【解局】這個大消息，關係到我們每個人的隱私_風聞

5月25日，全國人大常委會工作報告在“下一步主要工作安排”中指出，圍繞國家安全和社會治理，制定生物安全法、個人信息保護法、數據安全法。

消息一出，迅速“登頂”兩會熱搜榜——人們期盼已久的個人信息保護法，終於來信兒了。

（圖源：視覺中國）

信息

《經濟學人》雜誌曾斷言，“數據是新時代的石油”。千呼萬喚始出來的個人信息保護法，在此種意義上，也就尤為“珍貴”。

這年頭，信息裸奔已成常態。下載手機APP，要先開通其使用相冊、定位的權限；用信用卡網購，個人敏感信息瞬間透明；生病入院治療，一下手術枱就接到藥品推銷電話；更有甚者，昨天剛去草莓園採摘，今天上網衝浪就彈出了現摘草莓的廣告。

而與上述“經典”套路相對，近年來日漸興起的大數據、雲計算、物聯網、人工智能、5G等新一代信息技術，更使個人數據信息、乃至生物識別信息無所遁形。

信息一拋頭露面，先被互聯網巨頭收割一茬，隨即再被智能產品從人臉、指紋、虹膜、聲紋、步態、形體多角度榨取。一旦泄露，如果暫無“變臉”“變身”的打算，個人或將終身暴露在被攻擊、騷擾的風險中。

此外，本次疫情中出現的不同部門或同一部門不同工作人員重複收集個人信息、人羣出入商超等公共場所掃碼留名也讓人感到不安——病毒雖然躲過了，個人信息卻做不到“百毒不侵”。

根據中國消費者協會此前調查，遭遇過個人信息泄露的羣體佔樣本人羣的85%。其中，信息泄露途徑“五花八門”：經營方或不法分子故意泄露及出售（信用卡信息最低5毛錢就賣）、網絡服務系統漏洞致使泄露、釣魚網站及電話騙取。造成的影響不盡相同：輕者被短信、電話、垃圾郵件騷擾，重者財產不保，甚至生命安全也受到威脅。

不論是從規範互聯網經濟、信息技術有序發展，還是保障公民權益的角度切入，加強個人信息保護都勢在必行。

專門立法，是其中至為關鍵的一步。

人臉識別技術或增加信息泄露風險（圖源：解放日報）

立法

全國人大常委會法工委有關負責人表示，目前，個人信息保護法草案稿已經成形，將根據各方意見進一步完善，及早提請全國人大常委會審議。

從醖釀到問世，這部重頭法律走過了漫長的歷程：

2012年，全國人大常委會通過《關於加強網絡信息保護的決定》，確立個人信息收集及使用的規則、網絡服務提供者保護個人信息安全的義務；

2013年，修改《消費者權益保護法》；

2009年、2015年，通過刑法修正案（七）和修正案（九）；

2016年，通過《網絡安全法》；

2017年以來，《信息安全技術個人信息安全規範》等系列國家標準相繼出台；

2020年，民法典草案將人格權獨立成編，對全面保護個人隱私多有涉及。

那麼，在多部法律、法規、規章均涉及個人信息保護的前提下，為何還要重磅推出個人信息保護法？

從上述法律法規的推進過程來看，中國對個人信息保護的監管力度在近年來持續加強。但若整體權衡，現有法律法規呈現分散立法狀態，不具“合力”，量刑偏低，故需要一部系統、全面的法律，通過建立個人信息合理使用制度、侵害補償、懲罰機制、設置監督機構等方式，為個人信息安全“加密”。

一位資深法律從業人士告訴島妹，由於相關保護條款內容不集中、闡述不清晰、適用不明確、範圍受侷限、處罰不具體，現有法律法規的可操作性並不強：比如，公民自行公開個人信息，是否就能推定為同意他人收集使用？對於個人信息的收集和使用有無限定、如何限定?這些問題在司法實務中尚有分歧，亟待解決。

與此同時，也有學者呼籲，統一立法雖然迫切，但仍需區別對待“個人一般信息的利用”與“個人信息的濫用”。

北京師範大學法學院教授劉德良認為，中國的個人信息保護法一要促進對個人一般數據的規範利用，二要防止對個人信息數據的濫用，“不應照抄目前的歐盟個人控制主義立法模式”。

他所提及的歐盟《通用數據保護條例》規定，對於出售個人信息或利用信息進行非法活動者，罰款上限為2230萬美元或涉事企業前一財年全球營業收入的4%，以較高者為準。

歐盟《通用數據保護條例》新聞圖片（圖源：外媒）

建言

全國兩會期間，不少代表、委員也針對個人信息保護及相關立法問題建言獻策。

**快遞實名制讓個人信息“一覽無遺”？**全國人大代表柴閃閃就加強快遞面單個人隱私保護提出建議：政府部門應在加強對快遞企業內部信息運營監管的同時，加大力度推進快遞企業使用隱私面單技術，為每一份“奔走”的個人信息套上“防護服”。

**人臉、指紋信息易泄露？**全國人大代表楊元慶表示，個人信息保護法應針對生物識別信息設置專門規定。目前歐美都有關於生物識別信息的專門規定。

針對涉疫個人信息的處置，有代表建議在疫情緩解後應儘量封存、銷燬相關信息；有委員呼籲，應對疫情期間採集的個人信息設立退出機制，個人信息保護法應充分考慮不同應用場景、對個人信息進行分類分級保護。

全國政協委員、中華全國律師協會副會長遲日大表示，個人信息保護法在制度設計上應注意如下3方面：

一是在個人信息的收集上，應明確堅持最小化收集原則，同時可藉助大數據等技術手段探索建立統一的公民個人信息平台；二是強化行政機關、事業單位等公共部門的自我規制義務；三是探索完善個人信息非損害類侵權行為的救濟途徑，要明確個人信息保護執法機關，探索建立全國統一的個人信息侵權舉報平台。

**法律的生命力在於實施。**個人信息保護法成形之後，更需嚴格執法，確保司法公正，加強行業自律，暢通社會監督渠道。這既關乎商業倫理、行政規制，更關乎每個人的切身利益。