2020年10月12日，在全國人大常委會法工委發(fā)言人記者會上，發(fā)言人臧鐵偉提到，《個人信息保護法（草案）》等議案將被首次提請全國人大常委會第二十二次會議審議。他認(rèn)為，在信息化時代，個人信息保護已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實的利益問題之一。為及時回應(yīng)廣大人民群眾的呼聲和期待，落實黨中央部署要求，按照十三屆全國人大常委會立法規(guī)劃和年度立法工作計劃的安排，全國人大常委會法工委會同中央網(wǎng)信辦在深入調(diào)查研究、廣泛征求意見的基礎(chǔ)上，起草了個人信息保護法草案。

在我看來，我國《個人信息保護法》有亟待解決的十大議題，具體如下：

一、法律定位：數(shù)據(jù)領(lǐng)域的基本法

首先，需要處理好《個人信息保護法》與《民法典》的關(guān)系。

《民法典》是私法，主要解決的是平等主體之間的人身關(guān)系和財產(chǎn)關(guān)系。如“隱私權(quán)和個人信息保護”在第四編“人格權(quán)”第六章作了專門規(guī)定，并按照人格權(quán)的方式來保護；而數(shù)據(jù)則在第一編“總則”第五章“民事權(quán)利”中涉及，與網(wǎng)絡(luò)虛擬財產(chǎn)放到一塊，這是按照財產(chǎn)權(quán)的方式來保護。

但《個人信息保護法》顯然是一部公法和私法深度融合的法律，一方面，通過個人信息權(quán)利體系及以此為基礎(chǔ)的民事訴訟機制，來實現(xiàn)對個人信息的私法保護；另一方面，通過設(shè)立專門政府監(jiān)管機構(gòu)和制定強制性法律規(guī)范，用罰款等行政手段監(jiān)管實現(xiàn)對個人信息的公法保護。體現(xiàn)了“企業(yè)自我規(guī)制+政府強力規(guī)制”的合作治理，最終在數(shù)據(jù)領(lǐng)域?qū)崿F(xiàn)國家治理的現(xiàn)代化。從這個角度看，《個人信息保護法》與《民法典》并不是特別法與一般法的關(guān)系，而是兩個有交叉關(guān)系的平行法律。

其次，需要處理好《個人信息保護法》與《國家安全法》、《數(shù)據(jù)安全法》及《網(wǎng)絡(luò)安全法》的關(guān)系。

從功能主義的角度看，《數(shù)據(jù)安全法》在數(shù)據(jù)領(lǐng)域是落實《國家安全法》的“總體國家安全觀”的核心法律，重點聚焦于重要數(shù)據(jù)的國家安全問題，而《個人信息保護法》則以《數(shù)據(jù)安全法》為基礎(chǔ)，在此基礎(chǔ)上重點聚焦于個人信息權(quán)利保護與數(shù)據(jù)流動、數(shù)據(jù)利用等問題。另外，《網(wǎng)絡(luò)安全法》涉及數(shù)據(jù)的內(nèi)容將逐漸被《個人信息保護法》和《數(shù)據(jù)安全法》所吸收并取代，轉(zhuǎn)而聚焦于網(wǎng)絡(luò)等級保護2.0、關(guān)鍵基礎(chǔ)設(shè)施保護及網(wǎng)絡(luò)安全審查制度等核心問題。

因此，《個人信息保護法》和《數(shù)據(jù)安全法》是數(shù)據(jù)領(lǐng)域的兩部基本法律，前者聚焦數(shù)據(jù)隱私，后者聚焦數(shù)據(jù)安全，共同構(gòu)建了數(shù)據(jù)保護和數(shù)據(jù)利用的整體性法律框架。

二、基本原則：數(shù)據(jù)權(quán)利保護與數(shù)據(jù)流動的平衡

實現(xiàn)數(shù)據(jù)權(quán)利保護與數(shù)據(jù)流動、利用的平衡，應(yīng)當(dāng)成為我國《個人信息保護法》的基本原則。這同時也是歐盟《通用數(shù)據(jù)保護條例》（GDPR）、美國《加州消費者隱私法案》（GDPR）以及日本《個人信息保護法》等世界主要數(shù)據(jù)立法的核心目的。

如GDPR有很好的歸納：GDPR第1條第1款開宗明義地指出,“本條例旨在確立個人數(shù)據(jù)處理中的自然人保護和數(shù)據(jù)自由流通的規(guī)范”；緊接著，GDPR第1條第2款強調(diào)，“本條例旨在保護自然人的基本權(quán)利和自由，尤其是保護個人的數(shù)據(jù)權(quán)利”；而GDPR第1條第3款則確認(rèn)了平衡的重要性，即“個人數(shù)據(jù)在歐盟境內(nèi)的自由流通不得因為在個人數(shù)據(jù)處理過程中保護自然人而被限制或禁止”。

中國社會科學(xué)院法學(xué)研究所研究員周漢華老師說，大數(shù)據(jù)時代的個人數(shù)據(jù)觀念同樣重視信息安全與個人數(shù)據(jù)的保護，但更突出強調(diào)大數(shù)據(jù)開發(fā)、開放、利用與共享，要突出競爭優(yōu)勢。我也同意這樣的觀點，數(shù)據(jù)權(quán)利保護與數(shù)據(jù)流動、經(jīng)濟發(fā)展從本質(zhì)上說并不沖突，從長遠(yuǎn)看應(yīng)當(dāng)是正相關(guān)關(guān)系。

因此，我國《個人信息保護法》面臨的并不是一個“選邊站”的問題：選擇“數(shù)據(jù)權(quán)利保護”，抑或選擇“數(shù)據(jù)流動和數(shù)字經(jīng)濟的發(fā)展”。其實我們面臨的是一個“平衡”的問題，即在同時選擇兩者的基礎(chǔ)上，決定指針應(yīng)當(dāng)稍稍偏向于哪一方，但絕對不能出現(xiàn)天平失衡的問題。

三、個人信息的定義：概括抑或列舉

我國《民法典》規(guī)定，“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等”。

在我看來，我國《個人信息保護法》對“個人信息”的定義，應(yīng)當(dāng)維持這種結(jié)合“抽象定義+不完全列舉”的立法方式。這種定義方式，既可以有效避免“個人信息”范圍的不確定帶來的交易成本，也可以針對新技術(shù)領(lǐng)域存在爭議的數(shù)據(jù)進行更加明確的界定，并根據(jù)實踐產(chǎn)生的新數(shù)據(jù)類型對“個人信息”的范圍進行適度調(diào)整。

當(dāng)然，我國《個人信息保護法》還需要明確如下事項：

其一，匿名化是不是判斷“個人信息”的唯一標(biāo)準(zhǔn)，去標(biāo)識化的信息或聚合的信息到底是不是個人信息；

其二，明確“個人信息”是否包含一些易產(chǎn)生爭議的數(shù)據(jù)類型，如“消費歷史記錄或消費趨勢”“瀏覽記錄、搜索記錄，以及網(wǎng)站及應(yīng)用程序等網(wǎng)絡(luò)活動信息”“視覺、熱量、嗅覺”等；其三，按照重要數(shù)據(jù)、敏感數(shù)據(jù)及一般數(shù)據(jù)等對個人信息進行分級，并提供不同程度的相應(yīng)保護。

四、數(shù)據(jù)權(quán)利：增加抑或限縮

我國《民法典》規(guī)定了“隱私權(quán)”，即“自然人享有隱私權(quán)。任何組織或者個人不得以刺探、侵?jǐn)_、泄露、公開等方式侵害他人的隱私權(quán)”。但《民法典》只是把“個人信息”定義為“權(quán)益”，規(guī)定“自然人的個人信息受法律保護”，并未上升到“權(quán)利”的層次。從個人信息的權(quán)益范圍來看，也僅限于“查閱或者復(fù)制”、“發(fā)現(xiàn)信息有錯誤時，有權(quán)提出異議并請求及時采取更正等必要措施”以及“違法或違約時，有權(quán)請求信息處理者及時刪除”等。而在任甲玉訴百度案中，法院則認(rèn)為，我國并沒有“被遺忘權(quán)”權(quán)利類型，這是歐盟GDPR特有的。

那么，我們?yōu)槭裁匆Ｗo個人的數(shù)據(jù)權(quán)利呢？一方面，數(shù)據(jù)黑市、數(shù)據(jù)泄露及數(shù)據(jù)濫用等侵犯個人數(shù)據(jù)權(quán)利的情況嚴(yán)重。正如全國人大發(fā)言人臧鐵偉指出的那樣，“隨意收集、違法獲取、過度使用、非法買賣個人信息，利用個人信息侵?jǐn)_人民群眾生活安寧、危害人民群眾生命健康和財產(chǎn)安全等問題仍十分突出”。另一方面，數(shù)據(jù)權(quán)利對我國數(shù)字經(jīng)濟的發(fā)展具有重要意義。如果說數(shù)字經(jīng)濟是具有“顯而易見的優(yōu)點”的“樹干”和“數(shù)冠”，那么，數(shù)據(jù)權(quán)利則是“深藏土地不被人看見卻發(fā)揮重要作用”的“樹根”。

因此，數(shù)據(jù)權(quán)利體系的構(gòu)建對我國《個人信息保護法》顯得尤為重要：一方面，需要詳細(xì)論證：在已有的知情同意權(quán)、查閱權(quán)、復(fù)制權(quán)、更正權(quán)及刪除權(quán)之外，是否需要增加被遺忘權(quán)、數(shù)據(jù)可攜權(quán)、數(shù)據(jù)財產(chǎn)權(quán)等新的權(quán)利內(nèi)容；另一方面，對于已有的權(quán)利，如何通過更加精細(xì)化的立法技術(shù)，加強法律的系統(tǒng)性、針對性和可操作性。

五、同意規(guī)則：明示抑或默示

在實踐中，存在嚴(yán)重的“數(shù)據(jù)主體客體化”現(xiàn)象，即信息不對稱使得個人根本無法了解企業(yè)收集和使用了他們的那些數(shù)據(jù)，更無法決定企業(yè)是否共享或交易他們的個人信息。但是，以控制權(quán)為特征的“同意規(guī)則”卻是整個數(shù)據(jù)權(quán)利體系的基礎(chǔ)，即個人應(yīng)當(dāng)具有控制其個人信息的收集、使用或出售的權(quán)利。也就是說，個人既可以從他們喜歡的公司收獲數(shù)據(jù)的價值，當(dāng)然也可以拒絕他們不喜歡的公司，重新拿回屬于他們的個人信息。

因此，“同意規(guī)則”也值得我國《個人信息保護法》充分重視，重點處理好如下事項：

一方面，注意區(qū)分明示同意和默示通知。如對處理敏感數(shù)據(jù)作出更嚴(yán)格的限制，強調(diào)的是明示同意規(guī)則，如草案以保護數(shù)據(jù)權(quán)利為出發(fā)點，即在具有特定的目的和充分的必要性的情形下，取得個人的單獨同意或者書面同意；相反，對處理一般數(shù)據(jù)作出相對寬松的規(guī)定，強調(diào)的是默示通知規(guī)則，側(cè)重規(guī)范數(shù)據(jù)的商業(yè)化利用，即強調(diào)企業(yè)在處理數(shù)據(jù)之前的“通知”義務(wù)，只要個人不反對，就默認(rèn)為符合“同意規(guī)則”。

另一方面，細(xì)化“同意規(guī)則”的豁免事由。針對“維護公共利益或者該自然人合法權(quán)益”這一豁免規(guī)則，如草案將應(yīng)對突發(fā)公共衛(wèi)生事件，或者緊急情況下保護自然人的生命健康，作為處理個人信息的合法性基礎(chǔ)之一。

六、數(shù)據(jù)共享和交易：生死存亡

中共中央、國務(wù)院連續(xù)發(fā)文要求加快培育發(fā)展數(shù)據(jù)要素市場，其中把數(shù)據(jù)定義成土地、資本、勞動力及技術(shù)之外的第五大基本市場要素，并建立數(shù)據(jù)資源清單管理機制，完善數(shù)據(jù)權(quán)屬界定、開放共享、交易流通等標(biāo)準(zhǔn)和措施，發(fā)揮社會數(shù)據(jù)資源價值。

最近，中央又支持深圳加快培育數(shù)據(jù)要素市場，要求率先完善數(shù)據(jù)產(chǎn)權(quán)制度，探索數(shù)據(jù)產(chǎn)權(quán)保護和利用新機制，建立數(shù)據(jù)隱私保護制度，試點推進政府?dāng)?shù)據(jù)開放共享，支持建設(shè)粵港澳大灣區(qū)數(shù)據(jù)平臺，研究論證設(shè)立數(shù)據(jù)交易市場或依托現(xiàn)有交易場所開展數(shù)據(jù)交易，開展數(shù)據(jù)生產(chǎn)要素統(tǒng)計核算試點。

數(shù)據(jù)要素市場最主要的機制是數(shù)據(jù)共享和交易，大致可以分為數(shù)據(jù)貨幣化、數(shù)據(jù)交易市場、數(shù)據(jù)共享聯(lián)盟、數(shù)據(jù)技術(shù)推動者以及開放數(shù)據(jù)策略等五種形式。但在實踐中，數(shù)據(jù)共享和交易并未大規(guī)模開展，而數(shù)據(jù)黑市卻十分猖獗，這主要存在技術(shù)及法律等障礙。技術(shù)障礙可能包括缺乏互操作性、數(shù)據(jù)安全顧慮和其他網(wǎng)絡(luò)安全要求；而法律障礙主要是“數(shù)據(jù)所有權(quán)”的不確定性、對數(shù)據(jù)合法利用的邊界，以及在滿足企業(yè)對數(shù)據(jù)保護方面的法律需求上遇到的困難。

在我看來，我國《個人信息保護法》應(yīng)當(dāng)從法律上著力解決上述障礙，具體可以考慮以下兩點：

其一，對“匿名化”作擴大化和寬松化的解釋，強調(diào)“去標(biāo)識化”也符合“不能識別特定個人且不能復(fù)原”的規(guī)定，畢竟絕對的“匿名化”從技術(shù)角度來看是不可能實現(xiàn)的，這會嚴(yán)重阻礙數(shù)據(jù)的流動及利用。

其二，建構(gòu)“數(shù)據(jù)信托”制度，強調(diào)數(shù)據(jù)共享及交易是數(shù)據(jù)平衡戰(zhàn)略的一部分。對于個人，這意味著與其相關(guān)的個人數(shù)據(jù)將被保存在公共服務(wù)器中，并由數(shù)據(jù)信托機構(gòu)管理。企業(yè)則可以通過信托關(guān)系來訪問和處理這些數(shù)據(jù)，而個人將獲取“數(shù)據(jù)紅利”。

七、數(shù)據(jù)跨境：自由抑或限制

對于數(shù)據(jù)跨境，歐盟GDPR作出嚴(yán)格限制，設(shè)置了充分性認(rèn)定白名單、遵守適當(dāng)保障措施、公司約束規(guī)則、國際協(xié)議以及通過“必要性測試”和“偶然性判定”等五道“關(guān)口”。而美國CCPA對于數(shù)據(jù)跨境管控持有“留白與放任”的態(tài)度，這是因為美國數(shù)字經(jīng)濟產(chǎn)業(yè)領(lǐng)先于全球，從價值取向上更加鼓勵數(shù)據(jù)的自由跨境流動。上個月，歐盟法院更是判定“隱私盾協(xié)議”無效，這直接導(dǎo)致歐美之間的數(shù)據(jù)跨境傳輸陷入中斷 。

那么，我國《個人信息保護法》又應(yīng)當(dāng)設(shè)計怎樣的數(shù)據(jù)跨境傳輸機制呢？在我看來，我國應(yīng)當(dāng)建構(gòu)一套凝聚全球數(shù)據(jù)安全共識、符合全球共同利益及普遍價值、持續(xù)開放共享的數(shù)據(jù)跨境方案，重點強調(diào)的是在數(shù)據(jù)安全基礎(chǔ)上的數(shù)據(jù)自由流動，強調(diào)持續(xù)的開放性。

而法律在數(shù)據(jù)跨境機制中主要起到“安全閥”作用，具體體現(xiàn)在：

其一，建立分級基礎(chǔ)上的分類監(jiān)管機制。如草案規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運營者和處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的處理者，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估；對于其他需要跨境提供個人信息的，規(guī)定了經(jīng)專業(yè)機構(gòu)認(rèn)證等途徑。

其二，建構(gòu)數(shù)據(jù)跨境的批準(zhǔn)機制。如草案對跨境提供個人信息的“告知—同意”作出更嚴(yán)格的要求。對因國際司法協(xié)助或者行政執(zhí)法協(xié)助，需要向境外提供個人信息的，要求依法申請有關(guān)主管部門批準(zhǔn)。

其三，采取國際對等原則。如草案規(guī)定，對從事?lián)p害我國公民個人信息權(quán)益等活動的境外組織、個人，以及在個人信息保護方面對我國采取不合理措施的國家和地區(qū)，我國也可以采取的相應(yīng)措施。

八、數(shù)據(jù)泄露：實體和程序

在我國，頻發(fā)的大規(guī)模數(shù)據(jù)泄露事件對個人信息造成了極大的侵害，這已引發(fā)了全民的安全擔(dān)憂，如華住酒店集團近5億條用戶信息被泄露，12306網(wǎng)站470余萬條用戶數(shù)據(jù)在網(wǎng)絡(luò)上被販賣等?？上У氖牵F(xiàn)行法律確對此卻束手無策，這既與過于原則的實體性規(guī)定有關(guān)，更與程序性規(guī)定的缺失有直接關(guān)系。

因此，我國《個人信息保護法》應(yīng)當(dāng)構(gòu)建覆蓋全流程、多環(huán)節(jié)的數(shù)據(jù)泄露通知制度，考慮進一步明確在發(fā)生或可能發(fā)生數(shù)據(jù)泄露時網(wǎng)絡(luò)運營者應(yīng)采取補救措施的具體內(nèi)容，觸發(fā)數(shù)據(jù)泄露通知的條件，告知用戶和主管部門的時限、內(nèi)容、形式，以及未履行數(shù)據(jù)泄露通知義務(wù)應(yīng)當(dāng)承擔(dān)的法律責(zé)任。同時，對評估數(shù)據(jù)泄露嚴(yán)重程度的具體指標(biāo)進行合理規(guī)定，增強制度的可操作性。

九、監(jiān)管機構(gòu)：獨立抑或綜合

在歐盟，GDPR要求歐盟層面及各成員國都應(yīng)當(dāng)建立獨立的數(shù)據(jù)監(jiān)管機構(gòu)，負(fù)責(zé)監(jiān)督條例的實施，并授予這些機構(gòu)調(diào)查、矯正、授權(quán)和建議等權(quán)力，并建構(gòu)了數(shù)據(jù)主體向監(jiān)管機構(gòu)投訴、受理及處理等一整套行政救濟制度框架。而在美國，聯(lián)邦層面雖然也設(shè)立了負(fù)責(zé)隱私執(zhí)法的聯(lián)邦貿(mào)易委員（FTC），但各個行業(yè)領(lǐng)域還是采取了分類監(jiān)管的模式，如金融數(shù)據(jù)領(lǐng)域的國消費者金融保護局、健康醫(yī)療數(shù)據(jù)領(lǐng)域的美國衛(wèi)生部以及教育數(shù)據(jù)領(lǐng)域的美國教育部等。

那么，我國《個人信息保護法》到底應(yīng)該設(shè)立歐盟式的獨立數(shù)據(jù)監(jiān)管機構(gòu)，以解決政企不分、政資不分、政事不分等引發(fā)的“九龍治水”的分散執(zhí)法問題，還是應(yīng)該維持現(xiàn)狀，采納美國式的“FTC+其他機構(gòu)”的綜合治理方案？

在我看來，由于個人信息保護客觀上涉及各個領(lǐng)域和多個部門的職責(zé)，再加上金融、醫(yī)療健康等特殊行業(yè)領(lǐng)域所具有的較高執(zhí)法門檻，新設(shè)獨立的統(tǒng)一數(shù)據(jù)監(jiān)管機構(gòu)不僅不能實際解決問題，反而會帶來更多的麻煩。顯而易見的是，我國《個人信息保護法》草案也持有類似觀點，草案明確國家網(wǎng)信部門負(fù)責(zé)個人信息保護工作的統(tǒng)籌協(xié)調(diào)，發(fā)揮其統(tǒng)籌協(xié)調(diào)作用，而國家網(wǎng)信部門和國務(wù)院有關(guān)部門在各自職責(zé)范圍內(nèi)負(fù)責(zé)個人信息保護和監(jiān)督管理工作。

十、法律責(zé)任：嚴(yán)格抑或?qū)捤?/strong>

在數(shù)據(jù)執(zhí)法領(lǐng)域，強監(jiān)管和嚴(yán)格的法律責(zé)任是一個世界趨勢。在歐盟，GDPR不僅設(shè)計了罰款等處罰機制，還包括了警告、訓(xùn)斥等強制措施，而最高罰款更是高達(dá)2000萬歐元或者企業(yè)上年度4%的全球營業(yè)收入。在美國，監(jiān)管機構(gòu)試圖用嚴(yán)厲的事后罰款來倒逼企業(yè)實現(xiàn)對個人信息的全面保護，如在劍橋分析案中，F(xiàn)TC對臉書的處罰高達(dá)50億美元。

在我看來，法律責(zé)任的設(shè)置也是一個追求平衡的過程。

一方面，必須具有足夠的震懾力，即法律通過大幅提高罰款金額，增加企業(yè)的違法違規(guī)成本，以天價罰款促使企業(yè)建立良好的內(nèi)部數(shù)據(jù)合規(guī)體系，實現(xiàn)“企業(yè)自我規(guī)制+政府規(guī)制”的合作治理。但另一方面，又不能隨意適用刑法，上綱上線會對數(shù)據(jù)產(chǎn)業(yè)的發(fā)展造成巨大威脅。而且“要么坐牢、要么沒事”的現(xiàn)象又會導(dǎo)致很多企業(yè)、個人鋌而走險。

同時，嚴(yán)格的法律責(zé)任必須與柔性執(zhí)法機制相配合，我主張建構(gòu)行政執(zhí)法和解協(xié)議制度，把企業(yè)建立數(shù)據(jù)合規(guī)機制作為適用和解程序的條件，在協(xié)議當(dāng)中引入完整的企業(yè)數(shù)據(jù)合規(guī)條款，及時向全社會公布情況，規(guī)定一定的合規(guī)考驗期，允許企業(yè)有機會實現(xiàn)改過自新。

顯然，我國《個人信息保護法》草案也對違法行為加大懲處力度，設(shè)置了嚴(yán)格的法律責(zé)任。草案對違反本法規(guī)定行為的處罰及侵害個人信息權(quán)益的民事賠償?shù)茸髁艘?guī)定。如“侵害個人信息權(quán)益的違法行為，情節(jié)嚴(yán)重的，沒收違法所得，并處五千萬元以下或者上一年度營業(yè)額百分之五以下罰款”，并增加了“記入信用檔案”的處罰機制，同時規(guī)定對侵害個人信息權(quán)益的民事賠償，按照個人所受損失或者個人信息處理者所獲利益確定數(shù)額，上述數(shù)額無法確定的，由人民法院根據(jù)實際情況確定賠償數(shù)額。

總之，針對個人信息野蠻掘金的時代已經(jīng)結(jié)束，該是到了通過《個人信息保護法》和《數(shù)據(jù)安全法》建構(gòu)數(shù)據(jù)法律新秩序的時候了。讓我們一起為數(shù)據(jù)權(quán)利而斗爭！

（作者何淵為上海交通大學(xué)數(shù)據(jù)法律研究中心執(zhí)行主任，著有《數(shù)據(jù)法學(xué)》《大數(shù)據(jù)戰(zhàn)爭》。）