数字时代，织密个人信息保护网

　　数字革命浪潮汹涌澎湃，数字化、网络化、智能化发展浩浩荡荡，“九章”面世、“北斗”组网、“中国芯”突围，中国正在数字时代的潮头大步向前，书写人类数字发展史上的全新篇章。

　　浪潮席卷之际，暗流需要警惕。大数据指数级增长，数据安全风险不断增加。作为国家数据要素的重要基石，个人信息泄露隐蔽、维权困难，危及公民个人信息权益、侵犯网络安全的同时，还有可能对社会公共利益乃至国家安全造成威胁。

　　党的十八大以来，在习近平总书记关于网络强国的重要思想指引下，我国个人信息保护法律体系建设不断完善，具有中国特色的治网之道正徐徐铺开，理论研究蓬勃发展，司法实务水平显著提升，个人信息安全防线全方位巩固，以法治之力护航网络强国、数字中国建设，乘风破浪、行稳致远。

　　2023年8月19日，中国法学会网络与信息法学研究会2023年年会暨第一届数字法治大会在吉林省长春市召开。专家学者在“个人信息保护”分论坛中共话数字时代下个人信息保护的机遇与挑战。

　　

　　法治是国家治理体系和治理能力现代化的基石。新时代、新征程，个人信息保护难度的升级，要求个人信息保护法律体系建设必须与时俱进，进一步完善。

　　对公民个人信息的保护理念首先得以在刑法条文中体现。2009年通过的《刑法修正案（七）》针对日渐严峻的无成本获取、冒用、侵犯个人信息的态势增设了刑法第253条之一，规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪两个罪名，打击整治侵犯公民个人信息违法行为。

　　2015年，为进一步加大对公民个人信息的保护力度，《刑法修正案（九）》对刑法第253条之一作出修改：将二罪合二为一，整合为“侵犯公民个人信息罪”，扩大犯罪主体的范围，规定履职过程中获取并违法出售或提供公民个人信息的，从重处罚。

　　2017年，“两高”联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，根据刑法有关规定，对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定，对“内鬼”出卖信息等针对个人信息的严重犯罪行为从重处罚。

　　2017年，网络安全法施行，对公民个人信息进行界定，规定网络运营者应当对其收集的用户信息严格保密，压实平台责任，健全用户信息保护制度，标志着我国网络空间法治化进程迈出坚实一步。

　　2020年，第十三届全国人民代表大会第三次会议通过民法典，在人格权益保护的法理基础上，规定了个人信息的基本定义和处理个人信息“应当遵循合法、正当、必要”的基本原则，民法典第四编人格权编第六章为隐私权和个人信息保护，其中第1034条规定：“自然人的个人信息受法律保护”，明确了个人信息权益的法律地位。

　　随后，数据安全法和个人信息保护法相继颁布实施，从基本原则和具体规则上对个人信息保护进行细化，赋予个人信息主体多项权利，强化个人信息处理者义务，明确个人信息保护的工作机制和法律责任。

　　紧接着，《互联网信息服务管理办法》《计算机信息系统安全保护条例》《信息网络传播权保护条例》等行政法规陆续出台。2021年9月，国务院发布的《关键信息基础设施安全保护条例》着重强调对数据安全和关键信息基础设施的保障，规定关键信息基础设施运营者应维护数据、履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度，在立法确立的制度框架下，细化个人信息保护制度措施，协调相关法律与行政法规的关系。

　　部门规章层面，2018年9月，国家卫生健康委员会发布《国家健康医疗大数据标准、安全和服务管理办法（试行）》；2022年7月，国家互联网信息办公室发布《数据出境安全评估办法》；2022年12月，工业和信息化部发布《工业和信息化领域数据安全管理办法（试行）》，等等。

　　各政府部门在个人信息保护领域协力并肩，充分履行自身职责，完善各自领域的相关立法，营造健康网络生态，以良法保障公民合法权益。

　　标准助推创新发展，标准引领时代进步。个人信息保护的法律原则和规制如何落地？各领域具体实施的步骤又是什么？数据安全的相关标准，既要贴合实际情况，为不同行业“量体裁衣”，又需把好安全门，建立起统一的“度量衡”。

　　我国出台了一系列的国家标准、行业标准，对法律法规中个人信息保护的原则性规定给予了实践层面的具体化。《移动智能终端上的个人信息保护技术要求》《寄递服务用户个人信息保护指南》《信息安全技术 个人信息告知同意指南》《信息安全技术 个人信息安全影响评估指南》《信息安全技术 个人信息去标识化指南》……这些国家标准、行业标准，遍及人脸识别、车联网、金融、医疗健康、生成式人工智能等前沿领域，强化各行业各领域高质量发展的个人信息安全基础，从数据泄露救济、个人信息保护、加强数据管理等多方面作出细化的规定，为数据安全管理实践提供具体指导。

　　一次次深思熟虑后的立法举措和相关专门立法的诞生，标志着我国的个人信息保护和数据安全制度框架逐渐清晰，逻辑严密、系统完备的个人信息保护法律体系、标准体系正在逐步形成。

　　

　　2019年，《中共中央关于坚持和完善中国特色社会主义制度 推进国家治理体系和治理能力现代化若干重大问题的决定》中明确提出：“推进数字政府建设，加强数据有序共享，依法保护个人信息。”

　　2022年，中央全面深化改革委员会第二十六次会议召开，会议审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》等文件。习近平总书记在会议上强调：“要维护国家数据安全，保护个人信息和商业秘密，加快构建数据基础制度体系。”

　　中国互联网络信息中心（CNNIC）于2023年8月发布的第52次《中国互联网络发展状况统计报告》显示，截至2023年6月，我国网民规模达10.79亿人，较2022年12月增长1109万人，互联网普及率达76.4%，形成了全球规模最大的数字社会。

　　数字时代带来便利，也带来挑战。骗取盗窃信息、违法数据挖掘、个人信息泄露等事件层出不穷，能否维护公民个人隐私，关乎人们的安全感幸福感，更关乎国家网络安全治理能力水平。

　　2019年9月，在国家网络安全宣传周开幕之际，习近平总书记对网络安全工作作出“四个坚持”的重要指示，其中“人民”位居首位：“国家网络安全工作要坚持网络安全为人民、网络安全靠人民，保障个人信息安全，维护公民在网络空间的合法权益。”2023年7月14日至15日，全国网络安全和信息化工作会议在北京召开，会议传达了习近平总书记对网络安全和信息化工作的重要指示，强调坚持党管互联网，坚持网信为民，坚持走中国特色治网之道，坚持统筹发展和安全，坚持正能量是总要求、管得住是硬道理、用得好是真本事，坚持筑牢国家网络安全屏障，坚持发挥信息化驱动引领作用，坚持依法管网、依法办网、依法上网，坚持推动构建网络空间命运共同体，坚持建设忠诚干净担当的网信工作队伍等“十个坚持”。

　　为提高群众个人信息保护意识，自2014年以来，国家网络安全宣传周连续9年在全国范围内举办，有力推动全社会网络安全意识和防护技能提升，在全国范围内形成了共同维护网络安全的良好氛围；着眼群众所需所盼，公安机关多次组织“净网”专项行动，依法重拳打击侵犯公民个人信息违法犯罪活动；2021年起由中央网信办部署开展的“清朗”专项行动，在维护网络环境、个人信息安全等方面发挥了突出作用。

　　一个个卓有成效的网络安全活动成功举办，“坚持以人民为中心”的责任担当，让“网络安全为人民，网络安全靠人民”的理念在广大群众的心中生根发芽，成为大家共筑个人信息防线的自觉行动。

　　《中国互联网络发展状况统计报告》显示，截至2023年6月，50岁以上网民群体占比为29.9%。我国银发网民规模逐年增长，针对老人的非法信息获取行为也已屡见不鲜。

　　2022年1月，公安部公布2021年侵犯公民个人信息犯罪十大典型案例。其中包括了安徽公安机关破获吴某等人非法获取老年人个人信息推销虚假保健品案。经查明，犯罪嫌疑人吴某成立多家健康咨询公司，通过网上购买、交换有保健品购买记录的老年人信息200余万条，通过制定话术、夸大效果推销虚假保健品，骗取6万余名老年人1500余万元。

　　我国社会人口老龄化程度不断加深，如何举司法之力保护老年人权益，需要全社会共同面对。2023年4月，最高人民法院发布第三批老年人权益保护典型案例，通过案件审理、制定司法解释和司法政策、发布典型案例等方式维护老人合法权益。

　　年会上，参会学者表示，谨防老年人泄露个人信息，成为网络诈骗受害者，“一是加强老年人信息保护立法基础。在网络安全法、个人信息保护法、数据安全法中对公民个人信息权益保护的基础上进行细化，对老年群体信息权益作出规定，完善老年人信息保护法律体系，在立法中体现对老人关照与帮助的精神。二是坚持防范与治理相结合。除完善法律制度外,还应加强对老年人的个人信息安全意识培养教育,提高老人自我防范能力。三是学界、司法机关、老年人机构多方参与配合。通过通力合作,形成司法、社会治理的老年人反网络诈骗全链条,切实维护老年人合法权益，实现老年群体在数字社会的安居乐业。”

　　

　　“积极研究数字化的建设与数字化的学科的理论与实践问题，是研究会的使命所系、责任所负、本质所在。建构中国自主数字法学知识体系，是时代赋予法律学者的崇高使命和责任担当。”在中国法学会网络与信息法学研究会2023年年会暨第一届数字法治大会上，中国法学会副会长、中国法学会网络与信息法学研究会会长姜伟在讲话中寄予了对法学界人才的期望。

　　“数字时代的个人信息保护风险类似于工业时代的环境保护风险，甚至用‘数据污染’来描述大规模数据监控或者违法数据处理，新兴的个人信息保护法治应当从成熟的环境保护法治中吸取有益经验。”会议发言中，中国政法大学数据法治研究院讲师张涛探讨了环境保护法中的风险预防原则在个人信息保护中适用与展开的可能。

　　暨南大学法学院国际法学博士研究生何明鑫针对个人信息侵权造成的损害如何认定这一难题，提出可以将高度盖然性的风险性损害认定为侵权法意义上的损害。“虽然风险可能难以精确测量，但也存在着可以测量和量化的因素。”

　　中国人民大学未来法治研究院副院长丁晓东对世界各国个人信息保护立法进行了梳理分析。他认为，在个人信息保护的思路上，欧盟倾向公法私法化，对个人信息基本权利的保护有更显著的公法渊源。美国则是私法公法化，私法渊源更为明显。“我国在个人信息保护的实体法框架上类似欧盟，在救济制度上类似美国，未来走介于两者之间的中国道路必大有可为。”丁晓东说。

　　“个人信息保护涉及的领域广，个人信息保护法的落实有赖于完善的配套制度和执法、司法。我国个人信息保护法治工作前进的每一步，离不开各部门的齐心协力。”中央网信办网络法治局副局长尤雪云说。

　　近年来,全国法院新受理个人信息权纠纷案件持续增加。据2022年最高人民法院工作报告统计，2021年，人民法院严惩窃取倒卖身份证、通讯录、快递单、微信账号、患者信息等各类侵犯公民个人信息犯罪，审结相关案件4098件，同比上升60.2%。

　　司法实务中，信息处理者在进行数据活动时是否取得用户个人同意、是否需要取得同意是长期存在的难题。例如某App需要用户同意的用户协议和隐私政策，不能仅凭用户勾选推出平台已获得用户完全的个人信息授权。

　　广州互联网法院副院长、三级高级法官邵山就个人信息侵权案件的审理思路和裁判要点，向与会学者进行分享。他认为，如果用户对隐私政策的勾选未“取得个人同意”效力，则应审查其是否有其他形式的告知同意，或者具备其他的合法性基础，即符合个人信息保护法第13条第2至7款的合法性基础，其中最主要的是第2款“履行合同必需”。“如果用户的点击勾选动作未‘取得个人同意’的效力，同时个人信息处理超出‘履行合同必需’，二者均未满足，则要审查个人信息处理者是否对信息主体进行了增强告知，取得增强的同意，否则属于非法处理。”

　　2022年11月，在个人信息保护法施行一周年之际，广州互联网法院发布5起个人信息保护典型案例，积极通过司法裁判规范个人信息处理活动，促进个人信息合理利用，推进网络空间治理法治化。

　　我国坚持以人民为中心的发展思想,在推动网络强国建设的同时,高度重视个人信息法治保护，个人信息保护法律制度不断完善，让法治之光照亮每一位公民的数字生活,使人民群众在享受数字发展红利的同时,更加安心、放心。

　　“只有聆听时代的声音，回应时代的呼唤，认真研究重大紧迫的问题，才能找到发展规律，把握历史脉搏。相信年会成果定会对数字法治建设起到积极推动作用。”中国法学会党组成员、副会长张苏军说。

　　● 责任编辑：虞文梁