我国个人信息保护法治方案的制定历程详解

近期，《中华人民共和国个人信息保护法（草案）》（以下简称《草案》）经十三届全国人大常委会第二十二次会议审议并向社会公布。我国个人信息保护法治方案最终浮出水面。我国个人信息保护立法历经了几个阶段？《草案》对网络领域有何影响？

个人信息保护立法历经三个阶段

2020 年可被称为我国个人信息保护立法的“元年”。但这并不意味着我国个人信息保护工作才刚刚启动，我国个人信息保护立法经历了自下而上、从分散到统一的过程，大致可以分为三个阶段。

1、初识阶段

早在 2012 年，国家层面就认识到个人信息保护的重要性，全国人大常委会通过《关于加强网络信息保护的决定》，明确“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。

这是首次从法律层面确认个人信息保护的要求，同时也确定“合法、正当、必要”的原则，并一直在后续立法中得到延续和确认。

2013 年，工业和信息化部出台《电信和互联网用户个人信息保护管理规定》，全面规定信息收集和使用规范、安全保障措施、监督检查等内容，其中将“用户个人信息”界定为“电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”。

这一定义以“识别说”为基础，从立法层面具体形成“个人信息”定义的雏形。后续颁布的《中华人民共和国网络安全法》（以下简称《网络安全法》）对“个人信息”的界定也很大程度上认可了这种定义的方式。

《关于加强网络信息保护的决定》和《电信和互联网用户个人信息保护管理规定》的出台，为第一阶段个人信息保护工作提供了有力的依据，推动我国个人信息保护工作启动并进入法治轨道。

2、上升阶段

2016 年，全国人大常委会审议通过了《网络安全法》。其中在“网络信息安全”和“网络运行安全”章节对个人信息保护问题作出比较全面的规定。

《网络安全法》一方面是我国首次以最高位阶—— 以法律的形式规定了个人信息保护问题；另一方面也根据技术、应用发展的新情况进行了回应，对“告知 - 同意”的规则进行了固化和具体阐释，明确了删除权、更正权等个人信息权益，也对跨境数据流动问题进行了规定。

《网络安全法》自2017 年 6月1日实施之后，为大量个人信息保护执法工作提供了法律依据，有效形成对个人信息保护违法行为的法律威慑。

3、统一阶段

这一阶段也就是我们正在进行的个人信息保护统一立法的阶段。通过个人信息保护法对个人信息保护的分散规定进行整合，对个人信息活动的规律进行抽象总结。

这一阶段并非孤立存在的，而是建立在前述两个阶段的基础之上，是对其的继承和升华。

比如，从《草案》来看，个人信息保护监管体制机制得以妥善安排，在尊重实践情况的基础上，突出网信部门的统筹协调地位，也明确了有关部门的监督管理职责，确保了个人信息保护工作的稳定期和可预期性；“个人信息”的定义得以进一步固化，改变了《网络安全法》等法律文件所采用的“定性 + 列举”的模式，而是仅采取定性的方式，不再单独列举。

这在很大程度上给实践留足了理解空间。

同时，《草案》也对一般个人信息和敏感个人信息进行了区分规定，对处理敏感个人信息规定了更高的要求；“告知 - 同意”规则得到了极大的丰富和完善，增加了“单独同意”“书面同意”的特殊要求。此外，对于国家机关、跨境传输、数据泄露、信息保护负责人等问题也作出创新性的规定。

《草案》充分反映了对个人信息保护系统性规定的特点。

《草案》对保护什么、怎么保护、谁来保护等问题进行了全面回应，明确了个人信息保护的适用范围、健全了个人信息的处理规则、完善了个人信息跨境提供的规则、确定了个人信息处理活动中个人的权利和处理者义务、框定了履行个人信息保护职责的部门以及法律责任。其中，罚款数额颇受关注，最高可处以 5000万元或者上一年度营业额 5% 以下的罚款。

基本形成我国个人信息保护的制度要求

我国互联网产业发展迅速，有效促进了数字经济的兴起和成熟。数据作为关键生产要素，对数字经济具有积极促进作用。

反过来说，数字经济发展也积累了丰富的数据资源，这种数据资源既是产业资源，也是立法资源。

我国的产业模式、数据利用等在全世界范围内具有优势地位，这些丰富的实践有助于立法视角下对社会关系的认识和提炼，进而形成科学合理的法律关系。

实际上，身处数字化时代，在享受数字化红利的同时，也意味着数据被收集、使用（《草案》中“处理”所涵盖的活动）的普遍性和常态性。

按照《民法典》对个人信息和隐私的区分，个人信息保护并不是对隐私的保护。个人信息本身就具有公开性的属性，反映了特定自然人的社会身份，是社会生活、社会交往的载体和基础。个人信息主体对个人信息活动担忧的最主要问题是数据滥用和数据泄露。

对于数据滥用问题，《草案》的很多规定都予以回应。

首先，草案在《民法典》规定的知情同意、查阅复制、删除等权益的基础上，进一步增加了一些权益，包括知情权、决定权、查询权、更正权、删除权、解释权等。对于自然人在个人信息处理活动中应当被保护的权益，从行政管理的角度进一步进行了明确和阐释。

其次，草案规定了个人信息处理者的义务，要求个人信息处理者建立个人行使权利的申请受理和处理机制。同时要求个人信息处理者的合规管理和保障个人信息安全的义务，包括内部规范的建立、安全技术措施的采用、专门负责人的监督、定期的合规审计、高风险评估等要求。

最后，明确了履行个人信息保护职责的部门的职责，包括宣传教育指导监督、接受处理投诉举报、调查处理违法活动等。其中，明确宣传教育指导监督的职责是突出的亮点之一。

从国外个人信息保护机构实践来看，个人信息保护机构的指导作用十分充分，比如欧盟层面的个人信息保护机构 —— 欧洲数据保护委员会（EDPB）以及欧盟成员国层面的个人信息保护机构——数据保护当局（DPA）的重要职能之一就是发布指南和接受咨询。

这在很大程度上弥补了个人信息保护工作动态性的特点，也是个人信息保护工作的必然要求。

《草案》通过“指导”职责的确定，可以理解为在一定意义上赋予履行个人信息保护职责的部门对法律适用的解释权，对于实践中识别和规范数据滥用行为具有很强的操作性意义。

对于数据泄露问题，《草案》在继承现行立法的基础上进行了很大完善。

2012 年，全国人大常委会《关于加强网络信息保护的决定》明确了发生数据泄露需要立即采取补救措施。

2013 年，《电信和互联网用户个人信息保护管理规定》中进一步规定，发生数据泄露时，需要采取补救措施，可能造成严重后果的，应当向有关电信管理机构报告。

2016 年，《网络安全法》又增加了数据泄露时向用户报告的义务。《草案》充分吸收了前述立法的有关要求，对数据泄露通知进行了全面的规范，规定了需要报告的具体情形、对象等相关要求。

不过仍然有一点值得研究和完善，即《草案》在法律责任中仅对违反个人信息处理活动的行为规定了法律责任，而数据泄露通知制度是一项独立的法律制度，并不当然可以被划入《草案》所规定的“处理”的范围。

这就意味着对数据泄露不通知的情况缺乏明确的处罚性规定。当然，这一问题在《草案》进一步完善过程中可以很容易得到解决。

作为第一次进行审议的法律草案，《草案》广受好评和认可 —— 立法技术可圈可点，制度设计十分缜密。有关争议性问题可以通过条款呼应或者法律解释学的方法得以阐明，《草案》将基本形成我国个人信息保护的制度要求。

9月14日，河北省石家庄市桥西区草场街小学的学生在观看网络安全知识展板。当天，2020年国家网络安全宣传周活动在全国范围内展开。图/王晓 摄

将我国网络领域引入新型法治时代

个人信息保护是一个复杂性问题，在现有经验的基础上，总是会有我们未发现或者未预测的可能性存在，法律应有的普适性、稳定性难免受到挑战。即便如欧盟《通用数据保护条例》（GDPR）一般冗长的法律规定，仍然在实践中受到各种争议。

但是，这一问题并非无解。事实上，欧盟的个人信息保护机构自 GDPR 出台以后，不断地对个人信息保护的争议问题通过指南的方式予以释明，同时技术、产业的发展也不断丰富各方对个人信息保护的认识和理解，从而反射到对个人信息保护法律条文的实践解释，形成比较妥善的法治效果。

2019 年，法国个人信息监管机构 —— 法国国家信息与自由委员会（CNIL）依据 GDPR 对谷歌处以 5000 万欧元罚款，其中一条执法理由是因为用户需要点击多于 4 次才能访问到隐私条款。CNIL 认为这违反 GDPR所规定的隐私条款应当“易于访问”的要求。

实际上，GDPR 已经对个人信息保护问题进行了非常详细的规定，然而受立法技术和立法语言的限制，对于隐私条款也只能作出“易于访问”的规定，而不可能要求隐私条款的点击次数不能超过 4 次。这一标准只能通过执法实践才有可能得以确定。

司法领域凭借能够对个案进行综合、深入和具体研究的优势，可以通过司法裁判案例来对法律规则形成司法判断。

今年，北京互联网法院和杭州互联网法院在“微信读书案”和“抖音侵犯个人信息案”中，都对法律适用问题进行了深入的分析和明确的司法取舍，对个人隐私和个人信息区分的立法设计，作出更为清晰的法治视角的判断。

由此可见，《草案》的面世，不仅意味着 2020 年是个人信息保护立法的“元年”，而且随着社会各界对《草案》广泛、深入的讨论和厘清，很有可能引导我们以新的观察视角来看待法治建设。

法治的全部不是只有立法，行政指导、执法实践、司法裁量都是对立法进行动态、持续补充的重要法治力量，甚至可以在广义上将其理解为立法活动的组成部分。

通过新的视角，我们就能够以更高维度认识立法的本质和规律，并进一步思考如何通过综合的法治资源来实现立法的科学性、合理性。从这个角度来说，《草案》也许在更高意义上将我国网络领域引入新型法治时代。

✿本文来自《网络传播》杂志11月刊，原标题为《个人信息保护法治方案的制定历程》，作者系中国信息通信研究院互联网法律研究中心主任。

声明：本文来自网络传播杂志，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。