一、本書的主要研究內容和結論

當前，個人信息不僅僅是個人隱私的載體，還塑造了個人的虛擬形象，更帶有明顯的財產和資源屬性，在個人隱私、信息安全、財產利益和經濟發展等諸多方面都產生了深刻的影響。作為互聯網大國，面對我們個人信息保護落后的現實，要站在促進經濟發展、提高國際競爭力的高度，深刻認識個人信息保護在促進個人信息有序利用、互聯網和信息產業發展等方面的重要性，在理念培育、原則落地、立法立規、強化監管、宣傳教育等方面，盡快構建個人信息保護的綜合治理體系。

（一）個人信息廣泛使用已經沖擊個人隱私和安全

在信息技術和互聯網大數據快速發展的今天，通過數據挖掘手段，可以借助個人信息對用戶的各種行為表現進行評價和預測，形成客戶在不同場景下數字化的虛擬形象，即“虛擬我”。商家和企業可據此研究消費者行為、優化商品和服務。虛擬形象的存在有利于克服市場中的信息不對稱問題，在信貸、就業、經商和公共服務等各個方面給人們帶來了諸多便捷。

但是，目前對個人信息的廣泛使用已經沖擊到個人隱私和安全。首先，個人信息不規范采集、不安全處理和無約束使用，導致公眾的個人信息滿天飛，營銷性短信、郵件和電話騷擾越來越多，更有根據用戶特征設計實施類似徐玉玉案件的精準詐騙，威脅公眾的財產和人身安全。在2016年，僅公安機關偵破的侵犯公民個人信息犯罪的案件達1800余起，抓獲犯罪嫌疑人4200余人，查獲各類公民個人信息300余億條。

其次，由于目前法律對個人信息的財產屬性尚未界定，互聯網企業和商家利用服務客戶過程中積累的用戶數據，在客戶不知情的情況下進行了數據交易和轉讓，也侵害了個人財產權益。此外，個人對其虛擬形象的存在不完全知情或不知情，因此，對虛擬形象在多大程度上影響諸如信貸、就業、經商、享受社會福利的機會等重大事項，個人亦不完全知情或不知情，當然也就無法談及個人權益的保護了。

（二）個人信息保護不足也會給企業和國家帶來不利影響

對于互聯網和信息行業而言，個人信息保護不力會影響該行業的健康可持續發展。分散的個人信息保護法規規定不清晰、不統一，缺乏確定的個人信息權屬、流動和使用規則，導致個人信息孤島和信息濫用并存，個人信息和大數據流通暗流涌動、秘而不宣，既沖擊公眾對互聯網及信息行業的信任和信心，還阻礙了政府和商業領域個人信息的開放流通。相反，那些沒有底線的企業打著改革創新的旗號行“倒賣數據”之實，因“劣幣驅逐良幣”而獲得了競爭優勢，這對信息行業的健康發展實際上是有百害而無一利。

進一步來看，個人信息保護不足還會對國家經濟發展和國家安全帶來不利影響。一方面，由于我國個人信息保護力度不及歐美等國，在國際經貿往來中我國公司不得在境內處理歐美個人客戶信息，在華外資金融機構選擇將境內客戶的個人信息轉移到新加坡、歐盟處理已成慣例，甚至至今也沒有一家外國大型互聯網企業將服務器設在中國境內。同時，一國落后的個人信息保護，將成為他國對其實行貿易壁壘的新依據，該國企業在“走出去”過程中會受到歧視性對待，個人信息流動的“逆差”狀態會影響其國際競爭力和國際地位。另一方面，在個人信息保護不健全的情況下，與國內機構一樣，國外機構也通過合法或不合法的渠道獲得規模化的個人信息，對我國網民進行心理和行為特征分析，并基于此進行精準的政治營銷和意識形態滲透，操控我國網民認知，威脅政治穩定和國家安全。媒體報道的大數據分析助力英國脫歐和2016年特朗普贏得美國大選即是大數據干預政治的兩個例子。

（三）全球已經形成個人信息保護的通用原則

自20世紀70年代初個人信息保護問題提出以來，經過40余年的發展演變，目前基本形成了以下五大國際原則，作為各國和國際組織制定個人信息保護政策的基礎：一是公開性原則，即個人信息處理機構應公開關于個人信息處理的一切政策、流程和處理實踐，禁止個人信息被秘密地處理；二是限制性原則，包括個人信息的所有處理行為要堅持合法原則，個人信息數據庫要堅持服務特定目的，在最少必須原則下收集和處理個人信息，個人信息的收集和使用范圍、保存期限和銷毀應受到限制；三是數據質量原則，即個人信息應當準確、完整和適時更新，作為信息控制者的機構對此責無旁貸；四是責任與安全原則，信息控制機構必須承擔個人信息保護的主要責任，要將個人信息保護內化于其業務流程和技術設計中，同時采取必要的安全防范措施保護個人信息，防止數據丟失或未經授權的訪問、銷毀、使用、修改或泄露，并承擔相應的責任；五是個人信息權利保護原則，充分保障信息主體的知情權、查詢權、異議權與糾錯權，甚至是可攜帶權等。

進入21世紀，大數據時代個人信息的內涵、處理方式、技術手段和侵權形式已發生巨大的變化，對個人信息保護的基本原則帶來了諸多挑戰，但是，無論是從歐盟2016年新制定的《通用數據保護條例》⁽¹⁾（以下簡稱《歐盟條例》）、2013年經合組織（OECD）對《1980年個人信息保護指南》⁽²⁾（以下簡稱《經合組織指南》）的修改，還是近年來美國對個人信息保護的立法和監管實踐來看，以上個人信息保護的基本原則不但沒有任何放松，相反，在一些原則的具體落實措施和監管手段上還有所加強。

（四）在立法和監管中落實保護原則是有益的國際實踐

從全球來看，從1973年全球第一部個人信息保護國內法律《瑞典個人信息法》出現到2015年末，全球共有111個立法體建立了個人信息保護法律、法規，且呈加速趨勢。在地域分布上，歐洲國家和地區53個，非洲17個，亞洲18個，美洲19個，大洋洲2個。在剩余的國家和地區中，21個已經形成了相關的法律草案，91個尚無相關的法律或草案。總體上，各立法體已經建立和正在建立的個人信息保護法律、法規，基本上都貫徹了以上保護原則。以歐美、亞洲和金磚國家為例，這些國家和地區正結合各自的文化、歷史、社會和經濟等方面的特征，選擇不同的方法和路徑因地制宜地踐行個人信息保護的五大國際原則。

歐盟作為全球個人信息保護的重要參照系，對包括政府部門、各商業領域個人信息處理實施統一的信息保護和監管標準。例如，20世紀70年代的瑞典、德國，以及后來的其他歐洲國家，都建立了同時適用于本國政府與非政府機構、適用于各行業統一的個人信息保護法律。在歐盟層面，從1995年歐盟《個人信息保護指令》⁽³⁾（以下簡稱《歐盟指令》）階段各成員國在個人信息保護上求同存異，發展到2009年在歐盟憲法中確立個人信息保護的基本人權地位，再到2016年出臺、2018年在歐盟成員國強制實施的《歐盟條例》，均體現了歐洲國家在個人信息保護領域統一化、標準化和一體化的立法和執法特點，已將個人信息保護原則落實到立法和監管實踐中。

美國則針對政府部門和商業領域個人信息分別立法，并建立強有力的監督執法機制。例如，針對聯邦政府機構有《隱私法案》（1974年），針對征信醫療金融電信等若干行業，有以《公平信用報告法》（1970年）為代表的數十部信息保護特別法。相關法律在各自領域貫徹“目的特定、公開透明、保障權益”等基本保護原則，借助其發達的司法救濟系統，特別是以聯邦貿易委員會、聯邦通信委員會、證券交易委員會、消費者金融保護局等為代表的監管機構強力執法，從督促機構守法、保障個人權益、規范個人信息處理等方面，有效地實現了對個人信息的保護。

亞洲國家和地區、新興市場國家的統一立法和統一保護也日漸完善。出于對個人隱私訴求進行保護的客觀需要，以及融入經濟全球化的戰略考慮，加強個人信息保護是亞洲國家和地區與印度、巴西等新興市場國家的一致性選擇。以日本、韓國、新加坡等為代表的發達國家，緊跟歐美步伐逐步完善本國的保護體系，統一立法、統一監管的個人信息保護框架已經非常成熟，印度、巴西等新興市場國家，也已經形成或正在形成專門的個人信息保護法，設置統一的個人信息監管機構，加緊推動個人信息保護國際原則在本國落地，并緊跟歐美步伐不斷完善本國的法律和監管。

（五）個人信息保護事關大局，推動國際通用原則落地尤為迫切

橫向比較，當前我國在個人信息保護領域的理念、原則、立法和實踐，較歐盟、美國、日本、韓國、加拿大等落后。概括而言，導致我國個人信息保護嚴重不足的原因主要有：一是社會各界對個人信息保護有意識無認識，對為何要保護、要保護到什么程度和如何保護等沒有概念，錯誤地認為只要“本人同意”就行，對機構處理個人信息沒有“在什么時間內、為何目的、要最小化處理”等約束。二是在2020年10月《個人信息保護法（草案）》公開征求意見之前相關法律以宣示性條款散落在《民法典》（2020年）、《民法總則》（2017年）、《全國人大關于加強網絡信息保護的決定》《刑法修正案（九）》《國家網絡安全法》等中，缺乏專門的個人信息保護法對保護理念、原則、各方權責等做一致性約定，高度分散的法律文本停留在紙面上難以落實。三是分散監管下各部門職責未定、個人權利不明、機構責任不清，主要依賴公檢法部門針對侵害公民個人信息犯罪不定期專項打擊行動，沒有專門的個人信息保護部門實施常規性行政執法、處罰和保護。為此，完善我國個人信息保護的政策和立法十分迫切。

一是個人信息保護問題事關互聯網行業的健康發展和國家競爭力，我們要站在促進經濟發展和國家間競爭的高度看待個人信息保護問題，深刻認識個人信息保護對國家發展戰略和占領全球制高點的戰略意義，從對個人信息保護的研究、認識、理念、立法和監管等方面奮勇直追，緊跟個人信息保護全球步伐不掉隊。

二是要推動“以人為本”的個人信息保護理念落地。數據由人而產生，如果個人的權利得不到恰當的保護，就會動搖大數據產生和價值挖掘的基礎。建立個人信息保護理念，根本目的就是要讓個人信息有序流動起來。在這個過程中，企業不僅需要確立相應的保護理念，作為信息保護監管主體和個人信息處理機構的政府部門，更應帶頭凝聚尊重和保護個人信息的理念。

三是要確立“我的信息我做主”原則，強化機構責任，建立國際通行規則。要強化網絡運營者主體責任，將個人信息保護架構建立在機構責任基礎上。除落實“本人同意”規則之外，還要制定明確的信息采集、加工和使用規則，嚴格規范企業、機構在我國境內收集用戶數據活動，讓國際社會已經普遍接受的個人信息處理公開原則、限制性原則、數據質量原則、安全與責任原則、個人權益保護原則等，盡快在我國落到實處。

四是出臺統一的《個人信息保護法》和配套立法，建立專門的個人信息保護機構，加強對公眾的宣傳教育和對信息主體的司法救濟。要建立統一、專門的個人信息保護機構，集中擔負個人信息保護的立法落地、督促相關機構落實執法監管責任，采取切實有效的技術和管理措施，防止泄露、損害、違法使用個人信息。同時，提高對信息處理違規行為的處罰和賠償標準，嚴厲打擊非法竊取、收集、買賣、轉移個人信息的行為。此外，利用市場機制鼓勵大型互聯網企業間建立信息保護聯盟和行業自律機制，推動企業從保護商業利益、企業商譽和競爭力角度加強個人信息保護，形成競爭性隱私保護和信息安全商業環境。