《個人信息保護法》實施，如何用好這部法？

李新社 工業和信息化部網絡安全產業發展中心副主任

方興東 浙江大學社會治理研究院首席專家

薛軍 北京大學法學院教授

王利明 中國法學會副會長、中國人民大學教授

孫軒 南開大學數字城市治理實驗室主任、計算社會科學實驗室副主任

許可 對外經貿大學數字經濟與法律創新研究中心主任

謝鴻飛 中國社會科學院法學研究所民法研究室主任、中國社科院大學博導

11月1日，《個人信息保護法》正式施行。這是一部保護公民個人信息的專門法律，與《網絡安全法》《數據安全法》《電子商務法》《消費者權益保護法》等法律共同編織成一張消費者個人信息“保護網”。

近日，圍繞我國在個人信息保護和數據安全方面的現狀、存在的短板以及如何加強保護等議題，新京智庫聯合中國法學交流基金會新興產業發展及法治環境建設專項基金共同舉辦主題為“《個人信息保護法》落地實施，如何用好這個‘法’”的研討會，來自北京大學、中國社科院及工業和信息化部網絡安全產業發展中心等機構的相關專家參與研討。

以具體典型案例推動規則落地

新京智庫：《個人信息保護法》實施后將發揮哪些作用？如何落實到位？

王利明：《個人信息保護法》要和《民法典》相結合，才能夠形成有效適用的一個規則體系。事實上《個人信息保護法》對于個人信息保護規則仍然有限，還有大量的保護規則，必須要從《民法典》里去尋找，所以《民法典》才是兜底性法律。例如，精神損害賠償，禁令制度等等，《個人信息保護法》就沒有具體規定。凡是在《個人信息保護法》里面找不到的保護規則，都得回歸到《民法典》去尋找。有人認為《個人信息保護法》已經足以滿足對個人信息保護的規定，那這個理解顯然是不妥當的，不利于對個人信息的全面有效保護。

薛軍：《個人信息保護法》的立意非常好，但它的一些規則還需要去明確和細化。在實施中，可以通過一些具體典型案例來推動規則落地。比如手機的運動數據，單獨來看其未必就一定要被界定為個人信息。

現在一些手機名義上叫手機，但實際上是虛擬機。有些網絡黑灰產集團利用這種虛擬機來薅羊毛，商家和平臺深惡痛絕。對此，一個很重要的識別方法就是收集手機的運動數據，來分析其是否屬于正常的收集。但如果要經過用戶同意才能收集數據，那“羊毛黨”通過設置，平臺可能就收集不到這些數據，從而影響通過這種方法來識別一些與“貓池”里的虛擬機關聯的黑灰產賬號。某種意義上這樣會損害商業效率。

這就說明在界定個人信息的范圍時，一定要根據現實的情況，基于良好的利益衡量來進行界定。通過具體的類似于杭州野生動物園刷臉入園案、微信讀書案等個案的精細打磨，慢慢把諸如個人信息的范圍和分類的問題具體化，落實下來。在這個過程中，法院是一個很好的抓手，監管部門的專項治理活動等也能發揮積極作用。同時，消協等組織也要發揮積極作用。

《個人信息保護法》的出臺，盡管提供了一個很好的法律框架，但目前仍然存在一些問題，需要進一步通過條例、法院裁判規則等加以完善、填充和落地。

《個人信息保護法》的有些條款比較粗線條、框架性，實操性不夠；有些則是存在多種理解方式。這些對企業的實際運營而言，都有非常大的影響。

比如該法中一方面強調，企業在為用戶提供服務前，要讓用戶明確是否同意采集個人信息；但同時又規定，如果用戶拒絕同意，企業依然需要為用戶提供服務。

這對企業而言就是一個難題。因為有些軟件的功能，缺乏相應的個人信息是無法正常運行的。值得注意的是，該法更多地體現了監管思維，結合中國當前的語境，其實需要更多地從民法的視角、從損害賠償的角度，從受害者救濟的角度出發。

謝鴻飛：個人信息的損害賠償是需要及時跟上的必要環節。如果缺乏相應的損害賠償，那么對于企業而言，可能會將與之相關的大量成本外部化，而非企業本身消化。

《民法典》明確了隱私信息，《個人信息保護法》明確了敏感信息，但在這些之外還存在一般信息。這些信息應不應該保護，保護到何種程度，是個很大問題。尤其是，當這些一般信息被泄露，卻既不構成隱私權的損害，也不構成財產權或人格權的損害時，能否從民法上找到對應的損害，就是個問題了。

而在諸如電信詐騙的案例中，受損人無法確定是誰導致了個人信息被泄露，到目前為止，沒有看到有個人主動提起訴訟的案例。盡管檢察機關有代表受害人提起一些公益訴訟，但這些訴訟的訴求主要是賠禮道歉和刪除個人信息等，沒有見到有關任何賠償的內容。這些手段都只是防御、保護性手段。

法律體系要綜合運用起來，行政監管和司法必須齊頭并進。目前來看，法律的適用或者執法過程中，偏重于行政監管。在目前存在大量個人信息違法的情況下，僅依靠行政監管發揮很大作用是不太現實的。

促進數字經濟相關產業發展

新京智庫：《個人信息保護法》實施對相關產業將帶來什么影響？

李新社：過去，我們不知道平臺或者是應用提供方收集了哪些數據，收集這些數據的目的是什么，他們怎么利用這些數據?！秱€人信息保護法》出臺后，明確了不能過度收集無關的個人信息?！秱€人信息保護法》《數據安全法》的出現，對于產業的推動作用是明顯的。

比如，過去人們去酒店住店，要刷臉、要身份證等信息，這些信息都保存在酒店。現在已經有公司在做第三方認證。以后，可能顧客在酒店住店的時候，酒店只需要確認站在面前的這個人是真實存在的，而不需要了解其他個人信息。從產業的角度來講，這推動了安全產業的發展。

《個人信息保護法》出臺實施，一方面提醒了廣大消費者注意個人信息，也提醒了企業不能按照過去的玩法過度收集個人信息。從產業發展的角度來講，又催生了第三方驗證，保障信息不泄露、不被濫用等。因此，《個人信息保護法》的意義是相當大的。

許可：《個人信息保護法》絕不只是個人信息保護的法律，還是一部促進數字經濟發展的法律。

在過去幾年，企業存在著濫用個人信息的行為。但另一方面也要注意到，當數據成為新的生產要素，成為數字經濟推動力的時候，個人經過數據化加工后的信息，也成為其中重要的生產要素。對此，企業實際上也是可以利用的，但非常重要的是，要給企業很重要的激勵，讓其摒棄濫用和錯誤的利用，走向正確的利用。這要進一步明確合規免責邊界，推動企業用個人信息做好事，而不是做壞事。

《個人信息保護法》第13條，在《民法典》的基礎之上，增加了六項個人信息處理的正當性事由，體現出在平衡個人信息保護和數字經濟發展上非常重要的考量。第13條因此也被稱為《個人信息保護法》的法眼之所在。所以這部法律是推動中國數字經濟健康穩健發展的重要基礎。

孫軒：個人信息保護需要負面“處罰”與正面“引導”相結合。除了注意個人信息安全的制度，也可考慮個人信息合法合規利用的疏導。比如對公司、企業是否可以進行使用個人信息的評價體系。如果一個企業使用個人信息非常規范，符合《個人信息保護法》等法規要求，可將其評為“五星”，而做得差的企業，會面臨淘汰壓力。

方興東：過去中國互聯網行業的發展是“隱私驅動”型的?！秱€人信息保護法》等法律實施后，會推動互聯網行業回歸到以科技創新驅動的正常軌道。此外，這還將有助于中國互聯網的全球化?；ヂ摼W巨頭必須在個人信息保護方面達到歐美標準，才可能在國外合法經營，持續發展，真正實現全球化。

中國互聯網巨頭要經歷一個估值的重新調整，這個過程跟這些法律會直接相關。目前的幾次專項治理行動并不是調整的長期因素，而這些法律會是一個長期的因素。

新法普及增加的企業成本需內部消化

新京智庫：企業在網絡安全和個人信息保護方面做得如何？今后有哪些新要求？

許可：《個人信息保護法》是一部對企業經營發展非常重要的法律規范。比如，以營業額5%的金額處罰，比歐盟GDPR的4%還要高，這會是一個非常大的威懾。政府對互聯網企業采取強監管的態勢，這使得企業將高度重視個人信息保護工作。

《個人信息保護法》實施之后，對企業也提出了一些新的運營要求。比如“單獨同意”原則，之前無論是《網絡安全法》，還是《信息安全技術個人信息安全規范》，都沒有涉及“單獨同意”規則。這次針對高風險的個人信息處理行為，比如將個人信息向第三方提供，涉及敏感個人信息，個人信息的公開等，都需要經過個人的“單獨同意”。

各個企業內部需要進一步去完善自己的合規體系，有一些企業要設立個人信息保護負責人，一些超大企業要設立個人信息保護委員會，還有的要根據算法要求設立算法隔離委員會等。這些都成為企業落實《個人信息保護法》重要的一環。

《個人信息保護法》是中國對于個人信息保護的一個非常鄭重的聲明。“這具有積極的信號作用，反映了我國保護個人信息的一種決心?！?/p>

《個人信息保護法》第11條指出，形成一個政府、企業、社會組織、公眾共同參與的個人信息保護的體系，這種各方共同參與的個人信息保護體系也是落實《個人信息保護法》的核心。

相關社會組織可發揮作用。首先，一些行業協會可以發揮標準制定的作用。其次，通過行業形成一些值得學習和借鑒的最佳實踐。再者，科技的發展推動最近幾年相關的技術得到大量關注。從根本上來說，個人信息的保護來自于科技的完善、發展，這也是解決個人信息保護的重要途徑。

公眾參與也很重要。公眾并不是個人信息的弱者，公眾某種意義上說是個人信息能不能被收集的關卡。對公眾來說，第一要提升個人信息的素養，不要把一些信息輕易交出去。一些預裝的軟件、一些明顯來源不明的網址不要去打開。第二，《個人信息保護法》充分提升了個人信息的權益，包括查詢、查閱、更正、刪除、可轉移等一系列的權益。個人可以積極去行使這些權益，保護自己在數字空間中的個人信息。第三，適當的情況下，公眾可以向相關監管機構提起舉報甚至可以發起民事訴訟。

李新社：從保護的角度來講，《個人信息保護法》起到了保護作用；從產業角度來講，推動了一些技術創新。

謝鴻飛：《個人信息保護法》肯定會增加一些運行成本，但這是企業必須承擔的?！秱€人信息保護法》規定的一些行為規范，企業在數據合規方面的一些義務，是有利于個人利益和公共利益的。對企業來說，這部分成本應該內部消化，而不應該由外部來消化。

薛軍：作為市場主體，企業對于生效的法律都有遵守、落實的責任，這是不容置疑的。但企業普遍存在的一個潛在擔憂是，是否會存在某種形式的劣幣驅逐良幣問題？因為《個人信息保護法》的大量規定，缺乏可操作性的規定，這可能使得一些企業處于觀望狀態，要看看友商是怎么做的，看看競爭對手是怎么做的。因為對企業而言，做數據合規的成本是很高的，如果大家不是處于同一合規水準之上，做得好的企業，反而可能構成對其市場競爭力的傷害。

我相信企業并沒有去做違法行為的內在動力，很多人認為企業好像不監管就一定會違法，其實是不客觀的。企業的行為模式其實是服從于市場競爭的邏輯，當企業明確知道某一法律的執行，將會是嚴格的、公平的，不具有任何選擇性的，這時他們都會認真遵守法律。但是當法律的執行帶有選擇性或者模糊不清的問題時，企業在經營時就可能心存僥幸，主要還是擔心自己合規而別人不合規，從而在市場競爭中處于劣勢。從這個角度看，執法標準的公平、透明以及統一是極端重要的，是培養企業合規文化的基礎。

李新社：如果企業嚴格遵守了行業規范，但是與商業利益之間存在沖突該怎么辦？所以需要在遵紀守法的前提下推動企業發展，這才是立法的根本要求。如果立法后，企業什么都不干了，或者不能干了，不發展了，那就是有問題的。

《個人信息保護法》等一系列法規出臺后，企業一方面不能再用過去的思維無限度地擴大自身收集數據的權利。另一方面，企業還需要在法律規范框架內，收集數據、應用等，而且還要做得比原來更好，推動產業發展。

這一方面取決于企業遵紀守法的過程，同時還有一個監管的過程，不能說法律規范出臺后企業就會自動去遵守。怎么監管，如何利用監管平臺？對企業持續經營、產業長足發展來說，這都是一個挑戰。

從政府角度而言，如何在法律出臺之后，能夠健康快速推進產業長足的發展，也是值得關注的。因為數據是將來社會的基礎資源，個人信息作為數據的一部分，也會成為社會資源的一部分。企業如何利用好這些資源給社會創造更大的財富，這需要一個過程。

許可：有句話說，100次普法不如一次執法。相信在未來兩到三個月會有一系列的相關執法行動。

孫軒：隨著數字化時代的到來，我們還要考慮怎樣基于算法、程序、考評機制等塑造一個全新的數字化社會。即我們一方面要不斷完善法律規范，另一方面又要提供一系列服務，執法與服務并舉，創建一個更加完善的市場機制以促進經濟的發展。當然，很多內容還需要政府、社會、企業來共同合作完成。

國外企業在合規下的經營經驗值得借鑒

新京智庫：國外在個人信息、數據安全方面有哪些值得借鑒的地方？

薛軍：相關法律的適用需要注意一些具體的語境，要考慮國家合規經營的土壤，更要與政府的法治水平相適應。不能把國外一些個人信息保護的問題和相應的做法，跟國內進行簡單的橫向比較，如果不重視國內的具體情況，單純把國外的制度挪用過來，有很大的風險性。

謝鴻飛：每個國家都必須考慮自己本土的政治、經濟、文化等的情況，但是我們也必須承認，在個人信息保護這個領域，中國和其他國家也有一些共同的地方，這個時候參考域外法的一些方案，還是有啟發意義的。

孫軒：歐美國家在個人信息保護問題上的態度一直是比較明確的，執法力度也非常大，使得整個社會都形成了一種產業、行業的自覺性，就是有意識、主動地保護個人隱私。

頒布法律主要是提供一種行為準繩、行為準則，國外的這種個人信息保護的文化值得我們學習。

方興東：《個人信息保護法》在很多方面借鑒了歐盟《通用數據保護條例》（GDPR）。中國要像過去幾十年學習美國的技術創新能力一樣，認真學習歐洲在個人信息保護方面的制度創新能力，這不僅直接決定了我們在此方面的更新速度，甚至還決定未來在這方面趕超速度的快慢。

李新社：對企業來說，需要學習借鑒歐盟企業如何在合規的情況下合理合法地做經營。GDPR頒布之后，很多企業為了合規性在內部做了大量的技術改造工作。這就是法律最終對于市場和發展的一些影響，這是值得中國企業借鑒的。從數據安全角度來講，我們也應該考慮哪些問題會對國家安全產生影響。這方面西方有些實踐對中國有借鑒意義。

許可：中國的《個人信息保護法》對應歐盟來看，有兩個非常重要的特點，一個是很多條款過于原則，缺乏可操作性，需要未來出臺更細的規則加以補充和落實。第二是沒有貫徹基于風險的規制思路，最典型的問題就是對于去標識化的個人信息，沒有給予風險減免。

中國可以借鑒韓國和新加坡相關立法，這些國家在某種程度上是吸收了很多歐洲國家的個人信息保護做法，同時又增加了促進數字經濟發展的行業規制。

典型的例子就是新加坡對于個人信息保護增加了一個非常重要的合理性事由，那就是基于創新的個人信息的使用。對于企業來說，如果真的是創新活動，就可以使用個人信息。

方興東：《個人信息保護法》本質上并不是僅僅為了解決當前面臨的一些問題，最核心的還是面向未來，這是人類在數字時代面臨的共同機遇和挑戰。中國在借鑒其他國家經驗的同時，并不妨礙突出中國的特色，更不影響中國以后站在別人的肩膀之上去貢獻制度創新。

新京報記者 鄭偉彬 柯銳 肖隆平 查志遠