2020年9月14日，河北省石家莊市橋西區(qū)草場街小學的學生在觀看網(wǎng)絡安全知識展板。新華社發(fā)

　　經(jīng)過數(shù)年的研究與醞釀，備受社會各界關注的個人信息保護法草案（以下簡稱“草案”）終于亮相，接受全國人大常委會審議。這標志著我國個人信息保護法的立法，邁出了具有決定性意義的一步。圍繞這一草案還會有很多討論，草案的文本也會有進一步的修改與完善。但由草案所勾勒的個人信息保護規(guī)則以及個人信息保護制度體系，已清晰可辨。

　　中國的個人信息保護立法立規(guī)早已開始，并且已經(jīng)頗具規(guī)模。從《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》，到網(wǎng)絡安全法的制定、消費者權益保護法的修訂，再到電子商務法以及今年剛剛頒布的民法典，這些法律都涉及個人信息保護問題，都可以找到關于個人信息保護的某一個方面、某一個領域的專門規(guī)則。特別是在今年5月28日頒布的民法典中，針對個人信息的民法保護問題，設立了相當全面的規(guī)則。在這樣的背景之下，全國人大要進一步制定一部專門的個人信息保護法，其意義何在？是為了解決什么樣的問題？

　　首先，先前立法中涉及個人信息保護的規(guī)則，相對而言，比較原則與抽象，需要通過專門的立法，對有關規(guī)則的內涵以及在不同場景中的把握，做進一步明確具體的規(guī)定。缺乏具體明確的可操作的規(guī)則，個人信息保護制度就難以真正落地。因此，針對個人信息保護進行專門立法的首要目的在于，進一步明確個人信息保護規(guī)則。這一點在草案的文本中表現(xiàn)得相當突出。舉例來說，關于個人信息的處理，先前立法都一以貫之地強調，原則上需要獲得個人信息主體的同意（只是在有限的幾種例外情況下，不經(jīng)過個人的同意，也可以進行個人信息的處理）。但關于“同意”，具體來說，應該如何理解？是需要明示的同意還是默示同意就可以；是概括同意、打包同意，一攬子同意就可以，還是需要單獨的同意？是比較寬松的包括口頭同意在內的同意就可以，還是需要以特定的書面方式同意才可以？是一次性同意就代表了對后續(xù)的處理都視為同意，還是說根據(jù)個人信息處理場景的轉換，需要另外重新獲得同意才可以？更加重要的是，如果個人信息主體不同意，相對人是否可以因此拒絕提供產(chǎn)品或者服務？這些都是在實務上非常重要，需要在立法上予以進一步明確的問題。對此，草案都給出了相當明確清晰的答案。

　　在個人信息主體所具有的受法律保護權益的具體內涵上，先前的立法也沒有給出明確具體的表述，草案對此給出了非常具體的規(guī)定。個人在信息處理活動中，針對其個人信息，可以享有知情權、決定權、查詢權、更正權、刪除權等等。這些都是非常重要的規(guī)定，使得個人信息保護的規(guī)定，具有更強的可操作性。

　　其次，個人信息保護是一個完整的制度體系。先前在這一問題上的立法，往往只關注制度的一個特定方面，因此仍然需要通過一個專門的綜合性立法，來建構一個相對完整的個人信息保護制度體系。我們可以看到，草案針對個人信息保護法的域外效力問題、個人信息跨境提供問題、個人信息處理者的義務問題、履行個人信息保護職責的部門的權限界定問題，都作出了明確具體的規(guī)定。這些都是一國的個人信息保護制度體系中不可或缺的組成部分。通過這一立法，才可以說，中國建立了一個相對完整的個人信息保護的制度體系。

　　值得注意的是，草案關于個人信息處理者的義務體系的規(guī)定，相當系統(tǒng)和全面。僅草案中提到的管理措施就涉及相關處理者的內部管理措施、不同類型的個人信息分類管理制度、安全技術措施、應急預案、個人信息保護負責人、個人信息處理活動審計制度、個人信息處理風險評估制度、個人信息泄露事件的披露以及補救制度等等。這些制度先前只是零散地被提及，這次通過草案的規(guī)定，得以系統(tǒng)化地提出。而這些配套制度的建立，對于完善中國的個人信息保護制度體系具有重大意義。

　　基于以上兩個方面的考慮，可以認為個人信息保護的專門立法正當其時，非常有必要。當然，由于是初步的草案，相關規(guī)定的科學性、合理性仍然值得深入研究。具體來說，草案中所確定的個人信息主體所擁有的權益體系是否科學合理，是否符合中國現(xiàn)實，如何避免其不當行使給信息處理者帶來過重負擔，甚至影響信息產(chǎn)業(yè)的發(fā)展，均值得斟酌。另外，針對個人信息處理者所設計的諸多制度，如何評估其合理性以及必要性，需要慎重評判。相關的制度是否會成為監(jiān)管套利的工具，例如安全認證制度等等，值得深入研究。對履行個人信息保護職責的部門而言，相關規(guī)定是否足夠明確具體，是否有助于建構一個有效的工作機制，如何避免互相卸責又互相爭奪的問題，也值得研究。

　　個人信息保護立法的優(yōu)劣，最重要的評價標準就是科學而且精準地平衡兩大法律價值，一方面是保障個人信息權益，同時又不能過度影響個人信息的合理利用。從整體而言，草案的規(guī)定力求實現(xiàn)二者的兼顧。我們相信隨著各方積極參與討論，集思廣益，最終一定會制定出一部良善的個人信息保護法。

　?。ㄗ髡撸貉?，系北京大學法學院教授、北京大學電子商務法研究中心主任）