黃姝靜

在極高的呼聲與期待中，個人信息保護(hù)法離最終出臺又邁進(jìn)了一步。5月25日，全國人大常委會工作報告透露，下一步將制定多部法律，其中就包括備受關(guān)注的個人信息保護(hù)法。

2020年全國“兩會”召開前夕，全國人大常委會法工委方面發(fā)布消息稱，個人信息保護(hù)法正在研究起草中，目前草案稿已經(jīng)形成?！皟蓵逼陂g，多位代表和委員就個人信息保護(hù)提出建議，希望加快相關(guān)立法。

在數(shù)據(jù)法律研究者何淵的印象中，早在2003年，制定個人信息保護(hù)法的建議就已經(jīng)出現(xiàn)。但在過去十多年里，中國針對個人信息保護(hù)的條款分散于多部法律法規(guī)和規(guī)范性文件中，包括《網(wǎng)絡(luò)安全法》《消費者權(quán)益保護(hù)法》《刑法修正案九》等等。

中國政法大學(xué)傳播法研究中心副主任朱巍對《財經(jīng)》記者表示，目前涉及到個人信息保護(hù)的規(guī)定，包括法律法規(guī)和各種文件在內(nèi)，約有超過150部，迫切需要一部法律進(jìn)行統(tǒng)一。

不斷被呼喚的一部綜合性法律，即將揭開其神秘面紗。

有法學(xué)專家指出，個人信息保護(hù)法將最終確定“個人信息”這一關(guān)鍵概念的內(nèi)涵和外延，理順各個信息主體之間的關(guān)系，尤其是個人與企業(yè)之間的關(guān)系。這部法律將覆蓋對個人信息的收集、存儲、使用、共享、跨境傳輸?shù)榷鄠€方面。

立法：各方積極推進(jìn)

近年來，個人信息泄露事件頻現(xiàn)，引發(fā)了公眾廣泛關(guān)注。新冠肺炎疫情期間，個人信息泄露問題不時見諸媒體。

過去十多年間，中國雖未出臺針對個人信息保護(hù)的專門性立法，但涉及到個人信息保護(hù)的法律法規(guī)、標(biāo)準(zhǔn)類規(guī)范類文件事實上在不斷被推出。

5月28日，十三屆全國人大三次會議表決通過了《民法典》，該法將于2021年1月1日施行。此前公布的《民法典（草案）》在人格權(quán)編中明確了自然人的個人信息受法律保護(hù)，并將自然人的“電子郵箱地址”和“行蹤信息”納入個人信息的范圍。

回顧個人信息保護(hù)法的立法進(jìn)程，一個重要的節(jié)點出現(xiàn)在2018年。2018年9月，個人信息保護(hù)法和數(shù)據(jù)安全法被列入十三屆全國人大常委會立法規(guī)劃第一類項目。

此后，與個人信息保護(hù)相關(guān)的法律法規(guī)及各類文件密集發(fā)布、更新——2019年4月19日，《互聯(lián)網(wǎng)個人信息安全保護(hù)指南》發(fā)布;2019年4月20日，《民法典》人格權(quán)編草案（二審稿）提請全國人大常委會審議;2019年5月28日，《數(shù)據(jù)安全管理辦法》公開征求意見;2019年6月13日，《個人信息出境安全評估辦法》公開征求意見;2019年10月1日，《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》施行;2020年1月20日，《信息安全技術(shù)個人信息告知同意指南》公開征求意見;2020年3月6日，新版《信息安全技術(shù)個人信息安全規(guī)范》發(fā)布;2020年3月30日，《移動互聯(lián)網(wǎng)App個人信息安全防范指引》公開征求意見……

2019年3月，在個人信息保護(hù)法被列入十三屆全國人大常委會立法規(guī)劃一類項目半年之際，北京大學(xué)法學(xué)院教授張平曾對《財經(jīng)》記者表示，“目前各方都在積極推進(jìn)立法?！?/p>

在上海交大數(shù)據(jù)法律研究中心執(zhí)行主任何淵看來，個人信息保護(hù)法的制定有幾個重要背景：數(shù)據(jù)產(chǎn)業(yè)飛速發(fā)展，當(dāng)“數(shù)據(jù)成為石油”，矛盾開始集中迸發(fā)，個人信息權(quán)利的保護(hù)與數(shù)據(jù)流通使用的平衡問題亟待解決;歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）和美國的《加利福尼亞州消費者隱私法案》（CCPA）的頒布給了國內(nèi)立法以啟迪和影響;數(shù)據(jù)黑市猖獗，個人信息泄露事件頻發(fā)，公眾面臨的隱私侵害需要有明確的法律解決途徑;此外，頭部互聯(lián)網(wǎng)企業(yè)在積極開展跨國業(yè)務(wù)和國內(nèi)穩(wěn)定長遠(yuǎn)發(fā)展的需求驅(qū)動下，內(nèi)部有很大的合規(guī)壓力和動力，需要法律給以明確指引。

個人信息保護(hù)法將結(jié)束當(dāng)前立法分散、無專門法律保護(hù)個人信息的歷史。

2020年1月8日，廣東省公安廳通報：2019年廣東警方在“凈網(wǎng)2019”專項行動中偵破網(wǎng)絡(luò)主偵案件2960余起，刑事拘留10420余人，繳獲公民個人信息98億條。警方展示涉案物品。圖/中新

展望：既要保護(hù)又要依法使用

個人信息保護(hù)法將解決哪些問題？回應(yīng)哪些共同期待？

何淵稱，“這是一部承載了很高期待值的法律。草案公布后必將引起極大關(guān)注，甚至包括一定的爭議?！?/p>

北京師范大學(xué)網(wǎng)絡(luò)法治國際中心執(zhí)行主任吳沈括認(rèn)為，整體來說，個人信息保護(hù)法需要回應(yīng)和解決的主要問題包括：政府?dāng)?shù)據(jù)處理活動的制度設(shè)計、企業(yè)商業(yè)化利用個人信息的制度設(shè)計、個人信息的跨境傳輸、個人生物信息的處理規(guī)則以及其他新技術(shù)、新應(yīng)用的風(fēng)險應(yīng)對。

對“個人信息”的界定可以被視為這一切的出發(fā)點。《網(wǎng)絡(luò)安全法》《民法典》對此都有論述。

何淵認(rèn)為，整體的界定框架不會再出現(xiàn)較大變化，但是個人信息具體包括哪些內(nèi)容，在實務(wù)中的爭議仍然會持續(xù)。

就界定問題，朱巍表示，立法應(yīng)當(dāng)重點明確個人信息與大數(shù)據(jù)的界限，回應(yīng)大數(shù)據(jù)的性質(zhì)問題。

吳沈括則對《財經(jīng)》記者表示，個人信息的法律界定及其內(nèi)涵外延是個人信息保護(hù)法的邏輯起點，將反映法律對于個人信息所涉及的個人利益、公共利益、產(chǎn)業(yè)利益之間的動態(tài)平衡的把握，反映法律對于前述三者權(quán)重的價值判斷。

事實上，這背后的深層次問題是法學(xué)界討論良久的數(shù)據(jù)確權(quán)問題：數(shù)據(jù)持有者享有怎樣的權(quán)利？如何保護(hù)？只是，這些問題至今仍無定論。

吳沈括就此分析稱，在現(xiàn)有的技術(shù)環(huán)境下，如果把個人信息的核心要素認(rèn)定為身份識別（包括直接識別和間接識別），那么在目前的數(shù)據(jù)挖掘水平下，可以說幾乎所有的信息都可能構(gòu)成個人信息，這對于數(shù)據(jù)要素的流動和價值潛力的發(fā)掘會造成非常大的影響，因此需要立法作出進(jìn)一步的研判和權(quán)衡。

何淵指出，從立法的底層邏輯來看，個人信息保護(hù)法要理順的是信息主體、信息處理者和信息控制者之間的權(quán)利義務(wù)關(guān)系，立法應(yīng)當(dāng)覆蓋控制、收集、使用、共享、（跨境）傳輸?shù)拳h(huán)節(jié)，即覆蓋個人信息從產(chǎn)生到被處理的全生命周期。而對于信息主體權(quán)利義務(wù)關(guān)系的梳理中，最關(guān)鍵的兩大主體無疑是個人和企業(yè)。

朱巍也提出，平臺責(zé)任是個人信息保護(hù)法應(yīng)當(dāng)明確的內(nèi)容之一。

值得注意的是，何淵認(rèn)為，在個人信息保護(hù)法未來的立法過程中，甚至在今后的司法裁判中，主要的博弈點都會是與個人信息相關(guān)的權(quán)利保護(hù)與數(shù)據(jù)流通使用間的平衡問題?！氨贿z忘權(quán)”、“數(shù)據(jù)可攜帶權(quán)”等權(quán)利類型是否應(yīng)當(dāng)被肯定、應(yīng)當(dāng)如何定義，仍未能在公開討論中取得共識。但可以確定的一點是，這些權(quán)利的設(shè)定對企業(yè)來說意味著巨大的合規(guī)成本，甚至是業(yè)務(wù)模式的挑戰(zhàn)。

北京大學(xué)法學(xué)院副院長薛軍進(jìn)一步指出，對權(quán)利保護(hù)的“厚度”是個人信息保護(hù)法制定中的一個重要問題。諸如前述“被遺忘權(quán)”“數(shù)據(jù)可攜帶權(quán)”等討論頗多的權(quán)利類型，背后是對個人權(quán)利保護(hù)、技術(shù)實現(xiàn)的可能性、企業(yè)合規(guī)成本、產(chǎn)業(yè)自由發(fā)展空間的平衡問題，需謹(jǐn)慎選擇。

執(zhí)法：如何讓法律有“牙齒”

震懾違法行為，必須讓法律有“牙齒”。個人信息保護(hù)法對于該領(lǐng)域執(zhí)法機(jī)構(gòu)和處罰機(jī)制的設(shè)計將決定這部法律在現(xiàn)實中的最終效果。

在何淵看來，當(dāng)前針對個人信息保護(hù)的罰則體系可以概括為“要么去坐牢，要么就沒事”。這是該領(lǐng)域違法行為多發(fā)的一個重要原因——違法成本低，誘惑大，很多涉案者選擇鋌而走險。另一方面，對于企業(yè)來說，當(dāng)前的罰款金額規(guī)定沒有足夠的震懾力。

《網(wǎng)絡(luò)安全法》將罰款數(shù)額設(shè)定在違法所得的一倍以上十倍以下，沒有違法所得的，罰款上限為一百萬元。

該法第六十四條第一款規(guī)定，網(wǎng)絡(luò)運營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者違反該法第二十二條第三款、第四十一條至第四十三條的規(guī)定，侵害個人信息依法得到保護(hù)的權(quán)利的，由有關(guān)主管部門責(zé)令改正，可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款;情節(jié)嚴(yán)重的，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。

觀照歐美，則完全是另一番景象。2019年，F(xiàn)acebook因個人信息保護(hù)問題被美國聯(lián)邦貿(mào)易委員會（FTC）處以50億美元的巨額罰款。2016年，劍橋分析（Cambridge Analytica）借助Facebook平臺上的一款應(yīng)用，收集了約8700萬Facebook用戶的個人信息。以這些數(shù)據(jù)為基礎(chǔ)，劍橋分析被指利用精準(zhǔn)推送影響了當(dāng)年美國大選。美國聯(lián)邦貿(mào)易委員會針對Facebook的調(diào)查和罰單由此而來。

相較于國外大型互聯(lián)網(wǎng)企業(yè)因個人信息泄露指控最高被罰數(shù)十億美元的嚴(yán)厲程度，中國一些處罰案例中的罰款數(shù)額對于發(fā)展迅速的企業(yè)來說被指“不痛不癢”，無從體現(xiàn)法律的震懾力。

一個典型案例是，2018年，某知名互聯(lián)網(wǎng)平臺曾被通報在個人信息保護(hù)方面存在違法行為，管理部門根據(jù)《消費者權(quán)益保護(hù)法》，對該平臺在個人信息保護(hù)方面的違法行為給予警告，并處罰款5萬元。

而更多在個人信息保護(hù)方面暴露出問題的企業(yè)，監(jiān)管部門對其行政處罰仍停留在責(zé)令改正、警告層面。

曾有法學(xué)界人士對《財經(jīng)》記者表示，已頒布的個人信息保護(hù)方面的法律規(guī)定很多，但是也暴露出不少問題。當(dāng)個人信息因企業(yè)或機(jī)構(gòu)的泄露、過度收集和濫用而受到傷害時，有哪些可能的規(guī)制手段？

通常而言，刑事規(guī)制往往指向大案要案，民事訴訟經(jīng)濟(jì)成本、時間成本高昂，各界更多地將此類一般案件的規(guī)制焦點放在了行政監(jiān)管上。

張平指出，遺憾的是，當(dāng)前的行政執(zhí)法還比較薄弱。主要問題在于：規(guī)范不統(tǒng)一，多個部門均有不同程度的執(zhí)法權(quán)但未能有效協(xié)調(diào)，抽查性執(zhí)法，缺乏常態(tài)化監(jiān)管。

對此，薛軍建議，立法應(yīng)確定專門機(jī)構(gòu)來負(fù)責(zé)個人信息保護(hù)領(lǐng)域的行政執(zhí)法，建立常態(tài)化的監(jiān)管機(jī)制。明確執(zhí)法機(jī)構(gòu)，才能保證法律后續(xù)的執(zhí)行。

此外，張平也表示，現(xiàn)在談到個人信息保護(hù)大多聚焦于企業(yè)，對收集信息的公共機(jī)構(gòu)如何監(jiān)管的討論較少?！肮膊块T，包括一些事業(yè)單位也在大量收集公民的個人信息，但是缺乏監(jiān)管，公眾無法得知其隱私保護(hù)政策，無從得知其是否能保證這些信息的安全?！?/p>

全國政協(xié)委員、高鋒集團(tuán)董事局主席吳杰莊建議，在立法、執(zhí)法過程中根據(jù)個人信息的敏感度不同而進(jìn)行區(qū)別對待，對于敏感個人信息（諸如身份證信息、人臉信息等）嚴(yán)格保護(hù)，對于一般個人信息的收集、使用、存儲的嚴(yán)格程度可以與敏感個人信息有所區(qū)別。