我国个人信息保护制度建设现状和展望

('我国个人信息保护制度建设现状和展望“互联网+”形势下，数字经济发展不断引发新的增长点。数据资源在互联网发展中的价值体现愈发明显，个人信息是数据资源的主要构成部分，挖掘、运用个人信息资源能够产生巨大的商业价值。一我国个人信息保护工作实践情况数字经济不断发展使得数据成为越来越宝贵的资源，其中个人信息是价值极高的数据之一，个人信息收集、使用活动愈发频繁，与此同时，围绕个人信息所产生的权利侵害现象越来越多，人们对个人信息保护的需求逐渐增加，个人信息保护问题的关注度持续提升，个人信息保护立法活动相应出现，并不断完善和发展。（一）个人信息保护历程及现状信息具有传播的潜在要求，只有处于传播中的信息，才产生相应的经济和社会价值。个人信息保护并非在人类社会发展的每个阶段都存在，而是信息时代才产生的问题。在信息时代，个人信息广泛、快速传播，使得个人信息能够始终处于传播之中，继而产生相应的价值，对这种传播价值的非法、不当追求，产生了个人信息保护的需求。早在20世纪90年代中期，就有学者认识到，个人信息的收集、处理、储存、转移和使用等环节，由于信息技术水平的发展和提高而变得更为容易和便捷。互联网普及率不断提高，使得个人信息传播的途径、方式等不断更新，个人信息传播的频率、速度、去向等也发生了大幅变化，变得越来越超出个体能力的掌控，个人往往没有足够的能力和手段来保护其个人信息。个人信息保护成为广受关注的热点问题。回顾过去，伴随着技术革新与产业发展，我国个人信息保护大致可以分为以下三个阶段。1.前电信时代（1994年以前）个人信息保护最早起源于对个人隐私的保护。在前电信时代，我国尚未接入互联网，当时还没有个人信息的概念。早期实践主要是对隐私保护，源自于《民法通则》（1986年）所规定的名誉权。这一时期，只有个人隐私的概念。个人对其隐私信息基本实现掌控，个人信息分散而不集中。个人信息泄露还没有成为一个命题。个人隐私被侵犯，主要通过名誉权救济来实现，基本由民事法律关系进行调整，处于私法的调整范围。2.电信和互联网时代（1995～2011年）1995年我国接入互联网后，互联网技术发展持续加速，电信网与互联网深度融合的趋势十分明显，人们生产生活更加便利，但是也开始面临因技术发展而带来的问题。个人信息保护逐渐从个人隐私问题中扩展开来，日益成为社会关注的重要问题。2010年前后，智能手机开始在国内普及，移动互联网快速发展，大量的经济社会活动通过网络进行和完成，网上个人信息数量激增，收集、使用个人信息缺乏有效的规范。这一时期，个人信息概念开始形成。个人信息在社会范围内大量由公共管理和服务机构、运营商和网络服务提供者掌握，个人信息泄露风险高企，个人信息保护问题开始受到关注，并逐步突破私法领域，向公法领域转移，越来越需要通过行政权力来给予保护。21世纪前10年，国内启动了一系列立法活动，强化个人信息保护工作的制度建设。同时，个人信息保护通过刑法修正案（七）、（九）写入了刑法，侵犯个人信息权利将承担刑事责任，这对于个人信息保护而言具有标志性的意义。3.大数据时代（2012年至今）进入大数据时代，云技术发展迅速，移动互联网快速普及，大大丰富了人们的网络生活，网上信息海量增长，其中个人信息增长迅猛。随着个人信息出现大规模泄露的各类案件的出现，个人信息保护开始受到各方关注。国内围绕个人信息保护问题出台了关键性立法（有关立法后文详述），各类互联网立法活动中都会关注个人信息保护问题。这一时期，个人信息逐渐形成社会公认的定义，个人信息的理论研究也更细化，针对数据与信息、隐私与信息等人们展开了深入的理论探讨，以期在“可识别身份”方式的基础上，寻求更具有操作性的个人信息定义。网络服务提供者开始成为掌握个人信息的最大的主体。个人信息收集和使用的活动十分频繁，但缺乏明确的规范和指引，个人信息执法实践活动相对较少，使得滥用个人信息的行为得不到有效遏制，侵犯个人信息权利的行为更加普遍，大规模个人信息泄露事件时有发生。（二）个人信息泄露事件频出近年来，国内个人信息保护状况不容乐观，大规模个人信息泄露事件频频发生，引发社会广泛担忧。很多知名网站、互联网企业，甚至是政府机构都发生过比较严重的个人信息泄露事件，并且发生率呈上升趋势。2016年6月22日，中国互联网协会发布《中国网民权益保护调查报告2016》指出，2016年，我国网民因为垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失为人均133元，比2015年增加9元，总体经济损失约915亿元。可见，我国因为个人信息泄露所造成的经济损失已经近千亿元规模。下面摘录了2011年以来，几起规模较大的个人信息泄露事件。1.CSDN（www.csdn.net）用户信息泄露“CSDN用户信息泄露”是最早期的较大规模个人信息泄露案件之一。2011年12月22日，CSDN公司服务器被侵入，导致核心数据遭到泄露。经警方侦查，破获此起用户信息泄露案，并以涉嫌非法获取计算机数据罪刑事拘留相关犯罪嫌疑人。警方最终认为CSDN网站未落实国家信息安全等级保护制度，从而造成用户信息泄露事件，因此对其作出行政警告处罚，但是根据公开资料显示，这是目前针对个人信息保护不力所作出的唯一一次行政处罚。2.天涯社区个人信息泄露“天涯社区个人信息泄露”事件，是国内迄今为止最大规模的个人信息泄露案件之一。2011年，天涯社区发生4000万名用户密码泄露事件。天涯社区向公安机关报案，并发布道歉声明。此次事件，还波及了人人网、猫扑等多个知名网站。天涯社区在声明中表示，天涯社区在2009年以前都使用明文密码，直到2009年以后，才使用加密算法，升级改造了其用户账号管理功能。实际上，如果天涯社区不自行进行升级，其使用明文密码保存用户信息的行为也不会得到有关方面的监督和纠正。3.大麦网用户隐私信息泄露“大麦网用户隐私信息泄露”事件表明安全漏洞问题可能反复出现。2015年8月，当时的乌云漏洞报告平台发布报告指出，大麦网销售平台存在安全漏洞，600余万名用户账户密码被泄露。这并非大麦网首次发生个人信息安全泄露问题。在此之前，大麦网已经发生过几次个人信息安全漏洞问题。2014年3月，大麦网因配置不当而引发全部用户信息泄露的风险；2014年6月，大麦网服务器漏洞未修补，引发770万名用户信息泄露的风险。但是，有关监管部门也没有对大麦网的风险漏洞表态干预。4.伟易达公司泄露儿童用户信息窃取个人信息者可能会有针对性地选择目标。2015年11月，伟易达在官方网站发布了公开信，承认11月14日该公司遭受了黑客攻击，500万名消费者账号以及账号关联的儿童用户信息受到影响。据媒体披露，11月中旬黑客入侵了伟易达的服务器，并盗走500万名父母和超过20万名儿童的信息，其中不仅有姓名、性别、生日等个人信息，甚至包括电子邮件地址、密码、家庭住址等一些敏感的个人信息。5.12306网站泄露用户信息政府机构掌握的个人信息也存在安全风险。2014年12月，漏洞报告平台乌云网称，12306网站存在漏洞，导致大量12306的用户信息泄露，涉及用户账号、明文密码、身份证件、邮箱等十分敏感的账户信息。中国铁路客户服务中心发布公告确认了存在用户信息泄露的情况。12306网站的用户信息泄露事件表明，即使是政府机构所掌握的个人信息，也存在大规模泄露的风险。上述几起典型的个人信息泄露案件都牵涉大规模个人信息，涉及不同领域，这反映了国内保护个人信息的严峻形势。实际上，迄今为止，公开报道可见的个人信息泄露事件已有数十起，波及面大小不一，给用户权益造成了不同程度的影响。其中，以电信和互联网领域个人信息泄露为主。从原因来看，主要有两个方面：一方面，服务提供者本身存在个人信息保护意识不强、个人信息保护规则不健全、个人信息保护系统存在安全隐患等问题，导致自身存在安全漏洞；另一方面，个人信息买卖已经形成黑色产业链，在高额利益驱使之下，个人信息已经成为黑客攻击的主要对象。有的时候甚至在没有直接利益驱动下也会出现较严重的侵犯个人信息的现象，比如“人肉搜索”一度是个人信息泄露、被侵害的主要原因。（三）个人信息保护法律体系有待形成总体来看，国内个人信息保护立法体系还没有形成，个人信息保护领域法律条文比较分散，没有形成统一的体系，总体层级比较低，这与个人信息保护的实践需求差距很大。具体有三个方面的问题：一是国内个人信息保护的法律框架还没有最终形成，需要进一步建立起综合立法、专门立法相结合的，包括法律、行政法规、部门规章、规范性文件等在内的完整法律体系；二是缺乏基础性、专门性立法，未来有必要出台一部专门的个人信息保护法，对个人信息保护的原则、界定、部门职责、环节、责任等作出基础制度安排，在此基础上才能出台相关配套规定；三是现有规定的操作性有待提升，有关概念的界定标准、具体操作指引等需要进一步界定和明确。二我国个人信息保护制度建设现状个人信息保护一直是国际社会，特别是发达国家和地区关注的重点领域。国内个人信息立法节奏也十分紧凑，近一两年来，个人信息保护问题已经成为各类互联网立法的重要内容之一，特别是《网络安全法》的出台，标志着个人信息保护立法工作进入新的阶段。（一）总体情况一直以来，我国个人信息保护以分散立法为主，专门性立法有限，尚未专门制定一部统一的个人信息保护法。现有立法中，除了《网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《消费者权益保护法》《电信和互联网用户个人信息保护规定》外，大多通过规定“人格尊严”“个人隐私”“个人秘密”“保障信息安全”等制度对个人信息实现直接或间接的保护，相关内容分散在一些综合性立法中，如《民法通则》《治安管理处罚法》《侵权责任法》《居民身份证法》《计算机信息网络国际联网安全保护管理办法》等法律、行政法规，其中都涉及个人信息保护的相关条款。表1国内个人信息保护立法情况立法层级法律名称备注法律层级《民法通则》主席令6届第37号《公证法》主席令10届第39号《统计法》主席令11届第15号《侵权责任法》主席令11届第21号《社会保险法》主席令11届第35号《居民身份证法》主席令11届第51号《网络安全法》主席令12届第53号《出入境管理法》主席令11届第57号《未成年人保护法》主席令11届第65号《治安管理处罚法》主席令11届第67号《邮政法》主席令11届第70号《旅游法》主席令12届第3号《消费者权益保护法》主席令12届第7号《民法总则》主席令12届第66号《全国人民代表大会常务委员会关于加强网络信息保护的决定》2012年12月28日《刑法》修正案（七）、（九）2009年、2015年行政法规《彩票管理条例》国务院令第554号《戒毒条例》国务院令第597号《缺陷汽车产品召回管理条例》国务院令第626号《征信业管理条例》国务院令第631号《社会救助暂行办法》国务院令第649号《地图管理条例》国务院令第664号《居住证暂行条例》国务院令第663号部门规章《计算机信息网络国际联网管理暂行规定实施办法》国信〔1998〕第003号《计算机信息网络国际联网安全保护管理办法》经国务院批准，公安部令33号，2011年修订《电信和互联网用户个人信息保护规定》工信部令24号《网络交易管理办法》工商总局令60号《个人信用信息基础数据库管理暂行办法》人民银行令3号司法解释《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》法释〔2014〕11号《最高人民法院关于人民法院在互联网公布裁判文书的规定》法释〔2016〕19号资料来源：根据“中国信息通信研究院个人信息保护立法课题组”资料整理。Excel下载表1国内个人信息保护立法情况（二）主要立法项目简析1.法律层级（1）《网络安全法》在“网络信息安全”一章中针对网络环境下的个人信息保护问题，进行了专门规定。其中，对网络运营者收集和使用个人信息的原则、方式等作了规定，规定了网络运营者保护个人信息的义务和责任；规定了“依法负有网络安全监督管理职责的部门及其工作人员，必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密，不得泄露、出售或者非法向他人提供”。同时，在附则中对“个人信息”作出了明确的定义。《网络安全法》是国内第一部对个人信息保护相关问题作出明确规定的法律，对我国个人信息立法活动具有里程碑意义。《网络安全法》也首次在法律中明确了个人信息的定义，对于其他个人信息立法工作提供了重要依据。但是，《网络安全法》对个人信息保护规定总体比较原则，个人信息收集、使用的具体规则还不明确，还需要制定配套法律法规给出细化规定。《网络安全法》也没有规定明确的个人信息保护主管部门，无法确定未来由哪个部门对个人信息保护实施行政监督，这在一定程度上限制了个人信息保护的法律效力。《网络安全法》的颁布实施，将为个人信息保护立法出台相关配套措施，提供上位法依据，期望通过进一步的行政法规、部门规章立法，对网络环境下的个人信息保护问题形成完整的制度体系。（2）《民法总则》2017年3月15日，《民法总则》正式通过，其中明确“自然人的个人信息受法律保护”。《民法总则（草案）》的说明中指出，“在信息化社会，自然人的个人信息保护尤其重要。《民法总则》的规定，对个人信息保护具有很重要的作用”。但是，《民法总则》仍然没有明确“个人信息”的权利性质，以及个人如何主张权利、寻求救济，可能还会存在一些实施上的困难。（3）《全国人民代表大会常务委员会关于加强网络信息保护的决定》这是《网络安全法》出台以前，个人信息保护方面的重要上位法依据。《全国人民代表大会常务委员会关于加强网络信息保护的决定》（以下简称《决定》）由全国人民代表大会常务委员会通过，具有法律效力。其中，对“网络服务提供者和其他企事业单位在业务活动中收集、使用公民个人电子信息”作出了规定。此外，《决定》对个人信息保护的一些具体规则也予以明确，首次在法律法规中确定了个人信息收集的“用户同意”原则。总体而言，《决定》的内容较为笼统，对主管部门、具体规则等没有作出明确的规定。然而，不可否认的是，《决定》对推动出台个人信息保护配套管理规定发挥了基础性的作用。（4）《未成年人保护法》2012年，全国人民代表大会常务委员会对《未成年人保护法》进行了修订，增加了保护未成年人个人隐私的规定。未成年人个人信息保护是个人信息保护的特殊领域。《未成年人保护法》的规定对未成年人个人信息保护工作提供了上位法依据，如正在起草的《未成年人网络保护条例》中，就对未成年人个人信息保护问题作出了规定。然而，《未成年人保护法》中使用的是“个人隐私”的概念，而不是个人信息。两者的相互关系、保护路径等一直存在争议，这给未成年人个人信息保护实践增加了困扰。（5）《刑法》修正案（七）和《刑法》修正案（九）《刑法》修正案（七）（2009年）在刑法第二百五十三条后增加一条，作为第二百五十三条之一：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金”，同时对窃取上述个人信息、单位犯罪等情形也作了规定。《刑法》修正案（九）（2015年）又将刑法第二百五十三条之一修改为：“违反有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金”，对履行职责或提供服务过程中获得公民个人信息进行出售或者提供给他人的，规定从重处罚，同时对窃取上述个人信息等情形也作了规定。通过刑法修正案将个人信息保护问题列入刑法，极大地加强了个人信息保护力度，标志着我国个人信息保护从民事救济到行政保护再到刑事追责的重大转变。2009年颁布的《刑法》修正案（七）聚焦金融、电信、交通、教育、医疗等个人信息最为敏感、个人信息保护存在较大问题的关键领域，同时只针对本单位履行职责或者提供服务过程中获得的公民个人信息，符合较早期的个人信息保护的需求。2015年颁布的《刑法》修正案（九）顺应了个人信息保护的新需求，将对个人信息保护的刑事追责扩大到所有一般领域，也不仅限于本单位履行职责或者提供服务过程中获得的公民个人信息，而是针对所有向他人出售或者提供公民个人信息的相关行为。此外，《消费者权益保护法》《治安管理处罚法》《居民身份证法》《侵权责任法》《统计法》《社会保险法》《出入境管理法》《旅游法》《公证法》《邮政法》中对个人信息保护问题均有涉及，正在起草的《电子商务法》也纳入了保护消费者个人信息的相关规定。2.行政法规层级我国个人信息保护在行政法规层面总体上比较缺失。只在一些行业性法规中作了一些规定，如《彩票管理条例》《戒毒条例》《缺陷汽车产品召回管理条例》《征信业管理条例》《社会救助暂行办法》《地图管理条例》《居住证暂行条例》等，同时，主要限于各自领域的个人信息保护问题，一般仅做了原则性规定。3.部门规章层级工业和信息化部于2013年公布实施《电信和互联网用户个人信息保护规定》（工业和信息化部第24号令，以下简称《规定》）。《规定》是针对个人信息保护问题的首次立法，也是首次在立法中明确了“用户个人信息”的定义。其中对电信业务经营者、互联网信息服务提供者收集和使用用户个人信息的活动作出了规范，明确了用户个人信息的安全保障措施，以及主管部门的监督检查职责。虽然有一定的局限性，但是《规定》的出台具有重要意义。首先，电信和互联网是个人信息保护的主要环节，规范电信和互联网领域个人信息保护问题，明确电信业务经营者、互联网信息服务提供者保护用户个人信息的责任义务，涵盖了个人信息保护的重要部分。其次，《规定》属于部门规章，在主管部门的问题上不存在争议，属于《全国人民代表大会常务委员会关于加强网络信息保护的决定》中“有关主管部门”的具体细化。对于落实《全国人民代表大会常务委员会关于加强网络信息保护的决定》而言，迈出了重要的一步。此外，还有少量的部门规章涉及了个人信息保护问题，如《网络交易管理办法》《个人信用信息基础数据库管理暂行办法》《网络预约出租汽车经营服务管理暂行办法》等。4.司法解释（1）《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（法释〔2014〕11号）该司法解释明确了“网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息，造成他人伤害时”相关人的救济措施。同时，也通过列举的方式明确了网络用户或者网络服务提供者使用公开的个人信息的例外情形。可见，对于民事关系中的个人信息保护，司法机关采取了相对宽容的态度。（2）《最高人民法院关于人民法院在互联网公布裁判文书的规定》（法释〔2016〕19号）该司法解释对人民法院公布裁判文书时应当删除有关个人信息，作出了列举式的规定，对于司法裁判环节的个人信息保护具有很强的指引性。（3）《最高人民法院最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2016〕19号）该司法解释对司法实践中侵犯个人信息罪的具体定罪量刑标准及法律适用问题进行了明确。与《网络安全法》相比，有以下两点发展。一是定义。该司法解释对“公民个人信息”作出的定义，在“身份信息”的基础上将个人信息的范围扩大到“反映特定自然人活动情况的各种信息”，增加了一些个人信息的呈现形式，如账号密码、财产状况、行踪轨迹等。二是对规章的适用。该司法解释明确“违反国家有关规定”包括“违反法律、行政法规、部门规章”，而《网络安全法》只规定到“法律、行政法规”的层面。鉴于目前个人信息保护问题在行政法规层面的缺失，该司法解释将“部门规章”引至刑法保护范畴，扩展了刑事领域适用个人信息保护的法律体系。（三）我国个人信息保护执法情况相对立法而言，个人信息行政执法活动比较少。除了涉及犯罪情形由公安机关处理，个人信息保护立法中都没有明确规定个人信息保护的监管部门，个人信息保护执法实践缺失。在互联网技术的推动下，特别是在“互联网+”形势下，越来越多的行业实现了与互联网的融合，各个行业都存在个人信息保护问题，而行业监管力度大不相同。可是，个人信息保护一直没有明确的监管部门，只能由各行业主管部门根据监管需要，在行业监管体系中予以解决。实践中，个人信息保护执法活动存在取证难、成本高等问题，因此很多监管部门缺乏有效动力来强化个人信息保护执法活动。由于监管部门对个人信息泄露的实施监管力度较弱，用户个人信息遭泄露后，应当由谁承担责任，仍不清晰。目前，除了前述北京警方对CSDN予以行政警告的处罚外，没有其他公开的行政执法实践。不过，“电信诈骗”可能成为个人信息保护的助推器。2016年8月21日，山东女生徐玉玉被骗大学学费一案引发社会高度关注。该案最终由最高检、公安部联合挂牌督办，8月28日侦破并抓获涉案嫌疑人。就在徐玉玉案发生后不久，又发生了清华大学女教授被骗1800万元的案件。这两起案件都是由于个人信息被泄露，诈骗团伙通过精准的个人信息取得了被害人的信任，从而成功地实施了诈骗。如果个人信息得到了妥善的保管，被害人被骗的概率将变得极低。最终两起案件均以诈骗罪结案，没有进一步深入到对个人信息泄露问题的追究。不过，个人信息泄露是电信诈骗的关键环节，打击电信诈骗的主要措施之一就是保护个人信息，相信随着“电信诈骗”的问题持续引发公众关注，未来将会对个人信息保护执法起到间接的促进作用。三我国个人信息保护制度建设展望未来，我国的个人信息保护制度建设，既要尽快出台个人信息保护基本法，又亟须建立法律体系，加大个人信息保护力度，逐步确立系统的执法体制机制，培养专业的执法队伍，提升执法水平，营造我国个人信息保护健康环境。（一）个人信息保护难度将持续增大数据是互联网经济的重要资源，个人信息又是具有较高商业价值的数据。随着信息社会的发展和成熟，个人信息的商业价值不断提升，收集和使用个人信息的活动变得十分普遍。未来个人信息保护工作的难度将进一步加大。首先，随着移动互联网的发展，人们的网络活动越来越频繁，更多的个人信息将通过互联网收集、存储和使用。其次，随着智能穿戴等新技术的发展，更多类型的个人信息，特别是隐私性更强的个人信息会被上传到互联网上。再次，在“互联网+”形势的推动下，越来越多的行业与互联网融合，相应行业所产生的个人信息也被转移到互联网上。最后，电信诈骗愈发猖獗，个人信息保护工作的紧迫性更为凸显。这些因素导致未来个人信息保护工作变得日益艰巨，面临很大的挑战。一方面，个人信息的界定将变得更为复杂，网络上新型的个人信息不断出现，个人信息的具体表现形式也不断发生变化，个人隐私与个人信息之间的界限更加模糊，使得实践操作中对于个人信息的界定变得更为困难，需要更加科学、合理的界定。另一方面，各行各业都存在个人信息保护问题，因此具有个人信息保护监管职责的部门也更不确定。不同行业的个人信息敏感程度各不相同，个人信息保护既需要统一规则，又需要适应行业主管部门的具体监管要求。（二）个人信息保护思路正在逐步确定个人信息是数据的一种，个人信息保护与数据管理制度密切关联。例如，《网络安全法》中围绕跨境流动问题，对个人信息和重要数据作了并列表述。数据管理问题与信息经济发展密切关联。实践中，电子商务活动过程中大量涉及数据的收集、使用、存储等，严格的数据管理制度势必影响电子商务的效率，而宽松的数据管理制度又可能产生相应的网络安全隐患，特别是在涉及个人信息保护时，往往会产生较大的安全风险。针对个人信息保护问题，欧盟和美国选择了不同的保护路径：美国采取分散立法的模式，积极促进数据充分自由流动，主张有限度地干预数据流动；欧盟则采取统一立法的模式，强调公民权利保护，不断提升个人信息保护立法程度，加大执法力度。与此同时，跨境数据流动成为各国博弈的焦点。数据本地化趋势十分明显，美欧继数据安全港协议废除后形成新的“隐私盾”协议，该协议加强了美欧间的数据流动监管，但是跨太平洋伙伴关系协定（Trans-PacificPartnershipAgreement，TPP）仍然倡导跨境数据自由流动。我国的信息经济发展十分迅速，“互联网+”不断触发新的经济增长点。我们需要在个人信息保护的总体思路上，平衡个人信息保护与数据流通利用，引入隐私影响评估、增强透明度、灵活的告知同意机制、场景导向的思路等，处理好个人信息保护与信息经济发展的关系。实现个人对其自身信息的保护、网络信息服务提供者对个人信息的利用和国家维护信息安全之间的平衡。对此，《网络安全法》提出了总体性要求和原则性规定。在《网络安全法》的框架下可以通过体系化的个人信息保护立法，形成全面、明确的个人信息保护总体思路。（三）国内个人信息保护立法最终形成体系当前，全球个人信息保护立法持续加强。已有100多个国家或地区制定了个人信息保护法，并且这一数字还在持续增长。尤其是发达经济体十分重视个人信息保护立法，美国、欧盟、日本、韩国、新加坡、俄罗斯等都出台了专门的个人信息保护法。我国个人信息保护的立法计划也在不断形成并加速推进。考虑到个人信息保护是一项综合性的工作，涉及各行各业，在不同的场景具有不同的个人信息保护要求，需要个人信息类型加以区分，以适应实践需要。因此，个人信息保护难以仅仅通过一部法律法规来实现，而是将形成包括法律、行政法规和部门规章在内的个人信息保护制度体系。首先，通过加快制定个人信息保护单行立法——《个人信息保护法》，明确个人信息保护的基本原则和具体规则，处理好个人信息保护问题线上线下的衔接，进一步清晰个人信息的界定、分类标准，明确个人信息收集、使用的适格主体，确定个人信息保护法益目标等。其次，通过制定行政法规，明确个人信息保护的主管部门或者协调机制，规定个人信息保护的具体职责。最后，通过制定部门规章、规范性文件等，细化个人信息保护的具体要求和行业领域的个人信息保护专门规范。同时，在制度体系的基础上，积极推动制定个人信息保护国家标准和行业标准，通过标准来解决问题，提高个人信息保护相关法律法规的操作性。（四）个人信息保护执法力度将持续加大在弗雷斯特调研公司（ForresterResearch）发布的全球隐私保护热图中，中国属于为数不多的“无实际受限”地区之一。实际上，如前文所述，我国已经开展了很多个人信息保护立法活动，但是由于个人信息保护执法实践仍然较少，我国个人信息保护法律规定难以落实。可见，执法是当前我国个人信息保护制度建设的关键环节。未来，个人信息保护将围绕执法活动来展开。随着个人信息保护立法的完善，个人信息保护法律体系不断形成，个人信息保护的执法问题将引发更多关注，通过明确个人信息保护执法机构，加大个人信息保护执法力度，个人信息保护的执法水平将会逐步提高。（五）个人信息保护行业自律作用将逐渐凸显现代生活中，人们频繁接触银行、电信、公共交通、快递网点、保险公司、房地产中介等单位，大量的公民个人信息存在泄露情况，个人生活的安宁不断受到侵扰，与此同时，人们的维权意识不断增强。很多行业企业都认识到，个人信息保护的水平将影响到行业的声誉及其中远期利益，从而逐渐提高自律意识，加强本部门内的个人信息保护工作。未来在立法活动中，个人信息的界定可能仍将存在争议，个人信息的理论定义需要通过具体实践来不断检验。但是，目前国内的个人信息保护执法活动有所滞后，还需要时间来建立机制和提升水平。因此，应对这样的情形，个人信息保护的很多工作在很大程度上需要依靠行业自律水平的提高，行业自律实践也将成为个人信息保护制度建设过程中的重要组成部分。-全文完-',)