吴晓灵、周学东：建议尽快制定《个人信息保护法》

　　文∣吴晓灵 全国人大代表、全国人大财经委副主任委员

　　周学东 全国人大代表、中国人民银行营业管理部主任

　　在互联网和信息化时代，大数据技术快速发展，并在各领域得到广泛应用。但是，作为“大数据”的核心和基础数据，个人信息在被各类主体竞相挖掘和利用的同时，其保护不足的问题也日益凸显，因公民信息泄露带来的侵权问题、欺诈事件愈益严重。

　　目前在中国，不同的政府部门和社会机构掌握着不同的个人信息，如公安部门掌握着公民的户籍身份、家庭成员及住址信息，金融部门和机构掌握着公民的账户信息、财产信息、交易信息和信用信息，教育部门和学校掌握着公民的就学及考试成绩信息，税务部门掌握着公民的纳税信息，劳动人事部门掌握着公民的人事档案信息，电信部门和机构掌握着公民的通信信息，铁路、公路和民航部门和企业掌握着公民的出行信息，医疗卫生部门和医院掌握着公民的疾病信息、就医信息，司法部门掌握着公民的诉讼信息等等，而互联网公司掌握着公民全部的上网搜索、浏览、购物、社交等网络信息。

　　信息化对个人信息的挖掘和利用是一把双刃剑。一方面，信息化技术广泛应用，个人信息的开发和利用对于社会发展的进步意义重大，商业机构可以利用收集的个人信息为生产决策提供辅助信息，进行网上营销；各级政府部门可以利用掌握的个人信息进行准确的政策决策，提高社会管理效果，预防和惩治犯罪。

　　另一方面，由于个人信息的不当收集、滥用和泄露，导致个人权利和利益频遭侵害的事件屡见不鲜。2016年发生的高考学生遭电信诈骗后自杀等恶性事件，就是因为学生个人信息遭到泄露引发。这些恶性案件在全社会引起很大反响。此外，任由外国组织收集中国公民个人信息，还可能使危及国家安全的情形扩大蔓延，尤其是伴随互联网传播而导致对个人权益的危害快速扩大并且不易消除。

　　大数据时代个人信息随处可见，个人信息的内涵、处理方式、技术手段和侵权形式已发生巨大的变化，对个人信息保护的基本原则带来了挑战。个人信息应该受到法律严格保护，非经信息主体知情同意不得收集、处理和利用；对滥用个人信息的行为，应有强有力的法律约束和监管惩戒。因此，尽快制定《中华人民共和国个人信息保护法》，是切实保护宪法确定的公民基本权利和促进网络经济健康发展的迫切需求。

　　立法缺位的危害

　　个人信息权利是信息社会中公民基本权利的一部分，保护个人信息权利也是维护国家安全和公共安全的基础。总体而言，中国由于缺少全面系统的个人信息保护法，将对个人、企业和国家都带来不利影响。主要包括以下几点：

　　一是对个人而言，个人信息保护不足导致个人隐私、安宁、财产等权利受到侵害且在受到侵害后无救济渠道。近年来时有发生的个人信息泄露事件及因信息泄露导致的欺诈案件，危及个人财产和生命安全。

　　二是对于互联网和信息行业而言，个人信息保护不力会影响该行业的健康可持续发展。分散的个人信息保护法规规定不清晰、不统一，缺乏确定的个人信息权属、流动和使用规则，导致个人信息孤岛和信息滥用并存，个人信息和大数据流通暗流涌动、秘而不宣，既冲击公众对互联网及信息行业的信任和信心，还阻碍了政府和商业领域个人信息的开放流通。那些没有底线的企业打着改革创新的旗号行“倒卖数据”之实，因“劣币驱逐良币”而获得了竞争优势，对数据行业的健康发展实际上是有百害而无一利。

　　三是对于整个国家而言，个人信息保护不力会影响中国的信息安全和国际竞争力。由于中国个人信息保护力度不及欧美等国，在国际经贸往来中，中国公司不得在境内处理欧美的个人客户信息，在华外资金融机构选择将境内客户的个人信息转移到新加坡、欧盟处理已成惯例，甚至至今也没有一家外国大型互联网企业将服务器设在中国境内。

　　同时，一国落后的个人信息保护，将成为他国对其实行贸易壁垒的新依据，该国企业在“走出去”过程中会受到歧视性对待，个人信息流动的“逆差”状态会影响其国际竞争力和国际地位。此外，大数据背景下基于规模化个体信息的加工分析，可形成对国家安全的细微洞察，公民个体信息失去保护，中长期看国家安全也难以得到切实保障。

　　从长远来看，个人信息保护不足对公民个人权益、互联网及信息行业发展和中国参与国际竞争，都会产生不利影响。

　　相关法律制度现状

　　目前，中国尚无个人信息保护的专门法律。《中华人民共和国宪法》第33条、第38条、第39条和第40条关于保障人权、人格尊严、通信和住宅隐私的有关规定，是中国个人信息权利的宪法来源。《中华人民共和国民法通则》《中华人民共和国侵权责任法》等关于人格权保护与侵权救济条款，奠定了个人信息保护的民事制度基础，但内容过于单薄并欠缺体系化和针对性。

　　2009年《中华人民共和国刑法修正案（七）》第7条针对个人信息犯罪做了规定；2012年12月28日全国人大常委会表决通过《关于加强网络信息保护的决定》首次在法律层面确立了网络信息规范；2016年11月7日全国人大常委会通过《中华人民共和国网络安全法》（2017年6月1日实施），进一步明确规范网络空间用户个人信息安全；《中华人民共和国消费者权益保护法》《中华人民共和国居民身份证法》《中华人民共和国统计法（2009年修正）》《中华人民共和国商业银行法（2003年修正）》等法律法规，对于个人信息保护均有体现。

　　总体上看，个人信息保护零散，现行立法内容有冲突甚至矛盾的情况，说明现有法律体系无法解决个人信息保护这一现实问题，更难以适应大数据发展的新情况。制定个人信息保护法，构建统一的个人信息利用和保护制度，是一项系统性、全局性工程。

　　此外，当前中国个人信息保护法律制度与发达经济体相比还有较大差距。近几十年以来，关于个人信息保护的立法已经成为全球最令人瞩目的立法动态，欧盟甚至提出“没有个人信息保护，就没有国际贸易”的口号。

　　在国内层面，最早的个人信息保护立法是德国黑森州《个人信息保护法》（1970年），而最早的国家级个人信息保护立法则是瑞典的《个人信息法》（1973年）。随后欧美发达国家和地区开启了个人信息保护立法的征程：1974年美国《隐私法》、1978年法国《个人信息保护法》、挪威1978年《个人信息登录法》、1981年以色列《个人信息保护法》、1981年冰岛《个人信息处理法》、1987年加拿大《隐私法》、1987年芬兰《个人信息保护法》、1988年日本《个人信息保护法》等。

　　在国际层面，联合国于1968年提出“个人信息保护”的概念，这一年也被称为“个人信息”年。1980年，经济合作与发展组织（OECD）在《关于保护隐私和个人信息跨国流通指导原则》中揭示了个人信息保护八大原则，这些指导原则对全球各国的立法产生了巨大的影响，有“已经成为制定个人信息保护文件的国际标准”之称。欧洲议会早在1981年制定了《个人信息自动化处理之个人保护公约》，1995年10月24日欧盟通过了《关于个人信息处理及自由流通个人保护指令》，2000年12月18日欧洲议会和欧盟理事会通过《关于与欧共体和组织的个人信息处理相关的个人保护以及关于此种信息自由流动的规章》等，2016年5月24日欧盟通过《一般个人信息保护条例》，以欧盟法规的形式确定了对个人信息的保护原则和监管方式。

　　中国台湾地区于1995年制定了“电脑处理个人资料保护法”作为个人信息保护的专门“法律”，2010年4月该法修正案通过，成为“个人资料保护法”；香港特别行政区于1996年12月20日起开始实施《个人资料（私隐）条例》，澳门特别行政区于2005年制定了《个人资料保护法》，该法于2006年2月正式生效。

　　国际组织、外国以及中国台湾地区、香港特别行政区、澳门特别行政区的立法经验和模式，对当前中国个人信息保护制度的构建提供了良好的借鉴。

　　建议尽快立法保护个人信息

　　比较而言，当前中国在个人信息保护领域的理念、原则、立法和实践，较世界经济发达国家和地区明显落后。因此，完善个人信息保护的政策和立法十分迫切，这一问题应该得到重视。

　　首先，我们要站在促进经济发展和国家间竞争的高度，深刻认识个人信息保护对于国家经济发展和占领经济发展全球制高点的战略意义。其次，要推动“以人为本”的个人信息保护理念落地。数据由人而产生，如果个人的权利得不到恰当保护，就会动摇大数据产生和价值挖掘的基础。建立个人信息保护理念，根本目的就是要让个人信息有序流动起来。在这个过程中，不仅仅企业需要确立相应的保护理念，作为信息保护监管主体和个人信息处理机构的政府部门，更应带头凝聚尊重和保护个人信息的理念。

　　第三，要确立“我的信息我做主”原则，强化机构责任，建立国际通行规则。大数据时代造就了网络空间的“虚拟我”，这个“虚拟我”由我的信息构成，因此，必须坚持“我的信息我做主”原则才能确保“现实我”对“虚拟我”的控制。

　　同时，由于个人与互联网大机构间不对等，使得“本人同意”条款，已成为大数据时代不仅在中国也在世界其他国家的最大谎言，因此，个人信息保护架构应当建立在机构责任基础上。除了落实“本人同意”规则，还必须制定明确的信息采集、加工和使用规则，让国际社会已经普遍接受的个人信息处理公开原则、限制性原则、数据质量原则、安全与责任原则、个人权益保护原则，尽快在中国落到实处。

　　为此，提出如下建议：

　　一是在《中华人民共和国民法总则》中确立个人信息权。

　　《中华人民共和国民法总则（草案三次审议稿）》中第110条规定“自然人的个人信息受法律保护。任何组织和个人不得非法收集、使用、加工、传输个人信息，不得非法买卖、提供或者公开个人信息。”第109条规定“自然人享有生命权、健康权、身体权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。法人、非法人组织享有名称权、名誉权、荣誉权等权利。”

　　建议在第109条列举具体人格权时，在“隐私权”之后增加“个人信息权”。《澳门民法典》制定之时将“个人资料之保护”“个人资料真实权”的条款明确规定在“人格权”的章节之下的立法模式值得借鉴。

　　二是尽快制定《中华人民共和国个人信息保护法》。

　　目前全球已有近90个国家和地区制定了个人信息保护的法律，全面建立个人信息保护制度已经成为国际趋势和国际惯例，也是开展国际贸易的必备制度条件。对个人信息进行保护，不仅是在公共领域和私人领域全面保护个人人格利益的需要，而且直接关系到国家的信息主权、文化主权以及经济发展。

　　借鉴欧美国家在个人信息保护制度构建中的做法，吸收中国台湾地区、香港特别行政区、澳门特别行政区在个人信息保护中的经验，尽快制定专门的《中华人民共和国个人信息保护法》，以明确规定个人信息的涵义，确立个人信息权，明确国家机关信息处理主体和非国家机关信息处理主体收集、利用和处理个人信息的基本原则和规范，为个人信息保护提供救济途径、保护程序，建立个人信息保护专门机构并明确其职责、权限，为中国个人信息的利用和保护构建系统化、整体化的解决方案。

　　三是制定《中华人民共和国个人信息保护法》应体现五大国际原则。

　　自上世纪七十年代初个人信息保护问题提出以来，经过40余年的发展演变和提炼，目前基本形成了以下五大国际原则，作为各国和国际组织制定个人信息保护政策的基础：

　　一是公开性原则，即个人信息处理机构应公开关于个人信息处理的一切政策、流程和处理实践，禁止个人信息被秘密的处理；二是限制性原则，包括个人信息的所有处理行为要坚持合法原则，个人信息数据库要坚持服务特定目的，在最少必须原则下收集和处理，信息的收集和使用范围、保存期限和销毁应受到限制；三是数据质量原则，即个人信息应当准确、完整和适时更新，机构对此责无旁贷；四是责任与安全原则，即在个人信息保护问题上，作为数据控制者的机构必须承担个人信息保护的主要责任，要将个人信息保护内化于其业务流程和技术设计中，同时采取必要的安全防范措施保护个人信息，防止数据丢失或未经授权的访问、销毁、使用、修改或泄漏，并承担相应的责任；五是个人信息权利保护原则，充分保障信息主体的知情权、查询权、异议与纠错权，甚至是可携带权等。

　　关于草案涉及几个问题的说明

　　中国个人信息保护应坚持“统一立法、分类保护”的思路。结合中国当前个人信息保护体制现状，建立统一个人信息保护法，并由各中央和地方各部门根据各自职责和权限，对不同的行业和领域分类管理，分别实施保护。

　　基于以上讨论，作者提出了《中华人民共和国个人信息保护法（草案）》（下称草案），其中有几个问题有必要进一步说明。

　　一是关于个人信息的定义。

　　《中华人民共和国网络安全法》第76条正式在法律层面对于“个人信息”的含义予以了界定，为保持法律概念的统一性，草案采用了《中华人民共和国网络安全法》中关于个人信息的界定。

　　草案认为，个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。

　　二是关于个人信息权的首次确立。

　　在中国之前的有关个人信息的立法之中，尚未明确提出公民个人信息权的相关规定。草案结合欧美以及我国台湾地区的先进立法模式，提出了个人信息权的概念，以及个人信息权的分类，包含了“信息决定权、信息保密权、信息访问权、信息更正权、信息可携权、信息封锁权、信息删除权与被遗忘权”等八大基本权利，与草案中所提到的基本原则相互呼应，涵盖了当前监管实践中对信息主体选择权、拒绝权、被遗忘权的实际要求，更加体现了本草案的体系性与逻辑性。特别是“信息可携权”“被遗忘权”的设立，呼应了大数据发展对个人信息的保护需要。

　　三是关于信息相关主体的定义。

　　对于信息的相关主体，具体是指哪些，何为信息主体，哪些为有权处理主体，在以往的学术理论中并未明确。

　　草案对“信息主体”“信息处理主体”“非国家机关信息处理主体”与“第三人”的定义做出了详细解释，更有利于个人信息保护争议解决程序的规范化，并明确各自权利与义务，更加有力地促进个人信息权力的保护。

　　四是关于草案的基本原则。

　　草案基本原则与全国人大常委会《关于加强网络信息保护的决定》和《中华人民共和国网络安全法》相呼应，确立了“合法原则”“知情同意原则”“目的明确原则”“限制利用原则”“完整正确原则”“安全原则”与“可追溯、可异议、可纠错原则”，构成了整部法律的基础性原则，有利于《个人信息保护法》的实际操作与运用。

　　五是关于信息处理主体的权利与义务的规定，这是个人信息权利保护的关键所在，只有清晰地规定了处理主体的权利义务，才会更为有力的保护公众个人的信息权利。

　　草案结合国外先进的立法模式，将信息处理主体分为国家机关与非国家机关。对于国家机关信息处理主体，在“个人信息收集”“告知义务”“个人信息的储存、变更和利用”“个人信息的跨国传输”“政策披露”等等多方面进行了详细规定，明确了国家机关的权利与义务。

　　对于非国家机关信息处理主体，在“适用对象”“适用资格”“信息收集、处理与利用”与“信息主体决定权”都做了相关规定，并提出“自律规范”与“准用性规范”，更有利于限制非国家机关信息处理主体滥用权利与促进个人信息的合理使用。

　　备注：本文是吴晓灵、周学东等全国人大代表在2017年两会期间提出的议案，借鉴了重庆大学齐爱民教授及其研究小组多年研究个人信息保护立法的主要成果，并以其2005年公开发表的《中华人民共和国个人信息保护法示范法草案学者建议稿》为基础，讨论修改而成。