2020年10月12日，在全國人大常委會法工委發言人記者會上，發言人臧鐵偉提到，《個人信息保護法（草案）》等議案將被首次提請全國人大常委會第二十二次會議審議。他認為，在信息化時代，個人信息保護已成為廣大人民群眾最關心最直接最現實的利益問題之一。為及時回應廣大人民群眾的呼聲和期待，落實黨中央部署要求，按照十三屆全國人大常委會立法規劃和年度立法工作計劃的安排，全國人大常委會法工委會同中央網信辦在深入調查研究、廣泛征求意見的基礎上，起草了個人信息保護法草案。

在我看來，我國《個人信息保護法》有亟待解決的十大議題，具體如下：

一、法律定位：數據領域的基本法

首先，需要處理好《個人信息保護法》與《民法典》的關系。

《民法典》是私法，主要解決的是平等主體之間的人身關系和財產關系。如“隱私權和個人信息保護”在第四編“人格權”第六章作了專門規定，并按照人格權的方式來保護；而數據則在第一編“總則”第五章“民事權利”中涉及，與網絡虛擬財產放到一塊，這是按照財產權的方式來保護。

但《個人信息保護法》顯然是一部公法和私法深度融合的法律，一方面，通過個人信息權利體系及以此為基礎的民事訴訟機制，來實現對個人信息的私法保護；另一方面，通過設立專門政府監管機構和制定強制性法律規范，用罰款等行政手段監管實現對個人信息的公法保護。體現了“企業自我規制+政府強力規制”的合作治理，最終在數據領域實現國家治理的現代化。從這個角度看，《個人信息保護法》與《民法典》并不是特別法與一般法的關系，而是兩個有交叉關系的平行法律。

其次，需要處理好《個人信息保護法》與《國家安全法》、《數據安全法》及《網絡安全法》的關系。

從功能主義的角度看，《數據安全法》在數據領域是落實《國家安全法》的“總體國家安全觀”的核心法律，重點聚焦于重要數據的國家安全問題，而《個人信息保護法》則以《數據安全法》為基礎，在此基礎上重點聚焦于個人信息權利保護與數據流動、數據利用等問題。另外，《網絡安全法》涉及數據的內容將逐漸被《個人信息保護法》和《數據安全法》所吸收并取代，轉而聚焦于網絡等級保護2.0、關鍵基礎設施保護及網絡安全審查制度等核心問題。

因此，《個人信息保護法》和《數據安全法》是數據領域的兩部基本法律，前者聚焦數據隱私，后者聚焦數據安全，共同構建了數據保護和數據利用的整體性法律框架。

二、基本原則：數據權利保護與數據流動的平衡

實現數據權利保護與數據流動、利用的平衡，應當成為我國《個人信息保護法》的基本原則。這同時也是歐盟《通用數據保護條例》（GDPR）、美國《加州消費者隱私法案》（GDPR）以及日本《個人信息保護法》等世界主要數據立法的核心目的。

如GDPR有很好的歸納：GDPR第1條第1款開宗明義地指出,“本條例旨在確立個人數據處理中的自然人保護和數據自由流通的規范”；緊接著，GDPR第1條第2款強調，“本條例旨在保護自然人的基本權利和自由，尤其是保護個人的數據權利”；而GDPR第1條第3款則確認了平衡的重要性，即“個人數據在歐盟境內的自由流通不得因為在個人數據處理過程中保護自然人而被限制或禁止”。

中國社會科學院法學研究所研究員周漢華老師說，大數據時代的個人數據觀念同樣重視信息安全與個人數據的保護，但更突出強調大數據開發、開放、利用與共享，要突出競爭優勢。我也同意這樣的觀點，數據權利保護與數據流動、經濟發展從本質上說并不沖突，從長遠看應當是正相關關系。

因此，我國《個人信息保護法》面臨的并不是一個“選邊站”的問題：選擇“數據權利保護”，抑或選擇“數據流動和數字經濟的發展”。其實我們面臨的是一個“平衡”的問題，即在同時選擇兩者的基礎上，決定指針應當稍稍偏向于哪一方，但絕對不能出現天平失衡的問題。

三、個人信息的定義：概括抑或列舉

我國《民法典》規定，“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等”。

在我看來，我國《個人信息保護法》對“個人信息”的定義，應當維持這種結合“抽象定義+不完全列舉”的立法方式。這種定義方式，既可以有效避免“個人信息”范圍的不確定帶來的交易成本，也可以針對新技術領域存在爭議的數據進行更加明確的界定，并根據實踐產生的新數據類型對“個人信息”的范圍進行適度調整。

當然，我國《個人信息保護法》還需要明確如下事項：

其一，匿名化是不是判斷“個人信息”的唯一標準，去標識化的信息或聚合的信息到底是不是個人信息；

其二，明確“個人信息”是否包含一些易產生爭議的數據類型，如“消費歷史記錄或消費趨勢”“瀏覽記錄、搜索記錄，以及網站及應用程序等網絡活動信息”“視覺、熱量、嗅覺”等；其三，按照重要數據、敏感數據及一般數據等對個人信息進行分級，并提供不同程度的相應保護。

四、數據權利：增加抑或限縮

我國《民法典》規定了“隱私權”，即“自然人享有隱私權。任何組織或者個人不得以刺探、侵擾、泄露、公開等方式侵害他人的隱私權”。但《民法典》只是把“個人信息”定義為“權益”，規定“自然人的個人信息受法律保護”，并未上升到“權利”的層次。從個人信息的權益范圍來看，也僅限于“查閱或者復制”、“發現信息有錯誤時，有權提出異議并請求及時采取更正等必要措施”以及“違法或違約時，有權請求信息處理者及時刪除”等。而在任甲玉訴百度案中，法院則認為，我國并沒有“被遺忘權”權利類型，這是歐盟GDPR特有的。

那么，我們為什么要保護個人的數據權利呢？一方面，數據黑市、數據泄露及數據濫用等侵犯個人數據權利的情況嚴重。正如全國人大發言人臧鐵偉指出的那樣，“隨意收集、違法獲取、過度使用、非法買賣個人信息，利用個人信息侵擾人民群眾生活安寧、危害人民群眾生命健康和財產安全等問題仍十分突出”。另一方面，數據權利對我國數字經濟的發展具有重要意義。如果說數字經濟是具有“顯而易見的優點”的“樹干”和“數冠”，那么，數據權利則是“深藏土地不被人看見卻發揮重要作用”的“樹根”。

因此，數據權利體系的構建對我國《個人信息保護法》顯得尤為重要：一方面，需要詳細論證：在已有的知情同意權、查閱權、復制權、更正權及刪除權之外，是否需要增加被遺忘權、數據可攜權、數據財產權等新的權利內容；另一方面，對于已有的權利，如何通過更加精細化的立法技術，加強法律的系統性、針對性和可操作性。

五、同意規則：明示抑或默示

在實踐中，存在嚴重的“數據主體客體化”現象，即信息不對稱使得個人根本無法了解企業收集和使用了他們的那些數據，更無法決定企業是否共享或交易他們的個人信息。但是，以控制權為特征的“同意規則”卻是整個數據權利體系的基礎，即個人應當具有控制其個人信息的收集、使用或出售的權利。也就是說，個人既可以從他們喜歡的公司收獲數據的價值，當然也可以拒絕他們不喜歡的公司，重新拿回屬于他們的個人信息。

因此，“同意規則”也值得我國《個人信息保護法》充分重視，重點處理好如下事項：

一方面，注意區分明示同意和默示通知。如對處理敏感數據作出更嚴格的限制，強調的是明示同意規則，如草案以保護數據權利為出發點，即在具有特定的目的和充分的必要性的情形下，取得個人的單獨同意或者書面同意；相反，對處理一般數據作出相對寬松的規定，強調的是默示通知規則，側重規范數據的商業化利用，即強調企業在處理數據之前的“通知”義務，只要個人不反對，就默認為符合“同意規則”。

另一方面，細化“同意規則”的豁免事由。針對“維護公共利益或者該自然人合法權益”這一豁免規則，如草案將應對突發公共衛生事件，或者緊急情況下保護自然人的生命健康，作為處理個人信息的合法性基礎之一。

六、數據共享和交易：生死存亡

中共中央、國務院連續發文要求加快培育發展數據要素市場，其中把數據定義成土地、資本、勞動力及技術之外的第五大基本市場要素，并建立數據資源清單管理機制，完善數據權屬界定、開放共享、交易流通等標準和措施，發揮社會數據資源價值。

最近，中央又支持深圳加快培育數據要素市場，要求率先完善數據產權制度，探索數據產權保護和利用新機制，建立數據隱私保護制度，試點推進政府數據開放共享，支持建設粵港澳大灣區數據平臺，研究論證設立數據交易市場或依托現有交易場所開展數據交易，開展數據生產要素統計核算試點。

數據要素市場最主要的機制是數據共享和交易，大致可以分為數據貨幣化、數據交易市場、數據共享聯盟、數據技術推動者以及開放數據策略等五種形式。但在實踐中，數據共享和交易并未大規模開展，而數據黑市卻十分猖獗，這主要存在技術及法律等障礙。技術障礙可能包括缺乏互操作性、數據安全顧慮和其他網絡安全要求；而法律障礙主要是“數據所有權”的不確定性、對數據合法利用的邊界，以及在滿足企業對數據保護方面的法律需求上遇到的困難。

在我看來，我國《個人信息保護法》應當從法律上著力解決上述障礙，具體可以考慮以下兩點：

其一，對“匿名化”作擴大化和寬松化的解釋，強調“去標識化”也符合“不能識別特定個人且不能復原”的規定，畢竟絕對的“匿名化”從技術角度來看是不可能實現的，這會嚴重阻礙數據的流動及利用。

其二，建構“數據信托”制度，強調數據共享及交易是數據平衡戰略的一部分。對于個人，這意味著與其相關的個人數據將被保存在公共服務器中，并由數據信托機構管理。企業則可以通過信托關系來訪問和處理這些數據，而個人將獲取“數據紅利”。

七、數據跨境：自由抑或限制

對于數據跨境，歐盟GDPR作出嚴格限制，設置了充分性認定白名單、遵守適當保障措施、公司約束規則、國際協議以及通過“必要性測試”和“偶然性判定”等五道“關口”。而美國CCPA對于數據跨境管控持有“留白與放任”的態度，這是因為美國數字經濟產業領先于全球，從價值取向上更加鼓勵數據的自由跨境流動。上個月，歐盟法院更是判定“隱私盾協議”無效，這直接導致歐美之間的數據跨境傳輸陷入中斷 。

那么，我國《個人信息保護法》又應當設計怎樣的數據跨境傳輸機制呢？在我看來，我國應當建構一套凝聚全球數據安全共識、符合全球共同利益及普遍價值、持續開放共享的數據跨境方案，重點強調的是在數據安全基礎上的數據自由流動，強調持續的開放性。

而法律在數據跨境機制中主要起到“安全閥”作用，具體體現在：

其一，建立分級基礎上的分類監管機制。如草案規定，關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的處理者，應當通過國家網信部門組織的安全評估；對于其他需要跨境提供個人信息的，規定了經專業機構認證等途徑。

其二，建構數據跨境的批準機制。如草案對跨境提供個人信息的“告知—同意”作出更嚴格的要求。對因國際司法協助或者行政執法協助，需要向境外提供個人信息的，要求依法申請有關主管部門批準。

其三，采取國際對等原則。如草案規定，對從事損害我國公民個人信息權益等活動的境外組織、個人，以及在個人信息保護方面對我國采取不合理措施的國家和地區，我國也可以采取的相應措施。

八、數據泄露：實體和程序

在我國，頻發的大規模數據泄露事件對個人信息造成了極大的侵害，這已引發了全民的安全擔憂，如華住酒店集團近5億條用戶信息被泄露，12306網站470余萬條用戶數據在網絡上被販賣等。可惜的是，現行法律確對此卻束手無策，這既與過于原則的實體性規定有關，更與程序性規定的缺失有直接關系。

因此，我國《個人信息保護法》應當構建覆蓋全流程、多環節的數據泄露通知制度，考慮進一步明確在發生或可能發生數據泄露時網絡運營者應采取補救措施的具體內容，觸發數據泄露通知的條件，告知用戶和主管部門的時限、內容、形式，以及未履行數據泄露通知義務應當承擔的法律責任。同時，對評估數據泄露嚴重程度的具體指標進行合理規定，增強制度的可操作性。

九、監管機構：獨立抑或綜合

在歐盟，GDPR要求歐盟層面及各成員國都應當建立獨立的數據監管機構，負責監督條例的實施，并授予這些機構調查、矯正、授權和建議等權力，并建構了數據主體向監管機構投訴、受理及處理等一整套行政救濟制度框架。而在美國，聯邦層面雖然也設立了負責隱私執法的聯邦貿易委員（FTC），但各個行業領域還是采取了分類監管的模式，如金融數據領域的國消費者金融保護局、健康醫療數據領域的美國衛生部以及教育數據領域的美國教育部等。

那么，我國《個人信息保護法》到底應該設立歐盟式的獨立數據監管機構，以解決政企不分、政資不分、政事不分等引發的“九龍治水”的分散執法問題，還是應該維持現狀，采納美國式的“FTC+其他機構”的綜合治理方案？

在我看來，由于個人信息保護客觀上涉及各個領域和多個部門的職責，再加上金融、醫療健康等特殊行業領域所具有的較高執法門檻，新設獨立的統一數據監管機構不僅不能實際解決問題，反而會帶來更多的麻煩。顯而易見的是，我國《個人信息保護法》草案也持有類似觀點，草案明確國家網信部門負責個人信息保護工作的統籌協調，發揮其統籌協調作用，而國家網信部門和國務院有關部門在各自職責范圍內負責個人信息保護和監督管理工作。

十、法律責任：嚴格抑或寬松

在數據執法領域，強監管和嚴格的法律責任是一個世界趨勢。在歐盟，GDPR不僅設計了罰款等處罰機制，還包括了警告、訓斥等強制措施，而最高罰款更是高達2000萬歐元或者企業上年度4%的全球營業收入。在美國，監管機構試圖用嚴厲的事后罰款來倒逼企業實現對個人信息的全面保護，如在劍橋分析案中，FTC對臉書的處罰高達50億美元。

在我看來，法律責任的設置也是一個追求平衡的過程。

一方面，必須具有足夠的震懾力，即法律通過大幅提高罰款金額，增加企業的違法違規成本，以天價罰款促使企業建立良好的內部數據合規體系，實現“企業自我規制+政府規制”的合作治理。但另一方面，又不能隨意適用刑法，上綱上線會對數據產業的發展造成巨大威脅。而且“要么坐牢、要么沒事”的現象又會導致很多企業、個人鋌而走險。

同時，嚴格的法律責任必須與柔性執法機制相配合，我主張建構行政執法和解協議制度，把企業建立數據合規機制作為適用和解程序的條件，在協議當中引入完整的企業數據合規條款，及時向全社會公布情況，規定一定的合規考驗期，允許企業有機會實現改過自新。

顯然，我國《個人信息保護法》草案也對違法行為加大懲處力度，設置了嚴格的法律責任。草案對違反本法規定行為的處罰及侵害個人信息權益的民事賠償等作了規定。如“侵害個人信息權益的違法行為，情節嚴重的，沒收違法所得，并處五千萬元以下或者上一年度營業額百分之五以下罰款”，并增加了“記入信用檔案”的處罰機制，同時規定對侵害個人信息權益的民事賠償，按照個人所受損失或者個人信息處理者所獲利益確定數額，上述數額無法確定的，由人民法院根據實際情況確定賠償數額。

總之，針對個人信息野蠻掘金的時代已經結束，該是到了通過《個人信息保護法》和《數據安全法》建構數據法律新秩序的時候了。讓我們一起為數據權利而斗爭！

（作者何淵為上海交通大學數據法律研究中心執行主任，著有《數據法學》《大數據戰爭》。）