張新寶：個人數據保護法的若干思考

最新 02-22

2017年11月18-19日，由浙江大學、阿里巴巴集團、螞蟻金服集團主辦，國家「2011計劃」司法文明協同創新中心、浙江省高級人民法院、浙江省人民檢察院、浙江省公安廳支持，浙江大學光華法學院互聯網法律研究中心（大數據+互聯網法律創新團隊）承辦，以「互聯網法學+人工智慧法學」為主題的2017年互聯網法律大會·未來論壇，在浙江大學之江校區成功舉辦。

在未來論壇第二單元「互聯網+學術研究」中，張新寶教授做了「個人數據保護法的若干思考」的主題演講。

張新寶

中國人民大學法學院教授、博導

《中國法學》雜誌社總編輯

以下為演講內容：

各位與會嘉賓，上午好！謝謝主辦方的邀請。

我與大家分享一些「信息」。關於《個人信息保護法》的研究情況，其過程很漫長。十八屆四中全會提出了進行個人信息保護方面的立法，在十二五立法規劃中又沒有指名道姓的寫，但在十八屆四中全會後頒布的科研項目裡面有關於個人信息保護法律研究的項目。

我認為設立一部統一的《個人信息保護法》是必要的，這有很多國家的成功經驗作證明。我們現在面臨著一個危險，即許多法律中都是片言隻語地涉及個人信息保護，包括全國人大的兩個決定、《消費者權益保護法》《刑法修正案（七）》《刑法修正案（九）》《網路安全法》《民法總則》等，缺少一部體現個人信息保護最核心、最基本的框架性法律，因此要制定一部全面的、普遍適用的法律。

我想這部法律應該包括以下方面：一方面，平衡個人信息保護與數據的利用的關係；另一方面，平衡國家作為管理者的職能與國家作為一個最重要的數據收集者、儲存者的關係。

《個人信息保護法》起草了一個九章一百多條的草案，包括基本規定、基本原則、基本制度，明確了政府、企業、行業、社會多方主體的職責，為共同構建和維護個人信息框架明確了方向。在基本原則方面，採用了國際上通行的原則；在基本制度方面，提出了個人信息保護標準體系、認證體系、風險評估體系。

草案的第四、五章，規定了信息業者、國家機關對個人信息處理的規則，在這兩個章節中，還有關於信息業者平衡的相關規定。我國可以借鑒國外立法經驗，在國家機關處理各主體對個人信息的收集、處理和利用上，專門規定政府信息共享和開放中的個人信息保護條款。

草案的第六至第八章，規定了監管體制、爭議解決以及法律責任。在法律的監督部分，明確了政府監督、行業治理、新聞監督、社會監督、公民參與的多元監督機制；在政府監管體制方面，明確了政府監督構建，以網信辦為主的統籌協調機制，爭議可通過協商、投訴、調解、仲裁、訴訟等多種渠道解決；在法律責任方面，對民事法律責任、刑事法律責任做了明確的規定。

關於法律爭議與原則性問題，需要探討下面四個問題：第一，平衡個人信息保護與數據收集利用之間的相互關係，二者不可偏廢，既不能為了發展數字經濟過分強調權利義務，也不能把個人信息簡單化，阻礙信息時代個人數字經濟的發展；第二，將公共機構記錄的個人信息保護納入法律；第三，建立統一的監管機制，目前的傾向是國家網信辦牽頭協調，共同參與；第四，建立有效的救濟機制，個人信息被侵犯後很難得知，需要動更多腦筋，比如通過集團訴訟、公益訴訟等已有的法律機制來維護個人信息的權益。

做這樣一個簡單的彙報，謝謝大家！