近期，《人民日报》（海外版）就《个人信息保护法》立法问题专访中国人民大学法学院张新宝教授和泰和泰律师事务所廖怀学律师。《人民日报》（海外版）刊发报道后，中央政法委官方新闻网站中国长安网转发。国内主要新闻媒体网站，如人民网、新华网、央视网、法制网、中国人民大学官网、中新网、民主与法制网、中国日报网、环球网、中国青年网、经济网、中国社会科学网、中国经济周刊、河北网信办官网、山西网信办官网等也都进行了转载。

 

 

  5月25日，全国人大常委会工作报告在下一步主要工作安排中指出，将围绕国家安全和社会治理，制定生物安全法、个人信息保护法、数据安全法等。随着大数据、人工智能、VR等新技术的发展，个人信息的收集、应用更加广泛，加强个人信息保护的任务也更加迫切，但中国的《个人信息保护法》应当如何制定，个人信息保护与数据治理如何平衡，也成为目前社会普遍关心的问题。在采访中，廖怀学律师也就相关问题进行了个人解答。

本文系根据记者采访与律师解析内容改编，部分内容有调整。报道原文请参见：《推销、骚扰电话、垃圾短信频现 个人信息如何保护？》（张一琪），载《人民日报（海外版）》，2020年6月15日05版，http://paper.people.com.cn/rmrbhwb/html/2020-06/15/node_869.htm

 

 

国家为什么要重视个人信息保护，制定一部相关法律的必要性为何？

 

【律师解析】据中国互联网络信息中心数据统计，截至2020年3月，我国网民规模为9.04亿，互联网普及率达64.5%。[1]近年，侵犯个人信息事件时有发生，违规收集、存储、传输、处理、使用个人信息等问题突出，甚至有人利用个人信息从事违法犯罪行为，个人信息犯罪与电信网络诈骗犯罪等交织合流。个人信息保护已经成为全社会普遍关心的问题，每年全国两会均有代表提出要制定专门的《个人信息保护法》。目前，我国对个人信息保护的规定散见于《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》《消费者权益保护法》《刑法修正案（九）》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《征信业管理条例》等法律、法规和司法解释中。2020年5月28日通过的《民法典》人格权编第六章也规定了隐私权和个人信息保护问题，但即使如此，我国仍没有制定专门的《个人信息保护法》，分散立法可能存在相互冲突的情况，难以形成约束合力，亦难以明确个人信息执法分工，不利于统一个人信息保护行政监管，也不利于公民提高个人信息权利意识。对企业合规而言，很多互联网企业在保持国内稳定发展的同时在积极开展跨国业务，面对国外个人信息强保护与国内个人信息保护规范分散、模糊的局面，存在很大的合规压力，产业发展亟待明确、统一的规则给予指引。从国际趋势看，全球大多数国家都出台了专门的《个人信息保护法》，特别是欧盟《通用数据保护条例》（GDPR）生效后，在世界范围内形成了个人信息保护立法浪潮。我国俨然成为互联网大国，数据是基本的生产要素，个人信息保护是数字时代数据治理不可回避的重要问题，无论是社会治理现实驱动，产业发展实际需求，还是全球立法趋势影响，制定专门化、系统性的《个人信息保护法》都势在必行。 

 

二

在个人信息保护立法过程中，应该遵循哪些原则？

【律师解析】在个人信息保护立法过程中，要注意遵循以下原则：第一，个人信息保护和促进技术创新、产业发展的平衡原则。个人信息保护问题在信息产业和数字经济蓬勃发展的背景下愈发引人瞩目，制定个人信息保护法时，要理性研判国外个人信息强保护规定的利弊，认识到我国互联网产业已初具竞争力的现实状况，关注我国技术创新、产业发展的现实需求，在此基础上协调与个人信息保护的利益关系。第二，个人信息保护与促进数据资源利用的并重原则。个人一般信息和敏感信息对个人隐私保护和人身财产安全的重要性程度有所不同，在进行个人信息保护立法时，应对二者进行区分并设置不同的同意、利用和流通规则，促进个人信息数据资源的充分开发和利用。第三，个人信息保护与数据有序跨境流动的兼具原则。在全球化和数字化深度融合的当下，一刀切的禁止数据流动做法并不可行。在企业履行个人信息保护义务的同时，也要关注企业数据跨境流动的需求，秉承适度性或必要性原则，建立合理的数据流动规则和有序的流动秩序。

 

三

个人信息保护是一个全球性的问题，因此法律制定的过程也应该吸收一些国外先进的经验，哪些国外经验值得中国学习借鉴？

 

【律师解析】当前，在个人信息保护“国家主导，统一立法”的欧盟模式和“倡导自律，分散立法”的美国模式的影响及推动下，全球绝大多数国家和地区均制定了个人信息保护法。在立法借鉴外国经验时，要注意国外立法都有其特定的文化传统、产业基础和社会背景，相关制度并不一定完全适合我国，我们要充分考虑到我国的实际发展状况。

首先，以“数据可携权”（data portability right）为例，其实质系欧盟为制衡美国互联网企业而规定的，我国并无相似背景，故不宜将此规定吸收进《个人信息保护法》中。同时，欧盟GDPR中的“被遗忘权”，在我国类似规定被称为“删除权”，在立法中也不宜过度扩大其范围，因为在我国当前的数字经济发展背景下，扩大其范围可能过度强调个人对个人信息的控制而影响社会公共利益。其次，相对于欧盟模式，美国注重个人信息保护和产业经济发展的模式，可能更适合我国。比如，美国《儿童在线隐私保护法》（COPPA）就将其适用范围限于收集、使用、披露13岁以下儿童的个人信息的商业网站和在线服务，避免了所有网络服务提供者进行监护关系验证带来的实操性问题和成本压力。最后，由于个人一般信息和敏感信息对个人信息主体的影响不同，建议参考国际通行立法，针对个人一般信息和个人敏感信息设定不同的同意规则，并规定同意的例外，使个人信息收集处理的合法基础更加多元，兼顾公共利益。

 

四

制定专门的个人信息保护法有什么难点？

 

【律师解析】个人信息保护专门法的制定难点和制定时要遵循的原则有很大的相关性，本人看来，主要有以下几点：

第一，如何处理个人信息保护与前沿技术发展的关系。技术和商业模式的深入发展，可能会影响人们对个人信息内涵和外延的判断，比如在大数据、人工智能、人脸识别技术发展背景下产生的个人网络行为记录、面部识别特征等信息。在立法加强个人信息保护的同时，也要为技术的演进留有空间，否则立法的天然滞后性将阻碍技术的创新发展。

第二，如何在保护个人信息的同时促进数据的自由流动。个人信息的人格利益已为我国《民法典》认可，其人格权编专章规定了隐私权和个人信息保护的规则。在专门制定的《个人信息保护法》中既要关注其人格利益内容，亦要重视其财产利益价值，还要认识到个人一般信息和敏感信息的重要性差异并予以区分对待，在合理程度促进个人信息的开发和利用，保障数据在自由流动中的价值创造。

第三，如何将公共部门数据处理活动纳入《个人信息保护法》约束范围。此前个人信息保护法律约束的主体多为企业，而现实中政府、事业单位等公共部门也在大量收集个人信息，其中很大部分还是敏感信息，但却缺乏约束和指引。制定专门《个人信息保护法》时，应思考如何纳入公共部门的数据处理活动规则，如何在保护个人信息的同时保障其社会公共服务的及时性、公开性和高效性。

 

五

如何从多方面筑牢个人信息保护的防线？

 

【律师解析】个人信息的保护是一项综合性的系统工程，需要社会各界共同努力。首先，要立足于权利保护、社会治理、产业发展的现实需要，制定一部统一、精细、完善的《个人信息保护法》，为各方主体行为提供明确指引。其次，具有个人信息保护监管权限的有关部门应协同配合，形成齐抓共管合力，加强执法力度，提高执法水平，有效打击侵犯个人信息的违法犯罪行为。再次，行业组织应倡导企业和行业的自我约束，加强行业自律，指导会员加强个人信息保护，促进行业健康发展。最后，企业应树立用户个人信息保护的红线意识，不断提升个人信息保护的技术水平和服务能力，降低数据与隐私安全风险。公民个人应提高自己的个人信息保护意识，不随意授权，不因利授权，遭遇欺骗和误导授权时及时向有关部门反馈和举报。

近期，《人民日报》（海外版）就《个人信息保护法》立法问题专访中国人民大学法学院张新宝教授和泰和泰律师事务所廖怀学律师。《人民日报》（海外版）刊发报道后，中央政法委官方新闻网站中国长安网转发。国内主要新闻媒体网站，如人民网、新华网、央视网、法制网、中国人民大学官网、中新网、民主与法制网、中国日报网、环球网、中国青年网、经济网、中国社会科学网、中国经济周刊、河北网信办官网、山西网信办官网等也都进行了转载。

 

 

   5月25日，全国人大常委会工作报告在下一步主要工作安排中指出，将围绕国家安全和社会治理，制定生物安全法、个人信息保护法、数据安全法等。随着大数据、人工智能、VR等新技术的发展，个人信息的收集、应用更加广泛，加强个人信息保护的任务也更加迫切，但中国的《个人信息保护法》应当如何制定，个人信息保护与数据治理如何平衡，也成为目前社会普遍关心的问题。在采访中，廖怀学律师也就相关问题进行了个人解答。

本文系根据记者采访与律师解析内容改编，部分内容有调整。报道原文请参见：《推销、骚扰电话、垃圾短信频现 个人信息如何保护？》（张一琪），载《人民日报（海外版）》，2020年6月15日05版，http://paper.people.com.cn/rmrbhwb/html/2020-06/15/node_869.htm

 

 

国家为什么要重视个人信息保护，制定一部相关法律的必要性为何？

 

【律师解析】据中国互联网络信息中心数据统计，截至2020年3月，我国网民规模为9.04亿，互联网普及率达64.5%。[1]近年，侵犯个人信息事件时有发生，违规收集、存储、传输、处理、使用个人信息等问题突出，甚至有人利用个人信息从事违法犯罪行为，个人信息犯罪与电信网络诈骗犯罪等交织合流。个人信息保护已经成为全社会普遍关心的问题，每年全国两会均有代表提出要制定专门的《个人信息保护法》。目前，我国对个人信息保护的规定散见于《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》《消费者权益保护法》《刑法修正案（九）》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《征信业管理条例》等法律、法规和司法解释中。2020年5月28日通过的《民法典》人格权编第六章也规定了隐私权和个人信息保护问题，但即使如此，我国仍没有制定专门的《个人信息保护法》，分散立法可能存在相互冲突的情况，难以形成约束合力，亦难以明确个人信息执法分工，不利于统一个人信息保护行政监管，也不利于公民提高个人信息权利意识。对企业合规而言，很多互联网企业在保持国内稳定发展的同时在积极开展跨国业务，面对国外个人信息强保护与国内个人信息保护规范分散、模糊的局面，存在很大的合规压力，产业发展亟待明确、统一的规则给予指引。从国际趋势看，全球大多数国家都出台了专门的《个人信息保护法》，特别是欧盟《通用数据保护条例》（GDPR）生效后，在世界范围内形成了个人信息保护立法浪潮。我国俨然成为互联网大国，数据是基本的生产要素，个人信息保护是数字时代数据治理不可回避的重要问题，无论是社会治理现实驱动，产业发展实际需求，还是全球立法趋势影响，制定专门化、系统性的《个人信息保护法》都势在必行。 

 

二

在个人信息保护立法过程中，应该遵循哪些原则？

【律师解析】在个人信息保护立法过程中，要注意遵循以下原则：第一，个人信息保护和促进技术创新、产业发展的平衡原则。个人信息保护问题在信息产业和数字经济蓬勃发展的背景下愈发引人瞩目，制定个人信息保护法时，要理性研判国外个人信息强保护规定的利弊，认识到我国互联网产业已初具竞争力的现实状况，关注我国技术创新、产业发展的现实需求，在此基础上协调与个人信息保护的利益关系。第二，个人信息保护与促进数据资源利用的并重原则。个人一般信息和敏感信息对个人隐私保护和人身财产安全的重要性程度有所不同，在进行个人信息保护立法时，应对二者进行区分并设置不同的同意、利用和流通规则，促进个人信息数据资源的充分开发和利用。第三，个人信息保护与数据有序跨境流动的兼具原则。在全球化和数字化深度融合的当下，一刀切的禁止数据流动做法并不可行。在企业履行个人信息保护义务的同时，也要关注企业数据跨境流动的需求，秉承适度性或必要性原则，建立合理的数据流动规则和有序的流动秩序。

 

三

个人信息保护是一个全球性的问题，因此法律制定的过程也应该吸收一些国外先进的经验，哪些国外经验值得中国学习借鉴？

 

【律师解析】当前，在个人信息保护“国家主导，统一立法”的欧盟模式和“倡导自律，分散立法”的美国模式的影响及推动下，全球绝大多数国家和地区均制定了个人信息保护法。在立法借鉴外国经验时，要注意国外立法都有其特定的文化传统、产业基础和社会背景，相关制度并不一定完全适合我国，我们要充分考虑到我国的实际发展状况。

首先，以“数据可携权”（data portability right）为例，其实质系欧盟为制衡美国互联网企业而规定的，我国并无相似背景，故不宜将此规定吸收进《个人信息保护法》中。同时，欧盟GDPR中的“被遗忘权”，在我国类似规定被称为“删除权”，在立法中也不宜过度扩大其范围，因为在我国当前的数字经济发展背景下，扩大其范围可能过度强调个人对个人信息的控制而影响社会公共利益。其次，相对于欧盟模式，美国注重个人信息保护和产业经济发展的模式，可能更适合我国。比如，美国《儿童在线隐私保护法》（COPPA）就将其适用范围限于收集、使用、披露13岁以下儿童的个人信息的商业网站和在线服务，避免了所有网络服务提供者进行监护关系验证带来的实操性问题和成本压力。最后，由于个人一般信息和敏感信息对个人信息主体的影响不同，建议参考国际通行立法，针对个人一般信息和个人敏感信息设定不同的同意规则，并规定同意的例外，使个人信息收集处理的合法基础更加多元，兼顾公共利益。

 

四

制定专门的个人信息保护法有什么难点？

 

【律师解析】个人信息保护专门法的制定难点和制定时要遵循的原则有很大的相关性，本人看来，主要有以下几点：

第一，如何处理个人信息保护与前沿技术发展的关系。技术和商业模式的深入发展，可能会影响人们对个人信息内涵和外延的判断，比如在大数据、人工智能、人脸识别技术发展背景下产生的个人网络行为记录、面部识别特征等信息。在立法加强个人信息保护的同时，也要为技术的演进留有空间，否则立法的天然滞后性将阻碍技术的创新发展。

第二，如何在保护个人信息的同时促进数据的自由流动。个人信息的人格利益已为我国《民法典》认可，其人格权编专章规定了隐私权和个人信息保护的规则。在专门制定的《个人信息保护法》中既要关注其人格利益内容，亦要重视其财产利益价值，还要认识到个人一般信息和敏感信息的重要性差异并予以区分对待，在合理程度促进个人信息的开发和利用，保障数据在自由流动中的价值创造。

第三，如何将公共部门数据处理活动纳入《个人信息保护法》约束范围。此前个人信息保护法律约束的主体多为企业，而现实中政府、事业单位等公共部门也在大量收集个人信息，其中很大部分还是敏感信息，但却缺乏约束和指引。制定专门《个人信息保护法》时，应思考如何纳入公共部门的数据处理活动规则，如何在保护个人信息的同时保障其社会公共服务的及时性、公开性和高效性。

 

五

如何从多方面筑牢个人信息保护的防线？

 

【律师解析】个人信息的保护是一项综合性的系统工程，需要社会各界共同努力。首先，要立足于权利保护、社会治理、产业发展的现实需要，制定一部统一、精细、完善的《个人信息保护法》，为各方主体行为提供明确指引。其次，具有个人信息保护监管权限的有关部门应协同配合，形成齐抓共管合力，加强执法力度，提高执法水平，有效打击侵犯个人信息的违法犯罪行为。再次，行业组织应倡导企业和行业的自我约束，加强行业自律，指导会员加强个人信息保护，促进行业健康发展。最后，企业应树立用户个人信息保护的红线意识，不断提升个人信息保护的技术水平和服务能力，降低数据与隐私安全风险。公民个人应提高自己的个人信息保护意识，不随意授权，不因利授权，遭遇欺骗和误导授权时及时向有关部门反馈和举报。