承載了很高期待值的個人信息保護法被認爲將覆蓋個人信息被收集、存儲、處理、使用、傳輸等在內的全生命週期，該法的出臺將結束當前立法分散、無專門法律保護個人信息的歷史

在極高的呼聲與期待中，個人信息保護法離最終出臺又邁進了一步。5月25日，全國人大常委會工作報告透露，下一步將制定多部法律，其中就包括備受關注的個人信息保護法。

2020年全國“兩會”召開前夕，全國人大常委會法工委方面發佈消息稱，個人信息保護法正在研究起草中，目前草案稿已經形成。“兩會”期間，多位代表和委員就個人信息保護提出建議，希望加快相關立法。

在數據法律研究者何淵的印象中，早在2003年，制定個人信息保護法的建議就已經出現。但在過去十多年裏，中國針對個人信息保護的條款分散於多部法律法規和規範性文件中，包括《網絡安全法》《消費者權益保護法》《刑法修正案九》等等。

中國政法大學傳播法研究中心副主任朱巍對《財經》記者表示，目前涉及到個人信息保護的規定，包括法律法規和各種文件在內，約有超過150部，迫切需要一部法律進行統一。

不斷被呼喚的一部綜合性法律，即將揭開其神祕面紗。

有法學專家指出，個人信息保護法將最終確定“個人信息”這一關鍵概念的內涵和外延，理順各個信息主體之間的關係，尤其是個人與企業之間的關係。這部法律將覆蓋對個人信息的收集、存儲、使用、共享、跨境傳輸等多個方面。

立法：各方積極推進

近年來，個人信息泄露事件頻現，引發了廣泛的公衆關注。新冠疫情期間，個人信息泄露問題不時見諸媒體。

據《南方都市報》報道，疫情期間，超過7000名武漢返鄉者的個人信息遭到泄露，部分以表格形式在社交羣組中被公佈、轉發。報道所載截圖顯示，武漢返鄉者被泄露的信息包括其姓名、身份證號碼、住址、行蹤等重要個人信息。更有受害者因而收到短信的騷擾謾罵。知情人士透露，泄露信息的源頭與地方登記返鄉人員的途徑直接相關。

過去十多年間，中國雖未出臺針對個人信息保護的專門性立法，但涉及到個人信息保護的法律法規、標準類規範類文件事實上在不斷被推出。

5月28日，十三屆全國人大三次會議表決通過了《民法典》，該法將於2021年1月1日施行。此前公佈的《民法典》在人格權編中明確了自然人的個人信息受法律保護，並將自然人的“電子郵箱地址”和“行蹤信息”納入個人信息的範圍。

回顧個人信息保護法的立法進程，一個重要的節點出現在2018年。這年9月，個人信息保護法和數據安全法被列入全國人大一類立法計劃。此後，與個人信息保護相關的法律法規及各類文件密集發佈、更新——2019年4月19日，《互聯網個人信息安全保護指南》發佈；2019年4月20日，《民法典》人格權編草案提請全國人大常委會審議；2019年5月28日，《數據安全管理辦法》公開徵求意見；2019年6月13日，《個人信息出境安全評估辦法公開徵求意見》；2019年10月1日，《兒童個人信息網絡保護規定》施行；2020年1月20日，《信息安全技術個人信息告知同意指南》公開徵求意見；2020年3月6日，新版《信息安全技術 個人信息安全規範》發佈；2020年3月30日，《移動互聯網App個人信息安全防範指引》公開徵求意見……

2019年3月，在個人信息保護法被列入十三屆全國人大常委會一類立法規劃半年之際，北京大學法學院教授張平曾對《財經》記者表示，“目前各方都在積極推進立法。”

在上海交大數據法律研究中心執行主任何淵看來，個人信息保護法的制定有幾個重要背景：數據產業飛速發展，當“數據成爲石油”，矛盾開始集中迸發，個人信息權利的保護與數據流通使用的平衡問題亟待解決；歐盟《通用數據保護條例》和美國的《加利福尼亞州消費者隱私法案》的頒佈給了國內立法以啓迪和影響；數據黑市猖獗，個人信息泄露事件頻發，公衆面臨的隱私侵害需要有明確的法律解決途徑；此外，頭部互聯網企業在積極開展跨國業務和國內穩定長遠發展的需求驅動下，內部有很大的合規壓力和動力，需要法律給以明確指引。

個人信息保護法的出臺將結束當前立法分散、無專門法律保護個人信息的歷史。

展望：既要保護又要依法使用

個人信息保護法將解決哪些問題？回應哪些共同期待？

何淵稱，“這是一部承載了很高期待值的法律。草案公佈後必將引起極大關注，甚至包括一定的爭議。”

北京師範大學網絡法治國際中心執行主任吳沈括認爲，整體來說，個人信息保護法需要回應和解決的主要問題包括：政府數據處理活動的制度設計、企業商業化利用個人信息的制度設計、個人信息的跨境傳輸、個人生物信息的處理規則以及其他新技術、新應用的風險應對。

對“個人信息”的界定可以被視爲這一切的出發點。《網絡安全法》《民法典》對此都有論述。何淵認爲，整體的界定框架不會再出現較大變化，但是個人信息具體包括哪些內容，在實務中的爭議仍然會持續。就界定問題，朱巍表示，立法應當重點明確個人信息與大數據的界限，回應大數據的性質問題。

吳沈括則對《財經》記者表示，個人信息的法律界定及其內涵外延是個人信息保護法的邏輯起點，將反映法律對於個人信息所涉及的個人利益、公共利益、產業利益之間的動態平衡的把握，反映法律對於前述三者權重的價值判斷。

事實上，這背後的深層次問題是法學界討論良久的數據確權問題：數據持有者享有怎樣的權利？如何保護？只是，這些問題至今仍無定論。

吳沈括就此分析稱，在現有的技術環境下，如果把個人信息的核心要素認定爲身份識別，那麼在目前的數據挖掘水平下，可以說幾乎所有的信息都可能構成個人信息，這對於數據要素的流動和價值潛力的發掘會造成非常大的影響，因此需要立法作出進一步的研判和權衡。

何淵指出，從立法的底層邏輯來看，個人信息保護法要理順的是信息主體、信息處理者和信息控制者之間的權利義務關係，立法應當覆蓋控制、收集、使用、共享、傳輸等環節，即覆蓋個人信息從產生到被處理的全生命週期。而對於信息主體權利義務關係的梳理中，最關鍵的兩大主體無疑是個人和企業。

朱巍也提出，平臺責任是個人信息保護法應當明確的內容之一。

值得注意的是，何淵認爲，在個人信息保護法未來的立法過程中，甚至在今後的司法裁判中，主要的博弈點都會是與個人信息相關的權利保護與數據流通使用間的平衡問題。“被遺忘權”、“數據可攜帶權”等權利類型是否應當被肯定、應當如何定義仍未能在公開討論中取得共識。但可以確定的一點是，這些權利的設定對企業來說意味着巨大的合規成本，甚至是業務模式的挑戰。

北京大學法學院副院長薛軍進一步指出，對權利保護的“厚度”是個人信息保護法制定中的一個重要問題。諸如前述“被遺忘權”、“數據可攜帶權”等討論頗多的權利類型，背後是對個人權利保護、技術實現的可能性、企業合規成本、產業自由發展空間的平衡問題，需要謹慎選擇。

執法：如何讓法律有“牙齒”

震懾違法行爲，必須讓法律有“牙齒”。個人信息保護法對於該領域執法機構和處罰機制的設計將決定這部法律在現實中的最終效果。

在何淵看來，當前針對個人信息保護的罰則體系可以概括爲“要麼去坐牢，要麼就沒事”。這是該領域違法行爲多發的一個重要原因——違法成本低，誘惑大，很多涉案者選擇鋌而走險。另一方面，對於企業來說，當前的罰款金額規定沒有足夠的震懾力。

《網絡安全法》將罰款數額設定在違法所得的一倍以上十倍以下，沒有違法所得的，罰款上限爲一百萬元。

觀照歐美，則完全是另一番景象。2019年，Facebook因個人信息保護問題被美國聯邦貿易委員會處以50億美元的鉅額罰款。2016年，劍橋分析藉助Facebook平臺上的一款應用，收集了約8700萬Facebook用戶的個人信息。以這些數據爲基礎，劍橋分析被指利用精準推送影響了當年的美國大選。美國聯邦貿易委員會針對Facebook的調查和罰單由此而來。

相較於國外大型互聯網企業因個人信息泄露指控最高被罰數十億美元的嚴厲程度，中國一些處罰案例中的罰款數額對於發展迅速的企業來說被指“不痛不癢”，無從體現法律的震懾力。

一個典型案例是，2018年，某知名互聯網平臺曾被通報在個人信息保護方面存在違法行爲，管理部門根據《消費者權益保護法》，對該平臺在個人信息保護方面的違法行爲給予警告，並處罰款5萬元。

曾有法學界人士對《財經》記者表示，已頒佈的個人信息保護方面法律規定很多，但是也暴露出不少問題。當個人信息因企業或機構的泄露、過度收集和濫用而受到傷害時，有哪些可能的規制手段？

通常而言，刑事規制往往指向大案要案，民事訴訟經濟成本、時間成本高昂，各界更多地將此類一般案件的規制焦點放在了行政監管上。

張平指出，遺憾的是，當前的行政執法還比較薄弱。主要問題在於：規範不統一，多個部門均有不同程度的執法權但未能有效協調、抽查性執法、缺乏常態化監管。

對此，薛軍建議，立法應確定專門機構來負責個人信息保護領域的行政執法，建立常態化的監管機制。明確執法機構，才能保證法律後續的執行。

此外，張平也表示，現在談到個人信息保護大多聚焦於企業，對收集信息的公共機構如何監管的討論較少。“公共部門，包括一些事業單位也在大量收集公民的個人信息，但是缺乏監管，公衆無法得知其隱私保護政策，無從得知其是否能保證這些信息的安全。”

全國政協委員、高鋒集團董事局主席吳傑莊建議，在立法、執法過程中根據個人信息的敏感度不同而進行區別對待，對於敏感個人信息嚴格保護，對於一般個人信息的收集、適用、存儲的嚴格程度可以與敏感個人信息有所區別。