“千呼万唤始出来”的个人信息保护法草案终于揭开“神秘面纱”。

草案出台后如何臻于完善，是公众更为关心的话题。10月28日，中国人民大学法学院与未来法治研究院举办了关于《个人信息保护法（草案）》（下称“草案”）的研讨会，来自全国人大法工委、中央网信办、各大高校以及企业的专家学者围绕草案内容进行了探讨。

对于这部首次面世的一审草案，与会的大部分专家学者给予了较高的评价。在清华大学法学院教授、副院长程啸看来，草案的最大亮点在于规定了个人信息权益，“这是民法典也未作出明确规定的一个东西。”

个人信息保护权益应该如何解读？到底由谁来保护个人信息？行政监管体系的规定是否完善？掌握数字经济发展命脉的互联网企业们又关心哪些问题？隐私护卫队带你一一梳理。

早在民法典出台前，专家学者就一直在是否应当确立 “个人信息权”的问题上存在争议。当时有民法学者提出，只有在民法典中将个人信息确立为一种权利，才能为特别法，比如个人信息保护法，提供一个上位法的依据。

据了解，明年1月开始实施的民法典沿袭了《民法总则》的规定，没有对个人信息加“权”字，规定自然人的个人信息受法律保护。刚刚出台的草案第一条明确，“为了保护好个人信息权益”。

是“权利”还是“权益”？一字之差背后，体现了怎样的立法逻辑？

北京大学法学院教授、法治与发展研究院执行院长王锡锌表示，从欧盟整个个人信息保护立法历史来看，比如最早1950年签署的《欧洲人权公约》就提到了“个人信息受保护权（right to personal data protection）”，而不是个人信息权。不管是随后1995年欧盟颁布的《数据保护指令》还是2018年面世的《通用数据保护条例》（GDPR），都将个人信息受保护权转换成了一种宪法上国家对个人信息的保护义务。

他进一步解释，实现这个概念转变之后，国际上又延伸出国家的消极保护义务和积极保护义务。其中，消极保护义务基本上是指宪法规定的隐私权，而积极保护义务是指国家必须通过各种方式来保护个人信息。

草案第四章的标题为“个人在个人信息处理活动中的权利”，王锡锌认为这是草案中非常有中国特色的地方。他提到，这个表述说明，个人是在个人信息处理过程中被赋予了一些权利，而不是单独的个人信息权利，这是一个场景化的定义。

程啸也赞同上述观点，他认为，因为国家对个人信息有保护的义务，所以会对个人产生反射性的利益，但不代表，自然人享有民法上完全对应的权利义务。另外一方面，自然人的个人信息权利直接指向个人信息处理者。

他总结道，个人信息权益既包括个人享有因国家保护产生的反射性利益，也包括民法上个人针对个人信息处理者所享有的这种权利。

因为兼收了公法和私法的保护框架，谈及个人信息保护法的立法定位，王锡锌认为，它超越了部门法的思路，既有民法的保护途径，也有刑法、行政法的规制途径，是一个领域法。

对于个人在个人信息处理活动中的权利，程啸提到，草案第44条规定的知情权和决定权也是民法典没有提到的。

知情权和决定权是指个人有权限制或者拒绝他人对其个人信息进行处理，法律、行政法规另有规定的除外。程啸认为，现代社会自然人对个人信息的掌控力很弱，所以法律才要赋予自然人这样的权利；而且，如果没有这样的权利，查询、复制、删除等权利也会成为“无源之水、无本之木”。

对于草案的进一步修改，他建议第49条规定“拒绝个人行使权利的请求的，应当说明理由”，应该在“理由”前加上“正当”两个字。他说，“这样当纠纷发生的时候，法院才可以结合理由是否正当来进行裁判。”

此外，程啸还提到在侵害个人信息权益的民事责任的规定中，应当体现敏感的与非敏感的个人信息的区分，对于侵害敏感的个人信息的侵权责任应当适用危险责任即无过错责任。

草案第16条规定，基于个人同意而进行的个人信息处理活动，个人有权撤回其同意。此外，草案第47条还规定，当个人撤回同意后，个人信息处理者应当主动或者根据个人的请求，删除个人信息。

北京外国语大学法学院副教授万方认为，这几条连在一起就可以理解为，个人撤回同意后，个人信息处理者就应该删除所有储存的信息。但她提出，应该将同意撤回和删除分开。

具体而言，她认为，如果用户一撤回同意就把之前的数据全部删除，对企业而言会有非常重的成本；从用户角度考虑，已经撤回同意的用户可能也会反悔。

所以，她建议将撤回权和删除权分开，这样的话，可以实现一种关于个人信息层级性保护的效果。用户可以自己决定什么时候撤回同意，但这个撤回仅仅是向未来发生效力，不是撤回当下就一定要删除。如果用户想删除，可以再行使删除权。

此次草案的一大焦点问题在于处罚规定，罚款额度向“史上最严格”的数据保护条例——欧盟《通用数据保护条例》（GDPR）靠拢。

草案第62条规定，违反本法规定处理个人信息，或者处理个人信息未按照规定采取必要的安全保护措施的，情节严重的，由履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款。

“对于罚款量的问题，我觉得大家可能更担心的是由哪一级的机关监管”，王锡锌表示。草案第56条规定，县级以上地方人民政府有关部门就有个人信息保护和监督管理职责。

他认为，传统上的行政监管体制的确都是层级化的，但是对于网络信息的监管，它的层级化和地域性的确跟传统是完全不一样的。所以，对于个人信息保护监管的层级管辖、地域管辖问题，可能是将来监管的一个核心问题。王锡锌建议将这部分规定再做细化。

了解一线执法情况的中国人民公安大学法学院副教授苏宇也持同样的观点，他说，“高额罚款背后其实有巨大的利益，哪个额度的罚款大概需要哪个地域层级来处理，对于实践操作来说非常关键。”

他建议可以再跟一部实施条例，“如果没有提前设计管辖规则，包括级别管辖、地域管辖，那么，这么一种处罚规则在实践中可能会出现比较复杂的问题，后续再解决就比较困难了。”苏宇表示。

此外，对于草案第27条在公共场所安装图像采集个人身份识别设备的规定，苏宇认为应该增加两条规定，第一是需要对高度私密场所做出一个专门性的规定，比如说卫生间、母婴室等；第二是需要有一个法律授权，以便后续通过行政立法或制定标准等方式对人脸识别设备的使用和人脸信息的处理建立严格的要求。

近年来，一些企业、机构甚至个人，从商业利益出发，随意收集、违法获取、过度使用、非法买卖个人信息的问题十分突出。正是因为对这些现实问题的回应，个人信息保护法立法的步伐逐渐加快。

但作为硬币的“另一面”，如果向个人信息保护过多倾斜是否会损害数字经济的创新发展？如何平衡企业发展和个人信息保护一直是立法的难点问题。

在研讨会上，各大互联网企业的法律专家也畅谈了自己的修改建议。隐私护卫队注意到，关于向第三方提供个人信息、敏感信息、个人信息出境等场景下需取得用户单独同意的规定，引发了很多企业专家的讨论。

京东集团法律研究院执行院长李丽对单独同意的范围提出不同意见。她表示，考虑到个人信息保护的重要性，敏感信息在对外提供时确有必要征求个人单独同意，但企业向所有第三方提供个人信息都需要取得用户单独同意还值得商榷。

也有与会企业专家指出，比如现在企业收集了用户的一个敏感信息，单独同意是不是就意味着收集、提供、存储、传输，甚至删除的时候“都要弄一个弹框”，它的实际可操作性其实不是很强。“建议还是把单独同意改回到原来的明示同意”，她说。

持相同观点的还有阿里巴巴集团政策法规研究室专家刘明，他认为，“明示同意”相比于“单独同意”是更优选。从企业的角度出发，他分析了个人信息多方合作的技术模式常态化的现状，说明用户掌握是否向第三方提供个人信息的决定权后，将对企业造成较大影响，造成成本的增加。

此外，草案第25条规定，通过自动化决策方式进行商业营销、信息推送，应当同时提供不针对其个人特征的选项。互联网平台基于用户画像进行的“千人前面”“猜你喜欢”的个性化推送，就是一种典型的自动化决策。

此条规定也被与会企业专家频繁提及。

刘明认为，此条规定交由用户个人判断自动化决策是否对其权益造成重大影响，可能会出现规则不统一的问题，而规则碎片化会对整体数字经济市场产生影响。在自动化决策使用场景越来越广泛的情况下，什么样的结果会对权益造成重大影响应有相对客观的统一判断标准。

腾讯研究院首席数据政策专家王融则更多地将视线集中于个人信息保护的监管体制和行政处罚方面。她表示，经过梳理发现，依据我国现有法律法规，具有个人信息保护职责的部门在中央部委层面就近20家。由此，她提出，对个人信息保护监管体制、监管职权和监管处罚权限的匹配仍需要系统统筹。

刘明也对多头监管问题深有感触。他提出，在目前重新设立一个独立机关并不现实的情况下，可以考虑赋予例如网信办对其他部门执法活动的监督权，这样一定程度上可以统一不同部门的执法标准，也能够让企业有明确的依据。

采写：南都记者 李慧琪 实习生 白小皛

编辑：蒋琳

对这篇文章有想法？跟我聊聊吧

蒋琳5.01亿

南方都市报记者