《个人信息保护法》的出台是必须、必要的，但还远远不够。

个人信息是民事权益而非权利。图/unsplash

新京报讯（记者郑伟彬） 11月1日，《个人信息保护法》正式施行。这是一部保护公民个人信息的专门法律，与《网络安全法》《数据安全法》《电子商务法》《消费者权益保护法》等法律共同编织成一张消费者个人信息“保护网”。

近日，围绕我国在个人信息保护和数据安全方面的现状、存在的短板以及如何加强保护等议题，新京智库联合中国法学交流基金会新兴产业发展及法治环境建设专项基金共同举办主题为“《个人信息保护法》落地实施，如何用好这个‘法’”的研讨会，来自北京大学、中国社科院和工业和信息化部网络安全产业发展中心等机构的相关专家参与研讨。

个人信息是民事权益而非权利

中国法学会副会长、中国人民大学教授王利明从《民法典》与《个人信息保护法》两者间的关系进行了阐述。

王利明表示，《个人信息保护法》有关个人信息保护的相关规定是《民法典》的组成部分。这体现在《个人信息保护法》依据《民法典》的规定，采用“个人信息”的概念，而不是“个人信息权”的表述。之所以没有采用“个人信息权”，是为了兼顾对各类个人信息的保护和利用。如果保护过度，在一定程度上将妨碍对个人信息的利用。

同时，王利明认为，我们应当把个人信息理解为一项重要的民事权益。这是因为个人信息是《民法典》确认的一项重要的人格权益，个人信息和隐私权、人格权关系十分密切，《民法典》构建了保护个人信息的基本法律框架，如果把个人信息当作一种公法权利，就会和《民法典》分割开来，这其实不利于对个人信息进行全面的保护。

此外，王利明强调，只有把《民法典》和《个人信息保护法》相结合，才能形成一个有效的规则体系。一个重要的原因是《民法典》具有兜底保护的作用。《个人信息保护法》毕竟容量有限，大量有关合同、侵权等规则，不可能都在这部法律里规定。因此，两者的结合才能形成一个完整的、全面的保护个人信息的体系性的规则。

损害赔偿是个人信息保护的必要环节

北京大学法学院教授薛军表示，《个人信息保护法》的出台，尽管提供了一个很好的法律框架，但目前仍然存在一些问题，需要进一步通过条例、法院裁判规则等加以完善、填充和落地。

薛军认为，《个人信息保护法》的有些条款比较粗线条、框架性，实操性不够；有些则是存在多种理解方式。这些对企业的实际运营而言，都有非常大的影响。

比如该法中一方面强调，企业在为用户提供服务前，要让用户明确是否同意采集个人信息；但同时又规定，如果用户拒绝同意，企业产品依然需要为用户提供服务。

这对企业而言就是一个难题。因为有些软件的功能，缺乏相应的个人信息是无法正常运行的。更值得注意的是，薛军认为，该法更多地体现了监管思维，结合中国当前的语境，其实需要更多地从民法的视角、从损害赔偿的角度，从受害者救济的角度出发。

中国社会科学院法学研究所民法研究室主任、中国社科院大学博导谢鸿飞同样认为，个人信息的损害赔偿是需要及时跟上的必要环节。如果缺乏相应的损害赔偿，那么对于企业而言，可能会将与之相关的大量成本外部化，而非企业本身消化。

谢鸿飞表示，《民法典》明确了隐私信息，《个人信息保护法》明确了敏感信息，但在这些之外还存在一般信息。这些信息应不应该保护，保护到何种程度，是个很大问题。尤其是，当这些一般信息被泄露，却既不构成隐私权的损害，也不构成财产权或人格权的损害时，能否从民法上找到对应的损害，就是个问题了。

而在诸如电信诈骗的案例中，受损人无法确定是谁导致了个人信息被泄露，到目前为止，没有看到有个人主动提起诉讼的案例。尽管检察机关可以代表受害人提起一些公益诉讼，但这些诉讼的诉求主要是赔礼道歉和删除个人信息等，没有见到有关任何赔偿的内容这些手段都只是防御、保护性手段。

因此，谢鸿飞建议，法律体系要综合运用起来，行政监管和司法必须齐头并进。目前来看，法律的适用或者执法过程中，偏重于行政监管。在目前存在大量个人信息违法的情况下，仅依靠行政监管发挥很大作用是不太现实的。

避免过高要求损害小企业竞争力

而即便是在监督角度上，也存在不少值得关注的问题。工业和信息化部网络安全产业发展中心副主任李新社表示，比如某类应用需要采集多少个人信息，信息如何删除、从哪些地方删除，在该法出台前企业已经采集的大量历史数据该如何处理等问题，这些都需要有人判定、监督执行。

资料图。图/unsplash

同样，企业在发展过程中，数据的积累已经不知不觉中超出企业经营的范围，达到可能涉及国家安全、行业安全的一种状态。那么这种状态又应该是由谁来判断呢？

因此，李新社认为，《个人信息保护法》的出台是必需、必要的，但还远远不够。尤其是需要其他相关法律、配套条例，以更好地衔接《数据安全法》和《个人信息保护法》。

对外经贸大学数字经济与法律创新研究中心主任许可认为，《个人信息保护法》是我国个人信息保护领域非常重要的一部基础性法律，可以视为数字经济的基本法。

不过，尽管该法是我国个人信息保护进步的一种重要体现，但该法也存在三个方面的不平衡。首先是关于保护对象、保护主体的不平衡。在执法层面上，从关注度和学理研究来说，对于国家机关收集、处理个人信息的关注度不高、不够，国家机关如何处理、收集个人信息，现在相关的规则也不明确。

其次是大小企业的失衡。《个人信息保护法》是以大企业为模本制定的一部关于个人信息保护规则的法律。无论是设立个人信息保护的专门负责人，还是建立一个外部委员会以及建立一套个人信息保护的内部规则，这些都是针对大企业而言的。对于小企业来说，要想去满足这样的立法要求是非常困难的。许可表示，如何平衡好大企业和小企业的合规成本，避免过高的监管要求损害小企业的竞争力和发展空间，这是需要认真研究的问题。

最后则是保护和利用之间的不平衡。许可认为，《个人信息保护法》一方面是保护不足，另一方面是利用不足。我国个人信息在非常多的环节都存在着滥用的问题，这个滥用问题迫切需要我们进行强有力的保护；但在另一方面，因为执法力量、监管手段的短缺，使得我们大量的执法放在非常显眼的大企业身上，反而是很多黑灰产，并没有完全成为监管的重点。

同时，从现在的执法来看，有的时候是过分偏重了保护，而没有很好突出《个人信息保护法》第1条所强调的个人信息保护与合理利用平衡的宗旨。因此，许可表示，保护和利用之间如何再平衡，是《个人信息保护法》存在的较大短板，这些今后应继续补充、完善。

记者 | 郑伟彬

编辑 | 张笑缘

校对 | 贾宁

33 +1

微博

微信