王 融  腾讯研究院资深专家

　　网安法告竣，电商法一读，《个人信息保护法》路在何方？
　　2012年以来，我国网络安全与信息化立法突飞猛进。以《全国人大关于加强网络信息保护的决定》为开端，一系列网络大法在国家立法日程中获得了优先位置。《网络安全法》从列入立法计划到正式出台，仅仅用了两年半时间。《电子商务法》紧随其后，也于2016年年末一读。除了专门的网络法外，在传统法律的制定、修订工作中，也给予网络空间前所未有关注：《消费者权益保护法（修订）》、《刑法修正案》（九）、《反恐怖主义法》、《食品安全法（修订）》、《广告法（修订）》、《民法通则》（二审稿）都补充了适用于网络空间的相关条款。
　　在国家快速推进网络法律体系的大背景下，一个容易被忽略的细节是——作为该体系的重要组成部分，《个人信息保护法》却迟迟未能进入立法进程，推进情况也显得扑朔迷离。
　　我国政府对于《个人信息保护法》的关注起始于2003年，当时的国务院信息化办公室正式部署了立法研究工作，2005年相关学者完成了《个人信息保护法（专家建议稿）》（以下简称专家建议稿）。然而该建议稿并没有进入正式的立法程序，甚至设想中的“第二方案”——“个人信息保护条例”也没有任何进展。2008年，在国信办被并入工业和信息化部之后，立法工作搁置 。之后，尽管在中央、国务院等文件中也偶见关于加快个人信息法律建设的部署；每年两会期间，关于个人信息保护立法的人大建议、政协提案也屡见不鲜，但《个人信息保护法》在正式立法议程中却已不见踪影。
　　网络社会的有序运行建立在公民、企业、国家三方主体良好互动的基础上，如果说网安法和电商法，分别代表了国家、市场在网络空间中的最主要法律利益诉求，《个人信息保护法》的迟滞不前从侧面说明了公民个人在网络空间的法律诉求并没有得到相同程度的关注回应。或者说至少在当下，主流观点并不认为：公民个人信息保护问题能够像国家网络安全、电子商务发展问题一样，需要制定一部专门统一的立法加以解决。
　　因此事实上，面对个人信息保护这个绕不开的问题，现有的选择是修补式的分散立法，即在各个相关立法项目中加入若干条款。从2012年《全国人大关于加强网络信息保护的决定》开始，在《消费者权益保护法》（修订）、《刑法》修正案、《网络安全法》、《电子商务法》等后续立法中都践行了这种分散立法思路。
　　分散立法是否改善了个人信息保护法律环境？
　　客观来说，近年来的分散立法一定程度上回应了公众对个人信息保护问题的关切，但在法律环境的实际改善方面其作用十分有限。
　　其中最主要的原因在于现有分散立法有相当一部分是原则性、宣誓性条款，并没有对实践产生直接影响。典型代表是2012年《全国人大关于加强公民个人信息保护决定》。该《决定》是我国个人信息保护领域的奠基性制度，首次在法律层面部分引入了国际上通行的个人信息保护原则，如收集个人信息的合法、正当、必要原则，知情透明原则等。但决定全文仅十二个条文，其中仅有四个条文具体涉及个人信息保护，表述宏观原则。且受制于自身形式，《决定》并没有对法律责任作出规定，更多代表着形式上的“制度宣誓”意义，并没有对市场产生实际规范作用。
　　此后2013年修订的《消费者权益保护法》虽然补充了法律责任条款，但也几乎是照搬了《决定》原文，并没有在原则表述基础上作出进一步具体规定。从出台到现在，尚未有依据该法的典型执法案例。
　　对于公民个人而言，这种分散、原则的立法条款很难帮助个人建立起完整的权利意识，也难以得到司法救济。特别是在我国几乎没有隐私权保护传统的法律国情背景下，用户并不清楚关于个人信息自己可以主张哪些基本权益。根据中消协发布的《2014年度消费者个人信息网络安全报告》显示，三分之二的消费者在接受调查时透露个人信息曾被泄露，对用户造成了金融资产和个人信息安全等多方面危害。用户维权时面临“防范难、举证难、索赔难”等一系列难题。在东方航空泄露订票信息案、王某诉汉庭酒店泄露开房信息案等案件中，消费者均因被泄露信息的扩散渠道不具有唯一性而败诉，传统司法保护模式在此类案件中陷入困境。
　　对于政府机构，又面临着两重问题。一是作为公民个人信息的重要收集处理者，政府机构在很大程度上并没有被纳入规范体系。除了《刑法修正案》（九）追究公职人员侵害公民个人信息刑事责任以外，其他现有立法中鲜有对政府、公共机构收集、处理个人信息作出明确规范的。而《网络安全法》、《电子商务法》（草案）中关于个人信息的零散规定则仅仅适用于网络运营者、电子商务经营主体，并不涉及政府部门。二是现有分散立法无法解决个人信息保护行政监管体制、执法分工问题。目前我国并没有专门的个人信息保护机构，而是由各行业主管机构进行监督管理，例如金融行业的用户个人信息保护工作，由央行主管；医疗行业的用户个人信息保护工作，由卫生部门管理；互联网领域的用户个人信息保护工作，由工信部主管；消费者个人信息保护，由工商总局主管。上述监管边界有着明显的重合地带，但由于分散立法并未涉及职责边界问题，个人信息保护领域事实上沦为管理的灰色地带。即使新近出台的《网络安全法》补充了若干个人信息保护条款，但仍旧对监管体制这一重要问题语焉不详。
　　综上，公民权利意识、司法救济、政府部门自身规范以及行政监督等以上方面，均说明当前的分散立法路径在改善个人信息保护法律环境方面差强人意。不仅如此，当前叠床架屋式的分散立法还带来了新的问题：
　　一则法律规定之间相互冲突。在《网络安全法》出台之前，我国涉及到个人信息保护的法律、行政法规、部门规章有近几十部，具体规定相互并不一致。《网安法》的出台，对于网络运营、服务领域的个人信息保护法律规则的统一，起到了积极作用，但对于网络服务领域以外的其他行业的规制影响有限。此外，近期公布的《电子商务法》（草案）对于个人的查询权、删除权、“知情同意”机制、匿名化处理等规定，与网安法规定均有所出入，考虑在电子商务领域，两部法律的适用范围必然会有所重合，如果不加以协调，未来也会造成法律适用上的冲突。
　　二则针对个人的行政、乃至刑事责任不断加码，偏离了个人信息保护原本最主要的法律路径。面对当前侵害个人信息愈演愈烈的现实压力，简单有效的做法是加大刑事责任打击力度，从而对违法犯罪行为起到震慑作用。所谓“乱世用重典”。例如：《刑法修正案》（九）显著提升了量刑幅度，最高刑从三年增至七年；近期的司法解释讨论中也有将“非法获取”进行扩大解释从而纳入刑事责任追究的倾向；2017年1月16日公安部公开征求关于《治安管理处罚法》的修改意见，其中对违反用户信息保护义务的，也将对个人科以限制人身自由类的“拘留”处罚。
　　固然，行政拘留乃至刑事责任是个人信息保护法律体系的重要组成部分，但从个人信息保护的机理及全球立法经验看，针对个人的处罚，乃至刑事打击并不是个人信息法律保护的最主要路径。相反，在数字经济背景下，建立个人信息处理的有序秩序，核心是推动信息处理机构（不论是私营部门还是政府部门）建立数据收集、利用规则，因此加强对机构自身的问责，并主要以经济罚而非刑事罚配置法律责任更为匹配有效。在个人信息与隐私保护成熟的欧美国家，也更依赖于行政监管和民事救济路径。例如欧盟27个成员国都建立有专门的个人信息保护机构，不仅负责监督执法，同时还需要对行业实践进行具体指导。美国最主要的隐私监管机构联邦贸易委员会（FTC）在实践中也主要通过一案一议方式来明确信息处理规则。
　　在尚未建立成熟的个人信息保护法律体系的背景下，从治安管理乃至加强刑事问责入手，在短期内或能起到遏制违法犯罪效果，但长期看对推动全社会建立有序规范并无直接积极意义，在某种程度上，对行业健康持续发展也将带来负面影响，是对个人信息保护有效法律路径上的偏离。
　　更为关键性的问题是，分散立法实践间接压缩了我国制定统一《个人信息保护法》的可能空间，这意味着我国要彻底建立个人信息保护法律体系还要花更长的时间。
　　结语
　　有观点认为：相比于欧盟，美国的个人信息保护规则更加宽松，因此其互联网产业获得了蓬勃发展。而受制于严格的个人信息保护法，欧洲几乎没有大型的互联网企业。或许这种观点简单直观，便于理解，但也带来了另一种误解。把互联网产业的发展好坏归因于单一的法律政策，且夸大了美欧在个人信息保护政策上的差异，忽略了二者之间的共性。
　　美国与欧盟尽管在法律保护路径上有所差异，但其保护个人信息的价值内核基本一致。美国针对于政府部门处理个人信息，早在1974年就制定了《隐私法》，对联邦政府机构收集、持有、存储以及传输公民个人信息的相关原则与具体程序做出详细规定，此外在金融信息、儿童信息、医疗健康信息、教育信息等领域还有特别法规定。而在法律执行层面，除了发达的司法救济系统外，在监管领域，美国也建立了高效权威的执法机制。截止目前，美国联邦贸易委员会（FTC）发起的隐私和个人数据保护执法案例已有上千起，通过具体执法持续推动着个人信息保护抽象原则落实到企业具体运营行为中。
　　当前，全球已有111个国家及地区具备了个人信息保护立法，超过全球具有独立司法管辖权领域的一半以上，且这一数字仍在快速增长。而在后期跟进的国家地区中，绝大部分选择了制定统一的《个人信息保护法》，包括日本、韩国、新加坡、我国台湾地区、香港地区等。
　　对于我国来说，如果继续沿着分散性立法思路模式走下去，公民对个人信息享有的基本权利体系，政府、企业及其他主体收集、使用个人信息的基本规范，行政监管体制、司法救济途径等核心问题仍将长期得不到明确，全社会对于个人信息的收集、利用基本规则也将难以建立。
　　近年来越演越烈的网络诈骗正是个人信息被肆意收集、滥用的恶果之一。不论是未成年学生，还是高校教授，其遭受诈骗的主要原因不在于缺乏自我保护意识，而是其大量个人信息得不到有效保护。特别是从政府部门、公共机构收集的个人信息在市场上无序流动，为不法分子提供犯罪机会。
　　而在市场上，“劣币驱逐良币”现象正在浮现。由于缺乏明确的规则指引，企业经营行为更多的取决于其自律程度，没有行为底线的企业反而获得竞争优势。这一点在大数据产业体现尤为明显，有多少企业打着技术创新旗号，行“倒卖数据”之实。合法与非法之间没有明确边界，不仅使得数据从业者面临更高的法律风险，也使得大数据合理的发展空间被黑灰产业所侵蚀。
　　《网络安全法》业已告竣，虽然该法针对个人信息保护补充了若干条款，但距离构建全面的个人信息保护法律体系依然遥远。当下，应呼吁对个人信息保护的立法思路予以反思，并尽早纳入国家立法规划。