心副主任）