建議盡快制定《個人信息保護法》

大數(shù)據(jù)時代，信息安全不容忽視，全國人大代表、全國人大財經(jīng)委副主任委員吳曉靈、全國人大代表、中國人民銀行營業(yè)管理部主任周學東等全國人大代表此次兩會關于個人信息安全提出建議。

在互聯(lián)網(wǎng)和信息化時代，大數(shù)據(jù)技術快速發(fā)展，并在各領域得到廣泛應用。但是，作為“大數(shù)據(jù)”的核心和基礎數(shù)據(jù)，個人信息在被各類主體競相挖掘和利用的同時，其保護不足的問題也日益凸顯，因公民信息泄露帶來的侵權問題、欺詐事件愈益嚴重。目前，在我國，不同的政府部門和社會機構掌握著不同的個人信息，如公安部門掌握著公民的戶籍身份、家庭成員及住址信息，金融機構掌握著公民的賬戶信息、財產信息、交易信息和信用信息，教育部門和學校掌握著公民的就學及考試成績信息，稅務部門掌握著公民的納稅信息，勞動人事部門掌握著公民的人事檔案信息，電信部門和機構掌握著公民的通信信息，鐵路、公路和民航部門和企業(yè)掌握著公民的出行信息，醫(yī)療衛(wèi)生部門和醫(yī)院掌握著公民的疾病信息、就醫(yī)信息，司法部門掌握著公民的訴訟信息等等，而互聯(lián)網(wǎng)公司掌握著公民全部的上網(wǎng)搜索、瀏覽、購物、社交等網(wǎng)絡信息。

然而，信息化對個人信息的挖掘和利用是一把雙刃劍。一方面，信息化技術廣泛應用，個人信息的開發(fā)和利用對于社會發(fā)展的進步意義重大，商業(yè)機構可以利用收集的個人信息為生產決策提供輔助信息，進行網(wǎng)上營銷；各級政府部門可以利用掌握的個人信息進行準確的政策決策，提高社會管理效果，預防和懲治犯罪。另一方面，由于個人信息的不當收集、濫用和泄露，導致個人權利和利益頻遭侵害的事件屢見不鮮。2016年發(fā)生的高考學生遭電信詐騙后自殺等惡性事件，就是因為學生個人信息遭到泄露引發(fā)。這些惡性案件在全社會引起很大反響。近年來因“人肉搜索”、“身份起底”侵害公民個人人格權的事件不斷出現(xiàn)，甚至一些公眾人物、未成年人的個人隱私也被一些網(wǎng)絡媒體肆意炒作和“消費”，而他們面對網(wǎng)上大面積的侵權行為卻無能為力，無法有效維權。此外，任由外國組織收集我國公民個人信息，還可能危及國家安全的情形擴大蔓延，尤其是伴隨互聯(lián)網(wǎng)傳播而導致對個人權益的危害快速擴大并且不易消除。

進入21世紀，盡管大數(shù)據(jù)時代個人信息隨處可見，個人信息的內涵、處理方式、技術手段和侵權形式已發(fā)生巨大的變化，對個人信息保護的基本原則帶來了挑戰(zhàn)。因此，盡快制定《中華人民共和國個人信息保護法》，是在信息化時代，切實保護憲法確定的公民基本權利和促進網(wǎng)絡經(jīng)濟健康發(fā)展的迫切需求。

制定個人信息保護法的必要性

個人信息權利是信息社會中公民基本權利的一部分，保護個人信息權利也是維護國家安全和公共安全的基礎?？傮w而言，我國由于缺少全面系統(tǒng)的個人信息保護法，個人信息侵權和濫用的局面未得到有效改善，外國組織收集我國公民個人信息的行為未得到有效制止。個人信息保護不足，將對個人、企業(yè)和國家都帶來不利影響。主要包括以下幾點：

一是對個人而言，個人信息保護不足導致個人隱私、安寧、財產等權利受到侵害且在受到侵害后無救濟渠道。近年來時有發(fā)生的個人信息泄露事件及因信息泄露導致的欺詐案件，危及了個人財產和生命安全，影響了個人對改革成果的獲得感和幸福感。

二是對于互聯(lián)網(wǎng)和信息行業(yè)而言，個人信息保護不力會影響該行業(yè)的健康可持續(xù)發(fā)展。分散的個人信息保護法規(guī)規(guī)定不清晰、不統(tǒng)一，缺乏確定的個人信息權屬、流動和使用規(guī)則，導致個人信息孤島和信息濫用并存，個人信息和大數(shù)據(jù)流通暗流涌動、秘而不宣，既沖擊公眾對互聯(lián)網(wǎng)及信息行業(yè)的信任和信心，還阻礙了政府和商業(yè)領域個人信息的開放流通。相反那些沒有底線的企業(yè)打著改革創(chuàng)新的旗號行“倒賣數(shù)據(jù)”之實，因“劣幣驅逐良幣”而獲得了競爭優(yōu)勢，這對數(shù)據(jù)行業(yè)的健康發(fā)展實際上是有百害而無一利。

三是對于整個國家而言，個人信息保護不力會影響我國的信息安全和國際競爭力。由于我國個人信息保護力度不及歐美等國，在國際經(jīng)貿往來中我國公司不得在境內處理歐美的個人客戶信息，在華外資金融機構選擇將境內客戶的個人信息轉移到新加坡、歐盟處理已成慣例，甚至至今也沒有一家外國大型互聯(lián)網(wǎng)企業(yè)將服務器設在中國境內。同時，一國落后的個人信息保護，將成為他國對其實行貿易壁壘的新依據(jù)，該國企業(yè)在“走出去”過程中會受到歧視性對待，個人信息流動的“逆差”狀態(tài)會影響其國際競爭力和國際地位。此外，大數(shù)據(jù)背景下基于規(guī)模化個體信息的加工分析，可形成對國家安全的細微洞察，公民個體信息失去保護，中長期看國家安全也難以得到切實保障。

建議：盡快制定《中華人民共和國個人信息保護法》

比較而言，當前我國在個人信息保護領域的理念、原則、立法和實踐，較世界經(jīng)濟發(fā)達國家和地區(qū)明顯落后。從長遠來看，個人信息保護不足對公民個人權益、互聯(lián)網(wǎng)及信息行業(yè)發(fā)展和我國參與國際競爭都會產生不利影響。完善我國個人信息保護的政策和立法十分迫切，這一問題應該得到重視。

首先，我們要站在促進經(jīng)濟發(fā)展和國家間競爭的高度，深刻認識個人信息保護對于國家經(jīng)濟發(fā)展和占領經(jīng)濟發(fā)展全球制高點的戰(zhàn)略意義。我國要緊跟個人信息保護全球步伐，從實踐上著手、從頂層上布局、從本質上研究我國個人信息保護問題。

其次，要推動“以人為本”的個人信息保護理念落地。數(shù)據(jù)由人而產生，如果個人的權利得不到恰當保護，就會動搖大數(shù)據(jù)產生和價值挖掘的基礎。建立個人信息保護理念，根本目的就是要讓個人信息有序流動起來。在這個過程中，不僅僅企業(yè)需要確立相應的保護理念，作為信息保護監(jiān)管主體和個人信息處理機構的政府部門，更應帶頭凝聚尊重和保護個人信息的理念。

大數(shù)據(jù)時代造就了網(wǎng)絡空間的“虛擬我”，這個“虛擬我”由我的信息構成，因此，必須堅持“我的信息我做主”原則才能確?！艾F(xiàn)實我”對“虛擬我”的控制。同時，由于個人與互聯(lián)網(wǎng)大機構間不對等，使得“本人同意”條款已成為大數(shù)據(jù)時代不僅在中國也在世界其他國家的最大謊言，因此，個人信息保護架構應當建立在機構責任基礎上。除落實“本人同意”規(guī)則之外，還必須制定明確的信息采集、加工和使用規(guī)則，讓國際社會已經(jīng)普遍接受的個人信息處理公開原則、限制性原則、數(shù)據(jù)質量原則、安全與責任原則、個人權益保護原則，盡快在我國落到實處。

為此，提出如下建議：

在《中華人民共和國民法總則》中確立個人信息權

我國在《中華人民共和國民法總則（草案三次審議稿）》中第110條規(guī)定“自然人的個人信息受法律保護。任何組織和個人不得非法收集、使用、加工、傳輸個人信息，不得非法買賣、提供或者公開個人信息?！钡?09條規(guī)定“自然人享有生命權、健康權、身體權、姓名權、肖像權、名譽權、榮譽權、隱私權、婚姻自主權等權利。法人、非法人組織享有名稱權、名譽權、榮譽權等權利?！苯ㄗh在第109條列舉具體人格權時，在“隱私權”之后增加“個人信息權”?！栋拈T民法典》制定之時將“個人資料之保護”“個人資料真實權”的條款明確規(guī)定在“人格權”的章節(jié)之下的立法模式值得借鑒。

盡快制定《中華人民共和國個人信息保護法》

目前全球已有近90個國家和地區(qū)制定了個人信息保護的法律，全面建立個人信息保護制度已經(jīng)成為國際趨勢和國際慣例，也是開展國際貿易的必備制度條件。對個人信息進行保護，不僅是在公共領域和私人領域全面保護個人人格利益的需要，而且直接關系到國家的信息主權、文化主權以及經(jīng)濟發(fā)展。借鑒歐美國家在個人信息保護制度構建中的做法，吸收我國臺灣地區(qū)、香港特別行政區(qū)、澳門特別行政區(qū)在個人信息保護中的經(jīng)驗，盡快制定專門的《中華人民共和國個人信息保護法》，以明確規(guī)定個人信息的涵義，確立個人信息權，明確國家機關信息處理主體和非國家機關信息處理主體收集、利用和處理個人信息的基本原則和規(guī)范，為個人信息保護提供救濟途徑、保護程序，建立個人信息保護專門機構并明確其職責、權限，為我國個人信息的利用和保護構建系統(tǒng)化、整體化的解決方案。

制定《中華人民共和國個人信息保護法》應體現(xiàn)的原則

目前全球已經(jīng)形成了關于個人信息保護的通用原則，并在越來越多的國家和地區(qū)得到貫徹執(zhí)行。自上世紀七十年代初個人信息保護問題提出以來，經(jīng)過40余年的發(fā)展演變和提煉，目前基本形成了以下五大國際原則，作為各國和國際組織制定個人信息保護政策的基礎：一是公開性原則，即個人信息處理機構應公開關于個人信息處理的一切政策、流程和處理實踐，禁止個人信息被秘密的處理；二是限制性原則，包括個人信息的所有處理行為要堅持合法原則，個人信息數(shù)據(jù)庫要堅持服務特定目的，三是數(shù)據(jù)質量原則，即個人信息應當準確、完整和適時更新，機構對此責無旁貸；四是責任與安全原則，即在個人信息保護問題上，作為數(shù)據(jù)控制者的機構必須承擔個人信息保護的主要責任，要將個人信息保護內化于其業(yè)務流程和技術設計中，同時采取必要的安全防范措施保護個人信息，防止數(shù)據(jù)丟失或未經(jīng)授權的訪問、銷毀、使用、修改或泄漏，并承擔相應的責任；五是個人信息權利保護原則，充分保障信息主體的知情權、查詢權、異議與糾錯權，甚至是可攜帶權等。（財新網(wǎng)）