2020年10月12日，在全國(guó)人大常委會(huì)法工委發(fā)言人記者會(huì)上，發(fā)言人臧鐵偉提到，《個(gè)人信息保護(hù)法（草案）》等議案將被首次提請(qǐng)全國(guó)人大常委會(huì)第二十二次會(huì)議審議。他認(rèn)為，在信息化時(shí)代，個(gè)人信息保護(hù)已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實(shí)的利益問(wèn)題之一。為及時(shí)回應(yīng)廣大人民群眾的呼聲和期待，落實(shí)黨中央部署要求，按照十三屆全國(guó)人大常委會(huì)立法規(guī)劃和年度立法工作計(jì)劃的安排，全國(guó)人大常委會(huì)法工委會(huì)同中央網(wǎng)信辦在深入調(diào)查研究、廣泛征求意見(jiàn)的基礎(chǔ)上，起草了個(gè)人信息保護(hù)法草案。

在我看來(lái)，我國(guó)《個(gè)人信息保護(hù)法》有亟待解決的十大議題，具體如下：

一、法律定位：數(shù)據(jù)領(lǐng)域的基本法

首先，需要處理好《個(gè)人信息保護(hù)法》與《民法典》的關(guān)系。

《民法典》是私法，主要解決的是平等主體之間的人身關(guān)系和財(cái)產(chǎn)關(guān)系。如“隱私權(quán)和個(gè)人信息保護(hù)”在第四編“人格權(quán)”第六章作了專(zhuān)門(mén)規(guī)定，并按照人格權(quán)的方式來(lái)保護(hù)；而數(shù)據(jù)則在第一編“總則”第五章“民事權(quán)利”中涉及，與網(wǎng)絡(luò)虛擬財(cái)產(chǎn)放到一塊，這是按照財(cái)產(chǎn)權(quán)的方式來(lái)保護(hù)。

但《個(gè)人信息保護(hù)法》顯然是一部公法和私法深度融合的法律，一方面，通過(guò)個(gè)人信息權(quán)利體系及以此為基礎(chǔ)的民事訴訟機(jī)制，來(lái)實(shí)現(xiàn)對(duì)個(gè)人信息的私法保護(hù)；另一方面，通過(guò)設(shè)立專(zhuān)門(mén)政府監(jiān)管機(jī)構(gòu)和制定強(qiáng)制性法律規(guī)范，用罰款等行政手段監(jiān)管實(shí)現(xiàn)對(duì)個(gè)人信息的公法保護(hù)。體現(xiàn)了“企業(yè)自我規(guī)制+政府強(qiáng)力規(guī)制”的合作治理，最終在數(shù)據(jù)領(lǐng)域?qū)崿F(xiàn)國(guó)家治理的現(xiàn)代化。從這個(gè)角度看，《個(gè)人信息保護(hù)法》與《民法典》并不是特別法與一般法的關(guān)系，而是兩個(gè)有交叉關(guān)系的平行法律。

其次，需要處理好《個(gè)人信息保護(hù)法》與《國(guó)家安全法》、《數(shù)據(jù)安全法》及《網(wǎng)絡(luò)安全法》的關(guān)系。

從功能主義的角度看，《數(shù)據(jù)安全法》在數(shù)據(jù)領(lǐng)域是落實(shí)《國(guó)家安全法》的“總體國(guó)家安全觀(guān)”的核心法律，重點(diǎn)聚焦于重要數(shù)據(jù)的國(guó)家安全問(wèn)題，而《個(gè)人信息保護(hù)法》則以《數(shù)據(jù)安全法》為基礎(chǔ)，在此基礎(chǔ)上重點(diǎn)聚焦于個(gè)人信息權(quán)利保護(hù)與數(shù)據(jù)流動(dòng)、數(shù)據(jù)利用等問(wèn)題。另外，《網(wǎng)絡(luò)安全法》涉及數(shù)據(jù)的內(nèi)容將逐漸被《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》所吸收并取代，轉(zhuǎn)而聚焦于網(wǎng)絡(luò)等級(jí)保護(hù)2.0、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)及網(wǎng)絡(luò)安全審查制度等核心問(wèn)題。

因此，《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》是數(shù)據(jù)領(lǐng)域的兩部基本法律，前者聚焦數(shù)據(jù)隱私，后者聚焦數(shù)據(jù)安全，共同構(gòu)建了數(shù)據(jù)保護(hù)和數(shù)據(jù)利用的整體性法律框架。

二、基本原則：數(shù)據(jù)權(quán)利保護(hù)與數(shù)據(jù)流動(dòng)的平衡

實(shí)現(xiàn)數(shù)據(jù)權(quán)利保護(hù)與數(shù)據(jù)流動(dòng)、利用的平衡，應(yīng)當(dāng)成為我國(guó)《個(gè)人信息保護(hù)法》的基本原則。這同時(shí)也是歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）、美國(guó)《加州消費(fèi)者隱私法案》（GDPR）以及日本《個(gè)人信息保護(hù)法》等世界主要數(shù)據(jù)立法的核心目的。

如GDPR有很好的歸納：GDPR第1條第1款開(kāi)宗明義地指出,“本條例旨在確立個(gè)人數(shù)據(jù)處理中的自然人保護(hù)和數(shù)據(jù)自由流通的規(guī)范”；緊接著，GDPR第1條第2款強(qiáng)調(diào)，“本條例旨在保護(hù)自然人的基本權(quán)利和自由，尤其是保護(hù)個(gè)人的數(shù)據(jù)權(quán)利”；而GDPR第1條第3款則確認(rèn)了平衡的重要性，即“個(gè)人數(shù)據(jù)在歐盟境內(nèi)的自由流通不得因?yàn)樵趥€(gè)人數(shù)據(jù)處理過(guò)程中保護(hù)自然人而被限制或禁止”。

中國(guó)社會(huì)科學(xué)院法學(xué)研究所研究員周漢華老師說(shuō)，大數(shù)據(jù)時(shí)代的個(gè)人數(shù)據(jù)觀(guān)念同樣重視信息安全與個(gè)人數(shù)據(jù)的保護(hù)，但更突出強(qiáng)調(diào)大數(shù)據(jù)開(kāi)發(fā)、開(kāi)放、利用與共享，要突出競(jìng)爭(zhēng)優(yōu)勢(shì)。我也同意這樣的觀(guān)點(diǎn)，數(shù)據(jù)權(quán)利保護(hù)與數(shù)據(jù)流動(dòng)、經(jīng)濟(jì)發(fā)展從本質(zhì)上說(shuō)并不沖突，從長(zhǎng)遠(yuǎn)看應(yīng)當(dāng)是正相關(guān)關(guān)系。

因此，我國(guó)《個(gè)人信息保護(hù)法》面臨的并不是一個(gè)“選邊站”的問(wèn)題：選擇“數(shù)據(jù)權(quán)利保護(hù)”，抑或選擇“數(shù)據(jù)流動(dòng)和數(shù)字經(jīng)濟(jì)的發(fā)展”。其實(shí)我們面臨的是一個(gè)“平衡”的問(wèn)題，即在同時(shí)選擇兩者的基礎(chǔ)上，決定指針應(yīng)當(dāng)稍稍偏向于哪一方，但絕對(duì)不能出現(xiàn)天平失衡的問(wèn)題。

三、個(gè)人信息的定義：概括抑或列舉

我國(guó)《民法典》規(guī)定，“個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話(huà)號(hào)碼、電子郵箱、健康信息、行蹤信息等”。

在我看來(lái)，我國(guó)《個(gè)人信息保護(hù)法》對(duì)“個(gè)人信息”的定義，應(yīng)當(dāng)維持這種結(jié)合“抽象定義+不完全列舉”的立法方式。這種定義方式，既可以有效避免“個(gè)人信息”范圍的不確定帶來(lái)的交易成本，也可以針對(duì)新技術(shù)領(lǐng)域存在爭(zhēng)議的數(shù)據(jù)進(jìn)行更加明確的界定，并根據(jù)實(shí)踐產(chǎn)生的新數(shù)據(jù)類(lèi)型對(duì)“個(gè)人信息”的范圍進(jìn)行適度調(diào)整。

當(dāng)然，我國(guó)《個(gè)人信息保護(hù)法》還需要明確如下事項(xiàng)：

其一，匿名化是不是判斷“個(gè)人信息”的唯一標(biāo)準(zhǔn)，去標(biāo)識(shí)化的信息或聚合的信息到底是不是個(gè)人信息；

其二，明確“個(gè)人信息”是否包含一些易產(chǎn)生爭(zhēng)議的數(shù)據(jù)類(lèi)型，如“消費(fèi)歷史記錄或消費(fèi)趨勢(shì)”“瀏覽記錄、搜索記錄，以及網(wǎng)站及應(yīng)用程序等網(wǎng)絡(luò)活動(dòng)信息”“視覺(jué)、熱量、嗅覺(jué)”等；其三，按照重要數(shù)據(jù)、敏感數(shù)據(jù)及一般數(shù)據(jù)等對(duì)個(gè)人信息進(jìn)行分級(jí)，并提供不同程度的相應(yīng)保護(hù)。

四、數(shù)據(jù)權(quán)利：增加抑或限縮

我國(guó)《民法典》規(guī)定了“隱私權(quán)”，即“自然人享有隱私權(quán)。任何組織或者個(gè)人不得以刺探、侵?jǐn)_、泄露、公開(kāi)等方式侵害他人的隱私權(quán)”。但《民法典》只是把“個(gè)人信息”定義為“權(quán)益”，規(guī)定“自然人的個(gè)人信息受法律保護(hù)”，并未上升到“權(quán)利”的層次。從個(gè)人信息的權(quán)益范圍來(lái)看，也僅限于“查閱或者復(fù)制”、“發(fā)現(xiàn)信息有錯(cuò)誤時(shí)，有權(quán)提出異議并請(qǐng)求及時(shí)采取更正等必要措施”以及“違法或違約時(shí)，有權(quán)請(qǐng)求信息處理者及時(shí)刪除”等。而在任甲玉訴百度案中，法院則認(rèn)為，我國(guó)并沒(méi)有“被遺忘權(quán)”權(quán)利類(lèi)型，這是歐盟GDPR特有的。

那么，我們?yōu)槭裁匆Ｗo(hù)個(gè)人的數(shù)據(jù)權(quán)利呢？一方面，數(shù)據(jù)黑市、數(shù)據(jù)泄露及數(shù)據(jù)濫用等侵犯?jìng)€(gè)人數(shù)據(jù)權(quán)利的情況嚴(yán)重。正如全國(guó)人大發(fā)言人臧鐵偉指出的那樣，“隨意收集、違法獲取、過(guò)度使用、非法買(mǎi)賣(mài)個(gè)人信息，利用個(gè)人信息侵?jǐn)_人民群眾生活安寧、危害人民群眾生命健康和財(cái)產(chǎn)安全等問(wèn)題仍十分突出”。另一方面，數(shù)據(jù)權(quán)利對(duì)我國(guó)數(shù)字經(jīng)濟(jì)的發(fā)展具有重要意義。如果說(shuō)數(shù)字經(jīng)濟(jì)是具有“顯而易見(jiàn)的優(yōu)點(diǎn)”的“樹(shù)干”和“數(shù)冠”，那么，數(shù)據(jù)權(quán)利則是“深藏土地不被人看見(jiàn)卻發(fā)揮重要作用”的“樹(shù)根”。

因此，數(shù)據(jù)權(quán)利體系的構(gòu)建對(duì)我國(guó)《個(gè)人信息保護(hù)法》顯得尤為重要：一方面，需要詳細(xì)論證：在已有的知情同意權(quán)、查閱權(quán)、復(fù)制權(quán)、更正權(quán)及刪除權(quán)之外，是否需要增加被遺忘權(quán)、數(shù)據(jù)可攜權(quán)、數(shù)據(jù)財(cái)產(chǎn)權(quán)等新的權(quán)利內(nèi)容；另一方面，對(duì)于已有的權(quán)利，如何通過(guò)更加精細(xì)化的立法技術(shù)，加強(qiáng)法律的系統(tǒng)性、針對(duì)性和可操作性。

五、同意規(guī)則：明示抑或默示

在實(shí)踐中，存在嚴(yán)重的“數(shù)據(jù)主體客體化”現(xiàn)象，即信息不對(duì)稱(chēng)使得個(gè)人根本無(wú)法了解企業(yè)收集和使用了他們的那些數(shù)據(jù)，更無(wú)法決定企業(yè)是否共享或交易他們的個(gè)人信息。但是，以控制權(quán)為特征的“同意規(guī)則”卻是整個(gè)數(shù)據(jù)權(quán)利體系的基礎(chǔ)，即個(gè)人應(yīng)當(dāng)具有控制其個(gè)人信息的收集、使用或出售的權(quán)利。也就是說(shuō)，個(gè)人既可以從他們喜歡的公司收獲數(shù)據(jù)的價(jià)值，當(dāng)然也可以拒絕他們不喜歡的公司，重新拿回屬于他們的個(gè)人信息。

因此，“同意規(guī)則”也值得我國(guó)《個(gè)人信息保護(hù)法》充分重視，重點(diǎn)處理好如下事項(xiàng)：

一方面，注意區(qū)分明示同意和默示通知。如對(duì)處理敏感數(shù)據(jù)作出更嚴(yán)格的限制，強(qiáng)調(diào)的是明示同意規(guī)則，如草案以保護(hù)數(shù)據(jù)權(quán)利為出發(fā)點(diǎn)，即在具有特定的目的和充分的必要性的情形下，取得個(gè)人的單獨(dú)同意或者書(shū)面同意；相反，對(duì)處理一般數(shù)據(jù)作出相對(duì)寬松的規(guī)定，強(qiáng)調(diào)的是默示通知規(guī)則，側(cè)重規(guī)范數(shù)據(jù)的商業(yè)化利用，即強(qiáng)調(diào)企業(yè)在處理數(shù)據(jù)之前的“通知”義務(wù)，只要個(gè)人不反對(duì)，就默認(rèn)為符合“同意規(guī)則”。

另一方面，細(xì)化“同意規(guī)則”的豁免事由。針對(duì)“維護(hù)公共利益或者該自然人合法權(quán)益”這一豁免規(guī)則，如草案將應(yīng)對(duì)突發(fā)公共衛(wèi)生事件，或者緊急情況下保護(hù)自然人的生命健康，作為處理個(gè)人信息的合法性基礎(chǔ)之一。

六、數(shù)據(jù)共享和交易：生死存亡

中共中央、國(guó)務(wù)院連續(xù)發(fā)文要求加快培育發(fā)展數(shù)據(jù)要素市場(chǎng)，其中把數(shù)據(jù)定義成土地、資本、勞動(dòng)力及技術(shù)之外的第五大基本市場(chǎng)要素，并建立數(shù)據(jù)資源清單管理機(jī)制，完善數(shù)據(jù)權(quán)屬界定、開(kāi)放共享、交易流通等標(biāo)準(zhǔn)和措施，發(fā)揮社會(huì)數(shù)據(jù)資源價(jià)值。

最近，中央又支持深圳加快培育數(shù)據(jù)要素市場(chǎng)，要求率先完善數(shù)據(jù)產(chǎn)權(quán)制度，探索數(shù)據(jù)產(chǎn)權(quán)保護(hù)和利用新機(jī)制，建立數(shù)據(jù)隱私保護(hù)制度，試點(diǎn)推進(jìn)政府?dāng)?shù)據(jù)開(kāi)放共享，支持建設(shè)粵港澳大灣區(qū)數(shù)據(jù)平臺(tái)，研究論證設(shè)立數(shù)據(jù)交易市場(chǎng)或依托現(xiàn)有交易場(chǎng)所開(kāi)展數(shù)據(jù)交易，開(kāi)展數(shù)據(jù)生產(chǎn)要素統(tǒng)計(jì)核算試點(diǎn)。

數(shù)據(jù)要素市場(chǎng)最主要的機(jī)制是數(shù)據(jù)共享和交易，大致可以分為數(shù)據(jù)貨幣化、數(shù)據(jù)交易市場(chǎng)、數(shù)據(jù)共享聯(lián)盟、數(shù)據(jù)技術(shù)推動(dòng)者以及開(kāi)放數(shù)據(jù)策略等五種形式。但在實(shí)踐中，數(shù)據(jù)共享和交易并未大規(guī)模開(kāi)展，而數(shù)據(jù)黑市卻十分猖獗，這主要存在技術(shù)及法律等障礙。技術(shù)障礙可能包括缺乏互操作性、數(shù)據(jù)安全顧慮和其他網(wǎng)絡(luò)安全要求；而法律障礙主要是“數(shù)據(jù)所有權(quán)”的不確定性、對(duì)數(shù)據(jù)合法利用的邊界，以及在滿(mǎn)足企業(yè)對(duì)數(shù)據(jù)保護(hù)方面的法律需求上遇到的困難。

在我看來(lái)，我國(guó)《個(gè)人信息保護(hù)法》應(yīng)當(dāng)從法律上著力解決上述障礙，具體可以考慮以下兩點(diǎn)：

其一，對(duì)“匿名化”作擴(kuò)大化和寬松化的解釋?zhuān)瑥?qiáng)調(diào)“去標(biāo)識(shí)化”也符合“不能識(shí)別特定個(gè)人且不能復(fù)原”的規(guī)定，畢竟絕對(duì)的“匿名化”從技術(shù)角度來(lái)看是不可能實(shí)現(xiàn)的，這會(huì)嚴(yán)重阻礙數(shù)據(jù)的流動(dòng)及利用。

其二，建構(gòu)“數(shù)據(jù)信托”制度，強(qiáng)調(diào)數(shù)據(jù)共享及交易是數(shù)據(jù)平衡戰(zhàn)略的一部分。對(duì)于個(gè)人，這意味著與其相關(guān)的個(gè)人數(shù)據(jù)將被保存在公共服務(wù)器中，并由數(shù)據(jù)信托機(jī)構(gòu)管理。企業(yè)則可以通過(guò)信托關(guān)系來(lái)訪(fǎng)問(wèn)和處理這些數(shù)據(jù)，而個(gè)人將獲取“數(shù)據(jù)紅利”。

七、數(shù)據(jù)跨境：自由抑或限制

對(duì)于數(shù)據(jù)跨境，歐盟GDPR作出嚴(yán)格限制，設(shè)置了充分性認(rèn)定白名單、遵守適當(dāng)保障措施、公司約束規(guī)則、國(guó)際協(xié)議以及通過(guò)“必要性測(cè)試”和“偶然性判定”等五道“關(guān)口”。而美國(guó)CCPA對(duì)于數(shù)據(jù)跨境管控持有“留白與放任”的態(tài)度，這是因?yàn)槊绹?guó)數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)領(lǐng)先于全球，從價(jià)值取向上更加鼓勵(lì)數(shù)據(jù)的自由跨境流動(dòng)。上個(gè)月，歐盟法院更是判定“隱私盾協(xié)議”無(wú)效，這直接導(dǎo)致歐美之間的數(shù)據(jù)跨境傳輸陷入中斷 。

那么，我國(guó)《個(gè)人信息保護(hù)法》又應(yīng)當(dāng)設(shè)計(jì)怎樣的數(shù)據(jù)跨境傳輸機(jī)制呢？在我看來(lái)，我國(guó)應(yīng)當(dāng)建構(gòu)一套凝聚全球數(shù)據(jù)安全共識(shí)、符合全球共同利益及普遍價(jià)值、持續(xù)開(kāi)放共享的數(shù)據(jù)跨境方案，重點(diǎn)強(qiáng)調(diào)的是在數(shù)據(jù)安全基礎(chǔ)上的數(shù)據(jù)自由流動(dòng)，強(qiáng)調(diào)持續(xù)的開(kāi)放性。

而法律在數(shù)據(jù)跨境機(jī)制中主要起到“安全閥”作用，具體體現(xiàn)在：

其一，建立分級(jí)基礎(chǔ)上的分類(lèi)監(jiān)管機(jī)制。如草案規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的處理者，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估；對(duì)于其他需要跨境提供個(gè)人信息的，規(guī)定了經(jīng)專(zhuān)業(yè)機(jī)構(gòu)認(rèn)證等途徑。

其二，建構(gòu)數(shù)據(jù)跨境的批準(zhǔn)機(jī)制。如草案對(duì)跨境提供個(gè)人信息的“告知—同意”作出更嚴(yán)格的要求。對(duì)因國(guó)際司法協(xié)助或者行政執(zhí)法協(xié)助，需要向境外提供個(gè)人信息的，要求依法申請(qǐng)有關(guān)主管部門(mén)批準(zhǔn)。

其三，采取國(guó)際對(duì)等原則。如草案規(guī)定，對(duì)從事?lián)p害我國(guó)公民個(gè)人信息權(quán)益等活動(dòng)的境外組織、個(gè)人，以及在個(gè)人信息保護(hù)方面對(duì)我國(guó)采取不合理措施的國(guó)家和地區(qū)，我國(guó)也可以采取的相應(yīng)措施。

八、數(shù)據(jù)泄露：實(shí)體和程序

在我國(guó)，頻發(fā)的大規(guī)模數(shù)據(jù)泄露事件對(duì)個(gè)人信息造成了極大的侵害，這已引發(fā)了全民的安全擔(dān)憂(yōu)，如華住酒店集團(tuán)近5億條用戶(hù)信息被泄露，12306網(wǎng)站470余萬(wàn)條用戶(hù)數(shù)據(jù)在網(wǎng)絡(luò)上被販賣(mài)等。可惜的是，現(xiàn)行法律確對(duì)此卻束手無(wú)策，這既與過(guò)于原則的實(shí)體性規(guī)定有關(guān)，更與程序性規(guī)定的缺失有直接關(guān)系。

因此，我國(guó)《個(gè)人信息保護(hù)法》應(yīng)當(dāng)構(gòu)建覆蓋全流程、多環(huán)節(jié)的數(shù)據(jù)泄露通知制度，考慮進(jìn)一步明確在發(fā)生或可能發(fā)生數(shù)據(jù)泄露時(shí)網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)采取補(bǔ)救措施的具體內(nèi)容，觸發(fā)數(shù)據(jù)泄露通知的條件，告知用戶(hù)和主管部門(mén)的時(shí)限、內(nèi)容、形式，以及未履行數(shù)據(jù)泄露通知義務(wù)應(yīng)當(dāng)承擔(dān)的法律責(zé)任。同時(shí)，對(duì)評(píng)估數(shù)據(jù)泄露嚴(yán)重程度的具體指標(biāo)進(jìn)行合理規(guī)定，增強(qiáng)制度的可操作性。

九、監(jiān)管機(jī)構(gòu)：獨(dú)立抑或綜合

在歐盟，GDPR要求歐盟層面及各成員國(guó)都應(yīng)當(dāng)建立獨(dú)立的數(shù)據(jù)監(jiān)管機(jī)構(gòu)，負(fù)責(zé)監(jiān)督條例的實(shí)施，并授予這些機(jī)構(gòu)調(diào)查、矯正、授權(quán)和建議等權(quán)力，并建構(gòu)了數(shù)據(jù)主體向監(jiān)管機(jī)構(gòu)投訴、受理及處理等一整套行政救濟(jì)制度框架。而在美國(guó)，聯(lián)邦層面雖然也設(shè)立了負(fù)責(zé)隱私執(zhí)法的聯(lián)邦貿(mào)易委員（FTC），但各個(gè)行業(yè)領(lǐng)域還是采取了分類(lèi)監(jiān)管的模式，如金融數(shù)據(jù)領(lǐng)域的國(guó)消費(fèi)者金融保護(hù)局、健康醫(yī)療數(shù)據(jù)領(lǐng)域的美國(guó)衛(wèi)生部以及教育數(shù)據(jù)領(lǐng)域的美國(guó)教育部等。

那么，我國(guó)《個(gè)人信息保護(hù)法》到底應(yīng)該設(shè)立歐盟式的獨(dú)立數(shù)據(jù)監(jiān)管機(jī)構(gòu)，以解決政企不分、政資不分、政事不分等引發(fā)的“九龍治水”的分散執(zhí)法問(wèn)題，還是應(yīng)該維持現(xiàn)狀，采納美國(guó)式的“FTC+其他機(jī)構(gòu)”的綜合治理方案？

在我看來(lái)，由于個(gè)人信息保護(hù)客觀(guān)上涉及各個(gè)領(lǐng)域和多個(gè)部門(mén)的職責(zé)，再加上金融、醫(yī)療健康等特殊行業(yè)領(lǐng)域所具有的較高執(zhí)法門(mén)檻，新設(shè)獨(dú)立的統(tǒng)一數(shù)據(jù)監(jiān)管機(jī)構(gòu)不僅不能實(shí)際解決問(wèn)題，反而會(huì)帶來(lái)更多的麻煩。顯而易見(jiàn)的是，我國(guó)《個(gè)人信息保護(hù)法》草案也持有類(lèi)似觀(guān)點(diǎn)，草案明確國(guó)家網(wǎng)信部門(mén)負(fù)責(zé)個(gè)人信息保護(hù)工作的統(tǒng)籌協(xié)調(diào)，發(fā)揮其統(tǒng)籌協(xié)調(diào)作用，而國(guó)家網(wǎng)信部門(mén)和國(guó)務(wù)院有關(guān)部門(mén)在各自職責(zé)范圍內(nèi)負(fù)責(zé)個(gè)人信息保護(hù)和監(jiān)督管理工作。

十、法律責(zé)任：嚴(yán)格抑或?qū)捤?/strong>

在數(shù)據(jù)執(zhí)法領(lǐng)域，強(qiáng)監(jiān)管和嚴(yán)格的法律責(zé)任是一個(gè)世界趨勢(shì)。在歐盟，GDPR不僅設(shè)計(jì)了罰款等處罰機(jī)制，還包括了警告、訓(xùn)斥等強(qiáng)制措施，而最高罰款更是高達(dá)2000萬(wàn)歐元或者企業(yè)上年度4%的全球營(yíng)業(yè)收入。在美國(guó)，監(jiān)管機(jī)構(gòu)試圖用嚴(yán)厲的事后罰款來(lái)倒逼企業(yè)實(shí)現(xiàn)對(duì)個(gè)人信息的全面保護(hù)，如在劍橋分析案中，F(xiàn)TC對(duì)臉書(shū)的處罰高達(dá)50億美元。

在我看來(lái)，法律責(zé)任的設(shè)置也是一個(gè)追求平衡的過(guò)程。

一方面，必須具有足夠的震懾力，即法律通過(guò)大幅提高罰款金額，增加企業(yè)的違法違規(guī)成本，以天價(jià)罰款促使企業(yè)建立良好的內(nèi)部數(shù)據(jù)合規(guī)體系，實(shí)現(xiàn)“企業(yè)自我規(guī)制+政府規(guī)制”的合作治理。但另一方面，又不能隨意適用刑法，上綱上線(xiàn)會(huì)對(duì)數(shù)據(jù)產(chǎn)業(yè)的發(fā)展造成巨大威脅。而且“要么坐牢、要么沒(méi)事”的現(xiàn)象又會(huì)導(dǎo)致很多企業(yè)、個(gè)人鋌而走險(xiǎn)。

同時(shí)，嚴(yán)格的法律責(zé)任必須與柔性執(zhí)法機(jī)制相配合，我主張建構(gòu)行政執(zhí)法和解協(xié)議制度，把企業(yè)建立數(shù)據(jù)合規(guī)機(jī)制作為適用和解程序的條件，在協(xié)議當(dāng)中引入完整的企業(yè)數(shù)據(jù)合規(guī)條款，及時(shí)向全社會(huì)公布情況，規(guī)定一定的合規(guī)考驗(yàn)期，允許企業(yè)有機(jī)會(huì)實(shí)現(xiàn)改過(guò)自新。

顯然，我國(guó)《個(gè)人信息保護(hù)法》草案也對(duì)違法行為加大懲處力度，設(shè)置了嚴(yán)格的法律責(zé)任。草案對(duì)違反本法規(guī)定行為的處罰及侵害個(gè)人信息權(quán)益的民事賠償?shù)茸髁艘?guī)定。如“侵害個(gè)人信息權(quán)益的違法行為，情節(jié)嚴(yán)重的，沒(méi)收違法所得，并處五千萬(wàn)元以下或者上一年度營(yíng)業(yè)額百分之五以下罰款”，并增加了“記入信用檔案”的處罰機(jī)制，同時(shí)規(guī)定對(duì)侵害個(gè)人信息權(quán)益的民事賠償，按照個(gè)人所受損失或者個(gè)人信息處理者所獲利益確定數(shù)額，上述數(shù)額無(wú)法確定的，由人民法院根據(jù)實(shí)際情況確定賠償數(shù)額。

總之，針對(duì)個(gè)人信息野蠻掘金的時(shí)代已經(jīng)結(jié)束，該是到了通過(guò)《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》建構(gòu)數(shù)據(jù)法律新秩序的時(shí)候了。讓我們一起為數(shù)據(jù)權(quán)利而斗爭(zhēng)！

（作者何淵為上海交通大學(xué)數(shù)據(jù)法律研究中心執(zhí)行主任，著有《數(shù)據(jù)法學(xué)》《大數(shù)據(jù)戰(zhàn)爭(zhēng)》。）